340 di internal audit in un gruppo internazionale. Il caso Guess.doc) · Control & Risk Self...

UNIVERSITÀ DEGLI STUDI DI FIRENZE

FACOLTÀ DI ECONOMIA

CORSO DI LAUREA SPECIALISTICA IN AMMINISTRAZIONE E CONTROLLO AVANZATO

L’ATTIVITÀ DI INTERNAL AUDIT IN UN GRUPPO

INTERNAZIONALE

IL CASO GUESS

TESI DI LAUREA SPECIALISTICA IN REVISIONE AZIENDALE AVANZATA

Relatore: Prof. Marco Mainardi Tutor: Prof. Fabrizio Rossi

Tesi di laurea di:

Alberto Lo Dico

A.A. 2006/2007

Ai miei genitori

L’attività di internal audit in un gruppo internazionale. Il caso Guess.

INDICE

Pag.

Prefazione 5

CAPITOLO 1

L’INTERNAL AUDIT NELLA GOVERNANCE AZIENDALE

Pag.

1. Introduzione 7

2. La “voglia” dell’internal auditing in Italia 10

3. L’evoluzione dell’attività di internal auditing 14

3.1 La definizione dell’attività di internal auditing 15

CAPITOLO 2

IL CONTESTO NORMATIVO

Pag.

1. Introduzione 25

2. Il Foreign Corrupt Practice Act: brevi cenni 26

3. Il Sarbanes-Oxley Act, il più grande cambiamento nella

corporate governance 27

4. Il piano d’azione dell’Unione Europea: brevi cenni 30

5. L’autoregolamentazione internazionale: il Committee of

Sponsoring Organizations 33

6. Il contesto normativo italiano 46

6.1 La normativa societaria 46

6.2 Il D. Lgs. 58/1998, Testo Unico della Finanza 50

6.3 La Legge sulla tutela del risparmio (Legge 28 Dicembre

2005, n. 262) 52


Pag.

6.4 Il D. Lgs. 231/2001: la responsabilità amministrativa delle

persone giuridiche e la compatibilità con l’attività di

internal auditing 54

6.5 L’autoregolamentazione in Italia 60

6.5.1 Il Codice di Autodisciplina di Borsa Italiana 63

CAPITOLO 3

IL RUOLO DELL’INTERNAL AUDIT E LE RELAZIONI CON

GLI ORGANI DI CONTROLLO

Pag.

1. Introduzione 70

2. I rapporti con il consiglio di amministrazione 72

3. I rapporti con il Comitato per il controllo interno (Audit

Committee) 75

4. I rapporti con il Collegio sindacale, il Consiglio di Sorveglianza

o il Comitato per il controllo sulla gestione 79

5. I rapporti con il revisore esterno o la società di revisione 83

6. I rapporti con l’Organismo di vigilanza in materia di D. Lgs.

231/2001 87

7. I rapporti con il Dirigente preposto alla redazione dei

documenti contabili societari 91

CAPITOLO 4

LE METODOLOGIE DI REVISIONE INTERNA

Pag.

1. Introduzione 93


Pag.

2. Il processo di internal auditing secondo la metodologia

tradizionale 95

3. L’approccio risk based 123

4. Il Control & Risk Self Assessment (CRSA) 133

4.1 Il ruolo dell’internal auditor nell’approccio CRSA 140

4.2 Le metodologie utilizzate nel CRSA 143

CAPITOLO 5

IL GRUPPO GUESS: UN PLAYER MONDIALE

Pag.

1. Il gruppo Guess 156

2. L’Internal Audit Department nel gruppo Guess 160

3. La definizione del piano di audit 164

3.1. I criteri per la determinazione del piano di audit 167

4. Le diverse tipologie di auditing in Guess Europe 171

4.1. L’operational auditing 174

4.2. Il compliance auditing 179

4.3. L’IT auditing 198

4.4. Il fraud auditing 202

4.5. L’audit finanziario e contabile 207

5. Il progetto di implementazione del Control & Risk Self

Assessment (CRSA) nel gruppo Guess 210

Pag.

Conclusioni 221

Pag.

Bibliografia 224

RINGRAZIAMENTI

Si ringrazia il Prof. Fabrizio Rossi per avermi indirizzato verso una grande

esperienza professionale nel mondo dell’Internal Audit.

Un ringraziamento particolare va all’Internal Audit Manager Giulio

Salgaro, il cui aiuto è stato fonte di molteplici riflessioni ed ha fornito un

grande stimolo alla realizzazione dell’opera.

Si ringrazia, inoltre, per il sostegno, tutto l’Internal Audit Department del

gruppo Guess.


5

PREFAZIONE

Negli ultimi anni l’evoluzione del sistema impresa ha subito

un’accelerazione determinata da forti pressioni competitive, da un frenetico

cambiamento tecnologico, da una continua ricerca dell’efficienza e da

nuove regole di corporate governance che disciplinano il funzionamento

del mercato.

Come conseguenza delle mutate responsabilità aziendali e

dell’introduzione di nuovi soggetti interessati al controllo interno (tra cui,

ad esempio, l’Audit Committee e la Funzione di Internal Audit), è nata una

forte aspettativa da parte degli stakeholders aziendali, rispetto alla

capacità dell’azienda, ed in particolare del suo sistema di gestione dei

rischi, di recepire le mutate esigenze, rendendole non una sommatoria di

vincoli parzialmente sovrapposti, ma un modo innovativo di amministrare

l’azienda che, privilegiando l’integrazione tra sistemi, intraprenda la via

della riconquista della fiducia del mercato.

La Funzione di Internal Audit, nell’ambito dell’equilibrio complessivo del

sistema di governance aziendale, deve essere in grado di sviluppare

opportune sinergie con i diversi interlocutori aziendali coinvolti a vario

titolo nelle tematiche del controllo e del Risk Management.

L’esperienza svolta nell’Internal Audit Department del gruppo Guess ha

determinato un inevitabile arricchimento del bagaglio di conoscenze

acquisito durante la carriera universitaria, stimolando allo stesso tempo un

forte interesse verso l’approfondimento della materia.

Il contatto diretto con professionisti impegnati, capaci di affrontare livelli

di complessità elevati e di mettersi in gioco su molteplici piani

professionali, mi ha fatto comprendere che la formazione diviene un

elemento strategico per lo svolgimento del proprio ruolo in maniera

pienamente responsabile.


6

Tale trattazione, di concerto con l’esperienza sul campo, ha permesso di far

chiarezza sui temi concernenti lo svolgimento dell’attività di auditing

ponendo attenzione: sulle trasformazioni che hanno interessato le modalità

di svolgimento della professione, sul complesso contesto di

regolamentazione societaria nazionale ed internazionale, nonché sui

diversi strumenti di autoregolamentazione ed sulle tecniche e gli approcci

metodologici che possono essere implementati.

L’Internal Audit Department del gruppo Guess, in virtù della sua recente

costituzione (Maggio 2006), si presenta una scommessa stimolante per

percorrere un sentiero di sviluppo che fornisca all’organizzazione un

valore aggiunto sempre più elevato.

Nell’ultima parte di questo studio è stato delineato un quadro generale

delle differenti tipologie di auditing svolte dalla Funzione di Revisione

Interna del gruppo Guess, determinando un costante e vivace connubio tra

la teoria e il ricorso a risvolti pratici di natura operativa.

Preme sottolineare, inoltre, come sia forte, nel gruppo Guess, la voglia di

approdare, nel corso dei prossimi anni, verso approcci metodologici

sempre più all’avanguardia, quali l’implementazione della metodologia del

Control & Risk Self Assessment (CRSA), che costituirebbe uno dei più

ambiti traguardi dell’Internal Audit Dept. (raggiunti ancora troppo

sporadicamente nel nostro Paese), al fine di favorire un progressivo

cambiamento della cultura organizzativa e fornire al management valore

aggiunto nel processo di pianificazione strategica e operativa.

Università degli Studi di Firenze,

Marzo, 2008

ALBERTO LO DICO

1. L’Internal Audit nella governance aziendale

7

CAPITOLO 1

L’INTERNAL AUDIT NELLA GOVERNANCE

AZIENDALE

1. INTRODUZIONE

Il nuovo millennio si è incentrato sullo sviluppo e sull’impiego di sistemi

produttivi e finanziari attraversati da un forte sentimento di richiamo alla

legalità e all’etica del business.

La storia nordamericana ed europea, a partire dagli anni Ottanta, ha visto

l’avvicendarsi di una serie di indagini giudiziarie e di inchieste

parlamentari, a cui sono seguiti alcuni dei più grandi fallimenti.

Fenomeni di diffusa illegalità hanno messo in luce la debolezza delle

strutture e dei processi di controllo interno di molte aziende, inadeguati per

assicurare ai conferenti di capitale proprio e di capitale di prestito, ai

prestatori di lavoro, ai clienti e ai fornitori e ad altri portatori di interessi

una gestione sana, imparziale e trasparente delle stesse aziende.

Le illegalità commesse hanno riguardato soprattutto situazioni di falso nel

bilancio e nelle informazioni dirette agli stakeholders, la creazione di fondi

neri, il riciclaggio di denaro sporco, la corruzione delle autorità pubbliche

tramite le cosiddette tangenti, gli abusi degli amministratori, manifesti

conflitti d’interesse e via dicendo.

Di fronte al dilagare di queste prassi illegali, il pubblico, le autorità

governative, le autorità tutorie, le associazioni di categoria, hanno

manifestato pressanti richieste per una radicale riforma dei sistemi di

controllo interno e degli assetti societari delle imprese e specialmente di


8

quelle di dimensioni rilevanti, soprattutto se quotate in mercati

regolamentati.

In effetti, l’ultimo ventennio è stato caratterizzato dall’esplosione dei

controlli in tutti i settori di attività economica e sociale. I sistemi di

controllo infatti, costituiscono prima di tutto una questione culturale

rappresentando un prodotto delle comunità in cui viviamo e del modo in

cui una società cerca di trovare un bilanciamento tra fiducia e

accountability1.

Le imprese, soprattutto quelle di più ampie dimensioni, stanno

sperimentando cambiamenti strutturali e di mercato molto rilevanti, così

che managers ed internal auditors si trovano a dover affrontare criticità

sempre più complesse, fra le quali, in particolare:

- l’incremento dei rischi e dei costi di compliance normativa e, nel

contempo, di competitività industriale;

- la necessità di coniugare ed integrare strutture organizzative e

sistemi informativi ai fini di aumentare la velocità e la qualità del

processo decisionale, oltre che il livello dei controlli rispetto ai rischi

impliciti nelle decisioni prese;

- l’aumento delle aspettative degli stakeholders e degli investitori

circa la capacità dell’impresa di identificare e di monitorare sempre

più ampie categorie di rischi (es. etici, ambientali, ecc.), continuando

comunque nella ricerca di nuove opportunità di business per

assicurare livelli di redditività adeguata2.

Tutte queste complesse condizioni ambientali richiedono che la Funzione di

Internal Audit si evolva verso più elevati livelli di performance, e tale 1 M. Power (1997), The Audit Society. Rituals of Verification, Oxford University Press Inc., New York; trad. It. La società dei controlli, a cura di Fabrizio Panozzo, Edizioni Comunità, Torino, 2002. 2 Cfr. FORTUNATO S., “Il contributo della funzione di internal audit alla gestione di impresa”, Rivista dei Dottori Commercialisti. Giu. 2006, p. 1295.


9

evoluzione non sembra più procrastinabile visto il ruolo, meglio definito e

più impegnativo, che il Codice di Autodisciplina, statuito dal Comitato per

la Corporate Governance di Borsa Italiana, assegna a questa Funzione.

Viene infatti statuito dal Codice3 che l’emittente istituisca una Funzione di

Internal Audit, il cui responsabile di regola, venga identificato quale

Preposto al controllo interno di cui all’art. 150 del Tuf (D. Lgs. 58/1998).

Quest’ultimo, come sarà approfondito nel corso della trattazione, si

identifica come una figura chiave che supporta il vertice nella responsabilità

di valutare e monitorare i sistemi di governance, risk management e

controllo interno dell’organizzazione.

L’Internal Audit, pertanto, si presenta come un potenziale strumento per

rispondere in maniera efficace ai diversi attori, rappresentando nel suo ruolo

di assurance un denominatore comune alle esigenze di valutazione

dell’andamento del sistema d’impresa in termini di controllo e risk

management.

Le aziende, oggi, sono alla continua ricerca di modelli di gestione dei rischi

che assicurino la conduzione del processo di creazione del valore entro

l’alveo del rispetto delle norme interne ed esterne, secondo i limiti

accettabili di rischiosità del business4.

È in quest’ottica che l’Internal Audit costituisce un supporto per la

corporate governance, offrendo un prezioso contributo alla valutazione del

sistema di governo strategico e operativo dell’impresa e assumendo un

atteggiamento proattivo per il suo miglioramento continuo.

Tutto ciò determina lo sviluppo di una cultura del controllo interno, inteso

non come un mero proliferare di controllori rispetto agli esecutori, ma come

un sistema integrato d’azienda ove le attività di controllo si coniugano con

quelle di gestione del business.

3 E’ interessante notare che la precedente edizione del Codice di Autodisciplina ne contemplava solamente la possibilità dell’istituzione di tale Funzione. 4 Cfr. MINCATO V. (Presidente Assonime) nella Prefazione a Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007


10

2. LA “VOGLIA” DELL’INTERNAL AUDITING IN ITALIA5

La “voglia” di Internal Auditing in Italia è cresciuta notevolmente negli

ultimi anni, tanto che due terzi delle Funzioni di Internal Auditing

attualmente esistenti sono state create solo dopo il 19956.

Il Dipartimento di Ingegneria Gestionale del Politecnico di Milano, con la

collaborazione dell’AIIA, ha condotto una survey tra 364 società italiane

riscontrando l’adesione di 230 imprese di grandi e medie dimensioni, attive

in diversi settori economici: tra cui, in particolare, quello bancario e

assicurativo, commerciale, industriale e quello dei servizi.

L’analisi ha permesso così di tracciare un quadro complessivo della realtà

italiana, evidenziando un’effettiva diffusione tra le società italiane delle

strutture di Internal Audit, che sono state istituite in 170 imprese su 230 (74

per cento); inoltre, è stato rilevato che, circa il 30 per cento delle aziende in

cui tali strutture non sono presenti, ne ha programmato l’adozione nel giro

di qualche anno.

In generale le Funzioni di Internal Audit sono risultate essere piuttosto

recenti ed in molti casi esse sono state istituite nel corso dell’ultimo

decennio, sulla scia della crescente attenzione dedicata ai temi citati nel

paragrafo precedente: infatti, il 41 per cento delle società ha introdotto una

Funzione di Internal Audit negli ultimi 5 anni, il 20 per cento l’ha creata tra

5 e 10 anni fa, mentre circa il 39 per cento delle società l’ha introdotta più

di 10 anni fa (Figura 1).

5 Cfr. ARENA M., AZZONE G., CASATI P., “L’irresistibile ascesa dell’Internal Auditing in Italia”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006, p.41-44. 6 Nel condurre l’analisi sulla diffusione della funzione di Internal Auditing facciamo riferimento ad un indagine condotta dal Politecnico di Milano e AIIA su oltre 350 aziende della penisola, di medie e grandi dimensioni, operanti in vari settori.


11

Adozione delle strutture di Internal Audit

Tra le realtà aziendali che hanno adottato tale Funzione, vista la rilevante

diffusione in Italia dei gruppi industriali negli ultimi anni, è interessante

soffermarci brevemente sul modello organizzativo adottato in questi casi,

per capire come vengono strutturate le Funzioni di Internal Audit e quale

sia il loro posizionamento. La maggior parte dei gruppi italiani (circa il

64%) ha adottato un modello centralizzato, istituendo in seno alla

capogruppo una Funzione di Internal Audit che svolge attività di auditing

per tutte le altre società. E’ risultata abbastanza comune (circa il 35%)

anche la pratica di creare delle strutture di Internal Audit nelle diverse

società del gruppo, il cui operato viene coordinato e verificato da una

Funzione istituita nella capogruppo. Al contrario solo pochi gruppi di

74%26%

Fig. 1

39%

20%

41%

IA introdotto negli ultimi 5 anni IA introdotto tra 5 e 10 anni fa

NO strutture IAIA introdotto oltre 10 anni fa


12

grandi dimensioni hanno creato delle società ad hoc per svolgere attività di

auditing in tutte le aziende. (Figura 27).

Modello Organizzativo

Considerando il dimensionamento delle strutture di Internal Audit, si rileva

che spesso il numero di internal auditors presenti è piuttosto limitato.

Prevalgono infatti le Funzioni composte solamente da due o tre persone: nel

60% delle società (96 su 160) e nel 50% dei gruppi (55 su 107) non ci sono

più di 5 internal auditors (Tabella 1). Anche in questo caso, tuttavia, si sta

registrando un trend in crescita: nell’ultimo anno infatti il numero degli

internal auditors è stato incrementato nel 40% delle aziende, mentre solo

nel 9% dei casi si è registrata una riduzione dell’organico.

Infine, facendo riferimento al numero medio di internal auditors, a livello

sia di società, sia di gruppo, non si rilevano differenze macroscopiche tra le

7 Modello centralizzato: le strutture di Internal Audit sono collocate nella capogruppo e svolgono attività di internal auditing anche per le altre società del gruppo; Modello con delega o consortile: viene costituita una società che svolge attività di internal auditing per l’intero gruppo; Modello diffuso: vengono costituite Funzioni di IA, sostanzialmente autonome, in diverse società del gruppo; Soluzione mista: vengono costituite strutture di internal audit sia nella capogruppo sia nelle altre società del gruppo e il dipartimento di IA della società capogruppo dirige e coordina l’attività delle altre Funzioni.

15%

35%

1%

49%Soluzione mista

Diffuso

Con delega

Centralizzato

Fig. 2


13

aziende appartenenti alle classi di fatturato comprese tra i 100 e i 1.000

milioni di euro: tale dato varia tra i 6 e 10 internal auditor per le società e 14

e 20 internal auditors per i gruppi, mentre cresce in modo significativo nelle

società e nei gruppi di grandissime dimensioni (fatturato superiore a 1.000

milioni di euro).

Tale andamento suggerisce l’esistenza di una soglia minima di risorse

necessarie per svolgere attività di auditing indipendentemente dal volume

complessivo di attività, almeno a determinati livelli di fatturato8.

Tabella 1: Internal Auditors (IAs) – società e gruppi

S G S G S G S G S G S G

Meno di 100mln€ 2,93 16,71 14 4 0 0 1 2 0 0 0 1 0 0

Tra 101 e 300mln€ 10,00 20,82 10 6 2 0 4 2 0 1 1 2 0 0

Tra 301 e 500mln€ 5,80 13,79 13 9 0 0 1 2 1 2 0 1 0 0

Tra 501 e

1.000mln€6,60 19,57 24 17 3 2 0 2 2 6 1 2 0 1

Tra 1.001 e

5.000mln€9,81 53,66 30 18 22 12 5 7 4 4 2 8 0 10

Tra 5.001 e

10.000mln€91,62 60,25 5 1 3 3 1 1 1 4 0 2 3 1

Più di 10.000mln€ 57,43 123,43 0 0 0 0 1 1 3 1 2 2 1 3

Media IAs

(gruppo)

Media IAs

(società)Fatturato (mln €)

N. società (S) - N. gruppi (G)

≤ 5 IAs 6 ≤ IAs ≤ 10 11 ≤ IAs ≤ 20 21 ≤ IAs ≤ 50 51 ≤ IAs ≤ 100 IAs > 100

8 Cfr. ARENA M., AZZONE G., CASATI P., “L’irresistibile ascesa dell’Internal Auditing in Italia”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007, p.43.


14

3. L’EVOLUZIONE DELL’ATTIVITÀ DI INTERNAL AUDITING

La professione dell’internal auditor è stata caratterizzata, nel corso degli

anni, da un’importante evoluzione storica, che ha determinato lo

spostamento del suo raggio d’azione da verifiche limitate principalmente ad

aspetti di conformità normativa e procedurale ad attività di maggiore

ampiezza nell’ambito del controllo sistemico, della consulenza

organizzativa e della governance aziendale.

Questo processo evolutivo ha richiesto un incremento degli skills per lo

svolgimento della professione e ha determinato una maggiore visibilità e

credibilità della stessa Funzione aziendale.

Il compito dell’internal auditor oggi è quello di supportare il vertice e il

management aziendale nell’assicurare un efficace sistema di governo dei

processi, con uno specifico focus sulla ricerca dell’equilibrio tra il sistema

di controllo interno e la mitigazione dei rischi in ambito di risk

management9.

L’attività, in un’ampia accezione, si realizza attraverso la valutazione e il

supporto al miglioramento dell’efficacia ed efficienza dei processi aziendali

a salvaguardia degli obiettivi di business e di governo dell’organizzazione

utilizzando i tradizionali presidi di audit per la prevenzione e il controllo

delle frodi e per la verifica dei sistemi di reporting contabile.

Naturalmente, occorre osservare che questa attività si svolge in contesti

giuridici e culturali differenti, in organizzazioni guidate da visioni

strategiche, dimensioni e strutture tipiche del caso. Essa, infatti, è una

“scienza” che contiene in sé una dimensione flessibile ed evolutiva che le

consente di adattarsi alle diverse situazioni delle differenti realtà aziendali

escludendo l’applicazione di schemi universali. Tuttavia, lo svolgimento

9 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 9.


15

della professione trova un comune denominatore nel rispetto di Standard e

metodologie comuni.

3.1. LA DEFINIZIONE DELL’ATTIVITÀ DI INTERNAL AUDITING

Per una definizione dell’attività di internal audit possiamo far riferimento a

quanto rilasciato dall’Associazione Italiana Internal Auditors (AIIA) che ci

ha fornito una traduzione integrale della definizione elaborata dall’Institute

of Internal Auditors americano (IIA).

Con l’ultimo aggiornamento nel 1999 si sono definiti la missione, i

contenuti e le caratteristiche di tale attività, sottolineando come il ruolo

dell’internal auditor sia oggi notevolmente evoluto rispetto alla precedente

veste di revisore che ne enfatizzava il carattere prevalentemente “ispettivo”

e l’orientamento agli aspetti di conformità.

L’attuale definizione, infatti, individua l’internal auditing come “un’attività

indipendente e obiettiva di assurance e consulenza, finalizzata al

miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste

l’organizzazione nel perseguimento dei propri obiettivi tramite un

approccio professionale sistematico, che genera valore aggiunto, in quanto

finalizzato a valutare e migliorare i processi di controllo, di gestione dei

rischi e di corporate governance10”.

Per una migliore comprensione della definizione è utile fornire una

spiegazione dettagliata delle sue diverse componenti.

Un primo elemento che la caratterizza è quello dell’indipendenza, ovvero la

concreta possibilità per l’internal auditor di esercitare la propria attività

10 La definizione di attività di internal audit riportata nel testo è ripresa integralmente da quanto fornito dall’ “Associazione Italiana Internal Auditors” (AIIA). La definizione originariamente era stata rilasciata dall’ “Institute of Internal Auditors” (IIA), la stessa associazione con sede in USA.


16

senza nessuna interferenza, a partire dalla definizione dell’ambito di

copertura, all’esecuzione del lavoro e la successiva comunicazione dei

risultati ottenuti11.

Tale indipendenza è garantita tradizionalmente dal posizionamento

organizzativo della Funzione di Internal Audit, di solito in staff all’alta

direzione, in modo da tutelarsi di fronte a possibili ingerenze e

condizionamenti di altre strutture aziendali.

Infatti, gli aspetti organizzativi di tale Funzione assumono una particolare

rilevanza, in quanto sono in grado di influenzare l’efficacia e l’efficienza

complessiva delle risorse dedicate all’attività di audit.

Si tratta di un’indipendenza funzionale, diversa da quella richiesta al

revisore esterno, in quanto l’internal auditor rimane sempre e comunque un

dipendente della società in cui opera.

L’Internal Audit Department è idealmente collocato in posizione di

dipendenza funzionale dal Comitato per il controllo interno, detto anche

Audit Committee, (come previsto per le società quotate), dal consiglio di

amministrazione o da un organismo equivalente (a seconda del modello di

amministrazione e controllo adottato), e in posizione di dipendenza

gerarchica dal vertice manageriale dell’organizzazione (amministratore

delegato o direttore generale).

L’indipendenza è inoltre garantita con l’esclusione dai compiti spettanti

all’internal auditor di attività di altra natura, quali ad esempio attività di

controllo gestionale piuttosto che mansioni operative che lo

coinvolgerebbero direttamente o indirettamente nelle decisioni operative

dell’azienda12.

11 Secondo lo Standard IIA 1110 “Indipendenza organizzativa”, l’indipendenza e l’autonomia sono il presupposto per l’obiettività, a sua volta condizione mentale chiave che conduce all’affidabilità dei risultati dell’attività di internal auditing. 12 Standard IIA 1130.A1 Valutazione di attività di cui gli internal auditor erano precedentemente responsabili e Standard IIA 1130.A2 Responsabilità dell’Internal Audit in altri ruoli non di audit. Tali standard prevedono infatti che l’internal audit eviti di effettuare un servizio di assurance su attività che, nell’arco del precedente anno, rientravano nell’ambito delle sue responsabilità gestionali in un precedente ruolo aziendale.


17

La dimensione relativa all’obiettività si lega dal punto di vista concettuale,

come appena accennato sopra, all’indipendenza dell’attività di internal

auditing; tale elemento va a configurare la figura professionale del revisore

interno relativamente alla sua etica personale e alle sue competenze.

L’obiettività si realizza nell’atteggiamento di totale imparzialità, senza

preconcetti, in grado di evitare qualunque conflitto d’interessi che si può

manifestare durante lo svolgimento dell’incarico13.

Tra le due dimensioni di indipendenza e obiettività sussiste inevitabilmente

un rapporto dialettico, pertanto è evidente che l’internal auditor, per essere

indipendente, deve poter svolgere la propria attività senza vincoli e con

obiettività; e allo stesso tempo, la valutazione del revisore interno potrà

essere imparziale ed obiettiva soltanto se nello svolgimento di tale attività

gli è garantita la necessaria indipendenza.

Lavorare in piena autonomia e libertà mentale significa non sottomettere il

proprio giudizio professionale a quello di altri, non cedere a consistenti

compromessi, essere convinti della validità dei risultati emersi senza

lasciarsi influenzare da condizionamenti esterni e astenersi

dall’intraprendere qualsiasi attività che possa ingenerare conflitto

d’interessi o possa pregiudicare la possibilità di svolgere il proprio lavoro

con imparzialità14.

È necessario, quindi, un’adeguata strutturazione organizzativa aziendale e

l’obiettività dell’internal auditor, per garantire una sua imparzialità nella

valutazione delle evidence e assicurare la produzione di un giudizio

indipendente relativamente ad un sistema, ad un processo o ad una singola

attività.

Per completare il quadro relativo a queste due dimensioni, è opportuno

sottolineare che anche la pratica professionale ha voluto fornire precise

indicazioni sull’argomento, disponendo che l’internal auditor, a fronte di 13 Sull’argomento vedi lo Standard IIA 1120 Obiettività individuale. 14 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 11.


18

una situazione di potenziale o reale condizionamento o conflitto d’interessi

pregiudizievole, deve riferire al proprio responsabile in modo da consentire

una nuova assegnazione degli incarichi15.

Nella definizione si parla inoltre di “...attività obiettiva e indipendente di

assurance e di consulenza...”, due tipologie di servizi offerti allo scopo di

creare valore all’interno dell’organizzazione.

In effetti, del termine assurance non esiste una fedele traduzione in italiano

che sia al tempo stesso sintetica ed efficace. Comunque, i servizi di

assurance, in un’accezione ampia, comprendono tutte quelle attività utili al

miglioramento della qualità dell’informazione, in termini di attendibilità,

tempestività, economicità e rilevanza, in modo da offrire un valido supporto

al processo decisionale del management aziendale.

Una caratteristica peculiare dei servizi di assurance è il coinvolgimento di

tre soggetti:

• il soggetto sottoposto ad audit (detto auditee), quindi la persona

direttamente coinvolta nel processo o nel sistema oggetto di analisi;

• l’internal auditor, che effettua la rilevazione-valutazione

indipendente;

• il destinatario che utilizzerà l’output scaturito dall’analisi per

prendere le proprie decisioni. Si tratta tipicamente di un soggetto

interno, quale il vertice aziendale, il management, il collegio

sindacale o altri organi aziendali solitamente con compiti di

vigilanza quali l’Audit Committee.

Per quanto riguarda i servizi di consulenza, questi sono da intendersi come

un’attività di supporto propositivo diversi dall’assurance, prestati dal

15 Sull’argomento vedi lo Standard IIA 1130 Condizionamenti pregiudizievoli all’indipendenza o all’obiettività.


19

revisore interno a seguito di una specifica richiesta del cliente committente,

senza che questo comporti l’assunzione di responsabilità da parte

dell’auditor o decisioni operative in merito16.

Infatti, il revisore, nello svolgimento di tale servizio, non si assume alcuna

responsabilità decisionale, che rimane di competenza esclusiva del

management.

In tal caso le parti coinvolte nell’attività di consulenza sono due: l’internal

auditor e il cliente destinatario della consulenza. A differenza del servizio

di assurance, in cui è il revisore interno a determinare autonomamente la

natura e l’ambito di copertura delle attività da svolgere, nei servizi di

consulenza le attività sono tipicamente definite in accordo con il cliente.

Tra le diverse attività di consulenza si annoverano:

• il supporto nel ridisegno dei processi dell’organizzazione, con

riferimento a principi di controllo e di risk management nell’ambito

di specifici progetti aziendali;

• il supporto nella definizione dei principi di controllo nell’ambito di

procedure interne aziendali;

• la attività di supporto e mediazione tipiche del ruolo di “facilitatore”

nell’ambito di progetti di autodiagnosi dei rischi ( quali il Control &

Risk Self Assessment, o CRSA)17;

• le attività di risk assessment18.

L’elenco ci permette di comprendere, inoltre, come il bagaglio culturale

richiesto nell’ambito dell’internal auditing s’incrementi ulteriormente

rispetto a quanto già richiesto per lo svolgimento dei più tradizionali servizi

16 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 12-13. 17 Per una trattazione più approfondita del Control & Risk Self Assessment (CRSA), cfr. Cap. 3 e Cap. 5. 18 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 13.


20

di assurance. Gli ambiti nei quali il revisore interno è chiamato a fornire il

suo contributo professionale possono essere sconfinati, sarà responsabilità

dell’auditor accettare l’incarico solo in quei casi in cui si sente

effettivamente preparato. In genere, il campo in cui l’internal auditor è

maggiormente specializzato e quindi in grado di fornire il suo contributo è

quello relativo alla strutturazione dei sistemi di controllo interno in risposta

al sistema di risk management complessivo dell’organizzazione.

È opportuno precisare che molto spesso assurance e consulenza finiscono

per coesistere in una stessa attività di audit. Infatti, l’adozione di approcci

“misti”, che prevedono entrambi gli elementi in un unico incarico è in forte

crescita: è questo il caso tipicamente dell’attività di operational auditing,

che valuta il disegno del sistema di controllo interno di un determinato

processo in modo trasversale e misura l’impatto di eventuali carenze o

rischi non sufficientemente presidiati.

In altri casi, invece, la separazione tra i due ambiti sarà piuttosto netta,

emblematico il caso dell’attività di compliance auditing avviata a seguito di

un’attività consulenziale di supporto al management nell’autodiagnosi dei

rischi19.

L’attività di internal auditing è volta al perseguimento dell’efficacia e

dell’efficienza dell’organizzazione.

Con il termine efficacia si fa riferimento, in una concezione di ampio

respiro, alla capacità di un’organizzazione di raggiungere i propri obiettivi;

questi possono riguardare finalità del business, come ad esempio,

l’incremento dei ricavi, il contenimento dei costi, il miglioramento della

qualità, ecc. oppure ineriscono finalità di governo quali, l’affidabilità

dell’informazioni, la sicurezza, il rispetto della normativa, ecc.

19 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 13-14.


21

Tale dimensione, se considerata unica nel contesto aziendale di riferimento,

potrebbe condurre alla massimizzazione dei controlli.

L’efficienza invece, è definita dal rapporto tra il grado di raggiungimento

degli obiettivi e la quantità di risorse impiegate; essa, pertanto, ci conduce

verso un concetto di ottimizzazione del controllo e di valutazione

professionale del punto di equilibrio tra costi e benefici di eventuali

controlli aggiuntivi.

Da qui ne consegue che, in antitesi alla massimizzazione dei controlli per il

perseguimento dell’efficacia aziendale, si colloca la promozione di sistemi

di controllo ottimizzati e cost effective.

Un ulteriore approfondimento della definizione di internal auditing

riguarda l’approccio professionale e sistematico utilizzato nella

conduzione di tale attività a connotazione strategica.

Più precisamente ci si riferisce all’insieme strutturato delle conoscenze,

capacità e competenze richieste all’internal auditor nel condurre le proprie

analisi che, nel concreto, riguardano, dal punto di vista tecnico: gli Standard

professionali IIA, le procedure e le tecniche di internal auditing, i principi

di management e delle materie economico-giuridiche, le tecniche statistiche

e quantitative, i sistemi informativi.

A tali competenze tradizionali si aggiungono le capacità relazionali e di

comunicazione, sia verbali che scritte, che qualificano l’attività di internal

auditing come un’arte che non può essere ricondotta esclusivamente a

discipline formali. La chiave del successo per il raggiungimento

dell’obiettivo finale teso alla creazione di valore aggiunto, consiste, infatti,

nella corretta individuazione e nell’attenta gestione delle modalità e delle

linee di comunicazione20.



22

Negli Standard professionali IIA, il requisito della diligenza professionale

prevede il rispetto dei principi del Codice Etico e delle regole di condotta

alla base del comportamento degli internal auditor21.

È importante quindi offrire, un approccio conforme ad adeguati Standard e

strumenti metodologici che garantiscono l’applicazione di criteri omogenei

e coerenti e una progressiva copertura dell’universo di audit con

l’applicazione periodica e strutturata di adeguate procedure di risk

assessment nell’ambito della pianificazione dell’auditing.

Il concetto di valore aggiunto rappresenta un altro elemento su cui è

opportuno soffermarsi. Più precisamente l’attività crea valore aggiunto nel

momento in cui, attraverso l’analisi dei rischi e la valutazione del relativo

sistema di controllo interno, soddisfa le esigenze degli organi di governo e

del management aziendale.

Per definire, oggi, la mission dell’internal auditing non è più sufficiente la

verifica del rispetto delle norme, così come non sono più sufficienti la

verifica del sistema di controllo e la valutazione dei rischi correlati: oggi

l’orientamento di fondo dell’attività va oltre, trasformando quelli che in

precedenza erano gli obiettivi in strumenti per il perseguimento della

finalità primaria, cioè la creazione di valore aggiunto.

L’internal auditor, quindi, deve secondo tale concezione, applicare schemi

flessibili di analisi basati sulla consapevolezza della diversa rilevanza degli

obiettivi e dei rischi aziendali, per focalizzarsi su quelli maggiormente

significativi, in linea con le attese del top management, alla ricerca di punti

di equilibrio nel complessivo sistema di risk management22.

Assumere un atteggiamento proattivo è uno dei fattori critici di successo

per l’internal auditor: è necessario infatti condividere con il management le

21 Sull’argomento si vedano gli Standard IIA 1200; 1210; 1220 su Competenza e diligenza professionale. 22 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 16.


23

iniziative da intraprendere, tenendo conto delle politiche di risk

management applicate dal vertice aziendale. L’abilità di osservare e

comprendere le reali esigenze di un’organizzazione, le sue specificità

strutturali e di processo, le caratteristiche dell’ambiente in cui opera, gli

obiettivi di governo e di business contribuiscono allo svolgimento di

un’attività i cui benefici generati devono essere nettamente superiori ai costi

prodotti.

Da ultimo, la definizione fa riferimento agli ambiti su cui si focalizza

l’attività dell’internal auditing. In particolare:

• la corporate governance23;

• i processi di gestione dei rischi;

• i processi di controllo.

L’internal auditing rappresenta una componente del complessivo sistema di

corporate governance, che abbraccia sia gli aspetti di organizzazione

aziendale, sia gli aspetti societari, in un’ottica di presidio globale.

Inoltre, il ruolo di tale attività si sta evolvendo in un mezzo da utilizzare per

la revisione globale del sistema di control governance, inteso come

l’insieme dei processi, mezzi e risorse, presenti a tutti i livelli

dell’organizzazione, che danno ragionevole garanzia sul raggiungimento

degli obiettivi aziendali.

Tali aspetti saranno comunque oggetto di ulteriori approfondimenti nel

corso della nostra trattazione.

23 Il concetto di corporate governance si traduce con l’insieme delle regole alla base della gestione e del controllo delle società. Esso si comprende attraverso la definizione ed il funzionamento degli organi societari interni (Cda, Assemblee, Collegio Sindacale) ed esterni (CONSOB e società di revisione). La struttura della Corporate Governance definisce la distribuzione dei diritti e delle responsabilità tra i partecipanti alla vita di una società, in riferimento alla ripartizione dei compiti, all’assunzione di responsabilità e al potere decisionale.


24

In linea generale possiamo concludere che la Funzione di Internal Auditing

svolge un’attività di monitoraggio del complessivo sistema di controllo

interno di risk management in modo coerente con gli obiettivi di business e

di governo aziendale e dei singoli processi. Nel contribuire

all’implementazione della corporate governance, l’Internal Audit effettua

analisi e valutazioni:

• del grado di effettiva applicazione delle politiche, dei piani e delle

procedure, fornendone un quadro complessivo;

• del sistema dei controlli interni in un ottica risk management, messi

in atto per il raggiungimento degli obiettivi di business e di governo,

tra i quali:

o efficienza gestionale;

o qualità;

o obiettivi commerciali;

o affidabilità delle informazioni e del sistema informatico;

o rispetto della normativa;

o responsabilità sociali ed etiche.

Attraverso il suo ruolo di assurance e di consulenza, l’internal auditing

promuove il miglioramento continuo del sistema di controllo interno

raccomandando miglioramenti incrementali ed innovazioni strutturali e

gestionali, sulla base di ragionevoli relazioni costi/benefici al fine di

promuovere l’efficienza e l’efficacia del sistema complessivo24.


2. Il contesto normativo

25

CAPITOLO 2

IL CONTESTO NORMATIVO

1. INTRODUZIONE

Con il susseguirsi delle diverse crisi aziendali, a livello nazionale ed

internazionale, si è reso sempre più impellente il bisogno di porre maggiore

attenzione sul tema della corporate governance.

L’intervento delle autorità governative, delle Authority e delle associazioni

di categoria ha permesso un’evoluzione della normativa internazionale e

interna costruita su modelli e sistemi che assicurano meccanismi di governo

aziendale a tutela degli shareholders e degli stakeholders tra cui banche ed

altri finanziatori, clienti, mercati di riferimento, fornitori, personale e tutti

gli altri soggetti che ripongono nella società interessi diretti o indiretti.

Un buon governo di impresa che consenta il raggiungimento di obiettivi

fondamentali, quali efficacia ed efficienza, trasparenza e legalità,

porterebbe al recupero di una logica in base alla quale una migliore

governance significa una migliore reputazione e, quindi, un maggiore

sviluppo49.

Qui di seguito, pertanto, tenteremo di ripercorrere il processo evolutivo

intrapreso dalla normativa internazionale, per poi proseguire nell’analisi del

contesto italiano.

È in quest’ottica che assume rilievo il concetto di sistema di controllo

interno ed è in questo contesto che si sono sviluppati una serie di norme e di



26

Standard orientati alla definizione, alla valutazione e al rafforzamento dei

sistemi di governance aziendale.

2. IL FOREIGN CORRUPT PRACTICE ACT: BREVI CENNI

Nel corso dell’ultimo trentennio, a livello internazionale, si è incrementato

notevolmente l’interesse verso i temi relativi al controllo interno.

Nel 1977 negli Stati Uniti venne pubblicato il Foreign Corrupt Practice Act

(FCPA) successivamente modificato nel 198850, un atto legislativo che

proibisce alle società statunitensi di corrompere funzionari stranieri con la

finalità di ottenere o mantenere affari.

Esso, dunque, ha come obiettivo l’eliminazione di pratiche che avrebbero

potuto influenzare in modo negativo l’integrità finanziaria delle società

americane, minando così il funzionamento efficiente dei mercati finanziari.

Il provvedimento è rivolto alle società controllanti e controllate nazionali,

controllate estere, joint venture, partnership e qualunque impresa associata.

A questi si aggiungono inoltre tutti i dirigenti, amministratori, dipendenti o

rappresentanti della società.

Oltre a provvedimenti contro la corruzione, il FCPA contiene anche

disposizioni in materia contabile e di controllo interno: esso infatti prevede

che tutte le società attive sul mercato mobiliare statunitense mantengano

registri contabili, in modo da permettere l’individuazione di eventuali

pagamenti sospetti, esso dispone inoltre, l’istituzione di un sistema di

controllo interno che vigili su eventuali irregolarità e differenze tra ciò che

è riportato nelle scritture contabili e l’effettivo flusso finanziario delle

società.

50 A tale normativa, e a quella correlata descritta in seguito, si è ispirato il D. Lgs 231/2001 riguardante le responsabilità delle persone giuridiche.


27

L’approvazione del FCPA fu fortemente condizionata dalla convinzione

che un buon modello organizzativo di controllo interno avrebbe dovuto

costituire un efficace deterrente contro i pagamenti illeciti.

Si può ritenere, pertanto, che il FCPA sia stato il primo importante evento

in termini di impatto sull’internal auditing tanto che dopo la sua

emanazione molte società ad azionariato diffuso hanno avviato numerose

iniziative in materia di controllo interno, ampliando le dimensioni e i poteri

delle proprie funzioni di Internal Auditing51.

3. IL SARBANES-OXLEY ACT, IL PIÙ GRANDE CAMBIAMENTO NELLA CORPORATE

GOVERNANCE

Nel 1985, sempre negli Stati Uniti, è stata creata la National Commission

on Fraudolent Financial Reporting, nota come Treadway Commission, con

l’obiettivo principale di individuare le cause dei falsi in bilancio e formulare

raccomandazioni e suggerimenti al fine di evitare il verificarsi di questi

eventi.

Nel 1987 la Commissione ha emesso una relazione contenente alcune

raccomandazioni in materia di controllo interno, sottolineando in particolare

l’importanza dei codici di comportamento, dei comitati di auditing esperti e

attivi, di una Funzione di Internal Auditing efficace e obiettiva.

La relazione raccomandava, inoltre, la formazione di un Comitato di Audit

(Audit Committee), composto interamente da consiglieri indipendenti, tra i

cui compiti era prevista la verifica annuale della capacità del management

di monitorare l’osservanza da parte della società del Codice Etico adottato.



28

Tale evoluzione normativa ha rappresentato un importante punto di

riferimento per l’emanazione del D.lgs. 231/2001 e la relativa istituzione di

modelli organizzativi e di organismi di vigilanza.

Il susseguirsi dei corporate scandals di grandi società statunitensi, quali il

caso Enron e WorldCom avvenuti nel corso del 2001 e del 2002, fecero

emergere i limiti della corporate governance statunitense, e generarono i

presupposti per l’approvazione, nel Luglio del 2002, del Sarbanes-Oxley

Act.

Tale atto rappresenta il più grande cambiamento nell’ambito della

corporate governance e reporting sin dalle prime security laws federali del

1933 e 1934.

L’obiettivo principale di questa legge è quello di riconquistare la fiducia

degli investitori tramite un’amministrazione aziendale più efficiente: esso

fornisce infatti nuovi o più avanzati Standards per le Corporate

Accountability e sanzioni per comportamenti non etici messi in atto dai

funzionari dell’azienda in caso di eventuali false dichiarazioni sui dati

finanziari.

La normativa riguarda tutte le aziende i cui titoli azionari sono registrati

presso la Securities and Exchange Commission (SEC) degli Stati Uniti e la

cui capitalizzazione di Borsa supera i 75 milioni di dollari.

Gli elementi fondamentali del Sarbanes-Oxley Act sono:

1. l’indipendenza delle società di revisione contabile e la vigilanza sul loro

operato: il Sarbanes-Oxley Act dispone la creazione di un organismo

pubblico di vigilanza denominato Public Company Accounting

Oversight Board, affidando a questo il compito di regolamentare

l’attività svolta dai revisori contabili, nonché verificarne il rispetto,

modificando così in modo sostanziale il precedente modo di operare

basato sull’autoregolamentazione.


29

Al fine di mitigare il rischio di potenziali conflitti di interesse, sono

previste norme di rotazione delle figure chiave incaricate della revisione

e il divieto di svolgimento di altri incarichi di consulenza da parte della

medesima società di revisione ritenuti incompatibili ai fini della

salvaguardia dell’indipendenza;

2. una maggiore attendibilità delle informazioni finanziarie e dei processi

di controllo interno contabile: l’amministratore delegato e il direttore

finanziario vengono individuati come i responsabili

dell’implementazione del sistema di controllo interno e delle procedure

circa le informazioni che vengono divulgate al mercato. Il sistema di

controllo interno deve garantire il corretto flusso delle informazioni e

dei dati finanziari forniti, nonché la loro attendibilità.

A tal riguardo tali figure aziendali rilasciano un’attestazione circa la

veridicità del bilancio annuale e delle relazioni finanziarie emesse52. In

particolare, l’amministratore delegato e il direttore finanziario devono

valutare l’efficacia del sistema di controllo interno sul processo di

redazione del bilancio, comunicandone i risultati e le conclusioni nei

report prodotti (bilancio e relazioni periodiche)53.

La società di revisione deve quindi formulare le proprie valutazioni sulla

conformità del sistema di controllo interno sul processo di redazione del

bilancio in base agli Standard emessi dal Public Company Accounting

Oversight Board;

3. un incremento dei poteri di regolamentazione e di vigilanza riconosciuti

alla SEC: quest’ultima infatti interviene sui due punti precedenti

attraverso una supervisione dell’organo di controllo delle società di

revisione delle public companies (Public Company Accounting

52 Cfr. Sarbanes-Oxley Act (2002), Section 302: “Corporate responsibility for financial report”. 53 Cfr. Sarbanes-Oxley Act (2002), Section 404: “Management assessment of internal control”.


30

Oversight Board) ed attraverso l’emanazione di norme di dettaglio volte

a garantire che le informazioni finanziarie divulgate dalle società

rappresentino la reale situazione economico-finanziaria, considerando

eventualmente anche tutte quelle attività che, pur essendo “fuori

bilancio”, possono incidere sugli equilibri finanziari delle public

companies54.

In definitiva, lo scopo del Sarbanes-Oxley Act è quello di proteggere gli

investitori attraverso:

• un’informativa più accurata, tempestiva, completa e comprensibile;

• un miglioramento delle regole di corporate governance;

• un rafforzamento dei controlli tramite la creazione del PCAOB;

• un incremento dell’efficacia e dell’efficienza del sistema di controllo

interno.

4. IL PIANO D’AZIONE DELL’UNIONE EUROPEA: BREVI CENNI

Il varo del Sarbanes-Oxley Act ha avuto un impatto notevole sull’apparato

normativo europeo: le imprese dell’unione europea che operano sul

territorio americano, direttamente o tramite consociate, si sono trovate

esposte ad una normativa penalizzante.

Questo è uno dei motivi che ha spinto la Commissione Europea ad emanare

un piano d’azione (pubblicato il 21 maggio 2003) per la modernizzazione

della normativa in materia di società quotate e il rafforzamento della

corporate governance nell’Unione Europea.



31

L’intervento della Commissione è volto a migliorare l’informazione e la

trasparenza sulla struttura e sul funzionamento delle società, ad

incrementare la tutela dei diritti degli azionisti e a fornire raccomandazioni

sulla riforma dei consigli di amministrazione. Più dettagliatamente le linee

evolutive percorse sono le seguenti:

• il rafforzamento dei diritti degli azionisti a tutela dei terzi nel tentativo

di garantire l’efficienza e la competitività delle imprese.

A tal fine la Commissione Europea sottolinea la necessità di

intraprendere alcune azioni tra cui: precisare la responsabilità dei

dirigenti, migliorare le disposizioni relative alla tutela dei creditori,

introdurre una regolamentazione più rigorosa in materia di pubblicità

delle informazioni per le società quotate e che fanno ricorso al pubblico

risparmio, giungere ad un quadro normativo più flessibile per le PMI

coerente con le loro dimensioni e la loro forma giuridica;

• promuovere l’efficienza e la competitività delle imprese. Per il

perseguimento di tale linea evolutiva la Commissione ha fornito un

contributo importante sottolineando la necessità di un’armonizzazione

della normativa in materia di operazioni transfrontaliere, quali

trasferimenti e concentrazioni all’interno dell’UE, nonché l’esercizio dei

diritti degli azionisti.

Il raggiungimento di questi obiettivi richiedeva l’attuazione di una serie di

iniziative comunitarie contenute nel piano d’azione che possono essere

sintetizzate qui di seguito:

• il piano suggerisce la coordinazione dei Codici dei vari Paesi comunitari

al fine di “promuovere una maggiore convergenza e lo scambio di

migliori pratiche”.


32

È necessario, pertanto, che le società garantiscano una maggiore

trasparenza in materia di governo societario, un rafforzamento dei diritti

degli azionisti, una modernizzazione nelle funzioni e nella composizione

dei consigli di amministrazione. Infine la Commissione suggerisce la

necessità di un maggiore sforzo da parte degli stati membri volto al

coordinamento delle normative nazionali sul tema del diritto societario,

della regolamentazione sui valori mobiliari, della quotazione in borsa,

dei codici e degli altri strumenti;

• l’adozione di interventi rivolti a semplificare il sistema normativo in

materia di salvaguardia e modifiche del capitale introdotto con la II

Direttiva CEE sul diritto delle società.

Quest’ultima, infatti, impone alle società per azioni un capitale sociale

minimo e contiene molteplici disposizioni, volte a tutelare gli azionisti e

i creditori, che si applicano ad esempio in caso di costituzione della

società, di aumento o riduzione del capitale sociale, di acquisizioni e

distribuzioni di azioni. La semplificazione della II Direttiva CEE,

secondo il piano, dovrebbe avvenire con riferimento a: i pareri degli

esperti in ordine alla valutazione dei conferimenti in natura, che in

determinate circostanze dovrebbero essere aboliti, l’introduzione di

azioni emesse non alla pari, le norme sull’acquisto di azioni proprie e

quelle relative all’esercizio del diritto di opzione;

• il piano inoltre prevede ulteriori interventi relativamente ai gruppi e alle

piramidi societarie: infatti è previsto l’obbligo di una maggiore

completezza e trasparenza nelle informazioni societarie, finanziarie e

non finanziarie, pubblicate sia dalle società quotate che dai gruppi,

qualora l’impresa madre non sia una società quotata.

È previsto, inoltre, l’adozione di una norma quadro per l’attuazione, a

livello di controllate, di una politica comune di gruppo che consenta ai

responsabili della gestione di una società appartenente ad un gruppo, di


33

porre in essere una politica coordinata e che, allo stesso tempo,

garantisca la salvaguardia degli interessi dei creditori.

Per ultimo, l’obbligo per le autorità nazionali di non ammettere alla

quotazione società appartenenti a strutture piramidali abusive.

• Per concludere, tenendo conto delle esigenze e delle problematiche delle

società operanti su scala transfrontaliera, il piano propone nuove forme

societarie differenziate in base al fine sociale o alla dimensione

dell’azienda55.

5. L’AUTOREGOLAMENTAZIONE INTERNAZIONALE: IL COMMITTEE OF

SPONSORING ORGANIZATIONS

I principi di corporate governance e i meccanismi di governo societario

sono ormai da diversi anni alla ricerca di modelli che garantiscano il

raggiungimento di obiettivi di legalità in modo tale da assicurare al mercato

la trasparenza e la correttezza necessarie per un suo valido funzionamento.

Negli Stati Uniti questo orientamento emerge con la pubblicazione nel 1992

del CoSo Report da parte del Committee of Sponsoring Organisations della

Treadway Commission56.

Tale Integrated Framework è divenuto uno schema di riferimento in tutto il

mondo ed è stato elaborato al fine di promuovere un concetto comune di

controllo interno e di sottolineare le responsabilità del management nella

creazione di un sistema di controllo.

55 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 45-46. 56 Il CoSo Report viene pubblicato dopo un primo schema di controllo interno elaborato dall’American Institute of Certified Public Accountant (AICPA) che nel 1988 procedette all’emanazione del SAS N° 55. L’associazione che raggruppa gli esperti contabili statunitensi descrive il controllo interno in termini di tre principali componenti: “control environment”, “accounting system”, “control procedures”.


34

La versione del 1992 intitolata “Internal Control – Integrated Framework”

da avvio agli studi operativi sul “sistema di controllo interno”,

precedentemente considerato come un elemento di programmazione e

controllo, e la sua efficacia viene indicata come uno dei requisiti di base per

raggiungere best practice.

Nel 2004 viene pubblicato un secondo report, intitolato “ERM - Integrated

Framework” che ne amplia la visione in termini di risk management e in

tale ottica, il sistema di controllo interno si configura come tutto ciò che

supporta la gestione del rischio aziendale.

L’ERM costituisce, infatti, un modello di riferimento che le aziende

possono adottare per la gestione dei rischi aziendali, esso rappresenta una

sorta di guida che fornisce indicazioni in materia e ne definisce le

componenti essenziali57.

Si configura come un sistema finalizzato non solo all’analisi dei fattori di

rischio e alla valutazione del loro impatto sulla performance aziendale, ma

anche alla creazione di valore e vantaggio competitivo, in quanto permette

un’assunzione consapevole dei rischi e una mitigazione degli eventuali

effetti negativi degli stessi58.

Nel modello ERM viene proposto uno schema valido e comprensibile per

capire e valutare i rischi all’interno dell’organizzazione. L’attenzione del

57 Tuttavia, poche aziende hanno chiaro in mente come sviluppare un processo di questo tipo e ancora meno hanno già avviato il suo sviluppo. Come si può intendere nelle parole sotto riportate di John J. Flaherty (presidente CoSo), il nuovo framework ha ritenuto di raccogliere questo testimone e di sviluppare un sentire comune in proposito. “Anche se molte persone parlano di rischio, non esiste una definizione comunemente accettata di risk management e nemmeno un modello che definisca come il processo debba funzionare, rendendo il dialogo sul rischio, tra membri del consiglio di amministrazione e management, difficile e frustrante. Il board del CoSo ha ritenuto che questa situazione fosse molto simile a quella esistente prima della pubblicazione dell’Internal Control – Integrated Framework. Così come quello studio ha reso omogeneo il parlare di controllo interno, così il nostro obiettivo è quello che l’ERM Framework offra agli amministratori ed al management un modello comunemente accettato per discutere e valutare uno sforzo aziendale in tema di risk management” (intervista a cura di C. Chapman, Internal Auditor, IIA, June 2003, pubblicata in CASANA G., “Accettabilità del rischio e raggiungimento degli obiettivi”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 15-16). 58 Cfr. J.W. De Loach, Enterprise Wide Risk Management. Financial Time-Prentice Hall, Londra, 2000.


35

management viene catalizzata sulla gestione del rischio nelle sue relazioni

con:

• la corporate governance, affinché i vertici aziendali ricevano le

informazioni necessarie per una gestione dei rischi consapevole ed

efficace;

• la misurazione delle performance, al fine di rendere disponibili misure

di ritorno economico ponderate per tenere conto del rischio;

• il sistema di controllo interno, considerato parte integrante del sistema

di enterprise risk management59.

L’ERM consente al management di affrontare in maniera efficace le

incertezze e i conseguenti rischi/opportunità, accrescendo la capacità

dell’impresa di generare valore attraverso il conseguimento dell’equilibrio

ottimale tra gli obiettivi di crescita e di redditività e i rischi conseguenti,

mediante l’impiego efficace ed efficiente delle risorse60.

Più precisamente, lo schema proposto è di valido ausilio al management nel

conseguimento dei propri traguardi operativi di reporting e di compliance e

supporta l’azienda nell’evitare danni alla propria immagine, in quanto

consente ad essa:

• l’allineamento della strategia alla propensione al rischio (risk appetite).

Il management stabilisce il grado di accettabilità del rischio per valutare

le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i

meccanismi per gestire i rischi che ne derivano;

• il rafforzamento delle decisioni di risposta al rischio.

59 Cfr. S. Beretta, Valutazione dei rischi e controllo interno, Egea Edizioni, Milano, 2004. 60 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 124.


36

L’ERM fornisce una rigorosa metodologia per l’identificazione e la

selezione, tra più risposte al rischio alternative, di quella più adeguata

(evitarlo, ridurlo, condividerlo o accettarlo);

• la riduzione degli imprevisti e delle perdite conseguenti.

Accrescendo la propria capacità di identificare eventi potenziali,

valutare i relativi rischi e formulare risposte adeguate, le aziende

riducono la frequenza degli imprevisti, così come i costi e le relative

perdite;

• l’identificazione delle opportunità.

Analizzando tutti gli eventi potenziali, il management è in grado di

identificare e cogliere in maniera proattiva le opportunità che

emergono;

• il miglioramento dell’impiego di capitale.

L’acquisizione di affidabili informazioni sui rischi consente al

management di valutare efficacemente il fabbisogno finanziario

complessivo e di migliorare l’allocazione di capitale61.

L’“ERM – Integrated Framework” ci fornisce la definizione di gestione del

rischio aziendale da intendersi come un processo, posto in essere dal

consiglio di amministrazione, dai dirigenti e da altri operatori della

struttura aziendale, utilizzato per la formulazione delle strategie in tutta

l’organizzazione, progettato per individuare eventi potenziali che possono

influire sull’attività aziendale, per gestire il rischio entro i limiti del

“rischio accettabile” e per fornire una ragionevole sicurezza sul

conseguimento degli obiettivi aziendali62.

61 Committe of Sponsoring Organisations of the Treadway Commission (CoSo), Enterprise Risk Management. Integrated Framework, settembre 2004; ed. it. a cura di AIIA e PricewaterhouseCoopers, La gestione del rischio aziendale, Milano, Il Sole 24 ore, 2006. 62 Committe of Sponsoring Organisations of the Treadway Commission (CoSo), Enterprise Risk Management. Integrated Framework, settembre 2004: “...a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”


37

Dall’analisi della definizione ne deriva che l’enterprise risk management è:

• un processo continuo che coinvolge tutta l’organizzazione e si compone

di un insieme di attività che devono essere pervasive ed integrate

all’interno del sistema di management esistente, in modo da evitare

ulteriori procedure parallele che comporterebbero un incremento dei

costi;

• svolto da persone che a tutti i livelli della struttura organizzativa

aziendale occupano posizioni che influenzano l’efficacia del processo e

che a loro volta ne sono condizionate. È importante, pertanto, una chiara

definizione delle politiche e delle linee di responsabilità da parte del

vertice aziendale, il quale deve inviare messaggi tone at the top che

conferiscano validità all’ERM e ne facciano comprendere l’importanza

a tutti i livelli organizzativi;

• utilizzato per la formulazione delle strategie: quindi oltre alla

definizione del profilo di rischio desiderato il vertice aziendale deve

modellare il contesto in cui si originano tali rischi e stabilire le politiche

di gestione degli stessi attraverso piani finanziari, disegni industriali,

attività di report, ecc.;

• applicato in tutta l’organizzazione, quindi nelle singole attività, ad ogni

livello e in ogni unità della struttura, coerentemente con una gestione del

rischio integrata che tenga conto dell’azienda nel suo complesso e che

bilanci i singoli orientamenti entro il profilo di rischio desiderato per

l’intera impresa. Esso infatti investe l’azienda a tutti i suoi livelli (Fig.

3):

- a livello aziendale complessivo (entity level);

- a livello di società controllate (subsidary);

- divisioni aziendali (division);

- unità operative (business unit);


38

• progettato per l’identificazione di eventi potenziali, ovvero quegli eventi

che potrebbero influire sull’attività aziendale. Uno dei concetti chiave

dell’ERM è quello di risk appetite, inteso come la quantità di rischio che

un’organizzazione accetta volontariamente e consapevolmente nella sua

ricerca di creazione del valore; infatti, non è da ritenersi

necessariamente sbagliata, per un’impresa, la scelta di operare in un

ambiente che sia a rischio elevato, anziché basso. È importante però, che

vi sia la consapevolezza del vertice nell’intraprendere tale scelta

strategica e che questo predisponga controlli e procedure adatti a

limitare l’impatto dei potenziali rischi.

Si tratta di un elemento che permea l’intera organizzazione, dalla

valutazione delle alternative strategiche, alla definizione di obiettivi

allineati alle scelte fatte e che, infine, deve condizionare la definizione

dei processi operativi di gestione dei rischi connessi a tali obiettivi63;

• in grado di fornire una ragionevole sicurezza al consiglio di

amministrazione e al management sul conseguimento degli obiettivi

aziendali. “Ragionevole” sicurezza poiché è implicito il fatto che gli

elementi di incertezza e di rischio si riferiscono ad un futuro impossibile

da predire con sicurezza assoluta: nella realtà i giudizi umani all’interno

dei processi decisionali possono essere sbagliati, le decisioni di risposta

ai rischi e di predisposizione dei controlli devono sempre tener conto del

rapporto tra costi e benefici, possono inoltre verificarsi disfunzioni

legate ad errori umani, possono manifestarsi collusioni tra due o più

persone e via dicendo;

• in grado di conseguire obiettivi, qui il riferimento è a una o più

categorie distinte. Gli obiettivi possono essere:

63 Cfr. CASANA G., “Accettabilità del rischio e raggiungimento degli obiettivi”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 16.


39

- strategici (strategic): ovvero quelli allineati e a supporto della

missione aziendale, sono di natura generale, vengono definiti ai

livelli più elevati della struttura organizzativa in un’ottica di lungo

periodo;

- operativi (operations): riguardano l’impiego efficace ed efficiente

delle risorse aziendali (possono essere dei più svariati ad esempio:

mantenere determinati livelli di turnover del personale, garantirne la

sua formazione, oppure obiettivi inerenti l’approvvigionamento delle

materie prime, ecc.);

- di reporting: riguardano l’affidabilità delle informazioni fornite dal

reporting;

- di conformità (compliance): riguardano il rispetto di leggi e

regolamenti in vigore, è importante pertanto la diffusione a tutti i

livelli della struttura aziendale di una cosiddetta cultura del controllo

orientata all’osservanza delle norme, delle direttive aziendali e delle

policies interne.


40

Le dimensioni dell’enterprise risk management

L’ERM è costituito da otto componenti interconnesse che derivano dal

modo in cui il management gestisce l’azienda e sono integrate con i

processi operativi.

Le sue dimensioni di analisi e quindi il rapporto tra obiettivi e componenti,

possono essere rappresentati graficamente in un cubo che mostra

chiaramente l’estrema flessibilità del modello. Esso infatti risulta

applicabile sia all’intero processo di gestione del rischio aziendale, sia ad

ogni categoria di obiettivi separatamente, alle componenti, alle singole

business unit, così come alle singole sub-unità di queste ultime (vedi Figura

3).

L’approccio ERM è quello di un modello olistico secondo il quale

l’efficacia del sistema dipende sia dal corretto funzionamento delle sue

componenti, sia dalla qualità delle relazioni che si instaurano tra di esse.

Strategic

Reporting

Operational

Compliance

Internal Environment

Objective Setting

Event Identification

Risk Assessment

Risk Response

Control Activities

Information & Comunications

Monitoring

EN

TIT

Y-L

EV

EL

DIV

ISIO

N

BU

SIN

ES

S U

NIT

SU

BS

IDIA

RY

Fig. 3


41

Il modello illustrato in figura non sembrerebbe presentare diverse analogie

con lo schema a cui fa riferimento l’“Internal Control – Integrated

Framework” del 1992; in realtà, lo schema ERM di gestione del rischio

aziendale incorpora il controllo interno, fornendo al management uno

strumento più completo.

È importante che il management e gli internal auditor comprendano che

l’ERM non è semplicemente una revisione dell’“Internal Control –

Integrated Framework”: un’organizzazione utilizzerà l’ERM per

identificare e gestire i rischi che la circondano e minacciano, mentre userà il

modello “Internal Control” per comprendere e gestire i controlli interni

quale parte integrante dell’operatività aziendale64.

Più precisamente l’ERM viene alimentato dal processo di pianificazione

strategica, che definisce la missione e gli obiettivi aziendali (objective

settings), e trova supporto nell’ambiente interno, nelle attività di controllo,

nei sistemi di informazione e comunicazione e nelle attività di monitoraggio

continuo del sistema

Risulta quindi possibile analizzare le componenti che costituiscono il

processo di risk management che si articola nelle tre fasi di:

- identificazione degli eventi (event identifications);

- valutazione del rischio (risk assessment);

- risposta al rischio (risk response)65;

scorporandole da quelle invece caratteristiche anche dei sistemi di controllo

che rivestono un ruolo di supporto all’interno del contesto:

64 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 127. 65 Nel caso in cui la risposta al rischio sia orientata ad evitare o ridurre il rischio occorrerà valutare l’adeguatezza e l’efficacia del sistema di controllo interno, che deve fornire ragionevole sicurezza sul raggiungimento degli obiettivi aziendali.


42

- ambiente interno (internal environment);

- attività di controllo (control activities);

- sistemi di informazione e comunicazione (informations &

comunications);

- monitoraggio (monitoring).

La dinamica del sistema di enterprise risk management

La figura 466 sintetizza la relazione tra sistema di controllo interno e

gestione dei rischi nell’ambito del più ampio processo di risk management.


Definizione degli obiettivi

Identificazione degli eventi

Risk Assessment

Ambiente interno

Attività di controllo

Informazione e comunicazione

Monitoraggio

Ambiente interno

Attività di controllo

Informazione e comunicazione

Monitoraggio

Pro

ce

sso

di

ge

sti

on

e d

ei

risch

iS

iste

ma d

i co

ntr

oll

o i

nte

rno

pe

r la

ri

sp

osta

al

risch

io

Sis

tem

a d

i co

ntro

llo d

el p

roces

so

d

i risk

man

ag

em

en

t

Risposta al rischio

Strategie: evitare o ridurre

Fig. 4


43

Qui di seguito illustriamo più dettagliatamente le otto componenti

dell’ERM tenendo presente che il modello non si articola secondo un

procedimento strettamente sequenziale ma si configura come un processo

interattivo e multidirezionale in cui ciascuna componente può influire su

un’altra, indipendentemente dalla sequenza in cui queste sono collocate.

1. definizione degli obiettivi (objective setting): l’ERM assicura che il

management abbia attivato un adeguato processo di definizione degli

obiettivi, di business e di governo, coerentemente con la mission

aziendale e in linea con i livelli di rischio accettabile (risk appetite);

2. identificazione degli eventi interni ed esterni all’organizzazione (event

identification): è opportuno che questi siano identificati e distinti in

opportunità (eventi con impatto positivo) e minacce (eventi con impatto

negativo); le prime devono essere considerate nella determinazione del

processo di pianificazione strategica che eventualmente andrà ridefinito,

le seconde dovranno essere opportunamente analizzate al fine di

formulare idonee strategie per un’adeguata gestione delle stesse;

3. valutazione del rischio o risk assessment: dopo una sua identificazione i

rischi devono essere valutati in termini di “significatività” in modo tale

da far sì che il management riponga la propria attenzione sugli stessi

secondo una scala di priorità a seconda della loro probabilità di futura

manifestazione e del loro impatto. I rischi vengono valutati in termini di

“inerenza” (rischio in assenza di qualsiasi intervento) e di “residualità”

(rischio residuo dopo l’attuazione di interventi per il suo

ridimensionamento);

4. risposta al rischio (risk response): una volta che sono stati selezionati i

rischi significativi, il management procede alla valutazione delle

risposte alternative relative a ciascun rischio emerso. È possibile infatti

avviare interventi per evitarlo oppure procedere ad una sua riduzione, a

una sua accettazione o ad una sua condivisione, con l’obiettivo di


44

allineare i rischi individuati con i livelli di risk tolerance e di risk

appetite;

5. ambiente interno (internal environment): è rappresentato dall’ambiente

organizzativo, da cui si comprende la filosofia del vertice aziendale

nella gestione del rischio e nella definizione dei suoi livelli di

accettabilità, la cultura del rischio e il comportamento delle persone

operanti a tutti i livelli della struttura organizzativa, lo stile manageriale,

i valori etici, le competenze, la definizione di ambiti di autorità e di

responsabilità, l’esistenza di adeguate politiche e procedure;

6. attività di controllo (control activities): è necessaria la definizione e

l’implementazione di politiche e procedure che assicurano che le

risposte al rischio siano fornite in maniera efficace attraverso la

predisposizione di efficienti ed efficaci meccanismi di controllo, ovvero

soluzioni organizzative volte al contenimento dei rischi operativi (ad

esempio, il sistema autorizzativo) e all’identificazione dei rischi effettivi

(ad esempio, sistemi che individuano le anomalie);

7. sistemi di informazione e comunicazione (information & comunication):

i sistemi informativi devono garantire l’identificazione, la raccolta e la

diffusione di informazioni e di una documentazione pertinenti in forme

e tempi che consentano ai diversi operatori aziendali il pieno

adempimento delle proprie responsabilità; per quanto riguarda le

comunicazioni, queste devono essere efficaci e fluire attraverso la

struttura organizzativa in tutte le direzioni, verso il basso, verso l’alto e

trasversalmente;

8. monitoraggio (monitoring) continuo dell’intero processo dell’ERM da

parte del management, al fine di un suo efficace e corretto

funzionamento e per garantirne l’adeguatezza nel processo di gestione

dei rischi aziendali, in relazione alle ripetute evoluzioni del contesto

interno ed esterno all’impresa.


45

Le otto componenti appena illustrate non possono funzionare tutte in

maniera identica in qualsiasi organizzazione, è necessario, pertanto, tener

conto della specifica realtà aziendale con le sue peculiarità interne e il

contesto esterno in cui questa si colloca.

A seconda della dimensione dell’impresa potremo avere l’applicazione di

un modello ERM meno formale, questo accade tipicamente nelle imprese di

piccola e media dimensione, è importante comunque ai fini dell’efficacia

del processo di risk management che ciascuna delle componenti sia

presente e funzioni correttamente.

Possiamo concludere precisando che la responsabilità primaria

dell’implementazione del processo ERM non spetta alla Funzione di

Internal Audit, che comunque gioca un ruolo di primaria importanza in tale

processo, bensì all’alta direzione che ne ha la responsabilità ultima e ne

assume la paternità. Il consiglio di amministrazione svolge un importante

ruolo di supervisione del processo di gestione del rischio aziendale e

contribuisce a determinare il livello di risk appetite, il management, infatti,

promuove la filosofia di gestione del rischio e l’osservanza del livello di

rischio accettabile e gestisce i rischi relativamente alla sua sfera di

responsabilità coerentemente con i livelli di rischio tollerato (risk

tolerance)67.

67 Il ruolo caratteristico dell’internal auditing nell’ambito del modello ERM consiste nello svolgimento per il Board, di attività di assurance sull’efficacia del processo ERM nell’organizzazione, allo scopo di garantire che i principali rischi aziendali vengano gestiti adeguatamente e che il sistema di controllo interno funzioni in maniera efficace. Nel determinare il ruolo dell’internal auditing, il Preposto al controllo interno deve tener conto di due fattori essenziali: accertare se l’attività comprometta l’indipendenza e l’obiettività degli internal auditor e verificare con quale grado di probabilità essa possa migliorare i processi di gestione dei rischi, di controllo e di governance dell’organizzazione. Il Position Paper dell’IIA specifica le funzioni che l’internal auditor deve svolgere e quelle dalle quali, invece, deve astenersi nell’ambito del processo di ERM. In particolare, le principali attività svolte sono: • Attività di assurance sui processi di gestione dei rischi aziendali. • Attività di assurance sul processo di valutazione dei rischi. • Valutare i processi di gestione dei rischi aziendali. • Valutare il sistema di reporting dei rischi principali. • Attività di review sulla gestione dei principali rischi aziendali.


46

6. IL CONTESTO NORMATIVO ITALIANO

6.1. LA NORMATIVA SOCIETARIA

La riforma del diritto societario e i nuovi dettami del Codice Civile (D.Lgs.

6/2003 e successivi decreti correttivi) hanno previsto una riforma organica

della disciplina concernente le società di capitali (e le società cooperative)

tanto che oggi è possibile parlare di un disegno di corporate governance

anche per tutte quelle società che, sebbene non quotate, adottino come

forma giuridica quella di società per azioni68.

La “Riforma organica della disciplina delle società di capitali e società

cooperative” ha ridisegnato il ruolo ed i compiti degli organi societari

Tra le legittime attività dell’internal auditing nell’ERM che necessitano di maggiore cautela si annoverano: • Facilitare l’individuazione e la valutazione dei rischi. • Assistere il management nell’affrontare i rischi. • Coordinare le attività nell’ambito del processo ERM. • Integrare il sistema di reporting dei rischi. • Mantenere e sviluppare la struttura del modello ERM. • Favorire l’implementazione del modello ERM • Sviluppare la strategia di gestione dei rischi per l’approvazione del Board. Infine, tra le attività che l’internal auditor non deve svolgere vi sono:

• Determinare il grado di propensione al rischio. • Imporre l’adozione di processi di gestione dei rischi. • Svolgere attività di “management assurance” su singoli rischi. • Prendere decisioni riguardo alle azioni da intraprendere per fronteggiare i rischi. • Attuare misure di contenimento del rischio per conto del management. • Assumere responsabilità nella gestione dei rischi.

Le organizzazioni dovrebbero essere pienamente consapevoli del fatto che la gestione dei rischi resta di esclusiva responsabilità del management. Gli internal auditor dovrebbero fornire consigli e discutere criticamente o sostenere le decisioni assunte dal management riguardo ai rischi; non dovrebbero invece prendere decisioni sulla loro gestione. La natura della responsabilità dovrebbe essere precisata nel Mandato di audit e approvata dall’Audit Committee. Cfr. IIA, “Il ruolo dell’Internal Auditing nell’Enterprise-wide Risk Management”, Settembre 2004. 68 Negli anni precedenti la riforma degli aspetti in tema di corporate governance riguarda le imprese emittenti titoli quotati per cui veniva applicata la normativa disciplinata dal TUF e i relativi regolamenti attuativi. Tali imprese infatti hanno visto negli anni modificare e perfezionare il loro sistema di amministrazione e controllo.


47

amministrativi e di controllo, caratterizzandoli e differenziandoli in

relazione alle quattro funzioni di base individuate dalla riforma stessa:

l’amministrazione, il controllo sulla gestione, l’approvazione del bilancio

ed il controllo contabile.

Per quanto riguarda le società per azioni il legislatore ha ritenuto opportuno

individuare elementi distintivi riconducibili alle modalità di circolazione del

capitale, da cui deriva una suddivisione tra:

- società che non fanno ricorso al mercato del capitale di rischio

(cosiddette chiuse);

- società che fanno ricorso al mercato del capitale di rischio, ulteriormente

distinguibili in società emittenti azioni quotate in mercati regolamentati

e società emittenti strumenti finanziari diffusi tra il pubblico in misura

rilevante (art 2325 bis c.c.).

Le disposizioni del Codice civile si riferiscono a tutte le società per azioni e

per quelle facenti ricorso al mercato del capitale di rischio sono previste

disposizioni legislative aggiuntive, giustificate dalla volontà di garantire

una maggiore salvaguardia ai creditori, ai terzi e agli investitori (effettivi o

potenziali), riconducibili con le disposizioni del TUF e le integrazioni

fornite attraverso la normativa secondaria di settore.

Con il TUF si è posta particolare attenzione sull’effettiva tutela delle

minoranze azionarie, rivitalizzando il loro ruolo e rafforzando le difese

endosocietarie, attraverso una più marcata specializzazione dei ruoli dei

soggetti deputati ai controlli societari.

Le principali direttrici attraverso il quale il TUF è intervenuto riguardano69:

- il rafforzamento delle minoranze azionarie;



48

- il rafforzamento dei poteri di vigilanza e di intervento della CONSOB

anche nei confronti del collegio sindacale;

- l’introduzione di una netta separazione di ruoli tra collegio sindacale e

società di revisione (in relazione a quest’ultimo aspetto il TUF ha

attribuito al collegio sindacale il controllo sull’amministrazione, e alla

società di revisione, in via esclusiva, il controllo contabile, puntando ad

una riqualificazione del ruolo e a un rafforzamento dei poteri

dell’organo di controllo interno, con un aumento di efficacia e di

efficienza del controllo stesso).

I principi ispiratori della riforma del diritto societario che hanno avuto un

rilevante impatto nella ridefinizione delle strutture di governance delle

società per azioni e delle attività di controllo su di esse sono70:

- la creazione di una netta distinzione tra “soggetti gestori” e “soggetti

controllori”, mediante la puntuale individuazione dei ruoli e delle

funzioni effettivamente svolte dai diversi soggetti coinvolti nelle

strutture di governance;

- il ruolo affidato all’autoregolamentazione. Sono stati previsti ampi spazi

per le forme di autoregolamentazione che investono l’attività sociale,

già a partire dalla scelta dei diversi modelli di amministrazione e

controllo.

In particolare, è stato previsto (artt. 2409 octies e 2409 sexiesdecies c.c.)

che le società possono scegliere, tramite previsione statutaria, il proprio

modello organizzativo, optando quindi per il modello tradizionale (o

ordinario) con un consiglio di amministrazione come organo di gestione e il

collegio sindacale con funzioni di controllo di legalità e di corretta



49

amministrazione, o un modello dualistico con rispettivamente un consiglio

di gestione ed un consiglio di sorveglianza oppure un modello monistico

con un cda ed un comitato per il controllo sulla gestione (nominato stavolta

nell’ambito del cda anziché, come invece è previsto per gli organi di

controllo degli altri due modelli, nominati dall’assemblea dei soci)71. Tale

scelta si pone l’obiettivo di favorire la competitività delle imprese, sia nel

contesto nazionale che internazionale.

Indipendentemente dal tipo di modello adottato la riforma ha delineato

modelli di governance orientati a una ripartizione delle competenze tra gli

organi di controllo e gli organi di amministrazione.

Nelle società per azioni, quindi, saranno le scelte imprenditoriali a definire

l’architettura dei controlli e quindi i soggetti incaricati dello svolgimento di

funzioni di controllo contabile (revisore esterno “persona fisica”, “società di

revisione” oppure revisore “interno” alla società) e i soggetti cui competono

funzioni di controllo sull’attività amministrativa e gestionale (collegio

sindacale, Comitato per il controllo sulla gestione, Consiglio di

sorveglianza)72.

Va precisato che la riforma, pur trattando tematiche inerenti alle attività di

controllo societario, non ha affrontato il tema del ruolo della Funzione di

Internal Audit. Ciò era del resto prevedibile, visto che, nel contesto italiano,

la scelta dell’istituzione di tale Funzione non risulta ancora un obbligo di

legge, ma è demandata alla volontà della singola società, pur essendo

71 La scelta del modello di amministrazione e controllo deve essere espressa nello statuto societario, che, se nulla dispone, rende automaticamente applicabile il modello tradizionale, affidando così i controlli sulla corretta gestione d’impresa al collegio sindacale e i controlli contabili a un revisore esterno (sia esso persona fisica o società di revisione). Una previsione statutaria può prevedere che, per le società che non fanno ricorso al mercato del capitale di rischio e che non siano tenute alla redazione del bilancio consolidato, il controllo contabile può essere esercitato dal collegio sindacale, costituito in tal caso da revisori contabili (art 2409 bis c.c.). 72 Il controllo contabile sulla società è esercitato prevalentemente da un revisore esterno (persona fisica o società di revisione) che dovrà essere iscritta al Registro dei revisori contabili. Nelle società che fanno ricorso al mercato del capitale di rischio il controllo contabile è esercitato da una società di revisione iscritta nell’Albo CONSOB e soggetta a vigilanza da parte della stessa.


50

comunque fortemente consigliata73 (soprattutto per le società quotate, anche

alla luce di quanto previsto dal Codice di Autodisciplina di Borsa Italiana

Spa).

6.2. IL D. LGS 58/1998, TESTO UNICO DELLA FINANZA

Il “Testo Unico delle disposizioni in materia di intermediazione finanziaria”

denominato anche Testo Unico della Finanza o Legge Draghi, affronta il

tema del controllo interno in modo rilevante, relativamente ai soggetti

italiani o esteri che emettono strumenti finanziari quotati nei mercati

regolamentati italiani.

L’obiettivo è quello di garantire la tutela degli investitori e il buon

funzionamento del sistema finanziario, attraverso il rispetto dei principi di

trasparenza e correttezza dei comportamenti.

All’art. 21 il TUF dispone che “nella prestazione di servizi di investimento

e accessori i soggetti abilitati devono: [...] disporre di risorse e procedure,

anche di controllo interno, idonee ad assicurare l’efficiente svolgimento dei

servizi”.

Il Testo Unico oltre a disciplinare la materia dell’intermediazione

finanziaria, la prestazione dei servizi di investimento e la disciplina dei

mercati finanziari, dedica la Parte IV anche alla disciplina degli emittenti

quotati, per i quali introduce importanti novità e principi in materia di

corporate governance.

In particolare, all’art 150 il TUF prevede che il collegio sindacale e la

società di revisione si scambino tempestivamente i dati e le informazioni

rilevanti per l’espletamento dei rispettivi compiti. Inoltre, coloro che sono

73 Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 46.


51

preposti al controllo interno riferiscono anche al collegio sindacale di

propria iniziativa o su richiesta anche di uno solo dei sindaci.

Da qui si comprende come il D. Lgs. 58/1998, nella definizione del sistema

di governance per i soggetti suddetti, attribuisca un’importanza

fondamentale al costante scambio di informazioni tra tutti gli organi sociali

preposti al controllo, ovvero tra amministratori, collegio sindacale, società

di revisione e Preposto al controllo interno.

Con il TUF, inoltre, viene introdotto per la prima volta nella legislazione

italiana l’espressione sistema di controllo interno, pur in assenza di una

definizione di tale concetto e di una disciplina dello stesso.

Il concetto di controllo interno viene legato all’attività del collegio

sindacale, infatti l’art. 149 dispone che spetta al collegio sindacale vigilare

[...] sull’adeguatezza della struttura organizzativa della società per gli

aspetti di competenza del sistema di controllo interno e del sistema

amministrativo contabile nonché sull’affidabilità di quest’ultimo nel

rappresentare correttamente i fatti di gestione.

Il legislatore attraverso il TUF pone le basi affinché la regolamentazione di

settore e l’autoregolamentazione dei singoli emittenti quotati fissino il

quadro d’insieme delle regole concernenti il buon governo societario. È

quindi attraverso importanti disposizioni attuative (tra cui il Regolamento

emittenti della CONSOB, il Codice di Autodisciplina di Borsa Italiana, che

vedremo in seguito e le linee guida fornite dalle associazioni di categoria)

che vengono introdotti e compiutamente disciplinati i capisaldi della

governance degli emittenti quotati e del loro sistema di controllo interno.

Il riferimento del D. Lgs. 58/1998 alla normazione secondaria risulta in

generale molto ricorrente. In tale ambito molti dei principi che regolano il

sistema di corporate governance trovano origine nella regolamentazione

primaria da cui poi scaturisce una regolamentazione di settore deputata ad

emanare norme puntuali e in linea con i sistemi di mercato, trovando,

infine, concreta applicazione attraverso linee guida e codici di condotta, che


52

in via autoregolamentare, costituiscono lo scheletro su cui poggia l’insieme

delle regole di corporate governance74.

6.3. LA LEGGE SULLA TUTELA DEL RISPARMIO (LEGGE 28 DICEMBRE 2005, N.

262)

La legge 262/2005 “Disposizioni per la tutela del risparmio e la disciplina

dei mercati finanziari” ha introdotto numerose novità che hanno comportato

modifiche al Testo Unico sulla Finanza, al Testo Unico Bancario e al

Codice Civile.

Tale disposizione si configura come il frutto di un’indagine conoscitiva

avviata dal Parlamento che ha individuato ed analizzato gli elementi critici

nei rapporti tra i vari soggetti pubblici e privati che interagiscono nel

sistema economico-finanziario.

In particolare, riguardo alla disciplina delle società per azioni, l’indagine ha

evidenziato i limiti di un assetto di governo societario troppo incentrato

sulla regolamentazione dei rapporti tra azionisti e amministratori, che ha

determinato un sistema non in grado di garantire un’autentica dialettica

interna tra il socio di controllo e gli altri detentori di interessi, quali

azionisti di minoranza, investitori e risparmiatori, ritenuta indispensabile

per il buon andamento dell’impresa75.

La “Legge sul Risparmio” è stata considerata per molti aspetti la risposta

italiana al Sarbanes Oxley Act americano, sia per i motivi che ne hanno

ispirato la realizzazione (tra cui le crisi finanziarie di importanti emittenti

quotati e il delicato rapporto tra questi, i risparmiatori e gli investitori

74 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 58. 75 Cfr. RINALDI A., “Riforma del risparmio, analisi delle implicazioni e dell’impatto sui sistemi di governo aziendale”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006 p. 16.


53

istituzionali), sia per le disposizioni contenute. Numerose sono le novità

introdotte in tema di governance societaria che hanno avuto impatto sulle

società rientranti nell’ambito di applicazione del TUF, tra cui in

particolare76:

- l’introduzione di particolari tutele delle minoranze all’interno dei

Consigli di Amministrazione delle società e dei Collegi Sindacali;

- una maggiore trasparenza e controllo sulle società estere controllate,

controllanti o collegate di società italiane quotate o con strumenti

finanziari diffusi fra il pubblico, con sede in quei paesi dove non è

sufficientemente tutelata la trasparenza societaria;

- obblighi in materia di informativa annuale sull’adesione a codici di

comportamento77;

- nuovi obblighi in materia di informativa societaria, con particolare

riguardo all’istituzione di una nuova figura, il Dirigente preposto alla

redazione dei documenti contabili e societari, deputata alla

predisposizione di adeguate procedure amministrative e contabili per la

redazione dei bilanci di esercizio e consolidato, se previsto, e con

l’obbligo di fornire nuove attestazioni sull’adeguatezza e sull’effettiva

applicazione di tali procedure, da allegare ai bilanci78;

76 Cfr. “Notizie dall’Italia. Informazione e novità”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2006 p. 53. 77 In merito all’adesione ai codici di comportamento redatti da società di gestione dei mercati regolamentati o da associazioni di categoria, le società sono chiamate a redigere annualmente una dichiarazione di adesione a tali codici. Nel redigere la dichiarazione le società devono anche motivare le ragioni di eventuali inosservanze o della mancata applicazione delle disposizioni contenute nei codici stessi. 78 L’art. 154 bis 1° comma del TUF, dispone che lo statuto preveda i requisiti di professionalità e le modalità di nomina di un dirigente preposto alla redazione dei documenti contabili societari, previo parere obbligatorio dell’organo di controllo. Le principali funzioni che gli sono state attribuite dalla normativa sono: - dichiarare per iscritto (con firma congiunta a quella del Direttore Generale) la veridicità dei

documenti contabili societari obbligatori per legge o diffusi al mercato contenenti informazioni sulla situazione economica, finanziaria e patrimoniale della società (art 154 bis 2° c. del TUF);


54

- nuove disposizioni in materia di revisione dei conti e incompatibilità

con altri servizi di consulenza resi dalla società di revisione e dalle

entità appartenenti alla rete della medesima.

6.4. IL D. LGS. 231/2001: LA RESPONSABILITÀ AMMINISTRATIVA DELLE

PERSONE GIURIDICHE E LA COMPATIBILITÀ CON L’ATTIVITÀ DI INTERNAL

AUDITING

Come già anticipato nelle pagine precedenti, l’impianto normativo del D.

Lgs. 231/2001 va ricondotto al Foreign Corrupt Practices Act statunitense,

di cui per certi versi rappresenta una trasposizione nazionale79.

Il decreto legislativo in questione riconosce una responsabilità

amministrativa di tipo parapenale in capo all’ente, persona giuridica, se in

esso viene accertata la commissione di un reato nell’interesse o a vantaggio

dell’ente stesso da parte di un soggetto che riveste “funzioni di

rappresentanza, di amministrazione o di direzione dell’ente o di una sua

unità organizzativa dotata di autonomia finanziaria e funzionale80”, o da

parte di un soggetto che eserciti di fatto funzioni di gestione e controllo per

l’ente stesso.

Le tipologie di reato previste dal D. Lgs. 231/2001 e successive integrazioni

possono essere sintetizzate nelle seguenti:

- istituire adeguate procedure amministrative e contabili per la predisposizione del bilancio di

esercizio e consolidato, nonché di ogni altra comunicazione di carattere finanziario (art 154 bis 3° c. del TUF);

- attestare, con apposita relazione (da redigere unitamente all’Organo Amministrativo) da allegare al bilancio di esercizio e consolidato l’adeguatezza e l’effettiva applicazione delle procedure, nonché la corrispondenza del bilancio alle scritture contabili (art 154 bis 4° c. del TUF).

La sua istituzione è obbligatoria per le società quotate in mercati regolamentati italiani o dei Paesi membri dell’UE, mentre rimane volontaria relativamente alle società non quotate. 79 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 59. 80 Cfr. Art. 5 “Responsabilità dell’ente”, D. Lgs. 231/2001.


55

- delitti contro la pubblica amministrazione (artt. 24-25), ovvero

corruzione di pubblico ufficiale, concussione, malversazione, truffa,

frode informatica a danno dello Stato o di altro Ente pubblico;

- delitti contro la fede pubblica (art. 25 bis), ovvero falsità in monete, in

carte di pubblico credito e in valori di bollo;

- reati societari (art. 25 ter), ovvero false comunicazioni sociali, false

comunicazioni sociali in danno dei soci o dei creditori, falso in

prospetto, impedito controllo, illecita influenza sull’assemblea,

aggiotaggio, ostacolo all’esercizio delle funzioni delle autorità

pubbliche di vigilanza, illecite operazioni sulle azioni o quote sociali o

della società controllante, operazioni in pregiudizio dei creditori;

- delitti in materia di terrorismo e di eversione dell’ordine democratico

(art. 25 quater);

- delitti contro la personalità individuale (art. 25 quinques).

Tale decreto ha radicalmente capovolto uno dei capisaldi del diritto penale

nazionale, ovvero il principio secondo cui “societas delinquere non

potest”81, avviando, pertanto, una profonda rivisitazione in termini

organizzativi e procedurali in tutti gli enti tenuti ad osservare le disposizioni

in esso contenute.

Affinché l’impresa risulti immune dalla possibile applicazione di una

misura cautelare (o di una delle sanzioni previste dal D. Lgs. 231/2001),

essa deve “adottare ed efficacemente attuare” una serie di prescrizioni volte

a prevenire il rischio della commissione dei reati precedentemente

summenzionati.

In particolare, ampia rilevanza è stata attribuita ai modelli organizzativi

(cosiddetti “salvaimprese”) che costituiscono un’esimente nel caso in cui si

manifestino i reati elencati dal decreto e che rappresentano, soprattutto, la

81 Cfr. SACRESTANO A., “Dipendenti, reati da prevenire.”, Il sole 24 ore. Norme e tributi., Lun. 14 Maggio 2007 – n. 131.


56

base di un sistema strutturato e organico volto a prevenire la commissione

di tali reati82.

L’attenzione verso tali modelli, condizionata anche da una rilevante

disciplina sanzionatoria, ha chiaramente comportato una puntuale

riorganizzazione e formalizzazione di prassi operative e consuetudini a

beneficio dell’intera organizzazione aziendale.

Una volta messo in atto un modello di organizzazione e gestione idoneo a

prevenire le fattispecie delittuose integrate e istituito un “Organismo di

vigilanza ex 231/2001”, l’ente sarà esente da responsabilità qualora provi

che le persone responsabili abbiano commesso il fatto integrante il reato

eludendo fraudolentemente i modelli predisposti e che l’organismo deputato

alla vigilanza su di essi non abbia omesso di vigilare o non abbia vigilato in

maniera insufficiente.

Questi modelli, la cui adozione – va ricordato – costituisce per la società

non un obbligo, ma una mera facoltà83, si presentano sotto molteplici aspetti

affini ai sistemi di controllo interno; d’altro canto, l’attività di vigilanza a

cui sono soggetti sembra poter essere ricompresa tra quelle di competenza

della Funzione di Internal Audit che potrebbe rappresentare la figura ideale

di organo di vigilanza o comunque esercitare un supporto alle attività

inerenti.

In particolare, ai sensi dell’art 6 2° comma, sono specificate le singole

funzioni che il modello in questione deve essere capace di espletare84,

82 Dispone infatti il comma 1° dell’art. 6, D. Lgs. 231/2001, che, l’ente può essere esonerato dalla responsabilità qualora dimostri in primo luogo che, prima della commissione del fatto, l’organo dirigente che ne è al vertice abbia adottato ed efficacemente attuato dei modelli di organizzazione e gestione idonei a prevenire le fattispecie delittuose integrate. Deve essere poi previsto sempre dall’organo dirigente un organismo dotato di autonomi poteri di iniziativa e di controllo che abbia il compito di vigilare sull’osservanza dei modelli adottati e di provvedere al loro aggiornamento. 83 Cfr. MAGNATE P., “Modelli per la prevenzione della responsabilità delle imprese”, Contabilità, finanza e controllo, n. 5/2005, p. 452, ove si rileva la natura premiale alla base della disciplina scaturente dagli artt. 6-7 del decreto in questione. 84 L’art 6 2° c. dispone che i modelli di organizzazione e di gestione idonei a prevenire reati devono rispondere alle seguenti esigenze: a) individuare le attività nell’ambito delle quali possono essere commessi i reati; b) prevedere protocolli in base ai quali programmare la formazione e l’attuazione delle decisioni

relative ai reati da prevenire;


57

queste devono essere poste in essere da una struttura che sia idonea, che

abbia perciò una collocazione stabile nelle infrastrutture aziendali, che

impieghi personale, che operi in maniera procedimentalizzata e continua85.

A tal riguardo la Funzione di Internal Audit potrebbe sembrare

assolutamente idonea con quanto fin qui detto, poiché essa risponde ai

requisiti richiesti dal legislatore di autonomia operativa, continuità di

azione, competenza tecnica, integrazione nella struttura organizzativa,

accesso alle informazioni ed indipendenza.

In aggiunta, il modello prescritto sembra compatibile con il sistema di

controllo interno descritto in economia aziendale e ripreso dalle normative

regolamentari cui sono soggette le società operanti – in veste di intermediari

o in quanto emittenti – nei mercati finanziari, rientrando quindi nel campo

di applicazione della Funzione di Internal Audit.

Inoltre, prendendo in considerazione la funzione precipua cui sono volti i

modelli, ovvero l’individuazione e la prevenzione di reati, è possibile

constatare come essa, in sostanza si concretizzi in un’attività di controllo

volta ad assicurare il rispetto di alcune norme di carattere penale, in capo ai

soggetti che sono parte integrante della struttura aziendale.

Più precisamente, essa appare assimilabile ad un’attività di individuazione e

gestione del rischio, ove il rischio in questione è rappresentato dalla

mancata compliance ad una normativa vincolante, che può tradursi in un

costo rilevante per l’impresa o addirittura nello stesso venir meno di alcune

sue attività produttive (ad esempio sanzioni interdittive quali il divieto di

contrattare con la Pubblica Amministrazione, oppure la revoca di una

concessione, ecc.).

c) individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la

commissione dei reati; d) prevedere obblighi di informazione verso l’organismo deputati a vigilare sul funzionamento e

l’osservanza dei modelli stessi; e) introdurre un sistema disciplinare tramite il quale sanzionare il mancato rispetto delle misure

che sono indicate nel modello. 85 Cfr. CARNA A. R. “La responsabilità amministrativa degli enti. Aspetti economico aziendali.”, Rivista italiana di ragioneria e di economia aziendale, Lug-Ago 2004, p 446.


58

Se procediamo ad esaminare le singole attività che l’art. 6 2° c. attribuisce

al modello organizzativo, vediamo come esse corrispondono ai diversi

momenti che scandiscono un ciclo di risk assessment, quindi di una delle

principali attività di competenza del personale addetto al controllo interno86:

- Innanzitutto è prevista, all’art. 6, 2° c. lett. a, una fase in cui, esaminate

le caratteristiche delle attività d’impresa, sono identificate le aree di

rischio, cioè quelle in cui i reati in questione hanno maggiore probabilità

di prodursi. Nel formulare questo giudizio nella loro attività

criminogena si dovrà tenere conto anche delle attività di controllo

interno che sono operanti nelle singole aree.

- In secondo luogo, all’art. 6, 2° c. lett. b, è disposto che siano elaborate

delle normative interne atte ad imprimere il carattere di continuità e

regolarità a tale attività di monitoraggio ed alla progettazione di misure

volte a contrastare i rischi emersi. È questa la fase in cui sono ideate e

pianificate le contromisure volte a contenere i rischi preventivati, le

quali dovranno facilitare la documentazione delle attività aziendali,

apportare coerenza nei processi gestionali e nella ripartizione dei poteri

e delle competenze, nonché disporre uno svolgimento dei controlli

regolare e procedurale.

- Questi interventi correttivi interesseranno per forza anche la gestione

delle risorse, anche solo per assicurare all’attività di individuazione e

gestione del rischio gli strumenti necessari (art. 6, 2° c. lett.c).

- Infine, ai sensi del comma 2° dell’art. 6 lett. d, deve essere predisposto

un apposito sistema disciplinare che consenta di intervenire sanzionando

chi trasgredisca alle prescrizioni elaborate. A tal fine, devono essere

adottai dei protocolli interni che, oltre a un sistema di sanzioni coerente

e adeguato, contengano la disciplina delle procedure da seguire

86 Cfr. MAGNATE P. “Modelli per la prevenzione della responsabilità delle imprese”, Contabilità, finanza e controllo, n. 5/2005.


59

nell’esecuzione di determinate attività aziendali e prevedano una serie di

indicatori di pericolo, la cui verificazione dia impulso ai controlli o alla

diretta irrogazione delle sanzioni.

Se i modelli da adottare possono essere fatti rientrare nel sistema di

controllo interno, è parimenti possibile riscontrare evidenti affinità tra

l’organismo preposto alla vigilanza su tali modelli e la Funzione di Internal

Audit. Tale corrispondenza è evidente con riferimento alle attività sottese

alla funzione di cui l’organismo è investito, queste consistono in un tipico

monitoraggio sulla compliance, quale quelli di competenza dei revisori

interni, che nel momento in cui investono tutto il sistema dei controlli

interni, possono benissimo includere anche le unità di controllo predisposte

al fine di escludere la responsabilità amministrativa della società.

Inoltre, all’organo di vigilanza spetta una valutazione periodica dei modelli

adottati, al fine di saggiarne l’efficienza e la reale capacità di prevenire i

rischi derivanti dalla commissione dei reati. In seguito al riscontro di

eventuali carenze funzionali, spetta sempre all’organismo di vigilanza

formulare delle proposte di modifica dei modelli organizzativi, volte ad

implementare l’efficienza e ristabilire così un livello di rischio accettabile.

Anche in questo caso, l’analogia con l’internal auditing è palese: l’attività

monitoria in esame coincide in sostanza con l’operational audit.

In definitiva, l’attività di vigilanza ex art. 6 sembra poter ricalcare un vero e

proprio ciclo di audit: sia per quanto concerne l’attività in esame,

consistenti in azioni di monitoraggio sulla compliance o sull’efficienza

delle operazioni aziendali; sia in riferimento alle attribuzioni dell’organo di

vigilanza; sia infine per la necessità (non espressamente richiamata dalla

norma) di trasmettere all’organo di vertice della società il report contenente

le conclusioni e le contromisure formulate per aggiornare i modelli

organizzativi.


60

Se la società dispone di un comitato per il controllo interno, questo potrebbe

essere l’organo che, come vedremo nelle pagine successive, meglio di tutti

sintetizza in se stesso le caratteristiche di collegialità, indipendenza e

collocazione ai vertici della gerarchia societaria. Tale organo essendo eletto

in via preferenziale a vertice della Funzione di Internal Audit potrebbe

valersi dei revisori interni per effettuare un più penetrante monitoraggio sui

modelli organizzativi, potrebbe ricevere i report dal team di Internal Audit

in merito alla compliance e all’efficienza degli stessi, potrebbe fare valere

le risultanze della vigilanza direttamente presso il consiglio di

amministrazione, nonché ivi proporre, discutere e deliberare le opportune

azioni migliorative87.

6.5. L’AUTOREGOLAMENTAZIONE IN ITALIA

Il mantenimento della fiducia degli investitori in presenza di mercati

finanziari efficienti e dinamici dipende principalmente dalla qualità della

gestione e dalla trasparenza e correttezza delle informazioni sull’andamento

economico-finanziario dell’azienda, soprattutto per le società quotate nei

mercati regolamentati.

Ad oggi, infatti, uno degli elementi indispensabili per la competitività

aziendale è rappresentato dal conseguimento di una piena trasparenza

informativa, che di fatto può essere soltanto in parte ottenuta mediante

un’adeguata regolamentazione in materia contabile.

Quest’ultima, infatti, per la natura stessa del bilancio e la soggettività dei

processi di valutazione che ne sono all’origine, consente agli operatori di

godere di un ampio margine di discrezionalità che può facilmente sfociare,

87 PARMEGGIANI F. “I modelli di controllo prescritti dal D. Lgs. 231/01 in materia di responsabilità amministrativa delle società.”, Marzo 2007.


61

in assenza di un valido sistema di controllo interno, in una distorsione nella

gestione dei dati, delle informazioni e dei risultati aziendali.

Da ciò deriva che la durevole continuità dell’azienda e il rafforzamento

delle sue condizioni di equilibrio, possono essere garantiti unicamente da

comportamenti etici posti in essere dalla stessa organizzazione. I valori etici

appartengono soltanto alla persona e non possono essere alimentati

attraverso nuove leggi: possono essere soltanto stimolati e incoraggiati dalle

autorità, dagli operatori aziendali e dal mercato88.

È implicita, dunque, l’affermazione all’interno della struttura organizzativa,

di una cultura volta all’adozione di comportamenti virtuosi e al costante

miglioramento dei flussi informativi, contemperando adeguatamente e

simultaneamente regole e Codici di Autodisciplina.

Gli investitori, anche internazionali, devono poter facilmente identificare le

principali caratteristiche delle aziende e comprendere le legittime

motivazioni di eventuali disallineamenti con le best practice.

Si è affermato quindi, il principio secondo cui, in mercati caratterizzati da

un’elevata mobilità internazionale dei capitali, l’introduzione di regole

appropriate che accrescano la fiducia degli investitori, senza per questo

costituire elementi di rigidità, rappresenta un fattore competitivo strategico

per ogni Paese89.

Come già accennato in precedenza, il TUF ha segnato un primo importante

passo verso un mutamento nell’approccio alle tematiche della corporate

governance; esso, infatti, contiene numerosi rinvii di legge, espliciti o

impliciti90, alla normativa secondaria e di autoregolamentazione,

88 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 63. 89 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 64. 90 Per “autoregolamentazione esplicita” devono intendersi tutti gli spazi che espressamente individuati dalle norme primarie e secondarie, devono essere regolamentati attraverso forme di autodisciplina (ad esempio: artt. 2367 c.c. e ss. in merito alla convocazione dell’assemblea, la sua costituzione, la validità delle deliberazioni ecc.).


62

assegnando di volta in volta, alle Authority di settore compiti di vigilanza

regolamentare e, all’autonomia dei privati diverse possibilità di

autoregolamentazione.

Infatti, è a partire dalla riforma del TUF che nel nostro paese si è avviato

tale processo di delegiferazione in materia di corporate governance,

processo che ha riservato alla legge soltanto la determinazione dei principi,

la disciplina delle regole più rilevanti e l’allocazione dei poteri, lasciando

conseguentemente ampi spazi all’autonomia statutaria.

La ratio di tale impostazione è la ricerca “dal basso” dell’assetto normativo

più adeguato alle diverse realtà operative, indirizzandosi verso forme di

autoregolamentazione idonee a garantire una corretta ed efficiente gestione

imprenditoriale, senza, però, entrare nel dettaglio delle diverse fattispecie

socio-aziendali.

La normativa concernente la corporate governance, non riveste unicamente

forma di legge, ma individua come norme giuridiche vincolanti soltanto dei

principi generali, rinviando poi agli enti di categoria il compito di

determinare le norme attuative di comportamento e lasciando all’autonomia

privata la facoltà di strutturare al meglio la propria governance.

Oltre alla “trasparenza” di cui abbiamo già accennato all’inizio del

paragrafo, i principi base su cui è improntato tale framework normativo

sono costituiti dalla “flessibilità”, in quanto le norme di comportamento

attuative risultano più facilmente e rapidamente adattabili, sia nel tempo (al

variare delle esigenze), sia nello spazio (di settore in settore, di caso in

caso) e dalla “libertà di organizzazione”, lasciando alle imprese la

Per “autoregolamentazione implicita” debbono intendersi tutti quei rinvii a forme di autoregolamentazione che, ancorché non specificatamente contemplati da normativa primaria e secondaria, trovano comunque applicabilità nell’ambito dell’ordinamento. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 67.


63

possibilità di “personalizzare” il proprio modello di governo societario in

base alle proprie specifiche caratteristiche ed esigenze91.

Ad oggi, le disposizioni regolamentari in tema di corporate governance

delle Autorità di vigilanza (Ministero dell’Economia e delle Finanze,

CONSOB, Banca d’Italia, ISVAP) e di gestione dei mercati regolamentati

(Borsa Italiana) sono molteplici.

Tra i numerosi codici di autoregolamentazione e linee guida di origine varia

emanati soprattutto da diverse associazioni di categoria, il Codice di

Autodisciplina di Borsa Italiana delle società quotate rappresenta per la sua

rilevanza e pervasività, un caso a sé, anche in relazione al peso economico

delle realtà aziendali in cui trova applicazione.

L’adesione a tali forme di autoregolamentazione è volontaria, secondo il

principio di freedom with accountability, anche se la mancata applicazione

o l’inosservanza delle regole stabilite al loro interno può comportare, tra

l’altro, danni in termini di immagine (soprattutto in quei settori in cui viene

attribuito grande valore alla reputazione e alla condotta etica), oppure

costituire un indicatore di rischio di una non corretta gestione o

inosservanza di una condotta trasparente.

6.5.1. IL CODICE DI AUTODISCIPLINA DI BORSA ITALIANA

Nel 1999, in un periodo in cui la capitalizzazione di borsa superava il 50 %

del PIL e l’internazionalizzazione degli scambi si avvicinava a percentuali

di poco inferiori92, la Consob ha dato avvio alla redazione del Codice di

Autodisciplina, un insieme di disposizioni, suddivise in principi e criteri

91 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 64. 92 Cfr. Baraldi M. Paletta A. Zanigni M., Corporate governance e sistema di controllo interno, Franco Angeli, 2004, p.4.


64

applicativi, che si configurano come un modello di best practice ritenute

idonee a garantire un corretto rapporto tra il mercato e le società quotate.

Sull’onda del grande successo che era stato ottenuto negli Stati Uniti dal

Committee of Sponsoring Organisations (CoSO) of the Treadway

Commission con la redazione del CoSO Report, la Consob decise di

pianificare un “Progetto Corporate Governance per l’Italia” costituendo

un Comitato “operativo” e non “onorifico” coordinato da Stefano Preda -

allora Presidente di Borsa Italiana S.p.a. - a cui presero parte illustri

appartenenti al sistema bancario, assicurativo e industriale, al mondo delle

istituzioni, delle università e delle professioni, ad associazioni degli

emittenti e degli investitori.

Le finalità del progetto furono quelle di “offrire alle imprese quotate

italiane uno strumento capace di rendere ancora più conveniente il loro

accesso al mercato dei capitali” e fornire “un modello di organizzazione

societaria adeguato a gestire il corretto controllo dei rischi d’impresa e i

potenziali conflitti d’interesse, che sempre possono interferire nei rapporti

fra amministratori e azionisti, fra maggioranze e minoranze93”.

Le esigenze delle aziende italiane convergono con gli obiettivi vitali di

efficienza, efficacia, trasparenza e legalità che rappresentano le mete

fondamentali dei sistemi di governo delle società in tutti i Paesi a mercato

evoluto.

Per l’ottenimento di questo risultato globale il progetto si è posto l’obiettivo

di un adeguamento del CoSO Report statunitense al contesto italiano e di

approfondire il tema dei ruoli, delle responsabilità e dei processi complessi

di interrelazione che legano i diversi soggetti interni ed esterni all’impresa

(quali ad esempio, azionisti, consiglio di amministrazione, altri

stakeholders, organi di controllo e di revisione esterna, Borsa).

Il Comitato ha voluto realizzare un Codice allineato con la pratica

internazionale, ma rispettoso della specificità italiana, basato sul principio 93 Cfr. Codice di Autodisciplina, 1°edizione, Ottobre 1999.


65

della libertà di organizzazione del governo d’impresa coniugato con la

corretta definizione delle responsabilità in un regime di perfetta

trasparenza94, trattandosi di fatto di disposizioni da adottare per

un’occasione di sviluppo, in modo facoltativo, quindi non obbligatorie.

Il codice di Autodisciplina, dopo aver subito una prima rivisitazione nel

Luglio del 2002 dal Comitato per la Corporate Governance delle società

quotate, è stato ulteriormente sottoposto ad una profonda revisione

conclusasi con la pubblicazione della 3° edizione, nel 2006 che, per quanto

ci riguarda, amplia ed arricchisce l’ambito di azione della Funzione di

Internal Audit.

Il Codice, che pure segue l’ordine degli argomenti della versione del 2002,

presenta una struttura sostanzialmente diversa: esso è suddiviso in tre

distinte sezioni: “principi”, di carattere generale, “criteri applicativi”, con

indicazioni di dettaglio sull’attuazione dei principi; “commenti”, che

chiariscono la portata dei principi e dei criteri, anche ricorrendo a diversi

esempi opportuni.

Alcuni tra i capisaldi e le novità del Codice riguardano95:

- la composizione del consiglio di amministrazione.

Viene migliorata la definizione della figura di amministratore non

esecutivo e quella del suo ruolo; si introduce, inoltre, la figura del

cosiddetto lead indipendent director, nel caso di concentrazione delle

cariche di presidente e amministratore delegato;

- il ruolo del consiglio di amministrazione.

In particolare sono introdotte raccomandazioni che limitano il cumulo

degli incarichi degli amministratori e intervengono sul self assessment

annuale del consiglio sulle attività svolte; 94 Cfr. Codice di Autodisciplina, 1°edizione, Ottobre 1999. 95 Riportiamo brevemente un elenco dei principali fondamenti su cui si basa il Codice di Autodisciplina e le sue novità introdotte con l’ultima rivisitazione del 2006, soffermandoci successivamente sull’art. 8 “Sistema di Controllo Interno” per un’analisi dei principali interventi effettuati dal Comitato per la Corporate Governance in materia di controllo interno.


66

- gli amministratori indipendenti.

Viene disciplinata la loro presenza in un numero adeguato all’interno

del consiglio di amministrazione. Si afferma inoltre, che nella

valutazione di indipendenza prevale la sostanza sulla forma; vengono

esemplificati i criteri in base ai quali il cda deve effettuare la

valutazione; viene coinvolto il collegio sindacale in funzione di

controllo della corretta applicazione dei criteri e sono previste riunioni

di soli consiglieri indipendenti;

- i Comitati interni al consiglio di amministrazione, (tra cui, Comitato per

le nomine, Comitato per le remunerazioni, Comitato per il controllo

interno detto anche Audit Committee)

Per questi, è prevista una puntuale disciplina in riferimento alla

composizione, ai poteri e alle modalità di svolgimento dell’incarico;

- il sistema di controllo interno.

È stata aggiornata la nozione di sistema di controllo interno in linea con

l’evoluzione delle best practice internazionali, puntando ad una migliore

definizione di ruoli e rapporti tra i diversi soggetti/organi coinvolti nella

definizione, (in particolare tra collegio sindacale e comitato per il

controllo interno).

In ultima analisi, è prevista una valutazione periodica da parte del

consiglio di amministrazione relativamente all’adeguatezza, all’efficacia

ed all’effettivo funzionamento del sistema di controllo interno;

- il Preposto al controllo interno.

Vengono disciplinati i criteri per la sua nomina e la puntuale definizione

del ruolo e dei poteri attribuiti. Il Preposto al controllo interno si

identifica normalmente con il responsabile della Funzione di Internal

Audit;

- i rapporti con gli azionisti.


67

È prevista la promozione di iniziative volte ad agevolare la conoscenza,

da parte dell’azionariato, delle informazioni societarie e favorire la

partecipazione alle assemblee e l’esercizio dei diritti sociali.

Per la sua autorevolezza, il Codice di Autodisciplina è divenuto un vero e

proprio modello di riferimento anche per le società non quotate96.

La sezione che più ci interessa ai fini di tale trattazione è quella dedicata al

“sistema di controllo interno” (art. 8) in cui viene fornita la definizione di

sistema di controllo interno. In particolare: “il sistema di controllo interno è

l’insieme delle regole, delle procedure e delle strutture organizzative volte

a consentire, attraverso un adeguato processo di identificazione,

misurazione, gestione e monitoraggio dei principali rischi, una conduzione

dell’impresa sana, corretta e coerente con gli obiettivi prefissati”.

Si aggiunge, inoltre, che “un efficace sistema di controllo interno

contribuisce a garantire la salvaguardia del patrimonio sociale, l’efficienza

e l’efficacia delle operazioni aziendali, l’affidabilità dell’informazione

finanziaria, il rispetto di leggi e regolamenti”97.

Il consiglio di amministrazione, con l’assistenza del Comitato per il

controllo interno, definisce le linee di indirizzo del sistema di controllo

interno, attribuisce ad un amministratore esecutivo (di norma uno degli

amministratori delegati) il compito di curarne la funzionalità, ne valuta con

cadenza almeno annuale l’adeguatezza, l’efficacia e l’effettivo

funzionamento, riferendone nella relazione sulla corporate governance.

L’amministratore esecutivo identifica i principali rischi aziendali,

sovrintende alla funzionalità del sistema di controllo interno, ne cura la sua

progettazione, la realizzazione e la gestione, verificandone costantemente

l’adeguatezza, l’efficacia, l’efficienza e la rispondenza al mutare degli

scenari operativi e di regolamentazione. 96 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 68. 97 Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”.


68

Il compito del Preposto al controllo interno, che come appena detto si

identifica con il responsabile della Funzione di Internal Audit è quello di

verificare l’adeguatezza, l’operatività e la funzionalità del sistema di

controllo interno, riferendo al Comitato per il controllo interno, detto

altrimenti Audit Committee, al collegio sindacale e, se richiesto,

all’amministratore esecutivo. La sua nomina, remunerazione e revoca sono

decise dal consiglio di amministrazione, sentito il parere del Comitato per il

controllo interno. Nell’adempimento dei suoi doveri, il Preposto deve essere

dotato di mezzi necessari e avere accesso a tutte le informazioni aziendali

utili98.

Da qui si comprende che, il nuovo Codice di Autodisciplina richiede

all’Internal Audit di esprimersi anche sull’adeguatezza del sistema di

controllo interno e di gestione dei rischi nel suo complesso, ovvero con

riferimento ad alcuni specifici aspetti.

In particolare, il Preposto riferisce “circa le modalità con cui viene condotta

la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro

contenimento, ed esprime la propria valutazione sull’idoneità del sistema di

controllo interno a conseguire un accettabile profilo di rischio

complessivo”.

Il Codice, sottolineando la rilevanza di una corretta gestione dei rischi per il

perseguimento degli obiettivi aziendali, collega strettamente il sistema di

controllo interno al risk management (ERM)99 a cui abbiamo fatto

riferimento nelle pagine precedenti.

Per concludere, è opportuno evidenziare che al Preposto non deve essere

attribuita la responsabilità di nessuna area operativa e, allo stesso tempo,

esso non deve dipendere gerarchicamente da alcun responsabile di aree

98 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 69-70. 99 Cfr. MIRABELLI G. M., “Affrontare la sfida del cambiamento”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 18.


69

operative, ivi inclusa l’area amministrazione e finanza100, conformemente

con i principi di indipendenza e obiettività che qualificano l’attività di

internal auditing nella verifica dell’efficacia dei meccanismi di governance

implementati.

Sulla base di queste considerazioni, appare evidente il ruolo di primo piano

che l’Internal Audit può rivestire nella corporate governance, i nuovi

requisiti normativi e l’evoluzione del business mettono tale professione di

fronte alla necessità di riorientare l’attività verso l’obiettivo chiave di dare

un giudizio101 sull’adeguatezza e l’efficacia del sistema di controllo e di

gestione dei rischi nel suo complesso102.

100 Cfr Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”. 101 Al di là degli aspetti di natura meramente tecnica connessi all’applicazione degli Standard e delle Guide Interpretative, potrebbe essere utile fornire alcune indicazioni pratiche per affrontare il problema della valutazione del “sistema di controllo interno” complessivo richiesta dal nuovo Codice di Autodisciplina. In particolare è opportuno: a) partire da un assessement generale dei rischi e dei controlli, ovvero esaminare e valutare le

informazioni disponibili. Le check list di valutazione del CoSo (Internal Control – Integrated Framework) possono essere un utile riferimento;

b) definire i principi generali del sistema di controllo interno (ad esempio calando nella realtà aziendale i modelli di riferimento), portarli all’approvazione del cda e diffonderli all’interno dell’organizzazione;

c) definire un piano di audit basato su una valutazione dei principali rischi, sufficientemente flessibile per tenere conto dell’evoluzione del business (nuove attività, nuovi processi);

d) stabilire efficaci relazioni con i diversi fornitori di assurance all’interno dell’organizzazione (CFO, risk officer, legale, Organismo di vigilanza ex 231, revisori esterni ecc.) e utilizzarne adeguatamente le informazioni in modo da evitare duplicazioni di attività;

e) promuovere lo sviluppo di processi di Control Self Assessment (CSA) all’interno dell’organizzazione, integrati in modo adeguato con i processi di risk management;

f) valutare se istituire un sistema di reporting periodico dal management al board sull’adeguatezza del sistema di controllo interno in relazione ai rischi di pertinenza;

g) valutare con un “approccio sistemico” tutte le informazioni ricevute e ricavare da esse il giudizio finale;

h) presentare al Comitato per il controllo interno (Audit Committee) le informazioni acquisite, in modo da consentire al Comitato stesso di valutarle, di esprimere a sua volta un giudizio e di presentare la relazione di valutazione al Consiglio; in tal modo si crea un “circuito integrato” tra i diversi soggetti che devono esprimere una valutazione senza duplicazioni e inefficienze.

Cfr. MIRABELLI G. M., “Affrontare la sfida del cambiamento”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 19-20. 102 È più facile per un consiglio di amministrazione esprimere una positive assurance, ma per evitare che tale dichiarazione assuma i tratti di un’attestazione meramente fiduciaria, è necessario che questi organi ricevano un adeguato supporto informativo. In tale ambito, il contributo dell’Internal Audit può essere molto importante. Cfr. MIRABELLI G. M., “Affrontare la sfida del cambiamento”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 20.

3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo

70

CAPITOLO 3

IL RUOLO DELL’INTERNAL AUDIT E LE

RELAZIONI CON GLI ORGANI DI CONTROLLO

1. INTRODUZIONE

Alla luce del considerevole impatto delle novità introdotte, diviene lecito

porsi alcuni quesiti sul ruolo della Funzione dell’Internal Audit e sulle

possibili relazioni e sinergie tra la Funzione stessa e tutti i diversi attori

coinvolti nel sistema di corporate governance.

Con riguardo al ruolo dell’Internal Audit, va ribadito che la riforma del

diritto societario pur trattando tematiche inerenti alle attività di controllo

societario, non ha affrontato il ruolo di tale Funzione103.

Ciò era prevedibile, visto che, nel contesto italiano, la scelta dell’istituzione

dell’Internal Auditing non risulta ancora un obbligo di legge, ma è

demandata alla volontà della singola società, pur essendo comunque

fortemente consigliata (soprattutto per le società quotate, anche alla luce di

quanto prescritto dal Codice di Autodisciplina di Borsa Italiana)104.

Riguardo invece al secondo aspetto, ovvero alle relazioni tra la Funzione di

Internal Audit e gli altri organi di controllo, la realtà degli emittenti quotati

può considerarsi quella con profili di governance maggiormente complessi,

anche se per le società non facenti ricorso al mercato del capitale di rischio

103 Cfr. Capitolo 2 “Il contesto normativo”, Par. 6.1 “Il contesto normativo italiano: la normativa societaria”. 104 Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 46.


71

sono comunque previsti flussi informativi tra organi di amministrazione e

organi di controllo e tra gli stessi organi di controllo (artt.2397 e ss. c.c.).

Nel prosieguo della trattazione, per ampiezza di contenuto, svilupperemo la

nostra analisi avendo come principale modello di riferimento quello degli

emittenti quotati, analizzando i ruoli e le relazioni tra la Funzione di

Internal Audit e i principali organi di controllo e di vigilanza (interni ed

esterni alla struttura societaria) previsti dall’ordinamento italiano.

Consiglio di amministrazione

Amministratore esecutivo

Comitato per il controllo interno

Collegio Sindacale

Preposto al controllo interno

Staff di Internal Audit

Società di revisione

Assemblea dei soci

Organismo di Vigilanza ex 231/2001

Dirigente preposto alla redazione dei

documenti contabili

I soggetti coinvolti nell’ambito della governance aziendale


72

2. I RAPPORTI CON IL CONSIGLIO DI AMMINISTRAZIONE

Un’attività professionale di internal auditing rappresenta una preziosa fonte

di informazioni per il consiglio di amministrazione e i comitati da questo

costituiti. Essa infatti, fornisce assurance sull’efficacia dei processi di

governance, gestione dei rischi e controllo interno, prendendo in

considerazione i rischi strategici, di reputazione, di mercato, creditizi,

operativi e finanziari105.

I rapporti tra consiglio di amministrazione e Internal Audit possono essere

di varia natura e frequenza a seconda, soprattutto, dei momenti di riporto

stabiliti dal cda.

Il primo momento di contatto tra il cda, o il Comitato per il controllo

interno ove costituito, e la Funzione di Internal Audit assume particolare

importanza poiché attiene alla definizione del ruolo e degli obiettivi che la

Funzione stessa deve assolvere.

Il ruolo dell’Internal Audit viene formalizzato in un apposito Mandato106,

l’Internal Audit Charter, approvato dal cda, all’interno del quale devono

essere riportate107:

105 Cfr. ECIIA, Position Paper “L’Internal Auditing in Europa”, Ottobre 2005, pag. 29. 106 L’importanza attribuita al Mandato è notevole, in quanto esso assolve a due funzioni sostanziali (vedi Standard IIA 1000 Finalità, autorità e responsabilità.): 1. stabilisce gli obiettivi strategici della funzione e, pertanto, le aspettative del vertice aziendale

nei confronti dell’Internal Auditing; 2. delinea gli elementi essenziali dell’attività in termini di finalità, autorità, responsabilità e

natura dei servizi di consulenza e di assurance. In particolare lo scopo del Mandato è quello di: a) garantire l’indipendenza e l’autonomia della Funzione di Internal Auditing ai fini della

propria obiettività; b) garantire il libero accesso alle informazioni necessarie per il pieno svolgimento delle

attività di audit; c) delineare l’ampiezza dell’attività di internal auditing.

Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 216. 107 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 218.


73

- le finalità, quali ad esempio, promuovere il continuo miglioramento del

sistema complessivo di risk management e di controllo interno

attraverso la valutazione della sua funzionalità, la verifica della

regolarità delle attività operative e l’andamento dei rischi, al fine di

portare all’attenzione del vertice, dell’alta direzione e del management i

possibili miglioramenti alle politiche, alle procedure di gestione dei

rischi e ai mezzi di monitoraggio e di controllo;

- l’autorità, formalizzando il fatto che i soggetti addetti all’attività di

internal auditing hanno libero accesso a tutti i documenti, persone,

attività, operazioni, archivi e beni aziendali necessari per lo svolgimento

delle loro operazioni, senza restrizione alcuna. Questo significa che il

libero accesso può riguardare le funzioni operative, le norme e le

procedure aziendali, i libri contabili e le relative evidenze di supporto, i

dati gestionali e altri tipi di dati, i locali e le persone attraverso interviste

e questionari. Infine, è importante che il Mandato indichi con chiarezza

la collocazione organizzativa, funzionale e gerarchica dell’attività,

nonchè la possibilità per il responsabile dell’Internal Audit di avere

libero accesso e comunicazione con un organo prestabilito dal vertice

(ad esempio consiglio di amministrazione o il Comitato per il controllo

interno) a cui deve riportare almeno annualmente i risultati delle attività

di audit;

- la responsabilità dell’attività, la quale si concretizza nella

programmazione degli interventi e nella predisposizione di un piano di

audit108. Il Mandato dovrà indicare inoltre l’organo a cui tale piano viene

sottoposto per approvazione (se presente, il Comitato per il controllo

interno).

108 È prassi, comunque, prevedere la possibilità di svolgere incarichi non previsti originariamente dal piano di audit, in base alle criticità che possono emergere di volta in volta e/o alle richieste specifiche del vertice aziendale o dell’alta direzione.


74

Il rapporto che deve istaurarsi tra l’Internal Audit e il cda è fondamentale ai

fini dello svolgimento dell’attività stessa, infatti, il supporto del vertice

aziendale (tone at the top) favorisce la collaborazione delle funzioni

soggette ad audit consentendo l’espletamento dell’incarico senza

interferenze.

Pertanto, se da un lato i Preposti al controllo interno e gli internal auditor

non dipendono gerarchicamente da alcun responsabile di aree operative e

riferiscono del loro operato agli amministratori delegati o al Comitato per il

controllo interno, dall’altro è auspicabile che essi godano del pieno

appoggio del cda, al fine di favorire una cultura del controllo nel tessuto

aziendale e di valorizzare e responsabilizzare l’operato della Funzione

stessa.

La frequenza con cui il responsabile della Funzione deve riferire del proprio

operato al consiglio di amministrazione non è espressamente definita da

fonti normative, ma comunque è condiviso il principio che l’informazione

al cda debba essere tale da garantire un intervento tempestivo da parte dello

stesso.

Questo lascia intendere che, oltre ad un informativa periodica e sistematica

(stabilita in via preventiva) è essenziale un’informativa di natura episodica

atta ad informare il cda di eventuali accadimenti per i quali potrebbe

rendersi necessaria una repentina azione correttiva e/o migliorativa109.

109 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 88. Gli Standard IIA riportano che il responsabile della funzione di Internal Audit dovrebbe, almeno ogni anno: a) sottoporre al vertice aziendale per approvazione e al cda, per conoscenza, una sintesi del

programma di internal auditing, il piano delle risorse e il budget di spesa; b) comunicare successivamente, per conoscenza e approvazione, tutte le variazioni di un certo

rilievo apportate al programma, al piano o al budget; c) presentare un rapporto sull’attività svolta.


75

3. I RAPPORTI CON IL COMITATO PER IL CONTROLLO INTERNO (AUDIT

COMMITTEE)

Nei modelli di governance in linea con le best practice, la responsabilità del

sistema di controllo interno viene affidata al consiglio di amministrazione,

che deve fissarne le linee di indirizzo e verificarne periodicamente

l’adeguatezza e l’effettivo funzionamento, assicurando altresì che i

principali rischi aziendali siano identificati, misurati, gestiti e monitorati

correttamente110.

Non sempre però, la scelta di instaurare un rapporto di dipendenza

funzionale diretta dell’Internal Audit dal cda risulta in linea con le logiche

che dovrebbero guidare questa Funzione nella sua operatività111.

Il Comitato per il controllo interno, se costituito, rappresenta il principale

punto di collegamento tra la Funzione di Internal Audit e il consiglio di

amministrazione: questo secondo il presupposto che, nelle strutture

complesse e maggiormente articolate, la costituzione di un “filtro”112 tra

l’Internal Audit e il cda possa garantire maggiore trasparenza informativa e

chiarezza sulle problematiche riscontrate e le aree di miglioramento

individuate dagli internal auditor.

Quindi, da un lato, tale Comitato è il referente diretto dell’intera Funzione

di Internal Audit, dall’altro esso si configura come l’organo deputato a 110 Cfr.. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”. 111 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 89. 112 Le norme di corporate governance prevedono che il cda, responsabile dell’andamento della gestione verso gli azionisti e gli altri interlocutori aziendali, si organizzi in modo tale da autoregolare il proprio comportamento e sia al contempo responsabile del sistema dei controlli posti in essere. Ecco, quindi, come, nell’esercizio delle funzioni in cui l’interesse personale e quello della società possono maggiormente configgere, (per esempio, prendere decisioni riguardanti le nomine o le remunerazioni), il board è chiamato a delineare un processo di delega di funzioni a sottogruppi di amministratori, riuniti in comitati, particolarmente qualificati, spesso sotto il profilo dell’indipendenza a garanzia di un comportamento “fair” nei riguardi degli stakeholders aziendali. Tra questi assume un ruolo rilevante il Comitato per il controllo interno incaricato di un compito primario del cda: il controllo, a bilanciamento delle responsabilità su di esso gravanti. Cfr. MILANI F., “Il Comitato per il controllo interno nella corporate governance”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006 p. 20.


76

relazionarsi al cda in merito all’operato della Funzione e alle criticità

emerse113.

Il Preposto al controllo interno riconosce nel Comitato per il controllo

interno l’organo deputato a ricevere e valutare l’operato del team di

revisione interna attraverso i rapporti da questo emessi, assicurandone

successivamente un’adeguata informativa in seno al consiglio di

amministrazione114.

Il Codice di Autodisciplina di Borsa Italiana richiede, a garanzia

dell’imparzialità del suo operato, che il Comitato per il controllo interno sia

composto esclusivamente da amministratori non esecutivi, in maggioranza

indipendenti115, tendendo verso i dettami internazionali, che prevedono,

tanto nell’UK, quanto negli USA, il requisito in oggetto per tutti i suoi

membri.

Questi ultimi devono possedere le competenze necessarie per valutare i

controlli finanziari e gestionali, oltre alla capacità, l’esperienza e la volontà

di agire per il bene dell’organizzazione e dei suoi stakeholders116.

113 Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”. Il Comitato per il controllo interno: a) valuta, con il dirigente preposto alla redazione dei documenti contabili ed ai revisori, il

corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità alla redazione del bilancio consolidato;

b) su richiesta dell’amministratore esecutivo, esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali nonché alla progettazione, realizzazione e gestione del sistema di controllo interno;

c) esamina il piano di lavoro preparato dai preposti al controllo interno; d) valuta le proposte formulate dalla società di revisione per ottenere l’affidamento dell’incarico,

nonché il piano di lavoro predisposto per la revisione ed i risultati esposti nella relazione e nella lettera di suggerimenti;

e) vigila sull’efficacia del processo di revisione contabile; f) per ultimo riferisce al cda almeno semestralmente, sull’attività svolta, nonché

sull’adeguatezza del sistema di controllo interno. 114 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 90. 115 Se l’emittente è controllato da altra società quotata, il Comitato per il controllo interno è composto esclusivamente da amministratori indipendenti. 116 In un percorso di avvicinamento agli standard internazionali, il Codice di Autodisciplina del 2006 innova il testo del 2002 richiedendo, quanto a qualificazione professionale del Comitato, che almeno un membro presenti adeguata esperienza in materia contabile e finanziaria. Il Code inglese richiede che almeno uno di essi sia dotato di rilevanti, recenti e significative esperienze in campo contabile e accreditato dall’appartenenza ad uno dei Professional Accountancy Bodies. In linea la regolamentazione statunitense, dispone che tutti i componenti siano “financially literate” e che vi sia almeno un esperto in materia di accounting o financial management.


77

Il cda, quindi, riconosce al suo interno l’Audit Committee come l’organo

deputato a veicolare sulla Funzione di Internal Audit le esigenze e gli

obiettivi fissati, tenendo presenti la struttura di audit, l’ambiente di

controllo, la cultura del controllo e, non da ultimo, le priorità di azione

stabilite in consiglio117.

Il Codice di Autodisciplina dispone, inoltre, che il Preposto al controllo

interno riferisca al Comitato per il controllo interno, così come anche al

collegio sindacale e, se previsto, all’amministratore esecutivo, in merito alla

propria valutazione sull’idoneità del sistema di controllo interno a

conseguire un accettabile profilo di rischio complessivo.

Al fine di garantire una relazione efficace tra il Comitato per il controllo

interno e l’Internal Auditing, è evidente che tra i due organi devono

sussistere contatti frequenti in modo tale da rendere sufficientemente chiare

le finalità e le esigenze delle attività di auditing svolte dalla Funzione ed

attese dai vertici aziendali.

È importante, pertanto, per una corretta valorizzazione del lavoro che il

ruolo della Funzione di Internal Audit sia compreso con chiarezza dal

Comitato e dal cda e che il Comitato abbia trasmesso a sua volta con

altrettanta chiarezza le aspettative e le priorità che il vertice aziendale ha

individuato.

Risulta di fondamentale importanza delineare le modalità di cooperazione

tra i diversi organi di controllo ricompresi nel sistema di control

governance, al fine di non compromettere l’efficienza e l’efficacia

dell’attività svolta, evitando perciò pericolose sovrapposizioni di ruoli e non

chiarezza di responsabilità sui controlli da effettuare118.

117 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 90. 118 Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 47.


78

Affinché il Comitato per il controllo interno e l’attività di internal auditing

riescano a realizzare il potenziale che permetta loro di sostenersi a vicenda,

devono essere presenti alcuni fattori.

In primo luogo il Mandato del Comitato e quello dell’Internal Auditing

devono essere complementari. In secondo luogo, il responsabile della

Funzione deve poter avere un contatto diretto con il presidente del

Comitato. Tali contatti devono essere regolari per riuscire a sviluppare un

rapporto di reciproca fiducia. Inoltre, il Preposto al controllo interno deve

partecipare alle riunioni del Comitato per discutere questioni quali il

Mandato dell’internal auditing, la revisione del piano di audit, rilievi

significativi emersi durante lo svolgimento dell’attività di revisione interna

e andamento del follow-up delle raccomandazioni119.

Occorre precisare che, pur avendo una propria specifica connotazione per

ruolo (ispirato prevalentemente ad attività di controllo e supervisione) e per

composizione (esso, infatti, si costituisce di amministratori non esecutivi, in

maggioranza indipendenti), il Comitato è pur sempre un organo costituito,

all’interno del consiglio di amministrazione, da amministratori che

partecipano fattivamente alle scelte aziendali e che condividono con gli altri

amministratori le linee strategiche dell’impresa120.

Indipendentemente da Codice di autoregolamentazione, che fa riferimento

alle società quotate, la costituzione di un Comitato per il controllo interno

nel sistema di governo delle imprese italiane rappresenterebbe, anche per le

aziende non quotate, un forte catalizzatore a disposizione del consiglio di

amministrazione per salvaguardare gli interessi dell’azionista e rafforzare la

natura del controllo interno, l’immagine dell’azienda nei confronti del

mercato, nonché quella della Funzione di Internal Auditing con l’obiettivo

di valorizzarne l’attività all’interno dell’organizzazione.

119 Cfr. ECIIA, Position Paper “L’Internal Auditing in Europa”, ottobre 2005, pag. 29. 120 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 91.


79

4. I RAPPORTI CON IL COLLEGIO SINDACALE, IL CONSIGLIO DI SORVEGLIANZA

O IL COMITATO PER IL CONTROLLO SULLA GESTIONE

Con la riforma del TUF, e successivamente con quella del diritto societario,

sono stati profondamente rivisti i compiti e le responsabilità del collegio

sindacale, inizialmente nelle società quotate e in seguito anche nelle società

per azioni non facenti ricorso al mercato del capitale di rischio. Tali

riforme, pur se a distanza di anni, si sono ispirate ad una ricerca di

meccanismi e procedure di coordinamento tra i vari soggetti (esosocietari

ed endosocietari) che partecipano al sistema di controllo121.

Le funzioni affidate al collegio sindacale sono state oggetto di attenzione

anche da parte degli organi di vigilanza (CONSOB, Banca d’Italia, ISVAP)

e delle associazioni di categoria (tra cui il Consiglio Nazionale dei Dottori

Commercialisti – CNDC, l’Associazione tra le società italiane per azioni –

Assonime e l’Associazione italiana revisori contabili – Assirevi) nel

tentativo di fornire dettagli relativamente alla sua attività e coordinarne

l’operatività con gli altri organi deputati a svolgere attività di controllo al

fine di evitare duplicazioni e/o sovrapposizione di funzioni.

Con l’entrata in vigore del D. Lgs. 58/1998 (TUF), i compiti di controllo

contabile per le società quotate sono stati interamente attribuiti alle società

di revisione esterne nominate dall’assemblea dei soci, pertanto, il collegio

sindacale è stato sollevato, con l’entrata in vigore della riforma, della

funzione di controllo contabile indirizzando la sua attività verso un

controllo di merito su fatti amministrativi e gestionali122.

Per quanto riguarda i rapporti tra collegio sindacale e la Funzione di

Internal Audit è soprattutto nella sfera degli emittenti quotati, in particolare

all’art. 150 del TUF e nello stesso Codice di Autodisciplina, che si possono

121 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 92. 122 Le stesse considerazioni possono essere fatte analogamente per il Consiglio di sorveglianza del modello dualistico, e per il Comitato per il controllo sulla gestione del modello monistico.


80

trovare riferimenti ad un sistema informativo che prevede per i soggetti

preposti al controllo interno il dovere di riferire (di loro iniziativa o su

richiesta anche di uno solo dei sindaci o dei membri del Consiglio di

sorveglianza o del Comitato per il controllo sulla gestione) su tutte le

informazioni necessarie all’adempimento delle funzioni di tali organi di

controllo. Infatti, al 4° c. dell’art 150, il TUF dispone che coloro che sono

preposti al controllo interno hanno il compito di riferire all’organo di

controllo (quindi collegio sindacale, Consiglio di sorveglianza, Comitato

per il controllo sulla gestione) di propria iniziativa o su richiesta anche di un

solo membro di quest’ultimo.

All’art. 149123 del TUF, inoltre, è previsto che il collegio sindacale e il

consiglio di sorveglianza devono vigilare anche sull’adeguatezza del

sistema di controllo interno124.

Il responsabile della Funzione di Internal Auditing diventa quindi una fonte

di informazioni privilegiata circa il corretto funzionamento del sistema di

controllo interno e, al tal proposito, il Codice di Autodisciplina125 stabilisce

che il collegio sindacale possa richiedere al Preposto al controllo interno lo

svolgimento di verifiche su specifiche aree operative o operazioni aziendali.

Specularmente, i sindaci e i membri degli organi di controllo vengono ad

essere i principali destinatari dell’attività svolta dalla Funzione di Internal

Auditing. Ad essi il Preposto al controllo interno deve riferire in merito ai

123 Il disegno normativo italiano di corporate governance ed in particolare l’art 149 del TUF attribuisce al collegio sindacale le seguenti categorie di funzioni: - vigilanza sull’osservanza della legge e dell’atto costitutivo; - vigilanza sul rispetto dei principi di corretta amministrazione; - vigilanza sull’adeguatezza dell’assetto organizzativo societario, del sistema di controllo

interno e del sistema amministrativo-contabile, nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione;

- vigilanza sulla corretta attuazione delle regole di governo societario previste dai Codici di autodisciplina;

- vigilanza sull’adeguatezza delle disposizioni impartite dalla società alle controllate (ai sensi del art.114, 2° c. del TUF), che impone a queste ultime di fornire alla controllante le notizie necessarie per le comunicazioni al pubblico.

124 Una previsione analoga per il Comitato per il controllo sulla gestione è inserita nel Codice civile (art. 2409-octiesdecies), in riferimento ai doveri spettanti a tale organo. 125 Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”.


81

compiti assegnati alla Funzione (in base al piano di audit preventivato), così

come su alcune problematiche specifiche per le quali il management o

l’organo di controllo abbiano ravvisato l’opportunità di avviare un’attività

di audit straordinaria.

La legge non precisa, in termini di contenuto e modalità, in quale modo il

responsabile della Funzione debba relazionare l’attività svolta, limitandosi

ad indicare che tale attività può derivare da una richiesta diretta da parte

degli organi di controllo (o anche da uno solo dei membri), oppure su

iniziativa dello stesso responsabile.

È opportuno mettere in evidenza quanto sia determinante la tempestività

con cui viene resa al collegio sindacale l’informativa sugli esiti dell’attività

svolta dalla Funzione di Internal Auditing, in considerazione della

possibilità di intraprendere urgenti azioni correttive.

È ovvio che il responsabile di tale Funzione, in virtù della particolare

posizione ricoperta all’interno della struttura organizzativa, si trova nella

condizione di fornire all’organo di controllo un’informativa completa e

priva di eventuali filtri o condizionamenti; elementi, questi, che rischiano

invece di trovare una “potenziale” riserva in un’informativa fornita dai

responsabili di Funzione o da personale operativo126.

Il Consiglio Nazionale dei Dottori Commercialisti ha puntualizzato che il

collegio sindacale dovrebbe, almeno con cadenza trimestrale, tenere una

riunione con il responsabile della Funzione di Internal Auditing127; incontri

con una tale cadenza temporale attestano l’esigenza di fissare quei necessari

scambi informativi atti a rendere edotti il collegio sindacale e il Preposto al

controllo interno sull’attività svolta, le problematiche emerse e le azioni da

intraprendere.

126 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 95. 127 Cfr. Principi di comportamento del collegio sindacale nelle società di capitali con azioni quotate nei mercati regolamentati, Ottobre 2000.


82

Gli incontri tra i due organi aziendali dovrebbero avere ad oggetto lo

scambio di informazione utili per128:

- l’emergere di rischi (o aree di criticità) potenziali o effettivi;

- il rilevamento di violazioni di leggi, atti costitutivi o statuti e norme

interne;

- la comparsa di fatti censurabili;

- la valutazione del generale assetto del sistema di controllo interno;

- la determinazione dei requisiti di professionalità e indipendenza

necessari allo svolgimento degli incarichi di audit.

Inoltre, in tali incontri, è auspicabile che sia:

- illustrato il piano di audit;

- presentata la sintesi dei lavori più significativi;

- fornita indicazione sul grado di miglioramento del sistema di controllo

interno.

Tutto ciò per far sì che l’organo di controllo abbia una corretta visione e

percezione dell’attività svolta dalla Funzione di Internal Auditing e sia in

grado di potersi esprimere sulla sua efficacia ed efficienza e di consigliare

l’alta direzione su eventuali rafforzamenti di cui la Funzione potrebbe

necessitare.



83

5. I RAPPORTI CON IL REVISORE ESTERNO O LA SOCIETÀ DI REVISIONE

Gli internal auditor e i revisori esterni hanno ambiti di responsabilità

diversi.

Al revisore contabile, così come alla società di revisione, è assegnato il

compito di dichiarare, attraverso un parere (opinion) sul bilancio sottoposto

a revisione, se i fatti di gestione sono correttamente rilevati nelle scritture

contabili, se il bilancio corrisponde alle risultanze di tali scritture e se esso

risulta conforme alle norme che ne disciplinano la redazione129.

Tuttavia, per adempiere a tale obbligo, devono poter avere buona

comprensione dei controlli finanziari interni che sottendono la redazione del

bilancio. A tal riguardo, le attività di revisione dei conti e di internal

auditing sono complementari e sinergiche.

Negli ultimi anni, l’attività di controllo contabile è stata oggetto di grande

attenzione da parte del legislatore italiano e di enti regolatori a livello

nazionale (fra tutti CONSOB), comunitario ed internazionale (in

particolare, IFAC, SEC), soprattutto sulla scia dei diversi scandali finanziari

e sotto l’impulso di rendere la revisione contabile come una funzione

istituzionale a presidio e tutela degli interessi di terzi130.

A seguito della riforma del diritto societario, si sono ampliate le categorie di

soggetti sottoposti a revisione contabile, ovvero, tutte le società per azioni

devono avere un revisore esterno che eserciti la funzione di controllo

contabile, con l’eccezione di quanto previsto dalla deroga statutaria di cui

all’art. 2409 bis, 3°comma, c.c.

Anche le modalità operative dell’attività di revisione contabile sono state

riformulate con l’estensione di un controllo trimestrale della contabilità a

129 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 96. 130 La legge 262/2005 sulla tutela del risparmio, ha provveduto alla modifica degli artt. del TUF concernenti il conferimento e la revoca dell’incarico di revisione contabile e le cause di incompatibilità.


84

tutte le società per azioni quotate e agli intermediari finanziari e la

raccomandazione relativa all’adozione dei nuovi principi di revisione IAS.

Indipendentemente dal soggetto incaricato del controllo contabile131

(società di revisione o revisore esterno), è opportuno evidenziare la diversa

natura di tale attività rispetto a quella svolta dalla Funzione di Internal

Auditing. Infatti, quest’ultima deve orientare la propria attività verso

l’intero sistema dei controlli aziendali sulla base delle richieste dell’alta

direzione, concentrandosi, in particolare, sulla prevenzione e

sull’architettura di salvaguardia, piuttosto che sulla verifica a posteriori

degli accadimenti e delle operazioni effettuate132; il revisore contabile,

invece, focalizza la propria attenzione sugli aspetti funzionali alla redazione

del bilancio e alla loro corretta gestione.

Tuttavia, per quanto riguarda le tecniche di analisi utilizzate e la modalità di

svolgimento del lavoro (gestione del lavoro, tecniche di campionamento,

check list, test di verifica, analisi di processo, ecc.) si presentano numerose

analogie, tanto che, molto spesso, i due organi si trovano a condividere

informazioni e coordinare assieme le proprie attività affinché non vi sia uno

spreco di energie.

Particolari tipologie di audit, fra tutte l’audit contabile, svolto dall’Internal

Auditing, sono spesso di notevole ausilio per il lavoro del revisore esterno

ai fini dello svolgimento dell’incarico di revisione del bilancio e le due parti

si scambiano informazioni in merito all’ambito di copertura,

all’impostazione e ai rilievi di audit.

Alcuni dei metodi di lavoro e analisi utilizzati dall’Internal Auditing

possono rivelarsi utili anche per il revisore esterno nel definire la natura, la

tempistica e l’ampiezza delle procedure di revisione da svolgere. Infatti,

generalmente, il revisore esterno, in fase di pianificazione, procede ad una 131 Si ricorda che per tutti gli emittenti quotati e gli intermediari finanziari l’attività di revisione contabile deve essere esercitata esclusivamente da una società di revisione iscritta all’Albo CONSOB. 132 Cfr. G. C. Grossi, “Internal Auditing. L’inizio di una nuova avventura.” Milano, AIIA, 2002, pag. 19.


85

valutazione del lavoro svolto dall’Internal Audit considerandone

l’organizzazione, gli obiettivi, la competenza tecnica della Funzione e la

diligenza professionale con la quale sono stati effettuati i lavori di audit.

Occorre precisare che, la responsabilità sulla supervisione del lavoro svolto

dal revisore esterno rimane un compito del consiglio di amministrazione133,

mentre, per quanto riguarda il coordinamento operativo delle attività, questo

rientra nelle competenze del responsabile dell’Internal Auditing e del

revisore esterno.

Lo svolgimento di alcuni incarichi per conto del revisore esterno e, più in

generale, l’assistenza fornita dall’Internal Auditing al revisore stesso sono,

comunque, aspetti ai quali si deve prestare la massima attenzione in quanto

potenzialmente rischiosi134.

Infatti, l’espressione di un giudizio professionale sul bilancio d’esercizio e

consolidato è di esclusiva responsabilità del revisore contabile esterno.

Quest’ultimo, quindi, deve svolgere il proprio incarico con la diligenza e la

professionalità richieste dalla natura dell’attività ed è responsabile

dell’intera “opinion” fornita, così come di tutte le evidenze che hanno fatto

maturare il suo giudizio. Anche se il lavoro dell’Internal Auditing può

rivelarsi particolarmente utile, esso rimane unicamente responsabile del

133 L’alta direzione, nell’esercizio delle proprie funzioni di supervisione, potrebbe richiedere al Preposto al controllo interno una valutazione del lavoro svolto dai revisori esterni. Tale valutazione deve fondarsi su adeguate evidenze sostanziali, relative a elementi di qualificazione dell’esperienza e della competenza professionale del revisore, dei profili di indipendenza e dello svolgimento delle attività secondo corretti principi etici. Concretamente potrebbero essere oggetto di valutazione: - la proattività e la rispondenza rispetto ai bisogni dell’organizzazione; - la ragionevole continuità nell’utilizzo di personale chiave per lo svolgimento dell’incarico; - il mantenimento di appropriati rapporti di lavoro; - il rispetto degli impegni contrattuali. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 100. 134 Il Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna” sottolinea che la funzione di revisione interna è parte integrante della società pertanto, qualunque sia il grado di autonomia ed obiettività di tale funzione, essa non potrà mai raggiungere lo stesso grado di indipendenza richiesto al revisore esterno nell’espressione del proprio giudizio sul bilancio.


86

giudizio espresso, della scelta delle procedure da svolgere, delle tempistiche

di audit, dell’estensione dell’analisi135.

Se il lavoro svolto dalla Funzione di Internal Auditing risulta efficace,

questo potrebbe influire nella scelta della natura e nella tempistica delle

procedure di revisione (in particolare, quando tale lavoro si concentra su

alcune aree di pertinenza della revisione di bilancio) e consentire una

riduzione dell’ampiezza delle verifiche svolte dal revisore esterno136.

Ai fini di un’efficace collaborazione tra i due soggetti è indispensabile la

definizione di specifici aspetti del lavoro, fra cui137:

- l’ampiezza dell’attività (i rispettivi programmi di audit devono essere

discussi in modo tale da garantire il coordinamento e la minimizzazione

delle duplicazioni;

- le tempistiche;

- il livello di dettaglio delle verifiche da svolgere;

- la gestione delle carte di lavoro e il rispettivo accesso e utilizzo;

- le modalità di controllo ed emissione dei rapporti sull’attività svolta;

- lo scambio di rapporti di audit e management letter138.

135 Cfr. Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna” 136 Le verifiche svolte dal revisore esterno, non possono, tuttavia, essere eliminate totalmente. In alcuni casi, il revisore esterno, dopo aver valutato le attività svolte dalla funzione di revisione interna, può addirittura decidere che quest’ultima non abbia alcuna rilevanza sulle procedure di revisione da svolgere (Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna”). 137 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 99-100. 138 Lettera fornita con cadenza almeno annuale da parte del revisore esterno riguardante le osservazioni, emerse nel corso dell’incarico, sul sistema di controllo interno.


87

6. I RAPPORTI CON L’ORGANISMO DI VIGILANZA IN MATERIA DI D. LGS.

231/2001

Come già visto precedentemente, con il D. Lgs. 231/2001139 è stata

introdotta nell’ordinamento giuridico nazionale la responsabilità,

nominalmente amministrativa, ma di fatto penale, degli enti, che si

aggiunge a quella della persona fisica che ha realizzato materialmente il

fatto illecito140.

L’ampliamento di tale responsabilità punta ad estendere la sanzione di

taluni illeciti penali al patrimonio delle persone giuridiche, delle società e

delle associazioni anche prive di personalità giuridica, coinvolgendo quindi

gli interessi economici dei soci che, fino all’entrata in vigore del decreto,

non subivano le conseguenze di tutte le azioni illecite commesse da

amministratori e/o dipendenti, anche se perpetrate a vantaggio della società

stessa141.

Tale decreto risponde all’esigenza di porre sempre più attenzione verso il

controllo della regolarità e della legalità dell’operato sociale da parte dei

soggetti che partecipano alle vicende patrimoniali dell’ente, in virtù

dell’incremento dei profili di rischio dell’operatività aziendale.

L’art. 6 del D. Lgs. 231/2001, prevede quale causa di esonero dalla

responsabilità dell’ente circa l’illecito compiuto, l’adozione e l’efficace

139 D. Lgs 8 giugno 2001, n. 231, “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell’art 11 della legge 29 settembre 2000, n. 300”. 140 Come sostenuto da più parti, la responsabilità di natura amministrativa è solo formale, poiché, di fatto si sostanzia in una vera e propria responsabilità penale, tenuto conto che l’accertamento degli illeciti amministrativi della società è rimesso allo stesso giudice penale (chiamato a conoscere i reati dai quali gli illeciti dipendono), che procede secondo le regole proprie del processo penale. Cfr. AIIA, Position Paper “D. Lgs. 231/2001. Responsabilità amministrativa delle società: modelli organizzativi di prevenzione e controllo”. 141 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 101.


88

funzionamento di un modello di organizzazione e di gestione idoneo a

prevenire illeciti penali142.

Il modello ipotizzato poggia su un processo di costruzione che si articola

nella preliminare identificazione dei rischi (attraverso una mappatura degli

ambiti aziendali di un’attività e un’analisi circa i rischi potenziali che ne

possono derivare in ambito del D. Lgs. 231/2001) e nella successiva

progettazione dei sistemi di controllo, da effettuare attraverso un preciso

disegno di procedure di controllo interno o, come dichiara lo stesso decreto,

attraverso “specifici protocolli diretti a programmare la formazione e

l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”.

Elementi costitutivi del modello organizzativo, cosiddetto “salvaimpresa”,

sono143:

- un Codice Etico atto a diffondere all’interno dell’azienda una cultura del

controllo in grado di sensibilizzare i destinatari circa i reati richiamati

dal decreto;

- la mappatura delle aree di attività a rischio dell’azienda;

- un sistema organizzativo dove vengano gestite le attribuzioni di

responsabilità, la definizione di chiare linee di dipendenza gerarchica e

altrettanto chiare descrizioni dei compiti;

- un insieme di procedure manuali e informatiche che regolino lo

svolgimento delle attività con l’inserimento di diversi punti di controllo

(fra cui, separazione dei compiti – segregation of duties, tracciatura di

operazioni sensibili, ecc.);

- un efficace sistema sanzionatorio aziendale;

142 Il decreto prevede l’adozione facoltativa del modello di organizzazione, gestione e controllo. La mancata adozione non è soggetta evidentemente a sanzione, ma determina l’esposizione dell’ente alla responsabilità per gli illeciti realizzati da amministratori e dipendenti. L’adozione del modello, nonostante sia facoltativa, è l’unica soluzione che consente di esonerare l’ente in caso di reati commessi nel suo interesse o a suo vantaggio da persone con funzioni di amministrazione, rappresentanza o direzione o da loro dipendenti (art. 5, D. Lgs. 231/2001). 143 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 101-102.


89

- un corretto sistema di attribuzione dei potei autorizzativi e di

responsabilità;

- sistemi di comunicazione e di formazione del personale;

- un sistema che consenta all’impresa, grazie a un’azione di monitoraggio

sulle aree di diverse attività a rischio, di intervenire tempestivamente per

prevenire o contrastare la commissione dei reati.

Il decreto, per assicurare in via continuativa il corretto funzionamento del

modello organizzativo, ha previsto l’istituzione di un organismo interno

all’ente, dotato di autonomi poteri di iniziativa e di controllo, che vigili

sull’adeguatezza del modello in termini di mantenimento nel tempo dei

requisiti di solidità e funzionalità, curandone gli opportuni aggiustamenti ed

implementazioni.

In conclusione, tale organo deve garantire un’azione professionalmente

qualificata (poiché ci troviamo di fronte ad una serie di attività

specialistiche che richiedono tecniche e metodologie specifiche),

continuativa ed indipendente (escludendo quindi organismi quali il

consiglio di amministrazione e gli amministratori senza deleghe).

Le linee guida fornite dalle associazioni di categoria144 e l’applicazione

pratica del decreto hanno condotto gli operatori aziendali ad accostare

(anche se, non ad identificare) l’Organismo di vigilanza ex 231/2001 alla

figura del Preposto al controllo interno in quanto soggetto ritenuto (più di

altri) rispondente alle caratteristiche previste per tale organismo145.

Infatti, come già accennato in precedenza la Funzione di Internal Auditing

appare più di altre quella che dal punto di vista deontologico ed

istituzionale presenta i requisiti di indipendenza e autonomia prescritti dalla

normativa. In aggiunta, la Funzione di Internal Auditing presenta una

144 Fra tutte si sottolineano quelle per la costruzione dei modelli di organizzazione, gestione e controllo ex D. Lgs. 231/2001 di Confindustria. 145 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 102.


90

collocazione all’interno della struttura organizzativa particolarmente

favorevole a fungere da referente diretto del consiglio di amministrazione

(o di un comitato interno a questo, tipicamente il Comitato per il controllo

interno), cui spetta comunque il compito di una più generale supervisione e

gestione dell’assetto organizzativo e dei sistemi di controllo.

È opportuno, comunque, precisare che l’ente è assolutamente libero di

scegliere la composizione dell’Organo di vigilanza ex 231/2001. Esso può

identificarsi con il Comitato per il controllo interno oppure, (e questo è

quanto si rileva nel corso di questi anni dalle maggiori aziende), in un

organismo specifico appositamente creato, spesso in forma collegiale,

costituito da soggetti appartenenti all’ente (fra cui il responsabile della

Funzione di Internal Auditing, il responsabile della Funzione legale,

amministratori indipendenti, sindaci o membri del Consiglio di sorveglianza

o del Comitato per il controllo sulla gestione) e in alcuni casi soggetti

esterni, quali consulenti esperti in materia.

La Funzione di Internal Auditing si configura come il braccio operativo

dell’organismo di vigilanza e molto spesso, collabora nella realizzazione di

un piano di analisi e verifiche di audit, approvato su delibera dello stesso

Organismo ex 231/2001, con lo scopo di valutare l’efficacia del sistema di

controllo a presidio di processi e aree aziendali “delicate”.

I risultati di tali analisi potrebbero fornire utili suggerimenti

sull’adeguatezza e sulle funzionalità delle procedure in atto in termini di

presidio volto a prevenire la commissione dei reati ai sensi del D. Lgs.

231/2001 e all’individuazione di aree di rischio su cui porre attenzione.

Infine, la Funzione di Internal Auditing potrebbe essere indicata per la

promozione di attività di sensibilizzazione nei confronti di tutto il personale

ed in particolare delle funzioni maggiormente esposte a rischio di reato ex

231/2001. Essa, infatti, potrebbe contribuire in tale attività anche in

collaborazione con altre funzioni, quali ad esempio, quella legale oppure

con il supporto di consulenti esterni.


91

7. I RAPPORTI CON IL DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI

CONTABILI SOCIETARI

Abbiamo visto nei paragrafi precedenti che, tra le novità introdotte dalla

legge 262/2005146, si annovera l’istituzione della figura del dirigente

preposto alla redazione dei documenti contabili e societari.

Le sue funzioni si manifestano agli stakeholders aziendali nel momento

della relazione annuale al bilancio e nelle dichiarazioni periodiche in

occasione del rilascio di informazioni economico, finanziarie e

patrimoniali, ma di fatto queste ultime sono il risultato di un’intensa attività

interna di predisposizione, attuazione ed attestazione di adeguatezza del

sistema procedurale riferito all’impianto amministrativo-contabile

aziendale.

Sono interessanti la natura e la misura degli “adeguati poteri e mezzi” che la

normativa prevede che siano conferiti al dirigente preposto per consentirgli

il pieno assolvimento dei suoi compiti. A tal riguardo è evidente come

possano generarsi sovrapposizioni o conflitti di competenze nella gestione

di sistemi di controllo/verifica/audit nel momento in cui tali funzioni, che

vanno oltre i controlli di linea e di monitoraggio, fossero alle dirette

dipendenze del dirigente preposto. Ciò, infatti, costituirebbe non solo una

diseconomia nella gestione aziendale, ma anche il presupposto per il

generarsi di carenze di controllo in aree in cui si verificassero conflittualità

tra sistemi concomitanti.

Traendo insegnamento anche dall’esperienza statunitense in materia di

Sarbanes-Oxley Act, che precede temporalmente la legge 262/2005 e

presenta alcuni aspetti in comune con i suoi articoli qui trattati, è importante

notare come le caratteristiche di autonomia e di indipendenza dell’Internal

Auditing consentano a tale Funzione di contribuire a costituire basi

146 Legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”, artt. 14, 15 e 30; D. Lgs. 303/2006.


92

significative per le attestazioni che il dirigente preposto e l’amministratore

delegato sono tenuti ad emettere nell’assunzione delle proprie

responsabilità147.

Infatti, l’Internal Audit nell’esercizio dell’attività consulenziale identifica e

valuta i rischi aziendali, contribuisce in modo significativo

all’implementazione di un sistema per la loro gestione ed assiste nella

formazione interna richiesta per diffondere le necessarie competenze

metodologiche per il self assessment dello stato del sistema di controllo

interno relativo a specifici rischi di natura contabile.

Inoltre, anche su segnalazione del dirigente preposto, possono essere svolte

attività di audit in aree caratterizzate da situazioni di rischiosità, al fine di

fornire assurance sull’adeguatezza e il funzionamento del sistema di

controllo sui processi contabili indicati, evitando, tuttavia, che ciò conduca

ad un piano di audit sbilanciato verso tali processi, in considerazione della

rischiosità complessiva aziendale, o porti allo svolgimento di attività di

audit che si sostituiscano ai controlli di linea148.

Nel compiere le attività suddette, l’Internal Auditing da avvio, in generale,

ad un flusso informativo verso il management (Comitato di controllo,

amministratore delegato, alta dirigenza) e, in particolare, verso il dirigente

preposto per gli ambiti di sua competenza.

Esso, pertanto, potrà formulare le sue considerazioni finali in materia

amministrativo-contabile sfruttando il contributo proveniente dalla

Funzione di Internal Auditing, ed integrare tali indicazioni con quelle

provenienti dall’intero sistema di governo societario tra cui, per esempio, il

revisore esterno, il collegio sindacale e il Comitato per il controllo interno.

147 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 114. 148 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 114.

4. Le metodologie di revisione interna

93

CAPITOLO 4

LE METODOLOGIE DI REVISIONE INTERNA

1. INTRODUZIONE

Il percorso di sviluppo che ha interessato negli ultimi anni l’attività

dell’internal auditor è sicuramente collegato alla necessità, incomprimibile,

di contribuire alla creazione di valore per l’azienda al pari di altre funzioni

aziendali, pena la marginalizzazione del suo ruolo.

In precedenza, in un contesto aziendale e di mercato tendenzialmente

stabile, il valore dell’internal auditor si esprimeva prevalentemente nella

veste di “watch dog” (ispettore) consistente in un controllo di terzo livello,

che permetteva sostanzialmente di individuare la conseguenza di un rischio

già manifestato e di imputarne le responsabilità.

Il contesto evolutivo già presentato nelle prime pagine, insieme al

miglioramento dei sistemi di controllo interno aziendali (sia sotto il profilo

tecnologico che di processo), ha rapidamente sorpassato tale funzione,

ponendo le premesse affinché la figura del “controllore interno” evolvesse

da una vocazione meramente ispettiva verso un ruolo innovativo,

caratterizzato da una mission orientata a supportare il governo dei rischi.

L’essere “esperti di controllo” ha permesso all’Internal Audit di cogliere le

opportunità offerte dal cambiamento, giocando un ruolo chiave nell’azienda

come supporto al raggiungimento degli obiettivi. Tale attività, come


94

abbiamo visto in precedenza, si concretizza in un duplice servizio, sia di

assurance sulla qualità dei sistemi di controllo interno, sia di consulenza149.

L’innovazione che, ad oggi, ha interessato l’Internal Audit passa attraverso

il rafforzamento delle competenze, delle metodologie e degli strumenti di

lavoro che, parallelamente ad un cambiamento culturale della percezione

del proprio ruolo e dei destinatari del proprio lavoro, consentano di valutare

al meglio i rischi ed incrementare l’efficacia dei controlli.

Il processo di auditing, infatti, si svolge secondo una sequenza coordinata di

azioni, orientata alla creazione di valore aggiunto ed al raggiungimento di

un obiettivo finale.

È possibile individuare tre diversi approcci nella conduzione dell’audit:

• una metodologia tradizionale;

• un approccio basato sui rischi aziendali;

• il Control & Risk Self Assessment (CRSA).

Il processo di auditing si sviluppa secondo un percorso logico suddivisibile

in fasi, ciascuna delle quali si caratterizza per:

- il compimento di determinate azioni;

- l’utilizzo di tecniche e strumenti particolari;

- la predisposizione e il rilascio di documenti specifici (output).

Di seguito, cercheremo di approfondire i contenuti tipici di ciascuna fase di

tale processo, mettendone in evidenza le caratteristiche, le tecniche

utilizzate e la documentazione prodotta, a partire dall’avvio dell’incarico

fino all’emissione del report definitivo.

149 Cfr. RUSSO R. FRATICELLI U., “Si può misurare il valore dell’audit?”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007 p. 7.


95

È opportuno sottolineare, comunque, che anche l’incarico più

compiutamente strutturato e standardizzato lascia ampi spazi non guidati da

procedure, nei quali risulta determinante l’esperienza, la professionalità e

l’abilità di ciascun auditor, che lo rendono una risorsa aziendale preziosa a

supporto del management, per il miglioramento del sistema di controllo

interno, costantemente impegnata in un processo dinamico che genera idee

e si adatta alle circostanze specifiche.

2. IL PROCESSO DI INTERNAL AUDITING SECONDO LA METODOLOGIA

TRADIZIONALE

È possibile identificare, indipendentemente dalla metodologia di

conduzione dell’audit che si intende adottare, cinque macrofasi in cui si

snoda tipicamente tale incarico. In particolare:

1. la pianificazione dell’attività;

2. l’indagine preliminare;

3. l’esecuzione dell’incarico;

4. il reporting;

5. il follow up.

Una prima considerazione rilevante, prima di addentrarci nelle singole fasi

del processo, riguarda il diverso grado di dettaglio o di analiticità che

contraddistingue ogni stadio del percorso.

Infatti, nella prima fase e, in particolare, nella seconda (analisi preliminare)

l’auditor deve acquisire familiarità con il processo o la struttura oggetto di

verifica e deve accrescere, o talvolta costituire ex novo, le sue conoscenze


96

in merito, pertanto, come vedremo, la sua analisi presenterà un livello di

approfondimento piuttosto basso.

Nella fase di esecuzione dell’incarico, invece, verrà effettuata un’analisi

dettagliata di processo e un’attività di verifica che permette di raggiungere

il livello più alto di analiticità, per poi, quindi, tornare a decrescere, in un

processo di conclusione e di sintesi, con la predisposizione dell’internal

audit report (fase di reporting).

In effetti l’analisi dettagliata e la verifica (tipici dell’esecuzione

dell’incarico) sono gli stadi prettamente più operativi del processo di

auditing, cioè quelli di svolgimento del lavoro “sul campo” (fieldwork)150.

Queste costituiscono lo stadio di un vero e proprio svolgimento analitico

dell’incarico, il cui obiettivo consiste nel raccogliere, analizzare,

approfondire, valutare e verificare – anche a campione – le informazioni,

formulando una serie di “evidenze di audit151” necessarie per pervenire a

conclusioni sintetizzate nell’audit report.

Supporto delle evidenze di audit deve essere tenuto nelle “carte di

lavoro152” dell’incarico, la cui finalità generale è quella di documentare la

150 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 292. 151 Per “evidenza di audit” si intende qualunque evento, fatto o circostanza che, nell’ottica dell’internal auditor, supporti e costituisca oggetto di un “rilievo” in quanto criticità significativa nell’ambito dei sistemi di risk management e di controllo interno da porre all’attenzione del vertice aziendale. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 296. 152 Le carte di lavoro rappresentano la documentazione di tutte le attività svolte dall’internal auditor che deve registrare all’interno di esse tutte le informazioni rilevanti allo scopo di supportare le conclusioni e i risultati del proprio incarico. Esse, inoltre, consentono la ricostruzione a posteriori delle attività e dei rilievi emersi. Diverse sono le finalità delle carte di lavoro: - fornire, attraverso la registrazione di tutte le attività dell’internal auditor dall’inizio alla fine

dell’audit, i dettagli necessari per la preparazione dell’audit report finale; - aiutare a condurre l’incarico in modo tale che esso sia sempre pertinente con il

raggiungimento degli obiettivi prefissati; - registrare le osservazioni suggerite dalle evidenze riguardo all’esistenza, all’ampiezza e alla

significatività di un’esposizione al rischio e alle possibili azioni correttive; - facilitare la pianificazione dell’incarico, documentandone il raggiungimento degli obiettivi, la

natura e l’estensione, contenendo al suo interno evidenze relativamente alle modalità/procedure seguite, test effettuati e conclusioni;

- supportare l’auditor nel concreto svolgimento dell’attività, agevolando quindi una corretta ripartizione degli incarichi di audit e coordinando il lavoro da località diverse;


97

pianificazione, l’esecuzione dell’incarico e il raggiungimento degli obiettivi

di audit.

Qui di seguito, provvederemo a fornire un dettaglio delle diverse fasi che

compongono il processo di internal auditing, in riferimento all’adozione di

una metodologia tradizionale di conduzione dell’incarico.

1. La pianificazione dell’attività.

Al fine del successo di un’attività di auditing, è importante un’accurata

preparazione iniziale del lavoro, in quanto una buona pianificazione

consente153:

- la condivisione e il supporto del progetto da parte del management della

società;

- la consapevolezza del preciso ambito o “copertura” di audit (ed

eventuali limitazioni di ambito);

- il miglior utilizzo delle risorse di audit;

- il rispetto dei vincoli temporali.

La pianificazione dell’incarico consente una prima definizione a livello

macro dei seguenti elementi154:

- agevolare la revisione da parte di terzi autorizzati, tra cui ad esempio la società di revisione; - fornire una base per la valutazione dei programmi di qualità dell’internal auditing; - procurare parte della documentazione di compliance richiesta per legge ad un’organizzazione

per il mantenimento di un efficace sistema di controllo interno. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 348-349. 153 Cfr. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 294-295. 154 Cfr. Standard IIA 2200, Pianificazione dell’incarico e successivi.


98

• obiettivi di audit da conseguire, che riflettano la valutazione preliminare

dei rischi dell’attività oggetto di revisione;

• ambito dell’audit, comprendente i confini materiali e/o temporali

dell’analisi;

• programmazione del lavoro (audit program), che stabilisca le procedure

per identificare, analizzare, valutare e documentare le informazioni

raccolte durante l’attuazione dello stesso;

• risorse umane, finanziarie ed informatiche necessarie al suo

svolgimento, inclusa la risorsa specifica che coordinerà l’attività di

auditing (team leader) e i nominativi degli altri componenti del team.

Il responsabile dell’internal audit, infatti, deve assicurare che le risorse a

disposizione siano adeguate, sufficienti, ed efficacemente impiegate per

l’esecuzione del piano delle attività e quindi per assicurare il livello di

coperture richiesto dal management.

Gli Standard internazionali IIA per la pratica professionale, infatti,

prevedono che per ciascun incarico gli internal auditor devono predisporre e

documentare un piano, che comprenda, tra l’altro, obiettivi, estensione ed

impiego delle risorse. Nel pianificare lo svolgimento dell’incarico, gli

internal auditor devono considerare:

• gli obiettivi dell’attività oggetto di revisione e i mezzi utilizzati per il

controllo del suo andamento.

• i rischi significativi dell’attività, i suoi obiettivi, le risorse, e le

operazioni, nonché i mezzi con cui il potenziale impatto del rischio è

mantenuto ad un livello accettabile.

• l’adeguatezza e l’efficacia del risk management e dei sistemi di

controllo, facendo riferimento ad un adeguato modello (Coso, ecc.)


99

• le possibilità esistenti di apportare significativi miglioramenti ai sistemi

di risk management e di controllo dell’attività.

Infine, l’internal auditor ha la responsabilità di pianificare e condurre

l’incarico, previa approvazione e supervisione. Il programma dell’incarico

(audit program) deve155:

• documentare le procedure che l’internal auditor intende utilizzare

durante l’incarico per raccogliere, analizzare e interpretare le

informazioni;

• esplicitare gli obiettivi dell’incarico;

• prestabilire l’ampiezza e la profondità delle verifiche richieste per

raggiungere gli obiettivi stabiliti per ciascuna fase dell’incarico;

• identificare gli aspetti tecnici, i rischi, i processi e le transazioni da

esaminare;

• definire la natura e l’estensione dei campionamenti;

• essere predisposto prima dell’incarico e successivamente modificato se

necessario.

La pianificazione dell’attività presuppone solitamente la predisposizione di

più piani che fanno riferimento a differenti orizzonti temporali.

Il piano strategico copre almeno un biennio ed ha ad oggetto l’azienda nel

suo complesso, con l’insieme delle diverse procedure e con un’analisi dei

rischi legata all’attività svolta nel mercato di riferimento.

Il piano operativo (o annuale) si riferisce all’esplosione annuale del

precedente, laddove l’oggetto delle valutazioni si focalizza sul singolo

processo o un’insieme di informazioni contabili o extracontabili da

sottoporre a revisione.

155 Cfr. AIIA, Guida Interpretativa 2200-1. Pianificazione dell’incarico.


100

I piani dell’attività così formulati sono sottoposti all’approvazione da parte

del vertice aziendale e, laddove presente, del Comitato di controllo interno,

soggetti questi che hanno compiti e priorità ben distinte in merito al

funzionamento del sistema di controllo interno e al sistema di risk

management.

Come abbiamo accennato in precedenza, l’internal auditor deve effettuare

una valutazione preliminare dei rischi afferenti l’attività oggetto di

revisione, da condividere, da ultimo, con il vertice aziendale.

L’internal auditor deve, quindi, prendere in considerazione la valutazione

effettuata dal management in merito ai rischi inerenti le attività da

sottoporre ad analisi. In particolare, dovrà esaminare:

• l’affidabilità di tale valutazione;

• i controllo svolti dal management in merito ai rischi, nonché il relativo

reporting;

• le relazioni del management inerenti quegli eventi che hanno superato i

limiti concordati di tolleranza del rischio;

• l’eventuale presenza di rischi individuati dal management

nell’organizzazione in attività collegate o sistemi di supporto che

potrebbero interessare l’attività sotto esame;

• la valutazione fatta dal management stesso sui controlli inerenti i

rischi156.

Quello che viene richiesto al revisore, prima di dare esecuzione all’incarico,

è di predisporre una mappa dei rischi aziendali sulla base di informazioni

desunte da: risultanze di audit precedenti, segnalazioni del vertice e del

management aziendale, analisi di indicatori qualitativi della gestione,

156 Cfr. AIIA, Guida Interpretativa 2210.A1-1. Valutazione del rischio per la pianificazione dell’incarico.


101

analisi dei principali cambiamenti avvenuti nella struttura organizzativa e

nelle politiche strategiche dell’azienda.

Una volta realizzata una prima definizione a livello macro dell’audit

program, si procede all’invio dell’informativa al responsabile della

Funzione o del processo da sottoporre a verifica. L’area interessata può

essere un dipartimento, un’unità o un’attività di business sotto la

competenza di un unico responsabile, così come può riguardare un processo

che coinvolge più funzioni aziendali. In tal caso in assenza di un process

owner l’informativa può essere inviata ai vari responsabili.

Eccetto che per gli incarichi di fraud investigation (che, per loro natura non

possono essere preventivamene annunciati), l’avvio dell’attività di audit

viene comunicato ai destinatari interessati tramite la cosiddetta “lettera di

notifica” con adeguato anticipo. Lo schema di tale documento può variare

da un’organizzazione aziendale all’altra e in relazione all’incarico e alla

tipologia di audit da effettuare, comunque, essa dovrebbe contenere le

seguenti informazioni157:

• obiettivi e ambito di copertura dell’audit: all’auditee devono essere

notificati lo scopo dell’audit e le aree che questo andrà ad interessare;

• i contenuti generali previsti dell’intervento;

• l’anticipazione di eventuali necessità che potrebbero presentarsi prima

dell’analisi sul campo;

• la data prevista di inizio e i tempi stimati per il completamento

dell’audit;

• l’indicazione del project manager ed eventualmente di altri team

leader/team member o specialisti;

• l’indicazione delle procedure che l’auditor seguirà nel reporting e nella

predisposizione del piano d’azione.

157 Cfr. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 298.


102

La lettera di notifica ha l’obiettivo di informare i soggetti interessati

dall’intervento di internal audit predisposto nell’audit program dell’anno

corrente, al fine di renderli consapevoli ed ottenerne la necessaria

collaborazione, così da allineare le attese sugli obiettivi dell’intervento158.

Molto spesso l’invio della lettera di notifica è preceduto o accompagnato da

un contatto diretto con il manager responsabile destinatario della lettera,

infatti una telefonata informale effettuata qualche giorno prima dell’inizio

dell’attività di audit potrebbe rivelarsi molto utile a condizionare

positivamente l’ambiente in cui si svolge la verifica159.

Quanto appena detto consente, in sostanza, di evitare eventuali

problematiche che potrebbero non garantire l’attenzione e il supporto

necessari nei confronti dell’auditor (momentanea indisponibilità o assenza

di interlocutori rilevanti, inconvenienti tecnici non ancora risolti, picchi di

lavoro in determinati periodi dell’esercizio che impegnano le risorse più del

normale, difficoltà logistiche, ecc.) e di creare un clima collaborativo

fondamentale per lo svolgimento dell’attività di audit.

A seguito della notifica dell’incarico il team di audit responsabile dello

svolgimento del lavoro, può iniziare a “prendere familiarità” con l’area

oggetto di audit effettuando quindi una prima analisi preliminare.

2. L’indagine preliminare.

L’indagine preliminare ha l’obiettivo di orientare correttamente l’intervento

di audit, consentendo all’auditor di acquisire familiarità con le principali

caratteristiche dei processi e delle attività oggetto di analisi, formulando,

158 La comunicazione, pertanto, coinvolgendo il canale verbale e quello scritto, dovrà essere chiara nel linguaggio, esaustiva nelle informazioni e motivante nello stimolare la collaborazione indispensabile per un’efficace gestione dell’attività. 159 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 298.


103

quindi, una valutazione preliminare circa la significatività dei vari ambiti, i

potenziali rischi e le possibili aree di criticità.

In tale fase, il revisore procede, attraverso l’applicazione delle procedure

standard di indagine, alla raccolta di tutte le informazioni necessarie alla

piena comprensione dell’area da sottoporre a verifica, tra cui ad esempio160:

• obiettivi di business e di governo ed eventuali traguardi;

• caratteristiche organizzative e strutturali;

• direttive, piani, procedure, leggi, regolamenti e contratti che possono

impattare significativamente su operazioni e rapporti;

• budget, report gestionali di riferimento, risultati operativi e dati

economico-finanziari;

• carte di lavoro relative a precedenti incarichi;

• risultati di altri incarichi, anche effettuati da revisori esterni;

• documentazione utile per determinare la presenza di problematiche

significative per l’incarico;

• materiale tecnico riguardante l’attività da esaminare;

• dati indicativi di rischi potenziali e dei controlli in atto;

• valutazione, effettuata dal management, dei rischi che riguardano le

attività da sottoporre ad analisi.

L’indagine preliminare si traduce, pertanto, in un processo di raccolta di

dati e informazioni su attività/processi, senza che questi vengano sottoposti

ad un esame approfondito, che caratterizza la fase successiva

dell’esecuzione dell’incarico. La raccolta di queste macroinformazioni

accresce la conoscenza dell’auditor e rende possibile definire con maggior

dettaglio, o apportare modifiche, agli elementi di pianificazione ed

eventualmente ai contenuti della lettera di notifica.



104

Questo importante lavoro preliminare consente di161:

• creare la base per un efficace ed efficiente programma di audit, che si

concentri su argomenti significativi e riduca il tempo dedicato ad aree

dove il rischio appare minimo;

• contenere il tempo di permanenza presso l’auditee e ogni altra forma di

interferenza con la sua operatività;

• calibrare meglio gli obiettivi dell’audit e il suo ambito di copertura;

• favorire un clima di cooperazione per la successiva attività sul campo.

L’approccio tradizionalmente seguito nello svolgimento dell’indagine

preliminare si avvale di strumenti e tecniche tipiche della revisione

aziendale, in particolare l’auditor:

- procede all’acquisizione e alla successiva lettura della documentazione

inerente l’organizzazione aziendale (organigrammi, normative interne,

procedure formalizzate, ecc);

- si avvale dell’utilizzo di questionari (o check list) con risposte mirate a

comprendere l’assetto e la reale consistenza di meccanismi di controllo;


Macroanalisidell’area/processo

e deirischi potenziali

Macroanalisidel sistemadi controllo

Valutazionepreliminaredei rischi

Predisposizionedel planning

memorandume rilievi preliminari

Il processo di analisi preliminare


105

- provvede alla predisposizione o all’acquisizione di flow chart esplicativi

dei principali processi operativi e di controllo162;

- acquisisce conoscenze in merito ai sistemi informativi utilizzati;

- può effettuare un’osservazione diretta del funzionamento delle diverse

fasi dei processi (o walkthrough);

- acquisisce informazioni tramite interviste al personale chiave (o

inquiry);

- svolge procedure di analitical review.

Inoltre, è utile evidenziare che alcune delle informazioni di contesto

potrebbero derivare dalla documentazione raccolta in precedenti incarichi di

audit, per cui durante l’analisi preliminare sarebbe opportuno procedere a

una revisione delle carte di lavoro, audit report e altro materiale inerente ad

audit antecedenti, se disponibili163.

Un particolare accenno, per la sua importanza, lo merita la riunione di

apertura, il cosidetto kick off meeting (termine mutuato dal linguaggio

sportivo), la quale è rivolta al management dei livelli funzionali più alti e ai

componenti dell’area oggetto di audit che siano ritenuti direttamente

interessati (per compiti e incarichi).

La riunione consente di chiarire lo scopo e l’ambito di copertura

dell’attività di auditing, di illustrare le metodologie che dovranno essere

applicate e di ottenere indicazioni utili all’indagine preliminare.

162 Per quanto riguarda l’analisi preliminare del processo/attività con tecniche di flowchart, una mappatura dettagliata del processo costituisce parte integrante del momento successivo all’indagine preliminare, la fase dell’esecuzione dell’incarico, in cui si procede ad un’analisi dettagliata. L’obiettivo dell’analisi preliminare è fondamentalmente quello di arrivare a una pianificazione utile al project manager e al team leader per una chiara delimitazione dell’attività da svolgere. 163 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 302.


106

Questo contatto iniziale con gli auditee rappresenta per il team di audit un

momento importante di comunicazione e spesso si rivela fondamentale per

ottenere la collaborazione attiva dell’interlocutore164.

È anche un momento in cui viene dato spazio alla percezione del rischio da

parte del management, in cui vengono fornite indicazioni sulle criticità e sui

controlli in essere.

È quindi, un’occasione privilegiata, utile per sottolineare la mission della

Funzione: in particolar modo in una fase di riorganizzazione della Funzione

di Internal Auditing, di start up aziendale o di mutamenti importanti negli

assetti organizzativi aziendali, il primo incontro può servire ad illustrare gli

obiettivi del lavoro dell’Internal Audit secondo la prassi condivisa a livello

internazionale, a richiamare alcuni concetti che non sempre sono

prontamente acquisibili da parte del management e a chiarire compiti e ruoli

della nostra Funzione all’interno della realtà aziendale.

A conclusione dell’analisi preliminare, viene prodotto il planning

memorandum, che sintetizza l’oggetto, gli obiettivi e le modalità di

svolgimento dell’incarico. Il documento di pianificazione interna descrive

in termini generali165:

• le attività e l’organizzazione dell’area aziendale soggetta ad audit;

• i rischi o le aree critiche identificate inizialmente;

• gli obiettivi specifici, nonché l’approccio di revisione e la pianificazione

delle procedure di revisione rispetto agli obiettivi.

164 La riunione di apertura rappresenta il “biglietto da visita” dell’Internal Audit. Questo è senz’altro un momento in cui si deve trasmettere la percezione che si sta creando un gruppo e che c’è pertanto un obiettivo unico che necessita dell’impegno e della collaborazione di tutti per poter essere raggiunto. Fondamentale è, quindi, creare coesione e generare motivazione, potenziando l’efficacia della nostra comunicazione attraverso l’applicazione di tecniche di ascolto attivo e, laddove sia necessario, di problem solving. Il management in questa fase avrà bisogno di riscontrare in noi credibilità, professionalità e apertura. Dobbiamo, pertanto, essere chiari e rassicuranti, stimolando chi ci ascolta a seguirci e concederci la massima collaborazione, mettendo in discussione convincimenti talvolta radicati nella cultura aziendale tra cui atteggiamenti prevenuti e diffidenti, se non apertamente ostili. 165 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 305.


107

Se elaborato con cura, il planning memorandum costituisce già una parte

essenziale dell’internal audit report finale e una delle migliori modalità per

documentare in sintesi e con chiarezza le logiche che hanno ispirato

l’approccio specifico di audit. Pertanto, esso costituisce un documento base,

per il responsabile dell’Internal Audit o per Internal Audit Manager, per

evidenziare la propria supervisione e approvare l’ambito e il programma

gestionale di audit complessivi.

3. L’esecuzione dell’incarico.

L’esecuzione dell’incarico si compone di due momenti distinti, che si

susseguono secondo una logica temporale:

a) la fase dell’analisi dettagliata, che ha lo scopo di effettuare i necessari

approfondimenti sulle informazioni ritenute significative in base

all’indagine preliminare e di raggiungere un livello adeguato di

conoscenza per programmare le verifiche previste nella fase

successiva166;

b) lo svolgimento dell’attività di verifica, la quale consiste nell’effettuare i

test necessari alla raccolta di informazioni, o evidenze (evidence), che

costituiscono il materiale di base raccolto dall’auditor sul quale si

fondano i giudizi, le critiche e le raccomandazioni dell’auditor stesso167.

Per quanto riguarda l’analisi dettagliata, essa comprende la mappatura del

processo che si avvale dei seguenti strumenti:



108

• macroanalisi del processo, già avviata durante l’indagine preliminare e

qui completata con informazioni di maggior dettaglio;

• flowchart delle attività, che consentono di analizzare il flusso

procedurale e quello interfunzionale;

• matrici dei rischi e controlli, utili per mappare le attività in termini di

rischio e controllo.

Attraverso una macroanalisi del processo è possibile descrivere il flusso di

informazioni o i passaggi significativi nelle varie operazioni relativi a

determinate attività che compongono il processo. Essa ci consente di

ottenere un’analisi delle principali attività e delle relative Funzioni

coinvolte, evidenziandone il grado di integrazione o il grado di

coinvolgimento interfunzionale.

I flowchart permettono, invece, di descrivere le attività che caratterizzano il

processo, le responsabilità attribuite e la struttura dei controlli. Consentono,

altresì, di comprendere i rischi operativi, tenendo conto degli obiettivi di

business e di governo rilevati nella fase dell’indagine preliminare.

Il flowchart traccia l’intero flusso caratteristico del processo includendo

informazioni quali168:

- soggetti che procedono all’elaborazione, approvazione o integrazione

del documento o dei dati;

- utilizzo di più copie documentali o flussi informatici di dati per il

trattamento separato ai fini contabili, gestionali o amministrativi.

Nella figura 5, riportiamo un esempio di flowchart funzionale, denominato

anche flowchart “a corsie”, che descrive il flusso di un documento o delle



109

fasi di un processo attraverso le diverse aree funzionali/dipartimentali di

un’organizzazione.

Il flowchart permette un’agevole lettura di un processo o attività complesse

che si articolano in numerosi passaggi in termini di approvazioni e

trattamento dei documenti. Esso, inoltre, fornisce una rappresentazione

chiara e sintetica di procedure e operazioni che hanno natura

interfunzionale, permette di far chiarezza sugli aspetti inerenti

l’accountability (principio che richiede che per qualsiasi attività, a

prescindere dalla sua rilevanza, sia possibile identificare una persona

responsabile all’interno della struttura organizzativa) e consente di

individuare eventuali problematiche relativamente alla separazione dei

compiti (segregation of duties)169.

Risulta fondamentale, infatti, una responsabilizzazione diffusa all’interno

dell’organizzazione e una distribuzione delle responsabilità all’interno della

stessa, in modo tale da garantire che ciascun processo sia opportunamente

“presidiato”.

169 Con il principio della “separazione dei compiti” si fa riferimento alla suddivisione tra soggetti diversi delle operazioni che incidono sul patrimonio dell’azienda. Tale accorgimento organizzativo, laddove giustificato da un favorevole rapporto costi/benefici, oltre a limitare il rischio di appropriazioni indebite, favorisce la distribuzione della conoscenza dei processi aziendali fra più operatori, consentendo di migliorare la trasparenza dello svolgimento dei singoli processi aziendali e la fiducia sui singoli operatori. Un esempio, in ambito amministrativo, di separazione dei compiti riguarda l’emissione di ordini di acquisto e il pagamento degli stessi, oppure l’effettuazione dei pagamenti ai fornitori e la registrazione ed archiviazione degli stessi o, ancora, la supervisione della produzione e il controllo di qualità, ecc.


110

Infine, la matrice dei rischi e controlli è lo strumento metodologico per

l’analisi dei rischi inerenti e per la valutazione preliminare dei controlli

presenti e, quindi, del rischio residuale relativo al raggiungimento degli

obiettivi propri dell’area/processo oggetto di audit170.

L’identificazione dei rischi e dei controlli può essere supportata dall’analisi

dei flowchart, che aiutano nell’individuazione dei rischi operativi e dei

controlli di linea che li presidiano171.

170 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 311-312. 171 La realizzazione della matrice dei rischi e controlli si basa sull’applicazione di modelli di rischio e di controllo che non saranno oggetto di trattazione in questa sede (per ulteriori approfondimenti, vedi Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, Cap. 5-6). Nel caso dell’analisi dei rischi, si tratta concretamente di comprendere se un rischio teorico previsto dal modello di riferimento adottato risulta pertinente rispetto alle attività/obiettivi oggetto di analisi e di formulare una valutazione preliminare del livello di probabilità e impatto del rischio stesso. Analogamente, per quanto riguarda i controlli l’applicazione pratica di un modello standard di riferimento consente di

Richiestad’acquisto

Selezionefornitori

Elaborazione proposta

Accettazione merce

Fattura

Richiesta ordine

Proposta

Proposta Ordine Ordine

Emissione

ordine

Registrazione fattura


Ordine Emissione

ordine

Consegnamerce

Fattura

Verificheamministrative


Verifica

avanzamentoordine

Verificaavanzamento

consegne

Strutture richiedenti Acquisti Fornitori Magazzino Amministrazione

Processo degli Acquisti

Fig. 5


111

L’esecuzione dell’incarico segue solitamente un “programma di audit”

(audit program) che si basa sulle risultanze dell’indagine preliminare e

dell’analisi dettagliata. Esso indica i contenuti delle procedure di verifica di

audit da effettuare nel corso dell’attività sul campo, tali procedure

permetteranno di raccogliere la documentazione necessaria (audit evidence)

per supportare le conclusioni dell’internal auditor.

Le principali finalità dell’audit program sono172:

• sintetizzare i contenuti del lavoro da svolgere;

• specificare le modalità di attuazione del lavoro;

• lasciare traccia del lavoro svolto e degli auditor che lo hanno realizzato;

• agevolare la supervisione e il controllo sull’attività di audit.

Sulla base della mappa dei rischi e dei controlli definita precedentemente è

possibile procedere all’identificazione delle opportune attività di verifica e

delle procedure di audit che devono essere applicate.

Presentiamo qui di seguito quattro diverse situazioni inerenti il grado di

rischio e il livello di controllo aziendale:

- rischio basso/controllo aziendale basso: è tipicamente un’area di

esclusione per le attività di test. Salvo specifiche richieste da parte del

management, infatti, non risulta giustificato l’impegno di risorse;

- rischio alto/controllo aziendale alto: è l’area di test tradizionale; il test

assume la forma della verifica dell’esistenza e del funzionamento del

sistema di controllo previsto. Nel caso di sistemi di controllo

formalizzati (proceduralizzati-normati), la forma è invece quella della

verifica di compliance;

identificare e classificare i controlli esistenti, comprendendone le proprietà e consentendo la valutazione preliminare del grado di presidio dei rischi evidenziati. 172 Cfr. Gleim I.N., CIA Review, Gleim Publications Inc.,2004.


112

- rischio alto/controllo aziendale basso: è una situazione anomala che può

avere carattere transitorio o che, comunque, può essere il risultato di

recenti evoluzioni. L’eventuale transitorietà del rischio può, come nel

primo caso, escludere l’area dall’attività di test; in caso contrario, questa

situazione è generalmente orientata alla stima dell’effettivo

impatto/probabilità del rischio evidenziato al fine di fornire le

informazioni indispensabili per determinare l’investimento

giustificabile, in termini di implementazione del sistema di controllo;

- rischio basso/controllo aziendale alto: è una potenziale area di

inefficienza riconducibile a evoluzioni del contesto che hanno condotto

a riduzioni del rischio o all’esistenza in azienda di un approccio non

strutturato al disegno delle attività di controllo. Le attività di test in

quest’ambito sono legate a incarichi di audit di carattere consulenziale

orientate alla valutazione dell’economicità del sistema di controllo e alla

sua ottimizzazione.

L’audit program è soggetto all’approvazione da parte del responsabile

dell’Internal Auditing, in esso, quindi, sono stabilite tutte le attività di

analisi e di verifica che devono essere effettuate, nonché le metodologie e le

tecniche per esaminare e documentare lo svolgimento del lavoro. Le

procedure stabilite nell’audit program potranno subire ampliamenti o

modiche a seconda delle circostanze che si presentano durante l’incarico173,

tale documento si rivela, comunque, molto utile poiché consente di gestire

le attività di test fornendo precise indicazioni operative ai membri del team

di audit.

L’attività di verifica, come già accennato in precedenza, consiste

nell’effettuazione, da parte dell’auditor, dei test necessari a raccogliere le

evidence a supporto delle sue conclusioni. 173 Cfr. Standard IIA 2240. Programma di lavoro.


113

Uno degli aspetti fondamentali dell’efficacia degli interventi di auditing è

rappresentato dall’esistenza di norme standard di svolgimento dell’attività

(inerenti ad esempio le carte di lavoro, le tecniche di campionamento, le

modalità di indagine), che di fatto uniformano l’attività di verifica e la

rendono confrontabile nel tempo, garantendo una continuità che prescinde

dalle persone in essa impiegate.

Le tecniche tipicamente utilizzate consistono in interviste, analisi di dati e

indicatori, osservazione visiva e varie tipologie di test e di verifica.

Le attività di verifica che, in linea generale, sono effettuate dall’internal

auditor sono le seguenti174:

• verifica di coerenza tra quanto rilevato nell’analisi di processo e quanto

effettivamente praticato, attraverso interviste, osservazione diretta e altre

verifiche documentali;

• verifica del rispetto delle procedure aziendali, che possono implicare un

ampio spettro di controlli;

• riscontro di tempi e di altri indicatori di efficienza del processo di

controllo;

• ricerca di eccezioni nell’ambito di intere banche dati;

• analisi di dati e indicatori;

• tutte le altre attività tradizionali tipicamente utilizzate nella revisione

aziendale che generano evidenze di audit a supporto della formulazione

delle conclusioni175.

174 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 317. 175 Il riferimento è rivolto alle tipiche tecniche di raccolta delle evidenze di audit utilizzate in materia di revisione aziendale tra cui: - interviste; - ricalcolo dei dati quantitativi; - test di dettaglio: esame di documenti o dati, creati successivamente al controllo di attività e

transazioni, i quali forniscono le migliori evidenze dell’effettivo verificarsi di una transazione o dell’avvenuta applicazione di una procedura di controllo;

- osservazione e ispezione;


114

Conseguentemente allo svolgimento dell’attività di audit, possono emergere

carenze nel sistema di gestione dei rischi e di controllo che andranno a

costituire i cosiddetti rilievi di audit. Tali rilievi, se emersi nel corso dello

svolgimento dell’attività di verifica, dovranno essere registrati come rilievi

preliminari e dovranno essere discussi con il management interessato176 per

l’identificazione di possibili azioni correttive ed integrazioni al sistema di

controllo interno volte al contenimento dei rischi evidenziati177.

Tali rilievi, in base alla valutazione finale delle evidenze accumulate e alla

significatività del rilievo, possono essere inclusi nell’audit report finale178.

I rilievi significativi sono quelli concernenti le condizioni che, secondo il

giudizio dell’auditor, possono influenzare negativamente l’organizzazione.

Essi possono riguardare condizioni relative a irregolarità, atti illeciti, errori,

- scansione: comporta la ricerca di eccezioni o anomalie all’interno di una grande quantità di dati.

Risulta efficace quando è possibile identificare con facilità elementi inusuali, (ad esempio per la verifica delle posizioni a credito sui conti debitori e posizioni debitorie sui conti creditori);

- campionamento statistico; - richieste di conferma: vengono inviate dall’internal auditor a terze parti esterne all’ambito di

audit. Le risposte, che tornano direttamente all’internal auditor, costituiscono evidenze puramente esterne (spesso utilizzata per verificare l’affidabilità dei crediti o posizioni in generale verso i clienti);

- procedimenti analitici di auditing: forniscono uno strumento efficace ed efficiente per valutare i dati raccolti nel corso dell’incarico, attraverso il loro confronto con quelli attesi o sviluppati dall’auditor. Essi sono utili per identificare differenze che non dovrebbero sussistere, assenza di differenze che invece dovrebbero essere presenti, possibili errori, possibili irregolarità o atti illeciti, altri eventi o transazioni insolite o non ricorrenti. Cfr. Guida Interpretativa IIA 2320.1(1). Analisi e valutazione.

Per ulteriori approfondimenti cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 318-322. 176 Una relazione ben coltivata con il management aziendale agevola senza dubbio la condivisione dei risultati dell’audit, facilitando l’identificazione di adeguate azioni correttive. Risulta infatti di fondamentale importanza curare la condivisione delle criticità, emerse nel corso dell’audit, con il management, al fine di renderlo partecipe di quanto emerso e prepararlo alla condivisione definitiva senza riservargli brutte sorprese alla fine. 177 L’esistenza temporanea di una pur significativa carenza di controllo non porta necessariamente al giudizio che essa sia pervasiva e generi un rischio residuo inaccettabile. Per determinare se l’efficacia dell’intero sistema dei controlli sia in pericolo e ci si trovi in presenza di rischi inaccettabili, vanno considerati fattori quali la sistematicità delle anomalie e la gravità delle conseguenze o della vulnerabilità presenti. Cfr. Guida Interpretativa IIA 2120.A1-1. Valutazione e Reporting sul Processo di Controllo. 178 Cfr. Guida Interpretativa IIA 2410-6 Modalità di Comunicazione e 2330-1 Registrazione delle informazioni.


115

inefficienze, sprechi, inadeguatezze, conflitti d’interesse, debolezze nel

controllo179.

4. Il reporting.

Nella fase di reporting, l’attività di audit si focalizza sull’efficace

comunicazione dei risultati, finalizzata alla ricerca di comprensione e

condivisione delle criticità rilevate, nonché all’identificazione di adeguati

piani di azione per il rafforzamento del sistema di controllo interno a

supporto degli obiettivi aziendali180.

Tale fase può essere scomposta in due momenti fondamentali:

a) una riunione di presentazione dei risultati, detta exit meeting;

b) lo sviluppo dell’audit report.

L’exit meeting è una riunione che presenta molte caratteristiche simili a

quelle della riunione di apertura, il kick off meeting, e assume una rilevanza

tanto maggiore quanto maggiori sono le criticità evidenziate e gli sforzi

necessari per l’attivazione di adeguati piani d’azione, in considerazione

anche degli aspetti d’interfunzionalità che spesso li contraddistinguono181.

Tale incontro, spesso, si svolge dopo l’effettuazione di riunioni di

condivisione dei risultati, tra il team di audit e il management sottoposto ad

attività di auditing, che, in genere, hanno luogo nella fase di chiusura

dell’attività di verifica.

Nel momento in cui si rilevano criticità che presentano caratteristiche che

vanno al di là della semplice compliance a norme e procedure di area,

179 Cfr. Guida Interpretativa IIA 2060-1(2). Reporting al board e al senior management. 180 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 340. 181 Cfr. Guida Interpretativa IIA 2440-1 Divulgazione dei risultati.


116

richiedendo quindi il coinvolgimento di diverse strutture e ambiti di

responsabilità, l’exit meeting consente di coinvolgere non solo il

management dell’area auditata e gli eventuali superiori, ma anche quello di

strutture che gestiscono processi complementari o di supporto.

L’internal auditor, infatti, tramite la formulazione di ipotesi sulle possibili

azioni di mitigazione dei rischi, è in grado, solitamente, di individuare i

soggetti aziendali preposti alla loro gestione.

L’obiettivo dell’exit meeting è quello di presentare le stesse informazioni,

rilievi e suggerimenti che dovrebbero essere esplicitati nell’audit report, ma

adottando una forma di comunicazione più fluida e meno formale che

consenta di focalizzare l’attenzione sui contenuti piuttosto che sulla forma.

La condivisione dell’audit report, da questo punto di vista, è

frequentemente caratterizzata da un’estrema attenzione alle parole, alla

veste formale e alle implicazioni per l’immagine del management.

La condivisione anticipata, nel corso dell’exit meeting, dei concetti che

l’internal auditor desidera portare alla luce consente successivamente un più

disteso confronto con il management nella fase finale di revisione dell’audit

report, prima della sua emissione definitiva.

L’internal auditor dovrà essere in grado di fornire verbalmente tutte le

informazioni che intende riportare nell’audit report supportando

eventualmente le sue conclusioni con il dettaglio risultante dalle carte di

lavoro; il carattere collegiale del momento consentirà all’auditor di sfruttare

le conoscenze e le competenze dei diversi partecipanti per raccogliere

soluzioni a valore aggiunto182.

182 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 341. Un aspetto negativo, peraltro, è rappresentato dai potenziali conflitti che possono insorgere durante l’exit meeting tra i manager stessi. L’internal auditor ha, in questo caso, una responsabilità fondamentale nel prevenire e gestire il manifestarsi di situazioni di questo tipo, impedendo che l’incontro scateni conflitti latenti tra le parti (vedi Guida Interpretativa IIA 1000.C1-1 Principi guida per lo svolgimento di attività di consulenza degli internal auditor).


117

L’exit meeting dovrebbe concludersi con una definizione dei piani d’azione,

almeno nelle linee generali, e con un’identificazione dei responsabili della

realizzazione di ciascuna azione individuata.

Qui di seguito sono elencati i principali contenuti che sono condivisi da

tutte le comunicazioni di audit, sia che si tratti di un documento formale

inviato ai vertici aziendali o di una presentazione informale alla conclusione

dell’attività sul campo183:

- una sintesi direzionale, cioè una sintesi del rapporto di audit (executive

summary) ad uso dell’alta direzione dell’organizzazione e delle altre sue

posizioni chiave interessate. Questa sintesi dovrebbe illustrare le

risultanze più importanti, positive e negative, e individuare le

opportunità di miglioramento;

- l’obiettivo di audit e, ove opportuno, la spiegazione delle ragioni che

hanno condotto alla sua effettuazione e ai risultati attesi;

- il contesto generale del processo o dell’oggetto di audit;

- se possibile, una valutazione globale in merito a rilievi, conclusioni e

raccomandazioni di precedenti rapporti;

- la descrizione del lavoro svolto, comprensiva dell’ambito di audit e

degli eventuali limiti di tale ambito;

- la descrizione dei rilievi, delle conclusioni e dei suggerimenti;

- l’identificazione del piano d’azione, indicando nel modo più concreto

possibile i responsabili e i tempi previsti per il completamento. Tale

piano potrà prevedere azioni a breve e azioni a medio-lungo termine in

quanto connesse a progetti aziendali di più ampio respiro184.

Relativamente all’audit report, esso è il documento, che chiude

formalmente l’intervento di audit, con il quale l’internal auditor riassume le 183 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 342-343. 184 Cfr. Guida Interpretativa IIA 2410-1 Modalità di comunicazione.


118

attività svolte nel corso dell’incarico, relaziona sui rilievi emersi e propone

le proprie raccomandazioni. Tale documento costituisce una prova durevole

dell’attività di audit effettuata e ne consente la valutazione da parte di

soggetti terzi.

L’audit report può presentare finalità diverse e differenti stili a seconda dei

destinatari a cui si rivolge:

- l’audit report rivolto al vertice aziendale, solitamente si presenta in

versione sintetica, focalizzandosi solo sui principali aspetti che possono

essere ritenuti significativi a tale livello;

- l’audit report rivolto ai responsabili di processi o di Funzioni aziendali

sono invece mirati a far comprendere i punti di debolezza del sistema di

controllo interno dell’attività o dei processi di riferimento.

In generale, un audit report dovrebbe articolarsi secondo la seguente

struttura185.

- titolo del report e oggetto dell’intervento, utile per consentire ai

destinatari un immediato inquadramento dei contenuti e degli obiettivi

dell’intervento di audit;

- indicazione dei destinatari, quindi manager operativi dell’area soggetta

ad audit e/o responsabili dell’esecuzione delle azioni correttive, nonché i

superiori gerarchici di questi;

- indicazione delle strutture aziendali coinvolte e periodo dell’intervento;

- indicazione dell’ambito dell’audit e periodo di tempo coperto dalle

verifiche: consente una corretta valutazione di eventuali rilievi emersi 185 È opportuno precisare che non esiste una forma unica per la stesura dell’audit report, che spesso risente della cultura e delle abitudini dell’organizzazione. In ogni caso, l’internal auditor dovrà cercare di bilanciare un adeguato contenuto informativo, che consenta a tutti i destinatari una piena comprensione dei fatti segnalati e una corretta valutazione delle criticità, con un livello di sintesi che garantisca la leggibilità complessiva del report stesso. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 345-347.


119

fornendo utili parametri per valutare la specificità e/o generalizzabilità

dei risultati;

- indicazione dell’attività di verifica effettuate: costituisce una sintesi

dell’audit program applicato nel corso dell’attività di verifica ed è utile

ai destinatari per valutare le modalità con cui l’internal auditor è giunto

alla formulazione dei rilievi e la gravità degli stessi;

- una prima valutazione di sintesi basata sui risultati delle verifiche, che

rimanda ai risultati dettagliati e alle raccomandazioni che sono riportate

per esteso nel prosieguo dell’audit report;

- condizioni generali dell’area: si tratta di una sintesi delle condizioni

dell’area critica oggetto di rilievo con evidenziazione delle divergenze

tra quello che è stato riscontrato e quello che dovrebbe essere;

- criticità rilevate: dovrebbe includere le verifiche effettuate e il risultato

delle stesse;

- cause dei rilievi: è opportuno identificare le cause dei rilievi evidenziati

al fine di consentire al management la selezione di adeguate azioni

correttive186;

- criteri di valutazione delle criticità: vengono esplicitati i criteri di

valutazione sulla base dei quali l’internal auditor decide di includere la

criticità tra quelle segnalate nell’audit report187;

- conseguenze dei fatti riportati: questo punto evidenzia gli impatti

generati dalla criticità sull’organizzazione. Gli impatti possono essere

rappresentati da perdite o mancate opportunità, oppure essere soltanto

potenziali, come ad esempio nel caso di un sistema di controllo che non 186 A tal riguardo occorre fare attenzione a non ricondurre le criticità a semplici anomalie di comportamento gestionale, cosa che tenderebbe a colpevolizzare i soggetti all’interno dell’organizzazione. Tale fattispecie, in particolare, tende ad essere enfatizzata negli approcci più tradizionali di carattere ispettivo: suscitando reazioni difensive, essa rende più difficile attivare nei soggetti coinvolti un atteggiamento positivo che porti al superamento dei problemi. 187 Ai fini di tale valutazione potrebbe essere utile, per l’individuazione dei criteri da utilizzare, il ricorso a confronti tra diverse entità della stessa organizzazione (benchmarking interni) o tra realtà aziendali diverse (benchmarking esterni), così come all’opinione professionale di esperti, preferibilmente esterni all’organizzazione. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 347.


120

è in grado di prevenire determinati eventi a prescindere dal fatto che

l’evento si sia realizzato nel corso della verifica;

- raccomandazioni di audit: come già accennato, esse rappresentano uno

degli elementi a valore aggiunto dell’incarico e, se pertinenti e ben

bilanciati sulla base di una valutazione costi/benefici, costituiscono

un’importante opportunità per l’audit nel supportare in termini

consulenziali le attività operative.

Nell’audit report possono essere inseriti anche aspetti positivi che

apprezzano, con commenti favorevoli, l’attività svolta dal management

sottoposto ad attività di audit. Alcuni di questi elementi possono essere

sintetizzati qui di seguito188:

- evidenziare gli obiettivi raggiunti dal management;

- mettere in luce le azioni già pianificate dal management;

- evidenziare i limiti di contesto su cui il management ha scarsa o nulla

capacità di influire;

- includere sempre i piani di azione come parte integrante del report.

Infine, è possibile che il management non concordi con i rilievi sollevati

nell’audit report. Tale fattispecie deve verificarsi soltanto in casi

eccezionali, in quanto il processo di gestione dell’incarico di audit, come

abbiamo visto nelle pagine precedenti, prevede diversi momenti di

condivisione dei risultati che consentono di evitare il manifestarsi di

posizioni inconciliabili al momento dell’emissione dell’audit report.



121

Una tale situazione rappresenta un segnale di allarme sulla qualità del

lavoro svolto e sull’affidabilità del management aziendale189.

5. Il follow up auditing.

Una volta emesso l’audit report, contenente i piani d’azione da

intraprendere con l’individuazione del management responsabile, la

Funzione di Internal Audit deve provvedere alla pianificazione dell’attività

di follow up190 che garantisce un reale valore aggiunto dell’attività di

verifica con cui vengono monitorati l’efficacia e il rispetto dei tempi

d’implementazione delle azioni correttive concordate nella fase precedente.

La natura, l’ampiezza e la tempificazione delle attività di follow up devono

essere determinate dal responsabile dell’Internal Auditing in funzione di

specifiche circostanze, quali la significatività dei rilievi emersi e delle

raccomandazioni effettuate, l’impegno e i costi necessari per l’attuazione

delle azioni correttive, gli eventuali effetti che potrebbero manifestarsi in

caso di fallimento dell’azione correttiva, la complessità di tali azioni ed il

tempo necessario per il follow up.

Concretamente, le diverse attività che possono essere realizzate in tale fase

sono riportate qui di seguito in ordine di economicità191:

- richiesta di stato di avanzamento al management: si tratta di una

richiesta formale a scadenza dello stato di avanzamento delle attività

pianificate dal management responsabile. Tali richieste presentano il 189 In questo caso è necessario che l’audit report preveda uno spazio adeguato per riportare le posizioni in disaccordo. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 348. 190 Lo Standard IIA 2500 Processo di monitoraggio, ci fornisce una definizione di follow up identificandolo come il processo tramite il quale l’internal auditor determina l’adeguatezza, l’efficacia e la tempestività delle azioni correttive intraprese dal management in risposta ai rilievi e alle raccomandazioni presentate. 191 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 245.


122

vantaggio di responsabilizzare il management senza compromettere

significativamente l’immagine consulenziale dell’internal auditing e

garantiscono comunque uno stimolo al completamento dei piani di

azione previsti;

- verifiche dei piani di azione nel corso di audit specifici: richiedono la

pianificazione e l’esecuzione a scadenza di appositi interventi di audit

con un programma di lavoro specificatamente orientato alla verifica

dell’implementazione dei piani di azione;

- verifiche dell’effettivo miglioramento del sistema di controllo interno

tramite audit successivi: prevedono la formulazione di specifici test

legati alla realizzazione delle azioni correttive nell’ambito dei

programmi di audit, da realizzare in successivi interventi previsti per

l’area stessa. Tale approccio viene spesso utilizzato quando siamo in

presenza di rischi significativi, il cui mancato presidio rappresenterebbe

una minaccia grave al raggiungimento degli obiettivi aziendali. In tali

casi, l’assicurazione offerta da un soggetto indipendente quale l’Internal

Auditing viene privilegiata rispetto alla sola responsabilizzazione del

management.

Se non prestato con la necessaria attenzione, il coinvolgimento forte della

Funzione di Internal Auditing nel processo di follow up può determinare

una deresponsabilizzazione del management dell’area oggetto

dell’intervento e, inoltre, potrebbe far emergere il ruolo ispettivo e

poliziesco della funzione stessa, compromettendo la sua immagine

consuleziale di attività a valore aggiunto, nonché i rapporti con le Funzioni

auditate.

Abbiamo già evidenziato che, nel processo di follow up, l’internal auditor

deve assicurarsi che siano state intraprese azioni correttive e che queste

stiano ottenendo i risultati desiderati. Può verificarsi la fattispecie in cui il

board o il senior management si siano assunti la responsabilità di non


123

intraprendere azioni correttive, accettando quindi, un livello di rischio

giudicato potenzialmente eccessivo per l’organizzazione da parte del

responsabile dell’Internal Auditing; in tal caso, sarà necessaria una

discussione tra le due parti coinvolte e, in caso di persistenza del

disaccordo, la comunicazione del problema al vertice manageriale192.

L’accettazione del rischio e quindi la rinuncia da parte del management

aziendale ad intraprendere azioni correttive non può essere tacita, ma deve

sempre risultare da un documento formale di accettazione dello stesso da

parte del vertice. Il rischio, infatti, può essere accettato soltanto in funzione

di un’assunzione di responsabilità esplicita e formalizzata.

3. L’APPROCCIO RISK BASED

Come descritto precedentemente, nel modello di Enterprise Risk

Management (ERM) il risk assessment è parte integrante del sistema di

gestione dei rischi, esso, infatti, permette di individuare e misurare i rischi

pertinenti all’organizzazione. L’attività di internal auditing e il ruolo che il

revisore interno è chiamato a svolgere, risultano essere propedeutici al buon

funzionamento di tutto il sistema di risk management.

Un buon sistema di governance fa affidamento sulla gestione dei rischi

attraverso l’utilizzo di sistemi di gestione e di strumenti che consentano di

aumentare la consapevolezza di tutte le possibili incertezze e degli ostacoli

che si frappongono al raggiungimento degli obiettivi aziendali193.

192 Cfr. Standard IIA 2600 Accettazione del rischio da parte del management. Qualora il responsabile dell’Internal Auditing ritenga che il senior management abbia accettato un livello di rischio residuo che potrebbe essere eccessivo per l’organizzazione, ne deve discutere con il senior management. Se il disaccordo permane, il responsabile dell’Internal Audit e il senior management devono riportare il problema al board. 193 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 167.


124

Uno degli strumenti e delle metodologie più idonei ad identificare,

selezionare, misurare e gestire i rischi esterni ed interni è il risk

management che consente al management di focalizzare la propria

attenzione sui rischi più significativi, tra cui anche i rischi strategici e quelli

reputazionali.

Rispetto all’utilizzo di una metodologia tradizionale che si incentra

principalmente sul sistema formale dei controlli, tale approccio consente di

porre attenzione sulla gestione dei rischi aziendali e sugli effetti che

importanti cambiamenti, già intervenuti o che interverranno nell’ambiente

interno o esterno all’azienda avranno sul modello di business aziendale e

sulla performance dell’impresa.

Il Risk based auditing identifica “il controllo come una forma di

attenuazione del rischio” e pur rispettando i medesimi passi del processo di

internal auditing descritto nelle pagine precedenti, adotta una nuova ottica

di analisi delle problematiche, conducendo a194:

- l’individuazione di variabili interne ed esterne all’organizzazione che

possono incidere sulla realizzazione degli obiettivi da parte della stessa;

- la quantificazione e la valutazione degli effetti in termini di probabilità

di impatto, monetario o non monetario, di tali variabili sui risultati

relativi ad un processo, ad una business unit o all’azienda nel suo

complesso.

Entrando più nel dettaglio, l’approccio basato sui rischi si articola nei

seguenti momenti:

1) Identificazione degli obiettivi strategici dell’azienda e delle

attività/processi per la loro realizzazione. A tal fine possono essere



125

utilizzati diversi strumenti importanti per la governance aziendale,

impiegati nell’analisi degli scenari attuali e previsionali per l’azienda tra

cui, sistemi di monitoraggio dell’ambiente esterno, strumenti quali la

balance scorecard, l’analisi del piano strategico e degli obiettivi di

budget, interviste al management e ai responsabili operativi ed altri

sistemi di pianificazione e di programmazione e controllo;

2) Identificazione delle maggiori criticità/opportunità relative al

raggiungimento degli obiettivi strategici, dopo una preventiva

valutazione dei punti di forza/debolezza dell’azienda, in relazione al

contesto competitivo di riferimento;

3) Identificazione delle aree di rischio significative. A tal riguardo risulta

determinante l’esperienza del revisore e può essere molto utile il

riferimento a benchmarking settoriali;

4) Valutazione dell’adeguatezza del sistema di controllo interno per

ciascuna area di rischio, in relazione ai fattori determinanti il livello di

rischio stesso;

5) Mappatura dei rischi aziendali, ovvero ordinamento delle aree da

monitorare in funzione della loro “vulnerabilità”;

6) Comunicazione delle opinioni e raccomandazioni in merito

all’adeguatezza del sistema di controllo interno ed ai principali rischi

aziendali, ai responsabili operativi e, ove necessario, agli altri organi di

controllo e al vertice aziendale.

L’approccio metodologico per l’identificazione e valutazione dei rischi

deve consentire un adeguato coinvolgimento dei soggetti interessati,

pertanto, a seconda delle esigenze aziendali e del contesto di riferimento, si

possono identificare tre metodi che si contraddistinguono per un diverso

grado di complessità, dinamismo e turbolenza.


126

- Approccio top down, dove i manager vengono significativamente

guidati dall’alto nell’identificazione e valutazione dei rischi. In alcuni

casi, ad esempio, i process owner devono identificare i rischi rilevanti

per il processo di cui sono responsabili, facendo riferimento a un preciso

questionario sviluppato a livello di corporate ed effettuarne la

valutazione in base a criteri specifici;

- Approccio bottom up, i manager identificano autonomamente i propri

obiettivi e segnalano i rischi che possono ostacolarne il raggiungimento.

In tal modo, è possibile avere un feedback sul grado di comprensione

degli obiettivi aziendali da parte dei manager, verificando la coerenza

tra le loro percezioni e quanto definito a livello globale;

- Approccio down-bottom up, si articola in una prima fase in cui vengono

definiti gli obiettivi aziendali declinati a cascata a partire dagli obiettivi

strategici (fase top down) e in un secondo momento in cui, una volta

definiti gli obiettivi, si procede all’identificazione dei rischi da parte

delle diverse strutture aziendali (funzioni corporate, business unit,

attività operative, etc.) e alla successiva valutazione per poi procedere

ad un consolidamento195 a livello globale (bottom up)196.

La fase di identificazione e classificazione dei rischi e valutazione e

selezione degli stessi, come abbiamo appena visto, viene normalmente

condotta dal management, ma tale attività di risk assessment viene

condivisa con la Funzione di Internal Auditing che si trova, dunque, ad

assistere attivamente nello sviluppo e nell’attuazione concreta di un

approccio improntato alla gestione del rischio aziendale. 195 Il consolidamento può essere effettuato dai responsabili del processo di risk assessment senza un ulteriore coinvolgimento dei soggetti che hanno svolto le attività di identificazione e valutazione dei rischi (consolidamento non iterativo), oppure può essere attuato sulla base di un confronto tra le persone coinvolte nel processo di risk assessment, che può realizzarsi con modalità differenti a seconda delle esigenze aziendali (consolidamento iterativo). A seguito di questo confronto, si verificherà un’iterazione del processo finalizzata alla verifica e/o all’aggiustamento dei valori disallineati in maniera significativa. 196 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 169.


127

Secondo tale metodologia, l’internal auditor non parte da obiettivi già

definiti dal management aziendale, ma si pone come un’interfaccia continua

nei confronti dell’alta direzione, esercitando per essa una vera e propria

attività di consulenza in merito agli ostacoli che si frappongono nel

conseguimento degli obiettivi aziendali, con un’ottica di osservazione

prospettica dell’impatto degli stessi sugli equilibri dell’organizzazione.

L’individuazione delle unità assoggettabili ad audit tipica della metodologia

di auditing tradizionale colpisce soltanto “indirettamente” le diverse

Funzioni, i processi e le business unit che sono soggette ad auditing in virtù

di una valutazione del rischio per unità organizzativa.

In graduatoria vengono posti i rischi aziendali, misurati in termini di

impatto sugli obiettivi di business complessivi e per quanto concerne la

tempificazione delle attività di audit, essa non è vincolata ad un audit

program rigido, ma è soggetta ad una verifica continua sul valore

dell’informazione generata rispetto al tempo (e al costo) del suo

ottenimento.

In tale ottica, all’internal auditor sarà richiesta una valutazione sulla validità

delle azioni di contenimento dei rischi aziendali e sull’efficacia dei controlli

interni, pertanto, per la formulazione di ipotesi ritenute ragionevoli dovrà

procedere ad una raccolta di informazioni sufficienti sull’entità dei rischi.

È opportuno precisare che, la gestione integrata delle macro-categorie di

rischio (tra cui, ad esempio, le categorie di Market Risk, Credit Risk e

Operational Risk), e la conseguente analisi delle stesse, non può essere

effettuata con una visione radiale dei rischi, come esemplificato nella

Figura 6.

Il punto di vista radiale, infatti, consente all’osservatore (che è posizionato

al centro) di identificare e valutare solo i rischi che entrano direttamente nel

proprio campo visivo: in questo modo, è possibile avere solo una

conoscenza frammentaria dei rischi che possono impattare sull’azienda,


128

escludendo la possibilità di avere una visione organica che tenga conto delle

interdipendenze tra i diversi rischi.

Nell’approccio risk based la centralità dell’auditor, nello sviluppo delle

strategie di ERM, richiede l’utilizzo di strumenti che consentano di

identificare in maniera sistematica i rischi che possono impattare

sull’azienda e di fornire una corretta valutazione delle conseguenze che

questi rischi possono comportare per l’organizzazione stessa.

È fondamentale scegliere un punto di vista strategico che consenta una

gestione integrata dei rischi aziendali e, pertanto, l’adozione di un modello

piramidale dei rischi potrebbe essere un valido strumento per valutare la

possibilità di intervenire sulla probabilità di accadimento degli eventi

negativi o sulla gravità del loro impatto.

OPERATIONAL RISK

CR

ED

IT R

ISK

MARKET R

ISK

IAIA

Fig. 6

LA VISIONE RADIALE DEL RISCHIO


129

La piramide dei rischi (Figura 7) può essere utilizzata sia nello sviluppo

dell’attività di event identification, sia nella fase di risk assessment previste

dal CoSO-ERM.

L’event identification è una fase delicata nella definizione di una strategia

ERM: è in questo momento, infatti, che gli eventi a cui l’azienda può

andare incontro vengono classificati come rischi o come opportunità, in

funzione del livello di risk appetite definito dal management.

Una volta identificati gli eventi che possono comportare conseguenze

indesiderate al raggiungimento degli obiettivi di business dell’azienda, la

piramide dei rischi consente all’internal auditor di valutare gli eventi

negativi in funzione della possibilità da parte del management di intervenire

sulla probabilità di accadimento o sulla gravità dell’impatto dello specifico

evento.

Questa sistematizzazione consente all’internal auditor di monitorare

costantemente i singoli eventi potenzialmente dannosi per la propria

azienda.

CREDITRISK

MARKETRISK

OPERATIONALRISK

IAIA Fig. 7

LA PIRAMIDE DEI RISCHI NELL’EVENT IDENTIFICATION


130

A differenza di quanto avviene con la visione radiale del rischio, in questo

caso, la posizione di monitoraggio dell’auditor è collocata alla base della

piramide: in questo modo, i rischi immediatamente individuabili sono quelli

operativi, cioè i rischi sui quali il management può decidere di intervenire

direttamente, in funzione della loro criticità, utilizzando i diversi strumenti

di risk management che ha a disposizione. Una volta superati i rischi

operativi, è possibile individuare i rischi di credito e i rischi di mercato.

Questa visione panoramica consente all’auditor di intuire le event

interdipendencies, cioè quelle “relazioni pericolose” tra i rischi individuati

di cui è necessario tener conto nella fase successiva di risk assessment.

A questo punto l’internal auditor può contribuire alla valutazione delle

criticità dei rischi che possono impattare sull’azienda.

L’assessment del rischio è un’attività particolarmente delicata, attraverso la

quale il rischio in esame viene definito in funzione della relazione tra

probabilità di accadimento dell’evento indesiderato e dell’impatto che

questo può avere sul raggiungimento degli obiettivi aziendali.

Questa operazione consente di “etichettare” il rischio in funzione della sua

criticità e di collocarlo in una zona precisa della matrice del rischio (Figura

8). Tale matrice è solitamente rappresentata dallo spazio compreso tra gli

assi cartesiani, con i valori di probabilità e di impatto, che si intersecano in

un punto 0; lo spazio viene così diviso in quadranti (4 nel nostro caso) nei

quali i rischi vengono collocati a seconda della loro criticità.


131

L’auditor deve conoscere bene l’importanza della matrice di rischio, sia

come strumento operativo, sia come strumento di comunicazione al

management delle criticità aziendali; criticità che nel processo di ERM

devono essere stimate in funzione di quella che il CoSO-ERM definisce

correlation of event, vale a dire il sistema di interrelazioni che si vengono a

creare tra i rischi.

Per questo sistema di relazioni l’attività di risk assessment non può essere

effettuata sul singolo rischio, ma necessariamente sulla valutazione degli

effetti che il verificarsi di quel rischio può comportare, tenendo conto di

come questi effetti possano innescare altri eventi dannosi.

In questo senso, l’utilizzo di un modello piramidale potrebbe essere utile

nella creazione degli scenari di rischio e nell’individuazione dei near

misses, quegli eventi (negativi) che potrebbero avvenire se si verificassero

determinate condizioni.

Anche in questo caso, a differenza della visione radiale del rischio, la

piramide dei rischi consente all’auditor di stimare il valore del rischio in un

contesto integrato, che metta in evidenza l’interdipendenza tra gli eventi

HIGH-LOW HIGH-HIGH

LOW-LOW LOW-HIGH

IMP

AT

TO

PROBABILITA’

Fig. 8

LA MATRICE DEL RISCHIO


132

negativi e che consenta quindi di definire con maggior precisione il

collocamento dello specifico rischio all’interno della matrice di rischio197.

L’attenzione all’interdipendenza tra i rischi consente di “tarare” con più

precisione il peso specifico di ogni rischio in funzione degli scenari che

possono derivare dal verificarsi dello stesso, definendo con maggior

approssimazione il valore dell’impatto complessivo che il rischio può avere

sull’azienda.

Quanto appena detto è essenziale per l’effettuazione di un corretto risk

assessment e, inoltre, l’utilizzo di tali modelli consente di dimostrare al

management come una specifica interdipendenza tra rischi giustifichi la

richiesta di intervenire con investimenti atti a ridurre il verificarsi di un

potenziale trigger event198.

È necessario sottolineare che, l’implementazione dell’approccio risk based

richiede all’internal auditor una grande esperienza ed elevate competenze

professionali, oltre che un continuo dialogo con i manager e il personale

operativo di riferimento.

Il rapporto di audit sarà incentrato, non tanto sulle non conformità di

singole attività o processi da cui poi scaturiranno controlli di remediation

tipici della fase di follow up, ma si concentrerà sui rischi individuati e sulla

valutazione delle politiche di gestione dei rischi intraprese, tutto ciò con la

collaborazione del management e dei responsabili operativi, i cui contatti

formali o informali garantiranno lo sviluppo del processo di risk

management.

197 Si pensi, ad esempio, alla distruzione accidentale dei disegni (rischio operativo): essa può impattare sulla capacità di produzione dell’azienda, la quale si trova in difficoltà nella consegna del materiale ai clienti (rischio operativo) con conseguente perdita economica dovuta al pagamento delle penali previste dal contratto di fornitura del materiale (credit risk); le perdite economiche possono causare una crisi di liquidità all’azienda, la cui reputazione, nel frattempo, ha subito un calo con conseguente perdita di quote di mercato (market risk). 198 Cfr. DAL NEGRO L., “Il terremoto di Kobe, ovvero l’interdipendenza tra i rischi.”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007 p. 32-36.


133

L’approccio basato sui rischi, nonostante fornisca all’organizzazione

maggior valore aggiunto rispetto ad un approccio tradizionale,

concentrandosi sulle aree a rischio più elevato, favorendo la condivisione

delle analisi con il management operativo e presentando un’alta capacità

informativa per gli operatori aziendali sulla rilevanza di meccanismi di

controllo come mezzi di raggiungimento degli obiettivi, richiede all’internal

auditor l’acquisizione di una serie di competenze che vanno oltre l’ambito

della revisione.

Sono necessari, fra le altre cose, una buona conoscenza del contesto di

riferimento in cui opera l’azienda e competenze manageriali nei diversi

settori gestionali che non sempre il revisore interno possiede; in questi casi,

c’è il rischio che tale approccio non consenta di giungere ad una

valutazione complessiva dei controlli interni.

4. IL CONTROL & RISK SELF ASSESSMENT (CRSA)

Come già visto precedentemente, nell’attuale contesto economico, il tema

dell’analisi dei rischi è diventato di fondamentale importanza. Lo stesso

Codice di Autodisciplina, ispirandosi all’ “ERM – Integrated Framework”

del 2004, propone una definizione di sistema di controllo interno da

intendersi come “l’insieme delle regole, delle procedure e delle strutture

organizzative volte a consentire, attraverso un adeguato processo di

identificazione, misurazione, gestione e monitoraggio dei principali rischi,

una conduzione dell’impresa sana, corretta e coerente con gli obiettivi

prefissati”.

In particolare, l’adozione di un approccio basato sui rischi acquista

rilevanza in termini di comunicazione al mercato; infatti, gli emittenti sono

chiamati a fornire un’adeguata informativa sul livello di rischio e sui


134

meccanismi di risk management implementati e ciò consente di tutelare

maggiormente gli investitori, che sono messi nelle condizioni di valutare i

rischi del proprio investimento.

Il processo di valutazione dei rischi rappresenta, quindi, sia una

componente del sistema di controllo interno, sia una fase di svolgimento del

risk management. Abbiamo avuto modo di osservare che il concetto di

valutazione del rischio qualifica un insieme coordinato di attività inerenti

l’identificazione, la misurazione e la classificazione, in base alle priorità,

dei rischi aziendali.

La responsabilità di tale processo, pur coinvolgendo l’intera struttura

organizzativa, è comunque affidata al vertice aziendale, mentre all’internal

auditor, spesso, spetta il compito di un suo monitoraggio. Tale attività ha

comportato la necessità di sviluppare nuovi canali di comunicazione, tra

revisori interni e management, che favorissero l’evoluzione di meccanismi

operativi utili alla valutazione dei rischi.

La metodologia di Control & Risk Self Assessment (CRSA) può costituire

un utile ed efficiente strumento di collaborazione tra manager ed internal

auditor nell’analisi e nella valutazione dei processi di risk management e

controllo dell’organizzazione.

Il CRSA può essere definito come una “metodologia di autodiagnosi”,

caratterizzata da un’attiva partecipazione del management, che consente ai

manager e ad altri soggetti operativi di un’unità organizzativa, funzione o

processo, attraverso un processo strutturato e guidato, di199:

- identificare gli obiettivi di business e di governo prioritari e i relativi

rischi e vulnerabilità potenziali che costituiscono minacce al loro

conseguimento;

- valutare i processi di controllo finalizzati a mitigarli o gestirli;



135

- sviluppare iniziative per ridurre i rischi che emergono nel corso

dell’autodiagnosi;

- determinare il livello di accettabilità dei rischi residui ai fini del

conseguimento degli obiettivi200.

La grande novità del CRSA è rappresentata dal prefisso “self”, ovvero

auto-valutazione. Nel parlare di valutazione dei controlli interni, viene

chiamato in causa l’intero management dell’organizzazione e i suoi gruppi

di lavoro, e non l’Internal Auditing.; ed è proprio l’aspetto auto-valutativo

la vera innovazione rispetto all’approccio risk based, in cui è l’Internal

Auditor a valutare l’efficacia dei controlli posti in essere

dall’organizzazione per raggiungere gli obiettivi stabiliti, sulla base dei

rischi aziendali201.

Le modalità di effettuazione del CRSA non seguono criteri predefiniti, ma

si modificano per adattarsi ai continui cambiamenti dell’organizzazione in

funzione del settore di appartenenza, della struttura organizzativa, del

livello di empowerment del personale, dello stile manageriale e dei sistemi

di formulazione di strategie e politiche.

Il processo di CRSA deve, pertanto, essere calibrato in modo che si adatti

alle caratteristiche di ogni struttura organizzativa, oltre che dinamico e

modificabile nel tempo a fronte del continuo evolversi della stessa.

Al di là dell’ampia varietà di approcci che si distinguono: per le tecniche

adottate (workshop, interviste o questionari), supportate anche da varie

analisi interne elaborate dal management; per il diverso grado di

200 Nel 1998, l’Institute of Internal Auditor (IIA) ha definito il CSA (allora si chiamava così) “un processo attraverso il quale si analizza e valuta l’efficacia del controllo interno con lo scopo di fornire ragionevole certezza che tutti gli obiettivi dell’organizzazione siano raggiunti.” E descrivendone le varie fasi operative precisava che il CSA è “un approccio di team, strutturato, analitico e facilitato, che utilizza le competenze degli esperti, usa l’anonimato per far emergere la verità relativamente al conseguimento degli obiettivi, identifica le cause di fondo dei rischi, e delle debolezze di controllo e fornisce informazioni quantificate per la presa di decisioni e lo sviluppo dei miglioramenti.” 201 Cfr. TORNEO M., “Introduzione al Control and Risk Self Assessment.”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 8.


136

coinvolgimento del management dei livelli più elevati e per il ruolo assunto

dall’Internal Auditing; le caratteristiche distintive del CRSA consistono nel

fatto che:

• la valutazione dei rischi e dei controlli interni spetta al management;

• vengono utilizzate metodologie di facilitazione, quali workshop e

questionari;

• l’internal auditor assume in tale approccio un ruolo di “facilitatore” e

formatore sulle tematiche relative ai rischi e ai controlli.

La presenza della Funzione di Internal Auditing nel CRSA non costituisce

necessariamente un elemento distintivo del processo; infatti, anche se gli

internal auditor risultano le figure maggiormente coinvolte, nella realtà, ai

fini dell’introduzione del CRSA nelle organizzazioni, lo stesso può essere

supportato da altre figure professionali interne o esterne.

L’implementazione del Control & Risk Self Assessment può strutturarsi per

tutte le dimensioni organizzative, quindi, per Funzioni, business unit,

processi e progetti. Tale approccio consente una valorizzazione delle

conoscenze e delle capacità di tutti coloro che ne sono direttamente

responsabili e che conoscono a fondo le diverse problematiche di business e

le procedure relative al proprio lavoro.

Il CRSA, conformemente ai principi di miglioramento continuo e alla

diffusione della cultura di risk management, rappresenta un valido

strumento a disposizione del management aziendale per determinare

un’evoluzione nella cultura del controllo dell’organizzazione ed incentivare

l’empowerment del personale.

I vantaggi derivanti dall’adozione del processo di CRSA possono essere

così sintetizzati202:



137

- una maggiore consapevolezza del risk management e del controllo

dell’intera struttura organizzativa, derivante dall’apprendimento, da

parte dei partecipanti, delle modalità di analisi, nonché dall’assunzione

delle responsabilità in merito;

- una focalizzazione dell’attenzione sui rischi e sui controlli di maggior

rilievo;

- una maggiore efficacia delle azioni correttive, in virtù del fatto che i

partecipanti al CRSA sono, di fatto, i “proprietari” dei risultati scaturiti;

- un monitoraggio e un miglioramento continuo della filiera obiettivi –

rischi – controlli;

- un generale rafforzamento del ruolo del management nella gestione dei

rischi e dei processi di controllo, che può comportare una minore

propensione a delegare tali attività a specialisti, quali gli internal

auditor203.

In aggiunta, il CRSA contribuisce a diffondere ed a migliorare i processi di

enterprise risk management, tramite:

- la sensibilizzazione del management verso il processo di risk

management e il controllo interno;

- la motivazione del personale nella progettazione e nell’implementazione

dei processi di controllo, nonché nel miglioramento continuo dei

processi operativi;

- la segnalazione di eventuali malfunzionamenti e blocchi nei processi di

informazione e comunicazione; 203 Con il CRSA si invita l’intera popolazione aziendale ad identificare e circoscrivere i problemi di cui è a conoscenza, in modo che ne risulti una consapevolezza condivisa e globale dei rischi, a fronte dei quali impostare con razionalità le necessarie azioni correttive. “Questo è il CRSA: un ponte. Un ponte che collega chi sa dell’esistenza di un problema ma non ha il potere di risolverlo, con chi avrebbe tutti i poteri necessari ma ignora l’esistenza del problema. Ma il CRSA è anche di più: un sistema di mappatura che consente di eliminare gran parte dei territori oscuri dove si annidano i problemi irrisolti perché ignorati.” Cfr. Conversazione con Giovanni Grossi, Presidente onorario dell’AIIA, “Una sfida insidiosa per l’internal audit.”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 11.


138

- il miglioramento dei sistemi di reporting, in virtù della componente

autovalutativa del management sull’adeguatezza dei controlli a presidio

dei rischi.

È opportuno rilevare, inoltre, che le dinamiche organizzative del CRSA,

basate su un’attiva partecipazione del management e portatrici di un elevato

livello di sensibilità diffusa all’interno dell’organizzazione relativamente

alle interrelazioni sussistenti tra obiettivi, rischi e controlli, contribuiscono

al miglioramento della qualità del processo di pianificazione strategica, se

correttamente integrate all’interno dello stesso204.

Per quanto riguarda, ad esempio, i rapporti con l’ambiente competitivo, il

CRSA può contribuire alla definizione degli obiettivi strategici

dell’organizzazione, offrendo importanti indicazioni di scenario; oppure,

relativamente all’allocazione delle risorse, può incrementare la qualità del

processo di selezione delle diverse opportunità di investimento, offrendo

un’analisi sul rapporto tra redditività e profilo di rischio dello stesso; e non

per ultimo, l’aspetto della responsabilizzazione del management i cui piani

di azione elaborati nei processi di CRSA e finalizzati all’implementazione

di strategie di risposta al rischio dovranno essere sottoposti a verifiche di

compatibilità con altri programmi aziendali.

D’altro canto, il CRSA per poter avere successo, o anche solo poter essere

avviato come progetto, deve essere sperimentato in una organizzazione la

cui cultura sia già orientata all’empowerment di tutti i livelli. Perché il

CRSA possa effettivamente decollare è necessario, inoltre, che un clima di

fiducia e di onestà abbia la meglio su una presunta “ragion d’impresa”, e

che non ci siano veti e condizionamenti del vertice e del senior management

sulle problematiche da affrontare.

Se questi presupposti non esistono o sono di difficile realizzazione, è

meglio rinunciare. Ecco perché l’applicazione del CRSA risulta 204 Cfr. S. Beretta, Valutazione dei rischi e controllo interno. Egea Edizioni, Milano, 2004.


139

sostanzialmente sconsigliata in quelle organizzazioni del tipo “Comando e

Controllo”, in cui le decisioni e la creatività restano confinate a livello di

top management, le attività di internal audit bruciano preziose energie in

interventi principalmente di compliance, e l’attenzione degli stessi auditor è

più sulle procedure aziendali che sugli obiettivi di business205.

Alcune delle problematiche e degli ostacoli che si possono frapporre

nell’implementazione del Control & Risk Self Assessment sono206:

- la resistenza al cambiamento, da parte del personale dell’impresa di

fronte all’adozione di nuove metodologie;

- la mancata assunzione di responsabilità o impegno da parte del

management;

- la scarsa attendibilità dei risultati del CRSA derivante da culture

aziendali poco trasparenti;

- la necessità di competenze in tema di gestione dei rischi e di controlli,

gestione che richiede un elevato livello di addestramento del personale e

di impegno temporale ai fini dell’efficace funzionamento del processo di

CRSA;

- la mancanza, nell’ambito della Funzione di Internal Auditing, delle

competenze necessarie allo svolgimento del ruolo di “facilitatore” o di

istruttore;

- la non precisa definizione e comunicazione all’interno dell’azienda delle

responsabilità e delle caratteristiche del processo di CRSA, che rischia

di porre la Funzione Internal Auditing in competizione con le altre aree

aziendali.

205 Cfr. TORNEO M., “Introduzione al Control and Risk Self Assessment.”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 9. 206 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 250.


140

Da quanto fin qui detto, si comprende che prima di intraprendere il

cammino dell’adozione del processo di CRSA, è necessario effettuare

un’analisi dello “stato” in cui verte l’azienda, in modo tale da valutare se

sussistono una o più delle circostanze suddette, che potrebbero condizionare

in maniera rilevante la sua implementazione.

4.1. IL RUOLO DELL’INTERNAL AUDITOR NELL’APPROCCIO CRSA

Il grado di partecipazione della Funzione di Internal Auditing nei progetti di

CRSA varia a seconda delle circostanze.

Talvolta, è previsto un impegno rilevante che comporta la sponsorizzazione,

la progettazione, l’attuazione e la gestione del processo tramite la

conduzione di sessioni formative, la messa a disposizione di facilitatori e di

personale per la redazione di verbali e relazioni, nonché l’organizzazione

per il coinvolgimento di manager e gruppi di lavoro.

In altri casi, invece, il coinvolgimento dell’Internal Auditing si presenta più

contenuto, limitandosi a fornire consulenza e assumendo il ruolo di parte

interessata all’intero processo di valutazione, effettuando opportune

verifiche per convalidarne i risultati ed esprimendo un giudizio

professionale sull’adeguatezza e l’efficacia complessiva dei sistemi di

controllo e di gestione del rischio.

In genere, l’impegno della funzione di Internal Audit nei progetti di CRSA

si posiziona all’interno di questi due punti estremi; e sulle modalità di

intervento di tale Funzione esistono differenti visioni relativamente ai

seguenti punti207:

207 Cfr. L. Hubbard, Control Self Assessment:guida pratica, Milano, AIIA, 2006.


141

1) Il ruolo dell’internal auditing.

Alcuni ritengono che la funzione non debba essere “proprietaria” finale

del processo di CRSA e debba invece pianificare nel tempo il

trasferimento del ruolo di “facilitatore” e di reporting interamente ai

team di lavoro. Altri, invece, sostengono che l’internal auditing debba

continuare a svolgere il proprio ruolo di “facilitatore” ed essere il punto

di riferimento per la pianificazione e il reporting sul CRSA.

Nella realtà sono poche le funzioni di Internal Auditing che hanno

trasferito completamente le “proprietà” del CRSA ai team di lavoro.

2) L’attività di reporting dei risultati di CRSA.

Dovrebbe essere l’Internal Auditing a presentare un rapporto al

management sui risultati di un progetto, oppure lo stesso dovrebbe

essere emesso dal team di lavoro.

Anche l’emissione del rapporto di CRSA direttamente da parte del team

di lavoro crea un ulteriore allineamento di responsabilità tra la

valutazione dei controlli e il reporting, che può portare ad un maggiore

impegno nell’assessment di rischi e controlli rispetto al caso in cui la

responsabilità e il reporting non fanno capo alla stessa entità.

Gli internal auditor possono comunque emettere un rapporto sui risultati

dell’attività in generale, eventualmente poi corredati di verifiche

integrative; si precisa inoltre che, dove il CRSA non è ancora prassi

consolidata, svolgere attività di CRSA nell’ambito di uno specifico

intervento di audit, per esempio nella fase dell’analisi preliminare, può

avere effetti molto positivi.

3) La quality assurance.

Alcuni sostengono che la funzione di Internal Auditing debba eseguire

una valutazione globale per confermare l’affidabilità delle attività di

CRSA, altri ritengono, invece, che tutto ciò non sia necessario.

In realtà, la revisione del processo risulta necessaria se un self

assessment entra a far parte del piano di audit al fine di fornire una


142

visione complessiva dei controlli interni208. Inoltre, se il CRSA

sostituisce completamente un audit, dovranno essere effettuati test

efficaci in varie fasi del processo.

In sostanza, l’internal auditor costituisce un ausilio per il management

nell’adempiere alle proprie responsabilità, in termini di mantenimento ed

introduzione dei processi di controllo e di gestione dei rischi. Inoltre, è

opportuno sottolineare che, il CRSA, oltre che a fornire valore aggiunto

all’organizzazione tramite l’impiego di risorse specialistiche o a sostegno

dell’implementazione del progetto, consente alla Funzione di Internal

Auditing di conseguire dei vantaggi, quali209:

- diventare il diretto utilizzatore dell’output derivante dal CRSA: i

risultati prodotti nelle sue sessioni possono rivelarsi estremamente utili

ai fini della definizione del piano di audit e nella fissazione delle priorità

degli interventi;

- migliorare l’efficienza delle proprie attività, attraverso la riduzione delle

risorse dedicate alla raccolta di informazioni sui rischi e controlli e

l’eventuale eliminazione di parte delle attività di test.

In generale, un buon progetto di CRSA dovrebbe comportare un

ampliamento dell’ambito di copertura dei processi di controllo, un

miglioramento della qualità delle azioni correttive introdotte dai

responsabili di processo e una maggiore concentrazione delle risorse di

internal auditing sulle unità aziendali meno presidiate dal sistema di

controllo interno e che, allo stesso tempo, presentano elevati rischi

residuali.

208 Cfr. Professional Practies Pamphlet 98-2. 209 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 252.


143

Nel momento in cui i responsabili della Funzione di Internal Audit non

provvedono a preparare e controllare adeguatamente il proprio staff

nell’implementazione del CRSA, svolgendo, quindi, un ruolo di

“facilitatore” e di istruttore con scarsa preparazione e senza dotarsi di staff

con skills idonei, ecco che i danni provocati all’immagine della Funzione

Internal Auditing potrebbero essere considerevoli.

4.2. LE METODOLOGIE UTILIZZATE NEL CRSA

I principali approcci che vengono utilizzati più di frequente per lo

svolgimento del Control & Risk Self Assessment possono essere raccolti

nelle seguenti tre categorie:

a) Workshop approach.

b) Survey approach.

c) Management produced analyses.

Qui di seguito forniremo alcuni approfondimenti sulle tecniche

maggiormente utilizzate, in particolare il workshop e il questionario,

fornendo per completezza brevi accenni anche relativamente alle analisi

interne elaborate dal management.

a) Il workshop approach.

Il workshop, che nella realtà operativa risulta essere di gran lunga

l’approccio più diffuso e apprezzato, consiste in sessioni di analisi e di

discussione, opportunamente strutturate, condotte da “facilitatori”.


144

Si tratta, in altri termini, di riunioni di gruppo che, normalmente durano da

due a quattro ore e coinvolgono da sei a quindici partecipanti, progettate

allo scopo di far emergere conoscenze, percezioni e giudizi dei partecipanti

sui rischi, sulle loro cause e sulle possibili conseguenze, nonché

sull’adeguatezza dei controlli esistenti, in relazione a un determinato

obiettivo o processo210.

Con il workshop, l’identificazione degli eventi viene tracciata sulla base

dell’esperienza e delle conoscenze del management, staff ed altro personale

coinvolto. Infatti, attraverso la partecipazione di persone appartenenti a

livelli diversi delle unità o Funzioni coinvolte, con differenti backround di

esperienze o conoscenze, è possibile identificare, con dinamiche di gruppo,

importanti eventi che altrimenti rischierebbero di essere omessi. Le

dinamiche che si innescano, favoriscono un incremento della sensibilità

verso gli aspetti riguardanti la gestione dei rischi e la criticità dei controlli,

promuovendo altresì, una migliore comunicazione tra le parti e migliorando

la comprensione reciproca degli effetti che le decisioni e i comportamenti di

ciascuna entità possono avere sulle altre, in termini di rischi.

Il ruolo di facilitatore, che provvede alla pianificazione e conduzione del

workshop, viene spesso assunto dall’internal auditor a cui è richiesta

un’elevata professionalità in materia. Facilitare il workshop significa,

pertanto, rendere più agevole al gruppo di lavoro la valutazione degli

obiettivi, dei rischi e dei controlli, facendo emergere idee, esperienze e

valori che possono fungere da base per prendere decisioni condivise e per

assumerne la responsabilità211.



145

L’internal auditor, pertanto, si trova nella posizione di moderatore212 della

discussione sugli eventi che possono influenzare il raggiungimento degli

obiettivi aziendali, nel suo complesso o della singola unità organizzativa.

Al facilitatore sono richieste, al di là delle caratteristiche generali necessarie

per la gestione efficace di qualsiasi meeting213, competenze

specificatamente connaturate al processo di CRSA. Di seguito riportiamo

alcuni momenti della gestione di un workshop su cui è opportuno porre

attenzione.

I. La preparazione preliminare del workshop

Preliminarmente all’effettuazione della riunione formalizzata, è opportuno

che l’internal auditor illustri al gruppo di lavoro, le finalità, i contenuti e i

motivi per cui il progetto di CRSA viene implementato nell’organizzazione,

la correlazione con l’attività di internal auditing e la destinazione dei suoi

risultati; in tale introduzione sono necessari l’utilizzo di una terminologia

univoca e di strumenti adatti per la raccolta di informazioni.

212 È fondamentale per una buona conduzione del workshop, che l’internal auditor sia dotato, oltre che di competenze tecniche in materia di rischi e controlli, anche di competenze socio-organizzative. Secondo una ricerca effettuata da un gruppo di studio, un facilitatore di CRSA dovrebbe essere: - dotato di caratteristiche quali prontezza, abilità, intelligenza, perspicacia; - generalista; - capace di costruire una struttura intorno ai concetti trattati; - in possesso di abilità comunicative; - capace di adattarsi in situazioni di ambiguità. (Per ulteriori approfondimenti cfr. R.P. Tritter, D.S. Zittnan, Control Self Assessment: Experience, Current Thinking and Best Practices, The IIA Research Foundation, 1996.) 213 È opportuno il riferimento a tutte quelle responsabilità relative a: - aspetti logistici del meeting, inerenti locali, materiali, dotazioni, break, pasti e quant’altro

connesso all’allestimento e alla gestione di uno workshop; - gestione del processo, che implica la definizione della struttura, delle regole generali e delle

finalità del meeting; - controllo della dinamica di gruppo, relativo alla gestione delle personalità, delle aspettative,

dei conflitti e delle inefficienze che possono insorgere nei meeting. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 256.


146

In particolare, ai fini di rendere efficiente ed efficace tale processo, si

procede214:

• ad illustrare in anticipo ai partecipanti i contenuti e i metodi del

workshop, compresi i modelli di rischio e controllo adottati;

• ad effettuare un incontro con il management del gruppo di lavoro che

parteciperà al meeting, per acquisire informazioni sull’attività e gli

obiettivi di business ed illustrare il progetto di CRSA;

• a comprendere la cultura del gruppo di lavoro, in modo tale da avere la

consapevolezza del clima che si presenterà durante lo svolgimento del

workshop;

• a selezionare gli obiettivi e i processi da utilizzare nel workshop, per poi

individuarne i partecipanti;

• ad acquisire informazioni relativamente alla terminologia utilizzata dal

gruppo, quindi i nomi dei processi e dei sistemi informatici, nonché di

eventuali precedenti audit o analisi;

• predisporre la logistica del meeting e comunicare, per tempo, la data

della sua effettuazione;

• predisporre un’agenda, che rappresenti una guida alle diverse sessioni di

workshop.



147

II. La gestione del workshop

Essa fa riferimento, soprattutto, ad aspetti inerenti la gestione delle

dinamiche di gruppo, ovvero:

• l’abilità nel comprendere quali domande provenienti dal gruppo devono

ottenere un’immediata risposta e quali, invece, possono essere girate al

gruppo stesso per rafforzarne le competenze;

• la raccolta delle informazioni, con particolare riguardo alla capacità di

ottenere risposte specifiche, di capire la situazione reale, di trovare

l’accordo nel registrare i risultati, di osservare i partecipanti per capire

quando indagare ulteriormente, quando lasciare che qualcuno assuma la

guida, quando, invece, coinvolgere qualcuno nella discussione e non

imporre la propria visione al gruppo;

• le competenze specifiche per una presentazione efficace, quindi

entusiasmo, sincerità, energia, capacità comunicative, rispetto della

tempistica, utilizzo di supporti visivi, attrezzature e modalità espositive;

• la gestione delle differenti personalità che partecipano al workshop e la

capacità di governare eventuali situazioni critiche;

• l’utilizzo della tecnologia per effettuare le votazioni215.

215 Normalmente la tecnologia impiegata si concretizza nel voto anonimo o nel sistema delle postazioni di lavoro. Il voto anonimo permette ai partecipanti di indicare preferenze, priorità, percezioni e opinioni su un determinato argomento; il sistema delle postazioni di lavoro consente ai partecipanti di scrivere le loro idee sui propri computer, collegati in rete per poter essere visualizzate su uno schermo. Molti dei risultati del workshop possono essere ottenuti mediante tecniche manuali, ma la visualizzazione e l’analisi della votazione in tempo reale consentite dai sistemi elettronici possono massimizzare i risultati. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 257.


148

III. Le possibili tipologie di workshop216

Il workshop può strutturarsi secondo percorsi e focus diversi a seconda

degli obiettivi che si intendono perseguire, qui di seguito riportiamo dei

brevi accenni su alcuni degli approcci utilizzati per condurre un’analisi

CRSA.

L’approccio complessivo basato sugli obiettivi aziendali prefissati, si

focalizza sull’individuazione dei rischi che possono pregiudicare il

raggiungimento di un determinato obiettivo aziendale, pertanto il workshop

prende avvio con l’identificazione di tutti i possibili ostacoli, barriere,

minacce e vulnerabilità (rischi inerenti).

Successivamente, si procede all’analisi delle procedure di controllo in atto

per verificarne l’idoneità al contenimento dei rischi principali, per poi

determinare l’entità del rischio residuale e valutarne la tollerabilità, in

funzione delle politiche aziendali.

Essendo l’obiettivo finale quello di identificare l’esistenza dei rischi

residuali rilevanti, questo approccio può produrre risultati più ampi rispetto

alle altre metodologie, in quanto fornisce una completa identificazione dei

rischi e dei controlli e si basa su un sistema di valutazione del rischio già

ottimizzato.


OBIETTIVORISCHI

INERENTICONTROLLI

RISCHIRESIDUI

VALUTAZIONE

La sequenza del workshop basato sui rischi

Fig. 9


149

L’approccio basato sui processi, si basa sull’analisi di un intero processo217

e delle specifiche attività che si svolgono al suo interno.

Tale approccio, in genere risulta molto più familiare per i revisori interni e

per il management, in quanto ha come oggetto di analisi i processi a cui

tipicamente si riferisce l’attività di auditing tradizionale.

Il workshop process-based, in genere include l’identificazione degli

obiettivi aziendali per l’intero processo e per le varie attività che lo

compongono; da qui i partecipanti al gruppo di lavoro procedono ad

identificare i relativi rischi e i controlli che consentono il raggiungimento di

tali obiettivi.

Lo scopo dell’analisi è quello di valutare, aggiornare, convalidare e

migliorare ed eventualmente semplificare l’intero processo e le singole

attività che lo compongono, ottimizzandone quindi la sua gestione in

un’ottica di risk management.

L’approccio basato sui processi può avere una maggiore ampiezza di analisi

in quanto focalizzato su una molteplicità di obiettivi all’interno del processo

e può essere utilizzato dal management in progetti di reengineering e di

miglioramento della qualità e, in generale, in iniziative di miglioramento

continuo.

Esso, inoltre, nel caso di processi trasversali alle linee funzionali, favorisce

la comunicazione tra gruppi appartenenti a diverse aree aziendali, offrendo

ai partecipanti l’opportunità di una maggiore comprensione delle attività

del processo.

217 Per processo si intende una serie di attività a valore aggiunto, tra loro coordinate al fine di conseguire un determinato risultato.


150

L’approccio focalizzato sui controlli si concentra sul metodo migliore per

la realizzazione degli obiettivi prefissati ed inizia con l’identificazione dei

controlli in essere per il perseguimento di ciascun obiettivo aziendale, sulla

base dei rischi inerenti già individuati prima dell’effettuazione del

workshop. Da qui si procede all’identificazione dei relativi rischi residuali e

alla conseguente valutazione delle procedure di controllo, in termini di

adeguatezza, efficacia e idoneità a garantire livelli accettabili di rischio

residuale.

In tale approccio i principali rischi inerenti vengono identificati a seguito di

analisi interne effettuate in una fase preliminare del progetto o, comunque,

già disponibili.

Dato che questo approccio presuppone una valida identificazione dei rischi,

con il relativo disegno dei controlli per il raggiungimento degli obiettivi,

esso può essere applicato in un’organizzazione che abbia già implementato

un modello di rischi e di controllo.

OBIETTIVIPROCESSO

OBIETTIVIATTIVITA’

RISCHIINERENTI

OTTIMIZZA-ZIONE

CONTROLLI

La sequenza del workshop basato sui processi

VALUTAZIONE

Fig. 10


151

Infine, l’approccio focalizzato sui rischi residui, è un approccio molto

circoscritto, poiché si concentra sulla verifica del corretto funzionamento

dei controlli in essere. I principali controlli e i rischi potenziali vengono

identificati da analisi interne già disponibili o determinati durante il

processo di pianificazione del progetto di CRSA. Tale identificazione

preliminare può avvenire attraverso interviste con il management e i

collaboratori, l’utilizzo di flowcharting o altri modelli di supporto.

Il suo scopo è valutare l’efficacia dei controlli nel contenimento dei rischi e

nel raggiungimento degli obiettivi fissati, dato che i controlli nel tempo

sono soggetti ad un certo grado di volatilità, per cui anche quelli

originariamente più efficaci possono deteriorarsi per negligenza o per

effetto del contesto interno ed esterno in cui essi operano. In questi casi il

rischio residuale che in passato veniva considerato accettabile per

l’organizzazione potrebbe tornare a riposizionarsi attorno al livello

originale di rischio inerente.

Tale approccio rappresenta un punto di partenza per quelle organizzazioni

che, abituate ad un audit tradizionale, intendono avviare un workshop ai fini

di una totale valutazione dei rischi di business.

OBIETTIVORISCHI

INERENTICONTROLLI

RISCHIRESIDUI

VALUTAZIONE

La sequenza del workshop basato sui controlli e sui rischi residui

Workshop

Fig. 11


152

b) Il survey approach.

Tale metodologia si basa sull’utilizzo di questionari, i quali rappresentano

uno dei classici strumenti di indagine dell’attività di revisione e vengono

tradizionalmente utilizzati per la comprensione del sistema di controllo

interno e dei principali processi aziendali.

Tali strumenti sottopongono i partecipanti ad una serie di argomenti da

discutere, focalizzandosi principalmente sull’individuazione e la

misurazione dei fattori di rischio e di controllo dell’organizzazione.

Essi sono costituiti da un elenco di domande, che possono essere aperte o

chiuse, formulate attentamente in modo da essere comprensibili ai

destinatari prescelti (una o più persone interne all’organizzazione, oppure

esterni, ad esempio clienti, fornitori, etc.).

I questionari sono solitamente caratterizzati da domande a risposta chiusa

(del tipo Sì/No, Attivato/Non Attivato), in modo tale da favorire il rapido

esame delle risposte da parte dell’internal auditor.

Tale tecnica contribuisce all’implementazione del CRSA, rappresentando,

comunque, una forma di auto-valutazione, infatti, le domande proposte al

management e ad altro personale operativo, ineriscono aspetti che

contribuiscono ad una complessiva valutazione dei sistemi di controllo e di

rischio.

I questionari vengono solitamente utilizzati nei casi in cui la popolazione di

riferimento è molto numerosa o geograficamente molto dispersa218 per

partecipare ad un workshop, oppure laddove non vi sia un’adeguata cultura

del controllo ed il personale risulta impreparato ad intraprendere una

discussione aperta e sincera nell’ambito di un workshop; in altre circostanze

legate ad esigenze di riduzioni di tempi e/o costi della raccolta di

218 Talvolta quest’ultima circostanza induce ad utilizzare il questionario come tecnica complementare allo svolgimento del workshop, soprattutto quando si necessitino delle informazioni che coprono un ampio numero di soggetti che difficilmente potrebbero essere coinvolti nel workshop.


153

informazioni e a difficoltà di carattere professionale, nel momento in cui

non esistono le competenze necessarie alla gestione e alla conduzione di un

meeting facilitato.

D’altro canto, l’impiego dei questionari presenta alcuni svantaggi rispetto al

workshop approach: talvolta può essere dubbia la veridicità e l’attendibilità

delle risposte date dai partecipanti, soprattutto, se non seguite da un

aggiornamento periodico delle stesse, inoltre, si presenta il problema

dell’impossibilità di fornire chiarimenti immediati sulle risposte date, in

virtù della rigidità di tale strumento ed, infine, la scarsa partecipazione

potrebbe rendere la percentuale delle risposte decisamente bassa.

Nella predisposizione del questionario è opportuno tener conto di alcune

accortezze che potrebbero incrementarne l’efficacia, tra queste, si segnalano

l’utilizzo di questionari corti e semplici, formulati con un linguaggio

semplice e non condito di tecnicismi propri della revisione, lo sviluppo di

un singolo argomento per ciascuna domanda, l’inserimento delle domande

più semplici nella parte iniziale, l’invio personalizzato del questionario e la

raccolta della modulistica personalmente da parte dello stesso internal

auditor.

c) Management produced analyses.

Le analisi interne elaborate dal management più che descrivere un vero e

proprio approccio, comprendono varie modalità con cui i gruppi di manager

elaborano informazioni relative a specifici processi aziendali, attività di

gestione del rischio e procedure di controllo219.

Tali analisi sono di vari tipi e, spesso, integrano le due metodologie viste

precedentemente, tuttavia, per le finalità informative che le



154

contraddistinguono, possono essere ricondotte fra le tecniche proprie del

CRSA.

In tale categoria è possibile ricomprendere:

- i questionari elaborati e gestiti dal management per approfondire

particolari questioni inerenti le politiche gestionali;

- i confronti tra i responsabili dell’area finanziaria prima della

presentazione dei risultati di periodo;

- le indagini e gli approfondimenti condotti su particolari eventi dovuti a

carenza di controlli o frodi;

- etc.

A conclusione di questa disamina sui diversi approcci metodologici

applicabili nell’implementazione del Control & Risk Self Assessment, è

opportuno mettere in evidenza che l’utilizzo di tale tecniche in

un’organizzazione è condizionato da molteplici fattori, tra i quali:

• la cultura aziendale, è forse lo scoglio più rilevante: infatti, se essa

supporta un approccio di tipo partecipativo e trasparente, il workshop

non è solo preferibile, ma anche raccomandabile rispetto alle altre

alternative. A tal riguardo il supporto e la comprensione dello spirito di

queste iniziative da parte del management assume, infatti, grande

rilevanza, condizionando, talvolta, l’applicazione dell’uno o dell’altro

approccio;

• le dimensioni della popolazione da coinvolgere nel progetto di CRSA:

come già accennato precedentemente, quanto maggiore è il numero dei

partecipanti al gruppo di lavoro, tanto più la scelta dovrà essere orientata

verso i questionari;

• la natura dell’attività svolta dall’azienda, anch’essa incide, senza

dubbio, sulla possibilità di utilizzo di strumenti avanzati di risk


155

assessment, per quanto riguarda, ad esempio, le imprese del settore

finanziario-assicurativo, queste da sempre hanno orientato la propria

gestione sull’analisi dei rischi delle operazioni intraprese,

comprendendo ben presto gli effetti devastanti provocati dal fallimento

del sistema dei controlli;

• le risorse della Funzione di Internal Auditing, in termini di esperienza e

competenze specifiche dei revisori interni, per i quali la posizione di

facilitator nella conduzione di workshop, rappresenta decisamente il

ruolo più innovativo e complesso da affrontare; e dal punto di vista dei

costi d’implementazione o attuazione da valutare in relazione ai benefici

economici ottenibili;

• l’atteggiamento assunto da parte dell’Audit Committee nei confronti

dell’attuazione di nuove iniziative: questo, infatti, attraverso un’opera di

sensibilizzazione del vertice aziendale può costituire una fonte di

stimolo per l’implementazione di approcci innovativi di auditing.

Inoltre, il passaggio dalla metodologia tradizionale, che potrebbe essere

adottata in una prima fase ai fini del consolidamento della Funzione di

Internal Audit, alla metodologia del CRSA, determina il rischio di

un’eccessiva ingerenza da parte dell’internal auditor in un mondo spesso

inesplorato con aspetti manageriali che esulano dalla professionalità del

revisore interno.

Tale metodologia potrebbe, infatti, generare delle condizioni sfavorevoli

all’interno dell’organizzazione, nel momento in cui il management si

irrigidisce di fronte alla percezione di essere valutato dall’internal auditor

su competenze manageriali specifiche.

5. Il gruppo Guess: un player mondiale

156

CAPITOLO 5

IL GRUPPO GUESS: UN PLAYER MONDIALE

1. IL GRUPPO GUESS

Ad oggi il gruppo Guess si presenta come un grande player mondiale,

fondato e controllato dai fratelli Marciano, che vede correre il proprio

business come una vera e propria locomotiva, rilevando risultati, in termini

di fatturato, continuamente in crescita.

Il gruppo Guess si configura con una struttura organizzativa piuttosto

complessa e articolata, dal punto di vista dei legami partecipativi

intercorrenti tra le diverse entità societarie, le quali, in ultima analisi,

dipendono tutte dalla capogruppo Guess Inc. con sede a Los Angeles.

Guess svolge la propria attività nell’area geografica dell’America,

dell’Europa e dell’Asia, ognuna della quali si differenzia notevolmente dal

punto di vista culturale e sociale.

La struttura organizzativa del gruppo varia, pertanto, a seconda delle

diverse aree di business in cui esso va ad operare, infatti, ognuno dei tre

continenti si caratterizza per una struttura di business propria e per canali

distributivi differenti.

Guess ha deciso di adottare una strategy brand molto focalizzata sulla

qualità in ognuno dei segmenti in cui è presente, con licenziatari che sono

più partner che fornitori, comunque sempre all’insegna del principio “one

Guess, one brand”.

Il mercato infatti, ha recepito questo focus strategico, che si accompagna a

una segmentazione molto chiara e definita, determinando, negli ultimi due

anni, un decollo del titolo quotato al New York Stock Exchange (NYSE) di


157

Wall Street, che ha registrato un incremento di circa il 124%391 (vedi

Fig.12).

L’obiettivo non è quello di essere il partner di tutti ed essere presenti

ovunque, ma come dichiarato di recente in un intervista rilasciata da Paul

Marciano: “vogliamo semplicemente adattarci alle diverse esigenze, ecco la

necessità di produzioni con caratteristiche specifiche e differenti per

l’America, l’Asia e l’Europa. Una strada diversa non esiste. Siamo molto

consistent in questo e perciò abbiamo creato team eccellenti per ogni area

coperta”392.

GUESS’ SHARES LAST 2 YEARS TREND

Fig 12

391 Cfr il sito internet http://finance.yahoo.com/ . I valori di riferimento ai fini della determinazione della percentuale di crescita del titolo GES sono quelli relativi alla chiusura in data 01/03/2006 pari a $18,38 e quelli relativi alla chiusura in data 29/02/2008 pari a $41,13. 392 Cfr. Intervista a Paul Marciano “ho un sogno firmato Guess”, Pambianco Week, Numero 17, Anno III, 1 Ott 2007, pag 6-11.


158

GUESS’ FINANCIAL HIGHLIGHTS

Fig 13

Nel continente americano il gruppo è organizzato in una serie di entità

societarie deputate alla gestione del business property retail, rappresentato

da negozi Guess monomarca – free standing stores393 e factory outlets –

partecipati al 100% dalle diverse società del gruppo.

Il mercato del retail assume un peso estremamente rilevante per l’area

USA, rappresentando circa il 90% del fatturato del mercato statunitense.

Alle diverse società operative specializzate nella conduzione del business

retail si aggiungono, inoltre, società specificatamente deputate alla gestione

delle licenze, nonché alla tutela del marchio e di altri diritti.

Per quanto riguarda, invece, il mercato europeo, esso è costituito per l’80%

circa dal business wholesale, il quale si compone del mercato costituito da 393 Con il termine free standing store si intedono i negozi di prima linea, ovvero tutti i negozi monomarca in cui viene esposta la collezione della stagione in corso venduta a prezzo pieno.

In thousand Dollars

Period Ending 31-Dec-06 31-Dec-05 31-Dec-04

Total Revenue 1,185,184 936,092 729,262

Cost of Revenue 665,805 555,223 455,278

Gross Profit 519,379 380,869 273,984

Research Development - - -

Selling General and Administrative 326,356 279,059 218,502

Non Recurring - - -

Others - - -

Total Operating Expenses - - -

Operating Income or Loss 193,023 101,810 55,482

Total Other Income/Expenses Net 10,424 2,626 884

Earnings Before Interest And Taxes 203,447 104,436 56,366

Interest Expense 7,450 6,741 5,653

Income Before Tax 195,997 97,695 50,713

Income Tax Expense 72,715 38,882 21,147

Minority Interest -114 - -

Net Income From Continuing Ops 123,168 58,813 29,566

Non-recurring Events

Discontinued Operations - - -

Extraordinary Items - - -

Effect Of Accounting Changes - - -

Other Items - - -

Net Income 123,168 58,813 29,566

Preferred Stock And Other Adjustments - - -

$123,168 $58,813 $29,566Net Income Applicable To Common Shares

Income from Continuing Operations

Operating Expenses


159

negozi multibrand (il cosiddetto pure wholesale) e del retail sub-licence

ricompreso nel wholesale poiché, pur essendo rappresentato da negozi in

franchising monomarca non di proprietà, esso viene trattato, dal punto di

vista commerciale, alla stregua di un cliente distributore.

In relazione al business e al canale distributivo che caratterizza il continente

europeo, il gruppo si è organizzato con una società di direzione strategica –

Guess Europe – e società operative dislocate nei diversi Paesi europei in

charge per la conduzione della distribuzione e del business retail a livello

locale.

Infine, per quanto concerne il continente asiatico, esso è caratterizzato

prevalentemente da un business di tipo sub-licence, costituito quindi da

negozi in franchising, il quale viene gestito da due entità giuridiche di

recente costituzione, dislocate a Shangai e Seul, che provvedono ad una

direzione strategica e operativa dell’area orientale.

Il gruppo Guess offre al mercato Europa una vasta gamma di prodotti a

marchio Guess Jeans, Guess by Marciano e Guess Kids, che possono essere

sintetizzati qui di seguito:

• L’apparel, che comprende il denim, quindi capi in jeans, e la maglieria

in generale;

• Le handbags (borse);

• Le footwear (scarpe);

• Gli small leather goods, ovvero articoli in pelle, quali, ad esempio,

portafogli, portachiavi, cinture, ecc.

• watches (orologi);

• eyewear (occhiali);

• perfumes (profumi).


160

Gli articoli summenzionati sono a loro volta scomponibili fra le diverse

collezioni che caratterizzano la produzione del gruppo Guess a livello

mondiale. In particolare i diversi Pattern Dept. con la collaborazione del

Design, Sourcing & Development Dept. provvedono alla creazione di tre

diverse collezioni:

• la linea Guess Jeans;

• la linea Guess by Marciano (una collezione più ricercata che

rappresenta la prima linea del gruppo);

• la linea Guess Kids, dedicata ai più piccoli.

La realizzazione di ciascuna delle tre collezioni segue un timing

multiciclico tipico del fashion business che prevede la realizzazione di una

collezione relativa alla stagione Fall-Winter (Autunno-Inverno) ed una

relativa alla stagione Spring-Summer (Primavera-Estate); il timing sarà

illustrato più dettagliatamente nelle pagine che seguono, durante la

trattazione delle eventuali problematiche che potrebbero emergere in

termini di approccio da utilizzare ai fini della pianificazione dell’attività di

audit.

2. L’INTERNAL AUDIT DEPARTMENT NEL GRUPPO GUESS

Per quanto riguarda l’organizzazione di una Funzione di Internal Audit, il

numero delle soluzioni che possono presentarsi al Responsabile della

Funzione è strettamente legato alle caratteristiche del business, alla struttura

geografica e logistica dell’entità, ai rischi che devono essere gestiti e

all’articolazione del sistema di controllo interno strutturato per la loro

gestione.


161

L’Internal Audit Department nel gruppo Guess, si configura secondo una

struttura piuttosto decentralizzata, con un dipartimento in Guess Inc. a Los

Angeles che sovrintende gerarchicamente un dipartimento in Guess Europe

dislocato a Lugano (Headquarter, da cui dipendono gli uffici periferici di

Bologna e Firenze) ed altre due Funzioni in Asia, più precisamente a Hong

Kong e Seul.

Ad oggi, infatti, come la maggior parte delle strutture organizzative di

dimensioni significative, è molto ricorrente la costituzione di strutture di

Internal Audit dotate di vari gradi di autonomia.

Infatti, analizzando l’organigramma dei diversi organi endosocietari che

compongono il top management del gruppo Guess, con specifico

riferimento all’area americana e all’area europea, è possibile osservare,

dalla struttura di corporate governance proposta nello schema sottostante

(Fig. 14), come i due dipartimenti di Internal Audit in Guess Inc. e in Guess

Europe si collochino in posizione di staff rispetto al Board of Directors ed

assumano, al contempo, una posizione di dipendenza funzionale dal

Comitato per il controllo interno, così come previsto per le società quotate.

Per garantire una adeguata indipendenza e autonomia nello svolgimento

dell’attività di internal audit è necessario, come già ribadito nelle pagine

precedenti, che tale Funzione riporti ad un livello dell’organizzazione che

consenta il pieno adempimento delle sue responsabilità: nel nostro caso il

Comitato per il controllo interno di Guess Inc., il quale è costituito

esclusivamente da amministratori non esecutivi ed indipendenti, totalmente

avulsi dalla attività di direzione strategica del gruppo Guess.

L’Internal Audit Dept. di Guess Europe, pertanto, dovrà assicurare un

adeguato flusso informativo direttamente verso l’Internal Audit Dept. di

Guess Inc., il quale, a sua volta dovrà riportare al Comitato per il controllo

interno.

Il tal modo è esclusa qualunque forma di riporto che comporti un

condizionamento all’indipendenza e all’efficacia operativa nello


162

svolgimento dell’attività di auditing, eliminando altresì eventuali

limitazioni al proprio ambito di intervento ed ottimizzando la valutazione

dei rischi ed il reporting dei risultati di tale attività.

Fig 14

La logica che ha spinto l’Internal Audit Dept. di Guess Inc. verso il

conferimento all’Internal Audit di Guess Europe, di un certo grado di

autonomia, è strettamente legata alle complessità del business europeo.

Guess Europe, infatti, come già accennato precedentemente è caratterizzata

da un business totalmente diverso da quello americano: mentre essa si

presenta tipicamente come una azienda wholesaler, il cui fatturato, per la

maggior parte, deriva dalle vendite ai multibrand, ai distributori e ai negozi

in franchising, Guess Inc. è un’azienda retailer il cui business di riferimento

Corporate Governance – Internal Audit

BOARD OF DIRECTORS

GUESS INCAUDIT COMMITEE

INTERNAL AUDIT DEPT

GUESS EUROPE

CFO

BOARD OF DIRECTOR

GUESS EUROPE

INTERNAL AUDIT DEPT

GUESS INC

VICE PRESIDENT FINANCE VICE PRESIDENT...VICE PRESIDENT …

OTHER FIRST LINES..OTHER FIRST LINES..

GUESS EUROPE BRANCHE GUESS EUROPE BRANCHE GUESS EUROPE BRANCHE GUESS EUROPE BRANCHE

U.S.A.

EUROPE


163

è principalmente costituito dal business property retail con negozi di

proprietà.

Tale scelta, pertanto, deriva da una mancanza di esperienza da parte

dell’Internal Audit Dept. di Guess Inc. ad operare in un’entità con

caratteristiche totalmente diverse dalla propria.

Tra gli altri vantaggi individuabili, possono essere ricompresi la possibilità

di promuovere con maggior efficacia la cultura del controllo locale, così

come l’opportunità di sfruttare la migliore comprensione dei diversi

problemi locali di cui sono dotati gli internal auditor delle strutture

decentralizzate.

Il manager di riferimento potrà così assumere decisioni su questioni

circoscritte al contesto dell’entità in cui opera, incrementando l’efficacia e

l’efficienza del sistema di governo della Funzione in modo da evitare

eventuali ritardi legati alla gestione dei vari passaggi, a livello centrale,

connessi all’attuazione delle diverse azioni da implementare.

È da sottolineare, che nonostante il riconoscimento di un centro grado di

autonomia ai diversi dipartimenti di Internal Audit, il gruppo Guess ha

optato, come spesso accade, per una soluzione intermedia.

In particolare, i diversi responsabili di tali Funzioni sono comunque tenuti a

garantire la complessiva efficacia del sistema di audit al di là degli interessi

riconducibili alle singole entità societarie ed, inoltre, essi devono attenersi

ad un piano di audit (Audit Plan), annualmente definito a livello di globale

in Guess Inc., con la partecipazione degli stessi responsabili.

Più precisamente, si tratta di riporti di carattere funzionale che sottolineano

la capacità del Chief Audit Executive in Guess Inc. di orientare le attività

dei diversi dipartimenti in Europa ed Asia e di monitorare a livello centrale,

attraverso il riporto gerarchico, la conduzione dei diversi progetti del piano

di audit definiti a livello di corporate.


164

3. LA DEFINIZIONE DEL PIANO DI AUDIT

La definizione del piano di audit rappresenta la sfida che periodicamente il

Responsabile dell’Internal Audit deve sostenere per conciliare le risorse

disponibili con le esigenze di verifica dell’organizzazione nel suo

complesso394.

Accade spesso che le risorse di audit a disposizione risultano insufficienti a

soddisfare i fabbisogni di controllo del complessivo universo dei processi,

coerentemente con un criterio di completa copertura nell’arco di un

determinato periodo ed in conformità alle necessità evidenziate dal

management.

Secondo quanto stabilito dagli Standard Professionali, il Responsabile

dell’Internal Audit deve predisporre un piano delle attività basato

sull’analisi dei rischi, allo scopo di determinarne le priorità, in linea con il

Mandato e con gli obiettivi dell’organizzazione395.

Nel definire le priorità, gli Standard professionali suggeriscono di

considerare i seguenti aspetti:

• data e risultati dell’ultimo incarico;

• valutazione aggiornata dei rischi esistenti e dell’efficacia dei processi di

controllo e di gestione dei rischi;

• richieste del board e del vertice;

• attuali problematiche relative alla governance dell’organizzazione;

• eventuali variazioni intervenute nell’operatività aziendale;

• potenziali benefici ottenibili;

• variazioni avvenute nella consistenza e nella professionalità dello staff

di audit rispetto al piano precedente.

394 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 263. 395 Cfr. Guida Interpretativa IIA 2010-1 Pianificazione.


165

Dal punto di vista metodologico, al fine dell’identificazione delle aree

prioritarie da considerare nella definizione di un piano di audit, possono

essere applicati diversi approcci, tutti caratterizzati dal fatto di essere risk

based.

Il primo tema che ci troviamo ad affrontare nell’impostazione dell’audit

Plan è quello della definizione dell’universo di audit, ovvero l’insieme delle

possibili alternative di attività di audit realizzabili nell’organizzazione in cui

si opera.

L’universo di audit può essere composto da vari raggruppamenti di attività

operative aziendali che si prestano a divenire oggetto delle attività di

verifica di un singolo intervento, e per questo sono denominati “oggetti di

audit”396.

L’Internal Audit Plan del gruppo Guess è articolato per area territoriale

(America, Europa e Asia) e, all’interno di queste, è a sua volta scomposto

per entità giuridiche e quindi per processi aziendali. Non a caso una tale

articolazione della pianificazione di audit è comunemente riscontrabile in

quei contesti aziendali piuttosto complessi ed articolati in società

giuridicamente separate.

L’attenzione sui processi come oggetto privilegiato della pianificazione di

internal auditing deriva dal timing che caratterizza il fashion business, il

quale non si articola secondo un trend ciclico, ma si sviluppa secondo un

trend multiciclico (come rappresentato in Fig. 15), pertanto, un’analisi per

singolo Department non offrirebbe all’Internal Audit una visione completa

delle diverse attività aziendali su cui pianificare interventi di audit.

In aggiunta, tale approccio di analisi si è dimostrato molto utile per fare

fronte alle frequenti evoluzioni che hanno caratterizzato il gruppo Guess in

questi ultimi anni.



166

Infatti, una pianificazione per processi aziendali ha consentito altresì di

sopperire, in gran parte, ad eventuali processi di fusione o incorporazione,

così come ad eventuali riorganizzazioni delle strutture aziendali guidate da

esigenze di business, con la conseguente modifica delle aree di

responsabilità ed una ridefinizione degli obiettivi gestiti.

Fig. 15

Come evidenziato dagli Standard professionali, “l’universo di audit può

comprendere componenti ripresi dal piano strategico dell’organizzazione.

In tal modo, l’universo di audit rifletterà gli obiettivi complessivi del piano

di business. I piani strategici spesso riflettono in qualche modo la

propensione al rischio propria dell’organizzazione e il grado di difficoltà

nel raggiungimento degli obiettivi stabiliti. L’universo di audit può essere

influenzato dai risultati del processo di risk management. Nel definire il

Usual fashion timing

Sales Dept

Agent/Customer

Logistic

Warehouse

Administration

Production

07 1101 08 09 10 1205 06040302

Order Handling FW

Spedizioni FW Spedizioni SSCustomer Service SS

Customer Service FW

Order Handling SS

Riassortimenti FW

Riassortimenti SS

Fatturazione FW

Fatturazione SS

Controllo qualità FW

Controllo qualità SS


167

proprio piano strategico, l’organizzazione deve considerare l’ambiente in

cui opera, poiché è molto probabile che i fattori ambientali influiscano

sull’universo di audit e sulla valutazione dei rischi ad essi connessi397”.

L’Internal Audit Plan del gruppo Guess, infatti, contiene al suo interno

progetti di audit che, nel suo complesso, hanno un orizzonte temporale

superiore all’esercizio a cui lo stesso piano fa riferimento.

Questi sono frutto di una scomposizione in un’ottica annuale dei diversi

interventi di audit in relazione ai progetti pluriennali contenuti nel Three

Years Plan, il piano strategico definito dal top management in cui sono

stati identificati gli obiettivi di business dell’organizzazione e le strategie

per il conseguimento degli stessi.

In conclusione, la delimitazione degli ambiti di intervento è fondamentale

per la gestione dei singoli incarichi di audit, i quali devono conciliare

l’esigenza di garantire un’adeguata copertura dei rischi attraverso la verifica

del sistema dei controlli, con tempi di intervento gestibili e con un

ragionevole impatto sull’operatività aziendale398.

3.1. I CRITERI PER LA DETERMINAZIONE DEL PIANO DI AUDIT

L’attività di pianificazione di audit analizza gli oggetti di audit che

compongono l’universo di audit sulla base di un set definito di fattori la cui

valorizzazione e sintesi conduce alla definizione delle priorità che

consentono l’allocazione delle risorse.

397 Cfr. Guida Interpretativa IIA 2010-2 Collegamento tra piano di audit e rischi aziendali. 398 Quando l’universo definito dagli oggetti di audit assume una dimensione tale da non poter essere coperto dalle risorse disponibili nel lasso di tempo previsto dalla pianificazione, diventa necessario ripetere, allo scadere di ogni periodo, le analisi necessarie alla definizione delle nuove priorità per il periodo successivo, garantendo man mano la complessiva revisione di tutte le attività dell’universo. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 266.


168

Essendo le diverse attività di internal auditing finalizzate al controllo

interno, è naturale che le regole per l’allocazione delle stesse seguano

logiche legate alla presenza di rischi inerenti o residuali; ne consegue che i

criteri rispetto ai quali valorizzare i possibili oggetti di audit candidati alla

verifica dovranno essere legati alla valutazione dei rischi e del sistema di

controllo interno esistenti399.

Tali criteri possono essere di due tipi400:

• qualitativi, quando sono il risultato di una valutazione da parte degli

auditor, dei manager o di altri esperti;

• quantitativi, quando derivano dalla misurazione di grandezze rilevabili.

I primi che si caratterizzano per la più elevata possibilità di applicarli alle

varie tipologie di oggetti, presentano il rischio di una maggiore

imprecisione e della mancata condivisione tra valutatori differenti;

richiedono, quindi, da parte dell’internal auditor che desidera impiegarli,

particolari cautele in termini di:

• formalizzazione delle scale di valutazione per l’esplicitazione delle

logiche sottostanti la valorizzazione del criterio;

• sintesi di valutazioni effettuate da soggetti diversi per mitigare i rischi di

errore di un solo valutatore;

• verifica a posteriori della condivisibilità delle valutazioni da parte dei

destinatari dei risultati.

Nel caso di criteri quantitativi, il rischio di opinabilità può sembrare

superato, ma in realtà non lo è mai completamente; è infatti raro disporre in

399 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 269. 400 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 269-270.


169

azienda di indicatori quantitativi (contabili, gestionali o operativi)

specificatamente orientati alla rilevazione dei rischi, e risulta quindi

necessario ricorrere all’utilizzo dei cosiddetti “approssimatori” o proxy, che

non misurano esattamente il rischio che si desidera analizzare ma in qualche

modo forniscono grandezze ad esso connesse. La scelta di un proxy,

comunque, in assenza di misure specifiche introduce un elemento valutativo

che allontana dalla piena oggettività anche i criteri basati sulla misurazione.

Il criterio utilizzato dall’Internal Audit del gruppo Guess, per la definizione

delle diverse attività da inserire nell’Audit Plan, è prevalentemente di tipo

qualitativo, ad eccezione delle attività di auditing pianificate nel rispetto del

Sarbanes-Oxley Act, in cui la scala di valutazione che viene utilizzata per la

determinazione delle priorità è generalmente di tipo quantitativo.

In particolare un determinato controllo rientra nello scope della SOX nel

momento in cui questo supera una soglia di materialità determinata

dall’incidenza, in percentuale, sul Net Operating Result pari a circa il 5% a

livello di bilancio consolidato americano.

L’Audit Plan deriva, quindi, dalle diverse valutazioni effettuate dagli

Internal Audit Manager, ciascuno per l’area geografica di cui è

responsabile, le quali vengono aggregate e sintetizzate a livello di corporate

da parte del Chief Audit Executive di Guess Inc. che provvede, in ultima

analisi, a predisporre un Piano di attività definitivo, basato sull’analisi dei

rischi ed in linea con gli obiettivi dell’organizzazione, il quale viene

discusso con l’Audit Committee e presentato al Board of Director.

Qui di seguito riportiamo un estratto dell’Internal Audit Plan del gruppo

Guess, relativo all’area europea, per il Fiscal Year 2009401:

401 Con “Fiscal Year 2009” si intende il periodo che va dal 03 Feb. 2008 al 31 Gen 2009, corrispondente con l’esercizio fiscale di Guess Inc. L’esercizio fiscale americano presenta un timing diverso dall’esercizio fiscale italiano, in quanto i mesi sono composti da 4 o 5 settimane e le chiusure dei Report mensili, trimestrali e del Financial Statement annuale avvengono sempre il giorno Sabato. Infatti, se prendiamo in considerazione, ad esempio, i valori del bilancio civilistico di Guess Italia relativo all’esercizio 2007 (01/02/2007-31/01/2008), esso contiene valori che differiscono dal corrispondente bilancio US GAAP inviato a Guess Inc. ai fini della redazione del bilancio


170

FY2009 PROPOSED

Region Department Project Scope & Description Type

Europe Legal / Retail Ops Sub-licensee audit Review of the reporting and

financial requirements per the

agreement/lease to actual

activity currently occurring Financial

Europe Retail Ops Retail Store

Construction Review

Review the Retail Store

Construction process including

bidding, construction

monitoring, and payment.

Compare the Guess Europe

model to Guess Corporate

procedures. Operational

Europe AR/Customer Service Wholesale Process

Analysis

Review of the Customer Credit

Limits, AR aging, collections,

write-offs and related reserves

Operational

Europe Inventory Control Inventory Processing

Review

Review the order processing,

shipping and tracking for both

wholesale and retail operations

for the various product lines

Operational

Europe Multiple SOX Complete all aspects of the

Sarbanes Oxley compliance

project including

documentation, testing and

evaluation of deficient controls.

Compliance

Europe Guess Service Co. Guess Service

Company Contract

Review

Review the terms and

conditions of the Guess Service

Company Contract. Operational

Europe Logistics Physical Inventory Observation of Physical

Inventory counts at select retail

and distribution center

locations Financial

Europe Multiple Walk Throughs Complete walk through

documentation and provide

supporting information as

needed to satisfy the walk

through templates provided by

EY. Compliance

(…omissis…)

consolidato, in quanto quest’ultimo fa riferimento al Fiscal Year 2008 americano che va dal 04/02/2007 al 02/02/2008.


171

4. LE DIVERSE TIPOLOGIE DI AUDITING IN GUESS EUROPE

L’attività di internal auditing costituisce uno tra i più importanti “snodi” del

sistema informativo aziendale, che vede coinvolti diversi interlocutori,

alcuni dei quali di natura esosocietaria.

L’ampiezza e la complessità degli incarichi assegnati ad una Funzione di

Internal Audit comporta la necessità di disporre di adeguate risorse in

termini sia quantitativi sia qualitativi, al fine di poter rispondere di volta in

volta in maniera adeguata alle mutevoli richieste del management

aziendale.

Da quanto rilevato dall’esperienza dell’Internal Audit del gruppo Guess, i

differenti obiettivi prefissati nel piano di audit comportano l’esigenza di

attivare diverse tipologie di auditing, che si differenziano tra loro sia per

quanto riguarda l’oggetto dell’audit, sia per le diverse metodologie

utilizzate.

Tra le diverse tipologie di auditing, considerando il caso aziendale cui

facciamo riferimento in questa sede, possiamo analizzare:

1. l’operational auditing;

2. il compliance auditing;

3. l’IT auditing;

4. il fraud auditing;

5. l’audit finanziario e contabile.

È opportuno precisare che tale distinzione tra le diverse tipologie di

intervento non è così evidente nella realtà operativa e pertanto questo risulta

possibile soltanto a livello teorico. Di fatto, questa schematizzazione delle

diverse attività risulta agevole per condurre la nostra trattazione, nonostante


172

la consapevolezza che queste siano fortemente e necessariamente correlate

tra loro. Molto spesso, nel concreto si verificano le diverse situazioni402:

• un intervento di operational auditing, finalizzato alla valutazione

dell’efficacia ed efficienza del sistema di controllo di un determinato

processo aziendale, può, nell’ambito della propria effettiva fase di test

prevedere lo svolgimento di verifiche di conformità mediante l’attività

di compliance auditing;

• può verificarsi la fattispecie in cui, nel corso di un intervento di audit si

presenta la necessità di attivare una tipologia di audit diversa: questo è il

caso, ad esempio, di un intervento di compliance auditing che fa

emergere sospetti di eventi illeciti che determinano l’esigenza di

svolgere, in aggiunta, un’attività di fraud auditing, oppure un’attività di

operational auditing che rileva inefficienze del sistema informativo

innescando un’ulteriore attività di IT auditing, ecc.;

• possono essere affidati all’Internal Audit incarichi di ampiezza e

difficoltà tali da richiedere lo svolgimento di diverse tipologie di attività

di auditing.

È da precisare, inoltre, che nel gruppo Guess, sono richieste numerose

attività di auditing, a supporto della valutazione complessiva del sistema di

controllo interno e del relativo risk management e, pertanto, ampi spazi

sono concessi ad incarichi di natura mista.

Qui di seguito proponiamo un dettaglio relativo all’impiego delle risorse

nelle diverse attività di audit effettuate nel gruppo Guess (area Europa).

È evidente come l’attività di compliance auditing assuma un grande peso

fra le diverse attività svolte dall’Internal Audit Dept. di Lugano, Firenze e

Bologna.



173

Il motivo è da ricercarsi nell’importanza che ha assunto nel 2006

l’implementazione dei controlli ai fini del Sarbanes Oxley Act in Guess

Italia e in Focus (con sede a Bologna), implementazione che, nel 2008,

dovrà essere effettuata anche in Guess Europe mantenendo alto il peso del

compliance auditing tra le attività di audit pianificate.

L’impiego delle risorse nelle attività di auditing in Guess Europe403

403 L’incremento dell’impiego di risorse dedicate allo svolgimento dell’operational auditing, nel 2008, è dovuto alla pianificazione di nuovi progetti, programmati con la collaborazione dell’Internal Audit Dept. di Guess Inc.

75%

15%8%2%

Compliance Audit Operational Audit

Financial Audit Other

2007200720072007


174

4.1. L’OPERATIONAL AUDITING

Uno dei presupposti che sta dietro ad un buon sistema di governo delle

attività aziendali è sicuramente l’analisi dei processi e la valutazione

dell’efficacia e dell’efficienza della loro funzionalità in termini di risk

management, nonché le relative misure di controllo per mitigare i rischi

ritenuti significativi.

Tale tipologia di audit tende a produrre per l’organizzazione un elevato

valore aggiunto in quanto si traduce in un’analisi dei diversi processi

trasversali alle Funzioni aziendali, rilevando tipicamente problematiche di

integrazione ed efficienza.

L’operational audit è una delle attività di audit a maggior contenuto

consulenziale, in quanto valuta la strutturazione, ovvero il disegno del

sistema di risk management/controllo interno del processo. A seconda dei

69%

19%10%2%

Compliance Audit Operational Audit

Financial Audit Other

2008200820082008


175

risultati conseguiti non è raro che da tale attività possa scaturire anche la

reingegnerizzazione404 del processo stesso405.

Secondo tale logica, nel gruppo Guess, ed in particolare in Guess Italia,

l’entità a cui spesso faremo riferimento in questa trattazione, l’Internal

Audit Department ha provveduto, inizialmente, all’elaborazione di

narrative e flow chart dei diversi processi aziendali, sia processi di

business, sia processi di supporto, scomposti a sua volta nelle diverse

attività che collegate tra loro determinano un risultato (output) sulla base di

input definiti.

Qui di seguito presentiamo l’elenco dei processi406 individuati dall’Internal

Audit Dept. per Guess Italia e un flow chart di dettaglio, a titolo di esempio,

che potrebbe essere realizzato per sintetizzare in maniera schematica ed

intuitiva lo svolgimento di alcune attività che ad una prima analisi

potrebbero risultare complesse.

• Active Cycle: Order to Cash (O2C);

• Passive Cycle: Purchase to Pay (P2P);

• Inventory (INV)

• Human Resource (HR);

• Financial Statement Closing Process (FSCP);

• Fixed Asset;

• Retail Operations;

• IT Structure.

404 A tal riguardo è apprezzabile il contributo dell’Internal Audit Dept di Guess Europe e Guess Italia relativamente allo svolgimento di attività di consulenza volta all’ottimizzazione di una struttura aziendale caratterizzata da un forte “overlapping” di Funzioni dal punto di vista finanziario e commerciale. Senza entrare nel dettaglio, l’attività in questione si è concentrata principalmente sulla ridefinizione di nuovi ruoli e responsabilità con l’obiettivo di ottimizzare le diverse attività in base alle risorse a disposizione. 405 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 228. 406 Per ciascuno di tali processi è stato elaborato un narrative descrittivo del flusso di attività che compongono il processo stesso.


176

Active Cycle – Order Collection

Fig. 15

L’identificazione dei diversi processi aziendali che dovranno poi essere

analizzati, potrebbe mostrarsi in alcuni casi difficile e laboriosa, soprattutto

quando questi presentano elementi di sovrapposizione all’interno della

stessa entità aziendale, oppure quando questi si compongono di attività

elementari di complessa individuazione o difficilmente separabili da altre

attività collegate.

Per far fronte a tali fattispecie, ostili ad una mappatura esplicita dei diversi

processi, è necessario esaminare in maniera accurata le modalità di

esecuzione delle attività e tutta la documentazione disponibile che le

regolamenta.

Commercial Dept

Customer Service

Showroom

(CS clerks)

Agent

NETORDER

STEALTH

NOTES

ORDER PROPOSAL

Credit Management

Dept.

ORDER PROPOSAL

ARCHIVING OF SIGNED ORDER PROPOSAL

NEW CUSTOMER?

ORDER PROPOSAL

WITH JOLLY CODE

NOTES

CUSTOMER EVALUATION FORM

NOYES

ARCHIVING OF CUSTOMER

EVALUATION FORM

CUSTOMER CREDIT LIMIT

FILE


177

L’attività di operational auditing si focalizza sull’analisi della capacità

delle strutture aziendali di conseguire i propri obiettivi attraverso lo studio

dei processi, già oggetto di mappatura nella fase iniziale, rilevandone

eventualmente le potenziali aree di miglioramento in termini di efficienza

ed efficacia.

In tal modo l’operational auditing tende a verificare se i risultati fissati

dall’alta direzione siano, in termini di fattibilità, perseguibili dalle diverse

strutture interessate e compatibili con i processi aziendali che ne sono a

supporto.

Nel nostro caso, l’Internal Audit in Guess Italia, oltre che sulla verifica

dell’effettiva possibilità di conseguire i risultati fissati, pone attenzione

come già accennato precedentemente, alla valutazione del grado di

economicità raggiunta dalle diverse strutture organizzative in termini di

efficacia (grado di raggiungimento degli obiettivi) ed efficienza (costi,

tempistiche, risorse utilizzate) nella realizzazione dei risultati stessi.

In particolare, una volta effettuato uno studio del contesto generale del

processo al fine di delineare gli obiettivi (di governo e di business)

perseguiti in modo prioritario dal management, i rischi che potenzialmente

possono minare il loro raggiungimento, le macrofasi del processo, le

strutture aziendali coinvolte, gli attori principali, così come i sistemi

informativi significativi ed il flusso informativo generale fino al top

management, si procede ad un’analisi dettagliata del processo nelle sue

diverse fasi con la rilevazione di eventuali carenze o difetti di

strutturazione.

L’attenzione si concentra, come già più volte ribadito, su quelle attività

critiche, i cui rischi appaiono maggiormente rilevanti e che è opportuno

misurare in termini di potenziale impatto negativo per l’organizzazione.

Senza entrare nel dettaglio, elenchiamo qui di seguito una serie di carenze o

difetti che possono essere rilevati nella strutturazione del sistema di

controllo interno e di risk management:


178

• non chiarezza o coerenza tra strutture della comunicazione degli

obiettivi407;

• non adeguata attribuzione delle responsabilità, ricordando tra l’altro

anche il rispetto della separazione dei ruoli;

• inadeguata conoscenza, da parte degli attori coinvolti nel processo, delle

modalità stabilite per raggiungere gli obiettivi;

• monitoraggio non adeguato per stabilire in modo sistematico e continuo

il progressivo raggiungimento degli obiettivi408;

• sistemi informativi non integrati o non adeguati ai controlli diretti che

devono essere previsti;

• mancanza di idonei processi di pianificazione e di risk assessment;

• controlli diretti ripetitivi, ridondanti, inadeguati o inefficienti.

In conclusione, l’Internal Audit Dept., con la collaborazione del

management e dei responsabili di processo, procede ad una valutazione

puntuale dei diversi processi aziendali analizzati, ricercando le possibili

soluzioni migliorative al fine di un’ottimizzazione dei processi stessi.

L’obiettivo dell’operational auditing è, quindi, la “creazione di valore”

attraverso un continuo miglioramento dei processi aziendali409.

È evidente come una tale tipologia di auditing si configuri come un’attività

di natura consulenziale a servizio del management e dei vertici aziendali, i

quali, in condivisione con l’internal auditor, hanno la possibilità di

intraprendere le azioni correttive e le linee risolutive ipotizzate.

407 A titolo esemplificativo:

- il Customer Service può perseguire obiettivi di fatturato e non di margine; - il Purchasing Dept. al fine di ottenere condizioni economiche migliori, non pone attenzione

alle dinamiche finanziarie (quali, ad esempio, i termini di pagamento); - una “cannibalizzazione” dei canali distributivi a causa di un carente coordinamento tra

Funzioni diverse (questo è il caso in cui, ad esempio, il Direttore Commerciale wholesale decida di vendere merce all’interno di un centro commerciale in un grande Department Store e al contempo il Direttore Commerciale sublicence, progetti l’apertura di un negozio in sub-licence nello stesso centro).

408 A titolo di esempio, il buon funzionamento e l’articolazione del sistema di budgeting. 409 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 230.


179

Nello svolgimento di tale attività, oltre a competenze specifiche nei diversi

settori di attività, uno dei fattori critici di successo, su cui l’Internal Audit

nel gruppo Guess pone molta attenzione, è quello della creazione di un

canale informativo trasparente volto alla massimizzazione dei risultati

ottenuti tramite l’attività di auditing e di quelli ottenibili tramite il

successivo piano d’azione da intraprendere in caso di criticità.

In generale, infatti, la Funzione di revisione interna deve possedere spiccate

doti di comunicazione che tendano a valorizzare il lavoro svolto nei

confronti dei vertici aziendali e dei Responsabili di processo.

4.2. IL COMPLIANCE AUDITNG

Tra le diverse attività di auditing effettuate dall’Internal Audit Department

nel gruppo Guess, l’attività di compliance auditing, ovvero audit di

conformità, assume un peso particolarmente rilevante fra i compiti ad essa

attribuiti.

In generale, tale attività si traduce nella verifica dell’osservanza delle regole

relative ad un determinato processo o area di business; regole che possono

essere costituite sia dalla normativa esterna, sia dalle norme interne che, in

virtù del principio generale di autoregolamentazione, le organizzazioni

aziendali emanano, per effetto di specifici rinvii di legge410 o sulla base

esclusivamente volontaria, al fine di meglio disciplinare le diverse

attività411.

In Guess Italia, l’Internal Audit, conformemente alle politiche stabilite a

livello di corporate, ha provveduto all’elaborazione di una serie di

410 In tal caso l’azienda è tenuta a fornire comunicazione formale agli stakeholders su modalità, mezzi controlli e responsabilità adottati per il raggiungimento degli obiettivi. 411 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 230-231.


180

regolamenti interni che determinano le linee di comportamento da adottare

all’interno dell’organizzazione. Compongono la normativa interna:

a) Principi aziendali: Guess’ mission.

“Alla Guess il nostro obiettivo è quello di essere un marchio leader

nell’industria e nella moda. Offriamo prodotti e servizi di una qualità e

con un rigore senza compromessi, coerenti con la filosofia del nostro

marchio e della nostra immagine.

Ci impegniamo ad ascoltare e a soddisfare le esigenze dei nostri clienti,

dei nostri dipendenti e dei nostri partners ed a rispettarne i valori

individuali.

Ci impegniamo a favorire la crescita personale e professionale delle

persone grazie ad un ambiente in cui si è liberi di comunicare, al lavoro

di squadra, alla fiducia ed al rispetto.

Non smettiamo mai di dare qualcosa in cambio alla comunità, a

sostenere le persone e a proteggere l’ambiente come parte delle nostre

responsabilità.

Restiamo fedeli ad uno spirito imprenditoriale che alimenta la nostra

crescita della nostra azienda ed il valore dei nostri azionisti.

Guidata da una leadership contraddistinta da sani principi morali,

l’azienda accoglie in sé la diversità e coltiva la forza, l’orgoglio e la

passione per far camminare una accanto all’altra la nostra vita personale

e quella professionale”412.

b) Politiche e linee guida.

A tal riguardo un esempio emblematico è rappresentato dal Code of

Counduct che pone l’accento su uno standard di condotta etica che deve

permeare tutte le transazioni e le relazioni commerciali che

412 Cfr. il sito internet di Guess (sezione Italia): www.guess.com.


181

amministratori, responsabili e dipendenti del gruppo Guess si trovano ad

intraprendere413;

c) Procedure.

Il Book of procedures di Guess Italia contiene una serie di regolamenti

interni che disciplinano le attività che devono essere effettuate dai

diversi dipartimenti aziendali (più precisamente, Amministration Dept.,

Commerciale, Logistic Dept., Purchasing Dept., Treasury e Credit

Management, Human Resource e Finance Dept.).

Qui di seguito presentiamo un estratto del Book of procedure di Guess

Italia, che disciplina le diverse attività di supervisione che devono essere

effettuate da parte del Chief Financial Officer.

413 Per ulteriori approfondimenti sui contenuti del Code of Conduct del gruppo Guess cfr. Paragrafo 4.4. Fraud Auditng.


182


183


184


185


186


187

d) Disposizioni operative.

In riferimento a tale categoria di regolamenti interni proponiamo qui di

seguito, a titolo di esempio, il calendario relativo alle attività di chiusura

del report mensile di Guess Italia, la cui supervisione è affidata

all’Administration Manager, che deve garantire il rispetto della

procedura operativa tramite la sottoscrizione del relativo format

sottostante414.

CALENDARIO ATTIVITÀ DI CHIUSURA REPORTS MENSILE

Giorno dalla

chiusura (Giorno

chiusura = 0)

Ora Attività Soggetto

Responsabile Note

Check per

verifica attività

-4 9.30 File Payroll da Studio C. x

-2 Fine

giornata Fatture da ricevere Cespiti ammortizzabili / Calcolo e

contabilizzazione Ammortamenti / Scheda 5 x

0 0.00 Contabilizzazione e controllo di tutti i costi del

personale x

0 Fine

giornata Posting di tutto ciò che è stato immesso in contabilità

Generale, Clienti e Fornitori. x

0 Fine

giornata Stop Magazzino x

0 Fine

giornata Stop alla registrazione delle fatture fornitori nel mese

precedente x

1 10.00 Ratei / Risconti x

1 13.00 Stop alle registrazioni sulle banche e inizio

riconciliazioni che dovranno essere terminate entro la terza settimana dal giorno 0

x

414 Il calendario riportato qui di seguito fa riferimento alle attività di chiusura del report mensile di Guess Italia del mese di Gennaio 2008, corrispondente anche alla data di chiusura del bilancio d’esercizio di tutte le società del gruppo. Il calendario è stato depurato, per motivi di riservatezza, dei nomi dei soggetti interessati e di eventuali note sulle attività da effettuare.


188

1 13.00 Controlli sulla correttezza della fatturazione, sia Italia

che Estero x

1 13.00 Posting delle eventuali fatture cee ed extracee

intercorrenti tra la fine del mese solare precedente e la data di chiusura del report

x

1 13.00

Estrazione di tutte le spedizioni non fatturate intercorrenti tra la fine del mese solare precedente e la data di chiusura del report per la contabilizzazione

delle stesse tra le fatture da emettere

x

1 13.00 STOCK IN TRANSIT - Import + Oneri accessori x

1 13.00 STOCK IN TRANSIT - Denim + Oneri accessori x

1 13.00 STOCK IN TRANSIT - Scarpe + Oneri accessori x

1 15.00 Comunicazione carichi di Magazzino prodotti Focus,

Fornitore (1) e Fornitore (2) x

1 Fine

giornata

Spedizione alle consociate dei prospetti per le riconciliazioni (entro la mattina del giorno 4 i

prospetti devono essere reciprocamente confermati) x

1 Fine

giornata Posting EPS x

1 Fine

giornata Stima del rischio su contenziosi in corso / Compensi

Legali maturati ma non ancora fatturati x

1 Fine

giornata Chiusura Omaggi x

1 Fine

giornata Registrazione CUT-OFF per fatture da ricevere

Prodotto Focus, Fornitore (1) e Fornitore (2) x

2 9.30 Lancio Procedura AS OF x

2 10.00 CUT-OFF per fatture da ricevere Prodotto Wholesale x

2 13.00 Quadratura tra BO e PeopleSoft del fatturato del

mese x

2 13.00 Query Fatturato Denim Footwear e Periferico dell'ultimo mese per il calcolo delle royalties

x

2 13.00 Calcolo delle Rimanenze Finali e Costo del Venduto

per negozi Italia ed Estero x

2 13.00 Calcolo delle Rimanenze Finali per linea x

2 13.00 Stock in Transit Negozi Italia x

2 Fine

giornata STIME FATTURE DA RICEVERE - COSTO

VENDUTO (PRODOTTO) x

2 Fine

giornata Incassi Negozi x

2 Fine

giornata Stop alle registrazioni delle note spese x


189

2 Fine

giornata Calcolo Royalties DENIM x

2 Fine

giornata Calcolo Royalties FOOTWEAR e PERIFERICO x

2 Fine

giornata Italy Retail Discounts x

2 Fine

giornata Calcolo Riserva Shrinkage x

2 Fine

giornata Logistica: importo relativo ai costi di Handling di

Movimoda e di Freight Out. x

2 Fine

giornata Dati Finanza (interessi, cambi, fair value, etc) x

2 Fine

giornata Conversione in Euro dei saldi dei conti correnti in

valuta x

2 Fine

giornata STIME ALTRE FATTURE DA RICEVERE - GUESS

SERVICE x

2 Fine

giornata Stima delle note spese non contabilizzate - GUESS

SERVICE x

2 Fine

giornata Stima voci di P.L. che servono a addebito Affitto +

oneri accessori da G.ITA a G.SERVICE/BARN x

3 Fine

giornata Rent x

(…omissis…)


190

e) Prescrizioni contrattuali.

Un esempio emblematico, in riferimento al gruppo Guess Europe è

rappresentato dagli ordini di vendita i quali possono scaturire da due

tipologie di documenti:

• il contratto stipulato direttamente con il cliente per forniture

specifiche;

• la copia commissione preparata dall’agente composta di un prospetto

riepilogativo delle quantità ordinate ed un prospetto contenente le

condizioni commerciali che il cliente deve sottoscrivere415.

Per quanto concerne, invece, l’importanza dell’attività di compliance

auditing, relativamente alla normativa esterna, questa risulta ancor più

accentuata in virtù del fatto che Guess Inc. è quotata al New York Stock

Exchange di Wall Street e pertanto tutto il gruppo è soggetto al rispetto del

Sarbanes Oxley Act (SOX).

Come già ribadito precedentemente, la normativa SOX prevede alla sezione

404, l’emissione di un’attestazione annuale416 da parte del management di

415 È da sottolineare che l’80% degli ordini ricevuti in Guess Europe sono costituiti da copie commissione preparate dall’agente. 416 Oltre all’emissione di un’attestazione annuale da parte del Management di ciascuna SEC Registrant, volta a garantire l’efficacia del sistema di controllo interno inerente il financial reporting, il Board of Director di Guess Inc. è tenuto alla pubblicazione della cosiddetta “Upstream Certification”. Essa consiste in una lettera di attestazione, da emettere di concerto con la pubblicazione del Quarterly Report contenuto nel “Form 10-Q”, in cui ogni membro dell’alta direzione (il Chief Executive Officer, il Chairman of the Board, il Chief Operating Officer e il Chief Financial Officer) assicura, in sintesi, che non vi è niente in sua conoscenza che non sia stato riportato nel financial statement. Qui di seguito riportiamo un estratto della “Upstream Certification” emessa da Guess Inc assieme alla pubblicazione del secondo Quarterly Report relativo all’esercizio 2007. “[...] I confirms, to the best of my knowledge, as of the date of this letter, the following representations: 1. The financial and supplementary information referred to above is fairly presented, does not contain misleading information, and does not omit any material information to cause them to be misleading. 2. There have been no communications from regulatory agencies or lenders concerning noncompliance with or deficiencies in financial reporting practices.


191

ciascuna SEC registrant, relativamente all’efficacia del sistema di controllo

interno inerente il financial reporting, nonché la conseguente necessità di

ottenerne una certificazione da parte della società di revisione esterna417.

In altre parole, il Chief Executive Officer (CEO) e il Chief Financial Officer

(CFO) sono responsabili del mantenimento di un’adeguata struttura di 3. There are no material transactions that have not been properly recorded in the accounting records underlying the financial information and financial statements referred to herein. 4. I must disclose to you:

a. My knowledge of any fraud that has been perpetrated or any alleged or suspected fraud; b. My knowledge of any allegations of fraudulent financial reporting; c. My understanding about the risks of fraud in the Company, including any specific fraud

risks the Company has identified to account balances or classes of transactions for which a risk of fraud may be likely to exist.

5. The Company has no plans or intentions that may materially affect the carrying value or classification of assets and liabilities. 6. I have provided you with relevant information regarding related-party transactions, including sales, purchases, loans, transfers, leasing arrangements and guarantees (whether written or oral), and amounts receivable from or payable to related parties. 7. There are no:

a. Violations or possible violations of laws or regulations whose effects should be considered as a basis for recording a loss contingency.

b. Other liabilities or gain or loss contingencies that are required to be accrued by FASB Statement No. 5, except as disclosed to you.

8. The Company has satisfactory title to all owned assets and there are no liens or encumbrances on such assets nor has any asset been pledged as collateral, except as disclosed to you. 9. The Company has complied with all aspects of the contractual agreements that would have a material effect on the financial information and financial statements in the event of noncompliance. 10. The accounting records underlying the financial information and financial statements represent valid claims against debtors for transactions arising on or before the balance-sheet date and have been appropriately reduced to their estimated net realizable value. 11. Receivables recorded in the financial information and financial statements represent valid claims against debtors for transactions arising on or before the balance-sheet date and have been appropriately reduced to their estimated net realizable value. 12. No events have occurred subsequent to the date of the financial information and financial statements that would have material effect on the financial information and financial statements or that should be disclosed in order to keep the financial information and financial statements from being misleading. 13. I agree to notify you in the event that any change occurs which renders inaccurate or incomplete as of that time any answers given herein. I declare under penalty of perjury that the foregoing is true and correct to the best of my knowledge.” 417 Tra i principali requisiti richiesti dalla Sezione 404 del Sarbanes Oxley Act sono contenute disposizioni in riferimento alla responsabilità del management il quale deve: - accettare la responsabilità circa l’efficacia del controllo interno sul processo di redazione del

financial reporting; - valutare l’efficacia dell’ “Internal Control Financial Reporting” applicando un criterio di

controllo appropriato (ad esempio il modello ERM del CoSO Report); - supportare tale valutazione con sufficienti evidence, compresa la relativa rappresentazione

documentale; - presentare una attestazione scritta circa l’efficacia del “Financial Control Internal Reporting”.


192

controllo interno e di reporting finanziario, essi forniscono annualmente

un’assessment circa l’efficacia di questa struttura e delle procedure di

emissione dei reporting, che in ultima analisi dovrà essere comprovata dalla

società di revisione contabile che certifica la stessa attestazione.

Qui di seguito offriamo un estratto del “Management Assessment of

Sarbanes Oxley Act” redatto da Guess Inc. per l’esercizio 2006 (chiuso in

data 31 Gennaio 2007). In particolare:

“the purpose of this document is to:

1. outline the framework used for clarification and evaluation of Guess’s

Section 404 deficiencies for 2006;

2. classify and evaluate all of the Company’s identified control

deficiencies compiled subsequent to the testing, remediation and refresh

testing phases of the Sarbanes-Oxley (SOX) Project.”

[…]

Con specifico riferimento all’Italia, il Management Assessment, fornisce

dettagli in merito alla conduzione del progetto SOX 404 da parte

dell’Internal Audit Dept. di Guess Europe, attestando che:

“The Guess Europe Internal Audit Department identified, documented and

tested 159 key controls within the scope of the SOX 404 project. At the

conclusion of the interim testing, ineffective controls were identified and

required remediation. Upon completion of the remediation and refresh

testing all 159 controls were found to be effective.

Through the review of the work completed for the 2006 SOX 404 project,

opportunities to introduce and improve controls for processes that were out

of scope in 2006 were identified. As a direct result of the 2006 SOX 404


193

project, the scope of the anticipated work for 2007 will be adjusted in the

following manner:

• New processes will be examined/included-Financial Statement Close,

Tax and Cash and Treasury processes.

• Acquired and consolidated operations will be included in the 2007 test

work.

• Retail and wholesale operations will be assessed for possible review and

testing.

• Existing processes will be expanded- Order to Cash (AR), Process to

Pay (AP), and Inventory (INV).

The SOX related project of spreadsheet controls will be fully addressed.”

[…]

Il documento prosegue con la specificazione dei Frameworks e degli

Standard utilizzati per la valutazione delle criticità dei controlli, assicurando

che: “Guess used “A Framework for Evaluating Control Exceptions and

Deficiencies Version 3, dated December 20, 2004” (“Framework, Version

3”) as our framework for evaluating exceptions and deficiencies resulting

from the evaluation of the Company’s internal control over financial

reporting. This framework was developed by representatives from nine

accounting firms including the Big Four. This document has not been

updated since then, and therefore will continue to serve as a guide for the

Company’s evaluation of its remaining ineffective controls.


194

In addition, the Company also used the Public Company Accounting

Oversight Board’s (PCAOB) Auditing Standard No. 2. (“the standard”).

Paragraphs 8 and 9 of the Standard define deficiencies418 [...].”

418 In particolare l’Auditing Standard No. 2 del PCAOB, ai Paragrafi 8 e 9, dispone che: “8. A control deficiency exists, when the design or operation of a control does not allow management or employees, in the normal course of performing their assigned functions, to prevent or detect misstatements on a timely basis. • A deficiencies in design exists when (a) a control necessary to meet the control objective is

missing or (b) an existing control is not properly designed so that, even if the control operates as designed, the control objective is not always met.

• A deficiency in operation exists when a properly designed control does not operate as designed, or when the person performing the control does not possess the necessary authority or qualifications to perform the control effectively.

9. A significant deficiency is a control deficiency, or combination of control deficiencies, that adversely affects the company’s ability to initiate, authorise, record, process, or report external financial data reliably in accordance with generally accepted accounting principles such that there is more than a remote likelihood that a misstatement of the company’s annual or interim financial statement that is more than inconsequential will not be prevented or detected. Note: the terms “remote likelihood” […] has the same meaning as the term “remote” as used in the “FAS No. 5, Accounting for Contingencies” […]. Therefore, the likelihood of an event is “more than remote” when it is either reasonably possible or probable. Note: A misstatement is inconsequential if a reasonably person would conclude, after considering the possibility of further undetected misstatements, that the misstatement, either individually or when aggregated with other misstatements, would clearly be immaterial to the financial statements. If a reasonable person could not reach such a conclusion regarding a particular misstatement, that misstatement is more than inconsequential.”


195

EVALUATING PROCESS/TRANSACTION-LEVEL CONTROL DEFICIENCIES

Il “Management Assessment si conclude, infine, con la seguente

attestazione:

“[…] Therefore, on an aggregate level, the Company believes that there are

compensating controls to reduce the magnitude of these exceptions to an


196

inconsequential level and therefore, there are deemed no significant

deficiencies or material weaknesses as of January 31, 2007.”

L’attività di compliance audit nel rispetto della normativa SOX, ha

costituito una delle attività di primaria importanza per l’Internal Audit Dept.

nel gruppo Guess, che, con l’introduzione della nuova normativa, ha

dedicato gran parte delle sue risorse all’aggiornamento ed al miglioramento

dei propri sistemi di controllo interno con particolare attenzione all’impatto

che i rischi ad esso legati possono avere sui dati di reporting.

In effetti, le conseguenze che possono derivare dal mancato rispetto delle

norme esterne si manifestano, oltre che sotto forma di sanzioni di varia

natura (amministrative, penali, interdittive), anche in perdite per

l’organizzazione connesse ad una cattiva reputazione (è indubbio che per

gli intermediari finanziari, come per molti altri settori, uno dei valori più

importanti da difendere è la fiducia della propria clientela e del mercato in

generale419).

419 Per le società quotate al New York Stock Exchange, la SEC dispone la pubblicazione a cadenza trimestrale di un documento denominato “Form 10-Q” composto da: - Part I: Financial Information, in cui sono presentati tutti i dati di reporting consolidati a livello

di corporate; - Part II: Other Information, tra cui legal proceedings, risk factors, ecc. É da sottolineare che per il “Form 10-Q” non viene emessa alcuna opinion da parte della società di revisione incaricata della certificazione del bilancio d’esercizio, infatti, il Financial Statement contenuto nella Part I del Form riporta espressamente il termine “unaudited”. In aggiunta al Form 10-Q, ogni qual volta si verificano eventi straordinari o cambiamenti a livello di corporate, è prevista dal NYSE la pubblicazione del cosiddetto “Form 8-K”. Tale documento viene emesso tutte le volte che la società deve rendere nota al mercato una comunicazione straordinaria, tra cui ad esempio il caso di modifiche concernenti i compensi degli amministratori, oppure cambiamenti nella composizione dell’Audit Committee, operazioni di acquisizioni d’azienda, ecc. Le comunicazioni possono riguardare anche il caso in cui siano stati commessi errori nella pubblicazione dei dati di reporting, contenuti nel “Form 10-Q”; in tal caso è necessario rendere noto l’errore con un’informativa speciale, utilizzando il “Form 8-K” e procedere ad una nuova emissione del “Form 10-Q” con i dati di reporting corretti. Presentiamo qui di seguito l’estratto del “Form 8-K” relativo all’acquisizione del 75% di Focus Europe Srl da parte di Guess Europe B.V. in data 31/12/2006. “Item 8.01 Other Events. Acquisition of Focus Europe S.r.l. Effective December 31,2006, Guess?., Inc. (the “Company”), through its wholly-owned subsidiary, Guess? Europe, B.V. (“Purchaser”), completed the acquisition of 75% of the equity interest of Focus Europe S.r.l. (“Focus”) from Foucs Pull S.p.A. (“Seller”). The Focus purchase


197

Se è vero che il compliance auditing verifica l’osservanza delle norme, vero

è anche che tale tipologia di auditing viene riconosciuta come un valido

strumento di prevenzione, in grado di fornire assurance alle strutture

aziendali deputate all’emanazione e all’applicazione di regolamenti interni.

Un’auditing di compliance preventivo, svolto cioè senza notifica alla

struttura oggetto in esame, può assolvere tipicamente il ruolo di attività

ispettiva420.

In aggiunta, qualora le procedure aziendali e gli altri regolamenti interni

non siano aggiornati o non forniscano adeguata chiarezza sulle modalità

operative della gestione dei processi, l’Internal Audit dovrà ricorrere

all’operational auditing, mediante il quale attraverso l’analisi del processo

e dei relativi rischi, sarà in grado di fornire le necessarie valutazioni su

eventuali esigenze di completamento dell’impianto normativo interno.

In virtù delle competenze acquisite relativamente all’insieme delle

normative correlate ai processi che sono oggetto dell’attività di auditing,

l’Internal Audit Dept. dispone spesso di un’elevata conoscenza degli aspetti

normativi che si riferiscono all’organizzazione421.

È da precisare, inoltre, che relativamente all’emanazione delle normative

interne, l’Internal Audit non sostituisce il ruolo delle Funzioni operative a

cui è deputata la responsabilità della redazione delle stesse, essa si limita ad

esercitare un’attività di monitoraggio e segnalazione delle possibili

agreement also provides for the acquisition of 75% of the equity interest of Focus Spain S.A. (“Focus Spain”), subject to certain closing conditions. Since 1997, the Company has licensed to Focus the rights to manufacture, distribute and retail “GUESS by Marciano” contemporary apparel in Europe, the Middle East and Asia. The acquisition of the licensee is expected to further accelerate the Company’s expansion in Europe. […] Cfr. Guess Inc., 8-K, January 08, 2007, pag.3-4. 420 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 231. 421 La Guida Interpretativa IIA 2100-5 Considerazioni legali nella valutazione dei programmi di compliance a normative di vigilanza a tale proposito riferisce: “I programmi di compliance aiutano le organizzazioni a prevenire violazioni non intenzionali, intercettare eventuali comportamenti illeciti e scoraggiare violazioni volontarie da parte dei dipendenti. Essi possono inoltre contribuire a documentare richieste di indennizzo assicurativo, a circoscrivere le responsabilità civili di amministratori e dirigenti, a creare o rafforzare l’immagine aziendale e a valutare il merito di una eventuale richiesta di risarcimento danni”.


198

implicazioni dell’evoluzione della normativa esterna sulla

regolamentazione interna.

4.3. L’IT AUDITING

Le verifiche di IT auditing in Guess hanno assunto un’importanza sempre

più rilevante in virtù del rapido e crescente sviluppo della struttura del

gruppo e delle sue entità economiche.

In questi ultimi anni, la crescita esponenziale dei volumi delle attività

aziendali a livello di gruppo, (il riferimento è, in particolare, ai mercati

europei), ha determinato la necessità di implementare tecnologie

informatiche, a supporto dei diversi processi e delle diverse Funzioni,

sempre più all’avanguardia e sempre più complesse.

Questa rapida e crescente evoluzione e diffusione delle tecnologie

informatiche nella struttura aziendale ha comportato l’incremento di uno dei

maggiori rischi che minacciano l’attività d’impresa, il cosiddetto “rischio

informatico”.

In effetti, quanto più un’organizzazione si dota di strumenti IT, tanto più

deve essere elevata l’attenzione che il management dedica agli aspetti che

riguardano la sicurezza informatica.

Vista la difficoltà nel trattare rischi di natura informatica legati a un

crescente e rapido ricorso a sofisticati strumenti di information technology,

la Funzione di Internal Audit in Guess Italia, ha deciso, in questa fase di

start-up, di affidare lo svolgimento dell’IT auditing ad una società esterna

specializzata in Electronic Data Processing Auditing (EDP Auditing).

Tale società, ponendo una particolare attenzione ai processi, ai sistemi e

agli applicativi informatici utilizzati e al loro grado di sicurezza, ha

condotto le verifiche di IT auditing focalizzandosi sui seguenti domini:


199

• la pianificazione e l’organizzazione, compresa la valutazione dei rischi.

Questo dominio include strategia e tattica e ha per oggetto il modo in cui

l’IT auditing può contribuire al raggiungimento degli obiettivi aziendali.

Vi sono inclusi i processi di pianificazione delle risorse, di definizione

dell’organizzazione e dell’infrastruttura tecnologica;

• l’acquisizione e la realizzazione delle soluzioni IT, comprese la gestione

delle modifiche al sistema una volta realizzato e l’ottimizzazione di

soluzioni automatizzate;

• l’erogazione del servizio IT e assistenza, compresa la gestione dei dati

delle configurazioni, delle infrastrutture e dell’esercizio di tutti gli

applicativi in essere;

• l’attività di monitoraggio: tutti i processi IT devono essere valutati con

regolarità nel tempo, dal punto di vista della qualità e della conformità ai

requisiti di controllo. Questo dominio, pertanto, concerne la

supervisione, da parte del management, dei processi di controllo e la

valutazione indipendente fornita dalla società di audit esterna, con la

collaborazione della Funzione di revisione interna.

Nell’ambito del terzo dominio, erogazione e assistenza, risultano

particolarmente importanti le attività di auditing finalizzate ad assicurare i

requisiti di controllo richiesti dal modello COBIT422. Tali requisiti sono423:

422 COBIT è l’acronimo di Control Objectives for Information and related Technology ed è uno standard internazionale emanato e continuamente aggiornato dall’Information System Audit and Control Foundation (ISACF) e dal suo dipartimento di ricerca affiliato, l’IT Governance Institute. Il COBIT, che è un modello universalmente accettato come punto di riferimento per il governo e per il controllo dell’Information Technology (IT), risulta particolarmente efficace nella valutazione dei controlli interni in ambienti altamente informatizzati. La metodologia si articola in due ambiti di intervento: quello strategico, o di governo dell’IT, e quello di controllo dei processi (è su quest’ultimo ambito che la società esterna di IT auditing ha focalizzato il proprio intervento in Guess Italia). 423 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 159.


200

• efficienza della gestione dell’informazione attraverso l’utilizzo ottimale

delle risorse, dal punto di vista sia della produttività sia

dell’economicità;

• efficacia dell’informativa: concerne le informazioni che devono essere

rilevanti e pertinenti ai processi aziendali e che sono rese disponibili in

maniera tempestiva, prive di errori, coerenti e utilizzabili;

• riservatezza: ha per oggetto la protezione delle informazioni sensibili

(riservate) da possibili accessi non autorizzati;

• integrità delle informazioni: si riferisce all’accuratezza e alla

completezza dell’informazione, nonché alla sua validità in relazione ai

valori e alle aspettative aziendali;

• disponibilità delle informazioni: riguarda la disponibilità

dell’informazione quando richiesta dai processi aziendali, nel presente e

nel futuro, nonché la salvaguardia delle risorse necessarie e delle

relative capacità e funzionalità;

• conformità alle regole interne ed esterne: concerne il rispetto delle

leggi, dei regolamenti e degli accordi contrattuali cui è soggetta

l’azienda, vale a dire i vincoli aziendali imposti dall’esterno;

• affidabilità delle informazioni: si riferisce alla fornitura di appropriate

informazioni alla direzione, sia per la gestione dell’azienda, sia perché

essa possa far fronte alle proprie responsabilità finanziarie e agli

obblighi di bilancio/statutari424.

424 È importante notare che i requisiti di efficienza, efficacia, conformità alle regole interne ed esterne ed affidabilità delle informazioni del modello COBIT corrispondono, di fatto a quelli del modello CoSO descritto precedentemente, anche se il requisito dell’affidabilità delle informazioni previsto dal COBIT è stato ampliato per comprendervi tutte le informazioni e non solo quelle di natura finanziaria. Per quanto riguarda gli altri tre requisiti, la riservatezza, l’integrità e la disponibilità delle informazioni, questi sono tipici dei modelli di controllo dell’IT; in questo modo il COBIT cerca di colmare la lacuna tra i due modelli, configurandosi come quello di riferimento per il governo dell’IT. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 159.


201

In generale, l’IT auditing sta assumendo sempre più una funzione di

supporto nei confronti di altre attività di auditing che necessitano di un

ausilio da parte di esperti in ambito informatico. Infatti, anche nel gruppo

Guess, l’attività di IT auditing, oltre a focalizzarsi sul sistema di controllo

interno IT, viene impiegata anche per lo svolgimento dei cosiddetti IT

general control che fanno riferimento ai vari processi aziendali diversi da

quello specifico dell’Information Technology. In particolare, nello

svolgimento di altre attività di auditing spesso risultano necessarie, quali

attività di supporto:

- auditing delle banche dati, un metodo di estrema efficacia per incarichi

di audit, in cui si procede ad un’indagine dell’intera banca dati mediante

applicativi per analisi di audit generalisti o sviluppati appositamente;

- esame della sicurezza degli applicativi usati nel processo oggetto di

audit;

- verifica dell’affidabilità di funzionamento dell’interfaccia tra un sistema

o una banca dati e un altro.

Da quanto fino a qui detto è comprensibile come, per lo svolgimento di tali

attività, siano necessarie competenze specifiche nel campo dell’informatica,

nonché l’utilizzo delle metodologie di audit tradizionali. Tutto ciò, ha

determinato la necessità di ricorrere alla professionalità di una società

esterna specializzata in IT auditing e che affiancata alla Funzione di

revisione interna di Guess, soddisfacesse le esigenze del management

colmando il gap esistente tra i rischi aziendali, le esigenze di controllo e le

problematiche tecniche all’interno dell’organizzazione.

Nell’ambito degli ampi domini summenzionati la società di IT auditing

esterna, in collaborazione con l’Internal Audit, ha provveduto


202

all’effettuazione di audit mirati per singoli processi IT, in quattro ambiti di

intervento:

1. user access: definizione e monitoraggio dell’accesso ai sistemi

informatici aziendali da parte degli utenti al fine di garantire la

correttezza dei dati aziendali;

2. logical security: insieme di procedure volte a garantire la correttezza

dell’archiviazione informatica dei dati, sia in termini di ripartizione

delle stesse tra i vari sistemi informatici sia nell’organizzazione dei dati

in eventuali cartelle dipartimentali;

3. change control: l’insieme dei controlli volti a garantire che qualsiasi

modifica di software sia effettuata secondo le procedure aziendali, (a

titolo di esempio: modifica report in ambiente di sviluppo, controllo in

ambiente di test, rilascio finale in ambiente di produzione);

4. IT operations: l’insieme di regole e procedure volte a disciplinare

l’attività all’interno dell’IT Department (il riferimento è, ad esempio,

alla definizione di ruoli/responsabilità, oppure alle regole concernenti

l’accesso alla sala macchine, ecc).

4.4. IL FRAUD AUDITING

Il fraud auditing è una tipologia di auditing che presenta sinergie sia con il

compliance auditing sia con l’operational auditing ed è volto

all’identificazione e alla quantificazione delle frodi subite dall’azienda.

Con il termine frode si intende una vasta tipologia di irregolarità e atti

illeciti caratterizzati da un comportamento intenzionalmente finalizzato a

trarre in inganno. Può essere perpetrata a vantaggio o svantaggio


203

dell’organizzazione e da persone operanti all’interno o all’esterno della

stessa425.

I diversi tipi di frode, molto spesso, sono di difficile individuazione, ma in

genere l’azione fraudolenta è sempre determinata dalla volontà di attentare

all’integrità del patrimonio aziendale attraverso un “aggiramento” del

sistema dei controlli interni, oppure mediante lo sfruttamento di opportunità

offerte da punti deboli individuati nel tessuto del sistema stesso (possono

verificarsi, ad esempio, casi eclatanti, quali l’appropriazione indebita, lo

spionaggio industriale, la corruzione, la falsificazione, ecc.).

Non essendo ipotizzabile che l’Internal Auditing possa scovare tutte le frodi

poste in essere ai danni dell’azienda, l’attività primaria dell’auditor è quella

di prevenzione della frode attraverso una valutazione dell’efficacia e

dell’adeguatezza del sistema di controllo interno426.

L’Internal Audit Dept. nel gruppo Guess, ed in particolare in Guess Italia,

ha optato per l’integrazione della valutazione del rischio frode all’interno

dell’attività di operational auditing, qualora il rischio in questione sia

ritenuto significativo.

In generale il fraud auditing si costituisce di tre tipologie di attività molto

diverse fra loro427:

1. Il fraud auditing ai fini del rafforzamento del sistema di controllo

preventivo.

Questo viene effettuato mediante un’analisi di processo, secondo le

modalità tipiche dell’operational auditing, focalizzandosi in tutto o in

parte sui rischi di frode. In tal modo l’Internal Audit Dept. è in grado di

individuare e valutare in via preventiva le “aree grigie” aziendali dove

425 Cfr. Guida interpretativa IIA 1210.A2-1, Responsabilità dell’auditor in materia di identificazione della frode. 426 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 238. 427 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 239-240.


204

con più facilità potrebbe annidarsi un rischio di attività illecita e

proporre soluzioni preventive. L’individuazione e la successiva

valutazione dei rischi di frode che possono minacciare il regolare

svolgimento dell’operatività aziendale condurranno l’auditor a

promuovere iniziative volte ad un’attenuazione di tali rischi attraverso il

miglioramento delle strategie di controllo. In tale ottica è importante,

infatti, intraprendere tutte le azioni preventive necessarie a

disincentivarne il compimento.

Fra queste si annoverano tutti quegli accorgimenti organizzativi

finalizzati al rispetto del principio della separazione dei compiti

(segregation of duties), relativamente alle operazioni che incidono sul

patrimonio aziendale, il quale, oltre al miglioramento della trasparenza

dello svolgimento dei singoli processi, consente di ridurre il rischio di

appropriazioni indebite da parte degli operatoria aziendali.

2. Il fraud auditing ai fini dell’identificazione di atti sospetti.

Questo è il caso in cui emergano segnali conosciuti di allarme, i

cosiddetti “red flag”, che consentono all’Internal Audit di individuare

casi sospetti di illecito. I segnali di possibili azioni fraudolente possono

emergere da normali controlli manageriali, da test effettuati dagli

auditor o da altre fonti interne o esterne all’azienda ed in tali casi

l’auditor dovrà valutare l’opportunità di avviare ulteriori

approfondimenti o se segnalare, ad eventuali autorità interne all’azienda

oppure allo stesso management, l’anomalia, promuovendo un’indagine

investigativa mirata. Tutto ciò con l’obiettivo di prevenire e

disincentivare il compimento di atti illeciti.

3. Il fraud auditing ai fini dell’investigazione di gravi sospetti di atti

illeciti.

All’internal auditor è richiesta una conoscenza, almeno generica, delle


205

diverse tipologie di frodi, dei modi con cui queste vengono commesse e

degli indicatori che ne possono segnalare la presenza428.

È da sottolineare che esula dall’ambito di professionalità dell’internal

auditor il possesso di competenze specifiche di chi ha come

responsabilità principale l’accertamento e l’investigazione delle frodi429.

Tuttavia, in assenza di un’altra funzione a ciò dedicata, una volta

individuato un evento di possibile frode, all’Internal Audit talvolta viene

richiesto di svolgere un’indagine che permetta di accertare le effettive

responsabilità interne e, per quanto possibile, esterne, quantificare i

danni e determinare le azioni da proporre alle diverse Funzioni preposte

agli aspetti gestionali (legale, risorse umane, ecc.).

Alcuni esempi di frode che possono essere perpetrate a vantaggio

dell’organizzazione sono i seguenti:

• vendita o cessione di beni fittizi o non correttamente rappresentati;

• pagamenti impropri, quali contribuzioni politiche illegali, tangenti, e

donazioni a pubblici ufficiali o loro intermediari, a clienti o a fornitori;

• rappresentazione o valutazione intenzionalmente non corretta di

operazioni, attività, passività o altri risultati reddituali o patrimoniali;

• transazioni con parti correlate, intenzionalmente strutturate in modo tale

che una delle parti ottenga benefici non ottenibili a normali condizioni

di mercato;

• intenzionale omissione nella registrazione o comunicazione di

informazioni significative, al fine di fornire un quadro economico-

patrimoniale dell’organizzazione fittiziamente migliorato;

428 Conoscere le caratteristiche delle frodi più comuni, la loro dinamica e le modalità della loro perpetrazione rappresenta dunque il primo importante stadio per la costruzione di un sistema di salvaguardia che abbia un minimo di probabilità di successo. Cfr. G.C. Grossi, Internal Auditing. L’inizio di una nuova avventura. Milano, AIIA, 2002. 429 Cfr Standard IIA 1210.A2, Responsabilità per l’identificazione delle frodi.


206

• attività di business proibite, realizzate in violazione di contratti, leggi,

decreti, regolamenti, e altre disposizioni sia dello Stato sia di altri enti;

• frodi fiscali.

Tra gli altri esempi che invece possono essere perpetrati a danno

dell’organizzazione possiamo elencare:

• accettazione di regali o tangenti;

• dirottamento, a favore di dipendenti o di terzi, di transazioni

potenzialmente profittevoli per l’organizzazione;

• malversazione, ovvero appropriazione illecita di beni o denaro con

susseguente alterazione di dati contabili al fine di coprire l’illecito e

renderne difficile l’identificazione;

• occultamento o falsificazione di dati o eventi;

• richieste di pagamento per merci o servizi non realmente forniti

dall’organizzazione.

Nel gruppo Guess il top management ha provveduto all’emanazione di una

policy concernente l’etica negli affari e la prevenzione delle frodi, il

cosiddetto “Code of Conduct”, volto alla diffusione all’interno

dell’organizzazione di una “cultura dell’Etica” capace di scoraggiare tra i

dipendenti comportamenti impropri o addirittura dolosi.

L’obiettivo di fondo è la creazione del cosiddetto “soft control” atto a

promuovere il senso di responsabilità individuale a tutti i livelli gerarchici.

Anche il gruppo Guess, come spesso si rileva nelle imprese di grandi

dimensioni, ha ritenuto opportuno dare avvio ad un’opera di

sensibilizzazione nei confronti di amministratori, responsabili e dipendenti

di Guess Inc., di tutte le relative società controllate e di eventuali entità che

svolgono servizi per il gruppo, diffondendo uno standard di condotta etica

che deve permeare tutte le transazioni e le relazioni commerciali.


207

In tale codice, si forniscono, tra le altre disposizioni, quelle relative a:

• situazioni di conflitto di interesse, laddove un interesse privato di una

persona interferisca in qualsiasi modo con l’interesse della società;

• casi di insider trading: ai dipendenti, responsabili ed amministratori che

hanno accesso alle informazioni riservate, è vietato utilizzare o

condividere tali informazioni ai fini dello scambio di titoli, fatta

eccezione per la conduzione delle attività commerciali della società;

• riservatezza delle informazioni affidate ai dipendenti della società;

Tutti coloro che dovessero violare la Legge o gli standard contenuti nel

Code of Conduct saranno sottoposti ad azioni disciplinari di vario grado,

compreso anche il licenziamento e la destituzione dal rapporto d’impiego

con la società.

In conclusione, la violazione di tali regole comporta oltre alla commissione

di un eventuale reato, anche il consapevole raggiro degli obiettivi aziendali

danneggiandone il valore.

4.5. L’AUDIT FINANZIARIO E CONTABILE

È ovvio che l’attendibilità dei flussi informativi è una qualità

imprescindibile nella formulazione dei dati di bilancio. Inoltre, l’importanza

e la significatività dei valori espressi in bilancio presuppongono che la sua

attendibilità sia in ogni momento garantita a tutti i portatori di interessi nei

confronti dell’azienda, siano essi i soci, i creditori attuali e potenziali, i


208

dipendenti, gli investitori, gli organi di vigilanza che a diverso titolo

esercitano un controllo sulla società, il fisco, e altri soggetti ancora430.

Per il gruppo Guess, soggetto alla disciplina del Sarbanes-Oxley Act in

quanto quotato al New York Stock Exchange (NYSE) degli Stati Uniti, la

necessità per l’Internal Audit di focalizzare la propria attenzione sui sistemi

e i processi contabili è aumentata notevolmente.

Ad oggi la Sezione 303 del Sarbanes Oxley Act – Corporate responsibility

for Financial Report – definisce la responsabilità del CEO e del CFO

sull’istituzione e sul monitoraggio:

- dei controlli che sovrintendono la redazione del bilancio (internal

control over financial information);

- delle procedure e dei controlli finalizzati al rispetto degli obblighi

informativi (disclosure and controls procedures).

Mentre precedentemente all’emanazione della SOX gli amministratori si

limitavano a fornire un attestazione relativamente alla provenienza del

bilancio, ad oggi, il CEO sarà ritenuto responsabile per qualsiasi

incongruenza o errore ritrovato nel Financial Statement.

Il punto significativo dell’atto è l’attestazione della responsabilità penale

del CEO e del CFO relativamente al contenuto dei bilanci e delle relazioni

finanziarie delle società quotate al NYSE.

Queste brevi considerazioni sono sufficienti a giustificare il motivo per cui

assume sempre più rilevanza il ruolo dell’internal auditor nel fornire

assurance sui dati di bilancio al top management e al dirigente preposto alla

redazione dei documenti contabili societari.

Naturalmente nello svolgimento dell’attività di audit finanziario e contabile

è necessario un coordinamento tra l’organo di revisione interna e quello di



209

external auditing, al fine di garantire un’adeguata copertura dei rischi

concernenti l’informazione fornita attraverso il bilancio e una

minimizzazione nelle attività svolte431.

L’Internal Audit, in piena sinergia con l’attività del soggetto incaricato della

revisione contabile esterna del bilancio, può effettuare auditing di natura

finanziaria/contabile attraverso432:

• una fattiva collaborazione con tale soggetto riguardante la verifica di

determinate voci di bilancio, vale a dire un’assistenza specifica nelle

verifiche programmate dal revisore contabile utili all’espletamento

dell’incarico di revisione (quali ad esempio, nel caso di Guess Italia,

attività di vouching su determinate poste di bilancio, attività di

circolarizzazione, attività inventariali, ecc.);

• la revisione dei processi aziendali di tipo amministrativo-contabile che

sono alla base del sistema che formula il bilancio stesso (quali ad

esempio, in Guess Italia, il processo del Financial Statement Closing

Process).

Le due tipologie di attività summenzionate sono assai diverse, in quanto la

prima pone attenzione alla correttezza dei dati, relativi ad una specifica data

(dati patrimoniali) o periodo (dati economici), prendendo in esame la

documentazione a campione per accertarne l’affidabilità (“verifiche di

sostanza”, o substantive testing), mentre la seconda si sofferma

sull’adeguatezza del sistema generale dei controlli interni, ed in particolare

su quelli aventi contenuto amministrativo-contabile.

Relativamente alla seconda attività, essa fornisce un maggiore valore

aggiunto per l’organizzazione, assumendo eventualmente le caratteristiche

431 Cfr. Standard IIA 2050 Coordinamento; Guida Interpretativa IIA 2050-2 Acquisizione di servizi di revisione esterna. 432 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 237.


210

di un compliance auditing o di un’operational auditing focalizzato sui

processi contabili conformemente a quanto predisposto dalla

summenzionata normativa del Sarbanes-Oxley Act.

Lo svolgimento dell’attività di auditing finanziario e contabile richiede

all’internal auditor una spiccata conoscenza dei principi contabili e di

revisione, della tecnica ragionieristica, così come della disciplina giuridica

del bilancio d’esercizio.

Talvolta lo svolgimento di tale attività deriva da specifiche richieste da

parte del vertice aziendale così come da parte del Chief Audit Executive di

Guess Inc. che richiede particolari interventi su aree di bilancio considerate

maggiormente a rischio e su cui si intende ottenere maggior chiarezza.

5. IL PROGETTO DI IMPLEMENTAZIONE DEL CONTROL & RISK SELF

ASSESSMENT (CRSA) NEL GRUPPO GUESS

Nel gruppo Guess l’implementazione della metodologia del “Control &

Risk Self Assessment” (CRSA), già presentata nelle sue linee generali nel

capitolo precedente, rappresenta uno dei progetti più ambiziosi pianificato

dal top management per l’esercizio 2009.

L’obiettivo è quello di favorire un progressivo cambiamento della cultura

organizzativa, affinché tutto il personale divenga parte integrante del

sistema di controllo interno, sia fortemente motivato a garantire l’effettiva

applicazione delle procedure impostate ed a partecipare al loro continuo

miglioramento.

Il top management, dopo aver valutato l’economicità e l’efficacia dei

progetti di implementazione del CRSA proposti dalle diverse società di

consulenza, ha deciso di affidare tale incarico direttamente alla Funzione di

Revisione Interna del gruppo.


211

L’Internal Audit Dept., pertanto, in qualità di sponsor del progetto,

assumerà un ruolo determinante per il passaggio da una metodologia

tipicamente tradizionale ad un approccio basato sui rischi in grado di fornire

al management valore aggiunto nel processo di pianificazione strategica e

operativa.

Attualmente il progetto di implementazione del Control & Risk Self

Assessment nel gruppo Guess Europe è ancora in attesa della fase di start-

up e pertanto non si manifesta nella sua operatività, nonostante l’Internal

Audit Dept. ne abbia già pianificato le linee guida da seguire per sua

conduzione.

Il processo di implementazione del CRSA può essere sintetizzato in cinque

macrofasi:

a) Kick-off;

b) Consolidation of the risks;

c) Interactive Workshop;

d) Definition of Action Plan;

e) Monitoring.

a) KICK-OFF

In questa fase l’Internal Audit Dept. presenta la metodologia del Control &

Risk Self Assessment ai Responsabili delle business unit e ai loro diretti

collaboratori coinvolti nel progetto.

Nella riunione di apertura viene presentato, oltre alla metodologia, il nuovo

modello di Sistema di controllo interno basato sui rischi che si intende

adottare per guidare l’autovalutazione, ponendo particolare attenzione ai

benefici e ai vantaggi ottenibili dall’organizzazione stessa.

Una volta che sono stati forniti dettagli in merito alla conduzione del nuovo

approccio e alle finalità del progetto, l’Internal Audit Manager procede allo

svolgimento di un’attività di formazione e di supporto al management


212

coinvolto, relativamente al progetto di identificazione degli obiettivi

strategici e tattici ed in particolare all’individuazione dei “corporate risk”

che possono ostacolare il raggiungimento degli stessi.

In una prima fase del progetto, talvolta, per agevolare l’individuazione dei

fattori interni ed esterni all’organizzazione che possono impedire il

conseguimento degli obiettivi aziendali, può essere diffuso una sorta di

vademecum, contenente l’indicazione di alcuni fattori di rischio che

possono impattare sul corretto svolgimento della gestione aziendale.

b) CONSOLIDATION OF THE RISKS

È in questa seconda fase che si entra nella conduzione operativa del

processo dove i Responsabili delle business unit e i loro diretti collaboratori

provvedono ad evidenziare le minacce che possono pregiudicare il

raggiungimento degli obiettivi aziendali e le risorse materiali ed immateriali

sulle quali i rischi possono avere un impatto.

L’Internal Audit Dept. assume un ruolo centrale nel processo di

consolidamento dei rischi, essendo l’organo deputato a ricevere da parte di

ciascun Manager, coinvolto nel processo, una “lista dei rischi individuati”.

Mediamente ogni Responsabile indica 10-15 rischi ed invia l’elenco al

Responsabile di progetto (nel nostro caso l’Internal Audit Manager), il

quale procede all’effettuazione di un’attività di consolidamento, eliminando

eventuali ridondanze (nel caso in cui, ad esempio, siano stati indicati nelle

diverse liste gli stessi rischi) ed inserendo delle categorie di rischio reputati

rilevanti che non sono stati identificati dagli stessi Manager.

Il risultato di tale attività si traduce nella definizione di un elenco unico dei

rischi, che viene nuovamente inviato al management per una valutazione in

termini di probabilità di accadimento dell’evento e di impatto sulla gestione

(Fig.16-17), utilizzando una scala da 1 a 5 (Fig. 16-18).


213

Descrizione del rischio Impatto potenziale Probabilità

Fig. 16

Fig. 17

LEVEL DESCRIPTION RISK DESCRIPTIO N

1 Insignificant Does not im pact Sales & Operations

No im pact on reputation

Im m aterial im pact on financial perform ance

No im pact on m arket share

Issues would be delegated to junior m anagem ent and staff to resolve

2 M inor Sales & O perations unlikely to be affected

Potential im pact on reputation

M inor im pact on financial perform ance

Consequences can be absorbed under norm al operating conditions

3 M oderate Sales & O perations m ay be im pacted

There is som e im pact on reputation

Potential m aterial im pact on financial perform ance

M arket share loss in the short term

Event m ay require senior m anagem ent intervention

4 M ajor Seriously im pact Sales & Operations

Reputation is affected in the short term

M aterial im pact on financial perform ance

Serious loss of m arket share

Event requires Senior Managem ent attention

5 Critical Adversely affect Sales & Operations

Serious dim inution in reputation

Significant and sustained im pact on financial perform ance

Sustained serious loss in m arket share

Sustained loss of leadership in financially viable services

Risk or Threat – Im pact on Business Processes


214

Fig. 18

Una volta terminata tale valutazione, ha inizio una fase di elaborazione, in

cui l’Internal Audit, raccolte le valutazioni effettuate dai Responsabili

funzionali, procede per ogni categoria di rischio, al calcolo della media

delle probabilità e dell’impatto, della deviazione standard, riportando anche

il punteggio che è stato assegnato da ciascuna Funzione.

In questo modo si ha la possibilità di classificare i rischi in ordine di

importanza, sintetizzati nella cosiddetta ranking list, di individuare

eventuali devianze nelle valutazioni che potranno essere discusse

separatamente con i Manager delle diverse business unit nel corso del

workshop e di stabilire l’esposizione di ciascuna area ad una specifica

categoria di rischio.

L E V E L D E S C R IP T IO N R IS K D E S C R IP T IO N

1 R e m o te E vent m ay on ly occur in excep tiona l c ircum s tances

Less than a 5% chance o f occurring in any year

O ccurs once every 20 years o r less frequen tly

2 U n like ly E vent cou ld occur in som e c ircum stan ces

5% -20% ch ance o f occurring in any year

O ccurs once every 5 to 20 years

3 P o ssib le E vents m igh t occur in m ost c ircum stances

20% -50% chance o f occurring in any year

O ccurs once every 2 to 5 ye ars

4 L ike ly E vent w ill p robab ly occur in m ost c ircum s tances

50% -90% chance o f occurring in any year

O ccurs once every 1 to 2 ye ars

5 Alm ost C erta in E vent is expec ted to occur in m ost c ircum stances

M ore than 90% chance o f occurring in any year

O ccurs annua lly o r m ore frequen tly

R isk o r T hreat – L ike liho o d o f O ccu rrin g


215

c) INTERACTIVE WORKSHOP

La fase successiva prevede la discussione dei risultati nel corso di un

workshop al quale partecipano i Responsabili delle varie Funzioni coinvolte

nel progetto.

Obiettivo del workshop è quello di coprire i rischi con il ranking più alto,

dato dal prodotto “impatto x probabilità”.

Per scatenare la discussione un metodo può essere quello di partire da quei

rischi per i quali i manager avevano singolarmente espresso valutazioni

differenti.

Fig. 19

Almost Certain

Business Processes

Likely P1 - Retail Sales

P2 - Wholesales Sales

P3 - Human Resources

P4 - Cash&T.

P5 - Sourcing

P6 - Finance

Possible P7 - Accounting

P8 - LegalP9 - Information Systems

P10 - Warehouse/Distr./Log.

P11 - Asia

P12 - Europe

Unlikely P13 - Licensing

Remote

Insignificant Minor Moderate Major Critical

LIK

EL

IHO

OD

IMPACT

STRATEGIC SCENARIO

P8

P2 P10P13

P4

P7

P6

P11 P9 P3

P5 P12

P1


216

Risks with high deviation

Fig. 20

Basandosi sulle valutazioni che sono state effettuate, sintetizzabili in grafici

ad alto impatto visivo, si chiede per i rischi più significativi e per le aree

maggiormente esposte, di illustrare le azioni di contenimento che si

intendono porre in essere per rimuovere le cause di criticità percepite e la

tempistica di attuazione delle stesse.

Infatti, nel caso in cui il livello di controllo risultasse insoddisfacente, i

Responsabili delle varie Funzioni dovranno indicare anche le azioni da

intraprendere per ridurre il rischio al di sotto della soglia di accettabilità.

Il processo di self assessment si conclude con la predisposizione di un

rapporto la cui struttura è riportata in Fig. 21.

Almost Certain

Business Processes

Likely P1 - Sub-licence Dir.P2 - Wholesales Dir.

P3 - Fixturing Mngr.

Possible

Unlikely

Remote

Insignificant Minor Moderate Major CriticalIMPACT

LIK

EL

IHO

OD

WHLS PENETRATION - COORDINATION

P2

P1

P3


217

Criticità Attività da realizzare Data di conclusione Follow-up

Fig. 21

Come già accennato nel capitolo precedente, il ruolo assunto dall’Internal

Auditor nella conduzione del workshop risulta uno dei fattori critici di

successo per il buon esito del processo di CRSA.

Egli, infatti, deve essere in grado di “facilitare” il workshop agevolando il

gruppo di lavoro nella valutazione degli obiettivi, dei rischi e dei controlli,

facendo emergere idee, esperienze e valori che possono fungere da base per

prendere decisioni condivise e per assumerne la responsabilità.

d) DEFINITION OF ACTION PLAN

Una volta che i rischi sono stati individuati e valutati, il Responsabile di

ciascuna business unit è chiamato a definire il piano di azione (Action Plan)

che dovrà essere implementato per rimuovere le criticità riscontrate, nonché

la data di completamento dell’intervento e le misure temporanee nel

fronteggiare delle minacce rilevate.


218

Guess Europe – CRSA: Action Plan

Commercial

Fig. 22

I piani di azione con i risultati dell’autovalutazione e le azioni di

mitigazione dei rischi predisposte dalle unità organizzative vengono inviate

al Responsabile dell’Internal Audit Dept. il quale poi provvederà a

presentare al top management una valutazione sintetica degli elementi

critici di maggiore rilevanza riscontrati nel corso dell’assessment e dei piani

di azione predisposti dai Manager di Funzione. Dopo che i piani di azione

vengono approvati, i Responsabili di processo dovranno provvedere

all’implementazione dello stesso nei tempi stabiliti.

e) MONITORING

Infine la fase di monitoring prevede un monitoraggio continuo da parte

della Funzione di Internal Audit del sistema di controllo interno al fine di

garantire l’attendibilità dei risultati prodotti dal CRSA.

8

7

6

5

4

3

2

1

DeadlineResponsibilityControl descriptionRisk

8

7

6

5

4

3

2

1

DeadlineResponsibilityControl descriptionRisk


219

La verifica si traduce nello svolgimento di un’attività di quality assurance,

diretta ad accertare se è stata riscontrata l’esistenza dei controlli definiti

nell’Action Plan e se sono stati effettuati i test da esso previsti.

Laddove sono stati definiti degli interventi per ricondurre il rischio entro

limiti definiti come “accettabili”, il Responsabile dell’Internal Audit, in

sede di stesura del piano annuale di audit, prevede le attività di follow-up

che dovranno essere svolte.

Generalmente tali attività sono condotte su base semestrale e sono dirette ad

assicurare che le azioni programmate a seguito del CRSA siano state

eseguite correttamente e nei tempi previsti.

Nel corso di tali verifiche si accerta, inoltre, con il responsabile del

processo, se sono sorti ulteriori fattori di rischio, in modo da aggiornare la

mappa dei rischi inerenti alla specifica Funzione e, qualora risultasse

necessario, da richiedere al management l’impostazione di ulteriori azioni

correttive.

È da sottolineare comunque, che il processo di aggiornamento dei fattori di

rischio che possono impattare sull’attività aziendale avviene al di fuori

degli interventi di follow-up, con cadenza almeno semestrale o annuale.

L’approccio utilizzato nella pianificazione degli audit è, come già descritto

nel capitolo precedente, di tipo risk-based, in quanto le risorse vengono

allocate in relazione al grado di rischio associato ai diversi processi.

Talvolta, la definizione dell’Audit Plan annuale potrebbe derivare

dall’applicazione di un modello formale che prevede che la probabilità che

un processo possa essere soggetto a revisione dipende da:

• fattori di rischio identificati (quali ad esempio instabilità organizzativa,

liquidità e convertibilità, impatto sul bilancio e sull’immagine della

società);

• valutazioni negative emerse nel corso dell’attività di CRSA;


220

• significatività del processo;

• tempo trascorso dall’ultimo intervento di audit o dall’ultimo Control

Assessment Review.

Per ogni processo, si provvede all’assegnazione di un valore in relazione a

ciascuno dei parametri summenzionati, cosicché si ottiene una graduatoria

dei processi in funzione del sistema di rating adottato, che serve ad

individuare le priorità di intervento e, dunque, a selezionare le unità da

sottoporre ad audit.

In effetti, l’85% circa delle risorse viene allocato in funzione di tale

graduatoria, mentre le restanti sono disponibili per le verifiche richieste

dall’alta direzione o per interventi non programmati che si rendessero

necessari nell’esercizio successivo.

Le indicazioni emerse in sede di autovalutazione ed i piani di azione che

sono stati definiti vengono presi in considerazione anche al momento della

pre-review degli interventi di audit.

Nella fase preparatoria dell’intervento, si acquisiscono i rapporti predisposti

al termine dell’ultimo CRSA effettuato, si analizzano le criticità che erano

state riscontrate nel corso dell’autovalutazione e si realizza un follow-up sul

piano di azione in precedenza elaborato per verificarne la corretta

attuazione.

In conclusione, l’applicazione sistematica del CRSA permette di ridurre il

livello di incertezza delle decisioni prese dai Responsabili delle business

unit, tramite l’acquisizione di una maggiore consapevolezza dei rischi, di

migliorare le modalità secondo cui le attività di revisione sono pianificate e

di creare un rapporto più collaborativo fra gli auditor e il management di

Funzione.


221

CONCLUSIONI

L’esperienza svolta nell’Internal Audit Department del gruppo Guess ha

determinato uno stimolo per approfondire i contenuti e la natura dell’attività

di internal auditing, il cui compito, come abbiamo visto nel corso della

trattazione, è quello di valutare e contribuire a migliorare i processi di risk

management, di controllo interno e di corporate governance

dell’organizzazione, attraverso un approccio professionale sistematico che

crea valore aggiunto.

La complessità del panorama normativo in virtù della recente

regolamentazione societaria nazionale ed internazionale ha richiesto un

rinnovamento delle attività di internal auditing attraverso la definizione di

un buon sistema di governance e controllo che integri adeguatamente

business e compliance.

Si impone, pertanto, un forte cambiamento culturale all’interno

dell’organizzazione, che coinvolge in maniera significativa la Funzione di

Internal Audit che, attraverso le attività di assurance e consulenza, è

chiamata ad offrire il proprio contributo decisivo alla gestione e

progettazione di un Sistema di Controllo Interno in grado, non solo di

rispondere a vincoli normativi, ma anche di gestire in maniera integrata la

molteplicità dei rischi aziendali.

La Funzione di Internal Audit del gruppo Guess si trova a dover sopperire

ad una complessità organizzativa accentuata da differenti tipologie di

business e canali distributivi che caratterizzano i tre continenti in cui il

gruppo va ad operare, in particolare quello americano, europeo e asiatico.

A questo si aggiungono i processi di fusione o incorporazione, nonché altre

operazioni straordinarie guidate da esigenze di business, che, in questi

ultimi anni, hanno mantenuto alta la dinamicità del gruppo, determinando

una modifica delle aree di responsabilità ed una ridefinizione delle varie

attività ed obiettivi nelle diverse entità giuridiche.


222

In tale contesto, risulta notevole da parte dell’Internal Audit Dept.

l’impiego di risorse volte ad un adeguamento e monitoraggio continuo del

Sistema di Controllo Interno per evitare che l’insorgenza di ulteriori fattori

di rischio pregiudichi il suo efficace e corretto funzionamento.

Tra le diverse attività di audit pianificate dal gruppo Guess (in riferimento

soprattutto all’area europea), l’attività di compliance auditing e operational

auditing hanno assunto un’importanza notevole in virtù della necessità di

implementare un efficace sistema di controllo inerente il financial statement

in linea con le disposizioni del Sarbanes-Oxley Act del 2002 e di mantenere

aggiornata la strutturazione, ovvero il sistema di risk management/controllo

interno, dei diversi processi aziendali.

Nel contempo, l’Internal Audit del gruppo Guess sta dedicando parte delle

sue risorse, ad uno dei progetti più ambiziosi, la cui fase di start-up è stata

pianificata dal top management (in riferimento all’area europea) per

l’esercizio 2009, ovvero l’implementazione della metodologia del Control

& Risk Self Assessment (CRSA), il quale sarà determinante per il passaggio

da una metodologia tipicamente tradizionale ad un approccio basato sui

rischi (risk based).

La logica è quella di promuovere un’apertura verso l’implementazione di

attività di management audit svolte dalla stessa Funzione di revisione

interna in grado di fornire al Board una consulenza di tipo strategico ad alto

valore aggiunto per il processo di pianificazione.

La scommessa dell’Internal Audit Dept. del gruppo Guess si traduce nel

percorrere linee evolutive all’avanguardia, conformemente alle dinamiche

della struttura organizzativa del gruppo, alle politiche del top management e

alla diffusione della “cultura del controllo”, che garantiscano una gestione

dei rischi di business nonché dei processi di Self Assessment in grado di

fornire una visione integrata della governance aziendale.

In virtù della sua recente costituzione (Maggio 2006) la Funzione di

Internal Audit si pone l’obiettivo di offrire una consulenza giovane nei


223

metodi che, capitalizzando gli investimenti fatti fino ad oggi sul Sistema di

Controllo interno del gruppo, dia impulso a nuovi progetti per sfruttare

appieno i cambiamenti del contesto ambientale di riferimento e per

confermare il favorevole trend di crescita del gruppo Guess nell’area

europea.

Università degli Studi di Firenze,

Marzo, 2008

ALBERTO LO DICO


224

BIBLIOGRAFIA

Associazione Italiana Internal Auditors (AIIA), Position Paper “D. Lgs.

231/2001. Responsabilità amministrativa delle società: modelli

organizzativi di prevenzione e controllo”, Collana Professionale, n. 4,

ottobre 2001, www.aiiaweb.it.

Associazione Italiana Internal Auditors (AIIA), Institute of Internal

Auditors (IIA), Position Paper, “Il ruolo dell’Internal Auditing

nell’Enterprise-Wide Risk Management”, settembre 2004; trad. it.: Institute

of Internal Auditors, “The Role of Internal Auditing in Entreprise-Wide Risk

Management.”, 2004, www.aiiaweb.it.

Associazione Italiana Internal Auditors (AIIA), “Internal Audit. Corporate

Governance, Risk Management e Controllo Interno.”, n.52, maggio-agosto

2005; n.53, settembre-dicembre 2005; n.54, gennaio-aprile 2006; n.55,

maggio-agosto 2006; n.56, settembre-dicembre 2006; n.57, gennaio-aprile

2007; n.58, maggio-agosto 2007; n.59, settembre-dicembre 2007; n.60,

gennaio-aprile 2008.

Associazione Italiana Internal Auditors (AIIA), in collaborazione con

Politecnico di Milano, rapporto di ricerca “Enterprise Risk Management,

Risk Assessment e Internal Auditing”, marzo 2006, www.aiiaweb.it.

Associazione Italiana Internal Auditors (AIIA), Corporate Governance

Paper “Approccio integrato al Sistema di Controllo Interno ai fini di

un’efficace ed efficiente governo d’impresa”, www.aiiaweb.it.


225


Auditors (IIA), “Guide Interpretative (Practice Advisories) per la Pratica

Professionale dell’Internal Auditing”, www.aiiaweb.it.


Auditors (IIA), “Standard internazionali per la Pratica Professionale

dell’Internal Auditing”, www.aiiaweb.it.

Baraldi M., Paletta A., Zagnini M., “Corporate governance e sistema di

controllo interno”, Franco Angeli, Milano, 2004.

Beretta S., “Valutazione dei rischi e controllo interno”, Milano, Egea

Edizioni, 2004.

Borsa Italiana S.p.A., Comitato per la Corporate Governance (a cura di),

“Codice di Autodisciplina”, Milano, marzo 2006, www.borsaitaliana.it.

Carna A. R., “La responsabilità amministrativa degli enti. Aspetti

economico aziendali”, Rivista italiana di ragioneria e di economia

aziendale, luglio-agosto 2004.

Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate

governance. Egea Edizioni, Milano, Marzo 2007.

Codice Civile e leggi complementari, 2007.

Committee of Sponsoring Organisation of the Treadway Commission

(COSO), “Internal Control. Integrated Framework, AICPA, 1992”, tradotto

ed integrato in PricewaterhouseCoopers, “Il sistema di controllo interno.

Progetto Corporate Governance per l’Italia”, Milano, Il Sole 24 Ore, 2002.


226

Committee of Sponsoring Organisation of the Treadway Commission

(COSO), “Enterprise Risk Management. Integrated Framework”, settembre

2004; ed. it. a cura di AIIA e PricewaterhouseCoopers, La gestione del

rischio aziendale, Milano, Il Sole 24 Ore, 2006, www.coso.org.

Consiglio Nazionale dei Dottori Commercialisti (CNDC), “Guida operativa

sulla vigilanza del sistema di controllo interno”, ottobre 2000.

Consiglio Nazionale dei Dottori Commercialisti (CNDC), “Principi di

comportamento del Collegio Sindacale nelle società di capitali con azioni

quotate nei mercati regolamentati”, ottobre 2000.

Consiglio Nazionale dei Dottori Commercialisti (CNDC), Principio di

revisione n. 600, “L’utilizzo del lavoro di revisione interna”, ottobre 2000.

D. Lgs. 8 giugno 2001, n. 231, “Disciplina della responsabilità

amministrativa delle persone giuridiche, delle società e delle associazioni

anche prive di personalità giuridica a norma dell’articolo 11 della legge 29

settembre 2000, n. 300”.

D. Lgs. 17 gennaio 2003, n. 6, “Riforma organica della disciplina delle

società di capitali e società cooperative, in attuazione della legge 3 ottobre

2001, n. 366”.

De Loach J.W., “Enterprise Wide Risk Managememnt”, Londra, Financial

Times-Prentice Hall, 2000.

European Confederationof Institutes of Internal Auditing (ECIIA), Position

Paper “Il ruolo dell’Internal Auditing in Europa”, ottobre 2005; trad. it. A


227

cura di AIIA, ECIIA, “Internal Auditing in Europe”, febbraio 2005,

www.aiiaweb.it e www.eciia.org.

Financial Accounting Standards Boards (FASB), Statement of Financial

Accounting Standard (SFAS) No. 5 “Accounting for Contingencies”.

Fortunato S., “Il contributo della funzione di internal audit alla gestione di

impresa” Rivista dei Dottori Commercialisti, giugno 2006.

Gleim I.N., “CIA Review”, Gleim Plublications, 2004.

Grossi G. C., “Internal Auditing. L’inizio di una nuova avventura”, Milano,

AIIA, 2002.

Guess Inc., Investor Relations, www.guessinc.com.

Guess Inc., La mission, www.guess.it.

Hubbard L., “Control Self-Assessment: guida pratica”, Milano, AIIA, 2006.

Information System Audit and Control Foundation (ISACF), “IT

Governance Institute, Control Objective for Information and related

Technology (COBIT), III ed., luglio 2000, www.isaca.org,

www.Itgovernance.org; trad. it. a cura di Associazione Italiana Information

System Auditors (AIEA) e di ISACA, delegazione di Milano, luglio 2002,

www.aiea.it.

Institute of Internal Auditors (IIA), Position Statement “The Role of

Internal Audit in Enterprise-Wide Risk Management”, 29 settembre 2004,

www.theiia.org.


228

Institute of Internal Auditors (IIA), “Internal Audit’s Role in Section 302

and 404 of the Sarbanes-Oxley Act”, 26 maggio 2006, www.theiia.org.

Legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e

la disciplina dei mercati finanziari”.

Magnate P., “Modelli per la prevenzione della responsabilità delle

imprese”, Contabilità, finanza e controllo, n. 5/2005.

Intervista a Paul Marciano: “Ho un sogno firmato Guess”, Pambianco

Week, n. 17, ottobre 2007.

Parmeggiani F. “I modelli di controllo prescritti dal D. Lgs. 231/01 in

materia di responsabilità amministrativa delle società”, marzo 2007.

Power M. “The Audit Society. Rituals of Verification”, Oxford University

Press Inc., New York; trad. it. “La società dei controlli” a cura di Panozzo

F., Edizioni Comunità, Torino, 2002.

Public Company Accounting Oversight Board (PCAOB), Auditing

Standard no. 2, www.pcaobus.org.

Regolamento di attuazione del decreto legislativo 24 febbraio 1998, n. 58,

concernente la disciplina degli emittenti (adottato da CONSOB con delibera

14 maggio 1999, n.11971, e successivamente modificato con delibere 6

aprile 2000, n.12475; 18 aprile 2001, n.13086; 3 maggio 2001, n. 13106; 22

maggio 2001, n.13130; 5 giugno 2002, n. 13605; 12 giugno 2002, n. 13616;

4 febbraio 2003, n. 13924; 27 marzo 2003, n. 14002; 23 dicembre 2003, n.

14372; 11 agosto 2004, n. 14692; 13 ottobre 2004, n. 14743; 14 aprile

2005, n. 14990).


229

Regolamento recante norme di attuazione del decreto legislativo 24

febbraio 1998, n. 58, del decreto legislativo 24 giugno 1998, n. 213, in

materia di mercati (adottato da CONSOB con delibera del 23 dicembre

1998, n. 11768, e successivamente modificato con delibere 20 aprile 2000,

n. 12497; 18 aprile 2001, n. 13085; 10 luglio 2002, n. 13659; 4 dicembre

2002, n. 13858; 27 marzo 2003, n. 14003; 25 giugno 2003, n. 14146; 5

dicembre 2003, n. 14339; 23 marzo 2005, n. 14955).

Sacrestano A., “Dipendenti, reati da prevenire”, Il Sole 24 Ore. Norme e

tributi, 14 maggio 2007, n. 131.

Sarbanes-Oxley Act of July, 30, 2002.

Testo Unico della Finanza (TUF), “Testo Unico delle disposizioni in

materia di intermediazione finanziaria”, D. Lgs. 58/1998.

Tritter R. P., Zittnan D. S., “Control Self Assessment: Experience, Current

Thinking and Best Practices”, The IIA Research Foundation, 1996.

Yahoo, Finance, http://it.finance.yahoo.com/.

340 di internal audit in un gruppo internazionale. Il caso Guess.doc) · Control & Risk Self...

Documents

Transcript of 340 di internal audit in un gruppo internazionale. Il caso Guess.doc) · Control & Risk Self...