Università degli Studi Roma Tre - aiiaweb.it · il caso del gruppo FCA ... 3.4.3 Struttura e...
155
Università degli Studi Roma Tre Dipartimento di Studi Aziendali Corso di Laurea Magistrale in Economia Aziendale Curriculum: Audit e Valutazioni Aziendali Tesi di Laurea in Revisione Aziendale Interna Evoluzione della funzione di Internal Audit & Compliance: il caso del gruppo FCA Relatore: Candidata: Prof. Carlo Regoliosi Giada Giorgiantoni Correlatore: Prof. Giustino Di Cecco Anno Accademico 2014/2015
Transcript of Università degli Studi Roma Tre - aiiaweb.it · il caso del gruppo FCA ... 3.4.3 Struttura e...
Università degli Studi Roma Tre
Dipartimento di Studi Aziendali
Corso di Laurea Magistrale in Economia Aziendale
Curriculum: Audit e Valutazioni Aziendali
Tesi di Laurea in
Revisione Aziendale Interna
Evoluzione della funzione di Internal Audit & Compliance:
il caso del gruppo FCA
Relatore: Candidata:
Prof. Carlo Regoliosi Giada Giorgiantoni
Correlatore:
Prof. Giustino Di Cecco
Anno Accademico 2014/2015
Indice Premessa .................................................................................................................................... 1
Capitolo 1 Generalità sull’Internal Audit in FCA ................................................................ 8
1.1 Definizioni ed aspetti normativi ....................................................................................... 9
1.1.1 La Sarbanes Oxley Act statunitense ........................................................................ 14
1.1.2 Aspetti della normativa italiana: il D. lgs. 231/01 e la Legge n. 262/05 ................. 18
1.1.3 Il Codice di Autodisciplina della Borsa Italiana ..................................................... 21
1.2 La funzione di Internal Audit nel sistema di Corporate Governance ............................. 24
1.2.1 L’evoluzione dall’Ispettorato Fiat alla funzione di revisione interna in FCA ........ 28
1.2.2 L’Internal Audit in FCA .......................................................................................... 33
Capitolo 2 Il sistema di controllo interno in FCA ............................................................... 39
2.1 Il sistema di controllo interno: aspetti definitori ............................................................ 40
2.2 Gli obiettivi del sistema di controllo interno .................................................................. 43
2.3 Struttura di sistema di controllo interno ......................................................................... 46
2.4 I rapporti tra l’internal auditor e i principali attori del sistema di controllo interno ...... 51
2.5 Il modello proposto nel COSO I .................................................................................... 53
2.6 Gli elementi del sistema di controllo interno nel framework COSO ............................. 56
2.7 I limiti del framework COSO I ...................................................................................... 61
2.8 Adozione dei framework COSO da parte di Fiat Group ................................................ 63
2.9 Enterprise Risk Management ......................................................................................... 66
2.10 Adozione dell’ERM in FCA ........................................................................................ 72
2.11 Il framework COSO III per il report finanziario .......................................................... 77
2.12 Adozione del framework COSO III in FCA ................................................................ 85
2.12.1 Dettagli dell’implementazione del framework COSO III presso FCA ................. 88
2.12.2 Il processo di controllo interno dei report finanziari di Fiat: la situazione prima
della fusione ..................................................................................................................... 95
Capitolo 3 . Governance, Risk Management and Compliance in FCA ........................... 100
3.1 GRC: Governance, Risk Management and Compliance .............................................. 101
3.2 L’implementazione della fusione dei processi di controllo interno di Fiat e Chrysler in
FCA .................................................................................................................................... 105
3.2.1 La pianificazione del processo di convergenza dei sistemi di controllo interni di
Fiat e Chrysler ................................................................................................................ 106
3.2.2 I modelli alla base della nuova struttura organizzativa ......................................... 110
3.2.3 Struttura progettuale del processo di convergenza ................................................ 113
3.3 Il progetto di convergenza verso una infrastruttura IT unificata a supporto del controllo
interno di FCA .................................................................................................................... 117
3.3.1 Il prodotto IT: caratteristiche generali ................................................................... 118
3.3.2 Il prodotto IT: gestione e tracciatura dei dati ........................................................ 121
3.3.3 Il prodotto IT: supporto all’operatività nei controlli ............................................. 123
3.3.4 Il prodotto IT: supporto nei monitoraggi ............................................................... 125
3.4 Il progetto “GeRiCo”: convergenza fra Fiat e Chrysler in merito a SOX/ICFR/IA/ERM
............................................................................................................................................ 127
3.4.1 Il nuovo GRC dal punto di vista dei processi di business ..................................... 130
3.4.2 L’impatto sulle attività dell’Internal Audit ........................................................... 133
3.4.3 Struttura e organizzazione del nuovo Internal Audit, impatti funzionali
sull’infrastruttura informatica ........................................................................................ 136
Conclusioni ............................................................................................................................ 144
Bibliografia ........................................................................................................................... 148
1
Premessa
L’ intento di questa tesi è quello di fornire una descrizione del sistema di controllo
interno, e più specificatamente della funzione di “Internal Audit & Compliance” di Fiat
Chrysler Automobilies (FCA), delineando la storia di questa funzione all’interno del Gruppo
automobilistico, e in particolare illustrando il processo di convergenza delle attività di
controllo interno di Fiat e di Chrysler in seguito alla fusione tra i due marchi automobilistici
che ha originato la FCA.
Affrontiamo inoltre il tema Governance, Risk Management e Compliance (GRC) nei suoi
aspetti generali e nella declinazione specifica che gli è stata conferita in FCA; in particolare la
caratteristica di accentrare la definizione del modello GRC attorno al concetto di gestione del
rischio.
Per svolgere questa analisi ci si è avvalsi non soltanto della letteratura esistente in materia
di processi di controllo interno e in particolare di internal audit, ma anche, e soprattutto, del
materiale documentale al quale abbiamo avuto accesso durante uno stage effettuato presso il
dipartimento di “Internal Audit & Compliance” di FCA a Torino.
La documentazione fornita è costituita da presentazioni e documenti interni sia del
management che quelli destinati alla formazione degli auditor, oltre ai piani di progetto delle
attività da svolgere, specifici compiti attribuiti alle singoli funzioni e strumenti operativi,
prevalentemente sotto forma di fogli elettronici (Excel e PowerPoint).
Questo materiale è stato vagliato, organizzato e filtrato prima di essere impiegato nella
redazione di questa tesi.
L’obiettivo centrale del lavoro svolto è stato principalmente quello di descrivere il
processo di convergenza e il progetto predisposto da FCA per realizzarlo, ma anche l’utilizzo
di questo materiale e la recentissima storia di gestione manageriale, per illustrare i mutamenti
delle responsabilità e le attese che una funzione di Internal Audit di una grande azienda
multinazionale è chiamata a soddisfare.
In effetti il controllo della reportistica finanziaria, pur rimanendo un tema centrale, anche
a fronte degli obblighi normativi sia italiani che statunitensi, non esaurisce l’ambito di
applicabilità delle attività poste in essere dall’Internal Audit.
2
Infatti l’IA deve pianificare le azioni di engagement e monitoraggio su tutte le aree di
business aziendali, in quanto ciascun processo aziendale è esposto a rischi, e il risk
assessment è una delle tematiche cruciali della corporate governance moderna, di cui il
controllo interno e l’Internal Audit sono chiamati ad occuparsi.
La tesi è divisa in tre capitoli, dei quali il primo inquadra l’ambito della materia e
richiama le nozioni necessarie per focalizzare correttamente quanto esposto nei due capitoli
seguenti.
In particolare, oltre a una parte introduttiva, dove sono ricordate alcune definizioni relative
alle funzioni di internal audit nelle aziende, ai loro obiettivi e alle loro strutture organizzative,
si richiamano i riferimenti normativi che devono essere posti a fondamento di qualsiasi azione
legata all’audit in tema di reportistica finanziaria.
Poiché lo scopo dell’elaborato non è una trattazione puramente teorica, bensì
l’applicazione allo studio del caso FCA, i richiami svolti nel primo capitolo sono concisi e
orientati al tipo di realtà che intendiamo approfondire.
Per questo motivo, essendo FCA una multinazionale nata dalla fusione di un gruppo
italiano, Fiat, e un gruppo statunitense, Chrysler, sono stati esaminati degli aspetti riguardanti
le normative italiane e statunitensi (in particolare la legge 262/05 e la Sarbanes-Oxley Act,
SOX) relative ai reati aziendali di frode finanziaria.
Per ciascuna delle normative ricostruiamo brevemente la loro storia, in modo da capirne la
ratio e la ragion d’essere, e spiegando sinteticamente i meccanismi legislativi stabiliti da
queste leggi per limitare i comportamenti fraudolenti, in particolare ad opera di membri
interni delle organizzazioni aziendali.
Oltre agli interventi del Legislatore, si evidenziano anche altre normative e linee guida,
emanate da istituzioni come per esempio la Borsa Italiana e il suo Codice di Autodisciplina,
che tracciano e orientano la strutturazione delle funzioni di controllo le quali, oltre a
promuovere l’efficacia e l’efficienza dei processi aziendali, hanno anche lo scopo di
monitorare la conformità di questi ultimi alle normative interne ed esterne all’azienda, e di
tracciare standard e linee guida da seguire nelle attività di business.
Successivamente è trattato, in quanto centrale nel modello FCA di controllo interno, il
rapporto fra quest’ultimo e la corporate governance del sistema aziendale: emerge la centralità
del concetto di risk assessment con tutti i passaggi che ne conseguono, ed orientati alla
mitigazione, accettazione, trasferimento e a qualsiasi altra forma di gestione del rischio.
3
Il primo capitolo si conclude con un esame preliminare della situazione Fiat, e in
particolare con una breve ricostruzione storica di come le tematiche del controllo interno sono
state interpretate dall’azienda torinese: correlando i dati storici con gli interventi normativi,
mostriamo come l’azienda abbia sempre fatto proprie le istanze delle normative volte a
garantire la conformità agli standard e alle regole, e a sanzionare i comportamenti fraudolenti.
Questa disamina è anche l’occasione per prendere contatto con la realtà organizzativa
delle funzioni di audit e controllo in Fiat prima della fusione con Chrysler: dati da tenere ben
presenti quando, nell’ultimo capitolo di questo lavoro, illustriamo il processo di convergenza
fra le funzioni omologhe nelle due aziende che hanno dato luogo a FCA.
Sull’Internal Audit di FCA e sulla sua organizzazione di massima verte la conclusione del
primo capitolo: una prima analisi di questa entità aziendale introduce gli elementi che
caratterizzano il secondo capitolo, dedicato alla descrizione del sistema di controllo interno di
FCA.
In questo secondo capitolo richiamiamo le definizioni fondamentali da tenere presenti in
tema di controllo interno, con particolare riferimento alle grandi società multinazionali,
ponendo in relazione il controllo interno con il sistema di risk management e, in modo ancor
più omnicomprensivo, con la corporate governance aziendale.
In particolare, ci soffermiamo sulla organizzazione di un tipico sistema di controllo
interno, avendo sempre in mente l’esempio al quale si vogliono applicare queste definizioni e
questi concetti.
Si evidenziano così le caratteristiche che un moderno sistema di controllo interno deve
possedere per poter essere ritenuto tale, caratteristiche che nel corso del tempo sono mutate e
che al giorno d’oggi rispecchiano la maggiore complessità e interconnessione della realtà
aziendale sia a livello delle sue componenti interne che quelle esterne.
Descriviamo inoltre la tipica struttura di un sistema di controllo interno, svolgendo delle
considerazioni generali e collegando la discussione in particolar modo al rapporto col sistema
di risk management.
Una volta chiariti struttura, obiettivo e ambito del sistema di controllo interno abbiamo
posto questi elementi in relazione con l’Internal Audit, mostrando quali siano nelle grandi
organizzazioni le molteplici relazioni fra l’ Internal Auditor e i principali attori del sistema di
controllo interno.
4
Abbiamo posto l’accento quindi sul ruolo centrale del Consiglio di Amministrazione e
delle cariche esecutive, sia a livello di decisione e indirizzamento strategico, che a livello di
supervisione, sulla base di una reportistica efficace e tempestiva, delle attività di controllo e
monitoraggio.
Tema centrale del secondo capitolo sono gli standard per i sistemi di controllo interno: in
particolare poniamo attenzione ai modelli COSO (dal nome del Committee of Sponsoring
Organizations of the Treadway Commission) e ERM (Enterprise Risk Management).
Emanazione della stessa istituzione statunitense (PCAOB), questi modelli si sono
affermati come dei veri e propri standard, e particolarmente rilevanti ai fini della nostra
discussione in quanto adottati in modo totale e completo da Fiat prima e FCA poi.
Nel fornire la descrizione dei modelli COSO ed ERM, e anche del cosiddetto COSO III,
implementato in FCA ai fini del controllo della reportistica finanziaria, si è posta molta
attenzione nell’evidenziare gli aspetti utili alla successiva discussione svolta nel terzo
capitolo, a proposito dei rapporti fra governance, risk management e controllo interno nel
gruppo FCA.
I capisaldi del modello COSO sono stati analizzati inizialmente da un punto di vista
generale per poi essere compresi a livello di realizzazione sia in Fiat che in FCA: alla
implementazione del modello nella realtà di nostro interesse sono dedicate diversi paragrafi,
scritti utilizzando il materiale fornito dalla azienda.
Introduciamo poi il modello ERM, non prima d’aver evidenziato alcuni limiti del modello
COSO I e mostrato come un punto di vista più ampio e orientato alla gestione del rischio
consenta di superarli.
Anche per questo modello, dopo una discussione generale, e dopo averlo posto in
relazione con gli altri esposti in precedenza, analizziamo la realizzazione del modello ERM da
parte di Fiat e in seguito di FCA, discutendo come è stato applicato e strutturato per
soddisfare le esigenze di analisi dei rischi di un Gruppo con una struttura interna organizzata
per regione o per settore.
Questa discussione è inoltre l’occasione per soffermarsi sul sistema di risk assessment e
risk management di FCA.
Anche per il più restrittivo modello COSO III forniamo dapprima una discussione
generale, ponendolo in relazione ai precedenti ma scendendo a un maggior dettaglio vista la
sua applicabilità alle tematiche della reportistica finanziaria, centrali nella discussione del
5
terzo e ultimo capitolo, per poi procedere ad illustrare come FCA ha adottato questo modello
e come lo utilizza al suo interno.
Il secondo capitolo, il più lungo della tesi, si conclude predisponendo le basi per quello
successivo, vale a dire illustrando la situazione relativa al processo di controllo interno dei
report finanziari in Fiat prima della fusione con Chrysler.
Il terzo e ultimo capitolo tratta, rispetto al mondo FCA, di tre tematiche strettamente
connesse: la governance aziendale, il risk management e la compliance (conformità alle
regole), sintetizzate nella sigla GRC.
Nel processo di convergenza dei sistemi di controllo interno di Fiat e Chrysler verso un
sistema unificato FCA, si è deciso di tendere verso un modello GRC.
Il capitolo è una ricostruzione razionale degli eventi che hanno portato a questa
convergenza, e in particolare dei presupposti, dei piani e delle azioni che sono stati messi in
atto per poterla realizzare.
L’approccio di FCA al sistema di controllo interno è di alto profilo in quanto propone una
soluzione che coinvolge il Consiglio di Amministrazione, il top management, e varie funzioni
ad essi collegate, ciascuna delle quali con una mission specifica ma guidate dalla stessa
strategia di monitoraggio e controllo.
Poiché, nel progetto di convergenza, un ruolo fondamentale è stato assegnato alle
tecnologie di supporto, che si riferisce soprattutto all’ingegnerizzazione offerta dalle
infrastrutture informatiche, la prima parte del capitolo è dedicata all’esame del ruolo degli
strumenti IT e della definizione dei loro requisiti per la realizzazione di una infrastruttura
pervasiva in tutta l’attività di controllo e monitoraggio.
In particolare enucleiamo i criteri che hanno orientato la scelta di una soluzione tecnica
piuttosto che un altra, e quindi anche la scelta di avere privilegiato uno specifico fornitore e
uno specifico prodotto rispetto ad altri, pure concorrenziali.
Si ricostruisce in questo capitolo anche lo sviluppo del modello progettuale che ha
condotto a pianificare le azioni necessarie per realizzare in modo efficiente ma completo la
convergenza fra i sistemi di controllo interno di Fiat e Chrysler.
Scelta una soluzione informatica nuova, ampiamente configurabile ed estendibile per le
finalità precipue della nuova organizzazione orientata al GRC, si è proceduto alla
pianificazione e alla realizzazione di attività di definizione, valutazione, modifica e/o unione
6
di processi, alla creazione di altri e quindi, in buona sostanza, a una modifica strutturale del
modello di controllo delle aziende ante fusione.
In effetti in questo campo Fiat e Chrysler avevano privilegiato in passato soluzioni
abbastanza lontane fra loro, non incompatibili ma governate da presupposti diversi: di qui la
scelta di farle convergere verso un modello nuovo, anziché trasformare l’una nell’altra, o
iceversa.
Per descrivere in modo efficace e dettagliato questi cambiamenti, facciamo riferimento
alla documentazione fornita da FCA, e in particolare la utilizziamo per enucleare i modelli di
base della nuova struttura organizzativa, in modo da fondare la discussione di dettaglio su
basi documentali certe anche se tutte da interpretare ed incrociare fra loro.
La documentazione fornita, fa riferimento a momenti diversi di uno stesso processo, e
quindi è stato scelto di utilizzare i documenti più datati per la ricostruzione del processo nel
suo divenire, mentre quelli più recenti nel descrivere lo stato attuale.
Ne emerge un quadro complesso, nel quale un progetto di convergenza molto lungo e
oneroso in termini di risorse risulta l’unica chiave di successo dell’operazione.
Di nuovo, nel tratteggiare questo quadro, si è approfondito l’aspetto riguardante la
struttura logica e anche funzionale dell’infrastruttura informatica scelta a supporto della
soluzione “to be” di GRC per il controllo interno e l’Internal Audit.
L’investimento tecnologico ha permesso di imporre uno standard di lavorazione comune
in FCA, nelle diverse fasi e nei diversi processi legati alle attività di controllo e monitoraggio.
Scendendo poi nel dettaglio dei requisiti dei moduli informatici che compongono questa
infrastruttura, mostriamo come l’innovazione tecnologica è un driver fondamentale anche
nelle scelte strategiche e di processo.
In tutta la discussione del terzo capitolo, massima enfasi è data alle tematiche relative alla
SOX e in particolare all’ICFR (Internal Control over Financial Reporting), in particolare nel
descrivere l’impatto del nuovo modello di controllo su determinati processi di business che
concorrono in modo essenziale alla produzione dei dati per poi confluire nella reportistica
finanziaria, sia interna che esterna.
Nell’ultima parte della tesi descriviamo l’effetto dell’applicazione di questo nuovo
modello e dei nuovi strumenti informatici sull’Internal Audit & Compliance di FCA da un
punto di vista di struttura, organizzazione e raccolta dati.
7
Il principale impatto nell’applicazione del nuovo modello è stato quello di avere individuato
un elevato utilizzo degli strumenti informatici a supporto del personale dedicato alla attività di
audit.
A conclusione della tesi descriviamo quanto il nuovo modello GRC può considerarsi
efficacie, e quali prospettive ci sono per poterlo ulteriormente migliorare in relazione con i
processi aziendali in continua evoluzione.
8
Capitolo 1 Generalità sull’Internal Audit in FCA
In questo primo capitolo introduciamo alcuni aspetti generali e fondamentali della
funzione di internal audit in FCA, inquadrando prima il contesto e richiamando le necessarie
nozioni in materia che prescindono dal caso specifico. Forniamo dunque una breve disamina
dei principali aspetti teorici dell’internal auditing, per poi soffermarci sugli aspetti normativi
e, in particolare, per quel che concerne le normative non necessariamente italiane ma di
impatto ai fini della nostra analisi.
L’analisi si sofferma in particolare su due leggi, una statunitense e una italiana, che si
pongono (sebbene con diversi distinguo) il medesimo obiettivo di tutela del risparmio ed
efficienza dei mercati. Trattiamo brevemente le ratio e i principi di queste normative
attraverso un confronto tra le due.
Ci soffermiamo anche sul Codice di Autodisciplina della Borsa Italiana S.p.A., un
ulteriore insieme di regole e prescrizioni che, su base facoltativa, offrono anche delle linee
guida per la gestione del sistema di controllo interno di una azienda.
Dopo questa rassegna sulle normative di riferimento, si discute il rapporto fra Internal
Audit e Corporate Governance in generale, trattando anche i modelli standard suggeriti dalle
normative italiane, come la 231/01 e delle funzioni di controllo interno, preparando il terreno
per la discussione specifica su FCA.
Si traccia una breve sintesi della storia della funzione di Internal Audit in FCA, partendo
dall’Ispettorato di Fiat e seguendo gli sviluppi di questo e le modifiche e aggiunte in seno a
Fiat S.p.a. di strutture di controllo sempre più sofisticate fino a giungere all’attuale sistema di
governance di FCA.
Infine si discute la declinazione specifica dell’Internal Audit in FCA, mettendolo a
confronto col sistema di controllo interno, inquadrandolo nell’ambito della governance del
Gruppo e offrendo una panoramica sulle attività e modalità di svolgimento di queste, e sulle
responsabilità in seno all’Internal Audit.
9
1.1 Definizioni ed aspetti normativi
Il livello di complessità interna e di interazioni esterne cui le moderne aziende sono
soggette, indipendentemente dalla loro dimensione ma in virtù della loro partecipazione ai
mercati concorrenziali, implica una necessità di gestione dei processi aziendali che va al di là
della capacità dei singoli manager o executive.
Nell’esercitare le loro prerogative di governance e nell’assolvere al delicato compito del
processo decisionale, che solitamente richiede tempi di reattività molto brevi, il vertice e il
management delle imprese devono essere supportati da funzioni aziendali specializzate nel
monitoraggio e nell’eventuale gestione dei rischi nei quali l’azienda inevitabilmente incorre
nel suo ciclo produttivo.
Un tempo, quando le transazioni finanziarie erano limitate sia come volumi che come
rapidità di scambio, la verifica dei sistemi contabili e i sistemi di prevenzione e controllo delle
frodi costituivano un valido ausilio al management aziendale nella mitigazione dei rischi
derivanti dalle attività operative e finanziarie dell’impresa.
Ma oggi una “gestione passiva” di questo tipo non è più sufficiente dal momento che le
aziende competitor si dotano spesso di strumenti sofisticati a questo scopo.
Al contempo l’evoluzione normativa, sia nazionale che internazionale, richiede
competenze e skill specifiche per poter svolgere efficacemente questa funzione di supporto.
Per questi motivi, l’esistenza di una funzione di internal audit è imprescindibile nelle
organizzazioni più complesse, soggette a rischi eterogenei.
Con la locuzione Internal Auditing si intende, come ben noto1, una attività indipendente
ed imparziale di assurance e consulenza finalizzata al miglioramento dell’efficacia e
dell’efficienza dell’organizzazione aziendale, che si esplica in un approccio professionale
sistematico il cui valore aggiunto consiste nel valutare e migliorare i processi di gestione dei
rischi, di controllo e di governance.
L’internal auditor è dunque una figura che esercita le proprie funzioni in piena autonomia,
nel rispetto delle regole aziendali e delle normative vigenti: tipicamente questa autonomia si
ottiene incasellando la funzione di internal audit nell’organigramma aziendale in una
posizione di staff, e quindi al di fuori del controllo delle singole funzioni aziendali soggette
agli audit.
1 Cfr. Dittmayer (2011), p. 4.
10
L’internal auditor deve inoltre, a garanzia della sua autonomia, non essere coinvolto,
nemmeno in modo indiretto, nelle decisioni operative aziendali, per non generare “conflitto di
interessi” fra i suoi diversi ruoli in seno all’organizzazione.
Queste prescrizioni si applicano anche nel caso in cui l’internal auditor sia un consulente
esterno piuttosto che un membro dell’organizzazione aziendale.
La caratteristica di imparzialità, o meglio di obiettività, dell’internal auditor fa riferimento
alla professionalità e all’etica personale dell’individuo che assolve questa funzione: in
particolare la capacità di formulare i propri giudizi senza tenere conto delle possibili opinioni
altrui; caratteristica fondamentale per questo ruolo, che fra l’altro si coniuga con l’autonomia
della quale si è parlato precedentemente.
Quanto appena specificato consente di esercitare la funzione di assurance, compresa
anch’essa nella definizione di internal auditing che abbiamo richiamato.
Con il termine assurance, si intende una specifica tipologia di servizio offerta dall’internal
auditor all’organizzazione nei termini della rilevazione e osservazione di fatti aziendali da un
punto di vista obiettivo, tale da consentire un giudizio indipendente ed affidabile in merito
agli stessi e alle loro conseguenze.
Nella accezione più ampia conferitale dallo standard IIA 1130, l’assurance deve
istanziarsi in servizi che comprendano tutte le attività necessarie a fornire nuove informazioni,
rendere più tempestive quelle già disponibili e/o garantire l’affidabilità di queste ultime,
nell’ottica di migliorare la qualità delle decisioni aziendali2.
Dal punto di vista operativo, vuol dire che l’internal auditor si pone in una condizione di
terzietà fra i soggetti auditati, l’ oggetto dell’analisi e della rilevazione, e il soggetto che
utilizzerà il risultato dell’ assurance, tipicamente (ma non esclusivamente) un organismo
aziendale interno, spesso apicale, che necessiti di una consulenza in merito alla funzione di
vigilanza interna.
L’auditor si pone quindi nella condizione di consulente rispetto al cliente finale, sebbene i
servizi di consulenza vadano tenuti distinti dai servizi di assurance3.
2 Cfr. Standard IIA 1130, Condizionamento dell’Indipendenza o dell’Obiettività.
3 Cfr. Dittmayer (2011), p. 6.
11
Infatti il servizio di consulenza vede una relazione consulente-cliente, dove il ruolo del
consulente è svolto dall’auditor e il cliente è la funzione aziendale che richiede tale servizio
per avvalersi poi dell’output prodotto.
La differenza è tuttavia nel merito, vale a dire nel caso di un servizio di consulenza il
piano di auditing e in generale le attività dell’auditor sono concordate col cliente stesso,
necessarie ad esigenze specifiche, mentre nell’assurance l’auditor sceglie e decide in piena
autonomia il suo spazio di manovra e gli ambiti di copertura dell’attività che è chiamato a
svolgere.
I vincoli di indipendenza e obiettività dunque, per quanto sempre da tenere presenti, sono
meno stringenti nel caso dell’attività di consulenza: per esempio si potrebbe scegliere come
auditor il personale che ha svolto attività nell’ambito della funzione che si vuole controllare,
sulla base di considerazioni di esperienza e competenza più che di imparzialità4.
Naturalmente assurance e consulenza non sono due attività separate ma possono essere
svolte in contemporanea nell’ambito di una azione di internal auditing e proficuamente dallo
stesso team di auditing.
Gli aspetti che abbiamo fin qui richiamato fanno riferimento al “chi” e al “come”, vale a
dire sono relativi alle caratteristiche e alle modalità operative delle figure professionali
dedicate all’attività di internal auditing.
Ma è anche fondamentale, ai fini della discussione svolta in questo lavoro, tenere presente
e richiamare alcuni aspetti essenziali del “cosa”, vale a dire dell’oggetto precipuo dell’attività
di internal auditing.
Se la definizione che abbiamo riportato, mediata dalla letteratura, offre una sintesi
adeguata degli scopi dell’attività di internal auditing, è possibile e necessario corredarla di
dettagli e precisazioni ulteriori.
In particolare, la finalità ultima dell’attività di internal auditing è promuovere l’efficacia e
l’efficienza di una organizzazione: come ben noto5, l’efficacia consiste nel raggiungimento
dei propri obiettivi di business e l’efficienza nel perseguire l’efficacia in modo ottimizzato se
non ottimale.
4 Cfr. Standard IIA 1130.C1, Condizionamento dell’Indipendenza o dell’Obiettività.
5 Cfr. Dittmayer (2011), p. 8.
12
L’efficacia aziendale è quindi il fondamento della qualità interna del lavoro e
dell’organizzazione, e può essere monitorata, e quindi migliorata con interventi mirati,
incrementando i controlli.
L’efficienza è invece la capacità di ridurre le risorse da utilizzare per poter conseguire
l’efficacia, e in particolare si esplica nell’ottimizzazione dei controlli: in quanto tale è una
tipica attività di consulenza.
Per supportare l’organizzazione a rendere più efficaci i suoi processi, e nello specifico i
processi produttivi, l’internal auditor deve disporre della conoscenza di dominio necessaria
all’ottimizzazione dei controlli, alla scelta dei monitoraggi e anche alla valutazione dei sistemi
di risk management disponibili in azienda, per segnalare eventuali anomalie, mettendo in
campo dunque un approccio professionale sistematico6.
Il raggiungimento delle finalità dell’internal auditing non solo è legato alle skill degli
auditor ma anche alle loro capacità relazionali e comunicative, necessarie per poter
rappresentare scenari di criticità e ambiti di miglioramento, fornendo quindi quel valore
aggiunto citato nella definizione di internal auditing.
La creazione di questo valore avviene grazie ad una attività di analisi dei rischi, utile alle
funzioni di governance dell’organizzazione per poter prendere decisioni che migliorino
l’efficacia e l’efficienza dei processi, come si è detto, vale a dire il raggiungimento degli
obiettivi col minor sforzo possibile: questo potrebbe implicare una modifica dei processi
organizzativi, e l’internal auditing deve avere l’autorevolezza di poter suggerire questa
modifica alle funzioni executive e manageriali dell’organizzazione.
Dunque l’auditing non deve intendersi come una mera attività di rilevamento, di “sola
lettura” dei dati e degli eventi che costituiscono l’insieme dei processi aziendali da sottoporre
a miglioramento, ma deve anche avere un valore proattivo volto a suggerire strategie di
miglioramento, e svolta in maniera corretta ed imparziale tale da consentire ai livelli
decisionali dell’azienda di poter scegliere la strada migliore per il perseguimento degli
obiettivi aziendali.
L’auditor deve quindi essere in grado di intercettare le esigenze specifiche del
management, in modo da poter concentrare la sua attenzione sugli aspetti più significativi
dell’organizzazione, da un lato nell’ottica di assolvere alla funzione di ottimizzazione dei
6 Cfr. Standard IIA 2100, Natura dell’Attività.
13
controlli, dall’altro di individuare le aree critiche, con particolare riferimento alle attività di
risk management, da evidenziare al top management.
L’attività dell’auditor deve essere, come si è detto, proattiva nel senso di mantenere un
rapporto e una relazione con la governance e il management aziendali non solo di
trasmissione di informazioni ma di comunicazione nella sua accezione più ampia, vale a dire
condivisione di obiettivi e strategie oltre che di dati e informazioni.
In questo, sostanzialmente, si esplica il valore aggiunto degli internal auditor
nell’esercizio delle loro funzioni come è comunemente inteso al giorno d’oggi.
Per chiudere questa raccolta di nozioni fondamentali e generali, analizziamo un ultimo
aspetto che emerge dalla definizione di internal auditing, vale a dire la correlazione fra i tre
diversi aspetti che l’attività di internal auditing deve tendere a migliorare: la corporate
governance, la gestione dei rischi e la gestione dei controlli.
L’internal auditing è una componente del sistema di corporate governance dell’azienda,
che ha visibilità tanto degli aspetti dell’organizzazione aziendale e di processo quanto degli
aspetti specificatamente societari, costituendo quindi l’unico punto di aggregazione globale, a
livello di controllo, di questi sfaccettature della realtà aziendale.
La gestione dei rischi e la gestione dei controlli, ovviamente legate, trovano nell’attività
dell’ internal auditor l’unico e fondamentale supporto al proprio miglioramento congiunto, e
l’unico punto di confluenza fra i dati e i processi a loro disposizione, sottoposti al
miglioramento continuo al fine di poter implementare l’efficacia e l’efficienza.
A questo fondamentalmente mirano le attività di assurance e consulenza che la funzione
di internal audit è chiamata a svolgere nella propria realtà aziendale.
Tutte le considerazioni introduttive fin qui svolte, rendono conto del fatto che l’internal
auditing non può svolgersi senza l’ausilio di un adeguato impianto normativo e metodologico:
da un lato l’assenza di questi requisiti renderebbe non valutabile l’attività, dall’altro
lascerebbe un margine di arbitrarietà all’azione dell’ internal auditor che ne vanificherebbe
l’operato.
Dal punto di vista metodologico esistono delle istituzioni nazionali e internazionali cui
fare riferimento per le linee guida, per le metodologie e anche per la formazione: l’Institute of
Internal Auditors (IIA) e l’Associazione Italiana Internal Auditors (AIIA) 7.
7 Cfr. Dittmayer (2011), §2.
14
Per quanto concerne la normativa di riferimento dipende dalle legislazioni dei singoli
Paesi: la casistica cui siamo interessati in questa sede riguarda gli Stati Uniti e l’Italia, i due
Paesi di riferimento delle due aziende la cui fusione ha dato vita al gruppo FCA (il cui CEO
ed executive management è basato a Londra).
Nei paragrafi seguenti approfondiamo i due principali interventi normativi del legislatore
italiano e di quello statunitense in merito alla regolamentazione di impresa e all’internal
auditing.
1.1.1 La Sarbanes Oxley Act statunitense
Agli inizi degli anni 2000 la finanza e l’imprenditoria statunitensi furono al centro di
clamorosi scandali, originati da truffe operate da elementi dei vertici di grandi aziende senza
apparente controllo interno, o con la connivenza del controllo interno, a scapito degli
investitori, dei clienti e anche dei dipendenti stessi.
Un esempio su tutti è il celebre caso della società Enron, condotta alla bancarotta dalle
conseguenze dello scandalo, travolgendo con se una delle principali società di revisione e di
certificazione di bilancio e consulenza, la Arthur Andersen.
La reputazione del colosso storico dell’auditing e della consulenza subì un colpo
irreversibile dalla vicenda: lo scandalo non fu soltanto causato dalla frode commessa in seno
alla industria energetica, dal CFO della Enron, ma anche dalla connivenza proprio della
società di consulenza che avrebbe dovuto, tramite l’auditing, vigilare sulla regolarità e
conformità dei comportamenti aziendali della Enron: in questo senso, lo scandalo Enron
costituì il maggiore caso di fallimento documentato di internal auditing8.
Questo e altri clamorosi e rovinosi casi di scandali finanziari legati alla corporate
governance di grandi industrie, in svariati settori, evidenziarono la necessità di “controllare i
controllori”, spingendo il legislatore statunitense ad emanare un complesso di normative,
volte a sanzionare comportamenti sia degli executive delle aziende che degli internal auditor,
fraudolenti e legati al conflitto di interessi.
Nel 2002 venne emanata dal Congresso americano una legge federale, nota come
Sarbanes-Oxley Act, la cui dicitura completa è “Public Company Accounting Reform and
8 Cfr. Bratton (2002).
15
Investor Protection Act” nella discussione al Senato, e “Corporate and Auditing
Accountability and Responsibility Act” nella discussione alla Camera dei rappresentanti.
Più comunemente nota come SOX, questa legge si articola in diversi punti al fine di
migliorare la corporate governance e garantire la trasparenza delle scritture contabili,
toccando e cercando di sanare le vulnerabilità del processo di internal auditing che possono
emergere in assenza di un riferimento normativo e degenerare nei comportamenti fraudolenti
più sopra richiamati.
La legge, al fine di implementare un controllo effettivo sulle attività di auditing all’interno
delle grandi aziende, ha istituito il PCAOB (Public Company Accounting Oversight Board).
Tale istituzione, preposta al controllo indipendente delle società di auditing, emette le policy
per il controllo di qualità9 e stabilisce le linee di conformità che le procedure di auditing
devono soddisfare.
Un ruolo chiave è assegnato anche alla Security and Exchange Commission (SEC),
l’organismo istituito dal governo federale nel 1934, durante la crisi economica nota come
“Grande Depressione”, con lo scopo di tutelare gli investitori e vigilare sulla correttezza ed
efficienza dei mercati.
Inoltre, la SOX conferisce alla SEC un’ attività di pubblicazione dei propri studi e report
in merito alle questioni della sicurezza delle operazioni sui mercati, delle violazioni delle
norme di sicurezza e sul ruolo delle banche di investimento nell’ambito di queste operazioni.
La legge delinea anche degli standard e delle linee guida in materia di indipendenza degli
auditor per circoscrivere in modo chiaro il perimetro al di fuori del quale vi è conflitto di
interessi: per esempio indica alcune misure relative alla reportistica di auditing, o anche alla
restrizione imposta alle società di auditing di non offrire agli stessi clienti anche servizi che
esulino dall’auditing stesso10.
La SOX inoltre istituisce delle disposizioni legislative per sanzionare i comportamenti
fraudolenti e di connivenza fra auditor e società soggette ad auditing: in particolare, la legge
enumera delle fattispecie delittuose relative alla manipolazione, distruzione o modifica di dati
9 Cfr. Kuschnik (2008).
10 Cfr. Kuschnik (2008).
16
finanziari o altre informazioni utilizzate per le decisioni economico-finanziarie, offrendo
anche misure di salvaguardia per i “whistle-blower” 11.
Dal punto di vista della definizione e standardizzazione del comportamento degli auditor
ma anche dei dirigenti che si avvalgono della loro funzione, la SOX introduce una serie di
concetti, in sede legislativa, con l’esplicito scopo di normare e regolare gli standard di
comportamento e di svolgimento dell’attività di auditing: per esempio viene definito in modo
preciso come deve avvenire l’interazione fra auditor esterni e i comitati di auditor interni,
proprio per prevenire eventi di connivenza come quelli manifestatisi nel caso Enron12.
Un accento particolare è posto sulla responsabilità individuale degli executive delle
aziende in merito alla veridicità e congruità dei dati riportati nei report finanziari delle aziende
da loro gestite: in particolare il CEO (Chief Executive Officer) e il CFO (Chief Financial
Officer), ma in generale i “principal officers”, devono certificare e approvare la completezza e
veridicità dei report finanziari della compagnia su base almeno trimestrale13.
Particolare enfasi è posta in tutta la legge sul trattamento e sulla trasparenza dei dati
finanziari dell’azienda, proprio perché la motivazione per questa iniziativa legislativa è stata
legata a scandali finanziari che hanno sottratto ingenti somme di denaro al mercato e
all’economia.
Nel suo complesso la SOX rappresenta un intervento legislativo di ampia portata, il cui
contenuto è in qualche modo vincolante e costrittivo rispetto all’operato dei vertici
imprenditoriali delle grandi aziende, ma comunque assolutamente a tutela del mercato e della
libera iniziativa, che negli Stati Uniti costituisce il fondamento della cultura economica e
politica, basato sulla strategia del lasseiz faire, cioè della massima libertà di azione agli attori
della realtà economica.
Non a caso, alcuni critici della SOX le imputano proprio di interferire con le attività
imprenditoriali, limitando in qualche modo l’azione imprenditoriale e imponendo vincoli che
potrebbero rendere svantaggiate le aziende statunitensi rispetto ai competitor stranieri.
11 Il ruolo della segnalazione di illeciti nella cultura anglosassone è assai più spiccato che nella cultura europea
continentale, specie nel nostro paese: la segnalazione di illecito da parte di dipendenti o altri attori di un processo
di business non viene vista come una delazione e il segnalatore viene tutelato. Recentemente anche in Italia si è
presa in considerazione l’idea di utilizzare le segnalazioni di illeciti per dare avvio a ispezioni e indagini interne,
specie nella pubblica amministrazione, sempre nella tutela e nella salvaguardia dell’anonimato dei segnalatori.
12 Cfr. Kuschnik (2008).
13 Cfr. Kuschnik (2008).
17
Lo scopo principale della SOX era, oltre a introdurre misure per mitigare il rischio del
verificarsi di nuovi scandali, almeno con quelle modalità e di quelle proporzioni, di infondere
nuovamente fiducia agli investitori e ai mercati.
Tuttavia, a quasi quindici anni dalla sua emanazione, la Sarbanes-Oxley Act non ha
acquisito uno status ben definito dal punto di vista della sua valutazione di impatto: i
commentatori esibiscono pareri difformi, dovuti anche alla difficoltà di discernere fra le
numerose altre variabili che incidono sui mercati e sulle aziende14.
Il beneficio in termini di controllo interno è stato innegabile, ovviamente al costo di
investimenti sui quali è stato tuttavia possibile fare economie di scala: in particolare, i costi di
compliance alla normativa sono importanti in fase di messa a punto, o implementazione da
zero, degli strumenti necessari alla compliance, per poi scemare gradualmente a regime15.
Il motivo principale di questi costi sta nel doversi rivolgere, da parte dell’azienda, a un
fornitore esterno per il servizio di auditing, in modo da garantire trasparenza e imparzialità,
ma anche mettere in piedi un meccanismo efficiente di controllo secondo quanto prescritto
dalla legge.
Il costo da sostenere per essere compliant alla SOX può essere visto come una “tassa
sull’inefficienza” di una organizzazione, in quanto il costo viene abbattuto se l’azienda si dota
di meccanismi centralizzati e possibilmente automatizzati a supporto del sistema di
reportistica finanziaria interno.
A fronte di questi costi, il beneficio è stato notevole, soprattutto in termini di affidabilità
percepita della reportistica interna, ma anche di quella di cui l’azienda fornisce disclosure
all’esterno: in altri termini, l’implementazione dei controlli e dei monitoraggi secondo le
prescrizioni della SOX sembra aver migliorato la capacità di stima finanziaria, rendendola più
realistica e meno manipolabile, con una conseguenza positiva sulla catena decisionale.
Il management aziendale deve infatti assolvere a dei compiti ben delineati dal testo della
SOX: a titolo di esempio, effettuare un risk assessment (scalabile sulla base dell’effettiva
dimensione aziendale), mettere in campo misure di controllo per prevenire o comunque
rilevare le eventuali frodi, etc.
In ogni caso il successo della legge può rilevarsi dal fatto che in numerosi altri paesi
industrializzati sono state prese simili misure: d’altra parte, in un’ economia globalizzata,
14 Cfr. Shakespeare (2008).
15 Cfr. AAVV (2011).
18
anche la legislazione economico-finanziaria tende a diffondersi nei paesi che hanno relazioni
commerciali e sistemi economici basati sui medesimi principi.
1.1.2 Aspetti della normativa italiana: il D. lgs. 231/01 e la Legge n. 262/05
Anche in Italia, negli anni 2000 sono state introdotte normative di questo tipo, e anche in
questo caso dopo che sono scoppiati gravi scandali finanziari, ricordiamo ad esempio i casi
Cirio e Parmalat.
Già nel 2001 il legislatore era intervenuto con un Decreto Legislativo, il 231 del 2001
“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle
associazioni anche prive di personalità giuridica”, che introduceva un concetto di
responsabilità all’interno della disciplina normativa di alcuni reati, consentendo quindi di
colpire sia l’azienda coinvolta nella condotta delittuosa sia i suoi soci in vario modo, dalle
pene pecuniarie all’interdizione e commissariamento.
Va precisato che l’azienda può non ritenersi responsabile se dimostra di avere adottato ed
efficacemente attuato protocolli, procedure di condotta e un modello organizzativo al fine di
prevenire la commissione dei reati oggetto del decreto.
Il decreto legge menziona espressamente l’adozione di modelli di organizzazione e
controllo di gestione che possono consentire la prevenzione di queste condotte o
semplicemente dimostrare che l’azienda, in quanto Ente, non è responsabile delle condotte
malevole di suoi soci che abbiano commesso il reato violando in modo fraudolento il modello
organizzativo o semplicemente ignorandolo.
Il concetto di responsabilità così come inteso dal decreto viene chiamato “amministrativo”
sebbene consenta di rivalersi sul patrimonio degli enti che incorrono nel reato, e quindi
direttamente sull’interesse economico dei soci cui sono derivati benefici dalla commissione
del reato.
Le fattispecie elencate nel decreto comprendono la malversazione, la truffa e la frode
informatica ai danni dello Stato o delle Pubbliche Amministrazioni (PA) coinvolte in
operazioni svolte da aziende per tutelare e garantire la propria operatività, come ad esempio le
dichiarazioni di bilancio, gli sgravi fiscali, i benefici delle prestazioni emergenziali per
19
particolari situazioni critiche (cassa integrazione, etc.): la lista completa16 copre una gran
quantità di reati che si possono commettere utilizzando le risorse di una impresa.
L’interesse di questa normativa sta nel fatto che viene indicata l’adozione di standard di
controllo come deterrente per le condotte delittuose ma soprattutto come prova della “buona
fede” dell’azienda in quanto tale, dimostrando in questo modo di aver messo in campo
contromisure preventive per arginare la possibilità di illeciti di vario tipo.
Questo impianto normativo, per quanto abbia colmato un vuoto legislativo e aggiornato la
disciplina giuridica della responsabilità civile e penale per i reati amministrativi, non è bastato
ad evitare i ben noti scandali finanziari, i cosiddetti “crac”, che hanno colpito il mondo della
finanza e dell’imprenditoria italiana a ridosso della recente crisi economica.
In particolare mancava una disciplina più chiara e circoscritta a tutela del risparmio
investito nell’impresa, tipicamente nella grande impresa, una caratteristica che abbiamo visto
essere alla base della SOX.
Non a caso il seguente importante intervento normativo, la Legge 262/2005, è stata
chiamata “Legge sul Risparmio” in quanto il suo obiettivo principale è stato proprio di porre
attenzione al punto appena richiamato della normativa statunitense.
La principale novità di questa legge del 2005 è stata l’introduzione della figura del
dirigente “preposto” alla redazione dei documenti contabili, e quindi con funzione di
accountant per la veridicità e obiettività di questi documenti: tuttavia questa normativa ha
anche interessato l’organizzazione della Banca d’Italia nella sua funzione di controllo e
disciplina sulle organizzazioni bancarie operanti in Italia.
La legge ha introdotto una nuova disciplina per il reato di falso in bilancio, con una pena
da sei mesi a tre anni di reclusione, l’istituzione di una Commissione per la tutela del
risparmio, che riporta direttamente al Presidente del Consiglio dei Ministri, e la nomina del
governatore di Banca d’Italia effettuata con un decreto del Presidente della Repubblica su
proposta del Presidente del Consiglio: la carica di governatore dura per sei anni e consente un
solo rinnovo del mandato.
In sostanza, l’ampiezza dell’intervento normativo va dal rafforzamento dei controlli
interni delle società, al rafforzamento dei controlli pubblicistici a tutela del risparmio, al
16 Cfr. http://www.complianceaziendale.com/2006/06/elenco-aggiornato-dei-reati-previsti.html.
20
miglioramento della trasparenza dei mercati, alla promozione di una maggiore collaborazione
fra le autorità che disciplinano il comportamento dei mercati stessi.
Come è stato autorevolmente rilevato17, sebbene la legge costituisca un importante passo
in avanti sulla strada della trasparenza, dell’applicazione dei codici di autodisciplina e
dell’azione flessibile delle autorità di vigilanza; per quanto concerne i conflitti di interessi
negli intermediari finanziari ma soprattutto per quanto riguarda la corporate governance,
l’intervento normativo “sembra muoversi con qualche incertezza fra interventi volti a favorire
la dialettica interna alla società, ovvero a valorizzare il ruolo dell’autodisciplina, e strumenti
più dirigistici, basati su una regolamentazione imperativa assai minuziosa”18.
Dal punto di vista della corporate governance, le novità introdotte dalle legge e che
riguardano le società quotate in borsa si possono riassumere in un elenco di requisiti che
queste società sono chiamate a rispettare.
Abbiamo già menzionato la necessità di indicare un dirigente preposto, cui devono
chiaramente essere conferiti poteri e strumenti per la propria attività: fra questi strumenti è
possibile citare le procedure amministrative e contabili da progettare e implementare a livello
di organizzazione aziendale, e la cui predisposizione è proprio uno dei compiti del preposto.
Inoltre vi è l’onere di definire o individuare un modello di riferimento per la valutazione
dell’adeguatezza delle procedure amministrative poste in essere, valutazione che deve poter
essere condotta sulla base di una documentazione di riferimento.
Il preposto, affinché svolga gli oneri precedentemente indicati, può far riferimento ad una
struttura che lo supporti in primo luogo nell’assicurare l’adeguatezza dei processi relativi ai
flussi di informazioni amministrative e finanziarie dell’azienda, oltre che nella
predisposizione della reportistica richiesta dalla legge e necessaria alla operatività aziendale.
A livello di relazioni fra le funzioni aziendali e il sistema di controllo, dal quale il
preposto acquisisce le informazioni per la sua attività, l’internal audit supporta e coadiuva il
dirigente preposto nella propria attività: si noti che la funzione di auditing, riferendo al
Comitato per il controllo interno, scambia informazioni con il preposto ma ne valida
l’operato, e dunque, se le due funzioni aziendali sono separate, agisce in modo parallelo ma
indipendente.
17 Cfr. Draghi (2006).
18 Cfr. Draghi (2006), p. 1.
21
E’ tuttavia possibile che, stante l’organizzazione e la dimensione di una impresa, il
responsabile dell’internal auditing potrebbe coincidere col preposto per motivi di efficienza e
di opportunità.
Volendo istituire un paragone fra la legge 262/2005 e la Sarbanes Oxley Act, nella prima
il preposto è chiamato ad assumere quelle responsabilità che nella SOX sono a carico del
CEO e del CFO: per esempio la certificazione della veridicità dei report annuali e trimestrali,
nonché dell’informativa di bilancio e di altri documenti contabili.
Altro parallelismo può essere individuato nella necessità di emettere e certificare degli
internal control report sull’attività e l’efficacia della funzione interna di controllo.
Ci sono ovviamente anche molte differenze: per esempio la norma statunitense richiede la
verifica e l’attestazione da parte di un revisore esterno dei processi e delle procedure definite
dal management, laddove la normativa italiana non impone il ricorso a una società esterna ma
punta piuttosto sulla figura, su cui possono gravare pendenze civili e penali in caso di
condotta fraudolenta, del dirigente preposto.
Non esistono inoltre, secondo la normativa italiana, requisiti minimali per il sistema dei
processi e delle procedure oggetto di attestazione da parte del management, laddove la SOX
prevede l’istituzione del PCAOB e un ruolo importante della SEC, come si è avuto modo di
ricordare.
1.1.3 Il Codice di Autodisciplina della Borsa Italiana
All’iniziativa legislativa in molti paesi si è affiancata una iniziativa degli enti preposti al
controllo e alla governance del mercato interno nei singoli paesi, in Italia si tratta della Borsa
Italiana, laddove iniziative di autoregolamentazione sono state messe in campo anche negli
Stati Uniti da parte del NYSE e del NASDAQ per esempio, sempre in seguito agli scandali
dei primi anni del XXI secolo, sebbene la prima regolamentazione statunitense di questo tipo,
lo Statement on Corporate Governance risalga al 1997.
La prima iniziativa di questo tipo risale al 1992, in Gran Bretagna, dove vennero emanate
delle linee guida per le società quotate, volte a offrire indicazioni di carattere operativo in
merito alla composizione del Consiglio di Amministrazione, del suo funzionamento, dei
meccanismi di controllo, etc.
22
Il Codice di Autodisciplina emanato da Borsa Italiana19 per la prima volta nel 1999, ha
subito una serie di modifiche e revisioni a partire dal 2002, sebbene la revisione del 2006 sia
stata più importante, come pure quella seguente del 2011 e infine del 2014.
Il Codice si basa su una adesione volontaria, quindi si pone come una linea guida, non
come una disciplina imposta dall’esterno: le aziende possono decidere se uniformarsi ad esso
e, nel farlo, il Codice stesso offre loro le linee guida per poterlo recepire in modo appropriato
rispetto al proprio contesto aziendale (i cosiddetti “criteri applicativi” che accompagnano gli
articoli del codice).
Per sua natura il Codice di Autodisciplina consente deroghe parziali ai propri articoli, cioè
di discostarsi dalle specifiche raccomandazioni contenute nei principi e nei criteri applicativi
da esso sanciti, a condizione che si specifichi il motivo della deroga, la modalità con cui la
raccomandazione è stata disattesa, come è stata presa questa decisione e se è provvisoria o
meno.
In generale, l’impostazione del Codice di Autodisciplina è improntata alla flessibilità,
consentendo dunque la disapplicazione parziale o totale di alcune sue raccomandazioni
sempre in una logica di comply or explain.
Uno specifico comitato della Borsa, il Comitato per la Corporate Governance, ha il
compito di monitorare lo stato di applicazione del codice da parte delle società che decidono
di aderirvi e di emanare le eventuali revisioni del codice stesso.
Dei dieci articoli del Codice, il settimo riguarda il sistema di controllo interno e di
gestione dei rischi, a tal punto una sua breve analisi è utile alla discussione che andiamo a
sviluppare in questo lavoro.
Il Codice di Autodisciplina non si pone l’obiettivo di entrare nelle questioni organizzative
relative all’architettura dei controlli interni dell’azienda, piuttosto enuncia una serie di
raccomandazioni relative al governo del sistema di questi controlli e sul ruolo degli attori che
contribuiscono a realizzarlo e gestirlo.
I due principi generali sui quali poggiano le raccomandazioni del codice a proposito di
questa materia si possono enunciare come segue: da un lato viene riconosciuta la centralità
della gestione del rischio, intesa come identificazione, valutazione e monitoraggio dei rischi,
rispetto alla funzione di controllo interno.
19 Cfr. l’ultima versione disponibile on line al sito Internet http://www.borsaitaliana.it/comitato-corporate-
governance/codice/2015clean.pdf.
23
Dall’altro, viene affermata l’idea per cui un sistema di controlli per risultare efficace
debba essere integrato a sua volta nell’assetto organizzativo, amministrativo e contabile della
società, tale che le sue componenti siano indipendenti ma coordinate tra loro.
Enunciate queste considerazioni di carattere generale e metodologico, il Codice di
Autodisciplina si sofferma sui ruoli dei diversi attori aziendali rispetto alla funzione di
controllo interno e gestione del rischio.
Un ruolo centrale è affidato al Consiglio di Amministrazione, che indirizza il sistema dei
controlli sulla base delle strategie e del profilo di rischio scelto per poter competere sul
proprio mercato di riferimento: anche l’adeguatezza di questo sistema di controlli viene
demandata al Consiglio di Amministrazione, che svolge periodicamente la sua valutazione,
fatto salvo il verificarsi di eventi straordinari che richiedano un assessment d’urgenza.
A supporto dell’attività istruttoria legata all’esame delle relazioni finanziarie periodiche, il
Consiglio di Amministrazione ha un “Comitato di controlli e rischi”, una funzione distinta dal
“Comitato di controlli interno (internal audit) e revisione contabile” del quale l’azienda si
deve necessariamente dotare.
In particolari condizioni e se adeguatamente motivate, il Consiglio di Amministrazione
può decidere di assolvere alle attività istruttorie senza istituire il Comitato di controlli e rischi.
Il CDA individua anche l’amministratore responsabile del sistema di controllo interno e
gestione dei rischi, ovviamente possono essere più di uno, magari ciascuno con una delega
riguardante una diversa funzione aziendale, per aree di rischio quindi.
Per quanto riguarda le funzioni aziendali coinvolte nel sistema dei controlli, l’Internal
Audit assume il ruolo centrale secondo le raccomandazioni del codice di
autoregolamentazione: l’internal audit si connota nel codice per la sua indipendenza e terzietà,
ottenuta per la concessione di poteri autonomi nella predisposizione del piano di audit e
nell’attivazione dei singoli interventi, ma anche in relazione alle modalità di nomina, revoca e
remunerazione del suo responsabile.
Il responsabile dell’Internal Audit riporta periodicamente al Consiglio di
Amministrazione, sebbene le decisioni che lo riguardano debbano avere il parere favorevole
del comitato dei controlli e rischi una volta informato il Collegio Sindacale.
La reportistica prodotta dall’Internal Audit deve quindi essere resa nota al Presidente del
Consiglio di Amministrazione, del Collegio Sindacale, del Comitato di Controllo e Rischi e
all’amministratore incaricato del sistema di controllo interno e gestione dei rischi.
24
Per quanto riguarda la gestione del rischio, il codice non prevede in generale nulla che non
sia imposto dalla legge, in particolare la figura del dirigente preposto, della quale abbiamo già
parlato in precedenza.
Al di là di questo, il tema del risk management viene influenzato dal contesto e dal settore
di appartenenza dell’azienda, sebbene alcune questioni siano pressoché presenti in ogni
impresa (rischio finanziario, rischio di sicurezza, etc.).
Proprio per questo motivo, diverse normative settoriali si occupano di prescrivere
l’istituzione di strutture aziendali preposte alla gestione di rischi.
In particolare, si ritiene che in questa materia l’azienda debba avere la flessibilità di
stabilire l’assetto organizzativo più idoneo all’efficace gestione del rischio, per esempio
demandando l’attività di risk management non a una funzione specifica ma a funzioni che
svolgono anche altri compiti, contando sul fatto che l’internal audit svolge comunque una
funzione di revisione anche in questo senso.
Per chiudere questa sintesi dell’art. 7 del Codice di Autodisciplina della Borsa Italiana,
notiamo che in esso si fa menzione della segnalazione di illeciti da parte dei dipendenti, il
whistle-blowing, argomento di attualità nel panorama normativo contemporaneo in materia di
lotta alla corruzione e trattato precedentemente a proposito della SOX.
1.2 La funzione di Internal Audit nel sistema di Corporate Governance
Abbiamo già fatto riferimento al Decreto legislativo 231/01 del 2001, che ha introdotto
una serie di novità in tema di corporate governance in seno alla normativa di impresa: in
particolare abbiamo posto l’accento sulla figura del dirigente preposto.
Analizziamo ora gli aspetti che hanno impattato sulla corporate governance e
precisamente il modello che le aziende sono tenute a definire, durante il ciclo di vita
produttivo, per poter efficacemente assolvere ai compiti dettati dal decreto.
La legge suggerisce l’adozione del “modello 231”20: questo modello, per poter assolvere
alla sua funzione di prevenzione dei reati amministrativi, deve basarsi su una valutazione
circostanziata dei rischi nei quali l’azienda può incorrere durante la propria attività operativa e
finanziaria.
20 Cfr. D. lgs. 231/01, art. 6 comma 2.
25
Il tema della gestione dei rischi è strettamente correlato alle funzioni di controllo e
internal auditing come abbiamo più volte sottolineato.
In generale, l’input necessario al modello 231 deve prevedere una mappatura dei processi
aziendali a rischio, con l’enumerazione dei rischi potenziali per ciascun processo, una analisi
del sistema di controllo e una conseguente valutazione dei rischi residui: ai rischi devono
corrispondere degli strumenti, predisposti e integrati in un sistema di controllo, in grado di
prevenire i rischi individuati.
Ai fini della corporate governance, la soglia minima di accettabilità di un rischio è legata
al seguente criterio: un sistema di prevenzione dei rischi è da ritenersi accettabile se può
essere “aggirato” soltanto in maniera fraudolenta.
Questo requisito è sufficiente per poter far scattare la clausola di non responsabilità
aziendale proprio a fronte di condotte delittuose secondo le fattispecie elencate nel D. lgs.
231/01: la tassonomia di queste condotte è estremamente articolata e fa riferimento a un
ampio spettro, si va da reati in danno alla PA, agli abusi di mercato, ai reati societari, ai reati
transnazionali (associazione per delinquere), ai reati ambientali, etc.
Il cuore del modello 231 sono i protocolli di condotta, che si concretizzano nelle
procedure aziendali indirizzate alla regolamentazione delle attività, con l’esplicita finalità di
prevenire condotte delittuose rilevanti ai fini della responsabilità ex D. lgs. 231/01.
Questi protocolli di condotta si ispirano ai principi della trasparenza e dell’efficienza,
documentando le attività delle singole procedure aziendali in modo da oggettivare i controlli
necessari a testarne la correttezza, e tracciando la catena di responsabilità delle attività, in
particolar modo se queste comportano il trattamento di dati particolarmente sensibili.
A questo scopo si dovranno tenere presenti le normative correlate, come per esempio la
normativa sulla privacy D. lgs. 196/03, o anche i codici di autodisciplina, come il codice etico
nel quale ciascuna azienda formalizza le condotte richieste ai propri dipendenti e dirigenti,
specificando diritti, doveri e responsabilità.
Oltre ai principi di trasparenza ed efficienza, un altro aspetto rilevante è quello della
separazione funzionale, ovvero la responsabilità di una attività non viene affidata alla stessa
persona che controlla quella operazione.
Da ultimo, è fondamentale circoscrivere le responsabilità delle persone in grado di
autorizzare passaggi procedurali particolarmente delicati, in modo che queste responsabilità
siano documentate, definite e chiaramente note all’interno dell’organizzazione.
26
Nel redigere il D. lgs. 231/01, il legislatore ha indicato anche la figura cui spetta il
compito di valutare l’adeguatezza e l’efficacia del modello, la sua messa in opera da parte
dell’azienda e la manutenzione del suo aggiornamento: questa figura è l’Organismo di
Vigilanza.
Pur lasciando autonomia alle singole imprese di declinare in vari modi la composizione di
questo organismo in base alle opportunità contingenti, di struttura aziendale e di business,
l’Organismo di vigilanza deve poter contare su membri autonomi, indipendenti e professionali
nelle loro scelte e nel loro operato, in particolare membri di funzioni non operative all’interno
dell’azienda, e con le adeguate skill giuridiche al fine di garantire l’efficacia dell’azione di
vigilanza, e capaci di dare continuità all’azione dell’Organismo di vigilanza, che diviene
quindi una struttura interna.
Le mansioni dell’Organismo di Vigilanza sono:
la verifica dell’adeguatezza e dell’efficacia del modello organizzativo,
la rilevazione di eventuali scostamenti da questo modello,
l’analisi e l’istruttoria relativa a questi scostamenti il cui output è una segnalazione
alla direzione per gli opportuni provvedimenti disciplinari,
l’aggiornamento del modello stesso,
la predisposizione di una relazione informativa, con cadenza almeno semestrale,
relativa alle attività di verifica e controllo compiute nell’ultimo intervallo di tempo
dalla precedente relazione.
Per svolgere queste mansioni, l’Organismo di vigilanza gode di piena autonomia e le sue
attività ispettive non possono essere sindacate da altre funzioni aziendali, funzioni alle quali,
l’Organismo è in grado di accedere, avendo la facoltà di richiedere informazioni e dati per lo
svolgimento delle proprie attività.
Questo non vuol dire che l’Organismo di vigilanza non possa avvalersi di altre strutture
aziendali, o anche di consulenti esterni: a questo scopo l’Organismo dispone di un suo budget,
eventualmente integrabile, non essendo previsti dalla norma limiti di spesa che condizionino
l’operato dell’Organismo.
A seguito dell’attività ispettiva in merito alla corretta implementazione e all’aderenza al
modello 231, possono essere attivate azioni sanzionatorie o disciplinari, a prescindere
dall’eventuale apertura di una fase giudiziale penale nel caso in cui la condotta non conforme
integri una fattispecie di reato.
27
Nel definire l’impianto sanzionatorio l’azienda terrà inoltre conto dello Statuto dei
lavoratori, in particolare del suo art. 7.
Al fine di evitare sanzioni è necessario che il modello sia divulgato in azienda e che sia
svolta una adeguata formazione dei dipendenti e dei dirigenti: la divulgazione del modello, e
in particolare del codice etico, è fondamentale anche presso i fornitori esterni che, a vario
titolo, partecipano ai processi aziendali e operano per conto dell’azienda.
Questa descrizione del D. lgs. 231/01 mostra quanto sia oneroso per una azienda mettere
in piedi un modello organizzativo siffatto e garantirne il suo corretto funzionamento.
A fronte di questi oneri esistono tuttavia dei benefici per l’azienda, come ad esempio la
possibilità di sollevare dalla responsabilità di condotte fraudolente la società stessa: a questo
scopo il modello organizzativo deve essere stato progettato e implementato, secondo le linee
guida ricordate.
La norma individua inoltre il contenuto minimo del modello organizzativo, al fine di
indirizzare le modalità di gestione delle risorse economiche volte a prevenire la commissione
di reati, individuare un organismo di vigilanza e predisporre obblighi di informazione verso
quest’ultimo, ed infine introdurre un sistema disciplinare interno per mettere in atto le
sanzioni a seguito della violazione parziale o totale delle indicazioni del modello.
Se formulato in questo modo il modello, la cui adozione ricordiamo essere puramente
facoltativa per una azienda, può consentire di contenere e prevenire il rischio derivante da
condotte fraudolente.
A fronte di quanto esposto in questo paragrafo non sfugge l’analogia e talvolta la
sovrapposizione fra la funzione di internal auditing e l’Organismo di vigilanza prescritto dal
D. lgs. 231/01: in effetti non è escluso che queste due entità si fondino in una sola, se il
dimensionamento aziendale e le opportunità lo richiedono, ma è bene in generale tenere
distinte queste due funzioni.
Infatti l’Organismo di vigilanza non è propriamente una funzione aziendale: può avvalersi
dell’Internal Audit nell’assolvere alla propria funzione di vigilanza, appunto, sulla corretta
applicazione del modello, ma non può delegare ad una funzione aziendale la responsabilità
della gestione del modello organizzativo e la valutazione sulla sua corretta attuazione21.
21 Cfr. Dittmayer (2011), pp. 112sgg.
28
L’attività dell’internal auditing ha una sua funzione specifica ed autonoma, può essere di
supporto alle finalità dell’Organismo di vigilanza, e quindi un canale di comunicazione e
condivisione di informazioni privilegiato fra queste due entità dell’organigramma aziendale è
sicuramente necessario.
In sostanza, gli interventi normativi oggetto della nostra discussione sembrano suggerire
una divisione dei compiti che vede l’Organismo di vigilanza, ma anche il dirigente preposto,
come accountant per le attività di ispezione e istruttoria, laddove gli internal auditor possono
svolgere, con l’autonomia che contraddistingue la loro funzione, le loro attività di audit e poi
riportare, secondo canali di comunicazione predefiniti e standardizzati, sia alla vigilanza che
al preposto le informazioni necessarie a decidere se mettere in atto misure di natura
sanzionatoria, modifiche al modello organizzativo o semplicemente emettere in modo più
informato e circostanziato la loro reportistica.
Nell’ottica della corporate governance deve quindi regnare una condivisione di
informazioni e una chiara distinzione di ruoli che svolgono una mansione di supporto alla
governance aziendale.
1.2.1 L’evoluzione dall’Ispettorato Fiat alla funzione di revisione interna in
FCA
La FCA (Fiat Chrysler Automobiles) è nata dalla fusione fra la principale azienda
automobilistica italiana, la Fiat, e l’americana Chrysler, sancita nel 2009, rappresenta una
realtà multinazionale le cui radici, e di cui parte della produzione, si trovano in Italia, e che
incarna tuttora uno degli emblemi della grande industria italiana e internazionale.
La complessità attuale del Gruppo, che ingloba diversi marchi storici dell’industria
automobilistica (Alfa Romeo, Jeep, Lancia, Magneti Marelli, etc.), lo rende oggi una realtà
assai complicata da gestire, ramificata e radicata in diversi contesti economici e industriali.
Non stupisce quindi che l’Internal Audit in seno al gruppo sia ramificato nelle varie
Region, ciascuna con la sua specificità.
Il concetto e la funzione di internal auditing furono introdotte in Fiat dagli anni ’70: in
quel periodo, specie per volontà dell’allora presidente Gianni Agnelli, la Fiat stava
promuovendo la sua politica espansiva sui mercati esteri, gettando in questo modo i prodromi
29
di un decentramento aziendale il cui culmine sarebbe avvenuto con l’internazionalizzazione
dei decenni seguenti.
All’epoca, la Fiat si era dotata, a livello di holding, di una funzione di internal auditing
chiamata “Ispettorato”, che aveva una funzione prevalentemente di controllo economico e di
verifica dei flussi di cassa, operando presso tutte le filiali delle società, prevalentemente di
Fiat Auto.
In quegli anni la Fiat si stava sottoponendo a un graduale processo di evoluzione e
modernizzazione proprio nell’ottica di poter aggredire in modo efficiente i mercati
internazionali: in particolare, negli anni ’70 e ’80 (superata la fase critica dovuta alla crisi
petrolifera del 1973), la Fiat fondò stabilimenti in Brasile, si dotò di un centro di Ricerca &
Sviluppo e utilizzò il marchio Ferrari come strumento di marketing per competere ed
affermarsi sui mercati internazionali.
Questa politica di espansione e modernizzazione continuò negli anni ’80 ampliando il
proprio mercato in Polonia, Turchia, URSS e Sudafrica: in quel periodo la funzione di internal
auditing assolta dall’“Ispettorato” si ampliò per comprendere il monitoraggio di altre attività
oltre a quelle contabili, come per esempio la gestione dello stoccaggio e dei magazzini, degli
stabilimenti, della rete commerciale, etc.
Per poter efficientemente assolvere a questi compiti l’Ispettorato di Fiat adottò
inizialmente strumenti e standard metodologici dalla società di certificazione di bilancio
Arthur Andersen (oggi Accenture), cercando quindi di acquisire sia le esperienze che il know-
how in un settore che si percepiva sempre più strategico.
Nel 1996 l’Ispettorato della Fiat divenne una società del Gruppo, col nome di Fiat Revi
S.c.r.l. (Fiat Revisione Interna): in questo modo, godendo di una autonomia societaria, la
funzione dell’Ispettorato poteva venire assolta in modo più efficiente, per esempio aprendo
sedi della società Fiat Revi nelle varie location, e quindi che necessitavano della funzione di
monitoraggio e auditing, come in Brasile, Polonia, Cina, Inghilterra, Spagna e Francia.
A seguito dell’introduzione del D. lgs. 231/01, Fiat elaborò una metodologia per
codificare il suo modello organizzativo 231, improntata a una forte centralizzazione delle
direttive impartite da Fiat S.p.A. alle varie società del Gruppo: all’inizio degli anni 2000,
facevano parte del Gruppo industrie del settore automobilistico (Fiat Auto, Maserati, Ferrari,
CNH, Iveco, Fiat Powertrain technologies), di altri settori della componentistica
30
automobilistica (Magneti Marelli, Teksid, Comau), società di supporto e di servizi (Centro
ricerche Fiat, Itedi, Business Solutions).
Nel febbraio del 2003, il Consiglio di Amministrazione di Fiat approvò il modello di
organizzazione e gestione ex D. lgs. 231/01, ma dovette procedere entro un anno a una
revisione dello stesso, a seguito di alcune evoluzioni normative del diritto societario e anche
alcune sentenze che potevano porre il problema relativo alla responsabilità civile o penale
della società controllata nei confronti della controllante, fino alla capogruppo22.
La soluzione a questo problema, posto dalla complessità strutturale del Gruppo Fiat, fu
quella di modificare il modello 231 in modo da consentire a ciascuna società del gruppo di
valutare, in modo pienamente autonomo, la presenza di processi sensibili e l’opportunità di
adottare il metodo che, ricordiamo, la legge prescrive come facoltativo.
Nel febbraio 2005 la Fiat ha quindi approvato una nuova versione del modello
organizzativo ex D. lgs. 231/01, unitamente a delle linee guida per l’adozione e l’utilizzo di
questo modello, rendendo quindi standard e uniforme la sua attuazione in tutte le società del
Gruppo.
In sostanza, il metodo proponeva alle società di effettuare in piena autonomia una “gap
analysis” dei propri processi aziendali con il fine di rilevarne le criticità, e fra questi i più
sensibili rispetto alle tematiche di tutela della società da parte di comportamenti fraudolenti e
delittuosi dei suoi dipendenti.
Alle singole società spettava inoltre l’onere di predisporre le procedure che avrebbero
dovuto prevenire la commissione di questi reati: questa decentralizzazione della normativa
interna ha consentito di tarare le misure preventive sulle singole realtà societarie, assai
difformi fra loro sia per struttura che per business.
La società caposettore che per prima adottò il modello fu Fiat Auto e alcune sue società,
infatti le singole società del gruppo presentavano spesso una struttura interna complessa.
Rispetto a questa organizzazione e a questo modello, Fiat prima della fusione con
Chrysler identificava le funzioni fra l’Organismo di Vigilanza sancito dal D. lgs. 231/01 e la
funzione di Internal Audit: quest’ultima aveva le caratteristiche di autonomia, indipendenza e
controllo necessarie all’esercizio delle proprie funzioni, unitamente alla possibilità di avere
una visione d’insieme e completa di tutti i processi aziendali.
22 Cfr. Di Gennaro (2005).
31
In effetti, in Fiat dalla metà degli anni 2000 la funzione di Internal Audit, Organismo di
Vigilanza e di Preposto al sistema di controllo interno erano confluiti in un’unica funzione
nell’ambito della capogruppo Fiat S.p.a.
Questa entità era tuttavia distinta sia da Fiat Revi che dal Comitato di controllo e rischi,
nell’organigramma di Fiat S.p.a.: nella catena gerarchica, Fiat Revi riferiva all’Internal Audit
il quale riportava all’Amministratore Delegato (in maniera continuativa), oltre che al
Consiglio di Amministrazione (due volte l’anno), al Collegio Sindacale, al Comitato di
controllo e rischi: questi ultimi avevano la facoltà di convocare in qualsiasi momento
l’Internal Audit, nelle vesti di Organismo di Vigilanza.
Gli Organismi di Vigilanza delle società del Gruppo rispondevano agli omologhi della
caposettore che, a sua volta, riportava all’Organismo di Vigilanza di Fiat S.p.a..
Di questa organizzazione, nonché del modello, fu data ampia pubblicità internamente
all’azienda, sia sul sito della Intranet che nelle bacheche aziendali (in Fiat S.p.a.), mentre le
linee guida sono state inviate dall’Organismo di Vigilanza di Fiat S.p.a. alle omologhe
strutture delle aziende del Gruppo.
La seguente figura illustra schematicamente le relazioni fra queste diverse funzioni sia in
seno alla capogruppo che rispetto alle altre società del gruppo23.
23 Cfr. Passante (2010).
32
A fronte di una funzione di Internal Audit sempre più di maggior rilievo all’interno del
Gruppo, coincidente sia con la funzione di Preposto che di Organismo di Vigilanza, ha
consentito nel primo decennio degli anni 2000 il consolidamento della posizione di Fiat Revi
nel ruolo di controllo interno.
Fiat Revi ha gestito anche i rapporti con i revisori esterni riconducibili a una condivisione
dei risultati degli audit che si concretizzavano nella formulazione di valutazioni indipendenti
circa l’efficacia dei sistemi di controllo e dei processi aziendali operativi posti in essere a
tutela del patrimonio aziendale.
Pertanto l’Internal Audit e il Preposto al sistema di controllo interno (coincidenti) si
avvalevano delle funzioni di Fiat Revi per lo svolgimento delle attività di valutazione dei
rischi e di controllo.
L’organizzazione aziendale di Fiat Revi prevedeva delle strutture così dedicate: una
all’Audit e un’altra all’area tecnica (IT) divise per zone geografiche (Italia, Nord Europa, Sud
Europa, Resto del Mondo), infine vi era un’altra struttura dedicata alla compliance che si
occupava delle attività di audit riferite a: financial, privacy e antifrode, forensic e strategic
audit.
Le attività erano operativamente così suddivise:
Financial audit: valutazione dell’affidabilità, accuratezza, e integrità del reporting
finanziario e gestionale;
Operational audit: per valutare l’efficacia e l’efficienza dei processi aziendali;
Compliance audit: allo scopo di valutare la conformità a politiche e procedure interne,
nonché a leggi e regolamenti (D. lgs. 231).
Fiat Revi per supportare le esigenze strategiche del Gruppo e del vertice aziendale,
sviluppò attività di consulenza nei seguenti ambiti:
Business Ethics Compliance: per monitorare la corretta applicazione del Codice di
Condotta;
Antifrode: includendo anche attività di prevenzione e whistleblowing;
ICT: con particolare riferimento alla documentazione e collaudo dei processi
informatici;
Purchasing: a supporto dei settori per garantire l’efficacia dei processi di acquisto;
Due diligence: in caso di operazioni straordinarie;
33
ICFR Compliance: per valutare l’adeguatezza e l’efficacia del Sistema di Controllo
Interno sul Financial Reporting gestito dal Management aziendale;
Post Investment audit & reviews: per valutare il processo di integrazione delle nuove
acquisizioni e la redditività delle iniziative di investimento.
La struttura dell’Internal Audit è stata separata in seguito alla suddivisione tra CNH
International e Fiat S.p.A.
Tale struttura è stata mantenuta anche dopo la fusione con Chrysler che ha dato luogo ad
FCA: questo processo, originato nel 2009, prevedeva un ingresso progressivo di Fiat nelle
quote di capitale sociale di Chrysler: inizialmente del 20%, poi del 35% e infine del 51%,
sulla base del raggiungimento di determinati obiettivi finanziari ed ambientali, fino alla
effettiva fusione del 2014.
In particolare, nell’ambito del nuovo gruppo FCA, all’Internal Audit è affidata anche la
responsabilità del monitoraggio degli action plan (azioni correttive concordate con la società
oggetto di audit) e della gestione-individuazione delle problematiche riportate nelle whistle-
blowing24 (segnalazioni anonime pervenute in FCA).
1.2.2 L’Internal Audit in FCA
La funzione dell’Internal Audit in FCA assolve a diversi compiti, alcuni dei quali
provenienti dalle organizzazioni precedenti.
In particolare, l’Internal Audit è posto a presidio degli asset del Gruppo e delle sue
società, per garantirne l’efficacia e l’efficienza in seno ai processi operativi: nel
perseguimento di questo scopo, l’Internal Audit ha storicamente tenuto un atteggiamento
propositivo e proattivo nei confronti del management delle società soggette ad audit25.
Oltre a questo l’Internal Audit FCA svolge anche il ruolo di competence builder per
l’intero Gruppo FCA.
La mission dell’Internal Audit di FCA pone l’accento sulla obiettività ed indipendenza
delle attività di assurance e consulenza a supporto delle operations del Gruppo, con lo scopo
di utilizzare un approccio sistematico e disciplinato per valutare e migliorare l’efficienza del
risk management, del controllo e della governance dei processi.
24 Cfr. FCA (2015a).
25 Cfr. FCA (2015a).
34
L’ambito nel quale la funzione di Internal Audit può spaziare nel compiere la propria
attività è esteso a tutti i processi produttivi aziendali, in quanto uno degli obiettivi di questa
funzione è quella di controllare se le azioni di risk management, controllo e governance dei
processi sono adeguate ed effettive.
L’Internal Audit non esaurisce i controlli effettuati per il monitoraggio e l’ottimizzazione
dei processi ma svolgono anche una funzione di supporto ai comitati che si occupano di
compiti specifici legati comunque al tema della corporate governance, secondo lo schema
seguente:
Nella nuova organizzazione seguita alla fusione, processo che si sta consolidando e che ha
subito revisioni e graduali miglioramenti a partire dal 2011; la funzione di Internal Audit è
stata adeguata al sistema di controllo interno (ICS: Internal Control System).
Quest’ultimo è stato istituito nel 2013, basandosi sul modello offerto dal framework
COSO (Committee of Sponsoring Organizations of the Treadway Commission Report – ERM
model), approfondito nei suoi aspetti generali e nella sua applicazione in FCA nel prossimo
capitolo.
FCA ha la sede fiscale nel Regno Unito, a Londra, mentre la sede legale è ad Amsterdam,
nei Paesi Bassi, soggetta quindi al diritto olandese, in particolare al Codice Civile nazionale,
35
come risulta dallo statuto societario26: per questo motivo la società deve sottostare agli
indirizzi del Codice della Corporate Governance Olandese, articolato in un insieme di
procedure, regolamenti e strutture organizzative il cui obiettivo è di individuare e gestire i
principali rischi cui una grande società è soggetta.
Il sistema di controllo interno si sviluppa su tre livelli, secondo ben consolidati standard:
Primo livello: aree operative, si rilevano e identificano i rischi e si indicano le
specifiche azioni volte alla mitigazione degli stessi.
Secondo livello: aree per il controllo del rischio, definiscono le metodologie e gli
strumenti per monitorare e gestire i rischi.
Terzo livello: internal audit, offre una valutazione autonoma ed indipendente del
sistema di controllo interno nella sua globalità.
Nel Comitato di Controllo e Rischi sono presenti i rappresentanti dei settori e delle aree
geografiche dove FCA è presente, così come i responsabili dell’area finanza, ICT, HR, legale,
delle principali aree di business e dell’Internal Audit.
In particolare, i primi due livelli utilizzano tecniche a campione e seguono, nel farlo, le
best practice internazionalmente riconosciute a questo scopo27; nel terzo livello l’Internal
Audit conduce assessment sul progetto e la messa in esercizio dei controlli chiave in carico
alle aree di controllo del rischio e a quelle operative.
Questo assessment può suggerire la definizione di ulteriori controlli così come dei
remediation plan o degli improvement plan.
Inoltre, i risultati di questo monitoraggio sono soggetti a revisioni periodiche da parte del
dirigente responsabile del reporting finanziario della società, e da questi comunicate al senior
management e al comitato di audit, che a sua volta risponde al board of directors28 composto
dal presidente John Elkann, dal CEO Sergio Marchionne e da un comitato di dirigenti: si noti
che in questo comitato ci sono due rappresentanti del comitato di audit, attualmente Glenn
Earle e Ronald L. Thompson, così come va detto che FCA si avvale anche di report prodotti
da auditor esterni, in particolare della attuale società di certificazione di bilancio
Ernest&Young29.
26 Cfr. FCA (2014a).
27 Cfr. FCA (2014c).
28 Cfr. FCA (2014c).
29 Cfr. FCA (2014d).
36
Infine, è da notare come l’Internal Audit FCA conduca anche una revisione qualitativa dei
controlli eseguiti dalle società di consulenza esterne.
Scendendo più nello specifico delle attività dell’Internal Audit possiamo elencare le
seguenti:
Financial Audit: determina l’affidabilità, l’accuratezza e l’integrità delle informazioni
finanziarie e operative.
Operational Audit: definisce quali operazioni sono adeguatamente controllate e quali
processi operativi sono effettivi ed ottimizzati.
Compliance Audit: indica il grado di compliance delle azioni sia dei dipendenti che
delle società del Gruppo rispetto alle policy interne ma anche alle normative e leggi
delle realtà nelle quali operano.
Questi tre filoni di attività costituiscono la estrinsecazione della mission dell’Internal
Audit e sono molto simili a quelle che si trovano presso altri grandi corporate groups.
Per assecondare le esigenze strategiche di FCA e le richieste specifiche del top
management l’Internal Audit ha sviluppato delle attività di supporto e advisory come per
esempio:
Business ethics compliance: verifica la corretta applicazione del codice etico aziendale
da parte di tutti i dipendenti e fornitori;
Fraud audit: prevenzione delle frodi, rilevamento di eventuali comportamenti
fraudolenti e gestione del processo di whistle-blowing;
Post investment audit: revisiona e fornisce assessment dei processi di integrazione di
nuove società acquisite dal Gruppo e verifica la profittabilità effettiva degli
investimenti compiuti in queste acquisizioni rispetto alle stime iniziali;
ICT audit: monitoraggi e assessment sul sistema informativo aziendale, per garantire
che i processi IT siano correttamente documentati e controllati, e che rispondano
effettivamente ai bisogni del Gruppo;
ICFR compliance: monitoraggio e assessment dell’adeguatezza e dell’effettività del
sistema di Controllo interno sui report finanziari (ICFR) gestito dal management di
FCA;
Purchasing scouting: supporta le funzioni di FCA nei loro processi di acquisto o
cessione al fine di ottimizzarli;
37
Due diligence: supporta le funzioni di FCA coinvolte nelle attività straordinarie del
Gruppo, come fusioni e acquisizioni, cessioni e spin-off.
Nello svolgere queste numerose attività, l’Internal Audit di FCA si avvale di diverse
metodologie di audit: per esempio informa per mail, almeno una settimana prima della
attività, sulle date di inizio e durata dell’audit; svolge un incontro preliminare per illustrare
l’ambito dell’audit e l’approccio seguito; pianifica l’attività di auditing per ottimizzare l’effort
degli auditor e focalizzarli sulle attività più fondamentali.
In queste fasi il coinvolgimento degli owner dei processi sottoposti ad audit è
fondamentale e continuo, soprattutto nella fase di fieldwork che consiste nell’espletamento
effettivo presso la società dell’attività di auditing.
Conclusa l’azione di audit, viene tenuta una riunione di exit dove le principali evidenze
emerse vengono sintetizzate ed esposte, e dove si sollecita l’action plan per il miglioramento
delle carenze riscontrate; una riunione di chiusura consente di riportare l’esito dell’audit e
l’action plan al management.
L’esito di un audit viene concretizzato in un audit report che si articola come segue:
1. Draft preliminare: condiviso in sede di exit meeting e il “cliente” dell’attività di
auditing ha due settimane di tempo per formulare un action plan corrispondente;
2. Draft finale: condiviso nella riunione di chiusura;
3. Audit Report: pubblicato entro due settimane dalla riunione di chiusura;
4. Follow-up: il monitoraggio e l’implementazione dell’action plan, in modalità on-
going, è in carico alle singole società del Gruppo mediante l’utilizzo di uno specifico
software. Per ogni audit che presentava delle criticità ad alto rischio viene eseguito un
follow-up; è prevista la verifica circa l’effettiva realizzazione degli action plan
concordati precedentemente.
In definitiva, la funzione di Internal Audit in FCA svolge una serie di attività da un lato di
verifica dell’effettività dei sistemi di controllo interni, nell’ottica del miglioramento continuo,
dall’altro di identificazione di criticità e rischi, in modo da contribuire al miglioramento dei
sistemi di risk management.
Inoltre, l’Internal Audit si occupa di implementare attività di supervisione specifiche
individuando eventuali carenze nel sistema di controllo interno e possibili ambiti di
miglioramento, e verifica che le regole e le procedure siano applicate correttamente.
38
In particolare, il CAE (Chief Audit Executive), il dirigente a capo dell’Internal Audit,
svolge una funzione indipendente al fine di costituire un terzo livello di controllo all’interno
dell’organizzazione, autonomo quindi dal controllo di primo e consecutivamente di secondo
livello.
Il CAE ha le seguenti specifiche responsabilità:
verifica l’adeguatezza dei sistemi di controllo e di risk management, sia su base
continuativa che in relazione a particolari necessità, e in conformità con gli standard
professionali internazionali;
assicura che il risk assessment venga effettuato almeno una volta l’anno;
garantisce che le risorse siano adeguate, sufficienti ed efficacemente implementate per
la realizzazione del piano di audit approvato dal Comitato per il Controllo e Rischi o
dal board.
Per lo svolgimento di tali attività il CAE ha accesso diretto a tutte le informazioni
necessarie, ed inoltre, ha l’onere di redigere su base periodica dei report sull’attività
dell’Internal Audit, con particolare riferimento al risk management e al risk mitigation: questo
report contiene anche una valutazione sul sistema di controllo interno.
Su base trimestrale riporta al Comitato per il controllo eventuali criticità che potrebbero
causare notevoli danni economici e reputazionali alla società se non monitorati e gestiti per
tempo.
In caso di necessità specifiche, il CAE è chiamato a riferire tempestivamente al Consiglio
di Amministrazione su eventi di particolare rilevanza, oltre che produrre report specifici per il
Presidente del CDA e il Comitato di Controllo e Rischi.
Infine, è onere del CAE la verifica dell’affidabilità del sistema informativo, compresi i
sistemi di autenticazione e profilatura, come parte del piano di audit.
39
Capitolo 2 Il sistema di controllo interno in FCA
In questo capitolo affrontiamo la struttura e l’evoluzione del sistema di controllo interno
di FCA: iniziamo con una disamina generale di cosa sia un sistema di controllo interno in una
grande azienda, raccogliendo alcune definizioni, fissando la terminologia e fornendo le
spiegazioni di base che si trovano in letteratura, selezionando in particolare quanto di maggior
interesse per il prosieguo del capitolo e del lavoro, vale a dire quanto abbia specifica e
maggiore rilevanza per il caso FCA.
Passiamo poi a una descrizione di quali siano gli obiettivi macroscopici, e generali, di un
sistema di controllo interno, avendo in mente da un lato il caso specifico che ci interessa, e
quindi soffermandoci sugli aspetti più rilevanti per esso, e dall’altro i framework e standard di
riferimento che si sono diffusi negli ultimi anni e in particolare quelli che hanno influenzato le
attività di Fiat prima e FCA poi, in quanto da queste adottati.
Nel descrivere la struttura di un sistema di controllo interno a livello generale, si pone
particolare attenzione sugli attori coinvolti nelle attività del sistema e sulla tematica generale
dell’analisi dei rischi, che è contigua e parzialmente incorporata nei sistemi di controllo
interno: particolare enfasi è posta nella generalizzazione del concetto di rischio, dal semplice
rischio finanziario, che un tempo era l’unica preoccupazione di questi sistemi, al rischio
inteso nel senso più ampio del termine, in quanto impattante sugli obiettivi di business di una
azienda.
In un paragrafo a sé esponiamo alcune considerazioni fra i rapporti fra l’Internal Audit e il
sistema di controllo interno, facendo riferimento alle diverse normative e codici di
regolamentazione illustrati nel primo capitolo per chiarire con esempi come questi rapporti
possano correttamente inquadrarsi.
Dopo questi necessari preliminari passiamo a descrivere il framework COSO I,
illustrandone i concetti, le idee e la struttura, e descrivendone l’evoluzione motivata dalle
limitazioni del modello iniziale, che è stato proposto agli inizi degli anni ’90, e quindi
logicamente sottoposto a revisione.
Descriviamo anche come Fiat Group ha adottato questo modello e come lo ha
implementato negli anni ‘2000, delineando i meccanismi utilizzati per realizzarlo e le
40
particolarità organizzative poste in atto per il suo adattamento alla realtà specifica di Fiat
Group di quegli anni.
Illustriamo poi l’evoluzione del COSO I, generalmente nota come modello ERM,
mostrando quali siano i punti di novità rispetto al precedente e quindi i benefici di un
passaggio a questo framework più moderno e completo: in particolare ci soffermiamo sul
concetto di rischio quale viene concepito in questo nuovo modello.
Analogamente a quanto fatto per il COSO I, anche in questo caso trattiamo dell’adozione
da parte di Fiat e in seguito da parte di FCA di questo modello negli anni ‘2000, discutendo
l’impostazione del processo di gestione dei rischi in FCA, orientato ai principi dell’ERM e
fortemente calato nella realtà del gruppo, che ha una ampia dislocazione geografica e
segmentazione di mercato, e quindi un ventaglio di “risk driver” assai corposo. Descriviamo
anche, macroscopicamente, le procedure operative di gestione del rischio.
Passiamo poi a discutere una ulteriore versione del modello COSO, il COSO III orientato
specificatamente ai possibili rischi della reportistica finanziaria, descrivendone i principi e lo
schema generale: anche in questo caso approfondiamo l’adozione di questo modello da parte
di Fiat e le questioni poste dopo la fusione con Chrysler in merito all’evoluzione e
all’adattamento di questo modello a tutto il gruppo FCA: in questa ultima parte del capitolo
descriviamo la situazione ante fusione, in modo da poter poi svolgere in modo completo e su
basi certe la descrizione della situazione post, e in particolare esponendo il progetto di
Governance, Risk and Compliance messo in piedi per far convergere i sistemi di controllo
interno verso un sistema unificato e integrato.
2.1 Il sistema di controllo interno: aspetti definitori
Nell’ambito della corporate governance di una azienda, è ormai una consolidata e diffusa
prassi quella di considerare il risk management come inestricabilmente collegato alla
governance: il sistema di gestione dei rischi è ormai considerato al centro del sistema di
governo aziendale, e, a sua volta, la gestione dei rischi contiene il sistema di controllo interno
dell’organizzazione, secondo il seguente schema30.
30 Cfr. Dittmeier (2011), p.142.
41
Questa enfatizzazione “a tutto campo” dell’analisi e del controllo dei rischi è stata
possibile per l’estensione del dominio del risk management dall’iniziale ambito finanziario a
tutti gli aspetti dell’organizzazione aziendale: allo stesso tempo, il sistema di controllo interno
dell’azienda non è più, semplicemente, un sistema volto a supportare la revisione contabile e
finanziaria, ma un sistema di controllo integrato che guarda a tutte le componenti e i processi
aziendali che concorrono alla produttività e all’organizzazione delle attività.
Dunque il sistema di risk management di una azienda deve necessariamente rispecchiare
questa ampiezza di prospettive, configurandosi come un insieme di processi, strumenti e
risorse che sono utilizzati per offrire la ragionevole garanzia del raggiungimento degli
obiettivi aziendali, intervenendo in tutti i settori che possono promuovere, o pregiudicare, il
raggiungimento di questi obiettivi.
Il sistema di controllo interno viene definito31 come l’insieme delle direttive, delle
procedure e delle tecniche adottate dall’azienda, e connotato come un processo attuato dal
Consiglio di Amministrazione, dai dirigenti e da altri soggetti della struttura aziendale,
finalizzato a fornire una ragionevole certezza sul conseguimento degli obiettivi rientranti nelle
seguenti categorie: efficacia ed efficienza delle attività operative; attendibilità delle
informazioni contabili ed extra contabili, sia per i terzi, sia a fini interni; conformità alle leggi
e ai regolamenti in vigore, alle norme e alle politiche interne.
31 Cfr. Coopers, Librand (1997).
Corporate Governance
Risk Management
Sistema di Controllo Interno
42
In quanto tale, il sistema di controllo interno ha il compito di mettere in campo una serie
di attività che riguardano l’azienda nella sua totalità e che sono finalizzate a minimizzare i
rischi del mancato raggiungimento degli obiettivi aziendali: gli attori che pongono in essere
questo sistema sono il Consiglio di Amministrazione, il management aziendale ed eventuali
altri soggetti in staff a questi se la complessità aziendale lo richiede.
Naturalmente, data la diversità sia di ambito che di complessità delle diverse realtà
aziendali, è difficile dare una definizione generale e precisare come debba essere strutturato il
sistema di controllo interno di una azienda.
Tuttavia, a grandi linee, possiamo indicare alcune tematiche assolutamente comuni a tutte
le realtà aziendali, e in particolare applicabili, con molte precisazioni e ramificazioni, al caso
di nostro interesse32.
Per prima cosa, notiamo come sin dalla definizione particolare enfasi sia posta sul ruolo
del Consiglio di Amministrazione dell’azienda: non è iperbolico affermare che la principale
funzione di questo organo consiste proprio nel mantenimento di un efficace sistema di
controllo interno volto a salvaguardare gli interessi degli azionisti e gli asset aziendali33.
Infatti la direzione aziendale, il top management nelle aziende di complessità appena
superiore alla media, deve attendersi “output minimali” dal proprio sistema di controllo
interno, ovvero deve assicurarsi che quest’ultimo sia in grado di coprire un ampio spettro di
attività, svolte direttamente dalla direzione aziendale o da questa delegata ad altre funzioni, in
modo da poter esercitare un controllo esteso dell’operatività dei processi aziendali.
Il Consiglio di Amministrazione ha dunque l’onere di condurre anche una revisione
dell’efficacia del sistema di controllo interno e di riportare su questo agli azionisti nel report
annuale: questa attività dovrebbe riguardare sia gli aspetti finanziari che quelli operativi e di
risk management.
Pertanto possiamo dire in generale che il sistema di controllo interno realizza un processo
che coinvolge l’intera realtà aziendale nell’ottica della minimizzazione dei rischi di mancato
raggiungimento degli obiettivi, e che va considerato strumentale, in quanto posto in essere dal
Consiglio di Amministrazione, alla realizzazione degli obiettivi aziendali.
Inoltre, il sistema di controllo interno deve avere una capacità comunicativa e informativa
improntata da tempestività e precisione, in modo da segnalare per tempo anomalie, e
32 Cfr. Troina (2005) p. 40.
33 Cfr. Zanigli (2004).
43
dettagliare eventuali cause e motivazioni per comportamenti anomali, ovvero enucleare rischi,
anche esogeni, che potrebbero causare anomalie operative.
In questo modo, il sistema di controllo interno, che è lo strumento dal quale
necessariamente passare per prendere una decisione, è di supporto alla catena decisionale e
non di ostacolo.
Si segnala infine, l’importanza di una “organizzazione modulare”, nella quale le diverse
aree sono sottoposte a controllo secondo modalità specifiche e lo sono in maniera
indipendente le une dalle altre, in modo che carenze o vulnerabilità relative ai controlli di una
non incidano sui controlli esercitati sulle altre: questo non vuol dire, ovviamente, duplicare il
sistema di controllo per ciascuna funzione aziendale, ma articolarlo in strutture che, in
parallelo e in autonomia, possano esercitare il controllo sulle singole realtà aziendali, sempre
tuttavia integrate in un sistema, appunto, unitario e in grado di sintetizzare un output unico
delle proprie evidenze e delle proprie attività.
2.2 Gli obiettivi del sistema di controllo interno
Se il sistema di controllo interno, come abbiamo specificato, si pone al centro del sistema
di controllo dei rischi, i suoi obiettivi sono più circoscritti, e sebbene riconducibili
essenzialmente alla redditività e al conseguimento della mission aziendale, si possono
enumerare in modo più circostanziato come segue.
Per prima cosa un sistema di controllo interno deve contribuire alla salvaguardia del
patrimonio sociale dell’azienda: infatti la funzione di monitoraggio del rischio che viene
assegnata al sistema di controllo è innanzitutto orientata a prevenire i rischi che possono
incidere sul valore del patrimonio aziendale, che è alla base del sostentamento delle attività
produttive e a garanzia della continuità di queste anche nei momenti in cui i flussi di cassa
non possono, per vari motivi, garantirla.
Oltre a questo, il sistema di controllo interno deve monitorare la qualità dei dati che
confluiscono dalle varie componenti aziendali al management e che concorrono alle decisioni
di quest’ultimo: è ovvio che, per garantire la possibilità di decidere le strategie aziendali
migliori, i dati devono essere precisi e veritieri, e il sistema di controllo ha anche il compito di
garantire questa qualità, con particolare riferimento ai dati economico-finanziari (e nello
specifico alle informazioni che concorrono al bilancio di esercizio).
44
Il sistema di controllo interno ha anche come obiettivo la tutela dell’efficacia e la
promozione dell’efficienza delle operazioni aziendali, non solo delle funzioni amministrative
ma anche di quelle relative al business aziendale nelle sue varie componenti, e dell’efficienza
operativa dell’azienda.
Infine, fra gli obiettivi macroscopici del sistema di controllo interno, figura a pieno titolo
il controllo del rispetto delle normative e delle policy interne (a partire dal codice etico), oltre
che il rispetto delle leggi e dei regolamenti cui sono sottoposti l’azienda e i suoi dipendenti,
con particolare riferimento alle normative che intendono limitare comportamenti fraudolenti e
che, come abbiamo visto nel capitolo precedente, prendono le mosse da casi concreti e
clamorosi di comportamenti delittuosi che le normative intendono limitare e prevenire.
Questi obiettivi di massima, che vengono declinati in molti modi diversi, anche a seconda
del business tipico dell’azienda e della sua collocazione nel mercato, sono tutti orientati al
raggiungimento degli obiettivi di business dell’impresa, in quanto definiti dal Consiglio di
Amministrazione tramite una diffusione della consapevolezza delle regole e delle
conseguenze di comportamenti non corretti.
Per poter centrare questi obiettivi, il sistema di controllo interno all’azienda deve
ovviamente poter essere in grado di svolgere in modo autonomo e sostenibile le proprie
attività: in particolare, deve poter contare su una separazione dei ruoli fra controllo ed
operatività, in quanto questo presupposto è alla base dell’autonomia nella propria azione34.
D’altra parte la struttura dell’organigramma aziendale e i piani di comunicazione interni
(o strumenti analoghi quali le matrici delle responsabilità, etc.) devono consentire di
individuare per qualsiasi attività un “accountant”, cioè un soggetto cui è riconducibile la
responsabilità per l’attività in questione: se manca questa chiara indicazione risulta
impossibile perseguire una azione efficiente di controllo, e quindi il sistema di controllo
interno si vede limitato nella possibilità di contribuire agli obiettivi aziendali.
Due altri aspetti sono connessi a questo: in primo luogo, oltre alla possibilità di poter
sempre risalire ai responsabili per le singole attività aziendali è anche fondamentale che le
scelte che hanno portato alla definizione e implementazione di quelle attività, all’interno del
ciclo produttivo aziendale, siano condivise in modo oggettivo, vale a dire che le decisioni
siano state prese in maniera razionale e motivabile, in modo da poterne capire la ratio e
quindi comprenderne l’ambito e le finalità.
34 Cfr. Troina (2005), pp. 33sgg.
45
Inoltre, deve essere presente un sistema di tracciamento delle informazioni e degli eventi
aziendali legati agli aspetti critici dei processi di business, o agli aspetti che comunque
possono essere oggetto di analisi da parte del sistema di controllo interno: quest’ultimo,
infatti, ha la necessità di ricostruire a posteriori eventi e flussi di informazioni per poter
determinare se si sia originata una violazione a regole aziendali o normative, o semplicemente
per poter monitorare in modo efficiente e puntuale i processi aziendali che deve tenere sotto
controllo.
Il sistema di controllo interno di una azienda svolge la sua funzione di controllo tramite
una attività ispettiva di vigilanza e una attività di guida e governo del sistema: nel primo caso
ricadono, per esempio, le attività di verifica a cura degli Internal Auditor, nel secondo caso
per esempio la verifica del corretto impiego delle risorse finalizzata al raggiungimento degli
obiettivi aziendali35.
Di fondamentale importanza per capire la centralità del sistema di controllo interno di una
azienda è la constatazione che l’attività di controllo interno da questo posta in essere è un
processo rappresentato da una serie di azioni che coinvolgono tutta la realtà aziendale, e che
esso è svolto ed è in carico a persone; non si tratta cioè semplicemente di documenti e
regolamenti da rispettare, ma di attività svolte da persone inquadrate nei diversi livelli
dell’organigramma aziendale, come abbiamo in precedenza riportato.
Questo in quanto il sistema di controllo interno deve consentire non solo di appurare
eventuali problemi e il verificarsi effettivo di rischi, ma anche di fronteggiare in modo
tempestivo ogni mutamento dell’ambiente economico nel quale l’azienda opera, e quindi
poter anticipare gli adattamenti necessari per far fronte al cambiamento, in modo da garantire
l’efficienza, tutelare le attività patrimoniali e mantenere l’attendibilità dei dati di bilancio e la
conformità delle attività aziendali a regole e normative.
Naturalmente tutto ciò avviene per tramite del lavoro di persone e funzioni aziendali che
partecipano al processo di controllo interno, sotto la responsabilità del comitato per il
controllo interno.
La valutazione delle attività di chi partecipa al processo di controllo interno è chiaramente
da effettuarsi su base continuativa e non sporadica, e rappresenta una fase del processo stesso
di controllo, fermo restando che l’efficacia del sistema di controllo interno è sempre da
misurarsi rispetto al livello di raggiungimento degli obiettivi fissati come target dall’azienda.
35 Cfr. Bava (2003), p.10.
46
Infatti, il management aziendale ha proprio il compito di fissare questi obiettivi, su diversi
orizzonti temporali, e promuovere le attività aziendali per conseguirli: questo vuol dire
stabilire target da centrare in linea e coerenti con la mission aziendale.
A prima vista, il target che il management può e deve fissare è sostanzialmente l’obiettivo
dell’economicità, cioè il conseguimento e consolidamento di una efficace ed efficiente
gestione aziendale che si ponga a baluardo della durabilità dell’azienda: in questo senso, il
sistema di controllo interno deve monitorare sul fatto che i tempi di esecuzione siano
minimizzati e che la qualità delle attività e dei servizi svolti dall’azienda sia massimizzata.
Ma questo non è l’unico obiettivo aziendale: per esempio possiamo anche citare
l’affidabilità delle informazioni, sia interne che esterne, che sono prodotte dall’azienda a vario
titolo e rese disponibili; questo in quanto il processo decisionale necessità di affidabilità del
dato e di tempestività della sua produzione.
Da un lato queste caratteristiche consentono una rapida ed efficiente catena decisionale,
dall’altro consentono all’azienda di fornire in modo preciso e tempestivo le informazioni che
esternamente possono esserle richieste (si pensi alle attività di revisione del bilancio): il che
vuol dire da un lato fornire informazioni che riflettano eventi e fatti realmente accaduti, in
modo completo e accurato, dall’altro che queste informazioni permettano ad eventuali
osservatori istituzionali esterni di farsi un quadro preciso della realtà aziendale e del suo
status rispetto alla tutela del patrimonio, e quindi anche degli azionisti.
2.3 Struttura di sistema di controllo interno
Un sistema di controllo interno deve constare di diverse funzioni al proprio interno per
poter efficacemente svolgere la propria mission.
Una prima funzione fondamentale che il sistema di controllo deve poter esercitare, in vista
della corporate governance, è quella di predisporre e utilizzare un “ambiente di controllo”,
cioè una struttura organizzativa ed operativa che sia in grado di supportare tutte le altre
funzioni di controllo del sistema.
L’ambiente di controllo è ottenuto combinando policy, procedure e attività volte a
sostenere i processi di business aziendali, e a supportare il top management e i dirigenti delle
unità organizzative in merito all’importanza del sistema di controllo interno: quest’ultimo
deve essere visto come una sentinella non intrusiva il cui operato porta valore anche e
soprattutto alle funzioni che vengono poste sotto il suo controllo.
47
Per poter predisporre e rendere operativo l’ambiente di controllo, è necessario operare
sulle diverse aree e dimensioni aziendali, a partire dal Consiglio di Amministrazione e dal
management che devono essere coinvolti, consapevoli e anche motivati a supportare
l’iniziativa: in particolare l’impegno specifico del settore dirigenziale deve essere orientato
alla competenza, alla condivisione dei valori aziendali e dell’integrità aziendale (per esempio
nella condivisione del codice etico) per lo sviluppo della cultura aziendale necessaria a
supportare questi valori.
Il Consiglio di Amministrazione, in particolare, deve contemplare anche la presenza di
amministratori non esecutivi in modo da poter esaminare le attività del management senza un
“conflitto di interessi” rispetto al proprio ruolo dirigenziale: in questo modo il Consiglio di
Amministrazione partecipa, parzialmente, alla funzione di controllo, consentendo di
consolidare l’ambiente di controllo stesso.
Il sostegno del management è inoltre necessario per poter indirizzare correttamente lo stile
di controllo aziendale che l’ambiente di controllo deve contribuire a far esercitare: per
esempio attraverso una corretta e più possibile trasparente comunicazione sugli standard di
comportamento, che devono essere divulgati e condivisi a tutti i livelli, in modo che la catena
della consapevolezza filtri dal management fino ai singoli dipendenti.
Tutto questo presuppone, in particolare, una struttura organizzativa in grado di veicolare
la pianificazione e la strategia aziendale in modo da poter, nella maniera più oggettiva
possibile, misurare e controllare il raggiungimento degli obiettivi che fanno parte della
mission aziendale.
La struttura organizzativa deve in particolar modo essere calibrata in maniera da rendere
chiare e univocamente determinabili le responsabilità relative alle attività operative, che
devono essere assegnate ovviamente in base a criteri di competenza ma anche fondandosi
sulle capacità di assumersi rischi a diversi livelli: la relazione di reporting fra gli operativi e i
livelli gerarchici superiori è uno degli elementi critici di questa catena decisionale.
Il coinvolgimento delle Risorse Umane nell’ambiente di controllo è un’altra caratteristica
essenziale per la buona riuscita della funzione del sistema di controllo interno: oltre alla
funzione di allocazione e gestione delle risorse in merito alle tematiche del controllo dei rischi
aziendali, le Risorse Umane possono promuovere la formazione interna e la diffusione di
consapevolezza relative alle tematiche del rischio e della sua gestione, che devono
capillarmente diffondersi nelle differenti funzioni aziendali.
48
La valutazione del rischio è in effetti un altro elemento fondante della funzione del
sistema di controllo interno, in quanto i rischi si connotano come eventi potenziali il cui
verificarsi impatta sulla probabilità di raggiungere gli obiettivi di business (per esempio in
quanto impattano sulla possibilità di operare normalmente), o sulla probabilità di veder
soddisfatte determinate aspettative (per esempio nel caso in cui fattori macroeconomici
vadano a ledere il valore di investimenti finanziari).
In effetti, i rischi cui una azienda è esposta nel corso della sua attività non possono essere
azzerati, per loro natura le imprese si muovono in un contesto in cui la competizione, i fattori
macroeconomici, i fattori sociali, etc. rendono incerto il percorso delineato dalla strategia
aziendale e sfidante la sua realizzazione: il sistema di controllo interno non può ovviamente
garantire la realizzazione degli obiettivi aziendali a fronte di questa situazione di costante
incertezza, ma porre le basi e i presupposti affinché l’azienda sia potenzialmente in grado di
fare fronte alle situazioni impreviste e, malgrado il verificarsi di queste, giungere al proprio
target di business.
Ovviamente la valutazione del rischio è legata alle capacità strategiche della direzione
aziendale, che in particolare deve essere in grado di identificare correttamente i rischi prima
che si verifichino, possibilmente classificandoli per tipologia e stima di impatto, e disegnando
dei controlli specifici per ciascun rischio, comuni spesso alle categorie di rischio, per poter
efficientemente decidere come comportarsi nel caso in cui il rischio si verifichi in modo da
mitigarlo.
Tradizionalmente il risk management è stato inteso come gestione dei rischi economico-
finanziari cui l’azienda può incorrere: l’identificazione di questi rischi è onere della direzione
generale dell’azienda che deve disegnare e mettere in campo i controlli volti a minimizzare le
possibilità di rischio, ma anche del revisore dei conti che deve stabilire le quantità e qualità di
evidenza necessaria per poter dire con ragionevole certezza che la situazione di rischio
potenziale sta attuandosi in un rischio reale.
Tuttavia è un dato di fatto ormai accettato universalmente che le tipologie di rischio per le
aziende sono più estese del semplice, per quanto fondamentale, ambito economico-
finanziario.
A fronte di quanto specificato in questo e nel precedente paragrafo, possiamo almeno
affiancare agli obiettivi di economicità di una azienda anche quelli di affidabilità delle
informazioni e di conformità alle regole interne ed esterne: ciascuno di questi ambiti
determina una serie di obiettivi che l’azienda si propone di centrare, e per ciascuno di questi
49
ambiti dunque emergono diverse tipologie di rischio che possono interferire col
raggiungimento dei singoli obiettivi.
In particolare, il sistema di controllo interno può contribuire ad abbattere o mitigare
soltanto alcune tipologie di rischio, altre devono necessariamente essere trasferite in quanto
facenti capo a rischi residuali cui la gestione aziendale non può sottrarsi36: per esempio il
rischio economico finanziario non può essere mitigato se non potenzialmente dal sistema di
controllo interno, che deve garantire la possibilità di gestirne il verificarsi del rischio senza
poter garantire sull’esito dell’azione di contrasto, laddove il rischio legato all’attendibilità
delle informazioni o alla conformità nel rispetto delle policy e delle normative sono
nell’ambito di operatività del sistema di controllo interno, una cui corretta implementazione e
un cui efficiente funzionamento consentono di abbatterli e mitigarli.
Un classico e semplice modello di gestione del singolo rischio si basa sull’analisi
impatto/probabilità: si analizza cioè il rischio secondo queste due dimensioni, ottenendo
quattro categorie di rischio determinate dal fatto che l’impatto e/o la probabilità siano
rispettivamente bassi e/o alti.
Impatto alto/
Probabilità bassa
Impatto alto/
Probabilità alta
Impatto basso/
Probabilità bassa
Impatto basso/
Probabilità alta
Ovviamente un rischio ad alto impatto e alta probabilità di verificarsi va tenuto sotto
controllo e bisogna aver preventivamente preparato una strategia per gestirlo, laddove un
rischio con probabilità alta ma basso impatto potrebbe essere comunque accettato, nel senso
che si preferisce subirne la possibile verifica piuttosto che sostenere il costo della sua
mitigazione.
Infatti, nella gestione dei rischi, se da un lato si devono predisporre delle misure di
controllo e protezione, dall’altro queste comportano ovviamente un costo e un onere: non è
possibile metterle in campo sempre e comunque perché vorrebbe dire che il sistema di
gestione dei rischi non è ottimale, così come non sarebbe ottimale se si trascurasse la gestione
36 Cfr. Bava (2004).
50
del rischio in ogni caso: la soluzione è chiaramente un compromesso fra il costo dei sistemi di
controllo e l’impatto del rischio, in modo da individuare un livello ragionevole di controlli
oltre il quale il costo dell’impatto non eccede il costo della messa in campo delle risorse per
mitigarlo.
Da tutto questo segue che il sistema di controllo interno opera in stretta sinergia con il
personale addetto alla gestione dei rischi, e anzi che una salutare osmosi fra i due gruppi
consente una maggiore facilità di intenti e di condivisione delle informazioni.
Il monitoraggio dei rischi deve invece essere una attenzione costante e il flusso di
informazioni e report ad esso relativo deve essere sempre tenuto nella massima efficienza in
modo da poter comunicare tempestivamente le informazioni necessarie alla presa rapida di
decisioni in caso di verifica dei rischi stimati.
In effetti un monitoraggio va inteso come una verifica continua o periodica con cadenze
ben definite dell’efficacia dei controlli e dell’effettiva operatività di essi in modo da poter
assicurare che i controlli operino secondo gli obiettivi preventivati e che siano adeguati a
eventuali evoluzioni della realtà operativa sulla quale vanno calati: operatività ed adeguatezza
dunque devono essere assicurate affinché il sistema di controllo possa svolgere in modo
effettivo la propria mansione.
Lo scambio di informazioni che fa in qualche modo da sfondo a questa operatività relativa
al monitoraggio prevede una eterogeneità di fonti alle quali attingere per poter comporre un
quadro coerente sulla base del quale andare a monitorare in modo efficace il sistema
aziendale: per esempio si possono utilizzare i rapporti dell’Internal Audit, i rapporti di altri
enti di sorveglianza, il feedback del personale interno, il feedback di attori esterni coinvolti a
vario titolo nel processo produttivo (in primis i clienti ovviamente), etc.
La continuità del processo di monitoraggio consente al top management di utilizzare in
modo consapevole e informato i propri strumenti di raccolta delle informazioni a beneficio
del decision making.
Queste osservazioni pongono in rilievo la stretta connessione che esiste fra la funzione di
internal audit e la funzione di controllo interno, che in talune organizzazioni, la cui
complessità è bassa, possono essere collassate su una funzione di qualità dei processi
produttivi in staff al Consiglio di Amministrazione.
51
2.4 I rapporti tra l’internal auditor e i principali attori del sistema di
controllo interno
Stante la descrizione che si è fin qui svolta del sistema di controllo interno nella sua
generalità e, tenuto conto del fatto che le singole declinazioni dei sistemi di controllo interno
possono variare moltissimo in base alla complessità e al dominio di business dell’azienda, è
evidente come questa funzione aziendale si collochi al centro della rete di comunicazioni fra il
Consiglio di Amministrazione e gli organismi preposti al raggiungimento degli obiettivi di
business.
In particolare, nei modelli di governance aziendale moderni, la responsabilità del sistema
di controllo interno viene imputata al Consiglio di Amministrazione che, non solo ne detta le
linee di indirizzo, ma ne valuta anche l’efficacia.
Questo legame37, come abbiamo avuto modo di ricordare nel primo capitolo, viene
esplicitamente sancito sia dal Codice di Autodisciplina della Borsa Italiana, nonché dalle best
practices internazionali in materia di internal auditing, come ad esempio gli standard dell’IIA.
In particolare38, è l’organo di governo aziendale che deve approvare il mandato
dell’internal auditing, nonché la valutazione dei rischi da questo espressa e il piano di audit
necessario per metterla in pratica; inoltre, è allo stesso Consiglio di Amministrazione che
l’internal auditing eroga la reportistica sulla propria attività e in generale sui rilevamenti a
proposito delle attività di altri, spesso in maniera riservata, per esempio “scavalcando” il
management.
Infine, spetta sempre al Consiglio di Amministrazione nominare il preposto all’internal
auditing e definirne la retribuzione.
Tuttavia, rispetto al sistema di controllo interno che stiamo descrivendo in questo capitolo,
queste raccomandazioni possono risultare restrittive: sicuramente, ove costituito, è il Comitato
Controllo e Rischi che svolge in modo più appropriato la funzione di tramite fra il Consiglio
di Amministrazione e l’internal auditing.
In particolare, il Comitato Controllo e Rischi si fa carico di filtrare la reportistica erogata
dall’internal auditing nei confronti del Consiglio di Amministrazione, venendo quindi a
37 Cfr. Dittmeier (2011), pp. 105sgg.
38 Ibidem.
52
svolgere, a livello funzionale, il ruolo che il preposto dell’internal auditing svolge nel più
semplice modello proposto dall’IIA cui abbiamo testé accennato.
Come è stato autorevolmente rilevato39, l’introduzione di questo “filtro” al canale
informativo fra l’internal auditing e il Consiglio di Amministrazione, filtro costituito dal
Comitato Controllo e Rischi, consente una maggiore trasparenza informativa e chiarezza sulle
problematiche riscontrate.
Naturalmente questo apparente paradosso fra le raccomandazioni dell’autorevole istituto
internazionale e il codice della Borsa Italiana nell’interpretazione che stiamo proponendo si
risolve pensando che, di norma, il preposto al controllo interno è anche il responsabile
dell’internal auditing.
Questa figura non ha quindi difficoltà a riconoscere nel Comitato Controllo e Rischi
l’organismo che naturalmente è in grado di valutare le evidenze dell’internal auditing
garantendone l’adeguata rappresentazione al Consiglio di Amministrazione.
D’altra parte, il Codice di Autodisciplina di Borsa Italiana richiede esplicitamente che il
Comitato Controllo e Rischi sia composto da amministratori che non rivestono alcun ruolo
esecutivo, in maggioranza indipendenti: in questo modo si garantisce il principio
dell’indipendenza e autonomia delle attività del comitato stesso.
La funzione di “filtro”, nel senso ingegneristico di canale di comunicazione, fra internal
auditing e Consiglio di Amministrazione svolta dal Comitato Controllo e Rischi è, per così
dire, bidirezionale, nel senso che non solo, come abbiamo detto, il Comitato Controllo e
Rischi veicola informazioni verso il Consiglio di Amministrazione, ma quest’ultimo, a sua
volta, utilizza il comitato per prescrivere all’internal auditing le necessità e gli obiettivi da
raggiungere.
Questa relazione sinergica fra internal auditing e Comitato Controllo e Rischi non deve
ovviamente portare a conflitti di competenze o interferenze reciproche nelle proprie attività; il
responsabile dell’internal auditing e il Comitato Controllo e Rischi devono comunicare in
modo frequente in merito alle informazioni che si scambiano e che devono scambiarsi con il
Consiglio di Amministrazione, e anche in merito alle finalità e alle esigenze dell’attività di
auditing.
39 Ibidem.
53
Chiarezza e trasparenza nelle comunicazioni, e in generale nei rapporti fra queste due
funzioni sono quindi l’unico strumento reale per consentire un corretto flusso di informazioni
e, in ultima analisi, la soddisfazione dei mandati e delle esigenze del Consiglio di
Amministrazione.
Naturalmente in tutto questo il Comitato Controllo e Rischi, come abbiamo ricordato, è
formato da amministratori privi di mandato esecutivo, dunque è un organo interno al
Consiglio di Amministrazione e vive pertanto la realtà strategica aziendale dalla posizione
privilegiata del luogo dove le decisioni che impattano sulle sorti dell’azienda sono prese.
In effetti, nelle organizzazioni a bassa complessità, Consiglio di Amministrazione e
responsabili del Comitato Controllo e Rischi (che può non essere nemmeno costituito in
questi casi) e internal auditing si collassano su poche persone, che invariabilmente sono i
preposti al controllo contabile.
Infatti giova ricordare che, in accordo con quanto sancito dal codice di
autoregolamentazione di Borsa Italiana, il Comitato Controllo e Rischi ha l’onere della
valutazione di una corretta applicazione dei principi contabili e in generale spartisce, con i
revisori, l’onere della vigilanza sull’efficacia del processo di revisione contabile.
2.5 Il modello proposto nel COSO I
Negli Stati Uniti l’esigenza di linee guida per la corporate governance e in particolare per
quanto attiene alla gestione dei rischi è stata una esigenza avvertita in tempi non sospetti: a
metà degli anni ’80, infatti, venne costituito il “Committee of Sponsoring Organizations of the
Treadway Commission”, un comitato costituito da cinque organizzazioni del settore privato
(una delle quali è l’IIA che abbiamo citato nel capitolo precedente), il cui scopo originario
doveva essere di fornire supporto, standard e linee guida per la lotta alle frodi finanziarie
aziendali, in particolare alla falsificazione dei rapporti economici delle aziende, un male che
aveva afflitto l’economia imprenditoriale statunitense nei decenni precedenti, con picchi negli
anni ’70.
Nel corso degli anni, il Comitato ha esteso il proprio ambito di intervento e definito degli
standard de facto non soltanto nel campo della prevenzione alle frodi finanziarie, ma nel risk
management e nella corporate governance nei suoi aspetti più generali.
54
Nel 1987 il comitato mutò nome in “Committee of Sponsoring Organizations”, a cui si
diede l’acronimo COSO40: il suo primo report, ora noto come COSO I, fu pubblicato nel
1992, e riedito nel 1994 con lievi modifiche, divenendo nell’arco degli anni seguenti il
framework di riferimento in materia di sistemi di controllo interni, specie per quanto riguarda
l’assessment e il miglioramento di questi sistemi.
L’ultima versione del framework è stata pubblicata nel 2013, e sebbene nei principi
ispiratori e nelle fondamenta sia sostanzialmente fedele alla teoria elaborata venti anni prima,
offre una versione moderna e flessibile del framework, adatta al tipo di problematiche emerse
negli anni ’2000 a proposito dei sistemi di controllo interno.
Il framework viene oggi denominato “Internal Control Integrated Framework”, ma è più
semplicemente noto come “Report COSO I”, e fu progettato con l’intento di migliorare i
sistemi di controllo interno a partire da una standardizzazione interna di questo concetto.
Ciò che venne riconosciuto in questo report e nel modello che esso propose41, è che la
fonte principale di errori e incongruenze nei sistemi di controllo interno degli anni ’80 era
stata la mancanza di una definizione e di un linguaggio comune, relativo al controllo interno,
fra le differenti funzioni e organismi aziendali.
Il management, il Consiglio di Amministrazione, i dipendenti e gli stessi auditor avevano
obiettivi e quindi misure di controllo distinte a seconda del loro ambito operativo o delle
responsabilità cui erano singolarmente chiamati.
La proposta realmente innovativa, e lo sforzo ingegneristico che la supporta, del COSO I
consistono sostanzialmente nel proporre alle aziende un modello integrato di sistema di
controllo interno, condivisibile fra tutti gli attori coinvolti, centrale e quindi condiviso.
La solidità di questa proposta l’ha resa di fatto lo standard nel settore, dapprima negli Stati
Uniti e poi nel resto del mondo, offrendo un sistema di valutazione dell’efficacia dei sistemi
di controllo interno che consentiva non solo una coerenza interna nella valutazione di questi
sistemi, ma anche il confronto con altre realtà che adottavano lo stesso modello.
Va anche aggiunto che il successo del modello COSO I è stato anche legato alla
promanazione della SOX, che nella sua sezione 404 richiede al management delle aziende
pubbliche di selezionare un framework di controllo interno in modo da utilizzarlo per
40 Per maggiori informazioni cfr. il loro sito: http://www.coso.org/aboutus.htm.
41 Cfr. Dittmeier (2011), pp. 165sgg.
55
l’assessment e la reportistica periodica: la maggior parte delle aziende statunitensi optarono
per il COSO I42.
Il COSO I definisce il controllo interno come un processo, vale a dire come uno strumento
per realizzare un certo fine e non come un valore in se stesso, che viene posto in essere dal
Consiglio di Amministrazione, dal management e da tutto il personale al fine di offrire una
ragionevole garanzia sul raggiungimento di alcuni obiettivi aziendali.
E’ importante porre l’accento sull’aggettivo “ragionevole”, che ovviamente non implica la
certezza del raggiungimento degli obiettivi ma bensì l’aver messo in campo tutte le iniziative
per consentire e promuovere questo raggiungimento, a meno di fattori esogeni e straordinari.
Anche il plurale “obiettivi” va sottolineato: il sistema di controllo interno non viene visto
come orientato a un singolo, o a un generico obiettivo, ma come in grado di supportare il
raggiungimento di diversi obiettivi, ovviamente integrati e non necessariamente mutuamente
esclusivi.
In particolare, questi obiettivi, al cui raggiungimento il controllo interno intende
contribuire, consistono nell’efficacia e nell’efficienza delle procedure operative,
nell’attendibilità dei dati del bilancio aziendale, nella conformità alle regole interne ed esterne
cui l’azienda è sottoposta e nella salvaguardia degli asset aziendali, in primis il patrimonio
aziendale.
Come si vede, abbiamo utilizzato questa definizione nella nostra discussione del sistema
di controllo interno erigendo in qualche modo a sistema il framework proposto, almeno nelle
sue basi, in quanto questi principi sono ormai considerati indiscutibili.
E, in effetti, è stato proprio l’affermarsi del modello COSO I che ha reso consapevole la
comunità imprenditoriale del fatto che il sistema di controllo interno è un ausilio
fondamentale per il raggiungimento degli obiettivi di business di una azienda.
In questo senso, il COSO pone esplicitamente l’accento sulle persone che contribuiscono
con la loro attività all’operatività e alla gestione aziendale: il sistema di controllo interno non
può essere semplicemente ridotto a una serie di regolamenti, standard documentali e
questionari, ma va visto come il prodotto dell’attività delle persone, ai diversi livelli di
organizzazione e ciascuno secondo le sue competenze.
42 Cfr. McNally (2013).
56
2.6 Gli elementi del sistema di controllo interno nel framework COSO
Alle tre dimensioni dell’operations, del reporting e della compliance che costituiscono gli
obiettivi principali dell’azione di controllo del sistema dei controlli interni proposto da
COSO, si sovrappongono le cinque componenti che un tale sistema, secondo il framework,
deve possedere come entità distinte ma integrate, ciascuna delle quali interviene a titolo
diverso nel supportare le tre tipologie di obiettivi ricordate.
Precisamente abbiamo:
1. L’ambiente di controllo, che riguarda l’integrità e i valori etici, la corporate
governance, i ruoli e la responsabilità, le competenze del personale, la filosofia
generale del management e lo stile organizzativo dell’azienda.
2. La valutazione dei rischi, che riguarda la definizione, la comunicazione e il controllo
degli obiettivi di business, nonché l’identificazione, la valutazione, la gestione e il
monitoraggio dei rischi.
3. Le attività di controllo, che riguardano il controllo di gestione, i controlli operativi e
del sistema normativo aziendale, la segregazione dei compiti e dei livelli autorizzativi,
il controllo per mezzo della dotazione IT dell’azienda.
4. L’informazione e la comunicazione, che riguarda la raccolta e la distribuzione delle
informazioni, i sistemi informatici e l’attendibilità dell’informativa finanziare, la
comunicazione delle responsabilità relative al sistema di controllo interno.
5. Le attività di monitoraggio, che riguardano il monitoraggio di linea e indipendente
sull’informativa finanziaria e le attività dell’internal audit.
Solitamente si rappresenta l’incrocio fra queste cinque componenti del sistema e fra gli
obiettivi del sistema stesso in una rappresentazione tridimensionale, il “cubo COSO”.
57
Abbiamo già trattato di questa struttura, sebbene non sia stata esplicitata come facente
parte di questo framework, quando abbiamo descritto come deve essere organizzato un
sistema di controllo interno, nel §2.3: qui ci limitiamo dunque a riassumere alcuni principi,
sanciti esplicitamente dal modello, pertinenti alle cinque componenti elencate che rendono un
sistema compliant con il framework COSO I.
L’ambiente di controllo deve mostrare commitment ai valori etici e di integrità
dell’azienda, deve essere orientato ai principi di responsabilità, istituendo strutture e autorità
che abbiano l’onere di questa responsabilità, mostrare commitment alla competenza e
rafforzare l’accountability: in particolare il Consiglio di Amministrazione deve essere
indipendente dal management ed esercitare l’attività di monitoraggio sullo sviluppo e la
performance del sistema di controllo interno; nel rispetto degli obiettivi il management
istituisce le strutture e il sistema di deleghe e poteri, mentre l’organizzazione persegue la
valorizzazione delle competenze interne e vigila sulle responsabilità degli attori del controllo
interno rispetto al perseguimento degli obiettivi.
La valutazione dei rischi deve specificare in modo chiaro gli obiettivi della sua analisi in
modo da identificare i rischi connessi, per poi analizzarli come punto di partenza nel
determinare la miglior gestione del rischio; particolare attenzione viene posta sul rischio di
frode, come pure nell’identificare e valutare i cambiamenti che potrebbero impattare in modo
significativo sul sistema di controllo interno e richiedere pertanto una nuova valutazione.
58
Le attività di controllo devono essere selezionate e sviluppate in modo da contribuire alla
mitigazione dei rischi di mancato raggiungimento degli obiettivi a un livello il più possibile
accettabile; inoltre l’organizzazione deve selezionare e sviluppare le attività di controllo anche
sulla tecnologia a supporto del raggiungimento degli obiettivi, deve descrivere queste attività
all’interno delle policy che stabiliscono i risultati attesi, e nelle procedure che sviluppano tali
policy.
L’informazione e la comunicazione devono riguardare le informazioni rilevanti e di
qualità a supporto della corretta operatività delle altre componenti del sistema di controllo
interno: da un lato l’organizzazione deve disporre di un processo di comunicazione interna,
che include gli obiettivi e le responsabilità dei controlli interni, fondamentale per supportare il
funzionamento delle altre componenti del sistema di controllo interno, dall’altro lato
l’organizzazione deve essere pronta a comunicare in modo corretto verso l’esterno i fatti
rilevanti che hanno impatto sulle altre componenti del sistema di controllo interno.
Il monitoraggio deve essere condotto in modalità continuativa, ovvero per valutazioni
specifiche volte a verificare la presenza e il funzionamento delle componenti del sistema di
controllo interno; inoltre, l’organizzazione valuta e comunica i deficit del sistema di controllo
interno in modo tempestivo alle figure che sono accountant per la messa in campo di azioni
correttive, incluso, se necessario, il top management e il Consiglio di Amministrazione.
Nella versione più recente del modello, quella del 2013, la categoria del reporting viene
esplicitamente intesa nella sua accezione più generale, che travalica i confini del report di
bilancio e della situazione economico-finanziaria dell’azienda.
Inoltre, in questa versione, si menziona esplicitamente il coinvolgimento del Consiglio di
Amministrazione, la definizione degli obiettivi, l’identificazione e la valutazione dei
cambiamenti, l’integrazione con il risk management e in generale con la governance
aziendale.
Al Consiglio di Amministrazione spetta una “oversight responsibility”, al CEO e al top
management è in carico la diretta responsabilità nello sviluppo e nell’implementazione del
sistema di controllo interno.
A questo proposito vale la pena di ricordare come le “tre linee di controllo” esplicitamente
proposte dal COSO I sono organizzate:
59
Il management e il personale rappresentano la “prima linea” di controllo nelle attività
day-to-day, in quanto devono implementare in maniera continuativa la gestione dei
rischi cui l’azienda è esposta nella propria operatività.
La “seconda linea” è data dalle funzioni a supporto del business, che svolgono il
compito guida sui requisiti di controllo interno e valutano il rispetto degli standard
definiti: a titolo di esempio possiamo citare il risk management, le risorse umane,
l’area finanza, l’area legale, etc.
La terza linea è quella dell’audit, sia interno che esterno, in quanto raccomanda, in
piena autonomia e indipendenza dalle funzioni operative, al management le azioni
correttive e i miglioramenti.
La definizione degli obiettivi è una condizione preliminare alla realizzazione del sistema
di controllo interno, e rappresenta una parte fondamentale del processo di pianificazione
strategica: il management ha l’onere di definire gli obiettivi in modo da consentire
l’identificazione e la valutazione dei principali rischi che possono influenzarne il
raggiungimento.
In particolare vanno definite, strategicamente, la risk tolerance, cioè il livello di tolleranza
nel mancato raggiungimento degli obiettivi, che è il presupposto per la determinazione delle
risposte al rischio e delle relative attività di controllo, e il risk appetite, cioè l’ammontare
complessivo di rischio che la società intende assumere per realizzare la propria mission.
Oltre a questo è necessario identificare e valutare i cambiamenti, che possono essere
classificati in vario modo: per esempio i cambiamenti nel contesto nel quale l’azienda opera, e
che possono originare da mutamenti nella regolamentazione o nel contesto competitivo del
mercato di riferimento dell’azienda, i cambiamenti legati a cause esogene come eventi
naturali che impattano sulle materie prime, i fornitori, etc., i cambiamenti del modello di
business, legati all’apertura di nuove linee di mercato, all’insourcing/outsourcing di processi, i
cambiamenti legati all’internazionalizzazione dell’azienda e all’apertura a nuovi mercati
esteri, i cambiamenti tecnologici che impattano sugli asset e sulle modalità operative
aziendali, i cambiamenti nell’assetto manageriale e organizzativo dell’azienda.
Il sistema di controllo interno deve periodicamente essere rivisto per comprendere se è
ancora adeguato a fronteggiare in modo tempestivo a questi cambiamenti, o se necessita
modifiche per poter più efficientemente fare fronte a tutto questo.
60
Il modello COSO I stabilisce inoltre le “linee di confine” fra il sistema di controllo interno
e i suoi gestori e le altre funzioni aziendali che intervengono nelle tematiche di controllo e
auditing: per esempio pone esplicitamente l’accento sul fatto che le attività di controllo
supportano in modo particolarmente significativo il risk assessment, mentre svolgono un
ruolo meno importante laddove la strategia aziendale preveda di evitare o accettare un rischio
specifico, a differenza del caso in cui si scelga di ridurre il rischio o anche di condividerlo.
Analogamente, si pone l’accento sul fatto che non tutte le decisioni del management
devono necessariamente passare per il controllo interno: a titolo di esempio possiamo citare le
decisioni strategiche che hanno un impatto sugli obiettivi di business, e quindi sul target che il
sistema di controllo interno ha il compito di verificare sia raggiunto dalle funzioni aziendali
operative; infatti queste decisioni producono un output che il sistema di controllo interno
utilizza senza nessuna possibilità o necessità di indagare su di esso ma assumendolo come un
mero dato della sua attività, soggetto a modifiche.
Anche la definizione della tolleranza al rischio e del risk appetite fa parte del processo di
pianificazione strategica che non vede in alcun modo coinvolta la funzione di controllo se non
nel prendere atto dell’output di questo processo decisionale, e lo stesso discorso vale per la
strategia di gestione dei rischi.
Da quanto appena esposto si comprende come il sistema di controllo interno secondo il
framework proposto da COSO I veda l’intervento di diversi attori, con diversi ruoli, secondo
uno schema che possiamo riassumere per punti come segue, tenendo conto anche delle
prescrizioni del Codice di Autodisciplina di Borsa Italiana:
Il Consiglio di Amministrazione ha, come si è detto, un ruolo centrale in quanto
indirizza le attività del sistema di controllo interno e fruisce della sua reportistica.
Un amministratore incaricato dal Consiglio di Amministrazione indirizza e valuta
l’adeguatezza e l’efficacia del sistema di controllo interno e del risk management.
Il comitato di controllo e rischi supporta il Consiglio di Amministrazione con
istruttorie e valutazioni sul sistema di controllo interno.
Altre funzioni aziendali, con diversi compiti specifici che impattano sul controllo dei
rischi, pure partecipano operativamente assolvendo a specifici compiti in tema di
controllo dei rischi, ovviamente in un modo che dipende dalla complessità, dalle
dimensioni e dal profilo di rischio dell’azienda.
Il collegio sindacale vigila, in modo indipendente dalle emanazioni del Consiglio di
Amministrazione, sull’efficacia del sistema di controllo interno.
61
L’internal audit verifica, in modo autonomo dalle funzioni operative, il
funzionamento e l’adeguatezza del sistema di controllo interno.
Le ultime due funzioni sono di vigilanza, laddove le prime sono di gestione: la complessità e
ricchezza di questo modello possono essere rappresentate nella figura seguente:
2.7 I limiti del framework COSO I
Il modello presentato nel report COSO I, che abbiamo descritto fin qui e la cui adozione
da parte di FCA fino al 2013 è stata discussa nel paragrafo precedente, ha subito, come
accennato, diverse modifiche nel corso della sua storia ma anche delle evoluzioni per riflettere
nuove esigenze legate non soltanto alle innovazioni legislative ma anche a quelle tecnologiche
e manageriali.
Questo non significa che il report COSO I sia da considerarsi superato, in quanto
costituisce un framework che si focalizza sul sistema di controllo interno, laddove le sue
generalizzazioni ed estensioni, come l’ERM e COSO III, che discuteremo nel prosieguo di
62
questo capitolo, abbracciano una più ampia prospettiva o si focalizzano su aspetti più
specifici43.
Tuttavia, prima di procedere nell’analisi dei modelli più recenti e della loro adozione da
parte di FCA, non pare inopportuno segnalare alcune delle limitazioni del framework COSO I
che hanno condotto all’elaborazione di altri modelli.
Per prima cosa va rilevato come l’accento sia posto, nel report COSO I, sulla reportistica
economico-finanziaria, precisamente sul controllo dell’affidabilità di quest’ultima come target
principale del framework, e in particolare sull’affidabilità delle informazioni riportate verso
l’esterno: questo limite è quindi duplice, da un lato per quel che concerne il contenuto,
dall’altro per quel che concerne i destinatari della reportistica la cui affidabilità viene
sottoposta a controlli.
Non esiste poi una categorizzazione degli obiettivi di business al di là del dato economico
finanziario legato ai margini e alla redditività, che costituisce indubbiamente una misura
oggettiva ma che rappresenta un dato di sintesi che potrebbe far trascurare altre dimensioni
della strategia aziendale che pure necessitano un controllo, in particolare per quel che riguarda
la gestione aziendale.
Una caratteristica del COSO I, sulla quale ci siamo soffermati, è la predisposizione di un
“ambiente di controllo” come fondamento strumentale dell’azione del sistema di controllo
interno: questa vera e propria piattaforma del sistema secondo il framework COSO I rende
quest’ultimo organizzato in maniera “piramidale”, dove alla base troviamo proprio l’ambiente
di controllo e, via via a salire, la valutazione del rischio, le attività di controllo e, al vertice
della piramide, il monitoraggio44.
Questa caratteristica può essere vista come un limite se si considera che, in organizzazioni
grandi e complesse, questo ambiente di controllo può non avere la pervasività e l’importanza
necessaria per il compito cui è chiamato, in quanto l’ambiente interno dell’azienda può
prevedere strutture ulteriori che potrebbero essere coinvolte nell’attività di controllo interno.
Anche in tema di valutazione dei rischi il modello utilizza una nozione ormai messa in
discussione, specie negli ambienti di project management, di rischio, vale a dire il concetto di
evento con risvolti negativi per l’attività operativa che potrebbe verificarsi o meno: si tralascia
quindi di considerare le opportunità, cioè i rischi che possono avere conseguenze positive per
43 Cfr. Dittmeier (2011), p. 167.
44 Ibidem.
63
l’organizzazione, e quindi come controllare se siano state messe in opera le misure atte a
sfruttare queste opportunità nel caso in cui si presentino.
Per quel che riguarda le informazioni, va poi notato che COSO I non fa menzione dei dati
previsionali, che invece negli ultimi anni si sono affermati come fondamentali per la strategia
aziendale, anche a fronte di nuovi strumenti automatici di previsione che sono ormai sempre
più precisi.
Infine, è stato anche messo in rilievo45 che la complessità del modello, dovuta alle molte
combinazioni fra le sue componenti che possono essere prodotte per ciascun tipo di
organizzazione, e che quindi implicano uno studio e delle scelte precise in fase di analisi
preliminare prima dell’adozione del modello, rendono di difficile implementazione il COSO I
se non in aree limitate e circoscritte della realtà aziendale.
2.8 Adozione dei framework COSO da parte di Fiat Group
La società Fiat nel maggio del 1999 si è dotata di un sistema di controllo interno, basato
sul modello COSO I che abbiamo discusso.
Il Consiglio di Amministrazione si è fatto promotore del consolidamento del comitato di
controllo interno prevalentemente tramite la diffusione di documentazione sulle policy di
controllo interne e sulle relative procedure.
Nel 2012, a seguito delle modifiche al Corporate Governance Code (introdotte nel
dicembre del 2011), il Consiglio di Amministrazione ha cambiato il nome del comitato da
“Internal Control Committee” a “Internal Control and Risk Committee”, ed ampliato e
ridefinito il suo ruolo e le sue responsabilità.
Questo comitato per il controllo interno e rischi è formato completamente da
amministratori indipendenti e il suo ruolo è di supportare la valutazione e il processo di
decision-making del Consiglio di Amministrazione, offrendo consigli e formulando proposte
a proposito del sistema di controllo interno e di risk management, oltre che in merito alla
reportistica finanziaria che periodicamente deve essere erogata.
Sul Comitato gravano in particolare le seguenti responsabilità:
45 Cfr. Shaw (2006).
64
Supportare il Consiglio di Amministrazione nella definizione e nell’aggiornamento
delle linee guida per il sistema di controllo interno;
Valutare la corretta applicazione dei principi di responsabilità adottati e la congruità
con i principi applicati per la formulazione della reportistica finanziaria: ovviamente in
questo il Comitato trova la collaborazione dei manager responsabili dei report
finanziari del gruppo, degli auditor indipendenti e del collegio sindacale;
Formulare raccomandazioni su aspetti specifici relativi all’identificazione, alla
misurazione, alla gestione e al monitoraggio dei principali corporate risk, oltre alla
definizione della natura dei rischi che impattano sugli obiettivi strategici dell’azienda,
e alla definizione delle soglie di tolleranza nei confronti di questi rischi;
Revisionare i report periodici che offrono una valutazione del sistema di controllo
interno e di risk management, oltre che ulteriori report di particolare rilevanza ai fini
dell’internal audit;
Monitorare l’indipendenza, l’adeguatezza, l’efficacia e l’efficienza dell’Internal Audit,
con particolare riguardo al D. Lgsl. 231/2001 relativo alla responsabilità
amministrativa;
Revisionare, in sinergia con il Collegio Sindacale, le risultanze prodotte dagli auditor
indipendenti nei loro report o nelle loro raccomandazioni;
Riportare al Consiglio di Amministrazione, almeno con cadenza semestrale (in
occasione dell’approvazione del rapporto finanziario annuale e semestrale), le attività
svolte, e lo stato di adeguatezza del sistema di controllo interno e di risk management;
Revisionare, con il supporto dell’internal audit, le risultanze di whistleblowing
ricevute con lo scopo di monitorare l’adeguatezza del sistema di controllo interno e di
risk management;
Revisionare il piano delle attività preparato dal capo dell’Internal Audit.
Il comitato ha facoltà di chiedere all’internal audit di concentrarsi su specifiche aree
operative, e al tempo stesso di informare il chairman del collegio sindacale che queste
richieste sono state fatte.
Inoltre, il comitato ha la possibilità, ove necessario, di accedere alle informazioni della
società e delle sue singole funzioni in modo da poter procedere con le proprie attività, così
come di utilizzare consulenti esterni, in accordo con quanto stabilito a questo proposito dal
Consiglio di Amministrazione: ovviamente l’azienda mette a disposizione del comitato le
65
adeguate risorse finanziarie per poter svolgere il proprio ruolo, sempre nei confini tracciati dal
Consiglio di Amministrazione.
Il capo dell’Internal Audit rende disponibile al comitato, su richiesta, personale
specializzato e anche consulenti indipendenti selezionati dal comitato per poterlo supportare
nelle proprie attività.
Al comitato è anche assegnata la responsabilità delle transazioni con le parti coinvolte,
eccetto quanto queste si riferiscano a compensazioni.
Le riunioni del comitato sono richieste dal chairman del comitato stesso ogni qualvolta
egli lo ritenga appropriato, e in ogni caso almeno ogni sei mesi: il chairman del Collegio
Sindacale, o anche altri membri di quest’ultimo (di prassi l’intero Collegio Sindacale),
possono partecipare alle riunioni in relazione a tematiche specifiche all’ordine del giorno,
come pure altri esperti se richiesto, compresi dirigenti che non sono membri del comitato,
oppure altri dipendenti della compagnia.
Nel 2012, parallelamente all’istituzione del comitato di controllo interno e risk
management, il Consiglio di Amministrazione ha anche approvato proprie linee guida per il
controllo interno e il risk management, che costituiscono una revisione delle procedure già in
essere dal 1999 e modificate nel 2003, inclusa l’adozione delle modifiche introdotte dal
Corporate Governance Code nel 2011.
Il modello di riferimento è rimasto il framework COSO e i principi fondanti quelli del
Corporate Governance Code: il sistema è integrato nel framework di corporate governance e
organizzazione dell’azienda.
Il sistema che è stato sviluppato, sulla base delle best practice internazionali, consta di tre
livelli di controllo, in completa coerenza con quanto abbiamo esposto in generale nel §2.6:
Livello 1: le aree operative, che identificano e valutano i rischi, stabilendo anche
azioni specifiche per la gestione di questi rischi;
Livello 2: i dipartimenti responsabili del controllo dei rischi, che definiscono le
metodologie e gli strumenti per gestire e monitorare i rischi;
Livello 3: l’internal audit, che conduce valutazioni indipendenti sul sistema nella sua
interezza, e il cui capo riveste anche il ruolo di compliance officer secondo quanto
richiesto dall’art. 150 del D.Lgs. 58/1998.
Le linee guida del sistema di controllo interno e risk management offrono una descrizione
dettagliata degli oneri e delle responsabilità dei principali individui ed enti coinvolti, e
66
stabiliscono le procedure per il loro coordinamento, in modo da assicurare l’efficacia e
l’efficienza del sistema, e in modo da ridurre potenziali duplicazioni delle attività.
In linea con le guidelines di Fiat S.p.a. e per rafforzare ulteriormente il sistema di
controllo interno in modo coerente con la struttura di governance esistente in Chrysler, nel
2013 ogni unità territoriale o settoriale ha dovuto dotarsi del suo comitato di controllo interno
(ICC: Internal Control Committee), responsabile dell’esame e dell’approvazione delle policy
e delle procedure di controllo interno, così come di monitorare e verificare ogni aspetto del
sistema di controllo interno.
Per quanto riguarda il delicato e fondamentale tema del controllo interno sulla reportistica
finanziaria, il comitato è responsabile della supervisione di queste attività e dell’assicurazione
della corretta esecuzione dei processi di erogazione di questa reportistica, approvando
decisioni chiave e prontamente informando il CEO (Chief Executive Officer) del gruppo; per
quanto riguarda le altre tipologie di reportistica, il comitato è responsabile di revisionare gli
output dell’internal audit di Fiat, monitorando e assicurando la pianificazione e
l’implementazione delle eventuali misure correttive, così come delle linee guida, delle
procedure e dei regolamenti del sistema di controllo interno.
Per identificare e gestire i principali rischi, il Gruppo Fiat ha adottato, a partire dal 2005,
una estensione del modello COSO, l’Enterprise Risk Management, che è soggetto a revisioni
continue sulla base delle esperienze acquisite e miglioramenti ove necessario sulla base di
benchmark e best practice anche in rapporto alle analoghe attività svolte presso altri gruppi
industriali.
Prima di descrivere la declinazione specifica che in FCA ha assunto questo framework,
dobbiamo ovviamente descriverlo in generale, e confrontarlo con il COSO I per comprendere
quali siano i punti di contatto e quali le differenze.
2.9 Enterprise Risk Management
Agli inizi degli anni ’2000, il Committee of Sponsoring Organizations ha avviato una
riflessione relativa all’applicabilità e all’attualità del modello COSO I del 1992 sulla base di
considerazioni analoghe a quelle svolte nel paragrafo precedente, e avendo riconosciuto che il
tema dei rischi aziendali e della corporate governance si era nel frattempo ampliato e
complicato: il primo frutto di questi ripensamenti teorici è stato un nuovo modello, il COSO II
più comunemente noto come ERM (Enterprise Risk Management).
67
L’idea di base dell’ERM è di fornire non soltanto un framework per la gestione dei rischi
aziendali, ma uno standard, anche terminologico, e un insieme coerente di linee guida che le
aziende possono adottare e cui possono fare riferimento nel disegnare il loro sistema di
gestione (non semplice analisi) dei rischi.
Il modello proposto dall’ERM estende di molto il framework del report COSO I in quanto
non offre soltanto una base per il sistema di controlli interno, ma in generale per la corporate
governance aziendale, con un forte accento sulla misurazione delle performance.
Dal punto di vista dell’analisi e della gestione del rischio, l’ERM offre un modello più
preciso e rigoroso del precedente, consentendo in sede di analisi e pianificazione di
considerare come variabili la propensione al rischio e il grado di accettabilità del rischio da
parte del management con la conseguente messa in opera di meccanismi di gestione dei rischi
cui l’azienda può essere esposta nel perseguimento dei suoi obiettivi di business.
In particolare il concetto di rischio viene inteso come rischio/opportunità, e si considerano
quattro possibili strategie per selezionare la risposta al rischio ritenuta più opportuna: evitare
il rischio, ridurre il rischio, condividere il rischio o accettarlo.
Più in generale, giova ricordare che la definizione di Enterprise Risk Management viene
fornita dal framework stesso46: la gestione del rischio aziendale viene intesa come un
processo
posto in essere dal Consiglio di Amministrazione, dai manager e da altri dipendenti
dell’azienda;
utilizzato per la formulazione delle strategie in tutta l’organizzazione aziendale;
progettato per individuare eventi potenziali che possono influire sull’attività aziendale,
per gestire il rischio entro i limiti di “risk tolerance” fissati e per fornire una
ragionevole sicurezza sul raggiungimento degli obiettivi aziendali.
In questo senso ampio del termine, l’ERM è un processo continuo che coinvolge l’intera
organizzazione aziendale, integrato nel sistema di management e che centralizza l’analisi e la
gestione del rischio, in modo da evitare duplicazioni o applicazioni parziali dei principi di
project management.
Inoltre è chiaro dalla definizione l’accento posto sulle persone che implementano il
processo: non si tratta di una procedura statica e scritta in documenti o policy, ma di un
46 Cfr. Dittmeier (2011), p. 145.
68
insieme di attività svolte dal personale dell’azienda, nelle loro diverse mansioni e sulla base
delle loro competenze e responsabilità.
Quest’ultimo, quello dell’accountability, è uno dei temi chiave di tutto il framework
ERM, quello che usualmente si chiama “principio di responsabilità”: ovviamente ci sono
diversi modi di declinare questo concetto nella realtà aziendale, ma la filosofia del framework
sostanzialmente implica che non basta aver definito un organigramma e un piano di
comunicazione per garantire l’accountability necessaria a una corretta gestione del rischio.
Ciò non stupisce in quanto uno dei concetti chiave dell’ERM è il “risk appetite”, la
propensione al rischio, quanto cioè consapevolmente l’organizzazione (o meglio gli
accountant per questa attività) accetta del rischio insito in una certa scelta, decisione o attività:
a seconda della misura di questo parametro, una stessa decisione strategica potrebbe essere
interpretata come ragionevole o come azzardata, in quanto non va più misurata in assoluto ma
commisurata piuttosto al contesto di consapevolezza dei rischi che è stato analizzato e fissato
in seno al sistema di gestione dei rischi.
L’obiettivo dichiarato del framework ERM è di fornire la ragionevole certezza nel
raggiungimento degli obiettivi prefissati, laddove questi obiettivi sono suddivisi in quattro
categorie ben definite:
obiettivi strategici, che riguardano l’orientamento più fondamentale nelle attività a
medio e lungo termine dell’azienda, e che sono di natura generale e fissati dal top
management;
obiettivi operativi, che concernono l’utilizzo efficiente delle risorse aziendali per
conseguire l’efficacia nelle attività loro assegnate;
obiettivi di reporting, che riguardano l’affidabilità delle informazioni erogate sia
all’interno che all’esterno in report di sintesi sulle varie attività aziendali e sullo stato
economico-finanziario dell’impresa;
obiettivi di conformità, relativi sia alle normative interne e di autoregolamentazione
dell’azienda che alle norme esterne, di vario tipo, che implicano la necessità di una
compliancy.
Questi obiettivi sono distinti ma possono essere parzialmente sovrapposti, specie nelle
organizzazioni meno complesse.
Per conseguire questi obiettivi, il modello ERM prevede otto componenti interconnesse
integrate con i processi operativi aziendali: di nuovo, dunque, il modello che graficamente
69
può rappresentare il framework è un cubo nel quale le dimensioni degli obiettivi e le
dimensioni dei processi si combinano nei vari modi possibili:
Come si vede, le componenti dei processi sono simili a quelle del modello COSO I, nel
senso che comprendono quelle di quest’ultimo come casi particolari: si noterà infatti che
vengono qui aggiunte la definizione degli obiettivi, l’identificazione di eventi e la risposta al
rischio, che qualificano e precisano le novità del modello ERM rispetto al report COSO I.
Si noti anche che all’ambiente di controllo interno si sostituisce in generale l’ambiente
interno aziendale: possiamo descrivere l’interazione fra queste componenti identificando
raggruppandole in tre categorie.
Per prima cosa notiamo che la definizione degli obiettivi è in qualche modo una attività
preliminare a tutte le altre e che viene retroattivamente alimentata dalle evidenze della
gestione del rischio.
Gli obiettivi si possono considerare essenzialmente di due tipi, per quanto riguarda le
finalità del modello ERM: obiettivi di business, in primis la massimizzazione dei ricavi e
della qualità dei servizi o prodotti offerti, il contenimento dei costi, etc. e obiettivi di
governance, come per esempio l’affidabilità delle informazioni finanziarie e operative, la
salvaguardia del patrimonio aziendale, il rispetto delle normative, etc.
70
Questa differenziazione degli obiettivi consente di precisarli, circoscriverli e quindi
renderli più chiari e facilmente comunicabili, nonché semplificare il processo di verifica del
loro effettivo raggiungimento: una comunicazione trasparente e formale di questi obiettivi è
fra l’altro molto utile per saggiarne la coerenza e congruità ed eventualmente procedere a un
rework dell’attività strategica legata alla loro definizione.
La gestione del rischio è la categoria che raggruppa l’identificazione degli eventi, il risk
assessment e la risposta al rischio, elementi collegati fra loro e che, collettivamente, sono in
sinergia con il sistema di controllo del processo di risk management, nel quale possiamo
collocare l’ambiente di controllo, le attività di controllo, l’informazione e la comunicazione e
il monitoraggio.
A proposito dell’identificazione degli eventi, un elemento di novità dell’ERM rispetto al
framework del COSO I, si allude ovviamente agli eventi, sia interni che esterni, che possono
influire sul raggiungimento degli obiettivi aziendali e che possono essere classificati in
opportunità, se l’impatto è positivo, o rischi, se l’impatto è negativo: ovviamente, i secondi
devono essere analizzati e va messo in campo un piano per la loro gestione.
L’accento posto dal framework ERM è di utilizzare delle procedure standardizzate, che
possono essere anche strumenti aziendali, per trattare la gestione del rischio, in modo da poter
tracciare le attività e ricostruire le scelte effettuate.
Il risk assessment e la risposta al rischio sono poste dal modello in questa prospettiva, e
vengono sempre contestualizzata alla realtà strategica aziendale, commisurandole in
particolare alla tolleranza e alla propensione al rischio, che possono mutare a seconda delle
diverse fasi nel ciclo di vita di una azienda: per esempio una azienda in fase di
consolidamento potrebbe avere una propensione al rischio molto minore di quanto non ha
nella fase di espansione, etc.
In particolare la valutazione del rischio viene sempre scomposta secondo le due
dimensioni del rischio inerente, cioè quello che si verifica se non si mette in atto nessun
intervento, e del rischio residuale, cioè quello che si verifica dopo aver messo in campo
l’intervento di gestione del rischio.
La gestione del rischio viene intesa, secondo il framework ERM, come la selezione di una
fra quattro possibili azioni di risposta al verificarsi di un evento di rischio:
71
Accettare il rischio: il rischio inerente viene considerato entro i limiti di tolleranza del
risk appetite definito dall’azienda, e quindi che in qualche senso si era messo in conto
di subirlo;
Ridurre il rischio: il sistema di controllo interno viene utilizzato per cercare di portare
i rischi entro la soglia di tolleranza del risk appetite;
Evitare il rischio: in questo caso di pone in essere una azione preventiva per annullare
il rischio subendo un costo, per esempio stipulando una assicurazione contro un
rischio fisico o comprando uno strumento finanziario per trasferire un rischio
finanziario, operazioni che comportano ovviamente un investimento;
Condividere il rischio: più drastica della precedente, questa soluzione comporta
l’intervento di terzi nella partecipazione alla mitigazione del rischio, per esempio
alienano in outsourcing alcune risorse o attività.
Il sistema di controllo interno riceve il suo “input” dal processo di gestione dei rischi, in
modalità ciclica e sulla base delle eventuali modifiche agli obiettivi aziendali, e consta
sostanzialmente degli stessi elementi del sistema di controllo del processo di risk management
che vengono applicati per evitare o ridurre i rischi la cui analisi è stata svolta nel processo di
gestione dei rischi.
La componente sistemica del controllo interno viene intesa, secondo il framework ERM,
come un ambiente interno, che comprende l’ambiente di controllo, ma che è un ambiente
organizzativo di più ampio respiro il cui scopo è diffondere e far implementare la cultura
aziendale di gestione del rischio a tutti i livelli.
I capisaldi dell’ambiente interno sono lo sviluppo e il consolidamento della capacità, della
responsabilità e dell’impegno delle risorse coinvolte in queste attività: queste caratteristiche si
ottengono con la formazione e la comunicazione, per essere certi che le risorse siano in grado
di svolgere i compiti cui sono chiamate, con una corretta allocazione dei compiti per chiarire
in modo inequivoco le responsabilità delle risorse, e con strumenti di motivazione e incentivo
per garantire un costante impegno agli obiettivi.
Gli altri aspetti del sistema di controllo interno sono analoghi, benché più precisamente
formulati, a quelli del modello COSO I, e riguardano le attività di controllo, il flusso di
informazioni e il monitoraggio, sui quali abbiamo avuto già modo di diffonderci.
72
Tutte queste attività e sinergie non sono svolte in qualche ordine particolare ma si
configurano come linee di attività interattive e multitasking, nelle quali ciascuna può influire
sull’altra.
2.10 Adozione dell’ERM in FCA
L’adozione da parte di FCA (nella sua componente Fiat) del modello ERM risale al 2004,
cioè all’anno della pubblicazione del modello da parte del Committee of Sponsoring
Organizations47.
L’obiettivo dell’allora gruppo Fiat Group era di “fornire una maggiore trasparenza e
disclosure dei rischi di business e di adeguarsi alle direttive regolamentari sull’adozione di
appropriati modelli di governance” 48.
Il modello ERM, ovviamente adattato con un opportuno e non banale tailoring alle
esigenze del gruppo, è stato poi aggiornato nel 2010, per fare tesoro delle learned lesson
acquisite con i primi anni del suo utilizzo, e per includere ulteriori best practices emerse dal
raffronto con altri gruppi industriali, di pari e paragonabile complessità e mercati, che pure si
erano ovviamente dotati di strumenti simili.
Una particolare attenzione è stata posta ai “risk driver”, in particolare alle categorie di
rischio identificate che furono sottoposte a una riformulazione per rispondere in modo
migliore alle nuove sfide e per sottolineare parametri esogeni sempre più importanti in
relazione all’attività del gruppo: per esempio parametri macroeconomici, ambientali, etc.
Questa metodologia di analisi dei rischi, che utilizza i risk drivers, può essere
sinteticamente riassunta come segue: i singoli rischi vengono caratterizzati dalla probabilità
del loro accadimento, da un fattore di impatto e dai costi che derivano dal loro impatto, se
questo accade.
Per implementare questo metodo si raccoglie una lista completa dei possibili rischi
caratterizzati dai parametri appena esposti, si suddividono questi rischi in categorie (clusters)
relative a una stessa “linea di prodotto” e si svolgono simulazioni per verificare il costo del
rischio complessivo e, eliminandoli dalla simulazione, i costi dei singoli rischi, in modo da
offrire un ranking per la criticità dei singoli rischi basata su una stima quantitativa.
47 Cfr. FCA (2014e).
48 Cfr. FCA (2014e), p. 75.
73
Nel caso di FCA, durante l’assessment del 2010 furono individuati circa 50 risk drivers,
che offrivano una categorizzazione di circa 85 eventi di rischio potenziale.
Sulla base di un progetto pilota condotto nel 2013, il modello ERM adottato da FCA fu
rivisto in modo da rendere l’analisi dei rischi potenziali:
dinamica, tramite una valutazione periodica dei rischi principali seguita da un follow-
up e monitoraggio delle azioni di mitigazione messe in campo o semplicemente
definite per la riduzione del rischio;
predittiva, tramite un risk assessment svolto in prospettiva utilizzando le informazioni
correntemente disponibili;
multi-area, tramite un risk assessment e un coinvolgimento diretto delle unità di
business.
Per poter implementare questo nuovo schema, il coordinatore dell’ERM delle diverse
funzioni Finanza furono dislocati nelle diverse aree regionali e nei diversi settori produttivi,
con l’esplicita responsabilità di preparare, coordinare e gestire incontri trasversali alle diverse
aree di business, ovviamente coinvolgendo i dirigenti di questi segmenti operativi, con
l’obiettivo di identificare, valutare e condividere potenziali rischi e la formulazione dei piani
di gestione di questi rischi.
Questo processo viene quindi orientato in modo da far emergere “dal basso” la
conoscenza condivisa sulla gestione del rischio, piuttosto che imporla dall’alto, proprio
perché a seconda dei diversi settori produttivi le esigenze di gestione e i parametri ad esse
legate (per esempio la propensione al rischio) sono variabili.
A supporto di questa attività è stata prevista una infrastruttura informatica che espone una
business intelligence per la reportistica e l’analisi degli indicatori implementati, disponibile
per ciascuna compagnia del gruppo e per ciascuna area regionale di presenza di aziende del
gruppo.
I CEO e CFO delle aziende del gruppo, e i COO delle aree regionali hanno l’onere, in
linea con lo spirito e la lettera del framework ERM, di approvare questi report.
Il CFO del gruppo è responsabile per il coordinamento e il consolidamento di questi report
nel Group Risk Report, che è annualmente sottoposto al comitato di Audit il cui compito è di
supportare il Consiglio di Amministrazione nella verifica della efficacia e conformità del
sistema di controllo interno.
74
In particolare, un assessment svolto dopo il 2010 ha rivelato diversi rischi riconducibili al
fattore esogeno del cambiamento climatico, sia dal punto di vista legislativo, per la
compliance a leggi e regolamenti nei diversi paesi che sono estremamente eterogenei dal
punto di vista della sostenibilità ambientale e delle tematiche ecologiche; sia dal punto di vista
della “reputation” aziendale, in quanto una scarsa attenzione alla sostenibilità ambientale ed
ecologica può offrire una pubblicità negativa alle aziende che non dimostrino (nei paesi
particolarmente sensibili a queste tematiche) l’attenzione che da esse il Gruppo si aspetta; sia
dal punto di vista dell’incremento nei consumi, dato che in quanto molti consumatori nei
paesi occidentali sono attenti alle tematiche ecologiche e alla sostenibilità dei prodotti che
acquistano.
L’atteggiamento di FCA rispetto a queste categorie di rischio è sempre stato quello di
gestirle con gli strumenti più appropriati, in particolare orientando la propria ricerca e i propri
investimenti verso prodotti con un sempre minor impatto ambientale, per esempio
promuovendo linee di autoveicoli a basse emissioni, ma anche incrementando la sensibilità
dei propri commerciali a veicolare il messaggio di sostenibilità ambientale dei prodotti FCS.
Alcuni rischi sono invece monitorati da enti che dispongono di competenze tecniche
specifiche. Un esempio potrebbe essere quello legato al potenziale impatto delle attività
industriali di FCA sul clima e sull’ambiente, rischio che viene monitorato e gestito da una
funzione di EHS (Environment, Health and Safety) presente in ciascuna azienda del gruppo.
I singoli manager degli impianti sono responsabili per gli aspetti operativi, e la loro
attività viene coordinata dall’EHS del Gruppo, e le differenti funzioni di risk management
presenti nelle aziende del gruppo hanno anche l’onere di provvedere a una azione di
condivisione dei rischi, se opportuna, per esempio tramite la stipula di assicurazioni.
Il ruolo dei risk manager nelle diverse realtà aziendali e territoriali di FCA è fondamentale
in quanto questi giocano un ruolo centrale nel gestire gli eventi che potrebbero
potenzialmente impattare sulla continuità operativa o sull’integrità degli asset fisici degli
impianti del gruppo.
La gestione dei rischi in FCA si basa fondamentalmente su quattro principi:
1. Prevenire gli eventi potenzialmente dannosi per il Gruppo o mitigarne gli effetti;
2. Adottare gli standard più aggiornati e completi per la gestione del rischio;
3. Minimizzare il costo dei rischi ottimizzando la prevenzione di perdite, gli
investimenti, le assicurazioni e i programmi di trasferimento del rischio;
75
4. Centralizzare e consolidare le relazioni con i mercati assicurativi globali.
Le diverse realtà di risk management all’interno di FCA gestiscono tutti gli aspetti del
rischio, dall’identificazione all’analisi e al trattamento, inclusa la loss prevention: attività
specifiche per rischi di tipo particolare possono anche prevedere il monitoraggio e la stipula di
contratti assicurativi, e giocano un ruolo centrale nel gestire gli eventi che potrebbero avere un
impatto sulla continuità operativa o l’integrità fisica degli asset aziendali del gruppo, che
consta di oltre 1000 siti in tutto il mondo, con l’esposizione dunque a rischi fisici di vario
genere.
Il processo di risk management è condotto in modo trasparente e utilizzando competenze
di alto profilo, col supporto di aziende specializzate nella gestione dei rischi industriali che
svolgono audit on site per garantire una approfondita, autonoma e continuativa valutazione
dei rischi all’interno del gruppo.
Nel suo rapporto di sostenibilità 201449, FCA illustra alcune cifre significative in merito
alla struttura e al volume del proprio risk management: 223 siti messi sotto monitoraggio (il
92% del valore assicurato), il 98% dei siti monitorati almeno ogni tre anni e il 50%
annualmente, un investimento di 39,4 milioni di euro in loss prevention e mitigazione dei
rischi durante il 2014, dei quali 24 milioni di euro investiti nel portare alcuni siti in linea con
gli standard di loss prevention dettati da FCA.
Si stima che questo investimento di 24 milioni di euro abbia consentito un saving di 2,36
miliardi di euro nella riduzione delle attese di perdita, con un indice GEI di 1, in linea con i
migliori standard internazionali: ricordiamo che il GEI (Global Efficienty Index for loss
mitigation) è definito come la riduzione dei danni attesi diviso il costo della protezione, ed è
una misura standard internazionale di risk management.
Un diagramma di flusso del processo macroscopico di gestione dei rischi è il seguente:
49 Cfr. FCA (2014e).
76
Eventi rischiosi
E’ l’evento possibile
nel contesto in esame?
Analizzare l’impatto dall’occorrenza
dell’evento e dalla sua frequenza
Calcolare l’impatto I e la vulnerabilità V
dell’evento
Il valore I×V supera la
soglia di accettazione?
Determinazione della esposizione “target” e
identificazione delle azioni di mitigazione da
implementare
Analisi del monitoraggio e misurazione della
risposta al rischio
Sì
No
No
Sì
Analisi completata Monitoraggio
adeguato? Rischio
residuo accettabile?
Analisi completata
Analisi completata
No
Sì
77
2.11 Il framework COSO III per il report finanziario
Una ulteriore evoluzione dello standard COSO, o piuttosto una sua semplificazione
funzionale all’applicazione nella realtà delle piccole e medie imprese, è la guida emanata dal
Committee of Sponsoring Organizations nel 2006, intitolata Internal Control over Financial
Reporting, Guidance for Smaller Public Companies.
Con queste raccomandazioni, il Committee ha inteso fornire un ausilio alle aziende che
per dimensione e complessità trovano troppo oneroso applicare il framework COSO I o
l’ERM, indicando in qualche modo gli elementi essenziali di questi standard dai quali non è
possibile prescindere e quindi consentendo una applicazione dei principi del framework anche
a realtà in cui gli investimenti nel sistema di controllo e di gestione dei rischi non possono
essere ingenti per motivi di dimensione.
Questa guida è generalmente conosciuta con l’abbreviazione di COSO III, e offre al
management delle piccole e medie imprese una soluzione a basso costo per il sistema di
controllo interno, focalizzato ovviamente soprattutto al reporting finanziario.
Le linee guida non definiscono in modo preciso il loro target, nel senso che dare una
definizione di quanto piccola deve essere una PMI è ovviamente privo di senso in assoluto:
dipende dal segmento di mercato nel quale si opera, dall’area geografica, etc.
Piuttosto sono enumerate alcune caratteristiche di una azienda affinché questa possa
beneficiare delle linee guida del COSO III:
Avere poche linee di business e pochi prodotti in ciascuna linea;
Avere un mercato localizzato, sia geograficamente che per dominio;
Essere guidate da un management con significativi interessi o diritti sulla proprietà
aziendale;
Avere pochi livelli di management fra la proprietà e i quadri, e con molto orizzonte
decisionale;
Avere pochi dipendenti, sui quali gravano compiti anche di ambito e natura diversi;
Avere poca disponibilità per mantenere funzioni di supporto come l’area legale, le
risorse umane, l’accounting e l’internal auditing.
Ovviamente nessuna di queste caratteristiche, per sé presa, definisce il target del
framework, piuttosto è l’insieme di alcune di esse che solitamente può essere associato a una
dimensione piccola per l’azienda in questione, e in ogni caso queste sono le caratteristiche che
il modello tiene presenti nel sintetizzare e semplificare il framework del COSO I.
78
Il punto di attenzione è chiaramente l’onere finanziario nel mettere in piedi una struttura
di controllo interno efficace, snella e soprattutto i cui benefici ripaghino i costi della sua
gestione: questo è particolarmente rilevante laddove i manager guardano al controllo come a
un ulteriore costo amministrativo da aggiungere all’esistente, piuttosto che a una necessità
dettata dal business e dal mercato.
Gli obiettivi nel cui raggiungimento il modello COSO III vuole supportare i manager
possono essere enumerati come segue:
Mettere in campo le risorse per una separazione dei compiti;
Mantenere il controllo delle attività;
Ingaggiare esperti sulle tematiche del reporting finanziario per supportare il Consiglio
di Amministrazione e la funzione di audit;
Ingaggiare esperti con esperienza e capacità nel campo dell’accounting e del reporting
finanziario;
Mantenere il focus del management sull’uso delle informazioni finanziarie prodotte
dai report per le valutazioni strategiche;
Mantenere il controllo sul sistema informativo aziendale anche in assenza di risorse
tecniche importanti.
Naturalmente non sfugge agli estensori del COSO III che in molte realtà aziendali che si
possono classificare come PMI il giro d’affari è dominato e gestito dal proprietario, spesso
fondatore dell’azienda, o da altri dirigenti che esercitano in modo discrezionale la direzione
dell’azienda.
La “cultura del controllo interno” può in questo senso migliorare la consapevolezza del
leader dell’azienda rispetto alle diverse sfaccettature del business e dell’operatività che è nel
suo controllo, spesso consentendogli una razionalizzazione delle scelte e una
ingegnerizzazione dei processi decisionali.
Oltre a questo, il framework COSO III riconosce esplicitamente altri elementi critici legati
alle dimensioni dell’azienda, per esempio la difficoltà nel realizzare una segregazione dei
compiti, con pochi dipendenti che spesso svolgono più funzioni, nel promuovere un sistema
informativo aziendale effettivo e sicuro, infrastrutture di questo tipo sicuramente comportano
un costo iniziale non irrilevante, etc.
A proposito dei costi dell’IT, sicuramente l’outsourcing e l’acquisto di pacchetti di servizi
da fornitori specializzati, per esempio avvalendosi del cloud computing che negli ultimi anni
79
ha in qualche modo rivoluzionato la tematica dell’outsourcing, è uno dei suggerimenti
proposti dal modello.
Il monitoraggio delle attività è un’altra parte rilevante fra le linee guida espresse dal
COSO III: nelle strutture di piccole dimensioni, il management continuamente svolge attività
di monitoraggio, che deve confluire in modo strutturato nel processo di controllo interno.
L’analisi dei rischi è un’altra attività che di solito viene svolta in modo destrutturato ma
che invece, anche nelle piccole aziende, deve trovare una sua collocazione e un suo
investimento il cui ritorno è misurabile con una maggiore probabilità di centrare gli obiettivi
aziendali.
In generale, il controllo interno va visto sempre come un processo integrato, anche nelle
realtà più piccole, ed anzi questa integrazione è più facilmente raggiungibile proprio in virtù
della dimensione limitata e quindi della limitata presenza di processi distinti nei quali il
sistema dei controlli interno deve essere integrato.
Uno schema di come le componenti del framework COSO III possono interagire fra loro
da una prospettiva dell’analisi di processo è il seguente50:
50 Cfr. COSO (2006).
80
Come si vede in questo schema, le cinque componenti del framework COSO I
intervengono con pari importanza e dignità per concorrere nell’obiettivo di rendere affidabile
la reportistica finanziaria.
Tuttavia, sebbene ciascuna componente del modello debba essere presente e operativa,
questo non significa che ciascuna componente debba funzionare allo stesso modo o allo stesso
livello in ogni azienda: in particolare, se l’organizzazione aziendale lo impone, alcune
componenti possono essere implementate in modo meno effettivo e completo di altre, purché
l’integrazione fra esse sia in grado di compensare queste eventuali mancanze.
In generale, per ottenere un efficace controllo interno dei report finanziari il framework
COSO III prescrive venti principi di base, categorizzati in base alle cinque componenti del
framework, a loro volta “esplosi” in dei punti “focali” che ne colgono l’essenza e forniscono
una guida all’implementazione di questi principi (ma che non esauriscono la modalità di detta
implementazione che, ovviamente, dipende in modo forte dal contesto nel quale viene
realizzata), secondo lo schema che sinteticamente riassumiamo qui di seguito51:
Ambiente di controllo:
1. Integrità dei valori etici: deve essere sviluppato un insieme coerente di valori
etici condivisi dal management per la condotta nel reporting finanziario. Come
focal point COSO III suggerisce di:
Creare un “clima etico” in azienda, da parte del management e top
management, che deve mostrare i valori etici con la propria condotta
oltre che con le prescrizioni (tone at the top);
Stabilire degli standard precisi di comportamento;
Valutare l’aderenza a questi standard di comportamento;
Contrastare le violazioni al codice etico in modo tempestivo.
2. Consiglio di Amministrazione: deve, in modo autonomo dal management,
comprendere e sovrintendere ai report finanziari e al controllo interno su di
essi. Come focal point COSO III suggerisce di:
Stabilire ruoli e responsabilità di supervisione;
Applicare le competenze appropriate, dopo averle ovviamente
individuate;
51 Utilizziamo la versione più recente dei principi associati a ciascuna componente del modello, in quanto questa
versione è quella utilizzata in Fiat quando il modello vi è stato adottato.
81
Operare indipendentemente, fra Consiglio di Amministrazione e
management;
Fornire una supervisione al sistema di controllo interno.
3. Il management: deve mettere in piedi, sotto la supervisione del Consiglio di
Amministrazione, delle strutture, delle linee di reportistica e dei ruoli e delle
responsabilità appropriate per lo sviluppo e la realizzazione del controllo
interno. Come focal point COSO III suggerisce di:
Considerare, in questa azione, tutte le strutture ed entità che fanno parte
dell’organizzazione;
Stabilire in modo chiaro delle linee di reportistica, in modo che sia
facile comunicare lo stato dei controlli;
Definire, assegnare e se necessario limitare le responsabilità e le
cautorizzazioni.
4. Struttura organizzativa: deve promuovere l’efficacia del controllo interno della
reportistica finanziaria, in particolare esibendo la volontà di attrarre, sviluppare
e mantenere competenze e professionalità in linea con gli obiettivi. Come focal
point COSO III suggerisce di:
Stabilire delle policy e delle best practice relative al controllo interno
della reportistica finanziaria;
Valutare ed eventualmente colmare lacune nelle competenze;
Attrarre, sviluppare e mantenere persone competenti;
Pianificare e preparare per il ricambio delle persone in modo da non
perdere valore e professionalità con il turnover.
5. Struttura organizzativa: mantiene i dipendenti responsabili per i controlli
interni nella direzione degli obiettivi di efficacia del controllo interno della
reportistica finanziaria. Come focal point COSO III suggerisce di:
Rafforzare l’accountability attraverso strutture, autorizzazioni e
responsabilità;
Stabilire livelli di performance, misure di performance, incentivi e
premi;
Valutare le misure di performance, gli incentivi e i premi in modo da
mantenerli sempre appropriati rispetto all’obiettivo di commitment del
personale;
82
Considerare se non sussista una eccessiva, o scarsa, pressione sul
personale;
Valutare le performance dei singoli individui e premiarli o disciplinare
la loro azione.
Valutazione dei rischi:
6. La struttura organizzativa: specifica gli obiettivi con sufficiente chiarezza in
modo da abilitare l’identificazione e la valutazione dei rischi relativi agli
obiettivi. Come focal point COSO III suggerisce di:
Riflettere le scelte del management;
Considerare la propensione al rischio;
Includere gli obiettivi delle performance finanziare e di operatività;
Formare una base per aumentare il commitment delle risorse;
Conformarsi agli appropriati standard contabili;
Tenere conto del “materiatility principle”, secondo il quale uno
standard può essere ignorato nel caso in cui apporti un impatto così
ridotto sul report finanziario da non condurre a misstatement;
Riflettere le attività dell’azienda nella reportistica esterna;
Conformarsi a standard e framework riconosciuti esternamente nella
reportistica esterna non finanziaria;
Considerare il livello adeguato di precisione nella reportistica esterna
non finanziaria;
Riflettere le attività dell’azienda nella reportistica esterna non
finanziaria;
Riflettere le scelte del management nella reportistica interna;
Riflettere le attività dell’azienda nella reportistica interna;
Considerare il livello di precisione richiesto nella reportistica interna;
Riflettere leggi e regolamenti esterni nella compliance;
Considerare la propensione al rischio nella compliance.
7. La struttura organizzativa identifica i rischi che si frappongono al
raggiungimento degli obiettivi aziendali e analizza i rischi come base per
determinare come questi rischi vadano gestiti. Come focal point COSO III
suggerisce di:
Includere le aziende, le sussidiarie, le divisioni, le unità operative e i
livelli funzionali;
83
Analizzare fattori interni ed esterni;
Coinvolgere gli appropriati livelli di management;
Stimare la significatività dei rischi identificati;
Determinare come rispondere a un rischio specifico.
8. La struttura organizzativa considera le frodi potenziali nel valutare i rischi che
si interpongono al raggiungimento degli obiettivi aziendali. Come focal point
COSO III suggerisce di:
Considerare i vari tipi di frode;
Valutare incentivi e pressioni per scongiurare le frodi;
Valutare le opportunità;
Valutare le attitudini e le ottimizzazioni.
9. La struttura organizzativa identifica e valuta le modifiche che potrebbero
significativamente impattare sul sistema di controllo interno. Come focal point
COSO III suggerisce di:
Valutare le modifiche occorse nell’ambiente esterno;
Valutare le modifiche nel modello di business;
Valutare le modifiche alla leadership aziendale.
Attività di controllo:
10. La struttura organizzativa seleziona e sviluppa attività di controllo che
contribuiscano alla mitigazione dei rischi nel raggiungimento degli obiettivi a
livelli accettabili. Come focal point COSO III raccomanda di:
Integrare le attività di controllo con la valutazione dei rischi;
Considerare fattori specifici dell’azienda;
Determinare i processi di business rilevanti;
Valutare un mix di tipologie di attività di controllo;
Considerare a che livello le attività sono applicate;
Perseguire la segregazione dei compiti.
11. La struttura organizzativa seleziona e sviluppa attività di controllo generali
sulle tecnologie a supporto del raggiungimento degli obiettivi. Come focal
point COSO III indica di:
Determinare la dipendenza fra l’uso della tecnologia nei processi di
business e i controlli generali sulla tecnologia;
Stabilire attività di controllo per le infrastrutture tecnologiche più
rilevanti;
84
Stabilire attività di controllo dei processi più rilevanti di gestione della
sicurezza;
Stabilire l’acquisizione, lo sviluppo e la manutenzione di tecnologie
rilevanti per le attività di controllo dei processi.
12. La struttura organizzativa rilascia attività di controllo delle policy che
stabiliscono delle aspettative e definiscono delle procedure che possano
contribuire a mettere in atto le policy. Come focal point COSO III suggerisce
di:
Stabilire policy e procedure per supportare la realizzazione delle
direttive manageriali;
Stabilire responsabilità e ruoli per l’esecuzione delle policy e delle
procedure;
Operare in maniera tempestiva;
Intraprendere azioni correttive;
Operare utilizzando personale competente;
Rivalutare policy e procedure quando ciò sia necessario.
Informazione e comunicazione:
13. La struttura organizzativa ottiene, o genera, e utilizza informazioni di qualità
rilevanti per supportare l’attività del controllo interno. Come focal point COSO
III propone di:
Identificare i requisiti delle informazioni;
Intercettare sorgenti di dati, sia interne che esterne;
Processare i dati rilevanti per produrre informazioni;
Mantenere la qualità attraverso tutto il processo;
Considerare costi e benefici.
14. La struttura organizzativa comunica internamente informazioni, inclusi
obiettivi e responsabilità per i controlli interni, necessarie per supportare
l’operatività dei controlli interni. Come focal point COSO III indica di:
Comunicare informazioni sui controlli interni;
Comunicare con il Consiglio di Amministrazione;
Fornire linee di comunicazione separate;
Selezionare metodi di comunicazione appropriati.
85
15. La struttura organizzativa comunica esternamente riguardo agli argomenti che
impattano sul funzionamento del controllo interno. Come focal point COSO III
propone di:
Comunicare con le controparti esterne;
Abilitare una comunicazione dall’esterno verso l’interno;
Comunicare con i consigli di amministrazione;
Fornire linee di comunicazione separate;
Selezionare metodi di comunicazione appropriati.
Monitoraggio:
16. La struttura organizzativa seleziona, sviluppa e mette in atto valutazioni
continuative o specifiche per accertare se le componenti del sistema di
controllo interno siano tutte presenti e correttamente funzionanti. Come focal
point COSO III suggerisce di:
Considerare un mix di valutazioni continuative o specifiche;
Considerare il tasso con cui avvengono i cambiamenti in azienda;
Stabilire dei parametri comuni;
Utilizzare personale informato e competente;
Integrarsi con i processi di business;
Aggiustare l’ambito e la frequenza del monitoraggio;
Valutare con obiettività.
17. La struttura organizzativa valuta e comunica i difetti del controllo interno in
maniera tempestiva alle controparti che hanno la responsabilità di
intraprendere azioni correttive, incluso il senior management e lo stesso
Consiglio di Amministrazione, se necessario. Come focal point COSO III
raccomanda di:
Valutare i risultati;
Comunicare i difetti;
Monitorare le azioni correttive.
2.12 Adozione del framework COSO III in FCA
L’adozione del modello di Enterprise Risk Management offre una serie di vantaggi, come
abbiamo visto, rispetto al modello del report COSO I: FCA ha effettuato questa scelta
strategica nell’adozione del modello, con i benefici e la complessità organizzativa cui
abbiamo accennato in precedenza.
86
Dal punto di vista del rischio legato all’erogazione dei report finanziari, che per un gruppo
così grande, complesso e ramificato in tutto il pianeta prelude un possibile rischio
reputazionale le cui conseguenze sul business sarebbero gravissime, FCA ha seguito le linee
guida del framework COSO III per la affidabilità, precisione, completezza e tempestività della
reportistica finanziaria.
La valutazione periodica del sistema di controllo interno dei report finanziari è stata
progettata per garantire l’efficienza delle componenti del modello COSO (che, ricordiamo,
sono l’ambiente di controllo, la valutazione dei rischi, le attività di controllo, l’informazione e
comunicazione, il monitoraggio) nel raggiungere questi obiettivi.
Naturalmente, venendo da una lunga storia che poneva Fiat al centro del sistema
economico italiano e Chrysler come uno degli attori principali dell’industria automobilistica
della maggiore potenza economica mondiale, le procedure amministrative e contabili del
Gruppo sono consolidate e molto affidabili, e in particolare il sistema di controllo dei report
finanziario si basa su solidi principi.
Questo sistema è organizzato su due livelli: il primo livello è dato dalle policy, procedure
e linee guida che consentono alla capogruppo da un lato di assicurare un flusso informativo
efficiente da e verso le sussidiarie, dall’altro di esercitare le attività di coordinamento
necessarie.
In particolare sono definite regole ben precise di applicazione degli standard contabili
(codificate nel Group Accounting Manual) e sono pure definite delle procedure per la
preparazione dei bilanci di esercizio e dei report finanziari annessi: è ovviamente onere della
capogruppo comunicare ed accertarsi della ricezione di queste regole e procedure nei
confronti delle società del gruppo.
Il secondo livello consiste delle policy operative e delle procedure elaborate dalle società
del gruppo sulla base delle linee guida emesse dalla capogruppo.
L’approccio sposato da Fiat per la valutazione, il monitoraggio e l’aggiornamento
continuo dei sistemi di controllo interno e di risk management per quanto riguarda i report
finanziari segue un approccio “top-down” centrato sull’analisi dei rischi, coerente con il
framework COSO.
Questo approccio consente di focalizzarsi su aree di più alto rischio di errore, compresi
errori fraudolenti, nella compilazione della reportistica finanziaria: le componenti
fondamentali di questo approccio possono essere descritte come segue:
87
identificazione e valutazione della fonte di informazioni, e probabilità di errori
materiali nella compilazione dei report finanziari;
valutazione dell’adeguatezza dei controlli cruciali per identificare potenziali errori in
parti della reportistica finanziaria, sia controlli ex ante che ex post;
verifica della operatività effettiva dei controlli basati sulla valutazione dei rischi di
errore nei report finanziari, con test centrati sulle aree di rischio più alto.
L’identificazione e la valutazione di aree che potrebbero essere impattate da eventuali
errori nella reportistica finanziaria è condotta attraverso un processo di analisi dei rischi che
usa un approccio che parte dall’alto verso il basso: precisamente, si pianificano le entità
organizzative, i processi e i riferimenti contabili, in aggiunta a specifiche attività che
potrebbero generare errori significativi.
In base a questo approccio, i rischi e i controlli relativi sono associati ai processi
amministrativi e di business sui quali le informazioni finanziarie si basano: per rischi
significativi, identificati nel processo di valutazione dei rischi, i controlli chiave sono messi in
campo per contrastare questi rischi e mitigare i danni derivanti da potenziali errori nella
reportistica finanziaria.
Ci sono a questo proposito due possibili tipi di controlli, entrambi implementati: da un
lato ci sono i controlli che operano a livello di società del Gruppo, come la delega di
responsabilità, la separazione degli incarichi e l’assegnazione di diritti specifici di accesso ai
sistemi informatici (per esempio per mezzo di un sistema di identity management).
D’altra parte esistono anche controlli che operano a livello di processo, come per esempio
il controllo sui processi operativi, il controllo sui processi in dismissione, i controlli
trasversali a diverse aree, etc.
Questi controlli possono essere preventivi, cioè volti a prevenire errori o frodi, o di
rilevazione, cioè volti a scoprire errori o frodi già avvenute, e possono anche essere svolti sia
in modalità manuale che automatica, come controlli basati su applicazioni informatiche che
riguardano le caratteristiche della configurazione dell’infrastruttura dei sistemi IT a supporto
delle attività di business.
Una valutazione del progetto e dell’operatività dei controlli chiave è svolta tramite test
eseguiti dalla funzione di internal audit, sia a livello di gruppo che a livello di società
sussidiarie, utilizzando tecniche a campione e best practices di riconosciuta rilevanza:
88
l’internal audit svolge anche una attività di controllo di qualità sui test condotti presso le
società sussidiarie.
Se necessario, il risultato di una valutazione può dare luogo a controlli ulteriori e più
dettagliati, ad azioni correttive o a piani di miglioramento.
I risultati delle attività di monitoraggio sono periodicamente soggetti alla revisione del
manager responsabile per il reporting finanziario del gruppo e da questi comunicate al senior
management, al comitato per l’internal control e il rischio, che come sappiamo riferisce
direttamente al Consiglio di Amministrazione, e al Collegio Sindacale della capogruppo.
2.12.1 Dettagli dell’implementazione del framework COSO III presso FCA
Come esemplificazione di quanto appena esposto, ci pare significativo segnalare alcuni
dettagli dei quali abbiamo avuto contezza grazie alla possibilità di svolgere parte di questo
lavoro in stage presso la sede di Fiat Chrysler Automobiles di Torino.
In particolare, l’accesso a strumenti aziendali utilizzati nelle varie fasi delle attività di
monitoraggio e intervento sulla reportistica finanziaria ha permesso di evidenziare quali siano
considerati nell’ambito delle attività del gruppo i fattori maggiormente critici relativi alla
possibilità di errori o imprecisioni nei report finanziari.
Il modello COSO III si scompone, come ben sappiamo, nelle cinque componenti che
costituiscono il sistema di controllo.
Fiat ha basato il suo sistema di controllo su dei “focus point”, che recepiscono in maniera
1-1 i principi del COSO III e costituiscono l’“as is” prima del progetto di fusione dei sistemi
di controllo interno fra Fiat e Chrysler.
A rischio di essere ridondanti, ma per comodità di consultazione, riportiamo di seguito52
l’elenco dei principi, facendo afferire a ciascuno di essi gli obiettivi individuati da Fiat come
essenziali per poter affermare di aver soddisfatto convenientemente il principio stesso.
Ambiente di controllo:
1. Integrità dei valori etici: deve essere sviluppato un insieme coerente di valori
etici condivisi dal management per la condotta nel reporting finanziario.
Secondo la visione Fiat gli obiettivi ispirati da questo principio sono:
52 Quanto segue è una sintesi narrativa di strumenti aziendali, in particolare template della checklist dei processi
relativi al framework COSO III forniti da FCA e datati dicembre 2014.
89
Il codice etico della Fiat (così come altre policy riguardanti le best
practice, i conflitti di interesse o gli standard etici attesi) deve essere
adeguatamente comunicata all’interno dell’organizzazione, per esempio
tramite la Intranet aziendale, tramite formazione, etc;
C’è un “tone at the top” ben definito, che include una guida etica su
cosa sia giusto e cosa sia sbagliato, e che viene comunicato, messo in
pratica e gestito a tutti i livelli dell’organizzazione;
Ogni scambio fra impiegati, fornitori, clienti, investitori, creditori,
assicuratori, competitor, auditor, etc. è eticamente ispirato;
Le deviazioni dallo standard stabilito sono approfondite e documentate;
In risposta a deviazioni dalle policy e dalle procedure approvate, o dal
codice etico, sono intraprese appropriate azioni correttive;
I compensi individuali, come bonus e stock-options, sono in linea con i
valori etici dell’azienda.
2. Consiglio di Amministrazione: deve, in modo autonomo dal management,
comprendere e sovrintendere ai report finanziari e al controllo interno su di
essi. Secondo la visione Fiat gli obiettivi ispirati da questo principio sono:
Il management risponde in modo tempestivo e appropriato ai
rilevamenti e alle raccomandazioni degli auditor indipendenti a
proposito del controllo interno e delle policy e procedure dell’azienda.
3. Il management: deve mettere in piedi, sotto la supervisione del Consiglio di
Amministrazione, delle strutture, delle linee di reportistica e dei ruoli e delle
responsabilità appropriate per lo sviluppo e la realizzazione del controllo
interno. Secondo la visione Fiat gli obiettivi ispirati da questo principio sono:
Gli obiettivi finanziari e le attese del management sono realistiche;
Il management riconosce l’importanza del data processing e delle
funzioni di accountability, e ha commitment in merito all’affidabilità
dei report finanziari;
Ci sono forti motivazioni etiche e azioni nei confronti del reporting
finanziario, incluse appropriate risoluzioni di conflitti sull’applicazione
dei principi contabili, per esempio la selezione di politiche di
accounting conservative vs liberali, se i principi contabili siano male
applicati, se importanti informazioni finanziarie non siano divulgate,
manipolate o falsificate, etc;
90
Il top management mantiene contatto con le funzioni subordinate o
divisionali, e ne enfatizza in modo coerente i comportamenti
appropriati;
Il management presta grande attenzione al controllo interno, per
esempio nel considerare se i sistemi informativi siano configurati al
livello appropriato di controllo, e se controlli interni siano considerati
quanto si metto in opera processi manuali, etc;
C’è una forte enfasi sui controlli interni in modo che siano progettati e
implementati in modo efficiente.
4. Struttura organizzativa: deve promuovere l’efficacia del controllo interno della
reportistica finanziaria, in particolare esibendo la volontà di attrarre, sviluppare
e mantenere competenze e professionalità in linea con gli obiettivi. Secondo la
visione Fiat gli obiettivi ispirati da questo principio sono:
Mettere in campo strumenti per definire le attività che competono a
specifici lavori, come la formalizzazione delle job description, e
verificare che questi strumenti siano usati efficientemente;
I requisiti di esperienza e competenza sono formalmente definiti per le
posizioni chiave nel management, e sono state identificate le skill
necessarie per eseguire le attività che sono state identificate;
I livelli di staffing sono mantenuti in linea con i livelli di efficacia
operativa richiesti dalle varie attività;
L’azienda monitora il turnover nel management o nel personale con
funzione di supervisione e valuta le ragioni di un turnover
particolarmente significativo;
Sono state definite ed attuate policy e procedure per l’assunzione, il
training, la promozione e la remunerazione dei dipendenti;
Le policy e procedure emanate dall’azienda sono chiare e sono
pubblicate, aggiornate e riviste su base periodica; inoltre sono state
comunicate in modo efficace al personale, anche nelle sedi periferiche.
5. Struttura organizzativa: mantiene i dipendenti responsabili per i controlli
interni nella direzione degli obiettivi di efficacia del controllo interno della
reportistica finanziaria. Secondo la visione Fiat gli obiettivi ispirati da questo
principio sono:
91
La struttura manageriale locale è appropriata (cioè non dominata da
pochi individui) e c’è una supervisione effettiva a livello di settore o
gruppo;
Le linee autorizzative e di responsabilità (comprese le linee di
reporting) nell’azienda sono appropriate, definite in modo chiaro e
chiaramente comunicate;
Le modifiche alla struttura organizzativa sono apportate in modo
tempestivo per rispondere alle mutate condizioni;
C’è una appropriata assegnazione di responsabilità e delega di autorità
in merito agli obiettivi dell’organizzazione, all’interazione con le
funzioni operative e ai requisiti dei regolamenti.
Valutazione dei rischi:
6. La struttura organizzativa: specifica gli obiettivi con sufficiente chiarezza in
modo da abilitare l’identificazione e la valutazione dei rischi relativi agli
obiettivi. Secondo la visione Fiat gli obiettivi ispirati da questo principio sono:
Gli obiettivi di business a livello di entità sono comunicati e monitorati,
per esempio il management documenta e comunica in modo chiaro gli
obiettivi e gli standard per il processo;
I piani di business e di budget sono coerenti con gli obiettivi di cui
sopra, con i piani strategici e con l’attuale contesto nel quale l’azienda
opera sui mercati.
7. La struttura organizzativa identifica i rischi che si frappongono al
raggiungimento degli obiettivi aziendali e analizza i rischi come base per
determinare come questi rischi vadano gestiti. Secondo la visione Fiat gli
obiettivi ispirati da questo principio sono:
Sono posti in essere meccanismi per identificare le sorgenti interne o
esterne di rischio e per comunicare tali rischi in modo rapido al
management;
aL’analisi dei rischi di processo è approfondita e rilevante, e include
una stima della significatività dei rischi, valutando la verosimiglianza
della loro occorrenza e determinando le azioni necessarie da prendere
in caso di occorrenza.
8. La struttura organizzativa considera le frodi potenziali nel valutare i rischi che
si frappongono al raggiungimento degli obiettivi aziendali. Secondo la visione
92
Fiat gli obiettivi ispirati da questo principio sono i medesimi del precedente
(7).
9. La struttura organizzativa identifica e valuta le modifiche che potrebbero
significativamente impattare sul sistema di controllo interno. Secondo la
visione Fiat gli obiettivi ispirati da questo principio sono:
Sono posti in essere dei meccanismi per anticipare e reagire, su base
periodica, a modifiche legislative e nei regolamenti, o semplicemente
all’introduzione di nuove regole, policy, etc.
Attività di controllo:
10. La struttura organizzativa seleziona e sviluppa attività di controllo che
contribuiscano alla mitigazione dei rischi nel raggiungimento degli obiettivi a
livelli accettabili. Secondo la visione Fiat gli obiettivi ispirati da questo
principio sono:
Le attività di controllo poste in essere sono applicate in modo proprio e
proattivo;
Le dichiarazioni finanziarie sono riviste da individui indipendenti da
chi le ha formulate: queste revisioni sono documentate;
Il management ha controllo sul processo di archiviazione degli eventi
materiali seguenti all’occorrenza del rischio, in modo che siano
accumulati, memorizzati, processati, sintetizzati e riportati
appropriatamente.
11. La struttura organizzativa seleziona e sviluppa attività di controllo generali
sulle tecnologie a supporto del raggiungimento degli obiettivi. Secondo la
visione Fiat gli obiettivi ispirati da questo principio sono:
Il management sostiene lo sviluppo dei sistemi informativi necessari e
in particolare gli investimenti nelle risorse destinate a questi sistemi, sia
risorse umane che economiche: i ruoli e le responsabilità
dell’organizzazione dell’IT sono definiti, documentati e ben compresi.
12. La struttura organizzativa rilascia attività di controllo delle policy che
stabiliscono delle aspettative e definiscono delle procedure che possano
contribuire a mettere in atto le policy. Secondo la visione Fiat gli obiettivi
ispirati da questo principio sono:
93
Sono formalmente documentate e nelle disponibilità
dell’organizzazione appropriate policy e procedure relative a ciascuna
attività dipartimentale, per esempio finanza, store operations, etc;
Sono poste in essere policy e procedure per assicurare che adeguato
monitoraggio e la supervisione siano svolte anche nelle sedi
periferiche;
Sono poste in essere delle procedure per monitorare quanto i controlli
sono sovradimensionati, per determinare se il sovradimensionamento è
giustificato;
Informazione e comunicazione:
13. La struttura organizzativa ottiene, o genera, e utilizza informazioni di qualità
rilevanti per supportare l’attività del controllo interno. Secondo la visione Fiat
gli obiettivi ispirati da questo principio sono:
Il management riceve, in maniera periodica, informazioni sia interne
che esterne sufficienti riguardo la performance rispetto agli obiettivi
stabiliti e condivisi;
Il management ha predisposto e comunicato piani strategici per l’IT che
allineino le strategie IT agli obiettivi di business: la pianificazione
include dei meccanismi per sollecitare gli input dagli stakeholder, sia
interni che esterni, che hanno informazioni rilevanti per la stesura dei
piani IT;
14. La struttura organizzativa comunica internamente informazioni, inclusi
obiettivi e responsabilità per i controlli interni, necessarie per supportare
l’operatività dei controlli interni. Secondo la visione Fiat gli obiettivi ispirati
da questo principio sono:
E’ posto in essere un canale di comunicazione per poter riportare
sospette irregolarità, e il management incoraggia i dipendenti a
utilizzare questo canale ove necessario, per esempio tramite un sistema
di whistle blowing;
Il personale della finanza comunica attraverso il processo di chiusura
contabile, per esempio tramite incontri pianificati di chiusura lungo
tutto l’arco del processo di chiusura, che coinvolgono gli individui la
cui attività impatta sul processo di chiusura;
94
In presenza di applicazioni o transazioni significative che sono eseguire
o processata dal service provider, il management ha documentato i
controlli rilevanti per il provider per mitigare il rischio di errori;
Una ampia checklist relativa al processo di chiusura è condivisa con
tutti gli individui che hanno un ruolo nel processo di chiusura;
L’informazione è riportata a monte del flusso di processo se necessario,
e viene perseguita una appropriata azione di follow-up;
15. La struttura organizzativa comunica esternamente riguardo agli argomenti che
impattano sul funzionamento del controllo interno. Secondo la visione Fiat gli
obiettivi ispirati da questo principio sono un sottoinsieme di quelli del
principio 14, precisamente il primo e il terzo su elencati.
Monitoraggio:
16. La struttura organizzativa seleziona, sviluppa e mette in atto valutazioni
continuative o specifiche per accertare se le componenti del sistema di
controllo interno siano tutte presenti e correttamente funzionanti. Secondo la
visione Fiat gli obiettivi ispirati da questo principio sono:
L’Azienda risponde in modo proattivo alle rilevazioni e
raccomandazioni degli auditor interni ed esterni e, ove applicabile,
implementa dei piani operativi per rafforzare i controlli interni sulla
base di queste evidenze;
Sono posti in essere dei meccanismi di valutazione o auto-valutazione
per promuovere e valutare la consapevolezza e la responsabilità in
materia di controllo interno.
17. La struttura organizzativa valuta e comunica i difetti del controllo interno in
maniera tempestiva alle controparti che hanno la responsabilità di
intraprendere azioni correttive, incluso il senior management e lo stesso
Consiglio di Amministrazione, se necessario. Secondo la visione Fiat gli
obiettivi ispirati da questo principio sono:
Il management corregge, su base periodica, le mancanze individuate
dal controllo interno;
Le mancanze, se notate, sono seguite da un appropriati follow-up.
95
2.12.2 Il processo di controllo interno dei report finanziari di Fiat: la
situazione prima della fusione
Particolare attenzione, in merito ai dettagli del sistema di controllo della reportistica
finanziaria, è posta alle normative, che abbiamo richiamato nel primo capitolo, che sia in
Italia che negli Stati Uniti cercano di supportare le aziende nel contrastare comportamenti
fraudolenti, specie per quel che riguarda le dichiarazioni di bilancio, di salute finanziaria di
una azienda o società, etc.
La Sarbanes Oxley Act (SOX) è ovviamente “in cima ai pensieri” degli internal auditor
che svolgono questa attività nelle grandi aziende, e FCA non fa eccezione.
Un punto di particolare rilievo e attenzione, nel caso FCA, è il passaggio legato alla
fusione di Fiat e Chrysler, laddove le due società distinte avevano ciascuna sistemi di
controllo interno e policy riguardanti la reportistica finanziaria tarate sui rispettivi target
amministrativi e di business, mentre con la fusione si è dovuta trovare una sintesi che
preservasse l’efficienza dei due sistemi precedenti promuovendo al contempo una nuova,
unitaria e coerente organizzazione del sistema di controllo interno in materia di report
finanziari adatta alla nuova realtà multinazionale sorta dopo la fusione.
In particolare, nel 2014 il processo ICFR (Internal Control over Financial Report) di FIAT
è stato sottoposto a revisione e confrontato con quello di Chrysler, a cura di una società
esterna (Ernst&Young), che ha formulato come raccomandazione53 di definire la
documentazione dei processi end-to-end in maniera chiara e compliant con quanto il PCAOB
(Public Company Account Overside Board) ha richiesto in materia di chiarezza e dettaglio per
questo tipo di documentazione.
Precisamente quel che si deve fornire è documentazione completa sia in ampiezza, cioè
nel coprire le diverse aree di interesse, sia in profondità, cioè che entri nel merito dei dettagli
in maniera chiara.
Un formalismo standard che viene proposto come strumento di comunicazione, in
aggiunta ovviamente alle spiegazioni testuali, è il diagramma di flusso (flow-chart) che fin
dagli anni ’20 del XX secolo costituisce uno strumento di rappresentazione dei flussi dei
processi in diversi ambiti.
53 Process Mapping. Methodology recap and news, Internal Audit & Compliance FCA, April 2014.
96
In generale, la documentazione deve contribuire ad identificare54:
1. i rischi di material misstatements, cioè di enunciati finanziari ambigui o erronei su
informazioni che possono influenzare i valori economici associati all’azienda (prezzi
delle azioni, etc.);
2. i controlli per evidenziare tali rischi;
3. i report, le interfacce, le configurazioni e i calcoli cruciali che impattano il processo e i
controlli.
In vista dell’ottemperanza all’ICFR/SOX, si sono individuati alcuni punti critici sui quali
intervenire, a livello di organizzazione dei processi e delle attività a supporto di questi: in
primo luogo un miglioramento della qualità dei documenti che descrivono i processi end-to-
end, per supportare la comprensione dei flussi transazionali più significativi da parte
dell’auditor esterno (ciò è espressamente raccomandato dal PCAOB).
Mentre nelle aree di rischio meno critiche si raccomanda comunque di dare fiducia al
management nell’azione di controllo, per i processi più critici l’internal audit deve farsi da
tramite con la società esterna di consulenza (E&Y) incaricata del process mapping.
Si devono quindi identificare le “major class of transactions” (MCOT) sulla base delle
responsabilità degli attori e dei processi che li coinvolgono, e catalogare i rischi finanziari per
poter fare uso di questa tassonomia nella terza linea di controllo (che ricordiamo è quella
dell’internal audit laddove le prime due sono quelle operative e di controllo del business: cfr.
§2.6).
Come si è detto questi interventi di miglioramento della documentazione non si possono
soltanto basare su una comunicazione “narrativa”, ma devono prevedere l’uso del formalismo
non ambiguo dei diagrammi di flusso, oltre che del formalismo quantitativo delle matrici
rischio/controllo (RCM).
Per quanto riguarda le componenti del sistema di controllo (report, interfacce,
configurazione, calcolo), queste devono essere integrate alle componenti IT e gestite non in
automatico, per garantire l’accountability.
A fronte di questi suggerimenti di miglioramento, è bene ricordare che Fiat aveva già un
solido background in tema di ICFR: per esempio c’era stata la sperimentazione di due progetti
pilota nel 2013, “integrated approach for operational” e “ICFR and ICT risk evaluation”.
54 Ibidem.
97
Per il processo ICFR della Fiat era inoltre già iniziato un allineamento con la SOX a
partire dalla fine del 2013, in una visione di integrazione a seguito della fusione con Chrysler.
La metodologia di quest’ultima è stata a sua volta migliorata in alcuni aspetti, per esempio
con la consapevolezza di dover integrare lo sguardo sui processi di business con l’uso di
strumenti informatici standard e di cataloghi di rischi già compilati in modo tale da far tesoro
delle esperienze già accumulate invece che partire da una “tabula rasa”.
Infatti l’approccio Chrysler al tema ICFR era, come ovvio, completamente dominato dalla
necessità di compliance con la SOX55: in particolare, già utilizzava i formalismi citati per la
comunicazione in aggiunta a quella testuale nella propria documentazione, e tuttavia poneva
poca attenzione all’integrazione fra le informazioni sui rischi operativi e i rischi informatici,
mentre aveva gradualmente esteso l’approccio anche ad altre aree di business (cioè al
controllo della reportistica non necessariamente finanziaria), focalizzandosi sempre sulle aree
operative.
La mappatura dei processi svolta dalla funzione di internal audit di Fiat si basava su una
metodologia che pure era indirizzata dalle raccomandazioni e prescrizioni della SOX, e che
fornisce56:
1. template standard per i singoli documenti da controllare: diagrammi di flusso, testi,
matrici rischio/controllo, test, etc;
2. istruzioni operative per l’uso dei template;
3. linee guida per la documentazione dei controlli manuali che dipendono dall’uso di
strumenti informatici e delle componenti del sistema (report, interfacce, calcoli,
configurazioni);
4. “walk-through test” (WTT), cioè procedure che gli auditor devono svolgere per
accertare l’affidabilità delle procedure di controllo, orientati alla validazione della
progettazione dei controlli (sia nuovi sia scaturiti da modifiche a controlli esistenti);
5. una “collaboration room”, cioè un’area condivisa nell’infrastruttura informatica per i
documenti, mantenuta dal PMO e che include gli esempi di documentazione ricevuti
da Chrysler, i cataloghi del rischio finanziario e altre best practice.
In effetti, per ciascuna Major Class Of Transaction (MCOT) si seguiva un processo
standard, i cui dettagli descriveremo fra breve, ma che, macroscopicamente, vede l’intervento
del management della azienda owner della classe di transazioni oggetto di descrizione, prima
55 Ibidem.
56 Ibidem.
98
di tutto in una riunione iniziale in cui, sotto la supervisione del management, il provider dei
servizi analizza la documentazione disponibile sulla class of transaction in esame e delinea
come procedere nella fase di mapping del processo, ma anche nello svolgere questo mapping,
per mezzo di una analisi che comporta interviste, walk-through test (WTT), etc. e al termine
della quale la descrizione documentale del processo (corredata da diagrammi di flusso) viene
prodotta, e infine nel condividere la documentazione prodotta con il management e con il
gruppo ICFR dell’azienda che, assieme al consulente esterno (in questo caso E&Y), validano
la documentazione.
Queste macro fasi sono dettagliate ulteriormente in una serie di passi intermedi che
coinvolgono anche altri attori e che possiamo riassumere come segue57:
1. Nella prima fase si raccoglie la documentazione disponibile: questa è una attività che
ovviamente pesa poco in termini temporali;
2. Si produce quindi la documentazione di processo, con un lavoro sul campo
(fieldwork), che impegna un tempo dipendente dalla complessità della struttura e delle
transazioni che si intendono mappare;
3. Si condivide la documentazione con il management, attività ovviamente rapida;
4. A questo punto l’internal audit svolge un primo controllo di qualità, al termine del
quale l’ICFR e l’IT aziendale validano la documentazione, nelle sue componenti
narrative, di diagrammi di flusso, di RCM e di WTT;
5. L’internal audit esegue i walk through test sui controlli chiave nella documentazione
validata e svolge un’altra quality review;
6. Una volta validata dall’internal audit, la documentazione riceve anche l’approvazione
del ICFR, dell’IT e della società esterna.
L’organizzazione che sovrintende a questo processo prevede uno steering committee che,
unitamente a un operating committee, si occupa di fornire metodologie, approcci e risorse alle
strutture che operano sul campo nell’implementare i passi che abbiamo appena descritto, e
che constano di gruppi di tre elementi dell’internal audit, con funzioni di lead auditor,
assistant e IT auditor per ciascun processo legato a una MCOT.
L’analisi di questo processo da parte di E&Y ha rilevato alcuni punti di attenzione, che
poi sono stati implementati o messi a piano dopo la fusione e quando nuovi progetti di
integrazione e miglioramento del sistema di controllo interno sono stati pianificati.
57 Ibidem.
99
In particolare, a proposito del delicato tema dei controlli chiave, è stato rilevato che un
elemento fondamentale per la comprensione di questi controlli e una loro efficace messa in
opera è per prima cosa il tipo di controllo che viene definito (per esempio se manuale,
automatico, manuale dipendente da risultati dell’IT), e verificare che questo tipo di
definizione per quel particolare controllo lo rende effettivamente in grado di mitigare il
rischio associato, intercettando e correggendo i misstatements.
C’è poi la questione della verifica dell’appropriatezza dei controlli, nel senso della loro
capacità di effettivamente individuare la presenza di un misstatement, e del susseguente
follow-up, in particolare di come sono trattati gli errori e come vengono messe in campo le
strategie risolutive.
Infine si è evidenziata la necessità di verificare che i controlli siano svolti da dipendenti
che posseggono i necessari requisiti di accountability e competenza per attuarli in maniera
effettiva, e che la segregazione dei compiti sia realizzata efficacemente anche in fase di
progetto dei controlli.
Queste raccomandazioni, integrate da altre analisi, process mapping e per tramite
dell’utilizzo di nuovi strumenti hanno condotto, tramite una serie di progetti strategici, Fiat e
Chrysler a produrre una sintesi dei loro sistemi di controllo interni che dà origine al sistema di
controllo interno di FCA.
Nel prossimo capitolo ci focalizziamo su questo progetto di ampio respiro e sulle
modifiche che la struttura fin qui descritta ha dovuto e dovrà sostenere per portarlo a
compimento.
100
Capitolo 3 . Governance, Risk Management and
Compliance in FCA
In questo capitolo consideriamo l’evoluzione e il consolidamento del sistema integrato di
Governance, Risk Management e Compliance presso FCA, a seguito della fusione fra Fiat e
Chrysler, ponendo in particolare l’accento sugli aspetti dell’infrastruttura di supporto e sulle
conseguenze relative all’organizzazione e al modello di business dell’Internal Audit &
Compliance di FCA, rispetto alle funzioni omologhe in Fiat e Chrysler.
Per prima cosa affrontiamo il tema del GRC nei suoi aspetti generali e nella declinazione
specifica che gli è stata conferita in FCA.
L’altro aspetto considerato centrale nella definizione del modello GRC di FCA concerne
l’ infrastruttura tecnologica e l’ingegnerizzazione del processo implementato, in particolare
per quanto riguarda la selezione e la configurazione del prodotto informatico di supporto, sul
quale ci soffermiamo nella parte centrale del capitolo.
Questi due aspetti sono focali per il progetto di convergenza dei sistemi di controllo
interno di Fiat e di Chrysler nel sistema di controllo interno di FCA basato sul concetto di
GRC già discusso.
Le linee guida sono state la conformità allo standard ERM del COSO, la compliance alla
normativa italiana e statunitense in materia di frodi fiscali e una attenzione continua e
centralizzata nei confronti del risk assessment quale attività irrinunciabile per l’Internal Audit
a copertura di tutti i processi aziendali che generano rischi.
Discutiamo inoltre in dettaglio quelli che erano i modelli “as is” di Fiat e Chrysler per le
rispettive funzioni di controllo interno e il modello “to be” proposto e poi realizzato fra il
2012 e il 2014.
In particolare si tiene anche conto dell’analisi decisionale relativa alla scelta e alla
definizione dei requisiti del sistema informatico di supporto, basato su una soluzione
proprietaria per la quale è stata chiesta la customizzazione al fornitore sulla base delle quattro
aree organizzative su cui convergere: processi, rischi, controlli e modello organizzativo.
Si dà ampio spazio a una disamina delle caratteristiche funzionali di questo prodotto e alla
genesi delle scelte dei requisiti che hanno condotto alla definizione e alla richiesta di queste
101
caratteristiche, mantenendo, come richiesto dai nostri referenti in FCA, il riserbo sui dettagli
del fornitore del prodotto stesso.
Particolare enfasi è data, nella discussione, agli strumenti di supporto al controllo e al
monitoraggio, per i quali è stata condotta una analisi preliminare molto dettagliata.
Chiudiamo il capitolo affrontando gli aspetti di processo della nuova organizzazione, con
particolare riferimento alla funzione di Internal Audit, in riferimento alla quale ne
descriviamo gli impatti organizzativi, e descrivendo gli strumenti informatici di supporto
richiesti per ciascuna fase del processo di Internal Audit.
Una breve panoramica dello stato attuale del sistema di controllo interno e delle
prospettive future chiude il capitolo.
3.1 GRC: Governance, Risk Management and Compliance
Uno dei criteri cardine della governance di una azienda, e questo è tanto più vero nel caso
di aziende di grandi dimensioni, gruppi industriali e multinazionali, è che il Consiglio di
Amministrazione sia consapevole della natura dei rischi che possono frapporsi al
raggiungimento degli obiettivi aziendali e abbia predisposto la messa in campo delle azioni
necessarie atte a mitigarli.
Compito del Consiglio di Amministrazione è di indirizzare la governance dell’azienda,
secondo una visione strategica: esistono molti modi di qualificare il termine “governance”,
uno dei quali, interessante ai fini della discussione che segue, è di intendere questa parola
come sinonimo di “ripartizione e allocazione del potere decisionale fra Consiglio di
Amministrazione, Management e shareholders”58, sebbene principalmente si intenda con
“governance” le azioni intraprese dal management nel dirigere una società.
In quanto tale la governance non può prescindere dall’analisi e gestione dei rischi, né dalla
conoscenza e ottemperanza delle regole interne ed esterne: l’integrazione di queste tre
dimensioni nella conduzione del business aziendale corrisponde al GRC.
Un elemento cruciale del GRC è la cultura aziendale, compreso il “tone of the top” che
abbiamo menzionato nel §2.12.1 a proposito dell’implementazione del COSO III presso FCA.
Ma la cultura aziendale è definita e implementata anche dalla convinta condivisione dei
valori aziendali, come il codice etico, che rendono l’azienda non semplicemente un insieme di
58 Cfr. Steinberg (2011), p. 2.
102
persone con interessi diversi, ma una comunità che viaggia nella stessa direzione al fine di
raggiungere gli obiettivi di business.
Infatti oltre alla definizione e alla comprensione delle soglie di rischio dell’azienda, con la
conseguente necessità di gestirle, una sempre maggiore assunzione di responsabilità e
trasparenza è richiesta ai dirigenti e al Consiglio di Amministrazione sia dai clienti che dagli
attori istituzionali che stabiliscono regolamenti e policy.
I costi per il mantenimento di una buona reputazione e della compliance con tutte le
regole cui l’azienda è soggetta sono ovviamente importanti, e questi costi crescono quando le
risorse messe a disposizione per la “struttura” aziendale, al di là delle unità produttive,
tendono a diminuire.
Il costo stimato negli Stati Uniti speso dalle aziende in GRC è di circa trenta miliardi di
dollari (dati del 201059), investimenti più che costi, legati alle nuove priorità di budget,
focalizzate sia sull’operational risk management che sull’enterprise risk management; le
aziende sono sempre più consapevoli che focalizzare tempo, denaro e risorse sul GRC è ormai
una necessità.
Va precisato che il GRC non è una disciplina specifica o una pratica ben definita, piuttosto
costituisce il tentativo di sviluppare un approccio integrato e unificato a diverse attività ed
eventi gestionali all’interno dell’azienda, come ad esempio60:
risk management
policy management
compliance management
business continuity management
asset management
audit management
threat management
incident/event management
vendor management.
Naturalmente istanziare un processo integrato di questo tipo, specie in realtà molto
complesse, è impresa sfidante e richiede tempi lunghi, il cui successo non è assicurato.
Tuttavia è fondamentale per una strategia lungimirante che aspiri a rendere l’azienda un
59 Cfr. Hagerty, Kraus (2009).
60 Cfr. Beck, Teller-Kanzler (2009).
103
organismo che opera in realtà complesse, muovendosi in modo armonioso e non
semplicemente un insieme di moduli ciascuno con le sue funzioni specifiche.
Va tuttavia rilevato come gli oneri e i costi, specialmente quelli iniziali, del GRC siano
tali che solo poche grandi aziende hanno creato questa struttura, fra queste aziende figura
FCA61.
Una volta consolidata la cultura aziendale necessaria, e quindi fatta la scelta
dell’investimento nel GRC, l’aspetto fondamentale sul quale focalizzarsi è il rischio
operazionale, cioè il rischio di perdite, dirette o indirette, risultanti da processi interni,
personale e tecnologie non efficaci o inadeguati, ovvero da eventi esterni: come sappiamo,
accanto al rischio di credito e al rischio di mercato, il rischio operazionale costituisce il
fondamento dell’enterprise risk management.
Anche se la declinazione di un GRC è specifica della realtà aziendale in quanto deve
tenere conto di molte variabili e di numerosi aspetti dell’impresa nella quale viene applicato, è
possibile stabilire alcuni capisaldi nella progettazione e realizzazione di un modello GRC
efficace, fra i quali:
Identificazione, classificazione e accountability per i rischi;
Applicare i concetti dell’ERM (non necessariamente del framework ERM del COSO
ma comunque ispirati alle metodologie e alle prescrizioni di questo);
Consolidare e mantenere l’insieme delle policy, interne ed esterne, che l’azienda deve
rispettare e farle proprie, a livello di bagaglio culturale e di comportamenti quotidiani;
Approccio integrato alla governance, al rischio e alla compliance;
Operational risk management.
Un modello efficace di GRC coinvolge necessariamente l’organizzazione aziendale, il
personale, la tecnologia e i processi, connettendo questi quattro asset fra loro secondo lo
schema che sintetizziamo nella figura seguente, ispirata al business model per la sicurezza
delle informazioni dell’ISACA62.
61 Ispirata a Beck, Teller-Kanzler (2009).
62 Cfr. ISACA (2009).
104
L’interazione fra le realtà aziendali evidenziate nella figura come i nodi del grafo tramite
le frecce, che rappresentano i fattori di connessione, viene promossa, sistematizzata e resa
operante in modo continuativo dal GRC.
La realizzazione effettiva di un GRC che consenta tutto questo passa chiaramente per un
processo di definizione, messa a punto e monitoraggio continuo: in particolare i controlli,
utilizzati nell’identificazione dei rischi, sono una parte importante di questo processo, anche
se non costituiscono eventi indipendenti e statici: piuttosto i controlli sono spesso fra loro
correlati, sia nell’impatto che nelle relazioni di dipendenza reciproca.
Il modello COSO, nelle sue varie fasi evolutive, rappresenta un framework standard per
poter realizzare l’implementazione dei controlli in modo integrato rispetto allo schema che
stiamo discutendo, e non a caso nella realtà FCA sulla quale ci concentriamo nel prosieguo di
questo capitolo dopo queste premesse introduttive, è proprio attraverso il mantenimento di
questo framework, nelle sue diverse versioni pre-esistenti che è stato realizzato il GRC.
Un altro aspetto fondamentale nel GRC, sul quale FCA ha posto l’accento, è il ruolo
dell’ingegnerizzazione e delle tecnologie da utilizzare.
L’ingegnerizzazione e l’utilizzo di tecnologie nelle attività di GRC da parte di una realtà
aziendale consentono di contenere i costi dovuti all’effort manuale, principalmente costi di
risorse umane ma anche di tempo e schedulazione, rafforzando l’affidabilità dei risultati
“EMERGENCE” SUPPORTO
ORGANIZZAZIONE
PERSONALE
PROCESSI
TECNOLOGIE
CULTURA
FATTORI UMANI
INFRASTRUTTURE
105
grazie alla loro maggiore riproducibilità (e quindi facilità nel riscontrare anomalie ed errori) e
in parte riducendo il rischio dovuto all’errore umano, anche non doloso.
L’ingegnerizzazione non si deve limitare ai singoli strumenti, ma al processo stesso il cui
flusso, se correttamente digitalizzato, può essere parzialmente gestito dagli strumenti
tecnologici.
Possiamo citare, per esempio, piattaforme web (nel senso che comunicano tramite la
Intranet aziendale) che offrono dei front-end di analisi per i back-end di memorizzazione dei
dati, come per esempio le Business Intelligence (BI) costruite sopra i datawarehouse, o anche
notifiche e alert automatizzati, invio di e-mail in automatico a fronte del verificarsi di
determinati eventi, notifiche push etc. Tutto questo è in grado di migliorare la qualità dei
risultati e rendere il processo più snello e meno prono a errori.
Vedremo nella specifica realtà di FCA come il ruolo dei sistemi IT centralizzati sia stato
focale rispetto alla realizzazione del progetto di GRC.
3.2 L’implementazione della fusione dei processi di controllo interno di
Fiat e Chrysler in FCA
La fusione di due grandi aziende, ciascuna ramificata in più settori e con presenze in
luoghi geografici anche molto distanti, è chiaramente una impresa di portata notevole: le
fusioni sono sempre dettate da obiettivi strategici finalizzati al business, per esempio
l’aggressione di nuovi segmenti di mercato o l’ampliamento su nuove aree di business.
Spesso, a fronte di questi obiettivi primari, le fusioni comportano una serie di
conseguenze magari prevedibili, ma che non costituivano il motivo primario della fusione: per
esempio Fiat e Chrysler si sono fuse per mettere a fattor comune le linee di produzione e i
diversi target di clientela delle rispettive aziende, non per unificare i sistemi di controllo
interno, sebbene questa sia stata una necessità derivata dalla scelta della fusione.
Obiettivo di questo terzo capitolo è descrivere il progetto di fusione fra i sistemi e le
metodologie di controllo interno, nonché gli strumenti IT a supporto, utilizzando il materiale
interno messo a disposizione da FCA durante lo stage.
106
3.2.1 La pianificazione del processo di convergenza dei sistemi di controllo
interni di Fiat e Chrysler
La pianificazione e la progettazione dell’unificazione delle strutture di controllo interno e
di auditing di Fiat e Chrysler, nel nuovo assetto aziendale di FCA, sono state avviate nel
2012, sebbene, a livello di top management fosse chiaro ancor prima che con la fusione
un’integrazione dei due sistemi di controllo sarebbe stata inevitabile.
Macroscopicamente, come affermato nella documentazione di alto livello riguardante il
progetto di integrazione63, i prerequisiti imprescindibili nel disegno della soluzione sono stati:
Aderenza completa al modello ERM;
Focus sulla compliance alle normative italiana (Legge 262/05) e statunitense (SOX
404) per quanto riguarda l’ICFR;
Internal audit risk assessment finalizzato alla definizione dei piani annuali di audit.
Questi tre pilastri sono stati considerati fin dall’inizio il fondamento attorno al quale
costruire la soluzione “to be” dell’Integrated Risk Assessment: quest’ultimo doveva
chiaramente rispecchiare l’organizzazione del Gruppo, sia a livello “fisico”
(regionale/settoriale, etc.) che logico (aree di business, etc.), secondo il seguente schema
gerarchico64
63 Fiat Chrysler Convergence Project ICFR/SOX/ERM. Integrated risk assessment:main functionalities of the
process. April 2012.
64 Cfr. Ibidem.
Region/Sector/etc
(1° level of GEC) Legal Entity
Business Area (2° level of GEC)
Legal Entity Business Area
Legal Entity Sub-Business
Area
Group
107
A fronte di questo modello di organizzazione dei dati, si lasciava completa libertà
all’utilizzo degli stessi fattori di rischio sia da parte dell’ERM, che dell’ICFR e del risk
assessment dell’internal audit, secondo una modalità di supporto sia top-down (per esempio
attuata a livello regionale) che bottom-up (per esempio attuata a livello di entità legale/sotto
area di business).
Pertanto la preoccupazione principale era garantire la possibilità di gestire la complessità
dei singoli livelli gerarchici in maniera sostanzialmente indipendente, ottenendo quindi un
risk assessment ai diversi livelli della struttura organizzativa, e di dare continuità a questa
azione con valutazioni periodiche del rischio basate sulle risultanze dei test e degli audit.
Questa pervasività dell’attività di analisi dei rischi comportava la necessità di valutazioni
multiple dello stesso fattore di rischio, svolte da persone e dipartimenti diversi, con la
necessità anche di fornire diversi “risk scoring” per ciascuna unità di risk assessment (internal
audit e ICFR) tramite la combinazione delle valutazioni dei singoli fattori di rischio, con la
conseguente gestione della sintesi di questi risultati.
Un’analisi di questo tipo si presta a metodologie flessibili e proattive, come la “what-if”
analysis, al fine di modellare i diversi scenari scaturiti dalla diversa attribuzione di peso ai
singoli rischi, ma pone anche problemi di sicurezza e correttezza dell’informazione, legati alla
segregazione degli accessi e delle autorizzazioni sulla base delle diverse unità organizzative di
appartenenza (regione, paese, processo di business, etc.).
Naturalmente l’enfasi principale era posta sul tema della reportistica finanziaria, per la
quale si era stabilita di continuare a osservare le prescrizioni del modello COSO, in modo da
poter attuare una valutazione dei rischi contabili ai fini della compliance alle normative
vigenti.
Infine i requisiti espliciti della funzionalità di risk assessment erano considerati la
realizzazione di un workflow “user-friendly” per la comunicazione fra i diversi attori (per
esempio tramite lo scambio di e-mail invece che di canali più formali) e la valutazione dei
rischi tanto quantitativi quanto qualitativi.
Stanti questi requisiti, era prevista l’erogazione di una reportistica che fosse in grado di
fornire diversi punti di vista a partire da una stessa analisi (quello dell’internal audit, quello
dell’ICFR, quello dei risk owner, etc.), fornendo report specifici per i diversi livelli e
responsabilità organizzative.
108
Dal punto di vista metodologico, oltre all’ovvia necessità di fornire dati confrontabili dal
punto di vista temporale per poter operare raffronti e individuare trend, questa reportistica
doveva essere facilmente fruibile sugli usuali strumenti di ingegnerizzazione d’ufficio e
tramite dashboard web-based, corredati da grafici ed elementi visuali in grado di attrarre
rapidamente l’attenzione su dati critici e su indicatori di monitoraggio particolarmente
significativi.
Nelle strutture esistenti un consistente overlap di attività e impegno manageriale poteva
essere ridotto nel nuovo sistema integrato: in particolare sia ERM, sia ICFR che Internal
Audit dovevano migliorare il proprio modello di valutazione, quantitativo e qualitativo, dei
fattori di rischio in modo da facilitarne la sintesi nel nuovo sistema integrato.
Ciò che in sostanza si chiedeva al nuovo sistema era quindi di filtrare le diverse istanze
delle valutazioni dei rischi di queste tre entità e sintetizzarle in due categorie, fattori
qualitativi e fattori quantitativi, secondo lo schema illustrato nella figura seguente65:
65 Cfr. Ibidem.
109
Si noti come i fattori di rischio siano stati mappati in modo integrato sulle due categorie di
fattori di rischio contemplate dal sistema integrato.
A questa integrazione organizzativa continua a corrispondere una struttura che consente ai
fattori di rischio sia quantitativi sia qualitativi di essere analizzati e raccolti nelle unità
organizzative più appropriate (gruppo, regione/settore/etc., legal entity, business area, etc.).
Come parte del processo di valutazione dei rischi, viene svolta anche una “analisi di
ambito” per quanto concerne ICFR/SOX: tale analisi utilizza i fattori di rischio individuati per
poter valutare in modo corretto il contenuto dei report economico-finanziari.
85 ERM business/strategic
risk factors
Accounts
Previous test results
Judgments and
estimates
Previous year ICFR deficiencies
Headcount
Materiality
Organizational changes
ICT application risks
24 factors included in the 1° legal entity
ICFR questionnaire
factors included in the 2° legal entity
ICFR
other factors
IA valuations - audit opinion and last
Fraud risk - Fraudolent Financial Statement
110
Analogamente, l’Internal Audit nello svolgere le proprie attività dispone di strumenti in
grado di organizzare le evidenze, ottenute dalle entità legali e dalle aree di business, secondo
un modello che tenga conto della valutazione dei rischi.
3.2.2 I modelli alla base della nuova struttura organizzativa
Per realizzare il progetto di integrazione di un modello unificato di GRC fra Fiat e
Chrysler è stato necessario costituire questo modello su una struttura organizzativa, di
processo e di rischio (con particolare riferimento all’elenco dei rischi) orientate
all’unificazione dei modelli di dati66 esistenti.
Particolare enfasi è stata posta sugli strumenti di ingegnerizzazione ed informatici e sulle
tecnologie innovative in tema di infrastruttura IT a supporto: in particolare, stimata la non
adeguatezza del precedente strumento informatico a disposizione di Chrysler, una software
selection è stata condotta, nel 2012, in merito alla scelta del software di GRC più adeguato per
la nuova organizzazione che si andava delineando.
Allo scopo, una “Request for Quotation” (RFQ) fu richiesta a quattro fornitori individuati
fra i leader nel settore dei prodotti e framework informatici dedicati al GRC67: tre di questi
risposero alla richiesta con un’offerta, due della quale risultarono maggiormente in linea con i
requisiti funzionali richiesti nella RFQ.
La scelta fu quindi condotta fra due soluzioni tecnologicamente avanzate ed entrambe in
grado di soddisfare i requisiti richiesti: la scelta definitiva fu dettata in parte da criteri
economici, in parte da criteri tecnologici.
Il fornitore che risultò assegnatario della commessa di sviluppo del framework GRC
propose una soluzione facile da usare e più economica, sebbene l’altra fosse più
funzionalmente aderente ai requisiti proposti: tuttavia la soluzione poi scelta propose una sua
seconda release che avrebbe fornito una versione maggiormente integrata e completa, in linea
con i requisiti funzionali espressi da FCA.
Questo processo di analisi è stato cruciale in merito alla progettazione e realizzazione del
nuovo modello di GRC, il cui obiettivo era di sviluppare un framework comune e una
soluzione integrata di ICFR/SOX, Audit ed ERM, proprio per offrire uno strumento di
66 Fiat Chrysler Convergence Project ICFR/SOX/ERM. GRC Steering Committee, December 2012.
67 Su richiesta del management FCA non diamo disclosure delle aziende coinvolte nella RFQ, né menzioniamo
esplicitamente l’azienda scelta: questa informazione non è peraltro rilevante ai fini della nostra analisi.
111
gestione delle correlazioni fra rischi strategici, di business e contabili rispetto ai report
finanziari interni ed esterni.
Quale che fosse il modello proposto, e la soluzione informatica di supporto, questi
avrebbero dovuto fondare la loro azione su quattro pilastri68:
La progettazione e l’adozione di un modello di processi comune: questa fase è stata la
prima a essere completata, con un allineamento dei processi di Fiat e Chrysler in
pratica completato già nel 2012, una convergenza con i processi IT, basati sul modello
Cobit, e una analisi dei processi non strettamente collegati all’ICFR, come per
esempio il marketing, il manufacturing, etc. A seguire sarebbe stato necessario:
o Collegare i processi ai vari livelli della struttura organizzativa;
o Collegare i processi principali alla reportistica finanziaria;
o Calibrare la struttura dei processi sulla base delle evidenze contabili esistenti;
o Pianificare dei progetti pilota di mapping dei processi da parte dell’Internal
Audit di Fiat.
Un modello di rischio che offrisse una classificazione integrata dei rischi, per poterli
gestire rispetto alle varie aree di impatto dei rischi stessi (strategica, operativa, di
conformità e di report finanziario) nei vari livelli dell’organizzazione.
Per realizzare questo modello, è stato necessario:
o Tenere conto delle metodologie di rischio usate in Chrysler;
o Razionalizzare e allineare il portafoglio dei rischi (in merito a ICFR/SOX) fra
Fiat e Chrysler;
o Condurre una analisi di ICFR risk assessment da parte di Fiat;
o Definire i rischi operativi riferiti ai processi identificati nel modello, come
necessario per le attività dell’Audit, attività per la quale Fiat si è avvalsa di una
società di consulenza.
A fronte di tutto questo, il modello dei rischi è stato poi implementato sulla base
della classificazione ERM, in sinergia anche con i rischi operazionali e di
reporting finanziario. Inoltre i rischi operazionali sono stati validati per ciascun
processo di una certa importanza.
68 Fiat Chrysler Convergence Project ICFR/SOX/ERM. GRC Steering Committee, December 2012.
112
Un modello di controllo comune associato alle specifiche entità di controllo: questo è
stato sostanzialmente ottenuto attraverso la definizione di una mappatura e
aggiornamento dei controlli rispetto ai rischi identificati.
Un modello organizzativo per gestire sia dal punto di vista legale che manageriale le
diverse attività facenti capo a ERM, ICFR/SOX e Internal Audit: sotto questo punto di
vista, l’esigenza principale che si è manifestata da subito è stata quella di aggiornare la
struttura organizzativa di Chrysler per poterla allineare con quella di Fiat, già declinata
a livello di regione/settore produttivo.
La coesistenza e integrazione di questi quattro modelli consiste essenzialmente nel
modello dati alla base dei requisiti per il software di GRC e per il processo stesso di GRC.
Le principali correlazioni fra questi modelli e il loro intervento a livello di strutture
organizzative coinvolte nel GRC sono illustrate nella figura seguente69:
Questo stream di progetto concernente il modello dati è stato portato avanti in parallelo ad
altri stream relativi a:
69 Fiat Chrysler Convergence Project ICFR/SOX/ERM. GRC Steering Committee, December 2012.
Account
Process
Gruppo
Region/Sector/etc
(1° level of GEC)
Legal Entity
GEC
Business
function Legal Entity
business
function
Legal Entity
Division
Legal Entity
sub-business
function
ICFR
Fiat Internal Audit
ERM
Risk
Control
necessario
opzionale
Attività:
113
Valutazione integrata dei rischi: dopo la convergenza della metodologia di risk
assessment in merito a ICFR/SOX, seguita al confronto delle diverse metodologie, in
particolare al progetto pilota di Chrysler sull’ERM, nel 2013 è stata implementata
questa valutazione integrata con una progettazione di dettaglio del processo di
valutazione dei rischi (regole di calcolo, risk scoring automation, etc.) in modo da
preparare dei requisiti di configurazione per lo strumento software scelto (fine tuning
del framework).
Segregazione dei ruoli: il primo passo è stato l’allineamento fra le politiche di Fiat e
Chrysler in merito a questa tematica, con team integrati delle due aziende che hanno
valutato gli scostamenti in modo da identificare eventuali gap o inefficienze. Questa
analisi ha reso possibile una analisi comparativa dei conflitti in merito alla
segregazione dei ruoli e anche evidenziato una dettagliata gap analysis finalizzata alla
stesura di un documento unificato (matrice SOD relativa all’ICFR/SOX).
Scelta dell’infrastruttura software: abbiamo già evidenziato come le attività del 2012
si siano concentrate su una analisi decisionale orientata alla scelta del fornitore e del
prodotto da utilizzare per il modello unico di GRC. Va anche sottolineato come,
indipendentemente dal framework scelto, esistessero comunque scenari applicativi
diversi per l’installazione e l’uso di questi programmi:
o Architettura software basata sull’hosting interno, vale a dire il framework
viene installato all’interno dell’infrastruttura ICT di FCA.
o Architettura software basata sul cloud, SaaS (Software as a Service), in cui sia
il software che l’hardware necessario sono erogati dal fornitore.
Il primo scenario è stato ritenuto più conveniente, soprattutto in relazione alle sinergie
fra licenze e spese di implementazione e configurazione.
In particolare queste attività prevedevano l’identificazione di un risk assessment
framework comune sia a Fiat che a Chrysler, in merito al rischio ICFR/SOX per i report
finanziari, in modo da ottimizzare le sinergie con l’Internal Audit e la valutazione dei processi
secondo l’ERM.
3.2.3 Struttura progettuale del processo di convergenza
Data la complessità del processo di convergenza delle strutture di controllo interne di Fiat
e Chrysler dopo la fusione di queste due aziende, questo processo è stato gestito come un vero
e proprio progetto, con una sua pianificazione e delle risorse messe a sua disposizione.
114
L’organismo cui è stata affidata la supervisione dell’intero progetto è stato lo Steering
Committee, composto da 12 persone, scelte fra Fiat e Chrysler, in rappresentanza di funzioni
distinte: di questi, cinque coppie (composte da una persona proveniente da Fiat e una da
Chrysler) provenienti rispettivamente dalle funzioni di: ICFR/SOX/ERM, Internal Audit, ICT,
Tesoreria, Area Legale, con l’aggiunta di un membro di Fiat Services e di un membro
dell’HR di Fiat/Chrysler.
Oltre a questo Steering Committee, e direttamente subordinato a questo, è stato designato
un “program leader” con la funzione di guida del progetto stesso, proveniente dall’Internal
Audit di Chrysler.
A queste strutture di supervisione è subordinata una struttura operativa, l’Operating
Committee, così composto70:
Tre persone provenienti dal mondo ICFR/ERM (uno di Fiat, due di Chrysler);
Quattro persone provenienti dal mondo ICT (tre da Fiat, uno da Chrysler);
Due persone della Tesoreria (uno da Fiat, uno da Chrysler);
Due persone dell’area legale (uno da Fiat, uno da Chrysler);
Cinque persone provenienti dall’ Internal Audit di Fiat (due) e di Chrysler (tre);
Una persona dalla contabilità Fiat;
Una persona da Fiat Services.
Questo comitato operativo assolve sostanzialmente le funzioni di team leadership nei
confronti dei team operativi messi a disposizione.
I team operativi sono composti per aree funzionali: uno per ICFR, uno per ERM, uno per
l’Internal Audit, formati da persone provenienti da Fiat, e supportati da un team ICT; un team
per SOX, uno per ERM, uno per l’Internal Audit e un team per la tesoreria, formati da
persone provenienti da Chrysler, e supportati da un team ICT.
Oltre a questi sono stati costituiti un team di persone HR e un team di persone di area
legale, bilanciati nella provenienza fra Fiat e Chrysler, e i team regionali e settoriali, ai quali
parteciparono anche risorse provenienti da società del gruppo, come Magneti Marelli, Ferrari,
Teksid, etc.
70 Fiat Chrysler Convergence Project ICFR/SOX/ERM. GRC Steering Committee, December 2012.
115
Questo “organigramma di progetto” riflette la complessità e la molteplicità strutturale del
gruppo, e corrisponde sostanzialmente a una divisione fra parte manageriale e parte operativa:
quest’ultima ha avuto il compito vero e proprio di predisporre la progettazione funzionale e
tecnica del processo di convergenza, cioè di disegnare il nuovo sistema di controllo interno a
partire dai due esistenti, tenendo conto delle esigenze della nuova entità FCA, mantenendo
quanto poteva contribuire a portare valore nella nuova struttura.
Questa progettazione tecnica e funzionale ha utilizzato un modello di dati come linea
guida, modello che è stato definito parallelamente alla progettazione: una volta terminata
questa progettazione, e completamente definito il modello, questi sono stati implementati
nelle realtà operative regionali e settoriali.
Le attività di progettazione tecnica e funzionale possono essere ricondotte alle seguenti
fasi progettuali71 che, come si vede, corrispondono in parte alle fasi tipiche del ciclo di vita di
un progetto:
Definizione dei requisiti funzionali
Definizione dei requisiti tecnici
Riesame delle funzionalità del sistema
Sviluppo della conoscenza degli strumenti sugli oggetti principali e le regole di
integrazione del sistema
Progettazione dei report principali
Riesame e validazione dei processi di business
Identificazione degli utenti chiave per degli “user acceptance test” anticipati (ossia una
fase di verifica dello sviluppo software in cui l'utente finale valida la corrispondenza
con i requisiti inizialmente espressi)
Identificazione e gestione di eventuali gap e problematiche sollevate dai test.
A queste attività di progettazione funzionale corrispondono, in parallelo, le attività di
definizione del modello dati, che pure possiamo enumerare come segue:
Identificazione degli oggetti fondamentali del modello
Predisposizione delle regole di calcolo del sistema
Predisposizione dell’interazione e l’integrazione degli oggetti
Definizione della struttura organizzativa
71 Fiat Chrysler Convergence Project ICFR/SOX/ERM. GRC Steering Committee, December 2012.
.
116
Definizione del catalogo dei rischi
Definizione del modello di processo
Definizione delle strutture di controllo
Definizione della logica di processo
Definizione della reportistica integrata
Definizione delle regole di migrazione dei dati
Definizione dei test.
Queste attività di data modeling sono svolte dai team composti da personale proveniente
dall’ Internal Audit, dall’ICFR/ER e dall’ICT.
I team di lavoro localizzati nelle aree regionali e settoriali del gruppo cooperano nello
svolgimento delle attività operative che possiamo sintetizzare come:
Acquisire nuovi framework di rischio
Implementare i modelli di processo
Implementare le connessioni fra rischi, controlli e processi come ridefiniti nel modello
stesso
Acquisire nuovi strumenti di conoscenza e trasmetterli nelle varie realtà locali
Assicurare una appropriata connessione e comunicazione fra i team locali e il comitato
operativo
Supportare gli “user acceptance test” a livello locale.
A valle di queste attività, il comitato operativo di cui sopra descritto svolge il ruolo di
supervisione e validazione attraverso le seguenti attività:
Definizione di nuovi framework di rischio
Definizione delle principali connessioni fra gli elementi del modello dati
Validazione della modellazione dei dati
Validazione della progettazione funzionale e tecnica
Guida delle aree regionali e settoriali nella implementazione del nuovo framework.
Come si vede da questa descrizione, il processo di convergenza e il suo governo sono
centrati attorno all’uso dello strumento informatico, non a caso componenti del mondo IT
sono coinvolti in modo trasversale nelle varie attività che abbiamo elencato.
Nel prossimo paragrafo descriviamo più dettagliatamente la struttura della componente IT
del processo di convergenza basata sul prodotto scelto.
117
3.3 Il progetto di convergenza verso una infrastruttura IT unificata a
supporto del controllo interno di FCA
Nel 2012 il gruppo Fiat/Chrysler ha individuato il fornitore e la piattaforma informatica da
questo proposta per la realizzazione dell’infrastruttura a supporto del GRC.
La struttura di base di questa piattaforma è uno dei punti di forza che, assieme alla
maggiore economicità rispetto ad altre proposte, ha portato alla sua scelta ed è inoltre
altamente modulare: questo vuol dire che l’architettura informatica del prodotto è concepita in
modo da poterlo estendere ed integrare facilmente.
Questa caratteristica è fondamentale dato il livello di complessità del processo di
convergenza e della soluzione GRC “to be” che ne costituisce il target.
Il prodotto è in grado di supportare gli standard più affermati in materia di controllo
interno, come il framework COSO-ERM, l’AS/NZ 4360 (relativo al risk management), le ISO
31000 e ISO 27000 (che si riferiscono rispettivamente al risk management e al mondo IT).
Nello specifico l’approccio del prodotto integra le seguenti aree di controllo:
Report finanziario (controllo interno)
Conformità (legislazione e policy)
Risk management operativo
Risk management strategico
Board & Entity management
Risk management IT
Process management e modeling.
Il sistema costruisce la Business Intelligence (BI) orientata al GRC come culmine di una
piramide che ha alla sua base il process management, per poi salire con la compliance e il risk
management, secondo lo schema illustrato nella figura seguente:
118
Partendo dalla gestione dei processi si implementa un monitoraggio continuo della
conformità alle policy e alle regole del sistema, e sulla base di questi presupposti si può
svolgere l’analisi dei rischi, la valutazione dei rischi e alimentare un database di lesson
learned relative ai danni causati da rischi non gestiti.
La caratteristica della soluzione è di potersi espandere, successivamente alla usa
implementazione iniziale, al fine di includere ulteriori funzionalità, rendendo però disponibile
fin dalla sua installazione inziale una gestione centralizzata sia dei dati che
dell’amministrazione del sistema.
3.3.1 Il prodotto IT: caratteristiche generali
A livello di risk management, oltre a supportare i vari standard sopracitati, l’infrastruttura
IT prescelta supporta la gestione del risk management a diversi livelli e in diversi modi.
Per prima cosa fornisce un supporto alla definizione del catalogo dei rischi, che può essere
standardizzato o anche decentralizzato, aiutando nella definizione delle categorie di rischio e
alla collocazione dei singoli rischi all’interno di aree di business dell’azienda.
A proposito dell’identificazione dei rischi, il sistema aiuta a classificarli non solo in
relazione agli obiettivi di business sui quali impattano, ma anche in relazione a processi, asset
119
IT, ecc.. che può subire modifiche nel suo naturale ciclo di vita aziendale a seguito del
verificarsi di un particolare rischio.
L’analisi dei rischi viene condotta tramite lo strumento informatico, sulla base delle
potenziali perdite di dati, sulla base di contromisure già poste in essere e implementate, e sulla
base di scenari e indicatori di performance.
Ovviamente c’è la possibilità di classificare la probabilità e la severity di un rischio,
valutandola sulla base di una o più variabili distinte (dimensioni di rischio).
Gli amministratori del sistema possono configurare l’infrastruttura in modo da
amministrarne la misurazione e il monitoraggio continuo: report standard e dashboard che
illustrano i trend delle misure possono essere facilmente prodotti, così come i report per il
management.
Al censimento dei rischi si affianca quello della struttura organizzativa che ne
sovraintende la gestione: il sistema informatico consente di modellare al suo interno la
struttura organizzativa aziendale coinvolta nella reportistica sui rischi, in modo da erogare
report che siano adattati a questa struttura.
Il prodotto consente di configurare anche in corso d’opera la struttura organizzativa,
secondo uno schema gerarchico e funzionale capace di rappresentare l’organizzazione e i suoi
diversi livelli di intervento e accountability in merito all’analisi dei rischi: in particolare è
possibile specificare la gestione del rischio, all’interno del sistema, a livelli diversi.
Si può assegnare l’ownership del rischio sia a personale locale che corporate, ma anche
sulla base del contesto di business, specificando più dimensioni lungo le quali è possibile
intendere la natura del rischio o comunque un suo impatto: policy interne o esterne,
applicazioni informatiche o infrastrutture informatiche, processi o misure di controllo, etc.
Per esempio un rischio può essere categorizzato in una struttura gerarchica di classi di
rischio, o rispetto ai processi di business sui quali impatta: nella figura seguente si vedono
due finestre dell’applicativo che offrono questi due tipi di rappresentazione.
120
I responsabili della gestione del singolo rischio possono accedere ai loro contenuti, a
seconda della loro profilazione nel sistema.
L’applicativo richiede la collaborazione di molti dipendenti per il censimento e il data
entry relativo al catalogo dei rischi: questi ultimi devono essere censiti e categorizzati, anche
in relazione all’impatto che possono generare sui processi, una attività che si basa sul risk
assessment normalmente svolto nei vari livelli aziendali, ma che richiede anche l’uso
dell’applicativo a livelli e contesti differenti sia in ambito di direzione che si sedi regionali.
Questa attività di data entry va governata, e l‘applicativo supporta questa governance
tramite un sistema di autorizzazioni, da concedere o meno ai dipendenti deputati al data entry
e tramite flussi di approvazione che garantiscano una facilità di accesso al database per
alimentarlo, mantenendo al contempo quelle misure e vincoli di sicurezza che servono, per
esempio, a prevenire l’inserimento di dati non autorizzati da manager responsabili del
processo o del rischio, etc.
121
3.3.2 Il prodotto IT: gestione e tracciatura dei dati
Il sistema offre la possibilità di tracciare attività di ogni tipo, incluse quelle
amministrative, di gestione di credenziali e autorizzazioni etc., in modo da consentire una
ricostruzione puntuale del processo di definizione e gestione del rischio.
La raccolta di informazioni sui rischi che possono impattare i diversi processi di business,
avviene anche attraverso dei questionari online, compilati dalle persone coinvolte nei processi
(i responsabili in primis) per poter fornire un quadro preciso delle tipologie di rischio che
possono manifestarsi in una determinata area di business.
Vi è anche la possibilità di raccogliere informazioni da report emessi dagli owner dei rischi
locali.
Grazie a questo modo di raccogliere le informazioni, si può rappresentare all’interno
dell’applicativo un quadro preciso delle diverse tipologie di rischio.
Un’altra caratteristica del prodotto informatico, per quanto riguarda la raccolta dei dati, è
la possibilità di importare dati sui rischi già raccolti ed elaborati con altri strumenti, nonché la
centralizzazione di documenti preesistenti: l’applicativo ha al suo interno un sistema di
gestione documentale.
Oltre al supporto nella fase di raccolta dati, che confluiscono all’interno del suo database,
l’applicazione offre anche supporto all’analisi dei rischi sulla base delle informazioni raccolte.
In particolare, l’integrazione e la centralizzazione dei repository dei rischi in un unico
framework di controllo consente di far emergere ed approfondire le correlazioni fra i singoli
obiettivi di business e le classi di rischio specifiche.
Inoltre la storicizzazione nel database degli “incident” e delle perdite derivanti dalla
ricorrenza di un evento rischioso, permette l’individuazione dei punti deboli nei processi e nei
meccanismi di controllo, e consente al risk management di analizzare in modo quantitativo gli
eventi che in passato hanno portato a perdite, identificando così le cause e le possibili
conseguenze finanziarie dei rischi nei vari settori di business.
Le caratteristiche di integrazione e centralizzazione dei dati che il prodotto informatico
offre, hanno come conseguenza a livello di software la presenza di una unica tecnologia
integrata di business intelligence per la reportistica, consentendo non solo di rappresentare le
performance dei processi e gli indicatori di rischio in tempo reale, ma anche di includere dati
caricati da fonti esterne.
122
In questo modo il dashboard ERM offre la possibilità di individuare preventivamente i
punti deboli, monitorandoli sulla base delle evidenze raccolte.
In particolare la “ETL” (Extract, Transform and Load), un metodo standard di scambio
informazioni nei prodotti basati su datawarehouse e business intelligence, consente di caricare
dati dalle applicazioni tipicamente diffuse a livello gestionale nelle organizzazioni industriali
per il controllo amministrativo ed operativo, come per esempio i sistemi SAP e Oracle.
La reportistica per il risk management offre la possibilità di svolgere vere e proprie analisi
interattive degli scenari, a supporto dell’analisi dei trend delle perdite occorse in passato e
quindi in vista della valutazione dei rischi, nonché la formulazione e simulazione degli scenari
di rischio futuri.
Un portfolio di report standard consente di fare questo, offrendo uno strumento per il
monitoraggio di singole classi di rischio rispetto ai dati storici raccolti nel corso del tempo,
inoltre vi è la possibilità di definire report ad hoc per soddisfare richieste specifiche.
La risk management solution del prodotto informatico assicura che i report e le
informazioni di maggior rilievo siano fornite in tempo utile a tutte le unità di business
secondo le loro necessità.
Per quanto riguarda l’analisi dei rischi, l’applicativo consente di definire questionari da
somministrare via Web per la raccolta di informazioni importanti, ad esempio rispetto a rischi
reputazionali, finanziari o legali.
Sulla base di queste informazioni il sistema supporta la presa di decisioni riguardanti il
controllo dei rischi, la misurazione degli indicatori, la pianificazione e categorizzazione dei
rischi: l’analisi e la valutazione del rischio viene effettuata dagli addetti ad utilizzare il
sistema, ma semplificata dalla disponibilità di informazioni che il sistema stesso consente di
raccogliere e visualizzare a seconda delle necessità.
In particolare, i risk manager responsabili della valutazione dei rischi potranno redigere
dei draft delle loro analisi da sottoporre alla valutazione di altri manager in modo da poter
ottenere feedback utili al consolidamento della loro analisi, il tutto in modalità web-based
ossia utilizzando un qualsiasi browser per la navigazione nella intranet aziendale.
I risultati degli assessment vengono poi centralizzati nel database del prodotto e
storicizzati in modo da poter essere utilizzati per comparazioni e lesson learned, l’obiettivo
del sistema è quindi di accentrare le informazioni consentendo di memorizzarle in modo
sicuro sia rispetto alla loro conservazione (backup, etc.) che alla loro riservatezza, in quanto le
123
operazioni di modifica dei dati nel database sono soggette ad autorizzazione di accesso al
database medesimo e completamente tracciate.
3.3.3 Il prodotto IT: supporto all’operatività nei controlli
Dal punto di vista delle azioni da intraprendere per mitigare un rischio il prodotto
informatico suggerisce un “action plan”: ossia un insieme di attività da svolgere al fine di
gestire, vale a dire accettare, evitare, trasferire o ridurne l’impatto (sulla base di quanto
abbiamo avuto modo di trattare nei capitoli precedenti a proposito della metodologia ERM).
In ciascun caso la piattaforma informatica consente di attivare un processo di “issue and
remediation management” come segue:
1. Creazione di una “issue” da parte di un operatore all’interno del sistema
2. Validazione della issue da parte di un responsabile
3. Predisposizione di un “action plan” per gestire la issue: questo avviene con il
contributo congiunto del creatore e del validatore
4. Implementazione dell’action plan: onere dell’operatore
5. Approvazione dell’action plan da parte del validatore
6. Controllo della esecuzione del action plan da parte del validatore (le attività
dell’operatore sono tracciate nel sistema e in questo modo il validatore può seguirle)
7. Chiusura della issue da parte del validatore.
Questo processo può essere collocato in qualsiasi livello del framework e costituisce
quindi un meccanismo generale applicabile in vari ambiti, e che è in grado di utilizzare dati da
vari contesti.
Usando questo meccanismo, gli owner dei rischi, che hanno l’onere di intervenire per
gestire il rischio, possono avere accesso ai punti deboli del loro processo di gestione in
maniera tempestiva, senza la necessità di ricercare nell’intero framework: ovviamente, se i
dati associati a una issue sono difficili da reperire la piattaforma informatica si avvale di un
action plan.
La possibilità per un “validatore”, tipicamente un risk owner, di delegare ad altri la
gestione di una issue rende flessibile la gestione, consentendo di concentrarsi sui rischi di
maggior rilievo e propagando la gestione verso il basso se ritenuto appropriato ed opportuno.
124
Dal punto di vista più ampio del processo di controllo interno, il prodotto informatico
offre parimenti un supporto esplicito “end-to-end”, cioè dal principio alla fine del processo,
accompagnando nel loro lavoro gli attori che vi partecipano e concorrono.
In questo caso le fasi principali del ciclo di vita di un controllo interno sono schematizzate
dal prodotto informatico in un processo che assume la forma illustrata nella figura seguente:
Questo processo si compone delle seguenti fasi:
1. Analisi dell’ambito basata sui rischi: questo primo passo è necessario per analizzare il
lavoro, svolto in modo tale da eliminare eventuali attività di documentazione e test
superflue dal momento che esulano dall’ambito del rischio.
2. Una volta chiarito l’ambito, si procede alla raccolta e produzione della
documentazione rilevante, in modo da evidenziare i processi di business e i rischi
legati allo specifico controllo interno: in particolare, i rischi sono documentati assieme
alle misure e ai controlli operativi volti a mitigarli.
3. Le fasi di test che seguono questa attività di raccolta e produzione di varia
documentazione vengono supportate dal sistema, e riguardano da un lato la verifica e
validazione della struttura del controllo, e dall’altro la sua efficacia operativa: questi
controlli sono svolti nel livello di dettaglio desiderato e con la regolarità voluta ed
inoltre i test di efficacia dei controlli chiave possono essere automatizzati, ovvero
svolti manualmente.
125
4. Terminati i test, una fase di remediation, che si avvale dell’issue management
disponibile nel sistema (per esempio attraverso il meccanismo di action planning),
consente una eventuale revisione e modifica della documentazione e dei test per
eliminare le issue.
Una caratteristica particolarmente interessante e utile di questo processo informatico è la
possibilità di raccogliere le evidenze in maniera automatica: questo significa che tutte le
informazioni di maggior rilievo e i possibili controlli sono elencati in un report che viene
aggiunto in automatico ai test di controllo dell’applicativo.
Chi svolge il test ha quindi l’onere di confermare i risultati del test e può direttamente
passare all’action plan in caso di fallimento dei controlli: una volta chiuso l’action plan il
sistema svolgerà di nuovo in automatico un test per verificare l’efficacia delle modifiche
apportate.
3.3.4 Il prodotto IT: supporto nei monitoraggi
L’infrastruttura informatica offre numerosi report già predisposti al fine di essere utilizzati
per l’analisi e la misurazione degli indicatori di rischio: ad esempio alterazioni quantitative o
qualitative dei rischi o delle osservazioni dei rischi, action plan in corso e problemi delle unità
organizzative, test di controllo falliti, etc.
Questi report non solo consentono una rappresentazione grafica, oltre che analitica, di
queste misure e di questi fatti, ma consentono anche di potere in una certa misura consultare i
dati, come tipico degli strumenti di reportistica e di business intelligence: l’avere a
disposizione i dati nel database centralizzato e integrato con i vari moduli software
dell’applicativo consente di fare questo con estrema facilità.
Oltre alla reportistica è possibile eseguire dei test periodici sui controlli, per monitorare in
modalità continua gli insiemi di misure definite al fine di prevenire o ridurre l’evento
rischioso.
Al tempo stesso, i responsabili sono continuamente informati dalla loro “pagina
personale” di accesso al sistema sulle attività a loro carico.
Da queste pagine personalizzate, i responsabili tengono sotto controllo le attività di loro
competenza, e questo garantisce che la stima dei rischi a livello di gruppo è ben presidiata.
126
A tal proposito è bene sottolineare che l’”identity e access management” degli utenti nei
confronti del sistema segue un flusso autorizzativo ben determinato, volto ad assicurare che
alterazioni significative del sistema non possano passare inosservate dal framework.
Oltre a questo, le attività di “scrittura” all’interno del sistema, come le modifiche alla
documentazione nel repository del framework, sono tracciate ed associate a chi ha svolto la
modifica, assicurando un sistema di “logging” disponibile per susseguenti indagini
conoscitive.
Nello svolgimento delle loro attività le pagine personali degli utenti del sistema li
supportano nell’esecuzione dei compiti loro assegnati all’interno del framework di controllo,
e nel rispetto delle linee guida e delle policy aziendali.
In questo senso, l’applicativo offre anche un vero e proprio portale dedicato agli operatori,
all’interno del quale possono reperire informazioni e svolgere le loro attività: queste sono
infatti elencate in modo ordinato e chiaro, consentendo anche una ricerca rapida di altre
informazioni. Inoltre, il sistema è integrato con la posta elettronica aziendale.
Infine, l’infrastruttura informatica mette a disposizione uno strumento a supporto
dell’Internal Audit, che recepisce il modello ERM.
Questa componente consente di pianificare gli audit per diverse entità di business, e
quindi di formulare un programma di audit gestito da un lead auditor: quest’ultimo pianifica
gli audit, alloca le proprie risorse su questi audit (gli auditor) assegnando a ciascuna di esse
uno o più audit.
Gli auditor possono rendicontare le ore spese su ciascuna attività di audit direttamente
dall’applicazione in modo che il lead auditor possa rivedere e approvare il loro lavoro svolto
sul campo: questa centralizzazione dei dati di audit consente di notare inefficienze e di
lanciare azioni di remediation durante gli audit stessi.
Come abbiamo più volte sottolineato, l’attività principale dell’Internal Audit è il risk
assessment dei processi di business annuale: questo assessment è basato su un piano di audit
annuale creato e gestito dal comitato di audit.
L’esecuzione di ciascun audit consiste in diversi passaggi che includono ricerche svolte
sul framework informatico, lavoro sul campo e reporting finale delle proprie risultanze ed
evidenze: queste ultime sono condivise con il business, e di conseguenza vengono proposte
delle raccomandazioni al business per il necessario follow-up.
127
Nella seguente figura, tratta come le altre da una presentazione del prodotto espressamente
redatta per FCA, ma della quale ci è stato chiesto di non dare disclosure (in particolare per
quel che riguarda il fornitore, e conseguentemente, anche il prodotto) è illustrato nella sua
operatività e gestione il ciclo di vita dell’Audit, e come viene modellizzato dal prodotto
informatico in questione:
3.4 Il progetto “GeRiCo”: convergenza fra Fiat e Chrysler in merito a
SOX/ICFR/IA/ERM
Il prodotto informatico, descritto nei paragrafi precedenti, è stata progettato e utilizzato
nel 2014 nell’ambito di un progetto chiamato GeRiCo (Governance Enterprise Risk
Integrated Compliance Overview).
E’ interessante descrivere la struttura del progetto di convergenza, gestito secondo
standard qualitativi di project management, in quanto fornisce una idea della complessità e
della difficoltà nella convergenza dei sistemi di controllo interno e di gestione dei rischi di
due grandi realtà industriali che hanno avuto la necessità di unificare il loro approccio alla
gestione del controllo interno.
Data la complessità della realizzazione dell’infrastruttura, pur basandosi su un prodotto
già esistente ma che doveva essere modellato in base alle esigenze di FCA, il progetto ha
richiesto diversi mesi e si è articolato in tre fasi:
128
1. Business design: in questa fase è stata progettata la struttura dei processi di business
all’interno del sistema, è stato pianificato l’intero progetto, il suo ciclo di vita.
2. System design: in questa fase è stata progettata l’architettura funzionale e
infrastrutturale dell’installazione del prodotto, e se ne è pianificata la gestione della
configurazione sulla base delle specifiche e dell’analisi svolta nella fase di business
design.
3. System implementation: in questa fase sono stati creati i report e dashboard di
reportistica, si sono prodotti i dati per i test, svolti successivamente in accordo con il
piano dei test rientrante nel project plan, e si sono finalizzati i test del sistema.
4. System delivery: nella fase finale, dopo aver controllato e predisposto l’ambiente di
produzione, in accordo con il piano di gestione della configurazione, si è provveduto a
trasferire i dati pregressi sull’ambiente di produzione del nuovo sistema, procedendo
in due fasi: un primo trasferimento ha coinvolto i dati relativi all’ICFR, alla tesoreria e
all’area legale; un secondo trasferimento coinvolgerà i dati relativi all’Internal Audit e
all’ERM.
La gestione di questo progetto ha coinvolto diversi stakeholder, raggruppati in funzioni di
un organigramma di progetto composto da membri di Fiat, di Chrysler, del fornitore, oltre che
da consulenti delle società di revisione coinvolte nella quality assurance e audit esterni.
Gli sponsor del progetto hanno esercitato la funzione di direzione e finanziamento delle
varie attività del progetto, nell’ambito del budget per questo stanziato.
Subordinato all’azione degli sponsor, uno steering committee ha avuto l’onere della
supervisione del progetto, al fine di assicurare che i requisiti di business fossero soddisfatti in
modo efficiente sia in termini di costi che di tempi di realizzazione.
Oltre a questo, lo steering committe ha supportato le decisioni chiave, come per esempio
valutazioni go/no go, raccomandazioni, etc., e ha guidato il processo di adozione di un
modello organizzativo, di responsabilità e di flusso informativo nei confronti dei responsabili
di area.
Lo steering committee ha anche supportato il progetto con proprie risorse e monitorato il
progetto per verificarne l’aderenza, o l’eventuale scostamento, dallo scenario di business che
ne costituiva il target.
Nella sua attività lo steering committee ha avuto il supporto di un gruppo di auditor
esterni con l’esplicito compito di monitorare ed assicurare che la convergenza del processo e
129
il progetto del sistema fossero in linea con i requisiti richiesti dal Public Company Accounting
Oversight Board statunitense (cfr. capitolo 1).
Un comitato operativo ha avuto invece il compito di: approvare i processi di business e la
struttura organizzativa del progetto; fornire feedback e risposte tempestive sulle decisioni e
sui problemi incontrati nel corso del progetto; indirizzare e comunicare le modifiche apportate
in corso d’opera al progetto, propagandole attraverso l’organizzazione, e assicurare che le
milestone di progetto fissate e condivise fossero effettivamente raggiunte nei tempi stabiliti.
Al comitato operativo e allo steering committee riporta il project manager del progetto,
figura centrale nella sua gestione, con il compito fondamentale di coordinare il progetto stesso
in accordo con gli ambiti, i tempi e il budget stipulati per esso.
Fra i compiti gestionali del project manager vi è anche la gestione della relazione con il
fornitore, la gestione della comunicazione fra i vari stakeholder e la gestione del budget di
progetto.
In queste attività, il project manager viene supportato dal team allocato dal fornitore, che
allo stesso modo prevede un project manager e dei business consultant.
In particolare, è onere del fornitore sviluppare il piano di progetto in sinergia con il project
manager con delle milestone fissate e delle soglie di qualità ben precise, soddisfare le
scadenze imposte dalle milestone e consegnare deliverable nelle date prestabilite.
Anche il supporto all’analisi e alla progettazione vede un ruolo di primo piano del
fornitore, che deve inoltre formare gli utenti finali e gli amministratori del sistema.
Il project manager si avvale anche della funzione di quality assurance di progetto assolta
da una società di revisione esterna, il cui compito specifico è di fornire pareri
sull’implementazione del piano di progetto, sul piano dei test, sul piano di trasferimento dati,
sul piano di formazione, etc.
Al gruppo di quality assurance spetta anche il delicato compito di tracciare i requisiti
lungo tutta la fase di implementazione, e in particolare di gestire la matrice di tracciabilità dei
requisiti, lo strumento standard adatto a controllare che il progetto, nella sua evoluzione, non
si discosti dagli obiettivi per i quali è stato formulato.
Infine, il gruppo di quality assurance supporta lo sviluppo dei casi di test (per il collaudo
del sistema), del piano di trasferimento dati, e offre anche supporto al project manager a
130
livello decisionale e di tracciatura dei rischi, oltre che nella comunicazione con gli altri
stakeholder.
Il project manager dispone di team di progetto che può utilizzare per le varie attività
operative richieste.
Questi team di progetto sono guidati da dei team leader, ciascuno specializzato in un
ambito distinto: Internal Audit, ICFR/SOX/ERM, IT, Tesoreria e Area Legale.
I compiti specifici dei team leader sono di fornire una consulenza tecnica o di processo
lungo tutto il corso dell’implementazione, ma anche di approvare la progettazione di soluzioni
e processi.
Non meno importante è il ruolo svolto da queste figure nel preparare il piano di test,
sovrintendere alla validazione dei test da parte dell’utente, e sviluppare i requisiti di
trasferimento dei dati.
Durante il corso del progetto è inverosimile che non si verifichino delle problematiche, di
varia natura, che richiedono decisioni e cambiamenti: i team leader gestiscono la risoluzione
di questi problemi e prendono decisioni per i flussi di lavoro individuali, identificando e
assicurando al tempo stesso che elementi di dati comuni siano identificati ed implementati
(Common Data Model Element).
Infine il fornitore offre una consulenza di processo o tecnica lungo tutto il corso
dell’implementazione, offrono supporto ai team leader per assicurare che tutti gli input
richiesti siano forniti secondo il piano di schedulazione previsto, e che le milestone convenute
siano raggiunte.
Inoltre, articolano e validano le attività volte a far sì che la soluzione soddisfi i necessari
requisiti di business, legali, statutari e fiscali, sviluppano i test e li eseguono in accordo con il
piano di test, e curano la validazione da parte degli utenti di questi test.
3.4.1 Il nuovo GRC dal punto di vista dei processi di business
Il progetto di implementare una Governance, Risk management and Compliance per FCA
si è basato sul presupposto di poter progettare una struttura comune sulla quale poter fondare
gli elementi esistenti, nelle singole aziende prima della fusione, in differenti strutture
aziendali.
131
In particolare72, all’inizio del progetto, sono stati formulati alcuni presupposti, legati a
scelte considerate più utili e opportune in vista del processo di integrazione:
l’adozione del modello di dati di processo di Chrysler, articolato in quattro livelli:
Mega Process, Major Process, Process e Sub-Process.
L’adozione della terminologia Chrysler per il mega process e per molte altre entità al
livello più basso della gerarchia.
Queste scelte hanno portato alla necessità da parte di Fiat di organizzare una “mappa” fra
la terminologia e i concetti dei propri processi di business e quelli di Chrysler, in vista
dell’unificazione.
Il modello di processo “to be”, basato su quello Chrysler ma espanso nella nuova realtà
FCA in modo compatibile con la messa a punto del GRC, si articolava in una serie di processi
primari rilevanti (mega process):
Order to cash (ciclo attivo)
Inventory (produzione di stabilimento e gestione dello stock)
Hire to retire (ciclo personale)
Acquire to retire (investimenti)
Purchase to pay (ciclo passivo)
Long term contracts (gestione di commesse di lungo termine)
Financing activities (finanziamenti concessi)
Financial closing and reporting (processo di chiusura contabile e di reporting)
Treasury (gestione della Tesoreria)
Process IT (processi IT)
Altri processi rilevanti per l’ERM e l’Internal Audit sono:
Production Creation & Updating
Marketing & Network Development
Manufacturing
Third Part Management.
72 Fiat Chrysler Convergence Project ICFR/SOX/ERM. Process Model Overview, December 2012.
.
132
A titolo di esempio illustriamo questa struttura gerarchica nel caso del processo Order to
Cash73:
La difficoltà è nel correlare questa struttura di processi con una struttura più “piatta di
Fiat.
In effetti, per esempio nel caso dei processi relativi all’Internal Audit (per il rischio
operazionale e di frode) la mappatura dei processi viene eseguita sui mega processi del
modello Chrysler: per esempio i processi dell’audit Fiat
Processo di vendita (auto nuove ed usate)
Processo di vendita (pezzi di ricambio)
Garanzie
Audit degli impianti
Trasporti e logistica
vengono mappati sui mega processi di Order to Cash e di inventario nel modo seguente:
73 Fiat Chrysler Convergence Project ICFR/SOX/ERM. Process Model Overview, December 2012.
Mega Major Process Sub-process
Agreement
Solvency analysis and credit authorization
Customer Master File
Pricing and Conditions
Program Setup
Incentive Contract Negotiation and Authorization
Incentive Claims
Incentives Valuation
Reporting
Order Entry/Edit Order Processing
Shipping Delivery
Invoicing
Credit Notes & Adjustments
Archiving and Mailroom
Account Receivables
Cash receipts
Collection
Credit Transfer
Credit Monitoring
Dispute Management
Valuation
Reporting
Warranty Management and Valuation
Claims & Recall Campaign
Case Assignment and Management Settlement
Liability Valuation
Order to Cash
Customer Agreement &
Pricing
Incentives & discounts
Account Receivables
Credit Management
Product Warranty
Product Liability
Billing
133
Processo di vendita (auto nuove ed usate): order to cash e inventario
Processo di vendita (pezzi di ricambio) : order to cash e inventario
Garanzie: inventario
Audit degli impianti: inventario
Trasporti e logistica: order to cash e inventario.
Come si vede, la mappatura di processi che in Fiat appartengono a classificazioni
differenti non necessariamente avviene sugli stessi mega processi nel nuovo modello.
Questa complessità va anche confrontata con il fatto che la documentazione dei processi,
dei rischi e dei controlli di Fiat era svolta non secondo un format standardizzato, infatti alcuni
documenti erano dei narrative, altri usavano i flow-chart, altri ancora diagrammi IT, etc., né
secondo lo stesso livello di dettaglio e completezza delle informazioni.
3.4.2 L’impatto sulle attività dell’Internal Audit
Una volta effettuato questa mappatura dei processi di business, di pertinenza delle
funzioni di controllo interno, su quelli del nuovo GRC, l’Internal Audit della nuova struttura
non può che beneficiare dalla condivisione di un processo comune e di un modello di rischio
integrati nella soluzione GRC.
A tal proposito il modello comune dei rischi è stato sviluppato sulla base del catalogo dei
rischi esistente tanto in Fiat quanto in Chrysler, incluso l’ERM e l’ICFR.
Inoltre l’Internal Audit può con maggiore facilità analizzare il processo di valutazione e
gestione dei rischi, fondato quasi integralmente sull’ERM, in linea con la corporate
governance italiana e coerente con i requisiti di reportistica emanati dal controllo interno e dal
comitato di rischio.
L’Internal Audit valuta la gestione dell’identificazione dei rischi e il loro monitoraggio
attraverso audit mirati alla verifica della gestione del rischio, inoltre nel piano di audit sono
incluse alcune analisi sull’efficienza dei processi ERM. Tali attività dell’Internal Audit vanno
anche a beneficio del Risk Management e del Controllo Interno.
Questo nuovo status ed organizzazione aziendale ha richiesto all’audit Fiat una serie di
revisioni74 orientate all’integrazione con la soluzione GRC di FCA.
74 Fiat Chrysler ERM/ICFR/SOX/IA. GRC Project. Impact on IA, February 2013.
134
In primo luogo si è messo a punto un modello di rischio che comprendesse sia la realtà
Fiat che quella di Chrysler, e che fosse sufficientemente generale da poter essere adattato al
nuovo schema di GRC che si andava costituendo: per esempio, razionalizzando e potenziando
i cataloghi dei rischi disponibili (come quelli prodotti per ERM, ICFR, risk model Chrysler,
quello di Fiat, etc.) e utilizzando regole e best practice per avere la sicurezza di coprire tutti i
rischi rilevanti.
Rispetto alla struttura precedente all’interno di Fiat, le modifiche più rilevanti hanno
impattato i rischi operazionali e le relative connessioni con gli eventi di ERM.
Oltre a questo si è cercato di integrare i rischi all’interno di un modello comune e
collegarli agli elementi del modello di processo e alle varie unità organizzative per un
mapping preliminare sul modello dei dati GRC.
In secondo luogo, il modello di Audit di Fiat è stato rivisto nell’ottica di progettare una
nuova metodologia di pianificazione ed esecuzione degli audit centrata sui rischi: questo ha
comportato la revisione della metodologia correntemente utilizzata per la definizione del
piano annuale di audit, orientandola a un approccio basato sulla valutazione dei rischi
integrati (in vista principalmente dell’ERM).
Inoltre, si è dovuto implementare un nuovo approccio all’audit su determinate aree, basato
su considerazioni di risk management, valutazioni e feedback.
Infine, si è dovuta includere una fase di documentazione di processo (attraverso i
“narrative” e i “flow-chart”) da far confluire nel GRC, in modo da utilizzarla durante i
controlli dell’Internal Audit, e la gestione della validazione/presa in carico, per allinearsi al
modello Chrysler.
Esattamente come nel caso del trasferimento della struttura IT sulla nuova infrastruttura
informatica basata sul prodotto del quale abbiamo parlato nei paragrafi precedenti, anche nel
caso dell’Internal Audit si è definito un vero e proprio progetto di migrazione metodologico,
ma che ancora deve essere attuato75.
Uno steering committee di Internal Audit, supportato da una società di consulenza, ha
diretto, supervisionato e validato le attività e i risultati del progetto, assicurando anche il
change management e approvando i rischi e controlli identificati attraverso il process mapping
sul GRC.
75 Ibidem.
135
Un gruppo di project management ha avuto il compito di definire le linee guida e le
priorità del progetto, di coordinare gli aspetti metodologici e organizzativi, di proporre
soluzioni e supervisionare i progressi dell’intero progetto.
Oltre a questo, il project management ha avuto l’onere di assicurare che i progetti di
convergenza verso il GRC di Fiat e Chrysler fossero allineati fra loro.
In questa sua attività, il gruppo di project management è stato coadiuvato da un team di
esperti, che hanno contribuito alle necessità degli stream di progetto, contribuendo con le loro
conoscenze specifiche, ad esempio assicurando la qualità delle informazioni fornite in linea
con le best practice.
Il project management riferiva allo steering committee, avendo il controllo dei team
operativi sia dal punto di vista tecnico (aggiornamento e progettazione della documentazione),
che metodologico, con responsabilità di esecuzione dei piani delle attività e di
raggiungimento degli obiettivi fissati dal project management.
Le fasi per i due stream di progetto (portati avanti in parallelo) sono76:
Modello dei rischi:
o Definizione dei rischi operativi per order to cash e inventario, e validazione
con il team di GRC
o Pilota per Order to Cash e inventario
o Definizione dei rischi operativi per altri processi e validazione con il team di
GRC
o Condivisione dei rischi operativi con l’Audit di Chrysler.
Processo di Internal Audit:
o Progetto del nuovo processo di Internal Audit basato sui rischi e sul controllo
o Pilota del nuovo processo di Internal Audit e rework a seguito di feedback dal
pilota
o Definizione del risk assessment integrato e del piano annuale di Audit.
Come si vede l’accento è stato posto sui processi di order to cash e inventario, discussi nel
paragrafo precedente, e visti come “pilota” prima della applicazione del nuovo modello a tutti
gli altri processi.
76 Ibidem.
136
I deliverable di questo progetto consistono in:
Una matrice, redatta dall’Internal Audit per ciascun processo nell’ambito del progetto,
dei nuovi rischi e dei rischi operativi rivisti, sotto forma di foglio Excel, integrata nel
modello gerarchico dei rischi.
L’elaborazione della documentazione utilizzando standard Fiat-Chrysler (flowchart,
matrici di rischio, etc.) per ciascun processo nell’ambito del progetto.
Repository di rischio aggiornati sulla base delle lesson learned collezionate durante le
fasi pilota.
Come parte del processo di convergenza verso l’implementazione di un modello comune
dei rischi, l’Internal Audit di Fiat, col supporto di una società di consulenza, ha sviluppato un
piano per la razionalizzazione e integrazione del rischio operativo utilizzato precedentemente
dall’Internal Audit, in modo da essere consistente con il modello comune dei rischi proposto.
3.4.3 Struttura e organizzazione del nuovo Internal Audit, impatti
funzionali sull’infrastruttura informatica
Per capire la portata del processo di convergenza e il suo impatto sull’organizzazione
delle funzioni di audit in Fiat e Chrysler prima della fusione, è necessario confrontare i ruoli e
le mission delle figure principali coinvolte nell’audit di Fiat e di Chrysler77.
Per prima cosa è opportuno sottolineare che alcune figure nei due organigrammi
dell’Audit di Fiat e Chrysler o non erano contemplate oppure avevano accezioni differenti:
Chief Audit Executive: si tratta della figura che supporta la dirigenza nello sviluppare,
gestire e monitorare il sistema di controllo interno, assicurandone la validità tramite
una revisione della sua efficienza ed efficacia.
Inoltre questa figura:
o Identifica e valuta le maggiori esposizioni al rischio del Gruppo e contribuisce
al miglioramento dei sistemi di identificazione, riduzione e gestione del rischio
(operativo, finanziario, legale, contrattuale, IT o di altra natura).
o Procede a ispezioni specifiche volte a identificare la necessità di miglioramenti
da implementare nei processi di controllo interno.
77 Queste informazioni sono prese da un documento (foglio Excel) riservato di Fiat-Chrysler.
137
o Prepara un piano annuale di lavoro e di emanazione periodica di riguardo le
attività svolte, le azioni intraprese per migliorare il sistema di controllo interno
e le problematiche incontrate o sollevate dall’Internal Audit.
o Verifica la conformità con le regole e le procedure relative ai processi di
controllo interno
o Verifica l’operatività del personale che opera nei processi di controllo interno,
rispetto alla conformità degli obiettivi prefissati.
o Verifica l’effettiva applicazione delle sanzioni previste dal regolamento interno
in caso di non osservanza.
o Svolge delle review sulla salvaguardia degli asset aziendali.
Senior manager:
o Partecipa come membro chiave alla gestione del team di Internal Audit.
o Aiuta il management a mantenere efficiente il sistema di controllo interno.
o Svolge una attività di marketing per assicurare che le persone al di fuori
dell’Internal Audit abbiano una percezione e comprensione chiara dei piani e
delle attività dell’audit.
o Esercita una leadership funzionale ai processi di audit e assicura che gli audit a
lui assegnati siano conclusi in conformità alle policy e procedure di Internal
Audit, applicando gli standard internazionali di Internal Audit.
o Assicura che gli audit previsti dal piano di audit siano svolti in modo conforme
alla corporate governance del Gruppo, assegna obiettivi ai team, coordina e
verifica la loro attività.
o Gestisce le risorse allocate, ottimizza i tempi e i profili professionali in vista
del rispetto del piano di audit, ed assicura la formazione delle risorse richiesta,
grazie anche all’aggiornamento continuo del materiale didattico.
o Completa le review delle performance e fornisce il necessario feedback
tempestivamente.
Head of Foreign Location: questa figura era chiave nell’organizzazione delocalizzata
del gruppo Fiat e fra le sue mansioni vi sono:
o Assicura l’esecuzione dei piani di audit nell’area geografica assegnatagli;
o Agisce da tramite col foreign business management, interagendo con il
management a tutti i livelli di comunicazione, assicurando la qualità delle
informazioni trasmesse, mantenendo sempre una indipendenza ed obiettività di
giudizio;
138
o Coordina le attività di consulenza, supervisiona e guida gli audit team fornendo
istruzioni, valuta le attività e ne assicura il completamento; in particolare,
segue le attività audit durante il loro intero ciclo di vita;
o Rivede e presenta i risultati degli audit e le raccomandazioni per i
miglioramenti al management, ed assicura una efficace reportistica e
performance dei risk assessment;
o Acquisisce la conoscenza di nuovi rischi per i vari processi di business,
aggiorna e sviluppa i programmi di audit, fornisce un training on the job
efficace e un monitoraggio continuo.
Engagement manager: assolve sostanzialmente le funzioni operative corrispondenti
alle funzioni di accountability dell’Head of foreign location.
Lead auditor:
o Svolge le attività di audit relative al survey preliminare, organizza incontri,
intraprende risk assessment, e prepara la reportistica di audit in conformità alle
procedure interne;
o Guida i team di audit nel selezionare ambiti ed aree da monitorare e apporta le
necessarie modifiche per focalizzare le risorse sulle aree principali;
o Assicura che il lavoro degli auditor sia adeguatamente documentato;
o Possiede una piena conoscenza delle procedure di Internal Audit;
o Formula suggerimenti per l’implementazione di azioni correttive;
o Prepara gli audit report ed in caso di necessità provvede a revisionarli in modo
tempestivo.
Auditor:
o Svolge le attività di assessment, di analisi e controllo;
o Svolge le revisioni procedurali dei report finanziari, di conformità ed operativi;
o Evidenzia e fornisce interpretazioni delle carenze nei sistemi di controllo
interno per aree che non sono conformi agli standard e alle procedure, e redige
infine i working paper.
Questi ultimi tre ruoli avevano invece mansioni diverse in Chrysler: in particolare
mancava la figura dell’head of foreign location, mentre le mansioni del senior manager
venivano svolte dall’engagement manager, che aveva l’onere della responsabilità dei vari
processi di audit.
139
Alcune delle responsabilità dell’engagement manager di Fiat erano riversate in Chrysler
sul Lead auditor, mentre gli auditor si occupavano maggiormente di accountability rispetto al
modello Fiat.
Questa descrizione dettagliata dei ruoli e delle diversità di approcci tiene conto del
notevole impatto che il processo di convergenza ha avuto sull’Internal Audit, anche e
soprattutto in termini di specificità dei ruoli, gestione del personale, organizzazione dei team
di lavoro, dei flussi di informazioni e dello svolgimento delle attività di questi ultimi.
Al termine del processo di convergenza, la struttura “to be” dell’Internal Audit non è
cambiata soltanto nell’organizzazione e strutturazione dei ruoli, ma anche nelle nuove attività
chiamata a svolgere, incentrate intorno al concetto di rischio.
In particolare possiamo soffermarci su tre aspetti dell’attività del nuovo Internal Audit del
Gruppo78:
Pianificazione degli audit:
o Questo processo viene sviluppato sulla base della definizione condivisa
dell’“universo dell’audit”, cioè dei contesti ai quali l’azione dell’audit è
applicabile;
o Sulla base di questo è possibile definire la valutazione annuale integrata dei
rischi;
o Segue poi la definizione e l’approvazione del piano annuale di Audit, che
costituisce l’output di questa fase;
o Sulla base del piano di audit si possono allocare le risorse dell’audit per la sua
attività, dimensionate sulla base del piano, e stabilire la tempificazione di
queste attività in un piano di allocazione e schedulazione;
o A questo punto può essere svolta l’attività di reportistica e monitoraggio basata
sull’audit plan.
Esecuzione degli audit:
o Per ciascun audit si procede per prima cosa con l’engagement, provvedendo ad
informare chi sarà sottoposto ad audit dell’attività che si sta per intraprendere;
o Usando gli strumenti e le linee guida stabiliti o utilizzati nella fase di
pianificazione degli audit, si definisce un programma di audit work, che
78 Fiat Chrysler Convergence Project IA Approach and Model, November 2012.
140
utilizza la documentazione del processo da sottoporre ad audit e produce un
programma delle attività per quel particolare audit;
o Dopo questa prima fase, si procede al lavoro sul campo (fieldwork), seguito da
una fase di valutazione delle evidenze raccolte: queste attività producono dei
risultati e delle issue opportunamente documentati;
o A chiusura dell’attività si accumula nel patrimonio di conoscenze e lesson
learned aziendale il risultato di questa attività.
Reportistica e monitoraggio degli audit:
o A seguito di un audit viene formalizzato un audit report, dipendente dalla
tipologia di audit svolta;
o Viene anche richiesta una valutazione in merito alla conduzione dell’audit a
chi è stato sottoposto al controllo;
o Il monitoraggio e il follow-up vengono formalizzati in un “action plan”, del
quale si segue lo stato di avanzamento;
o Queste informazioni confluiscono nella reportistica, periodicamente inoltrata ai
livelli executive.
Il sistema informatico di supporto a queste attività deve essere necessariamente modellato
in modo da offrire un sostegno effettivo e strumenti per ottimizzare queste fasi: rispetto
all’analisi svolta precedentemente, è interessante a questo proposito notare alcuni requisiti,
richiesti a questo sistema, per quanto riguarda le funzionalità messe a disposizione
dell’Internal Audit.
Questi requisiti relativi all’audit planning, execution e monitoring sono classificati in
obbligatori, importanti e opzionali; di seguito ne riportiamo i più significativi79:
Requisiti di audit planning:
o Obbligatorio: la possibilità di definire e aggiornare da parte di un owner
specifico la pianificazione di un audit a partire dai dati fondamentali e di base
(come le unità organizzative, processi, etc.).
o Obbligatorio: la possibilità di creare automaticamente il piano annuale di audit
a partire dai risultati delle valutazioni dei rischi e da altri criteri come per
esempio le richieste del top management.
79 Queste informazioni sono prese da un documento di raccolta dei requisiti (foglio Excel) riservato di Fiat-
Chrysler.
141
o Obbligatorio: la possibilità di tracciare e riportare le modifiche al piano di
audit con un dashboard automatico che mostri le
integrazioni/modifiche/cancellazioni con evidenza delle relative
giustificazioni.
o Obbligatorio: la disponibilità di una funzione di pianificazione e schedulazione
al fine di riservare, assegnare e aggiornare risorse a specifiche attività e
viceversa, garantendo l’allineamento con lo staffing dei team nell’audit
engagement.
o Obbligatorio: la possibilità di allocare le risorse su diversi e concorrenti lavori
e di gestire il relativo carico (per esempio controllando la soglia del 100%,
etc.).
o Importante: la possibilità di creare e gestire un “master file” per le singole
unità di audit, con campi configurabili e inseriti da fonti diverse, per esempio
già presenti nel sistema o tramite un input automatico o manuale, etc.
o Importante: la possibilità di creare automaticamente un audit engagement a
partire dal piano annuale di audit sulla base di regole fissate, come per esempio
il cambiamento di status da pianificato a confermato; l’audit engagement
dovrebbe essere definito in termini di tipologia di audit (per esempio basato su
checklist, rischi, follow-up, etc., o una combinazione di tipologie).
o Opzionale: la possibilità di creare, mantenere e cancellare i master data dello
staff di audit con le relative skill e le informazioni acquisite automaticamente
dagli audit precedenti inclusa la valutazione delle performance.
Requisiti di audit execution:
o Obbligatorio: la possibilità di impostare le diverse fasi e milestone di audit,
come la riunione iniziale (kick-off meeting), la valutazione dei rischi di
engagement, la bozza del report di audit, etc. sulla base di regole e criteri,
evidenziate nell’audit summary opportunamente configurato.
o Obbligatorio: la possibilità di gestire le attività di audit in modo indipendente
dai processi, dai rischi e dai controlli, per esempio sulla base di checklist, e, se
necessario, creare connessioni con gli elementi del data model in ciascuna fase
dell’audit.
o Obbligatorio: la possibilità di creare un audit a partire dagli elementi
evidenziati in un audit precedente, per esempio i test, le risultanze, i working
142
paper, etc. esplicitando una funzionalità collegata alla tipologia di follow-up
dell’audit.
o Obbligatorio: la possibilità di assegnare un ruolo (per esempio: auditor, senior,
etc.) a ciascun membro dello staff di audit e, se necessario, cambiare il ruolo in
un singolo engagement su una base ad hoc.
o Obbligatorio: la possibilità di gestire audit basati sui rischi, considerando i
rischi e i controlli GRC già disponibili, valutati ed associati all’ unità
sottoposta ad audit; i rischi e i controlli dovrebbero essere validati per gli scopi
dell’audit e, se necessario, dovrebbero essere integrati dopo il mapping nella
fase preliminare di audit: rischi e controlli proposti, associati all’unità
sottoposta ad audit, dovrebbero essere conseguentemente rivisti e approvati per
l’inclusione nel catalogo comune GRC per il testing.
o Obbligatorio: la possibilità di generare automaticamente maschere e template
in base al tipo di audit, ad esempio Audit, consulenza, conformità, FCPA,
legge 213, etc.
o Obbligatorio: la possibilità di creare note di revisione, ovvero di tenere traccia
delle change sia per i test che per i problemi emersi sul campo: le revisioni
dovrebbero essere evidenziate come change, tracciando i dati fondamentali
della revisione svolta.
o Obbligatorio: la possibilità di gestire la chiusura di un audit (per esempio
tramite il protocollo e l’archiviazione dei documenti) e di conservare i dati
relativi, in modo che, a posteriori sia possibile ricostruire correttamente le
risultanze dell’audit.
o Importante: la possibilità di assegnare, o riassegnare, ciascun test a un test
owner, per gestire il carico di lavoro degli auditor.
o Importante: la possibilità di “ereditare” lo stato degli action plan aggiornati e
collegati all’action plan originario.
o Importante: la possibilità di generare in automatico degli alert, basati su date
target pianificabili, a beneficio dei membri del team di audit, per esempio
tramite notifiche via e-mail o nel rispettivo dashboard del GRC.
o Importante: la possibilità di bloccare oggetti specifici del modello dati (per
esempio processi, rischi, controlli, etc.) mentre un audit è in fase di esecuzione,
e quindi impedire che vengano su di essi svolte operazioni che potrebbero
143
modificarne lo stato: gli utenti che non sono stati selezionati come membri del
team di auditing dovrebbero essere informati che quegli oggetti sono sotto
audit e non possono essere modificati in quel momento se non previa specifica
approvazione.
o Opzionale: la possibilità di creare una lettera di notifica dell’engagement in
automatico, in accordo con i dettagli del piano di audit (come il titolo
dell’attività, la tipologia, i responsabili, etc.).
Requisiti di audit monitoring:
o Importante: la possibilità di gestire valutazioni anche dopo la fine dell’audit
engagement, per esempio attraverso questionari: la maschera di feedback
dell’utente deve essere compilata da chi è stato auditato per lo staff di audit in
vista della valutazione delle performance.
Come si vede, i requisiti dettati dalle necessità dell’audit, a supporto dei processi descritti
in precedenza, costituiscono un elenco dettagliato e importante che l’infrastruttura informatica
dovrà recepire.
144
Conclusioni
In questa ultima parte descriviamo, sulla base di report molto recenti80, i primi risultati e
gli indirizzi che il processo di convergenza verso il GRC in FCA ha generato a livello di
Internal Audit & Compliance, con particolare riferimento alla reportistica finanziaria e quindi,
secondo la legge statunitense, alla compliance ICFR/SOX.
L’approccio generale, nel biennio 2014-2015, è stato quello di assegnare come perimetro
(nella realtà statunitense) alla funzione di Internal Audit & Compliance di FCA il controllo di
tutti i processi chiave di business.
Le evidenze raccolte hanno fornito un primo quadro delle carenze e dei punti deboli sulle
quali concentrare una azione manageriale di miglioramento.
Contabilità fiscale;
Tracciabilità dei controlli di revisione e approvazione;
Evidenze sul monitoraggio degli strumenti finanziari derivati;
Formalizzazione dei controlli collegati al trasferimento dell’analisi dei rischi e al
rischio di un accordo prematuro con terze parti;
Tracciabilità del monitoraggio delle interfacce e della risoluzione di anomalie;
Controlli su alcune componenti dell’infrastruttura IT, in particolar modo sul processo
di change management e sugli accessi logistici alle applicazioni.
Le attività e le procedure di controllo sono quindi da rafforzare in alcuni ambiti, ai fini
della compliance 2015 alla SOX e in conformità ai requisiti del PCAOB, specialmente per
quanto concerne:
I controlli basati su calcoli svolti con strumenti di “end user computing”, cioè che
abilitano operatori non informatici a definire procedure di calcolo tramite spreadsheet:
questo è tipico di alcune aree di processo, come nel caso degli incentivi, ratei, etc.
Copertura del “cycle count”, una procedura di audit di inventario che consente di
campionare un piccolo sottoinsieme dell’inventario in una location specifica.
Asset relativi a tasse soggette a proroga, in particolare il rafforzamento delle evidenze
a supporto delle attività svolte a livello centrale.
80 2015 ICFR/SOX Compliance. IA&C FCA, June 2015.
145
In ogni caso, l’approccio strategico di Internal Audit & Compliance ai test per i processi
di business si è consolidato rispetto al modello di transizione descritto nei paragrafi
precedenti, secondo i seguenti passi:
Documentazione del processo: tramite un process mapping (attraverso narrative e
flow-chart) delle aree nuove o per le valutazioni delle modifiche di processo più
rilevanti; questa fase include il rilascio delle RCM (Risk and Control Matrix) e i Test
of Design dei controlli chiave.
Business Process Interim: test of design (TOD) e test dell’efficacia (TOE) dei controlli
chiave di competenza dell’Internal Audit, dove i TOE possono svolgersi su parte di un
campione rappresentativo.
Business Process Post Interim: TOD e TOE per tutti i nuovi controlli di maggior
rilievo, completamento del TOE per la porzione rimanente del campione, e
conseguente remediation, cioè il nuovo svolgimento dei test TOD/TOE di controlli
che in precedenza erano falliti dopo aver concluso l’action plan.
Business Process di fine anno: TOD e TOE sui controlli annuali, completamento del
TOE per la porzione rimanente del campione e su qualsiasi nuovo controllo non
ancora testato; “roll forward”, cioè l’esecuzione di procedure addizionali definite
dall’Internal Audit dopo i risultati dell’ispezione del management sui controlli: può
includere dei TOD/TOE completi; remediation, dunque il ripetere i test sui controlli
che avevano fallito dopo la chiusura dell’action plan.
Oltre ai processi di business, l’Internal Audit si occupa anche di altre aree, come:
Quality assurance review: ispezione di qualità indipendente sui TOD/TOE effettuati
dal management per validare le conclusioni dei test e consolidarne l’affidabilità.
Controlli generali sull’IT: in questo caso i TOD/TOE si focalizzano su specifici e
significativi processi IT e su sistemi applicativi selezionati per la loro rilevanza
globale e le loro sinergie.
Entità fuori dall’ambito: alcune procedure ICFR specifiche per il mega processo
possono essere richieste per entità al di fuori dell’ambito SOX, ma coperte da audit
operativi: queste procedure possono basarsi su checklist di controllo interno, se
applicabile.
Il piano di test promosso dall’Internal Audit nel 2015 contemplava la messa in opera di
test di controllo dettagliati a livello di legal entity/MCOT (major class of transactions) per
146
ciascuna regione o settore, e si proponeva di coprire, con i suoi controlli, un campione di circa
i due terzi dell’intero processo di business ICFR.
L’independent test sui controlli dei processi di business è stato pianificato gradualmente in
modo da estendere la valutazione dell’efficacia dei controlli all’intero anno.
Per quanto riguarda il process mapping plan invece, nel 2015 è stata data continuità alle
azioni dell’anno precedente, sebbene nuove priorità, a livello di FCA globale, siano state
definita congiuntamente dal management e dalla società di consulenza E&Y; in questo modo,
i processi rimanenti rispetto al perimetro SOX del 2014 hanno subito un nuovo assessment,
considerando le nuove e rilevanti aree in fase di implementazione o revisione significativa
durante il 2015.
I criteri con i quali l’Internal Audit ha potuto raggiungere queste evidenze e mettere in
luce aree di miglioramento sono legati principalmente all’aver posto al centro dell’attività di
audit i fattori di rischio.
In particolare, la valutazione del management del rischio di misstatement (riferendoci alla
reportistica finanziaria) dovrebbe includere considerazioni sulla vulnerabilità dell’entità
rispetto ad attività fraudolente: per esempio report finanziari volutamente falsati, corruzione,
etc.
Le considerazioni del management sulla possibilità che un controllo possa mancare di
operare in modo efficace includono:
il tipo di controlli (ad esempio se manuale o automatico) e la frequenza con la quale
questo viene effettuato;
il livello di complessità del controllo;
il rischio di sottovalutazione della gestione;
il giudizio richiesto per effettuare il controllo;
la competenza del personale che svolge il controllo o monitora la sua performance;
se ci siano stati cambiamenti nel personale chiave che svolge o monitora la sua
performance;
la natura e sostanza dei misstatement che il controllo intende prevenire o rilevare;
l’evidenza dell’operatività del controllo negli anni precedenti.
In definitiva, nel nuovo quadro unitario di Internal Audit & Compliance, la
centralizzazione e ottimizzazione delle risorse, nonché l’accorpamento nell’unica funzione
147
IA&C di tutti i test e controlli rispetto agli ambiti di processo, rende integrato e più efficiente
l’intera sistema di controllo interno.
In tal modo, la convergenza di due entità apparentemente diverse e poco conciliabili, quali
i sistemi di controllo interno di Fiat e Chrysler, sembrano aver trovato un solido punto di
contatto, fornendo quindi una garanzia di maggiore efficienza nei controlli e nella compliance
alle normative interne ed esterne che un grande gruppo industriale, come FCA, deve
soddisfare.
Da questo punto di vista, la transizione verso il GRC non può che essere valutata in modo
positivo, anche in una prospettiva futura.
148
Bibliografia
AAVV (2011), Study and Recommendations on Section 404(b) of the Sarbanes-Oxley Act of
2002 For Issuers With Public Float Between $75 and $250 Million, US Security and
Exchange Commission, april 2011.
BAVA F. (2003) Auditing del sistema di controllo interno, Giuffrè, Milano.
BAVA F. (2004) Il sistema di controllo interno: le componenti di struttura, Amministrazione
& Finanza, n.10.
BECK B., TELLER-KANZLER J. (2009) GRC Management: Best Practices Framework for
More Effective Governance, Risk, and Compliance Management,
BRATTON W.W. (2002) Enron and the Dark Side of Shareholder Value, The George
Washington University Law School, Public Law and Legal Theory Working Paper no. 035,
Washington DC.
COOPERS & LIBRAND (1997) Il sistema di controllo interno. Progetto di corporate
governance per l’Italia, Il Sole 24 ore, Milano.
COSO (2006) Internal Control over Financial Reporting. Guidance for Smaller Public
Companies, vol. I (Executive Summary), Committee of Sponsoring Organizations of the
Treadway Commission.
DI GENNARO M. (2005) Le implicazioni del d. Lgs. 231/01 nel Gruppo Fiat. Sinergie fra
Organismo di Vigilanza e Internal audit, Tavola rotonda sul Ruolo dell’Internal Auditor nel
processo di vigilanza sui modelli organizzativi e di vigilanza ex d. lgs 231/01 - settore
manifatturiero, AIIA, Milano, 23 dicembre 2005, on line:
http://www.aiiaweb.it/utenti/download/anonimi/digennaro.pdf.
DITTMEIER C.A. (2011) Internal Auditing. Chiave per la corporate governance, Egea,
Milano.
DRAGHI M. (2006) Indagine conoscitiva delle questioni attinenti all’attuazione della legge
28 dicembre 2005, n.262, recante “Disposizioni per la tutela del risparmio e la disciplina dei
mercati finanziari”, Audizione al Senato della Repubblica, Roma, 26 settembre 2006.
149
FCA (2014a) Statuto della società, on line: http://www.fcagroup.com/it-
IT/governance/governance_documents/FiatDocuments/2014/FCA_Statuto_ottobre_2014_ITA
.pdf.
FCA (2014b) Relazione di Corporate Governance, on line: http://www.fcagroup.com/it-
IT/governance/governance_documents/FiatDocuments/2014/Governance_ITA_Febbraio_201
4.pdf.
FCA (2014c) Relazione di Operations, on line:
http://2014annualreport.fcagroup.com/sites/fca14fin/files/allegati/report_on_operations.pdf.
FCA (2014d) Annual Report, on line:
http://2014annualreport.fcagroup.com/sites/fca14fin/files/allegati/annual_report_2014_link.pd
f.
FCA (2014e) 2014 Sustainability Report. Economic, Environmental and Social
Responsibility, on line: http://www.fcagroup.com/en-
us/investor_relations/financial_information_reports/sustainability_reports/sustainability_repor
ts/2014_sustainability_report.pdf.
FCA (2015a) Whistleblowing Policy. Fiat Group Case Study, on line al sito
http://www.whistleblowing.it/
HAGERTY J., KRAUS B. (2009) GRC in 2010: $29.8B in Spending Sparked by Risk,
Visibility, and Efficiency, AMR Research, on line: http://www.cmo-hseq-
software.com/about_cmoglobal/AMR-GRC-in-2010.pdf.
ISACA (2009) An Introduction to the Business Model for Information Security, on line:
http://www.isaca.org/Knowledge-Center/Research/Documents/Introduction-to-the-Business-
Model-for-Information-Security_res_Eng_0109.pdf.
KUSCHNIK B. (2008) The Sarbanes Oxley Act: “Big Brother is Watching You” or Adequate
Measures of Corporate Governance Regulation?, Rutgers Business Journal 5(1), pp. 64-95.
MCNALLY J.S. (2013) The 2013 COSO Framework and SOX Compliance. One approach to
an effective transition, Strategic Finance, June 2013, pp. 1-8.
PASSANTE M. (2010) Internal Audit Management, on line :
http://www.unikore.it/index.php/documenti-download/category/550-prof-fabio-la-rosa-
economia-e-direzione-aziendale?download=1438:internal-audit-fiat-group-lettura-di-
approfondimento.
150
SHAW H. (2006) The Trouble with COSO, CFO Magazine, March 15 2006, on line:
http://ww2.cfo.com/accounting-tax/2006/03/the-trouble-with-coso/.
SHAKESPEARE C. (2008) Sarbanes–Oxley Act of 2002 Five Years On: What Have We
Learned?, Journal of Business & Technology Law, 3(2), pp. 333-355.
STEINBERG R.M. (2011) Governance, Risk Management, and Compliance. It Can’t Happen
to Us— Avoiding Corporate Disaster While Driving Success, Wiley, Hoboken.
TROINA G. (2005) Le Revisioni aziendali, Roma, Franco Angeli.
ZANIGLI M. (2004) Assetti di governance e implicazioni sul sistema di controllo interno.
Alcune considerazioni della dottrina, Cedam, Padova.
