IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO ... · 1 │febbraio 2014 │ Il Sistema dei...

……………………………………………………………………………………………………………………………………………………................................

…………………………………………………………………………………………………………………………………………………… 1 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale

IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO, COMITATO CONTROLLO E RISCHI E COLLEGIO SINDACALE

ENRICO MARIA BIGNAMI

……………………………………………………………………………………………………………………………………………………................................



LA GOVERNANCE E IL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI

La Governance può essere sinteticamente definita come “il metodo attraverso il quale le aziende

sono dirette e controllate”.

Nella gestione dell’impresa, esiste un legame imprescindibile fra i seguenti tre elementi:

gli obiettivi, che l’organizzazione di prefigge di raggiungere;

i rischi, ovvero eventi che possano incidere negativamente sul perseguimento degli obiettivi,

valutati in termini di probabilità e impatto;

i controlli, ovvero le protezioni da mettere in atto per prevenire/mitigare/contenere gli

effetti negativi generati dal concretizzarsi di eventi rischiosi.

La teoria più avanzata1 sottolinea l’importanza del rischio nel sistema dei controlli: l’ultima

versione del Codice di Autodisciplina2 ne ha riconosciuto ed enfatizzato la centralità.

Il sistema di controllo interno e di gestione dei rischi (“SCI-GR”) è quindi uno snodo cruciale

della governance di una società. Il rischio è il filo conduttore del sistema dei controlli, il

quale ruota intorno all’identificazione, valutazione e monitoraggio dei rischi aziendali.

1 la più rilevente è il Modello ERM, Enterprise Risk Management, emesso nel 2004 dal Committee of Sponsoring Organizations, CoSO 2 Codice di Autodisciplina del Comitato per la Corporate Governance del dicembre 2011

……………………………………………………………………………………………………………………………………………………................................



La Definizione di SCI-GR del Codice di Autodisciplina

“Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito

dall'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire

l'identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi.”3

Obiettivi del SCI-GR

“Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una conduzione

dell'impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione,

favorendo l'assunzione di decisioni consapevoli. Esso concorre ad assicurare

la salvaguardia del patrimonio sociale,

l'efficienza e l'efficacia dei processi aziendali,

l'affidabilità dell'informazione finanziaria,

il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne.”4

3 Codice di Autodisciplina, art. 7.P.1. 4 Codice di Autodisciplina, art. 7.P.2.

……………………………………………………………………………………………………………………………………………………................................



I concetti generali e i principi fondamentali di architettura del sistema di controllo e di gestione dei rischi

L’architettura del sistema di controllo interno e di gestione dei rischi va definita specificamente

per ogni singolo caso, in relazione al tipo di attività svolta, alla dimensione della società, alla

struttura del gruppo, al contesto regolamentare.

Il sistema dei controlli deve essere “integrato” nell’assetto organizzativo, amministrativo,

contabile e di governo societario e le sue componenti devono essere tra loro coordinate e

interdipendenti.

I principi di architettura sono:

la separazione di ruoli e compiti (segregation of duties), che ha quale obiettivo primario

quello di ridurre il rischio di frodi ed errori, e viene perseguita attraverso la suddivisione

delle attività/responsabilità, relative ad un determinato processo aziendale, tra differenti

funzioni/individui.

l’accountability di informazioni e processi, intesa quale attribuzione della responsabilità

incondizionata in capo a un soggetto (o a un gruppo di soggetti) del risultato conseguito da

un’organizzazione, sulla base delle proprie capacità, abilità ed etica.

la tracciabilità (e non ripudiabilità) dei dati e delle informazioni, in modo da rendere

attendibile, ricostruibile e valutabile un’attività o un processo.

L’Efficacia del Sistema di Controllo Interno e di gestione dei rischi

……………………………………………………………………………………………………………………………………………………................................



Il SCI-GR è efficace – in un determinato momento - quando soddisfa i seguenti standard:

da comprensione della misura in cui si stanno conseguendo gli obiettivi operativi,

i bilanci pubblicati sono attendibili,

leggi e regolamenti vengono rispettati.

La valutazione di efficacia del SCI-GR è un giudizio soggettivo sulla sua presenza e funzionamento,

coerentemente con gli obiettivi aziendali: la determinazione degli obiettivi è quindi una

condizione irrinunciabile del controllo interno.

L’efficacia del SCI-GR ha intrinseche limitazioni date:

sia dal fatto che la gestione del rischio di impresa dipende giudizio umano e

sia che sono sempre possibili errori che possono portare a risposte inadeguate al rischio.

Inoltre, i controlli potrebbero essere aggirati con la collusione di due o più persone.

……………………………………………………………………………………………………………………………………………………................................



I tre livelli di presidio al sistema di controllo interno e gestione dei rischi

Il presidio sul SCI-GR si articola normalmente su tre livelli a cui sono associati diverse

responsabilità e diversi strumenti, a complemento delle responsabilità di governo in capo agli

organi sociali di amministrazione e controllo.

CONTROLLI DI PRIMO LIVELLO

Sono i controlli insiti nei processi operativi predisposti e attuati dal management, nel rispetto

degli obiettivi e delle responsabilità del medesimo.

Consistono in controlli tipicamente di carattere procedurale, informatico, comportamentale,

amministrativo-contabile, ecc. diretti ad assicurare il corretto svolgimento delle operazioni, da

un punto di vista operativo e di business, di rischio e normativo.

Banca d’Italia5 suggerisce che siano, per quanto possibile, incorporati nelle procedure

informatiche.

Sono i controlli fondamentali, sui quali si basa il SCI-GR, e sono imprescindibili, per qualsiasi

dimensione aziendale ai fini della tenuta dell’intero sistema.

5 Banca d’Italia, “Nuove disposizioni di Vigilanza Prudenziale per le Banche”, edizione di Luglio 2013, pag- 7.

……………………………………………………………………………………………………………………………………………………................................



CONTROLLI DI SECONDO LIVELLO

Sono controlli trasversali sui rischi e sulla conformità, svolti da funzioni di staff, che hanno

l'obiettivo di:

concorrere alla definizione delle metodologie di misurazione del rischio, verificare il

rispetto dei limiti assegnati alle varie funzioni operative e controllare la coerenza

dell'operatività delle singole aree produttive con gli obiettivi di rischio-rendimento

assegnati (Risk Management);

concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di

conformità, individuare idonee procedure per la prevenzione dei rischi rilevati e richiederne

l’adozione (Compliance);

attestare l’informativa contabile societaria secondo quanto previsto dalla legge (Dirigente

Preposto)

attestare l’efficienza e l’efficacia delle operazioni aziendali in relazione agli obiettivi

strategici, porre le basi per la pianificazione (Controllo di gestione)

……………………………………………………………………………………………………………………………………………………................................



CONTROLLI DI TERZO LIVELLO

Il terzo livello è l’Internal Audit, che fornisce l’assurance (la garanzia) sul disegno e sulla

funzionalità complessiva del sistema, attraverso valutazioni indipendenti.

Tale attività è condotta in via continuativa e sistematica, ma anche per eccezioni, da strutture

diverse e indipendenti da quelle produttive.

E’ considerata il facilitatore dei processi di risk assessment e allineamento a temi di compliance

in assenza di funzioni a ciò dedicate.

Elabora il piano di audit (ha autonomi poteri di iniziativa nella predisposizione del piano di

audit e nell’attivazione di singoli interventi) che deve tenere conto dei rischi rilevati e

analizzati da altre funzioni aziendali a ciò preposte, della percezione del management, delle

indicazioni degli organi di amministrazione e controllo.

Il piano di audit deve avere caratteristiche tali da coprire adeguatamente i principali rischi

aziendali e, in un arco di tempo ragionevole, tutto il perimetro aziendale rilevante.

……………………………………………………………………………………………………………………………………………………................................



UN MODELLO DI RIFERIMENTO PER LA GESTIONE DEL SCI-GR: L’ENTERPRISE RISK MANAGEMENT (ERM)6

Nell’appendice “C” è esposta una sintesi del modello ERM. Nella trattazione odierna, approfondisco

solo alcune considerazioni sui componenti del sistema di controllo interno e di gestione dei rischi

come declinati nell’ERM.

Nel modello ERM, i componenti del sistema di controllo interno e di gestione dei rischi, tra loro

collegati, che servono come criteri per valutare l’efficacia del sistema sono:

Ambiente interno: rappresenta l’identità essenziale dell’organizzazione, contiene la filosofia

sul rischio, l’integrità, i valori etici e l’ambiente di lavoro. L’ambiente di controllo è un

elemento fondamentale della cultura di un’organizzazione, poiché determina il livello di

sensibilità del personale alla necessità di controllo. Parte dal commitment degli Organi

Sociali e del Vertice, costituisce il fondamento di tutti gli altri componenti del controllo

interno e fornisce disciplina e organizzazione. I fattori che influenzano l’ambiente di

controllo sono l’integrità, i valori etici e la competenza del personale; la filosofia e lo

stile del management; le modalità di delega delle responsabilità, la politica organizzativa e

di motivazione del personale; infine la dedizione del consiglio di amministrazione e la sua

capacità di indicare chiaramente gli obiettivi. In assenza di un adeguato Ambiente interno,

tutto il sistema vacilla.

6 il Modello ERM, Enterprise Risk Management, emesso nel 2004 dal Committee of Sponsoring Organizations, CoSO

……………………………………………………………………………………………………………………………………………………................................



Definizione obiettivi: è necessario che il CdA definisca obiettivi compatibili e coerenti con

l’azienda e con le opportunità e i vincoli esterni ed interni.

Identificazione degli eventi: il management identifica gli eventi potenziali che, se si

verificano, incideranno sull’attività aziendale e determina se tali eventi rappresentano

opportunità oppure rischi.

Valutazione del rischio: la valutazione del rischio consente a un’azienda di misurare

l’incidenza di un evento potenziale sul conseguimento degli obiettivi. Gli eventi vanno

valutati da due prospettive diverse – probabilità e impatto – e normalmente viene impiegata

una combinazione di tecniche quantitative e qualitative.

Risposta al rischio: evitare il rischio, ridurre il rischio, accettare il rischio,

compartecipare al rischio. Devono essere valutati i costi e benefici delle varie strategie e

adottando quella che permette di ridurre il livello di rischio entro il termine di tolleranza

stabilito (dal CdA).

Attività di controllo: creare e applicare politiche e procedure di controllo per assicurare

efficace attivazione dei provvedimenti che il management ritiene necessari per ridurre i

rischi connessi alla realizzazione degli obiettivi.

Informazioni e comunicazione: i sistemi di informazione e comunicazione consentono la raccolta

e lo scambio (verso il basso, verso l’alto e trasversale) delle informazioni per indurre una

corretta gestione e controllo. Le informazioni devono essere pertinenti, raccolte e diffuse

……………………………………………………………………………………………………………………………………………………................................



nella forma e nei tempi (la tempestività è fondamentale!) che consentono a ciascuno di

adempiere le proprie responsabilità.

Monitoraggio: il sistema deve essere monitorato, ai vari livelli, per verificarne

l’adeguatezza e l’efficacia, e per apportarvi le modifiche necessarie.

……………………………………………………………………………………………………………………………………………………................................



I PRINCIPALI ATTORI DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI

Premessa

Nella Governance di una società gli organi di riferimento, nel modello tradizionale, sono il

Consiglio di Amministrazione e il Collegio Sindacale.

Il Consiglio di Amministrazione è l’organo supremo

di indirizzo strategico,

di definizione degli obiettivi,

di valutazione del livello di rischio accettabile e

di indirizzo sull’impostazione del Sistema dei controllo interno e di gestione dei rischi.

Gli Amministratori esecutivi (compreso l’Amministratore incaricato di sovraintendere al sistema dei

controlli) sono emanazione del Consiglio. In sintesi,

curano l’attuazione degli obiettivi strategici,

la definizione dell’architettura e la conduzione della gestione operativa e del SCIGR.

Anche per norma di autodisciplina, al proprio interno il Consiglio nomina Comitati consultivi - nel

caso di specie, il riferimento è al Comitato Controllo e Rischi - che lo supportino nell’istruzione

e nell’approfondimento propedeutico alle proprie decisioni.

……………………………………………………………………………………………………………………………………………………................................



Il Collegio Sindacale è l’organo di controllo, è il vertice della vigilanza. La sua attività parte

dalla vigilanza sull’operato del Consiglio di Amministrazione, a scendere. Il Collegio Sindacale

non entra nel merito delle scelte di amministrazione (sono gli Amministratori che esercitano la cd.

“business judgment rule”), ma vigila – tra l’altro - sulla legittimità sostanziale dell’operato del

Consiglio, ha poteri pervasivi di ispezione controllo ed esercita attività di stimolo e denuncia,

con il fine di indurre una corretta gestione (“promuovere gli interventi di amministratori e

management”).

* * * * * * *

Da quanto sopra emerge la grande differenza tra l’attività del Consiglio di Amministrazione (e dei

suoi Comitati), che è essenzialmente di valutazione e decisione - principalmente di merito – sugli

obiettivi, sulle principali questioni strategiche e operative, sull’adeguatezza degli assetti e del

SCI-GR, e quella del Collegio Sindacale che svolge solo attività di vigilanza, senza entrare nel

merito e senza alcun potere operativo, ma che può esercitare un forte impulso: ha poteri/doveri di

attivarsi nei confronti degli organi sociali (amministratori esecutivi, consiglio e assemblea), ed

eventualmente accedendo all’esterno (Tribunale, Consob e organismi di vigilanza in generale) al

fine di interessare e “forzare” le valutazioni e i necessari interventi e misure correttive.

Questa impostazione è, a mio parere, migliore sia del modello anglosassone che degli altri modelli di Amministrazione e controllo (dualistico e monistico) perché separa l’indirizzo strategico dal controllo, riducendo significativamente il rischio di un conflitto di interessi tra controllore e controllato (migliorando quindi un elemento fondamentale dei sistemi di controllo, che è la segregation of duties).

……………………………………………………………………………………………………………………………………………………................................



……………………………………………………………………………………………………………………………………………………................................



L’articolo 7 del Codice di Autodisciplina 2011 indica in dettaglio gli attori del SCI-GR

specificando per ognuno i relativi compiti.

Consiglio di amministrazione (CdA)

In quanto organo di supervisione strategica, svolge un ruolo di indirizzo e di valutazione

dell’adeguatezza del SCI-GR. In particolare:

definisce la natura e il livello di rischio compatibile con gli obiettivi strategici

dell’emittente7;

definisce le linee di indirizzo del SCI-GR, in modo che i principali rischi risultino

correttamente identificati, misurati, gestiti e monitorati;

valuta l’adeguatezza e l’efficacia del SCI-GR8;

nomina e revoca il responsabile della funzione di internal audit9, che dipende gerarchicamente

dal medesimo CdA;

approva il piano di audit10.

Il Consiglio di amministrazione inoltre11 individua al suo interno:

7 Articolo 1, Criterio 1.C.1 b) del Codice di Autodisciplina 2011 8 valuta, con cadenza almeno annuale, l’adeguatezza e l’efficacia del SCI-GR rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto 9 su proposta dell’amministratore incaricato del SCI-GR e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio sindacale, nomina e revoca il responsabile della funzione di internal audit, assicura che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie responsabilità e ne definisce la remunerazione coerentemente con le politiche aziendali. 10 approva, con cadenza almeno annuale, il piano di audit predisposto dall’internal audit, sentiti il collegio sindacale e l’amministratore incaricato del SCI-GR.

……………………………………………………………………………………………………………………………………………………................................



- Uno o più amministratori incaricati del sistema di controllo interno e di gestione dei rischi12;

- Un comitato controllo e rischi (CCR), composto da amministratori indipendenti.

Amministratore incaricato del SCI-GR

E’ un amministratore esecutivo, incaricato dell’istituzione e del mantenimento di un efficace SCI-

GR. In particolare:

cura l’identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche

delle attività svolte, e li sottopone periodicamente all’esame del CdA;

dà esecuzione alle linee di indirizzo definite dal CdA, curando la progettazione, realizzazione

e gestione del SCI-GR e verificandone costantemente l’adeguatezza e l’efficacia13.

11 il Codice di Autodisciplina prevede inoltre che (i) descrive, nella relazione sul governo societario, le principali caratteristiche del SCI-GR, esprimendo la propria valutazione sull’adeguatezza dello stesso; (ii) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale. 12 Il CdA, laddove una simile scelta risulti coerente con le caratteristiche dell’impresa, può decidere di disimpegnare tali attività istruttorie direttamente, senza cioè la costituzione di un apposito comitato, illustrando analiticamente le motivazioni di tale scelta nella relazione sul governo societario e sottoponendola a periodica revisione 13 Inoltre, sempre da Codice di Autodisciplina, (i) si occupa dell’adattamento di tale sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare; (ii) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell’esecuzione di operazioni aziendali, dandone contestuale comunicazione al presidente del CdA, al presidente del CCR e al presidente del collegio sindacale; (iii) riferisce tempestivamente al CCR (o al CdA) in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque notizia, affinché il comitato (o il consiglio) possa prendere le opportune iniziative.

……………………………………………………………………………………………………………………………………………………................................



Comitato controllo e rischi (CCR)

Ha il compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni

del CdA relative al SCI-GR14. In particolare:

esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi

aziendali;

esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo

interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione

internal audit;

monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal

audit15.

Responsabile della funzione di internal audit

Riveste una posizione centrale nel SCI-GR, in quanto – come detto - è investito dell’attività di

controllo “di terzo livello”16. Possiede autonomi poteri di iniziativa e dipende gerarchicamente

esclusivamente dal CdA. In particolare:

14 nonché quelle relative all’approvazione delle relazioni finanziarie periodiche 15 Inoltre, da Codice di Autodisciplina, (i) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato; (ii) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al presidente del collegio sindacale; (iii) riferisce al CdA, almeno semestralmente, in occasione dell’approvazione della relazione finanziaria annuale e semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno e di gestione dei rischi. 16 La funzione di internal audit, nel suo complesso o per segmenti di operatività, può essere affidata a un soggetto esterno all’impresa, purché dotato di adeguati requisiti di professionalità, indipendenza e organizzazione.

……………………………………………………………………………………………………………………………………………………................................



verifica l’operatività e l’idoneità del SCI-GR, attraverso un piano di audit, approvato dal CdA,

basato su un processo strutturato di analisi e prioritizzazione dei principali rischi;

non è responsabile di alcuna area operativa;

ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico;

predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle

modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani definiti

per il loro contenimento. Nelle relazioni periodiche, l’audit esprime la propria valutazione

sull’idoneità del SCI-GR;

predispone tempestivamente relazioni su eventi di particolare rilevanza;

trasmette – di norma in modo contestuale - le relazioni predisposte ai presidenti del CdA, del

Collegio Sindacale, del CCR e nonché all’amministratore incaricato del SCI-GR;

verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i

sistemi di rilevazione contabile.

Collegio sindacale

Il Collegio Sindacale rappresenta il vertice del sistema di vigilanza.

Il Collegio Sindacale vigila sull’adeguatezza del SCI-GR, avendo assunto informazioni e flussi in

via sistematica dai responsabili dei controlli di secondo e terzo livello, e di ogni altra

informazione ritenuta rilevante. Più in dettaglio, il compito del Collegio Sindacale si estrinseca

mediante:

……………………………………………………………………………………………………………………………………………………................................



l’acquisizione della conoscenza e poi il monitoraggio dello stato del sistema dei controlli,

sempre da una posizione di sintesi e apicale;

vigilando sull’Ambiente interno, con particolare riferimento al commitment del CdA e del Vertice

dell’impresa;

mediante sessioni periodiche e flussi informativi dai principali attori del sistema: le funzioni

di internal audit, compliance, risk management, controllo di gestione, dirigente preposto alla

redazione dei documenti contabili, revisore legale, organismo di vigilanza ex d.lgs. n.

231/2001, ecc.;

prendendo conoscenza e approfondendo le criticità e le carenze, le modalità e i tempi di

risoluzione delle problematiche, il buon fine delle attività di follow-up, l’adeguatezza e il

funzionamento delle strutture di controllo; in generale “promuovendo gli interventi correttivi

delle carenze e delle irregolarità rilevate”17.

17 Banca d’Italia, op.cit. pagina 16.

……………………………………………………………………………………………………………………………………………………................................



Appendice “A” – Il SCI-GR nella Normativa e nell’Autodisciplina

Il Legislatore nazionale e l’Autodisciplina hanno introdotto obblighi di disclosure sul sistema di controllo interno e sulle modalità di gestione dei rischi aziendali. I riferimenti più rilevanti in tale ambito sono:

• Il Testo Unico della Finanza (D.Lgs. 58/1998) e successive modifiche e integrazioni richiede che nella relazione sulla gestione allegata al bilancio:

– sia data informativa dei principali rischi e incertezze (art. 154 ter);

– sia data informativa sulle principali caratteristiche dei sistemi di gestione dei rischi e di controllo interno esistenti in relazione al processo di informativa finanziaria (art. 123 bis).

• L’art. 2428 del Codice Civile: stabilisce che il bilancio debba “essere corredato da una relazione degli amministratori contenente [...] una descrizione dei principali rischi e incertezze cui la società è esposta”.

• Il D.Lgs. 39/2010, intervenuto sul Codice Civile, prevede che il collegio sindacale vigili sull'efficacia dei sistemi di controllo interno e di gestione del rischio.

• Il D.Lgs. 231/2001 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”), introducendo la responsabilità amministrativa e penale degli enti ha contribuito a promuovere processi di identificazione e valutazione del rischio di commissione di specifiche fattispecie di reato e soprattutto una cultura di risk management a tutti i livelli aziendali.

……………………………………………………………………………………………………………………………………………………................................



Il Codice di Autodisciplina (dicembre 2011) che sottolinea la centralità del rischio nel sistema di controllo. Numerosi aspetti costituiscono utili spunti di riflessione anche per aziende non quotate: 1. Centralità del rischio – 7.P.1, 7.P.2. Sottolinea la centralità del “rischio” nel sistema dei

controlli e rafforza l’attenzione al risk management quale strumento gestionale per contribuire a una conduzione sana dell’ impresa coerente con gli obiettivi strategici e all’assunzione di decisioni consapevoli

2. Sistema dei controlli unico e integrato – 7.P.3. Rafforza il principio di unicità del sistema, esplicitando l’opportunità di prevedere modalità di coordinamento tra i diversi soggetti al fine di massimizzare l’efficienza del sistema di controllo interno e di gestione dei rischi e di ridurre la duplicazione delle attività.

3. Politiche di gestione dei rischi riflesse nelle remunerazioni – 6.P.4, 6.C.1, 6.C.3. E stato introdotto il criterio secondo cui componenti fisse e variabili della remunerazione di amministratori e dirigenti debbano essere adeguatamente bilanciate anche in funzione della politica di gestione dei rischi.

4. Funzioni di controllo di secondo livello – 7.P.1, commento art. 7

Chiarimento dei ruoli – 7.C.1, 7.C.2, commento art. 8. Sono stati chiariti i ruoli di competenza tra il Comitato controllo e rischi (supporto alle decisioni e valutazioni gestionali del CdA sul sistema di controllo interno e di gestione dei rischi) e il Collegio Sindacale (vigilanza sull’efficacia del sistema di controllo interno e di gestione dei rischi)

……………………………………………………………………………………………………………………………………………………................................



Appendice “B” - UN MODELLO DI RIFERIMENTO DI GESTIONE DEL SCI-GR: L’ENTERPRISE RISK MANAGEMENT (ERM)

Definizione del CoSO ERM Framework del 2004.

“L’ERM è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri

operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta

l’organizzazione e progettato per:

individuare eventi potenziali che possono influire sull’attività aziendale;

gestire il rischio entro i limiti del rischio accettabile;

fornire una ragionevole sicurezza sul perseguimento degli obiettivi aziendali.”

L’ERM consente al management un’efficace ed efficiente gestione delle condizioni di incertezza e

dei relativi rischi ed opportunità, con conseguente possibilità di salvaguardia o di creazione di

valore

……………………………………………………………………………………………………………………………………………………................................



Le caratteristiche dei sistemi di ERM

L’ERM deve coinvolgere ogni area della società in un processo continuo e necessita di un forte

commitment dei vertici.

1. Inclusione di tutte le categorie di rischio (all risk categories included), strategici, finanziari, operativi, di conformità

2. Focalizzazione su un numero limitato di rischi (key risk focus), in particolare su quelli con il maggiore impatto potenziale sul valore e sulle attività dell’azienda;

3. Integrazione nella gestione dei rischi (integrated across risk types) 4. Gestione del rischio

L’ERM permette di:

allineare la strategia al rischio accettabile

migliorare la risposta ai rischi individuati

ridurre gli imprevisti e le perdite conseguenti

identificare e gestire i rischi correlati e multipli

identificare le opportunità

migliorare l’impiego del capitale

……………………………………………………………………………………………………………………………………………………................................



Il COSO – ERM: un modello di Sistema di controllo interno

Strategici Obiettivi relativi alla mission aziendale

Operativi

Obiettivi relativi all’efficienza e efficacia delle attività operative aziendali

Reporting Obiettivi relativi all’attendibilità dei report interni ed esterni

Conformità Obiettivi relativi all’osservanza delle leggi e dei regolamenti

Ambiente interno Modalità in cui il rischio è considerato e affrontato (filosofia di risk management)

Definizione degli obiettivi

Gli obiettivi devono essere coerenti con la missione aziendale e allineati al rischio accettabile

Identificazione degli eventi

Identificazione degli eventi che originano rischi e opportunità

Valutazione del rischio

Metodologie per valutare l’impatto e la probabilità dei rischi

Risposta al rischio

Metodologia con cui è identificata la reazione da adottare in risposta ai rischi identificati

Attività di controllo

Politiche e procedure per assicurare che le risposte al rischio siano efficacemente eseguite

Informazioni e comunicazione

Le informazioni devono essere raccolte e diffuse affinché ciascuno possa adempiere alle proprie responsabilità

Monitoraggio Verifica l’adeguatezza del sistema di ERM

……………………………………………………………………………………………………………………………………………………................................



I componenti dell’ERM

I componenti del sistema di controllo interno (e di gestione dei rischi), tra loro collegati, che

servono come criteri per valutare l’efficacia del sistema sono:

Ambiente interno: rappresenta l’identità essenziale dell’organizzazione, contiene la filosofia

sul rischio, l’integrità, i valori etici e l’ambiente di lavoro. L’ambiente di controllo è un

elemento importantissimo della cultura di un’organizzazione, poiché determina il livello di

sensibilità del personale alla necessità di controllo. Esso costituisce le fondamenta di tutti

gli altri componenti del controllo interno e fornisce disciplina e organizzazione. I fattori che

influenzano l’ambiente di controllo sono l’integrità, i valori etici e la competenza del

personale; la filosofia e lo stile del management; le modalità di delega delle responsabilità,

la politica organizzativa e di motivazione del personale; infine la dedizione del consiglio di

amministrazione e la sua capacità di indicare chiaramente gli obiettivi.

Definizione obiettivi: la consapevolezza e la declinazione di questi elementi è la base sulla

quale si sviluppa il sistema di controllo. Ogni azienda deve affrontare una varietà di rischi,

di origine interna ed esterna, che devono essere valutati. Prima di procedere a questa

valutazione è necessario definire obiettivi compatibili e coerenti.

Identificazione degli eventi: Il management identifica gli eventi potenziali che, se si

verificano, incideranno sull’attività aziendale e determina se tali eventi rappresentano

opportunità oppure rischi, che possono pregiudicare la capacità dell’azienda di realizzare la

strategia e di conseguire gli obiettivi stabiliti. Eventi con impatto negativo rappresentano

rischi, eventi con impatto positivo rappresentano opportunità.

……………………………………………………………………………………………………………………………………………………................................



Valutazione del rischio: la valutazione del rischio consente a un’azienda di misurare

l’incidenza di un evento potenziale sul conseguimento degli obiettivi. Il management valuta gli

eventi da due prospettive diverse – probabilità e impatto – e normalmente impiega una

combinazione di tecniche quantitative e qualitative.

Risposta al rischio: Il management, dopo aver valutato i rischi, determina come rispondere a

essi. Le risposte includono:

- Evitare il rischio

- Ridurre il rischio

- Accettare il rischio

- Compartecipare al rischio

Per scegliere l’opzione migliore, il management valuta costi e benefici delle varie strategie e

adotta quella he permette di ridurre il livello di rischio entro il termine di tolleranza

stabilito.

Attività di controllo: creare e applicare politiche e procedure di controllo per assicurare

efficace attivazione dei provvedimenti che il management ritiene necessari per ridurre i rischi

connessi alla realizzazione degli obiettivi. le attività di controllo si possono definire come

l’applicazione delle politiche e delle procedure che garantiscono al management che le sue

direttive siano attuate. Esse assicurano l’adozione dei provvedimenti necessari per far fronte

ai rischi che potrebbero pregiudicarne la realizzazione degli obiettivi aziendali. Le attività

di controllo si attuano in tutti i livelli gerarchici e funzionali della struttura

organizzativa. Tali attività includono un insieme di attività diverse, come approvazioni,

……………………………………………………………………………………………………………………………………………………................................



autorizzazioni, verifiche, raffronti, esame della performance operativa, protezione dei beni

aziendali e separazione dei compiti. Le attività di controllo si basano su politiche (ciò che

serve fare) e procedure (realizzazione pratica delle politiche).

Informazioni e comunicazione: i sistemi di informazione e comunicazione consentono la raccolta e

lo scambio (verso il basso, verso l’alto e trasversale) delle informazioni per indurre una

corretta gestione e controllo. Le informazioni pertinenti devono essere identificate, raccolte e

diffuse nella forma e nei tempi che consentono a ciascuno di adempiere le proprie

responsabilità. I sistemi informativi producono rapporti contenenti dati operativi, contabili e

relativi al rispetto degli obblighi legali e regolamentari, che permettono di gestire e

controllare l’attività aziendale. Questi sistemi trattano non solo i dati prodotti internamente

dall’azienda, ma anche quelli relativi a eventi, attività e situazioni esterne, necessari per

prendere decisioni circostanziate e predisporre le informazioni di bilancio.

Monitoraggio: il sistema deve essere monitorato, ai vari livelli, per verificarne l’adeguatezza

e l’efficacia, e per apportarvi le modifiche necessarie. i sistemi di controllo interno e hanno

bisogno di essere “monitorati”: una funzione diretta a valutare nel tempo la qualità della loro

performance. Ciò si concretizza in attività di supervisione continua, in valutazioni periodiche

oppure in una combinazione dei due metodi. La supervisione continua si esplica nel quadro della

gestione corrente. Essa include normali attività di controllo effettuate dal management e da

quadri, nonché altre iniziative assunte dal personale nello svolgimento delle proprie mansioni.

La portata e la frequenza delle valutazioni periodiche dipenderà principalmente dalla

valutazione dei rischi e dall’efficacia delle procedure di supervisione. Le carenze del

……………………………………………………………………………………………………………………………………………………................................



controllo interno dovranno sempre essere segnalate ai superiori e, nei casi più gravi, ai

massimi vertici aziendali e al consiglio di amministrazione

L’implementazione del sistema di ERM FASE 1- CONDIVISIONE DEGLI OBBIETTIVI: Identificazione e rilevazione delle strategie e degli obiettivi definiti dal Management FASE 2 – IDENTIFICAZIONE DEI RISCHI Identificazione dei rischi possibili esistenti in relazione al raggiungimento delle strategie e degli obiettivi FASE 3 – VALUTAZIONE DEI RISCHI I rischi, così identificati, devono essere valutati secondo i parametri di:

Probabilità di accadimento Impatto in termini quali-quantitativi

FASE 4 – DEFINIZIONE DELLA STRATEGIA DI ERM In base alle valutazioni di rischio fatte precedentemente occorre predisporre la strategia di ERM, che consiste nell’identificare quali operazioni:

Accettare Trasferire Mitigare Evitare

FASE 5 - MONITORAGGIO E REPORTING Monitoraggio periodico del portafoglio rischi per valutarne la dinamica e per verificare l’efficacia delle risposte predisposte.

……………………………………………………………………………………………………………………………………………………................................



Le principali motivazioni alla base dell’introduzione di modelli di ERM, sono:

• la salvaguardia della reputazione e dell’immagine aziendale;

• il rafforzamento dei processi di pianificazione strategica mediante l’utilizzo di informativa sui rischi (minacce ed opportunità) in grado di indirizzare meglio le scelte di business;

• la riduzione della volatilità dei risultati;

• lo sviluppo di processi decisionali “informati” in una logica “risk adjusted”;

• il contenimento delle perdite anche attraverso un processo strutturato di mappatura degli eventi che le hanno determinate;

• la valorizzazione delle opportunità di investimento attraverso un approccio di “risk opportunity” (finalizzato alla remunerazione del rischio) e non solo di “risk mitigation” (finalizzato alla riduzione del rischio);

• il miglioramento del merito di credito da parte delle agenzie di rating;

• la riduzione dei costi di assicurazione e di hedging attraverso una più chiara identificazione dell’esposizione al rischio e conseguente ottimizzazione delle coperture;

• l’ottimizzazione dei costi di compliance mediante la riduzione di sovrapposizioni e/o duplicazioni;

• la responsabilizzazione (“accountability”) a tutti i livelli aziendali sul governo dei rischi attraverso il rafforzamento della cultura di risk management e la creazione di maggiore consapevolezza del management e dei dipendenti sull’esposizione al rischio e sulle opportunità da cogliere.

IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO ... · 1 │febbraio 2014 │ Il Sistema dei...

Documents

Transcript of IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO ... · 1 │febbraio 2014 │ Il Sistema dei...