Università degli Studi Roma Tre

Scuola di Economia e Studi Aziendali

Dipartimento di Studi Aziendali

Corso di Laurea Magistrale in Economia Aziendale

INTERNAL AUDIT, SISTEMA ICFR E CONTROLLO

INTEGRATO SULL’INFORMATIVA FINANZIARIA: IL

CASO ENEL S.P.A.

Laureando Relatore

GIANLUCA GALIZI Chiar.mo Prof. CARLO REGOLIOSI

Matricola 433440

Correlatore

Chiar.ma Prof.ssa LUCIA BIONDI

A.A. 2016/2017

INDICE

INTRODUZIONE

1) L’Internal audit nel quadro della Corporate Governance e del Sistema di

Controllo Interno

1.1) La definizione di internal auditing

1.2) Il contesto normativo nazionale e internazionale

1.2.1) Il Testo Unico della Finanza

1.2.2) Il Codice di Autodisciplina

1.2.3) Il d.lgs 231/01: la responsabilità amministrativa delle persone

giuridiche

1.2.4) USA: il Sarbanes Oxley Act

1.2.5) La legge 262/05

1.3) Il ruolo dell’Internal audit nel disegno di Corporate Governance

1.3.1) Le Three Lines of Defense

1.3.2) Il coordinamento delle Tre Linee ed il rischio overlapping

1.3.3) I rapporti tra Internal audit ed il Dirigente preposto

1.3.4) I rapporti con il Revisore esterno

1.4) L’Internal audit nella Gestione dei Rischi

1.4.1) Il modello ERM

2. Organizzazione, attività e risultati dell’Internal audit

2.1) Le tipologie di internal auditing

2.2) L’organizzazione della funzione Internal audit

2.3) Dal piano al processo di internal auditing

2.3.1) Il piano di internal auditing

2.3.2) Il processo di internal auditing

2.4) L’analisi dei processi

2.5) La valutazione dei sistemi integrati di controllo interno

2.5.1) Approccio risk based

2.5.2) Il modello di valutazione

2.5.3) Rilevazione e processo operativo di valutazione

3. L’azienda target: Enel S.p.A.

3.1) La storia di Enel S.p.A.

3.2) Enel oggi: attività, mission e organizzazione del Gruppo

3.3) Governance e Sistema di Controllo Interno in Enel

3.4) I pilastri del SCI in Enel

3.4.1) Il Codice Etico

3.4.2) Il Piano Tolleranza Zero alla Corruzione

3.4.3) L’Enel Global Compliance Program

3.5) L’organizzazione dell’Audit in Enel

4. Il caso aziendale: Internal audit, Sistema ICFR e controllo integrato

sull’informativa finanziaria in Enel S.p.A.

4.1) Il Sistema ICFR (Internal Control over Financial Reporting)

4.1.1) Gli attori coinvolti nel controllo sull’informativa finanziaria

4.2) Il processo di Internal Control over Financial Reporting in Enel

4.3) L’attività di audit sul Sistema ICFR

4.3.1) Il monitoraggio del processo di valutazione periodica

dell’ICFR

4.3.2) Il monitoraggio degli ITGC

4.3.3) L’esecuzione diretta di attività di audit secondo una logica

integrata

CONCLUSIONI

BIBLIOGRAFIA

SITOGRAFIA

4

INTRODUZIONE

In un contesto economico-aziendale concorrenziale ed in continua evoluzione, nel

quale aumenta la complessità del quadro normativo di riferimento e l’attenzione ai

temi legati alla corretta corporate governance (anche da parte degli stakeholders,

dopo le crisi e gli scandali finanziari del recente passato), diviene fondamentale per

le aziende sviluppare un efficace Sistema di Controllo Interno e Gestione dei Rischi,

integrato nell’organizzazione aziendale ed in linea con le best practice nazionali ed

internazionali. La crescente cultura del controllo ha, inoltre, contribuito a modificare

il ruolo e le responsabilità di una figura di cruciale importanza nell’architettura dei

controlli: quella dell’internal auditor. L’obiettivo dell’internal audit oggi è quello di

fornire un supporto proattivo ai vertici aziendali nella costruzione di un’efficace ed

efficiente governo dei processi, con particolare attenzione al raggiungimento di un

equilibrio tra SCI e mitigazione dei rischi, a salvaguardia degli obiettivi di business

e di governo dell’organizzazione.

Partendo da questi presupposti è semplice comprendere quanto alta sia la difficoltà

nella predisposizione e nella gestione di un adeguato modello di governance

aziendale e soprattutto di un efficace ed efficiente SCIGR: infatti, partendo dal

presupposto che non esiste un modello in grado di coprire alla perfezione la totalità

dei rischi che circondano una realtà aziendale, l’obiettivo principale di un buon

SCIGR è quello di ottimizzare il livello di assurance sulla mitigazione dei rischi,

assicurando il coordinamento tra tutti gli attori del controllo e la riduzione degli

overlapping.

5

Infatti il già citato moltiplicarsi delle normative vigenti in tema di corporate

governance e l’aumento delle figure aziendali preposte al controllo, fanno sorgere il

rischio di sovrapposizione degli sforzi (overlapping). Per evitare ciò, diviene sempre

più necessaria a tutti i livelli dell’organizzazione aziendale un’attenta divisione di

compiti e responsabilità, in grado di ottimizzare il contributo di ogni componente.

Il presente elaborato ha l’obiettivo di descrivere questa realtà e indagare possibili

modalità di approccio efficace al problema. Verranno esaminati dapprima il quadro

delle fonti normative a livello nazionale ed internazionale (dal TUF al Codice di

Autodisciplina in tema di società quotate, dal d.lgs. 231/01 allo statunitense

Sarabanes Oxley Act e alla relativa trasposizione italiana, ovvero la legge 262/05),

per poi andare a descrivere le best practice in tema di sistema di governance dei rischi

e di controllo interno (in particolare, il modello delle “Three lines of defense” ed il

modello “Enterprise Risk Management” per la gestione dei rischi) e

nell’individuazione dei soggetti coinvolti in un modello integrato di controllo

aziendale, e dei rapporti che tra essi intercorrono, con un particolare focus sull’attività

di internal auditing e sulla definizione della figura professionale dell’internal auditor,

secondo gli Standard professionali nazionali ed internazionali.

Percorrendo questa linea, il secondo capitolo, si addentra in un’analisi delle tipologie

di internal auditing ed affronta gli aspetti pratici della professione come

l’organizzazione della Funzione, la predisposizione del piano di audit e l’effettiva

realizzazione dello stesso mediante il processo di internal auditing. Lo stesso si

chiude con una riflessione su come, sia per l’internal auditor che per l’azienda nel suo

6

complesso, l’attenzione si sia spostata da un approccio per funzioni ad un approccio

integrato per processi di tipo risk based.

La seconda parte del lavoro si apre con un’ampia presentazione dell’azienda target:

Enel S.p.A., una delle maggiori realtà societarie italiane, nonché un gruppo

internazionale che opera in 30 paesi, con società quotate su diversi mercati

regolamentati nazionali. La complessità e l’ampiezza della realtà Enel risulta essere

congeniale per i temi trattati in questa tesi.

Tuttavia, per i motivi sopraelencati, sarebbe impossibile analizzare in poche pagine

un così articolato Sistema di Controllo Interno nella sua interezza, per cui il caso

aziendale che verrà affrontato nella parte finale del lavoro riguarderà i controlli interni

relativi all’informativa finanziaria. L’obiettivo sarà quello di dimostrare che il

controllo sui bilanci non è solo un affare “esterno”, ma che esso coinvolge anche

molti attori del controllo interno, tra i quali la funzione audit. Inoltre, si darà una

dimostrazione pratica di attuazione di un approccio integrato nei controlli.

Il nucleo del caso aziendale sarà pertanto rappresentato dalla presentazione e dalla

descrizione delle varie fasi di attuazione del Sistema Internal Control over Financial

Reporting (ICFR), il quale opera sotto la responsabilità del dirigente preposto, e

dall’integrazione dei controlli di seconda e terza linea (internal audit) nel controllo

del funzionamento e delle performance del Sistema stesso mediante attività di audit.

Verranno inoltre analizzati gli attori coinvolti nel complesso dei controlli

sull’informativa finanziaria messi in luce i rapporti delle due linee di difesa

sopracitate con la cosiddetta “terza linea esterna” (external audit) e con gli altri organi

7

di governo coinvolti (il Comitanto Controlli e Rischi, il Collegio Sindacale ed il

dirigente incaricato del SCIGR).

8

CAPITOLO 1 - L’internal audit nel quadro della Corporate Governance

e del Sistema di Controllo Interno

1.1) La definizione di internal auditing

La professione dell’internal auditor ha avuto un’importante evoluzione nel corso

degli anni1 ed il suo raggio d’azione si è gradualmente spostato da verifiche limitate

ad aspetti di conformità normativa e procedurale ad attività di maggiore ampiezza

rientranti in ambiti di controllo sistemico, consulenza organizzativa e governance nel

suo complesso2.

Ad oggi, il compito dell’internal audit è quello di fornire ai vertici aziendali ed al

management una valutazione e un supporto proattivo nella messa a punto di un

efficace ed efficiente sistema di governo dei processi focalizzato sulla ricerca di un

equilibrio tra il Sistema di Controllo Interno e la gestione dei rischi (risk

management) a salvaguardia degli obiettivi di business e di governo

dell’organizzazione. Questo ruolo, quindi, va ben oltre i tradizionali presidi di audit

finalizzati alla previsione delle frodi ed alla verifica del sistema contabile.

L’Institute of Internal Auditors (IIA) fornisce la definizione di internal audit che

individuando la missione, le caratteristiche e i contenuti dell’attività, rappresenta un

importante riferimento per la professione.

1 Gaetano Troina, Le revisioni azionedali, Prima edizione, 2005. 2 Carlo Regoliosi, Antonio Perno, L’esercizio dell’internal audit, Prima edizione, aprile 2010.

9

Tale definizione è stata integralmente tradotta dall’Associazione Italiana Internal

Auditors (AIIA):

“L’internal auditing è un’attività indipendente ed obiettiva di assurance e

consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza

dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi

tramite un approccio professionale sistematico, che genera valore aggiunto, in

quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di

controllo, e di governance”.

La suddetta definizione può essere scomposta ed analizzata nelle sue componenti

fondamentali.

L’indipendenza

Il primo elemento rilevante è il tema dell’indipendenza, intesa come la possibilità per

l’internal auditor di esercitare la propria attività senza interferenza alcuna e nel pieno

adempimento delle proprie responsabilità. Tale indipendenza è garantita anche

mediante un’adeguata collocazione organizzativa dell’attività: infatti, essa è

idealmente collocata in posizione di dipendenza funzionale dal Comitato Controlli e

Rischi (società quotate), dall’Organismo di Vigilanza (ex d.Lgs 231/01), dal

Consiglio di Amministrazione o in sede assembleare; e in posizione di dipendenza

gerarchica dal vertice manageriale dell’organizzazione (amministratore delegato o

direttore generale). Per quanto riguarda le società quotate, è il Codice di

10

Autodisciplina a fornire le linee guida per il reporting del preposto al controllo interno

nel quale si identifica tipicamente l’internal auditing. Un altro importante riferimento

in tema di indipendenza è fornito dalla “Guida Interpretativa 1101-1 – Indipendenza

organizzativa” pubblicata dall’Institute of Internal Auditors, all’interno della quale è

affermato che “il supporto del senior management e del board fornisce un aiuto

all’attività di internal audit nell’ottenere la collaborazione delle funzioni soggette ad

audit e nell’espletare il proprio lavoro senza interferenze”3 ed inoltre che “il riporto

funzionale del responsabile internal auditing dal board e quello amministrativo dal

senior management dell’organizzazione, facilitano l’indipendenza organizzativa. In

ogni caso, il responsabile internal auditing deve riportare ad un soggetto che sia

dotato, all’interno dell’organizzazione, dell’autorità necessaria a garantirne

l’indipendenza e ad assicurare un ampio ambito di copertura, una adeguata

considerazione alle relazioni di audit e un’appropriata risposta alle

raccomandazioni emesse”4. Nonostante ciò, gli internal auditor devono usare il

proprio giudizio professionale nell’applicazione dei suggerimenti relativi alle linee di

riporto in ogni specifica situazione e deve rimanere ben chiara la distinzione tra linea

di riporto funzionale e linea di riporto gerarchica (o amministrativa) e tra le relative

modalità di comunicazione, così da salvaguardare l’indipendenza e scindere gli

ambiti di copertura.

3 IIA, “Guida Interpretativa 1101-1 – Indipendenza organizzativa”, punto 1. 4 IIA, “Guida Interpretativa 1101-1 – Indipendenza organizzativa”, punto 2.

11

L’obiettività

Strettamente legato al principio dell’indipendenza è quello dell’obiettività della

figura professionale dell’internal auditor, la quale si traduce in un atteggiamento di

completa imparzialità, libero da preconcetti e volto ad evitare conflitti d’interesse che

potrebbero sorgere nello svolgimento dei propri compiti. Anche in questo campo,

come in quello dell’indipendenza, l’IIA con la Guida interpretativa 1120-1 sancisce

che “l’obiettività individuale implica che gli internal auditor eseguano il proprio

incarico con l’onesto convincimento della validità dei risultati ottenuti e senza

significativi compromessi e non devono essere messi in situazioni che possano

compromettere la propria capacità di esprimere un giudizio professionale

obiettivo”5, inoltre essa “include il fatto che il responsabile internal auditing debba

effettuare una ripartizione dei compiti tra le risorse della propria struttura, in modo

da prevenire potenziali o reali conflitti di interesse, richiedendo periodicamente ai

propri collaboratori informazioni in merito all’eventuale presenza di

condizionamenti o conflitti di interesse. Ove possibile, gli incarichi dovrebbero

essere assegnati a rotazione”6.

Assurance

I servizi di assurance consistono in rilevazioni e valutazioni dei fatti aziendali, che

permettono all’auditor di esprimere il proprio giudizio di affidabilità in merito ad

informazioni, processi, e sistemi, con l’obiettivo di fondo di raggiungere un

5 IIA, “Guida Interpretativa 1120-1 – Obiettività individuale”, punto 1. 6 IIA, “Guida Interpretativa 1120-1 – Obiettività individuale”, punto 2.

12

miglioramento della qualità delle decisioni procurando nuove informazioni oppure

ottimizzando la tempestività, l’affidabilità e la rilevanza di quelle già disponibili. In

questo tipo di servizi sono coinvolti tre soggetti: oltre all’auditor, infatti, sono

coinvolti il soggetto o i soggetti auditati (auditee), si tratta delle funzioni e delle

risorse coinvolte nel processo comprensive dei soggetti che ne sono responsabili; ed

il cliente che usufruirà dell’output dell’analisi stessa nel processo decisionale, in

questo caso ci si riferisce a soggetti interni (management, Collegio sindacale o altri

organi con compiti di vigilanza) oppure a stakeholder esterni all’azienda, nel caso di

specifiche attività.

Consulenza

I servizi di consulenza sono attività di supporto obiettivo diversi di quelli di assurance

e non comportano alcuna assunzione di responsabilità o decisione operativa da parte

dell’auditor. I soggetti coinvolti in questo caso sono soltanto l’auditor ed il cliente, in

quanto è proprio in accordo con il cliente che vengono pattuite la natura e la portata

dell’attività da svolgere. In tali attività di consulenza rientrano, ad esempio, il

supporto nel ridisegno di processi organizzativi o nella definizione di principi di

controllo, oppure attività di facilitazione nell’ambito dell’autodiagnosi dei rischi o

del risk assessment.

È importante sottolineare la crescita dell’adozione di approcci misti, nei quali

coesistono elementi di assurance e consulenza, soprattutto nell’ambito

dell’operational audit.

13

Efficacia ed efficienza

L’ obiettivo di fondo dell’internal audit è in assoluto il miglioramento dell’efficacia

e dell’efficienza dell’organizzazione aziendale, volto al raggiungimento degli

obiettivi di business e di governo. In generale, per efficacia si intende la capacità di

realizzare le proprie finalità; invece, per efficienza si intende il rapporto tra il grado

di raggiungimento degli obiettivi e la quantità di risorse impiegate (costi sostenuti per

l’implementazione di controlli aggiuntivi ed i benefici con essi ottenuti).

Approccio professionale sistematico e valore aggiunto

Tale approccio è una commistione di competenze professionali individuali, come le

capacità relazionali, di comunicazione e la diligenza; e di elementi chiave che offrono

una garanzia costante al professionista, quali gli Standard professionali IIA, le

consolidate tecniche e procedure di internal audit, i principi in materia economico-

giuridica, matematico-statistica e gli aggiornati sistemi informativi.

Mediante i mezzi sopracitati si punta alla creazione di valore aggiunto, inteso come

contributo all’effettivo miglioramento dell’organizzazione e delle prospettive di

raggiungimento degli obiettivi prefissati dai vertici aziendali7.

1.2) Il contesto normativo nazionale e internazionale

Oltre all’efficacia e all’efficienza, un buon governo d’impresa dovrebbe perseguire

obiettivi altrettanto fondamentali quali la legalità e la trasparenza. Negli ultimi anni,

7 Dittmeier Carolyn A., Internal Auditing - Chiave per la Corporate Governance, Marzo 2011, Seconda edizione, Egea.

14

a seguito delle numerose crisi aziendali esplose nel panorama economico mondiale,

le tematiche legate alla corporate governance hanno acquisito una considerazione

sempre maggiore da parte dei legislatori nazionali ed internazionali, da parte dei

mercati finanziari e dagli stakeholder nel loro complesso. Nel corso di questo

paragrafo illustrerò alcune dei maggiori interventi legislativi che oltre a modificare il

quadro della corporate governance, hanno inciso sulle responsabilità e sull’ambito di

operatività dell’Internal Audit.

1.2.1) Il Testo Unico della Finanza

Nell’ambito delle società quotate e degli istituti finanziari il tema del controllo interno

è affrontato in maniera approfondita dal Testo Unico della Finanza8, il quale si pone

come obiettivo la tutela degli investitori ed il buon funzionamento dell’intero sistema

finanziando mediante i principi della trasparenza e della correttezza. Analizzando il

testo, l’art. 21 al comma 1 (lettera d) sancisce che “nella prestazione dei servizi e

delle attività di investimento e accessori i soggetti abilitati” […] “devono disporre di

risorse e procedure, anche di controllo interno, idonee ad assicurare l’efficiente

svolgimento dei servizi e delle attività”9. Il Testo dedica ampio spazio (Parte IV10)

alla disciplina degli emittenti quotati in materia di governance. Scendendo

maggiormente nel dettaglio, all’art. 150 (intitolato “Informazione”) sono previsti

obblighi di disclosure nei confronti del Collegio Sindacale da parte degli

8 D.lgs n. 58 del 1998, detto anche “Riforma Draghi”. 9 Comma dapprima modificato dall'art. 14 della l. n. 262 del 28.12.2005 e dall'art. 10, comma 6 della l. n. 13 del 6.2.2007 (Legge comunitaria 2006) e poi così sostituito dall’art. 4 del d.lgs. n. 164 del 17.9.2007. 10 Parte IV intitolato “Disciplina degli emittenti” (artt. da 91 a 165septies).

15

amministratori11, del revisore legale o società di revisione12 e dei soggetti preposti al

controllo interno13. Emerge, da queste indicazioni normative, un’inedita rilevanza del

concetto di controllo interno, nonostante quest’ultimo non sia definito ne disciplinato

nel Testo in esame, il quale si limita esclusivamente a stabilire che spetta al collegio

sindacale vigilare “sull'adeguatezza della struttura organizzativa della società per gli

aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-

contabile nonché sull'affidabilità di quest'ultimo nel rappresentare correttamente i

fatti di gestione”14. L’obiettivo del legislatore è stato quello di promuovere il buon

governo d’impresa gettando le basi per la regolamentazione del settore e per

l’autoregolamentazione dei singoli emittenti quotati, in sinergia con l’introduzione di

disposizioni attuative (quali, ad esempio, il Codice di Autodisciplina).

1.2.2) Il Codice di Autodisciplina

Il quadro sempre più istituzionale ed internazionale creatosi in Italia a seguito

dell’entrata in vigore del Testo Unico della Finanza15, ha acceso la competizione per

l’accesso ai mercati finanziari e la minimizzazione del costo del capitale e reso di

fondamentale importanza l’efficienza e l’affidabilità del sistema di Corporate

Governance delle imprese. In quest’ottica, Borsa Italiana S.p.A., ha ritenuto

11 Art. 150, comma 1: “Gli amministratori riferiscono tempestivamente, secondo le modalità stabilite dallo

statuto e con periodicità almeno trimestrale, al collegio sindacale sull'attività svolta e sulle operazioni di maggior rilievo economico, finanziario e patrimoniale, effettuate dalla società o dalle società controllate; in particolare, riferiscono sulle operazioni nelle quali essi abbiano un interesse, per conto proprio o di terzi, o che siano influenzate dal soggetto che esercita l'attività di direzione e coordinamento.” 12 Art. 150, comma 3: “Il collegio sindacale e il revisore legale o la società di revisione legale si scambiano tempestivamente i dati e le informazioni rilevanti per l'espletamento dei rispettivi compiti.” 13 Art. 150, comma 4: “Coloro che sono preposti al controllo interno riferiscono anche al collegio sindacale di propria iniziativa o su richiesta anche di uno solo dei sindaci.” 14 Art. 149 – “Doveri”, comma 1, lettera c. 15 1° luglio 1998

16

necessaria la riunione di un Comitato con il compito di redigere un Rapporto sulla

Corporate Governance delle società quotate e di elaborare un Codice di

Autodisciplina in materia. Il suddetto codice vuole offrire alle imprese quotate

italiane uno strumento capace di rendere ancora più conveniente il loro accesso al

mercato dei capitali e rappresentare un modello di organizzazione societaria adeguato

a gestire il corretto controllo dei rischi d’impresa e i potenziali conflitti d’interesse

che posso interferire nei rapporti tra amministratori ed azionisti e tra maggioranze e

minoranze. Il Codice di Autodisciplina rappresenta uno strumento allineato con la

Best Practice internazionale, ma rispettoso della specificità italiana, il cui uso è

assolutamente volontario e non obbligatorio ed è dotato inoltre di elementi di

flessibilità e di adattamento alle diverse realtà economico-aziendali. Il Comitato per

la Corporate Governance raccomanda la costituzione di un sistema di controllo

interno organizzato e modulato sulla realtà aziendale di ogni singola società16. Per

avere mezzi idonei ad identificare, prevenire e gestire rischi e frodi di natura

finanziaria ed operativa, un buon sistema di controllo deve necessariamente essere

dotato di adeguate risorse umane e finanziarie, le quali devono essere garantite dagli

amministratori delegati ad assicurare funzionalità ed adeguatezza al sistema di

controllo interno. È raccomandata, inoltre, per tutte le società quotate l’istituzione di

un comitato per il controllo interno che abbia il compito di analizzare le

problematiche e di istruire le pratiche rilevanti per il controllo delle attività aziendali.

16 Codice di Autodisciplina, art. 7, principio 1: “Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale.”

17

In particolare, il comitato deve: essere formalmente costituito, essere formato da un

adeguato numero di amministratori non esecutivi17, avere funzioni consultive e

propositive, riferire al consiglio di amministrazione con regolarità, poter valutare

l’adeguatezza del sistema di controllo, le relazioni dei revisori e dei preposti al

controllo interno, la scelta ed il lavoro della società di revisione. Questa approfondita

analisi normativo-organizzativa mette in risalto la complessità di un sistema di

controllo interno e di gestione dei rischi e la molteplicità di attori in esso coinvolti.

Oltre agli amministratori ed al comitato controllo e rischi, il codice cita: il

responsabile della funzione internal audit “incaricato di verificare che il sistema di

controllo interno e di gestione dei rischi sia funzionante e adeguato”18, il collegio

sindacale, la revisione contabile e gli altri ruoli e funzioni aziendali con specifici

compiti in tema di controllo interno e gestione dei rischi. Inoltre, spetterà ad ogni

emittente quotata prevedere le modalità di coordinamento tra i soggetti coinvolti, in

un’ottica di massimizzazione dell’efficienza e di riduzione della duplicazione di

attività (la tematica dell’overlapping sarà analizzata in maniera più approfondita nei

capitoli successivi).

17 Codice di Autodisciplina, art. 7, principio 4: “Il comitato controllo e rischi è composto da amministratori indipendenti. In alternativa, il comitato può essere composto da amministratori non esecutivi, in maggioranza indipendenti; in tal caso, il presidente del comitato è scelto tra gli amministratori indipendenti. Se l’emittente è controllato da altra società quotata o è soggetto all’attività di direzione e coordinamento di un’altra società, il comitato è comunque composto esclusivamente da amministratori indipendenti. Almeno un componente del comitato possiede un’adeguata esperienza in materia contabile e finanziaria o di gestione dei rischi, da valutarsi da parte del consiglio di amministrazione al momento della nomina.” 18Codice di Autodisciplina, art. 7, principio 3, lettera b.

18

1.2.3) Il d.lgs. 231/01: la responsabilità amministrativa delle persone giuridiche

Il Decreto Legislativo 231 del 200119 trae ispirazione da una norma pubblicata per la

prima volta nel 197720 negli Stati Uniti, il Foreign Corrupt Practices Act (FCPA),

tanto da esserne considerato addirittura una trasposizione nazionale. Il FCPA è un

atto che proibisce alle società statunitensi di corrompere funzionari stranieri per

ottenere o mantenere affari. L’obiettivo quindi è quello di tutelare la stabilità

finanziaria delle società (controllanti, controlla nazionali ed estere, joint venture,

partnership, ecc.), ma anche dei mercati finanziari nel loro complesso. Oltre a

provvedimenti anti-corruzione, questo atto contiene disposizioni in materia di

contabilità e controllo interno: infatti, è previsto che le società statunitensi attive sul

mercato mobiliare mantengano registri contabili, in modo tale da individuare e

rintracciare pagamenti sospetti ove necessario; è poi richiesta l’istituzione ed il

mantenimento di un adeguato Sistema di Controllo Interno, che vigili su irregolarità

e mismatching tra scritture contabili e flussi finanziari effettivi e che possa costituire

un efficace deterrente contro pagamenti illeciti. Per tutte queste ragioni, il FCPA ha

avuto un grande impatto sul mondo dell’internal auditing e sulle iniziative

nell’ambito del controllo interno: molte società hanno ampliato e conferito maggiori

poteri alle proprie funzioni di internal auditing ed analizzato i propri sistemi di

controllo interno; diverse Authority hanno emesso regolamentazioni,

raccomandazioni e proposte inerenti al Controllo Interno (ad esempio, la relazione

emessa nel 1987 dalla Treadway Commission che raccomandava la creazione di

19 Emanato in esecuzione della delega di cui all’art. 11 della Legge n. 300 del 2000 20 Il Foreign Corrupt Practices Act è stato successivamente modificato nel 1988 e nel 1998.

19

tassativi codici di comportamento e la creazione di un Audit Committee col compito

di verificare annualmente l’operato del management, oltre a sottolineare l’importanza

di una funzione internal audit efficace ed obiettiva).

Come anticipato in precedenza, il d.Lgs. 231/01 trova una propria riconduzione nel

Foreign Corrupt Practices Act. Con tale decreto, emanato per adeguare la normativa

italiana ad alcune Convenzioni internazionali in materia di responsabilità delle

persone giuridiche, viene riconosciuta una responsabilità amministrativa di tipo para-

penale21 in capo agli enti forniti di personalità giuridica, alle società ed alle

associazioni (anche prive di personalità giuridica) per quanto riguarda reati commessi

nell’interesse o a vantaggio degli enti stessi. Tali reati devono essere commessi da

persone fisiche che ricoprono funzioni amministrative, direttive o rappresentative

nell’ente (o in una sua unità autonoma), da persone fisiche che esercitano il controllo

e la gestione dell’ente (anche solo di fatto) oppure da persone fisiche sottoposte alla

vigilanza ed alla direzione dei soggetti sopra indicati22. Le sanzioni amministrative

previste dal decreto in analisi sono sentenze di tipo pecuniario23 e di tipo

interdittivo24, la confisca e la pubblicazione della sentenza. Nel corso degli anni, il

novero dei reati sanzionabili è stato sensibilmente ampliato, andando a coprire ambiti

disciplinari eterogenei tra loro. Tra i più importanti individuiamo: reati contro la

Pubblica Amministrazione, reati societari; falsità in monete, in carte di pubblico

21 Responsabilità nominalmente amministrativa con accertamento in sede di procedimento penale. 22 Art. 5 – “Responsabilità dell’ente” 23 La sanzione pecuniaria è applicata per quote (tra cento e mille), il cui importo va da 258 a 1549 euro. 24 Art. 9 – 2. “Le sanzioni interdittive sono: a) l'interdizione dall'esercizio dell'attività; b) la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; c) il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; d) l'esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; e) il divieto di pubblicizzare beni o servizi.”

20

credito, in valori di bollo e in strumenti o segni di riconoscimento; market abuse25;

terrorismo ed eversione dell’ordine democratico; reati informatici; reati contro

l’industria e il commercio; reati contro la persona e la personalità individuale;

riciclaggio, ricettazione e impiego di denaro, beni o altre utilità di provenienza

illecita; omicidio colposo e lesioni colpose gravi o gravissime26; criminalità

organizzata; violazione dei diritti d’autore; induzione a non rendere dichiarazioni o

rendere dichiarazioni mendaci all’autorità giudiziaria. Il codice di autodisciplina27

riconosce i modelli di organizzazione, gestione e controllo addottati ai sensi del

231/01 quali modelli di best practice da tenere in considerazione in ogni Sistema di

Controllo Interno. L’adozione di tale tipologia di modello, nonostante essa non sia

resa obbligatoria ex lege, può costituire una sorta di scudo aziendale in grado di

esimere l’ente dalla responsabilità amministrativa in caso di un “evento illecito

231”28, a patto che: l’adozione del modello sia avvenuta prima del fatto; sia stato

nominato un Organismo di Vigilanza (OdV) per la verifica su funzionamento,

osservanza e aggiornamento del modello; il reato sia stato commesso aggirando

fraudolentemente il modello; l’OdV abbia adeguatamente vigilato. Il modello

organizzativo rappresenta, oltre a una prevenzione dal punto di vista penale, anche

un’opportunità di innovazione culturale per la realizzazione di un sistema aziendale

25 Condotte poste in essere sul mercato degli strumenti finanziari e consistenti nell'approfittare di informazioni confidenziali, nel falsare il meccanismo di determinazione dei prezzi o nel divulgare sul mercato informazioni false o ingannevoli. 26 Dall’agosto del 2007 vengono introdotti reati colposi, ossia eventi dannosi cagionati non volontariamente, provocati dall’inosservanza di regole cautelari legate alle tematiche di salute e sicurezza nei luoghi di lavoro. 27 Nella nuova edizione pubblicata da Borsa Italiana nel marzo 2006. 28 Se il fatto è commesso da soggetti apicali, l’onere della prova è a carico dell’ente (inversione dell’onere), che deve dimostrare la corretta attuazione del modello e le modalità con le quali tali soggetti lo hanno aggirato; se invece è commesso da soggetti posti sotto altrui vigilanza, l’onere della prova è a carico dell’accusa.

21

ispirato ad una gestione sana e culturalmente etica, tanto che oltre il 95% delle società

quotate ha dichiarato di aver adottato tale modello.

1.2.4) USA: il Sarbanes Oxley Act

Gli scandali finanziari emersi negli Stati Uniti agli inizi degli anni duemila (tra i quali

spicca il caso Enron29), hanno messo a nudo le debolezze della corporate governance.

Ciò ha spinto gli Stati Uniti all’approvazione, nel 2002, del Sarbanes Oxley Act con

l’obiettivo primario di riconquistare la fiducia degli investitori rendendo più

affidabile l’amministrazione aziendale ed investendo i funzionari aziendali di una

responsabilità personale per quanto riguarda false dichiarazioni sui dati finanziari.

Infatti, nelle Section 302 e 404 è stabilito che le organizzazioni devono migliorare la

responsabilità aziendale nei confronti degli stakeholder utilizzando criteri e procedure

contabili e sviluppando procedure di controllo interno. Tale normativa è applicabile

alle società quotate che superano un determinato livello di capitalizzazione. La

struttura della riforma poggia su alcune innovazioni fondamentali, tra le quali: la

concessione di maggiori poteri e finanziamenti alla Securities and Exchange

Commission (SEC)30; la creazione di un Board indipendente denominato “Public

Company Accounting Oversight Board” che vigila sulle società di revisione; il

divieto di svolgere alcune tipologie di servizi di consulenza da parte della società che

29 Nel 2001 la Enron improvvisamente fallì. L'avvenimento giunse del tutto inaspettato poiché ufficialmente l'azienda negli ultimi dieci anni aveva avuto una crescita molto rapida, decuplicando il proprio valore e raggiungendo il 7º posto nella classifica delle più importanti multinazionali degli USA. Tuttavia nel giro di pochissimo tempo le azioni Enron, da tutti considerate solidissime, persero tutto il loro valore, passando dalla quotazione di 86 dollari a 26 centesimi, bruciando così circa 60 miliardi di dollari nel giro di tre mesi. 30 La “Commissione per i titoli e gli scambi” è l’ente federale statunitense preposto alla vigilanza della borsa valori (analoga alla Consob in Italia), fu fondata nel 1934 dal Presidente Roosvelt all’indomani della crisi del 1929 nell’ambito del New Deal.

22

esercita contestualmente l’attività di revisione contabile; la trasparenza delle

transazioni cosiddette “off-balance sheet” (operazioni fuori bilancio).

Il “company principal executive and financial officer” deve attestare la veridicità del

bilancio annuale e delle relazioni finanziarie delle società quotate: sotto questo profilo

viene stabilito che il Chief Executive Officer e il Chief Financial Officer (o figura

equivalente) sono responsabili dell’adozione e implementazione di sistemi di

controllo interno e procedure sulle informazioni che vengono fornite al mercato e che

tale sistema di controllo interno deve essere idoneo a garantire che il flusso delle

informazioni/dati prodotti e attestati sia adeguato e corretto31.

Invece, con riferimento al sistema di controllo interno sul processo di redazione del

bilancio la riforma sancisce che il Chief Executive Officer e il Chief Financial Officer

devono valutare l’efficacia del sistema di controllo interno sul processo di redazione

del bilancio, comunicandone i risultati e le conclusioni nei report prodotti (bilancio e

relazioni periodiche)32 e che, inoltre, la società di revisione deve esprimere un

giudizio sul processo di valutazione del sistema di controllo interno, sul processo di

redazione del bilancio e sulla conformità di tale sistema al framework di riferimento

preventivamente definito dal Chief Executive Officer e dal Chief Financial Officer33.

31 Tematiche affrontate nella Sec. 302 32 Section 404 33 Per quest’ultimo punto, l’attività di reporting sul sistema di controllo interno è stata successivamente

rafforzata, nel quadro regolamentare statunitense, dalle prescrizioni dello standard n. 2 del PCAOB (Public Company Accounting Oversight Board) “An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements”.

23

Tabella 1.1 – Riassunto dei principali adempimenti in termini di attestazione (fonte AIIA)

Sono previste pesanti sanzioni amministrative e penali: per i falsi e le frodi che

incidono sull’acquisto o la vendita di strumenti finanziari (incluso il reato di falso in

bilancio) è prevista la reclusione fino a vent’anni e la multa fino a cinque milioni di

euro; per l’ostacolo alla giustizia mediante distruzione e/o alterazione di documenti è

prevista la reclusione fino a vent’anni. Un caso emblematico fu quello della società

di revisione coinvolta nello scandalo Enron, la Arthur Andersen34, la quale a causa

delle responsabilità accertate nella vicenda è stata posta immediatamente in

liquidazione.

34 La Arthur Andersen, fondata nel 1913, in seguito denominata Andersen, è stata per lungo tempo una delle principali società multinazionali di revisione di bilancio e consulenza a livello mondiale, parte delle "Big Five" (“Big Four” dopo il default della AA), gruppo delle principali società di revisione di bilancio e consulenza per grandi aziende.

24

Dopo circa un anno di applicazione delle norme SOA, l’Institute of Internal Auditors

ha osservato come uno dei primi risultati conseguiti è stato l’effettivo incremento del

livello dei controlli e un miglioramento generale dell’ambiente di controllo nelle

aziende, in connessione all’impulso dato dalla linea manageriale, dal comitato di

audit e dal vertice aziendale stesso. L’Institute ha anche fornito una serie di importanti

suggerimenti35, tra i quali risaltano: la necessità di adottare un approccio di tipo più

“enterprise-wide” ai controlli interni previsti dalla Section 404; per il lavoro delle

società di revisione in connessione con la Section 404, la necessità di tener maggior

conto del lavoro dei terzi tra cui quello dell’Internal Auditing che già svolge

un’attività di valutazione del sistema di controllo interno; l’esigenza che nella

pianificazione dell’attività di Internal Auditing sia assicurato un corretto

bilanciamento tra i diversi rischi al fine di evitare un’eccessiva incidenza dei controlli

di tipo finanziario.

Infine, l’IIA ha sottolineato come l’Internal Auditing, nell’esperienza statunitense,

si sia dimostrato un elemento rilevante di supporto al vertice aziendale. Il suo

coinvolgimento deve peraltro avvenire in osservanza degli Standard Internazionali

per la pratica professionale dell’Internal Auditing, con particolare riferimento ai

profili dell’indipendenza e dell’obiettività della sua azione.

1.2.5) La legge 262/05

La legge n. 262 del 28 Dicembre 2005, intitolata “Disposizioni per la tutela del

risparmio e la disciplina dei mercati finanziari”, ha innovato il panorama economico-

35 Mediante una lettera del 31 Marzo 2005 inviata alla Securities and Exchange Commission.

25

legislativo italiano a tal punto da comportare delle modifiche al Testo Unico della

Finanza, al Testo Unico Bancario ed al Codice Civile36. La legge trae ispirazione dal

Sarabanes Oxley Act, trattato nel paragrafo precedente, e condivide con esso sia le

origini (le crisi finanziare di importanti emittenti quotati) che gli obiettivi (rendere

trasparenti e corretti i rapporti tra emittenti e stakeholders). In tal senso la legge in

analisi tra i suoi capisaldi ricomprende: la responsabilità personale in capo a

determinati attori aziendali per quanto riguarda la veridicità dei documenti contabili

e delle informazioni fornite ai terzi e alle autorità37; l’introduzione di una nuova figura

societaria, il Dirigente preposto alla redazione dei documenti contabili societari

(“Dirigente Preposto”), con l’obbligo di istituire adeguate procedure amministrative

e contabili per la predisposizione del bilancio (di esercizio e, se previsto, consolidato)

e di ogni altra comunicazione in ambito finanziario; la maggior disciplina in tema di

revisione contabile, con una particolare attenzione ai conflitti d’interesse e

all’indipendenza. Un’ulteriore novità risiede nel fatto che le società sono vincolate a

pubblicare annualmente, nei termini imposti dalla Consob, una dichiarazione di

adesione ai codici di comportamento promossi da società di gestione di mercati

regolamentati o da associazioni di categoria degli operatori; le società dovranno

osservare gli impegni a ciò conseguenti, motivando le ragioni dell’eventuale

inadempimento. La formulazione di questo requisito fa sì che una società quotata non

potrà esimersi dallo specificare l’adesione ad un codice (ad esempio il Codice di

Autodisciplina di Borsa Italiana), e quindi del modello di controllo interno di

36 Sono state apportate modificazioni all’art. 2393 (“Azione sociale di responsabilità”); sono stati sostituiti gli artt. 2621 (“False comunicazioni sociali”) e 2622 (“False comunicazioni sociali in danno della società, dei soci o dei creditori”); è stato inserito l’art. 2629bis (“Omessa comunicazione del conflitto d’interessi”). 37 Artt. 14, 15 e 30 del testo di Legge.

26

riferimento, e di esplicitarne il grado di attuazione. Andando ad approfondire i profili

della norma legati ai documenti contabili societari, spicca la novità assoluta, come

anticipato in precedenza, dell’introduzione della figura del Dirigente preposto alla

redazione dei documenti contabili societari, il quale deve essere nominato dallo

statuto e al quale devono essere conferiti adeguati poteri e mezzi per l’esercizio dei

compiti e delle responsabilità attribuitegli. Tra gli aspetti operativi di questa

importante figura societaria rientrano: l’attestazione sottoscritta in sinergia con il

direttore generale della veridicità di tutti gli atti, comunicazioni e dati diffusi e forniti

sulla situazione economica, patrimoniale o finanziaria della società; l’impegno a

dotarsi di adeguate procedure amministrative e contabili per la predisposizione del

bilancio di esercizio (e laddove previsto del bilancio consolidato) e di tutte le altre

comunicazioni finanziarie diffuse al pubblico; l’attestazione, in unione agli organi

amministrativi delegati, tramite un’apposita relazione (sulla base di un modello

fornito dalla Consob), da allegare al bilancio di esercizio/consolidato, l’adeguatezza

e l’effettiva applicazione delle procedure amministrativo-contabili nonché la

corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili.

La base normativa sopra indicata è stata potenziata dall’inasprimento delle sanzioni

penali e amministrative38, sia nei confronti dei tradizionali organi amministrativi e di

controllo, sia a carico dei dirigenti preposti alla redazione dei documenti contabili

societari, che espongono fatti o forniscono relazioni/bilanci non rispondenti al vero

con l’intenzione di ingannare o indurre in errore i soci o il pubblico, e per conseguire

per sé o altri un ingiusto profitto.

38 Il Titolo V – “Modifiche alla disciplina in materia di sanzioni penali e amministrative” sancisce le modifiche e le novità in tema di reati societari e relative sanzioni.

27

Viene messa ancora in risalto, anche da questo punto di vista, la figura del Dirigente

Preposto, cui dovranno essere resi disponibili poteri, autonomia decisionale e mezzi

al fine di dotare la società di procedure contabili e amministrative che forniscano una

ragionevole garanzia che l’intero assetto organizzativo produca dati ed informazioni

di natura economica, patrimoniale e finanziaria veritiere, che il potenziale rischio di

informazioni false sia mantenuto ad un livello veramente contenuto, e che nel caso

ciò accadesse, il fatto possa essere prontamente individuato ed eliminato. Per

perseguire tali obiettivi, diventa assolutamente necessario dotarsi di adeguate

procedure contabili e amministrative. Queste procedure, per essere veramente efficaci

e ridurre i rischi a livelli accettabili, richiedono un’idonea progettazione, gestione e

monitoraggio del sistema di controllo interno con attività articolate su tutti i livelli

aziendali (dai controlli di base o primo livello al monitoraggio svolto dai diversi

livelli di responsabilità manageriale). Questi requisiti rappresentano strumenti di

garanzia per il vertice aziendale, per il dirigente stesso (nelle responsabilità che la

legge stessa gli attribuisce) e per gli organi amministrativi coinvolti.

Questa impostazione conferma il continuo interessamento del legislatore

all’organizzazione interna delle aziende che ormai prosegue da anni. La principale

implicazione che deriva dagli articoli di legge è rappresentata dalla necessità che le

aziende si dotino di un sistema di controlli interni inteso come processo manageriale

continuo (non solo quindi procedure, sistemi informativi e moduli) che nel caso

specifico, fornisca una ragionevole garanzia di raggiungimento dell’obiettivo di

controllo dell’affidabilità delle informazioni contabili e finanziarie

dell’organizzazione aziendale.

28

1.3) Il ruolo dell’internal audit nel disegno di Corporate Governance

I precedenti paragrafi hanno evidenziato come il vigente quadro normativo e

regolamentare abbia, in maniera crescente, rafforzato la responsabilità aziendale su

tematiche relative al Controllo Interno, richiedendo crescenti livelli di attenzione su

rischi specifici comuni alla vita aziendale (informativa societaria, corruzione PA,

salute e sicurezza, ambiente, ecc.). Tale paragrafo, invece, si pone l’obiettivo di

aiutare a chiarire questi aspetti inquadrando l’attività di internal auditing all’interno

del disegno di corporate governance e del Sistema di Controllo Interno, con un occhio

di riguardo al posizionamento strategico della funzione Internal Audit ed ai rapporti

di tale funzione con gli altri principali attori del Governo aziendale. Si cercherà,

inoltre, di capire come una funzione Audit possa affrontare efficacemente tutti gli

aspetti analizzati in precedenza cercando di perseguire, a livello aziendale, un giusto

equilibrio tra costi ed efficacia dei controlli.

1.3.1) Le three lines of defense

Il modello a tre linee di difesa (Three lines of defence, 3LoD), pubblicato in un

documento39 emesso dalla European Confederations of Institutes of Internal Audit

(ECIIA), si ispira alla normativa finanziaria ed in particolare ai principi di corporate

governance di Basilea40 con l’obiettivo di fornire uno schema di riferimento per il

legislatore. Tale modello divide in tre gruppi gli attori coinvolti in una efficace

39 European Confederations of Institutes of Internal Audit (ECIIA), Federation of European Risk Management Associations (FERMA), Guidance on the 8th EU Company Law Directive on Statutory Audit, Settembre 2010. 40 Comitato di Basilea, Principles for Enhancing Corporate Governance, 2010.

29

gestione dei rischi: funzioni che possiedono e gestiscono i rischi, funzioni che

controllano i rischi e funzioni che forniscono assurance indipendente.

Figura 1.1 – Il modello a Tre Linee di Difesa (fonte: ECIIA/FERMA)

La prima linea di difesa spetta al management operativo41, il quale è anche

responsabile dell'attuazione di azioni correttive per affrontare il processo e le carenze

di controllo. La gestione operativa è responsabile del mantenimento di un efficace

Sistema di Controlli e dell'esecuzione di procedure per la verifica di rischi e controlli

su base giornaliera. Inoltre, individua, valuta, controlla e mitiga i rischi, guidando lo

sviluppo e l'attuazione di politiche e procedure interne assicurando che le attività

41Il management operativo consiste nell’insieme di azioni messe in atto dal management e volte al raggiungimento di determinati obiettivi attraverso la cooperazione con il team. Si tratta di un’attività complessa, che richiede la gestione dei costi, del cambiamento, della qualità, delle risorse umane e dei flussi informativi che, solo se adeguati, possono aiutare i processi decisionali (Boutall, 1996).

30

siano coerenti con finalità e obiettivi prefissati. Attraverso una struttura di

responsabilità a cascata, i manager di livello intermedio progettano e implementano

procedure dettagliate di controllo e supervisionano l'esecuzione di tali procedure da

parte dei soggetti a loro subordinati. Il management operativo è naturalmente la prima

linea di difesa perché i sistemi e i processi di controllo sono progettati sotto la loro

guida. È necessaria, ovviamente, un’adeguata gestione e supervisione dei controlli in

atto per garantire la conformità e per evidenziare eventuali falle, processi inadeguati

o eventi imprevisti. In particolare, la seconda linea di controllo interviene in specifici

settori caratterizzati da rischi la cui mitigazione risulta particolarmente strategica o

complessa.

Il management dà origine a funzioni di risk management e compliance volte a

consolidare e controllare il lavoro svolto nella prima linea di difesa. La specificità di

suddette funzioni può variare a seconda del tipo di organizzazione e di azienda presa

in considerazione, ma tipicamente la seconda linea di difesa include: una funzione

risk management (e/o un risk management committee) che facilita e monitora

l’efficace implementazione delle pratiche di risk management della gestione

operativa e supporta i risk owners nel valutare l’esposizione al rischio e riportare

adeguatamente informazioni relative ai rischi a tutta l’organizzazione; una funzione

compliance che monitora la conformità alle leggi e ai regolamenti dei vari rischi

specifici e che riporta le informazioni ai senior manager o in alcuni casi direttamente

agli organi di governo (spesso in una singola organizzazione coesistono varie

31

funzioni di compliance con responsabilità legate a diversi settori di competenze42;

infine, una funzione di controllo riguardante rischi finanziari e questioni di bilancio.

Il management progetta le suddette funzioni per garantire una prima linea di difesa

correttamente progettata e funzionante, come pianificato. Ognuna di queste funzioni

vanta un certo grado di indipendenza rispetto alla prima linea, ma rimangono legate

per natura alla gestione operativa ed in quanto funzioni manageriali possono

intervenire direttamente nella modifica e nello sviluppo del Sistema di Controllo

Interno e Gestione dei Rischi. Pertanto, la seconda linea di difesa ha un’importanza

vitale, ma non può offrire un’analisi completamente indipendente dagli organi di

governo in termini di risk management e controllo interno. Le responsabilità di queste

funzioni variano a seconda della loro natura specifica, ma possono includere43:

sostegno alle politiche aziendali, definizione di ruoli e responsabilità, pianificazione

degli obiettivi; provvedimenti riguardanti la struttura del risk management;

identificazione di problematiche note ed emergenti; identificazione degli scostamenti

della propensione al rischio dell’organizzazione; assistenza al management nello

sviluppo di processi e controlli legati alla gestione dei rischi; fornire orientamento e

formazione sui processi di gestione dei rischi; facilitare e monitorare

l’implementazione di efficaci pratiche di gestione del rischio nella gestione operativa;

allertare il management riguardo nuove problematiche emergenti e cambiamenti della

regolamentazione e degli scenari di rischio; monitorare l’adeguatezza ed il

funzionamento del sistema di controllo interno, la correttezza e la completezza del

42 Salute e sicurezza, supply chain, ambiente, qualità, ecc. 43 IIA, Position Paper: The three lines of defence in effective risk management and control, The Second Line

of Defense: Risk Management and Compliance Functions, Gennaio 2013.

32

reporting, la compatibilità con leggi e regolamenti ed il tempestivo risanamento delle

carenze.

In ultimo, la terza linea di difesa è coperta dall’internal audit, che fornisce al governo

societario e al senior management una garanzia completa basata sul più alto livello di

indipendenza ed obiettività rintracciabile all’interno dell’organizzazione (a

differenza di quanto visto per la seconda linea). L’internal audit garantisce

sull’efficacia della governance, della gestione dei rischi e dei controlli interni, incluso

il controllo sulle precedenti due linee di difesa. L’obiettivo di questa tipologia di

assurance solitamente ricomprende44: una vasta gamma di obiettivi, tra cui l'efficacia

e l'efficienza delle operazioni, la salvaguardia del patrimonio, l’affidabilità e

l'integrità dei processi di reporting ed il rispetto di leggi, regolamenti, politiche,

procedure e contratti; tutti gli elementi della gestione dei rischi e del controllo interno

(ambiente di controllo interno, identificazione del rischio, valutazione del rischio e

risposta, informazione e comunicazione, monitoraggio); l'entità complessiva, le

divisioni, le controllate, le unità operative, i processi aziendali (vendite, produzione,

marketing, sicurezza, funzioni del cliente e operazioni), le funzioni di supporto (ad

esempio, entrate, contabilità delle spese, risorse umane, acquisti, libro paga,

budgeting, infrastrutture e asset management, inventario, information tecnology).

L'istituzione di un'attività di internal audit professionale dovrebbe essere un requisito

di governance per tutte le organizzazioni, non solo per le più grandi ed articolate, ma

anche per le organizzazioni di medie dimensioni e per le entità più piccole, in quanto

possono affrontare ambienti altrettanto complessi con una struttura meno formale e

44 IIA, Position Paper: The three lines of defence in effective risk management and control, The Third Line of Defense: Internal Audit, Gennaio 2013.

33

robusta nella gestione dei rischi. L’internal audit contribuisce attivamente ad

un'efficace governance organizzativa garantendo che determinate condizioni siano

soddisfatte mediante il loro approccio indipendente e professionale. La best practice

prevede di stabilire e mantenere un'attività indipendente, adeguatamente e

competentemente dotato di una funzione di internal audit, che debba: agire in

conformità con gli standard internazionali riconosciuti per la pratica dell’internal

audit, riportare ad un livello sufficientemente elevato nell'organizzazione per essere

in grado di svolgere le proprie funzioni indipendentemente, avere una linea di

reporting attiva ed efficace nei confronti degli organi direttivi.

Inoltre, come è possibile notare nella figura 1.1, al di fuori dello schema delle Three

Lines, spicca la presenza dell’External Audit, definibile come una sorta di “terza linea

esterna”. La revisione esterna è affidata, secondo previsioni legislative, ad un revisore

legale dei conti o ad una Società di Revisone (tale figura sarà esaminata in dettaglio

nei paragrafi a seguire).

1.3.2) Il coordinamento delle Tre Linee ed il rischio overlapping

Per quanto riguarda il coordinamento delle tre linee di difesa, non si può parlare in

assoluto di una maniera “corretta” di coordinare, in quanto ogni organizzazione è

unica e le singole circostanze variano. E nonostante il risk management nel suo

complesso debba risultare il più omogeneo possibile, è importante tenere ben a mente

i compiti di ogni singolo gruppo (vedi Tabella 1.2).

34

Tabella 1.2 – Caratteristiche delle Tre Linee di Difesa (fonte: IIA)

Le tre linee dovrebbero esistere, in qualche modo, in qualsiasi organizzazione, a

prescindere dalla grandezza o dalla complessità della stessa. La gestione dei rischi

risulta essere più solida quando risulta più netta la distinzione tra i tre gruppi.

Tuttavia, nello sviluppo di particolari situazioni, soprattutto nelle realtà di piccole

dimensioni, possono verificarsi delle sovrapposizioni tra più linee. Ad esempio, è

frequente in cui all’internal audit sia richiesto di intervenire nel campo del risk

management oppure di gestire attività a livello di compliance. In circostanze tali,

spetta alla funzione internal audit di riferire al governo societario ed ai senior manager

l’entità e i possibili risvolti di tali sovrapposizioni. Inoltre, nel caso in cui venissero

assegnate responsabilità “doppie” in capo ad una singola persona o ad una singola

funzione, sarebbe consigliabile procedere ad una riassegnazione delle responsabilità

così da rendere nuovamente chiaro lo schema delle Tre Linee. Indipendentemente

dalle modalità in cui il modello è applicato, è fondamentale che i vertici aziendali

chiariscano l’importanza della condivisione delle informazioni e del coordinamento

delle azioni tra tutti i gruppi implicati nel Sistema di Controllo Interno e Gestione dei

Rischi. In linea con quanto raccomandato dagli International Standards for the

35

Professional Practice of Internal Auditing45, i chief audit executive (CAE)46 hanno il

dovere di condividere informazioni e coordinare attività con coloro che forniscono

servizi di assurance e consulenza, che siano essi interni o esterni all’organizzazione,

in modo tale da garantire un’adeguata copertura delle attività e ridurre la duplicazione

degli sforzi (overlapping). La chiarezza intorno ai ruoli delle diverse funzioni, quindi,

risulta essere un punto cruciale nel modello 3LoD, in quanto permette la

minimizzazione dell’overlapping47 nel campo degli obiettivi e delle responsabilità ed

illustra come il lavoro di tutte le funzioni coinvolte possa confluire verso

l’individuazione dei rischi maggiormente rilevanti con un’elevata efficacia ed

efficienza. Inoltre, il modello dimostra come la separazione dell’internal audit dal

management possa permettere alla funzione IA una comunicazione imparziale e non

filtrata con il board riguardo i rischi dell’organizzazione e le argomentazioni di

controllo.

1.3.3) I rapporti tra Internal Audit e Dirigente Preposto

La figura del Dirigente preposto alla redazione dei documenti contabili societari

(analizzata nel paragrafo 1.2.5) si manifesta agli stakeholder solo nel momento della

relazione annuale al bilancio e nelle comunicazioni periodiche riguardanti il rilascio

di informazioni di tipo economico-finanziario-patrimoniale, ma presuppone una

intensa attività interna per la predisposizione, l’attuazione e l’attestazione

45 Pubblicati ed aggiornati (ultima versione dell’ottobre 2016) dall’Institute of Internal Auditors, contengono attribute standards e performance standards per la professione. 46 Questa figura professionale rappresenta il livello più alto all’interno della funzione internal audit (anche chiamato Direttore dell’Internal Audit). 47 IIA, Tone at the Top: Issue 60 - Providing senior management, boards of directors, and audit committees

with concise information on governance-related topics, Febbraio 2013.

36

dell’adeguatezza dell’impianto procedurale riferito al settore amministrativo-

contabile aziendale con gli adeguati poteri e mezzi garantitigli dalla normativa48 per

il pieno assolvimento dei suoi compiti.

Importante contributo in materia è stato fornito anche dai vari position paper

pubblicati dall’Associazione Italiana Internal Auditors, che hanno evidenziato come

potrebbero generarsi sovrapposizioni o conflitti di competenze nella gestione dei

sistemi di controllo/verifica/audit nel momento in cui tali funzioni fossero istituite

alle dirette dipendenze del dirigente preposto, generando inoltre una diseconomia

nella gestione aziendale ed una carenza di controllo nelle aree in cui si verifichino

conflittualità tra sistemi concomitanti. La recente dottrina49 ha definito il DP come

una “cerniera” tra gli organi e le funzioni dedicate al controllo contabile, importante

sia nella predisposizione delle procedure amministrative e contabili finalizzate alla

formazione del bilancio, sia nella trasmissione al Comitato per il Controllo Interno e

al CdA di tutte le informazioni utili e necessarie per l’espressione di una valutazione

di adeguatezza sull’assetto organizzativo complessivo. Il DP, in quanto garante su

attendibilità e trasparenza dei documenti e delle procedure contabili societarie, può

avvalersi in via diretta della funzione internal audit, la quale dovrà garantirgli un

costante flusso informativo volto a fornire le informazioni inerenti all’attuazione del

SCI in generale e del controllo contabile in particolare. Esso ha un ruolo più

gestionale che di controllo: partecipa all’architettura dell’assetto organizzativo e

contabile, ma non ha un vero e proprio peso specifico all’atto di valutazione e stima

48 Legge n. 262 del 28 Dicembre 2005, “Disposizioni per la Tutela del Risparmio e la disciplina dei Mercati Finanziari”, artt. 14, 15, 30 (vedi anche par. 1.2.5 della tesi). 49 Confindustria, Linee guida per lo svolgimento delle attività del dirigente preposto alla redazione dei documenti contabili societari ai sensi dell’art. 154-bis TUF, Dicembre 2007.

37

dei dati contabili50. Attribuendo al detto soggetto una funzione amministrativa di

controllo, potrebbe sorgere il dubbio circa una sovrapposizione di tale incarico con

quello dell’organo delegato per la predisposizione delle procedure contabili e con

quello del comitato per il controllo interno e degli amministratori non esecutivi. Tale

sovrapposizione svanisce nel momento in cui si analizza la vera funzione del

dirigente preposto, che è quella di garanzia dell’attendibilità e trasparenza delle

informazioni contabili della società. Vi è la convinzione, in Dottrina, che il dirigente

preposto debba essere considerato come un “nuovo organo societario”, qualificato

cioè come una nuova figura dirigenziale, la cui nomina deve essere riservata

all’organo amministrativo.

Il supporto autonomo ed indipendente fornito dall’internal audit può essere una

preziosa garanzia per il Dirigente Preposto e l’amministratore delegato nello

svolgimento delle attestazioni in capo alle proprie responsabilità. Ciò perché l’IA

nell’esercizio della sua attività di consulenza individua e verifica i rischi aziendali,

contribuisce all’implementazione di un sistema di risk management, assiste nella

formazione interna per diffondere le competenze necessarie per l’autodiagnosi51 del

Sistema di Controllo Interno riguardo a specifici rischi di natura finanziario-

contabile. Inoltre, la funzione di internal auditing può attivarsi anche su segnalazione

del DP per svolgere degli audit specifici in aree minacciate da situazioni di rischio,

in modo da poter fornire assurance su adeguatezza e funzionamento dei processi

contabili segnalati, pur sempre mantenendo un’ottica sull’organizzazione nel suo

50 Assonime, Circolare 44, Il dirigente preposto alla redazione dei documenti contabili nel sistema dei controlli societari, Novembre 2009. 51 Control Risk Self-Assessment (CRSA): si pone quindi come obiettivo quello di fornire al management uno strumento che consente l'effettuazione di analisi qualitative per la gestione del rischio.

38

complesso e sulla complessiva esposizione al rischio. Il flusso informativo generato

dai suddetti audit confluirà verso la linea manageriale e verso il dirigente preposto

per quanto riguarda gli ambiti di sua competenza. Le considerazioni finali in materia

amministrativo-contabile del dirigente preposto dovranno basarsi come visto sulle

indicazioni provenienti dall’intero governo societario, ivi incluso l’apporto fornito

dal revisore legale dei conti esterno (o società di revisione) e dal Collegio Sindacale.

1.3.4) I rapporti con il revisore esterno

Al revisore legale, o alla società di revisione, spetta il compito di esprimere, attraverso

una opinion sul bilancio sottoposto a revisione, se i fatti di gestione sono

correttamente rilevati nelle scritture contabili, se il bilancio corrisponde alle

risultanze di tali scritture e se risulta conforme alle norme che disciplinano la

redazione dei bilanci. Sul piano normativo, a livello comunitario, la revisione legale

dei bilanci d’esercizio e consolidati è disciplinata dalla direttiva 2006/43/CE52, nata

con l’obiettivo di rendere armonica quanto più possibile la disciplina del settore.

L’attenzione rivolta alla revisione legale dei conti nasce anch’essa dai numerosi

scandali finanziari e dalla consapevolezza che essa sia una funzione istituzionale a

presidio e tutela dei terzi. Sono state perciò riviste le modalità di esercizio della

funzione e sono state ampliate le categorie di soggetti che devono sottoporsi alla

revisione di bilancio: infatti, tutte le società per azioni devono avere un revisore

esterno che eserciti il controllo contabile, ad eccezione di quanto previsto dall’art.

52 Attuata in Italia con il d.lgs. 27 gennaio 2010, n.39.

39

2409-bis secondo comma53 del Codice Civile. Vi sono stati cambiamenti anche per

quanto riguarda l’assegnazione ed il mantenimento degli incarichi secondo criteri di

client acceptance e client continuance54, fondamentali per poter accertare e

mantenere gli elementi posti a tutela dell’indipendenza del revisore. È stato introdotto

inoltre un controllo trimestrale della contabilità in capo a tutte le società per azioni,

oltre alla raccomandazione relativa all’adozione dei nuovi principi contabili ISA.

È importante evidenziare le differenze tra l’attività della revisione esterna e quella

dell’internal audit (detta anche revisione interna): quest’ultima orienta la propria

attività verso l’intero sistema dei controlli aziendali (architettura e prevenzione);

invece, la revisione esterna focalizza la propria attenzione su tutti gli aspetti

funzionali alla redazione del bilancio e alla loro corretta gestione, verificando la

correttezza e la concordanza dei dati aziendali revisionando documenti

amministrativi e contabilità gestionale, l’affidabilità dei dati contabili analizzandoli

in maniera critica, il riscontro dei dati inseriti in bilancio per mezzo di tecniche di

analisi e revisione. Nonostante questa separazione sia piuttosto netta, rimangono

alcuni punti di contatto ed analogie tra le due funzioni: esse sono riscontrabili nelle

tecniche di analisi e nelle modalità di svolgimento del lavoro, oppure risiedono

nell’utilità che particolari tipologie di audit interno (financial audit55) hanno per il

lavoro del revisore esterno e nella circostanza che talvolta la funzione internal audit

53 “Lo statuto delle società che non siano tenute alla redazione del bilancio consolidato può prevedere che la revisione legale dei conti sia esercitata dal collegio sindacale. In tal caso il collegio sindacale é costituito da revisori legali iscritti nell'apposito registro.” 54 Le policy di Client Acceptance and Continuance definiscono i principi per decidere se accettare, o meno,

un nuovo cliente o un nuovo incarico, ovvero per continuare un rapporto con un cliente esistente o un

incarico in corso. Questi sono principi fondamentali per mantenere la qualità, gestire il rischio, proteggere il

personale e soddisfare gli obblighi regolamentari.

55 Audit di tipo contabile svolto dalla funzione Internal Audit.

40

assolve alcuni compiti in collaborazione con i revisori contabili nella revisione di

bilancio. Solitamente, nella fase di programmazione del lavoro il revisore esterno

analizza il lavoro dell’internal audit e valuta se questo possa essere funzionale al

lavoro di revisione considerandone l’organizzazione, le competenze tecniche e la

diligenza professionale. Il coordinamento tra le attività delle due funzioni deve essere

gestito in maniera efficace onde evitare situazioni di duplicazione degli sforzi, o al

contrario di omissione di controlli, o infine il venir meno dei requisiti di

professionalità ed indipendenza56. Anche se, come appena visto, il lavoro

dell’internal audit può rivelarsi estremamente prezioso per il revisore esterno,

quest’ultimo rimane il solo responsabile per quanto riguarda il giudizio espresso, la

scelta delle procedure di revisione da svolgere, scelta delle tempistiche di audit e della

vastità dell’analisi. Tanto più sarà efficace ed efficiente il lavoro già svolto

dall’internal audit, tanto più ridotta sarà la portata del lavoro da compiere dal revisore

esterno. Presupposto fondamentale per un’efficiente collaborazione tra i due soggetti

è lo scambio d’informazioni continuativo e puntuale su tutte le situazioni

problematiche, e non, che possono influenzare il reciproco operato ed a tal proposito

potrebbe essere opportuno fissare incontri periodici soprattutto all’avvicinarsi delle

fasi di reporting e di opinion.

1.4) L’Internal Audit nella Gestione dei Rischi

Nella definizione di internal auditing vista all’inizio del capitolo, si parla di

“valutazione e miglioramento dell’efficacia e dell’efficienza dei processi di risk

56 Guida interpretativa allo standard IIA 2050, Coordinamento.

41

management, di controllo e di corporate governance”57. Quindi attraverso una

valutazione dell’efficacia, intesa come realizzazione degli obiettivi

dell’organizzazione, e dell’efficienza (adeguatezza e tempestività nel

raggiungimento, minimizzazione delle risorse impiegate, mantenimento di un livello

di costo commisurato ai rischi e alle opportunità), l’internal audit fornisce ragionevoli

garanzie per il raggiungimento degli obiettivi di business e di governo. Tali obiettivi

sono periodicamente revisionati dal management, il quale è attento anche alle

modifiche dell’ambiente interno ed esterno all’azienda ed alla diffusione all’interno

della stessa di una cultura orientata al risk management. Nel contesto aziendale, il

rischio è considerato come la possibilità che si verifichi un evento che abbia impatto

negativo sul conseguimento degli obiettivi ed il controllo è il mezzo mediante il quale

il management aumenta la probabilità di raggiungere gli obiettivi e mitiga i rischi.

Non sempre, tuttavia, gli eventi hanno la valenza negativa di minacce, essi possono

essere anche considerati delle opportunità positive, in particolare per quelle aziende

in grado di anticiparli e gestirli in maniera opportuna. In questa fase, il ruolo chiave

dell’internal audit è quello di verificare l’idoneità e l’efficacia dei vari processi,

sistemi, operazioni, funzioni e attività dell’organizzazione tramite una valutazione

sistematica e professionale. Tutto ciò mediante attività volte a garantire l’efficacia e

l’efficienza del Sistema di Controllo Interno, del Risk Management e dell’intero

processo di governance mediante la definizione ed il mantenimento di principi

aziendali, la determinazione chiara degli obiettivi, il monitoraggio delle attività e

delle relative prestazioni, l’attribuzione e la misurazione di responsabilità e deleghe

57 Standard IIA 2100: Natura dell’attività.

42

e l’attenzione costante all’eventuale presenza di conflitti d’interesse. Tale attenzione

per le regole relative al governo d’impresa è indirizzata in primis alla tutela degli

interessi degli stakeholder, ma anche al rispetto delle norme relative all’ambiente

economico, politico e sociale.

Nel corso degli anni novanta, i contenuti di risk management e quelli di corporate

governance si sono intrecciati a tal punto da fondersi e da far pensare che una buona

gestione d’impresa coincida con un sistema dei rischi ampio e ben funzionante. Nel

frattempo, anche le tecniche di risk analysis si sono evolute divenendo processi

pervasivi, con una responsabilità largamente diffusa all’interno dell’organizzazione

e caratterizzati dall’utilizzo di modelli di controllo più complessi e specifici, che

hanno portato la responsabilità della funzione risk management ai massimi livelli

aziendali. Troviamo riscontri anche dal punto di vista normativo nel Codice di

Autodisciplina, nei regolamenti IVASS58 e nelle regole di risk management emanate

da Banca d’Italia ispirate a quanto sviluppato dal Comitato di Basilea.

La gestione dei rischi si configura come una componente essenziale del governo

d’impresa, avente una notevole dimensione organizzativa e legata allo sviluppo dei

sistemi di management. È quindi responsabilità dei vertici aziendali individuare i

rischi che possano compromettere il raggiungimento degli obiettivi e provvedere l

loro contenimento e alla loro gestione, presupponendo la conoscenza della natura dei

rischi che minacciano l’impresa, della probabilità che essi si manifestino, del loro

impatto e delle strategie di gestione di ciascuno di essi. Per fare ciò è necessaria la

presenza di affidabili sistemi di identificazione e assessment dei rischi, l’efficacia dei

58 Istituto per la Vigilanza sulle Assicurazioni (ex ISVAP), regolamento n. 20/2008.

43

sistemi di controllo e la prontezza nell’attuazione di piani alternativi a quelli previsti

in caso di fallimento degli stessi.

Un efficace governance d’impresa si basa sull’integrazione dei sistemi di gestione dei

rischi e di controllo interno e spetta all’internal audit il compito di valutare insieme

ai vertici la loro adeguatezza in un’ottica di creazione del valore.

Figura 1.2 – Integrazione tra sistemi di gestione dei rischi e controlli.

Il sistema complessivo di risk management comprende la gestione globale dei rischi

ed il Sistema di Controllo Interno e focalizza l’attenzione sui mezzi effettivamente a

disposizione del vertice aziendale per rendere operante l’impresa a tutti i livelli

operativi59.

59 KPMG, Corporate governance: guida pratica al controllo interno, 2001.

44

1.4.1) Il Modello ERM

Dopo la pubblicazione del modello di controllo “CoSo report I” del 1992, il

Committee of Sponsoring Organizations of the Treadway Commission ha avviato

agli inizi del 2000 una riflessione in tema di rischi aziendali, conclusasi nel 2004 con

la pubblicazione dell’Enterprise Risk Management Framework (ERM)60. L’appena

citato modello nasce per offrire alle aziende un riferimento da adottare per la gestione

dei rischi aziendali definendo le componenti essenziali dei rischi stessi, suggerendo

un linguaggio comune e fornendo precise indicazioni. Esso rappresenta uno

strumento complesso finalizzato sia alla analisi dei fattori di rischio e del loro impatto

sulle performance aziendali, sia alla creazione di valore e vantaggio competitivo, in

quanto consente di raggiungere una consapevole assunzione dei rischi ed una

mitigazione dei loro effetti negativi. Nel modello ERM si parla di uno schema valido

per gestire i fattori di rischio relazionando il risk management alla corporate

governance, alla misurazione delle performance ed al Sistema di Controllo Interno.

Ciò permette di affrontare in maniera pronta le eventuali incertezze e i conseguenti

rischi raggiungendo un equilibrio ottimale tra obiettivi di crescita, redditività e rischi

mediante l’allineamento della strategia alla propensione al rischio (risk appetite) ed

il rafforzamento delle decisioni di risposta al rischio. Identificare e gestire i rischi

principali, così come quelli correlati e multipli, e le opportunità, permette una

riduzione dei rischi e delle perdite ed un conseguente miglioramento nell’impiego del

capitale.

60 CoSo II

45

Nel framework del Committee of Sponsoring Organizations of the Treadway

Commission, è fornita una definizione di Enterprise Risk Management:

“La gestione del rischio aziendale è un processo, posto in essere dal consiglio di

amministrazione, dai dirigenti e da altri operatori della struttura aziendale, utilizzato

per la formulazione delle strategie in tutta l’organizzazione, progettato per

individuare eventi potenziali che possono influire sull’attività aziendale, per gestire

il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza

sul conseguimento degli obiettivi aziendali”61.

Il modello si delinea quindi come un processo continuo che coinvolge,

responsabilizzandoli (accountability62), tutti i livelli dell’organizzazione mediante

una sequenza di attività pervasive e integrate, che siano sufficienti a scongiurare la

necessità di ulteriori procedure che comporterebbero perdite in termini di tempo ed

economici. Esso risulta parte integrante della mission e della vision aziendale in

quanto contiene al suo interno obiettivi di natura strategica e si propone come un

61 CoSo Enterprise Risk Management – Integrated Framework 2004. 62 “Responsabilità incondizionata, formale o non, in capo a un soggetto o a un gruppo di soggetti (accountors), del risultato conseguito da un’organizzazione (privata o pubblica), sulla base delle proprie capacità, abilità ed etica. Tale responsabilità richiede giudizio e capacità decisionale, e si realizza nei confronti di uno o più portatori di interessi (account-holders o accountees) con conseguenze positive (premi) o negative (sanzioni), a seconda che i risultati desiderati siano raggiunti o disattesi. L’accento non è posto sulla responsabilità delle attività svolte per raggiungere un determinato risultato, ma sulla definizione specifica e trasparente dei risultati attesi che formano le aspettative, su cui la responsabilità stessa si basa e sarà valutata. La definizione degli obiettivi costituisce, dunque, un mezzo per assicurare l’accountability. Insieme al concetto di responsabilità, l’accountability presuppone quelli di trasparenza e di compliance. La prima è intesa come accesso alle informazioni concernenti ogni aspetto dell’organizzazione, fra cui gli indicatori gestionali e la predisposizione del bilancio e di strumenti di comunicazione volti a rendere visibili decisioni, attività e risultati. La seconda si riferisce al rispetto delle norme ed è intesa sia come garanzia della legittimità dell’azione sia come adeguamento dell’azione agli standard stabiliti da leggi, regolamenti, linee guida etiche o codici di condotta. Sotto questi aspetti, l’a. può anche essere definita come l’obbligo di spiegare e giustificare il proprio comportamento.”

46

modello di tipo olistico secondo cui l’efficacia dipende sia dal corretto funzionamento

delle singole componenti, sia dalla qualità delle relazioni che si creano tra le stesse.

Figura 1.3 – Enterprise Risk Management Framework o CoSo report II (fonte: coso.org)

L’ERM rappresenta uno strumento più completo rispetto al CoSo report I, ma non è

da intendere come un aggiornamento dello stesso: l’ERM è necessario ad identificare

e gestire i rischi che circondano e minacciano un’organizzazione, mentre il CoSo

report I è utilizzato per comprendere e gestire i controlli interni all’interno della

complessità aziendale.

47

Nelle sue otto componenti, il modello, una volta identificati gli obiettivi

dell’organizzazione, racchiude due gruppi di ambiti specifici: gli ambiti specifici

della gestione dei rischi (identificazione degli eventi, valutazione del rischio e

risposta al rischio) e gli ambiti specifici del Sistema di Controllo Interno quale

principale mezzo di risposta al rischio (ambiente interno, attività di controllo, sistemi

di informazione e comunicazione, monitoraggio). Tale modello, ovviamente, non ha

una modalità di utilizzo standard ma deve essere adattata alla singola realtà

organizzativa, anche in base alle sue dimensioni (le realtà medio-piccole ad esempio

non necessitano di un modello così complesso ed articolato).

L’internal auditing, in quanto attività di assurance e consulenza indipendente ed

obiettiva, nell’ambito applicativo dell’Enterprise Risk Management, assiste il

management e i massimi livelli aziendali fornendo valutazioni, analisi, rapporti e

raccomandazioni ed aiuta l’organizzazione ad identificare, valutare ed implementare

metodologie e controlli per affrontare i rischi. Gli internal auditor, oltre a ricoprire il

ruolo di assurance, possono fornire servizi di consulenza nell’ambito dei processi di

risk management ponendo la massima attenzione nel garantire la propria

indipendenza ed obiettività e quindi senza assumere responsabilità manageriale nella

gestione dei rischi63. Soffermandoci invece sull’attività di assurance, il contributo che

l’internal audit fornisce: assurance sui processi di gestione dei rischi aziendali

(verifica del processo di risk management complessivo); assurance sul processo di

valutazione dei rischi (verifica di attività specifiche rientranti nel risk assessment);

valutazione dei processi nell’ottica di un’adeguata gestione dei rischi; valutazione del

63 IIA, Guida interpretativa 2120-1: Valutazione dell’adeguatezza dei processi di Risk management.

48

sistema di reporting dei rischi; revisione della gestione effettiva dei principali rischi

aziendali64.

Il CoSO III per il financial reporting

Un’ulteriore novità arriva nel 2006, quando il Committee of Sponsoring Organization

ha emanato una guida per aiutare le imprese (soprattuto le medio-piccole) a recepire

il framework del CoSO Report I. La guida in questione, conosciuta come CoSO III65,

nasce per consentire al management l’adozione di un sistema di controllo (a costi

contenuti) particolarmente attento all’attendibilità del reporting finanziario.

64 IIA, Position statement: The role of Internal Audit in Enterprise-wide Risk Management, 29 settembre 2004. 65 Committee of Sponsoring Organizations of the Treadway Commission, Internal Control over Financial Reporting – Guidance for smaller companies, 2006.

49

CAPITOLO 2 - Organizzazione, attività e risultati dell’Internal Audit

2.1) Le tipologie di Internal Audit

Gli ingenti sviluppi nel campo della corporate governance e dei controlli interni,

hanno aumentato l’attenzione nei confronti dell’assurance fornita dall’internal audit

e questo ha portato ad un notevole sviluppo e ad una crescente specializzazione in

base agli incarichi assegnati, i quali si palesano in ruoli e funzioni sempre più

complessi che portano la funzione IA ad essere tra le componenti essenziali del

Sistema di Controllo Interno e a rappresentare uno snodo cruciale all’interno del

sistema informativo aziendale (come analizzato nel capitolo precedente della tesi).

Essa deve inoltre strutturarsi al meglio e rendersi il più duttile possibile dinanzi alle

mutevoli esigenze organizzative66, rimanendo comunque focalizzata sull’obiettivo di

ottimizzazione della gestione67.

La distinzione che faremo a breve tra le tipologie di internal audit è meramente

teorica, in quanto nella realtà aziendale è praticamente impossibile ricondurre ad uno

schema rigido e specifico attività che sono necessariamente correlate tra loro.

Analizziamo di seguito le principali tipologie di IA, tenendo sempre a mente la

distinzione tra attività di assurance e attività di consulenza viste in precedenza.

Operational auditing (audit di processo)

L’audit di processo è un’attività ad altissimo contenuto consulenziale, in quanto

consiste nella valutazione della struttura del disegno di risk management e controllo

66 IIA, Standard 2230, Assegnazione delle risorse. 67 IIA, Standard 2030, Gestione delle risorse.

50

interno del processo (di business o di supporto che sia), analizzandone la capacità di

raggiungere gli obiettivi e rilevando possibili aree migliorabili. Oltre al

raggiungimento degli obiettivi di business e di governo, viene misurato anche il

livello di economicità raggiunto dalle organizzazioni in termini di efficacia ed

efficienza nel perseguimento dei risultati.

L’operational audit può essere suddiviso in tre fasi: lo studio del contesto generale

del processo (identificazione di obiettivi e rischi collegati); l’analisi dettagliata delle

fasi del processo (rilevazione di difetti di strutturazione); la misurazione dei rischi

maggiormente rilevanti.

L’obiettivo comune ai vertici aziendali e all’internal audit (in veste consulenziale) è

quello di creare valore mediante il miglioramento continuo dei processi tramite

l’attuazione di azioni correttive.

Compliance auditing (audit di conformità)

Il compliance auditing è rivolto alla verifica dell’osservanza di regole relative ad un

determinato processo/area di business e può riguardare l’insieme di normative e

procedure oppure essere mirata ad alcuni aspetti critici. Il complesso normativo

racchiude la normativa interna (principi aziendali, politiche e linee guida, procedure,

prescrizioni contrattuali, disposizioni operative) e quella esterna.

Tale audit può essere considerato come un vero e proprio strumento di prevenzione

in grado di fornire assurance alle strutture aziendali che si occupano di regolamenti

interni e può assolvere, se svolto senza notifica ai soggetti interessati, il ruolo di

attività ispettiva. Nel caso in cui gli esiti delle verifiche sopra decritte fossero

51

negativi, spetterà all’operational auditing fornire valutazioni sulle esigenze di

completamento dell’impianto normativo interno.

La funzione internal audit deve disporre di ampie competenze in materia giuridica, in

quanto deve essere in grado di monitorare e segnalare le modifiche alla normativa

esterna che possono riflettersi sulla normativa interna (in caso di assenza di una

specifica funzione compliance, l’IA può rivestire la figura di compliance officer).

Infatti, è possibile il verificarsi di ingenti ripercussioni sull’organizzazione d’azienda

e la conseguente nascita di una necessaria rivisitazione dell’impianto normativo

aziendale e del suo monitoraggio.

IT auditing

Il rischio informatico, a fronte di una rapida ed esponenziale crescita e diffusione

delle tecnologie informatiche all’interno delle organizzazioni aziendali, è diventato

uno dei maggiori rischi che le aziende devono fronteggiare. Il crescente utilizzo di

tali tecnologie nelle realtà aziendali, deve essere bilanciato da un’altrettanta elevata

attenzione alle tematiche riguardanti la cyber security. Questo ha portato a forti

investimenti nel campo della tecnologia, da parte delle aziende maggiormente

all’avanguardia, sia dal punto di vista delle strutture a disposizione che dal punto di

vista della formazione capitale umano: la funzione internal audit è stata oggetto di

una mirata specializzazione, fino a giungere alla creazione del cosiddetto Information

Technology auditing. Questa innovativa tipologia di audit è rivolta ai processi, ai

52

sistemi e agli applicativi informatici, nonché alla loro sicurezza (il principale modello

di riferimento è il COBIT68).

In breve, le verifiche di IT auditing si focalizzano su: pianificazione e organizzazione

(valutazione dei rischi); acquisizione e realizzazione delle soluzioni IT; erogazione

del servizio e assistenza; monitoraggio. Queste verifiche possono essere mirate a

singoli processi IT oppure riguardare interventi per processi di business, ad esempio

con un inserimento in un operational audit (approccio integrato) o ancora essere

focalizzate sull’intero Sistema di Controllo Interno IT. Infine, gli IT auditors possono

fornire supporto nell’analisi di banche dati, nell’esame della sicurezza dei sistemi

utilizzati e nella verifica dell’affidabilità del funzionamento dell’interfaccia tra più

sistemi/banche dati.

Financial auditing (audit finanziario e contabile)

Per ogni azienda, l’attendibilità della propria informativa finanziaria poggia su

principi consolidati quali la trasparenza delle informazioni, la responsabilità per

quanto dichiarato e l’integrità di tutti coloro che sono coinvolti nei diversi livelli della

catena informativa dell’organizzazione. Nel settore finanziario, la principale fonte di

informazioni è ovviamente il bilancio, il quale fornisce periodicamente ed in maniera

68 Il Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association - ISACA), e dal IT Governance Institute (ITGI). COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore e da una serie di strumenti teorici e pratici collegati ai processi con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo.

53

attendibile informazioni a livello patrimoniale, finanziario ed economico

dell’impresa in funzionamento basandosi su solidi principi contabili. Questo

strumento è utilizzato dai vertici aziendali come strumento per il monitoraggio

gestionale dell’impresa e come base sulla quale poggiano le decisioni riguardanti la

gestione. Correlati al bilancio sono i sistemi di contabilità gestionale ed analitica, i

quali a loro volta devono essere integrati al sistema di contabilità generale che

produce il bilancio. Da ciò si può evincere come la produzione del bilancio sia un

processo complesso che richiede l’intervento di numerosi attori, di sistemi separati e

di diverse applicazioni informatiche. Per questo l’attività di verifica dell’internal

audit risulta un fondamentale collante al momento dell’integrazione dei sopracitati

sistemi. L’attendibilità dei flussi di informativa finanziaria è una qualità

imprescindibile per la stesura dei bilanci: essa deve essere garantita in ogni momento

a tutti gli stakeholder dell’azienda (che siano essi soci, creditori, dipendenti,

investitori, organi di vigilanza, fisco, ecc.).

Le considerazioni fatte finora rendono chiaro il motivo per cui alcune categorie di

società debbano delegare la revisione e la certificazione contabile a soggetti esterni

professionalmente riconosciuti e capaci di esprimere un giudizio indipendente.

Inoltre, i provvedimenti introdotti in tema di corporate governance delle emittenti

hanno portato ad una netta separazione tra controlli di natura contabile e controlli di

natura gestionale, fino a giungere all’individuazione dei soggetti tenuti a svolgere

l’auditing sul bilancio (revisione contabile o external audit), ossia il revisore legale,

la società di revisione o il collegio sindacale69.

69 Codice Civile, art. 2409bis (sostituito dall'art. 37 del DL n. 39 del 27/01/2010): “La revisione legale dei conti sulla società è esercitata da un revisore legale dei conti o da una società di revisione legale iscritti

54

Come previsto dagli Standard internazionali70 e dai principi di revisione, è di

fondamentale importanza il coordinamento tra le attività di internal ed external

audit71, con l’obiettivo comune di garantire una copertura efficiente dei rischi

provenienti dall’informativa di bilancio e di ottimizzare le sinergie tra le attività

svolte. Con il Sarbanes Oxley Act, negli Stati Uniti, e la legge n.262 in Italia, è

aumentata notevolmente la necessità dell’internal audit di focalizzare la propria

attenzione su sistemi e processi contabili per fornire una maggiore assurance al top

management e al dirigente preposto alla redazione dei documenti contabili societari.

Inoltre, secondo quanto suggerito anche dai Position Paper dell’AIIA, si punta ad

un’integrazione quasi totale tra auditing dei processi contabili e audit dei processi

operativi (operational). La base per le suddette valutazioni risiede nei dati forniti dalla

contabilità aziendale, dei quali deve essere accertata l’affidabilità, la ragionevolezza

e l’attendibilità.

L’internal auditing, in sinergia con la revisione esterna, può effettuare auditing di

natura finanziario-contabile fornendo assistenza specifica nella verifica di

determinate voci di bilancio (attività di circolarizzazione, verifica fisica dei valori,

analisi dei crediti, ecc.) oppure revisionando processi aziendali di matrice

amministrativo-contabile alla base del sistema di controllo del bilancio. La natura di

questi due tipi di attività è totalmente differente: la prima si concentra sulla verifica

della correttezza dei dati relativi ad una specifica data (dati patrimoniali) o ad un

nell'apposito registro. Lo statuto delle società che non siano tenute alla redazione del bilancio consolidato può prevedere che la revisione legale dei conti sia esercitata dal collegio sindacale. In tal caso il collegio sindacale è costituito da revisori legali iscritti nell'apposito registro.” 70 IIA, Standard 2050: Coordinamento dell’attività 71 Principio di revisione internazionale (ISA Italia) n. 610, Utilizzo del lavoro dei revisori interni

55

periodo specifico (dati economici), medianti una verifica a campione della

documentazione in esame (substantive testing, verifica sostanziale); la seconda

invece concentra i propri sforzi sull’adeguatezza generale del sistema dei controlli

interni ed in particolare su quelli di tipo amministrativo-contabile. Questa seconda

attività è senza dubbio quella dal contenuto più rilevante e che fornisce maggior

valore aggiunto, assumendo i lineamenti di compliance e operational audit dei

processi contabili, rispondendo anche alle esigenze legiferate dalla legge sulla Tutela

del Risparmio. L’IA può coadiuvare il revisore contabile nella predisposizione del

piano di revisione del bilancio nella sua totale ampiezza e complessità, fino a definire

le aree meritevoli di una maggiore e più dettagliata attenzione. L’attività di assurance

fornita al management fornisce un elevato valore aggiunto, sia in termini di revisione

dei processi che di reporting, e costituisce un fondamentale apporto al processo

decisionale dell’azienda. L’attività di auditing finanziario richiede agli internal

auditors approfondite competenze su principi contabili e di revisione, tecniche

ragionieristiche, disciplina giuridica del bilancio.

Inoltre, come sempre più spesso accade, per l’internal audit non è da escludere la

richiesta da parte dei vertici aziendali di audit mirati su aree di bilancio ritenute

maggiormente a rischio e sulle quali si intende ottenere maggiore chiarezza. Questa

tipologia di auditing specifici sull’area finanziaria (finance) è ormai molto diffusa e

necessita l’utilizzo di strumenti sempre più complessi ed un controllo approfondito e

puntuale sul lavoro delle risorse impiegate nella gestione finanziaria, oltre ad un

controllo su processi finanziari, strategie, deleghe, poteri, limiti e processi decisionali

ricompresi nella gestione del portafoglio aziendale.

56

Fraud auditing

Il fraud auditing è un particolare ambito di auditing che presenta sinergie con il

compliance auditing, con l’operational auditing e con il financial audit (per quanto

riguarda le frodi finanziarie) ed è finalizzato all’identificazione e all’analisi delle

eventuali frodi subite dall’azienda. Qualora tale fenomeno risulti un importante

canale di sottrazione del valore prodotto dall’impresa, l’attività di fraud auditing può

essere una delle priorità della funzione di internal audit. Negli Standard

professionali72 si afferma che per frode si intende “qualsiasi atto illegale

caratterizzato da raggiro, occultamento e abuso di fiducia” e che “le frodi sono

perpetrate da individui e organizzazioni per ottenere denaro, beni o servizi; per evitare

il pagamento o la perdita di servizi; o per procurarsi vantaggi personali o aziendali”.

Di fatto, pur essendo difficilmente individuabili i diversi tipi di frode perpetrabili, è

possibile affermare che l’azione fraudolenta è sempre determinata dalla volontà di

attentare all’integrità del patrimonio aziendale attraverso un aggiramento del sistema

dei controlli interni, oppure mediante lo sfruttamento di opportunità offerte da punti

deboli individuati nel tessuto del sistema stesso (ad esempio lo spionaggio industriale,

l’appropriazione indebita, la corruzione, la falsificazione ecc.).

Da più parti viene sottolineato che, non essendo ipotizzabile che l’internal auditing

possa scovare tutte le frodi poste in essere ai danni dell’azienda, l’attività primaria

dell’auditor è quella di prevenzione della frode attraverso una valutazione

dell’efficacia e dell’adeguatezza del Sistema di Controllo Interno.

72 ECIIA, Position Paper: Il ruolo dell’internal auditor nella prevenzione ed il controllo delle frodi, aprile

2000

57

Da qui nasce l’opportunità di integrare una valutazione di rischio frode nell’ambito

di attività di operational auditing.

Infatti il fraud auditing è di fatto costituito da tre tipologie di attività molto diverse

tra loro: il Fraud auditing ai fini del rafforzamento del sistema di controllo preventivo,

il quale si svolge mediante analisi di processo, nel rispetto delle modalità tipiche

dell’operational auditing, focalizzandosi in tutto o in parte sui rischi di frode

(l’internal auditing è pertanto in grado di individuare e valutare in via preventiva le

aree grigie aziendali dove con più facilità potrebbe annidarsi un rischio di attività

illecita e proporre soluzioni preventive); il Fraud auditing ai fini dell’identificazione

di atti sospetti, grazie al quale l’internal auditing è in grado di individuare casi sospetti

di illecito anche attraverso segnali conosciuti di allarme, cosiddetti red flag (sotto

questa luce l’attività di fraud auditing può essere considerata come un’attività volta a

prevenire e disincentivare il compimento di atti illeciti); ed infine, il Fraud auditing

in qualità di investigazione di gravi sospetti di atti illeciti, nell’abito del quale, una

volta individuato un evento di possibile frode, all’internal auditing viene richiesto di

svolgere un’indagine che permetta di accertare le effettive responsabilità interne, e

per quanto possibile esterne, quantificare i danni e determinare le azioni da proporre

alle funzioni preposte agli aspetti gestionali (legale, risorse umane ecc.).

Management auditing

È possibile inquadrare il management auditing come un’attività focalizzata sulle

azioni svolte dal management, al fine di accertare la coerenza tra gli obiettivi

aziendali prefissati e l’operato di tutti coloro che a diversi livelli gerarchici

presiedono ruoli direzionali e di supervisione.

58

Questa tipologia di audit costituisce un fondamentale strumento conoscitivo a

servizio dei vertici o della direzione aziendale, tanto più se effettuato in occasione di

significativi mutamenti strategici, a seguito di operazioni straordinarie o in occasione

dell’ingresso o dell’uscita da gruppi aziendali.

Il management audit troverà tipicamente applicazione in ambiti aziendali governati

prevalentemente da linee guida di alto livello (policy), determinate in sede di

autoregolamentazione dal top management, che si limitano a definire le linee generali

di comportamento, non potendo disciplinare diversamente le attività o non volendo

farlo per la natura del business e per le implicazioni che possono derivarne.

L’intervento di management audit può essere rivolto a qualsiasi fascia manageriale,

oppure può riguardare i manager di una o più funzioni aziendali. Fattore di successo

di tale attività è la sensibilità con cui l’auditor riesce a inquadrare le decisioni prese

dal management nel contesto dell’impostazione strategica delineata. Valutare il

livello di congruità delle decisioni assunte significa per l’auditor poter disporre

chiaramente di un parametro di riferimento costituito dall’insieme degli obiettivi

aziendali prefissati, dal contesto ambientale in cui maturano determinate scelte, dalle

risorse dedicate e dall’esistenza di processi più o meno adeguati. Infatti, per valutare

correttamente il grado di coerenza dell’operato del management rispetto alle strategie,

alle politiche o agli obiettivi aziendali prefissati, occorre saper calare la propria

verifica in un puntuale e veritiero contesto di riferimento.

A prescindere comunque dal soggetto a cui si rivolge, l’attività di management audit

è una tipologia di auditing di minore diffusione, alla quale però si riconosce un

elevato valore, a fronte di specifiche esigenze del top management.

59

Follow up auditing

Una volta finalizzato ed emesso l’audit report, comprensivo dei piani di azione da

intraprendere con l’evidenziazione del management responsabile, la funzione di

internal auditing dovrebbe pianificare un’attività di follow up finalizzata a verificare

che tutte le azioni correttive previste siano effettivamente realizzate oppure, ove non

fosse possibile determinare un piano di azione, finalizzata a verificare comunque in

quale misura i temi di controllo sollevati sono stati affrontati o risolti.

Nell’ambito del ruolo svolto dalla funzione di internal auditing, talvolta è richiesto

che essa assuma il compito di catalizzatore nella gestione del cambiamento; in fasi di

inerzia organizzativa rispetto a spinte evolutive, le attività di follow up possono

risultare uno stimolo per evitare che il processo di cambiamento stesso si interrompa.

La natura, l’ampiezza e la tempificazione delle attività di follow up devono essere

determinate dal responsabile internal auditing in funzione di specifiche circostanze,

quali la significatività dei rilievi e delle raccomandazioni effettuate, le difficoltà e i

costi da sostenere per l’applicazione delle necessarie azioni correttive, le conseguenze

di un eventuale insuccesso delle azioni correttive, la loro complessità e il tempo

necessario per il follow up.

Il follow up è definito dagli Standard professionali come il processo tramite il quale

l’internal auditor determina l’adeguatezza, l’efficacia e la tempestività delle azioni

intraprese dal management in risposta ai rilievi e alle raccomandazioni73.

Resta in capo all’internal auditor e all’intera funzione una responsabilità di supporto

73 Standard IIA 2500. A1-1 Processo di Follow-up.

60

continuo al management e all’organizzazione che va ben oltre il termine dell’incarico

stesso. Tale assistenza si concretizza nella capacità di fornire indicazioni utili

all’individuazione di soluzioni per il rafforzamento del Sistema di Controllo Interno

anche in presenza di evoluzioni del contesto e dei fabbisogni che possono rendere

velocemente obsoleti persino i migliori piani d’azione.

Audit a fini 231

L’approccio di audit in materia di D.Lgs. 231/01 si caratterizza per la particolare

focalizzazione sull’impianto procedurale aziendale, rivestendo quest’ultimo un ruolo

centrale nell’ambito del complessivo sistema di controllo preventivo, da

implementarsi ai fini di un efficace Modello Organizzativo.

Come noto, infatti, le procedure aziendali manuali o informatiche che assumono

rilevanza in ottica 231 rappresentano presidi di tipo specifico volti a regolamentare lo

svolgimento delle attività nell’ambito delle aree di rischio, prevedendo gli opportuni

punti di controllo e contribuendo, conseguentemente, all’idonea programmazione e

attuazione delle decisioni dell’ente in relazione ai reati da prevenire.

Premesso che tutte le diverse tipologie di audit descritte nei precedenti paragrafi

contribuiscono funzionalmente alla realizzazione di un efficace piano di verifiche ai

fini del D.Lgs. 231/01, si evidenzia in particolare come, in tale contesto, le attività

maggiormente significative per i profili di interesse della specifica normativa siano

rappresentate dagli interventi di operational audit e di compliance/fraud audit (seguite

dal follow up audit).

In ottica di D.Lgs. 231/01, tale tipologia di audit si rende necessaria soprattutto in

61

occasione di accertamenti a seguito di segnalazioni ad hoc o straordinarie nei

confronti dell’Organismo di Vigilanza, in ordine a presunte violazioni del Modello

Organizzativo.

Ulteriore elemento da rimarcare attiene all’opportunità che il piano annuale di

verifiche previsto ai fini 231 operi con un approccio di audit integrato e sia

riconducibile al più ampio piano di attività della funzione, definito in modo da coprire

con interventi unici, volti a rendere più efficiente l’operatività della funzione e a

minimizzare gli impatti sulle strutture organizzative coinvolte, le diverse finalità di

presidio aziendale (inclusi gli aspetti rilevanti in ottica D.Lgs. 231/01). I piani di audit

possono pertanto prefiggersi di assicurare in ottica risk based una copertura adeguata

e progressiva nel tempo, in termini di valutazione del SCI, dei processi aziendali

riferibili alle diverse aree specialistiche presenti in azienda, con finalità di supporto

al miglioramento continuo dei controlli previsti anche in ottica 231.

2.2) L’organizzazione della funzione internal audit

Non esiste un’unica o migliore modalità per organizzare una funzione internal audit.

Sia nel caso di una funzione di nuova costituzione sia nel caso di ristrutturazione di

una funzione già esistente, all’azienda si presentano un numero di opzioni

strettamente legato alle caratteristiche del business, alla sua struttura geografica e

logistica, alle strategie riguardanti le attività di assurance e consulenza e alle

caratteristiche generali del Sistema di Controllo Interno dell’organizzazione.

Un requisito fondamentale per qualsiasi struttura organizzativa efficace è la

disponibilità di un responsabile dell’internal auditing che abbia forti doti di leadership

62

e di skill manageriali, oltre che di competenze professionali di natura tecnica.

Nella realtà un’articolazione organizzativa complessa, soprattutto in termini di

distribuzione geografica e di numerosità delle entità societarie che possono comporne

il gruppo, porta spesso alla costituzione di nuclei di internal auditing caratterizzati da

un certo grado di autonomia per la gestione delle attività in loco. Un ulteriore fattore

che spinge alla moltiplicazione delle strutture dedicate ad attività di controllo interno

è costituito dalla numerosità e dalla tipologia dei rischi e dei controlli gestiti, che

spingono verso la costituzione di funzioni specializzate per ambiti specifici.

Per queste ragioni, nella pratica aziendale si è sviluppata una vasta gamma di

soluzioni organizzative.

La struttura centralizzata ha rappresentato la prima forma organizzativa adottata dalle

funzioni di IA. Essa si caratterizza tipicamente per una forte concentrazione al vertice

delle attività di pianificazione, decisione e controllo di tutte le attività realizzate

nell’ambito dell’azienda.

Questo genere di strutturazione, teoricamente molto efficace, ha nel tempo mostrato

i propri limiti, specialmente per i costi burocratici legati alla necessità di gestire

catene di autorizzazione che via via si dilatano al crescere delle dimensioni delle

organizzazioni a cui appartengono e conseguentemente delle funzioni di audit.

Oggi la maggior parte delle strutture organizzative di dimensioni significative

presenta almeno qualche elemento di decentralizzazione, con strutture dotate di vari

gradi di autonomia. Il problema principale consiste allora nel determinare quale

debba essere tale grado di autonomia, comprendendo quali decisioni possano essere

delegate a livelli organizzativi inferiori e quali, invece, debbano essere oggetto di

63

approvazione ai livelli più elevati.

È evidente come, oltre alle posizioni estreme (centralizzazione o decentralizzazione),

sia possibile immaginare numerose soluzioni intermedie, come quelle che possono

prevedere strutture specializzate mantenute a livello centrale, a diretto riporto del

responsabile dell’internal auditing, e strutture più operative articolate a livello

decentrato, all’interno di diverse società e/o strutture territoriali. Nella realtà, tale

scelta risulta influenzata dall’articolazione complessiva dell’azienda cui la struttura

appartiene e, nell’ambito dei gruppi, può essere il risultato di operazioni di cessione

e acquisizione che possono determinare il naturale insorgere di aree di autonomia. In

questi casi, il responsabile dell’internal auditing deve comunque garantire la

complessiva efficacia del sistema di audit al di là degli interessi riconducibili alle

singole entità societarie; si tratta di riporti di carattere funzionale che sottolineano la

capacità del responsabile IA di orientare le attività e le risorse delle unità più

indipendenti e di esercitare un controllo attraverso l’attivazione di specifici incarichi

coordinati a livello centrale.

Ogni qualvolta la dimensione della struttura di internal auditing raggiunge dimensioni

tali da non consentire un riporto diretto nei confronti del responsabile dell’internal

auditing, un problema ulteriore rispetto a quello del semplice

accentramento/decentramento della funzione è costituito dalle logiche di

articolazione delle strutture operative sottostanti. In generale, tale articolazione è

riconducibile a quattro tipologie principali che, quando le dimensioni lo richiedono,

possono trovare anche un’applicazione mista.

La prima è la struttura in base alla tipologia di audit, secondo la quale la funzione

64

può essere organizzata in base a principi di specializzazione delle attività svolte per

ottenere personale altamente qualificato ed efficiente nell’esecuzione delle attività

specialistiche da presidiare, garantendo risposte immediate in termini di diagnostica

dei rischi e valutazione dei controlli tipici dell’ambito di riferimento. Tale approccio

presenta dei limiti: uno può essere rappresentato dalla necessità di spostare gli

specialisti presso le strutture geografiche ove ne sia richiesta la presenza (con i relativi

costi di organizzazione delle trasferte); un ulteriore rischio consiste nell’eccessiva

specializzazione che gli internal auditor possono sviluppare, con la conseguente

perdita di prospettiva globale che consente di cogliere aspetti di rischio e di controllo

al di fuori dei confini tecnici di perfezionamento.

La seconda è la struttura basata sui settori di business, applicabile in aziende di

medie-grandi dimensioni che operano in più settori: il vantaggio principale di questa

soluzione è di assicurare le competenze specialistiche adeguate per ciascun ambito di

business. Essa può registrare difficoltà nel garantire un approccio comune all’attività

di audit, per quanto forti possano essere le politiche e le procedure sviluppate

centralmente.

Ulteriore tipologia è la struttura allineata all’organizzazione aziendale, che in

aziende di grandi dimensioni può risultare pratica in quanto allinea l’articolazione

organizzativa della funzione internal auditing a quella generale dell’entità in cui essa

risulta inserita. Il vantaggio principale di questa soluzione è da ricercarsi soprattutto

nella capacità delle strutture così costituite di creare solide interfacce con le funzioni

oggetto di audit, sviluppando in questo caso non solo un linguaggio comune, ma

anche un’esperienza condivisa che può significativamente elevare il grado di

65

accettazione delle attività e la loro efficienza complessiva (anche essa presenta elevati

neri di trasferta a suo svantaggio).

In ultimo, la struttura articolata per territorio, nella quale tutte le attività operative

realizzate in uno specifico ambito geografico sono affidate a gruppi predefiniti di

internal auditor e in alcuni casi, quando nell’area geografica di riferimento vengono

effettuate attività specialistiche particolari o è presente una sola struttura

organizzativa, possono assumere caratteristiche corrispondenti a quelle analizzate nei

punti precedenti. Gli aspetti puramente logistici presentano vantaggi in termini di

costo e di apprezzamento da parte del personale, tali da rendere questa soluzione tra

le favorite.

2.3) Dal piano al processo di Internal auditing

2.3.1) Il piano di Internal auditing

Il piano di internal auditing è un elemento fondamentale per il management della

funzione soprattutto con riferimento alla sua responsabilità di una valutazione

complessiva del Sistema di Controllo Interno, in quanto consente una copertura

dell’universo interno delle attività aziendali, con approccio risk based.

La definizione di un piano di audit rappresenta inoltre la sfida che periodicamente il

responsabile di internal auditing deve sostenere per conciliare le risorse disponibili

con le esigenze di verifica dell’organizzazione nel suo complesso. Per quanto

numerose possano essere, infatti, le risorse di audit difficilmente risultano sufficienti

a soddisfare i fabbisogni di controllo del complessivo universo dei processi.

66

Ferma restando la necessità di garantire il requisito di un numero adeguato di risorse

professionali, il responsabile dell’internal audit deve predisporre un piano delle

attività basato sull’analisi dei rischi, allo scopo di determinarne le priorità, in linea

con il Mandato e con gli obiettivi dell’organizzazione.

Le attività di pianificazione di internal auditing si traducono in un piano annuale o in

un piano strategico pluriennale e si concretizzano nell’applicazione di metodologie

finalizzate all’identificazione delle aree di priorità, tenendo conto delle risorse e delle

competenze professionali disponibili. Il piano viene condiviso o approvato dai

referenti interni (Comitato per il controllo interno, Consiglio di amministrazione, top

management) in base al mandato conferito.

L’universo di audit, ovvero l’insieme delle possibili alternative di attività di audit

realizzabili nell’organizzazione, può essere composto da vari raggruppamenti di

attività operative aziendali che si prestano a divenire oggetto delle attività di verifica

di un singolo intervento, e per questo sono denominati “oggetti” di audit (possono

essere oggetti di audit le società del gruppo, le strutture territoriali, le funzioni

organizzative, i processi aziendali, ecc.).

Gli standard IIA indicano che “l’universo di audit può comprendere componenti

ripresi dal piano strategico dell’organizzazione. In tal modo, l’universo di audit

rifletterà gli obiettivi complessivi del piano di business. I piani strategici spesso

riflettono in qualche modo la propensione al rischio propria dell’organizzazione e il

grado di difficoltà nel raggiungimento degli obiettivi stabiliti. L’universo di audit

sarà normalmente influenzato dai risultati del processo di risk management. Nel

definire il proprio piano strategico, l’organizzazione deve considerare l’ambiente in

67

cui opera, poiché è molto probabile che i fattori ambientali influiscano sull’universo

di audit e sulla valutazione dei rischi ad essi connessi”74.

La scelta della tipologia di oggetti di audit deve quindi tenere conto dell’aspetto

dimensionale per ottenere un universo di audit che possa essere coperto dalle risorse

disponibili in un orizzonte temporaneo ragionevole (generalmente di 2-3 anni)

considerate le esigenze di governance aziendali. È importante considerare

l’estensione che l’ambito del singolo intervento tende ad assumere nelle varie

tipologie di oggetto. Poiché gli oggetti sono raggruppamenti di attività sempre più

dettagliati (si passa dal livello societario a quello dei processi, fino al livello delle

singole attività/progetti), è possibile definire ambiti di verifica sempre meglio

delimitati. La crescente focalizzazione sugli obiettivi perseguiti consente di

individuare con maggiore precisione i rischi cogenti e le derivanti esigenze di

controllo interno. Un’altra importante considerazione relativa alla selezione degli

oggetti di audit riguarda la loro stabilità nel tempo. Quando l’universo definito dagli

oggetti di audit assume una dimensione tale da non poter essere coperto dalle risorse

disponibili nel lasso di tempo previsto dalla pianificazione, diventa necessario

ripetere, allo scadere di ogni periodo, le analisi necessarie alla definizione delle nuove

priorità per il periodo successivo, garantendo man mano la complessiva revisione di

tutte le attività dell’universo. Date le frequenti evoluzioni, in mercati dinamici e

concorrenziali, degli oggetti societari, territoriali e funzionali, l’attenzione della

pianificazione di internal auditing si sposta sui processi. I processi, infatti, sono

raggruppamenti di attività strettamente legati al business dell’organizzazione e

74 IIA, Guida interpretativa 2010-1, Collegamento tra Piano di Audit e rischi aziendali

68

risentono solo indirettamente delle evoluzioni organizzative delle strutture che li

gestiscono. Risulta importante quindi l’articolazione di processi e sottoprocessi in

modo che la numerosità degli oggetti sia ragionevole e comparabile. La mappatura

necessaria può infatti essere sviluppata dall’internal auditing in funzione della

complessità dell’organizzazione, contando sul fatto che l’investimento di tempo e

risorse indispensabile all’analisi e alla necessaria condivisione del risultato con il

management possa comunque essere controbilanciato dalla possibilità di riutilizzare

l’universo di audit derivante nei periodi successivi di pianificazione con

manutenzioni minime. La mappatura dei processi attraverso un business model,

inoltre, consente alla funzione internal auditing di correlare gli oggetti di audit al

business complessivo dell’organizzazione e di ottenere un elevato controllo sulla

numerosità degli oggetti che compongono l’universo.

Le attività che l’internal auditing deve svolgere nelle fasi di formulazione del piano

consistono, quindi, nell’identificazione e nella classificazione dei criteri disponibili

al fine di selezionarne un gruppo che risulti applicabile al maggior numero di oggetti

possibile al fine di garantire una reale significatività dei punteggi ottenibili dalla loro

elaborazione; che sia caratterizzato da una certa variabilità dei valori assunti dai

criteri tra gli oggetti che compongono l’universo di audit; che sia in grado di

bilanciare valutazioni soggettive e valutazioni oggettive; che possa bilanciare fattori

espressi dal management con fattori espressi dall’audit, al fine di equilibrare le

posizioni che lo scoring andrà a generare.

La selezione di un numero limitato di criteri rende agevole e ragionevole in termini

di complessità la successiva applicazione delle tecniche di risk scoring. Dopo aver

69

definito e condiviso i criteri da utilizzare, risulta possibile procedere con la loro

valorizzazione, che consiste nell’attribuzione al singolo oggetto del valore della

misura relativa, per i criteri quantitativi, o del valore numerico riconducibile a una

scala qualitativa, per i criteri qualitativi. Infine, sarà opportuno e utile elaborare i

punteggi che determinano le priorità sulla base di una formula di aggregazione

(l’algoritmo più comune utilizzato per l’elaborazione dei risk score consiste nella

semplice sommatoria dei criteri valorizzati per singolo oggetto e ponderati sulla base

dei pesi identificati per il singolo criterio)75.

2.3.2) Il processo di Internal auditing

Un intervento di internal auditing è un processo composto da una serie di attività

orientate al raggiungimento di un obiettivo finale predefinito. Indipendentemente

dalla tipologia di auditing (vedi paragrafo 2.1), ogni attività si sviluppa seguendo un

percorso logico suddivisibile in fasi, ciascuna delle quali si caratterizza per: lo

svolgimento di azioni, mirate a un determinato obiettivo del progetto; l’utilizzo di

tecniche e strumenti particolari; la predisposizione e il rilascio di documenti specifici

(output).

Il processo di internal auditing può essere idealmente suddiviso in quattro fasi

distinte: analisi preliminare; analisi dettagliata (valutazione del disegno dei controlli);

attività di verifica (test di funzionamento dei controlli); attività di reporting.

75S(o)= ∑ 𝑝𝑖𝑣𝑖(𝑜)𝑛𝑖=1

∑ 𝑝𝑖𝑛𝑖=1

Dove: 𝑣𝑖(o) = valore del criterio i-esimo per l’oggetto «o» n = numero dei criteri 𝑝𝑖 = peso del criterio i-esimo S(o) = punteggio (score) dell’oggetto «o»

70

Figura 2.3 – Le fasi del processo di Internal Audit

L’avvio dell’incarico è sancito dall’invio dell’informativa al responsabile della

funzione o del processo da sottoporre a verifica (un dipartimento, un’unità o

un’attività di business sotto la competenza di un unico responsabile) oppure ai vari

responsabili se si tratta di un processo che coinvolge più funzioni aziendali.

Eccetto che per gli incarichi di fraud investigation (che, per loro natura, non possono

essere preventivamente annunciati), l’avvio dell’attività di audit viene comunicato ai

destinatari interessati tramite una lettera di notifica con adeguato anticipo, alla quale

segue l’organizzazione di una riunione d’apertura, chiamata anche kick off meeting,

necessaria a chiarire lo scopo e l’ambito di copertura dell’audit, illustrare le

metodologie che verranno adottate e ottenere indicazioni utili all’analisi preliminare.

71

Analisi preliminare

L’analisi preliminare ha lo scopo di orientare correttamente l’intervento di audit,

acquisendo familiarità con le principali caratteristiche dell’attività in oggetto e

ottenendo una valutazione preliminare della significatività dei vari ambiti, dei

potenziali rischi e delle possibili aree di criticità.

L’analisi preliminare consiste, pertanto, in un processo di raccolta di dati e di

informazioni sulle attività da esaminare, senza peraltro sottoporle ancora a esame

approfondito, oggetto specifico della seconda e terza fase.

A conclusione della fase di analisi preliminare viene prodotto il planning

memorandum, che sintetizza l’oggetto, gli obiettivi e le modalità di svolgimento

dell’incarico. Il documento di pianificazione interna descrive in termini generali le

attività e l’organizzazione dell’area aziendale soggetta a audit, i rischi o le aree

critiche identificate inizialmente; gli obiettivi specifici, nonché l’approccio di

revisione e la pianificazione delle procedure di revisione rispetto agli obiettivi. Se

elaborato con cura, il planning memorandum costituisce già alcune parti essenziali

dell’internal audit report finale e una delle migliori modalità per documentare in

sintesi e con chiarezza le logiche che hanno ispirato l’approccio specifico di audit.

Pertanto, esso costituisce un documento base, per il responsabile dell’internal

auditing o per l’audit manager, che consente di effettuare con efficienza la

supervisione e approvare l’ambito e il programma gestionale di audit complessivi.

72

Analisi dettagliata

La fase di analisi dettagliata ha lo scopo di effettuare i necessari approfondimenti

sulle informazioni ritenute significative in base all’analisi preliminare e di

raggiungere un livello adeguato di conoscenza per programmare le verifiche previste

nella fase successiva. Tale approfondimento può essere costituito dalla mappatura dei

processi e sottoprocessi ritenuti più significativi, in modo analitico. Il team di audit

determina le maggiori aree critiche in modo da poter definire e indirizzare le verifiche

a campione dell’effettivo funzionamento, dettato dall’audit program appositamente

predisposto. In questa fase, infatti, si svolge anche l’attività di valutazione del disegno

dei controlli, che ha lo scopo di identificare i punti di forza e di debolezza funzionali

dei controlli mappati rispetto agli obiettivi di riferimento.

Il programma di audit si basa sulle risultanze dell’analisi preliminare e dell’analisi

dettagliata dei processi e consiste in un’articolazione delle procedure di verifica di

audit da effettuare; le procedure danno luogo alle evidenze di audit, che costituiscono

la base per le valutazioni per quanto concerne il funzionamento del Sistema di

Controllo Interno e per completare la valutazione complessiva del sistema tenendo

conto dei risultati dell’analisi del disegno del processo. Le principali finalità

dell’audit program sono: sintetizzare i contenuti e gli obiettivi delle verifiche da

svolgere, specificare le modalità di attuazione del lavoro, costituire una traccia del

lavoro svolto e degli auditor responsabili ed agevolare la supervisione e il controllo

sull’attività di audit. L’importanza e l’estensione del programma di audit sono

strettamente correlate alla natura della verifica da svolgere, che può essere

omnicomprensiva, cioè riguardare un intero settore o attività, oppure limitata a un

73

particolare aspetto degli stessi. L’audit program è assoggettato all’approvazione

iniziale da parte del responsabile dell’internal auditing o del project leader e, in caso

di modifiche significative, anche ad approvazione successiva. In caso di strutture di

internal auditing complesse, la sua approvazione può essere demandata al middle

management della funzione internal auditing. Esso stabilisce le attività di analisi e di

verifica, le metodologie e le tecniche per esaminare e documentare lo svolgimento

del lavoro. Le procedure stesse saranno successivamente ampliate o modificate a

seconda delle circostanze che si presentano durante l’incarico.

L’attività di verifica e i rilievi di audit

L’attività di verifica consiste sia nell’analisi dettagliata dei processi, che consente di

conoscere l’architettura del Sistema di Controllo Interno, sia nell’esecuzione di test,

anche a campione, necessari alla raccolta di evidenze che costituiscono le basi sulle

quali si fondano le valutazioni di eventuali criticità e le raccomandazioni dell’auditor

stesso. Il passaggio verso l’analisi dettagliata e l’attività di verifica comporta

normalmente il completamento dell’analisi dettagliata dei processi e sottoprocessi, la

verifica sui rischi residuali che appaiono significativi, l’effettuazione di test di

funzionamento.

Per poter costituire una solida base per rilievi e raccomandazioni, è necessario che le

evidenze raccolte siano sufficienti, affidabili, rilevanti e utili al conseguimento degli

obiettivi di audit.

Esse devono consentire a qualunque altro auditor informato di giungere alle stesse

conclusioni; devono, inoltre, essere fondate e le migliori ottenibili con l’uso di

74

tecniche adeguate all’incarico; infine, devono essere coerenti con gli obiettivi ed in

grado di aiutare l’organizzazione a raggiungere le sue finalità. Le evidenze di audit

possono essere costituite da documentazione significativa, elaborazioni e verifiche

dei dati effettuate dall’internal auditor, testimonianze dell’auditee e di terze parti,

interrelazioni tra dati, esistenze fisiche, conseguenze rilevate dalla mappatura del

processo, registrazioni di supporto. Le diverse tipologie di informazioni, o evidenze

di audit, possono essere classificate in funzione della natura e del carattere

dell’informazione, in funzione del modo in cui l’evidenza si è originata e dei soggetti

che vi hanno accesso oppure in base alla modalità di raccolta. La finalità principale

della raccolta di evidenze di audit è quella di fornire una base sufficientemente valida

alle successive osservazioni, conclusioni e raccomandazioni dell’internal auditor da

sintetizzare nell’audit report.

Nel caso in cui il numero di oggetti di audit sia estremamente elevato, la possibilità

di verificarle per intero risulta di fatto economicamente non perseguibile. Infatti, ogni

qualvolta l’internal auditor, nella fase di test, si trovi nella condizione di dover

esprimere una valutazione su uno specifico obiettivo di controllo sulla base di un set

limitato di informazioni disponibili, deve ricorrere a tecniche di campionamento

(statistico o non statistico) per comprendere il grado di generalizzabilità dei risultati.

L’emergere, nel corso dell’audit, di carenze nel sistema di gestione dei rischi e di

controllo interno dovrà essere registrato come rilievo preliminare. Anche per quanto

riguarda i rilievi di audit è necessario fare riferimento alle due dimensioni della

valutazione dei controlli del disegno e del funzionamento. Si avranno infatti rilievi

che scaturiscono da una valutazione del disegno dei controlli (tipici della fase di

75

analisi dettagliata) e rilievi che si registrano nella fase di verifica approfondita del

funzionamento del sistema dei controlli. In linea generale e in termini di

documentazione, risulta utile l’utilizzo delle schede di rilievo di audit che sintetizzano

le criticità rilevate, le valutazioni effettuate, le possibili integrazioni al sistema di

controllo e la successiva discussione con il management interessato per

l’identificazione di possibili azioni correttive volte al contenimento dei rischi

evidenziati. Tali rilievi, in base alla valutazione finale delle evidenze accumulate e

alla significatività del rilievo, possono essere inclusi nell’audit report finale. I rilievi

significativi sono quelle condizioni che, secondo il giudizio dell’auditor, possono

influenzare negativamente l’organizzazione. Essi possono riguardare condizioni

relative a irregolarità, atti illeciti, errori, inefficienze, sprechi, inadeguatezze, conflitti

di interesse, debolezze nel controllo.

Reporting e piano d’azione

Nella fase di reporting l’attività di audit si focalizza sull’efficace comunicazione dei

risultati, finalizzata alla ricerca di comprensione e condivisione delle criticità rilevate,

nonché all’identificazione di adeguati piani d’azione per il rafforzamento del Sistema

di Controllo Interno a supporto degli obiettivi aziendali. La fase può prevedere due

momenti fondamentali che si concretizzano nell’organizzazione di una presentazione

formale dei risultati (exit meeting), e nello sviluppo dell’audit report.

L’exit meeting non richiede necessariamente la stesura della bozza dell’audit report

definitivo; importante è la chiara presentazione dei risultati in modo coerente con i

criteri della relazione di audit nei modi e nel livello di dettaglio che favoriscano il

76

successo dell’incontro. Obiettivo dell’incontro è, infatti, quello di presentare le stesse

informazioni, rilievi e suggerimenti che dovranno essere esplicitati nell’audit report,

ma adottando una forma di comunicazione più fluida e meno formale che consenta di

focalizzare l’attenzione sui contenuti piuttosto che sulla forma.

Infine, è responsabilità dell’internal auditor cercare di concludere l’exit meeting con

una definizione dei piani d’azione, almeno nelle linee generali, e dei soggetti

responsabili della realizzazione di ciascuna azione identificata. Il grado di dettaglio

necessario alla presentazione delle azioni correttive nell’audit report potrà essere

fornito anche in seguito all’incontro dai responsabili individuati.

L’audit report è il documento formale con il quale l’internal auditor riassume le

attività svolte nel corso dell’incarico, relaziona sui rilievi emersi e propone le proprie

raccomandazioni. Il documento costituisce una prova durevole del carattere

professionale dell’attività di audit effettuata e consente la valutazione da parte di

soggetti terzi. La forma e il contenuto di un audit report possono variare

considerevolmente in funzione del tipo di lavoro svolto, come, per esempio, per una

review del Sistema di Controllo Interno o per un’investigazione di un caso di frode.

In ogni caso, la forma complessiva dei report redatti da una funzione di internal

auditing dovrebbe sempre garantire la formalizzazione degli obiettivi di audit, delle

modalità di verifica, dei risultati e dei relativi criteri di valutazione.

2.4) L’analisi dei processi

In una logica per processi l’azienda è vista come un insieme di catene orizzontali di

attività finalizzate a progettare, realizzare, promuovere e vendere il prodotto finito

77

per il cliente. Per l’internal auditor, saper effettuare un’analisi dei processi costituisce

una base indispensabile per svolgere con efficacia la propria attività e anche una

metodologia che offre utili indicazioni pratiche. I processi aziendali rappresentano un

oggetto privilegiato nella pratica di pianificazione, in quanto strettamente legati al

business dell’organizzazione e solo indirettamente influenzati dalle evoluzioni

organizzative delle strutture che li gestiscono. Infatti, indipendentemente dagli assetti

organizzativi secondo cui un’azienda viene progettata, gestita e quindi strutturata, il

suo funzionamento avviene per processi orizzontali: spesso questi attraversano le

varie funzioni e coinvolgono attività svolte da persone appartenenti anche a funzioni

diverse.

Il passaggio da un’organizzazione tradizionale parcellizzata e fondata sulle funzioni

e sulle competenze tecniche a una per processo, integrata e focalizzata sul cliente (sia

esso interno o esterno) è la conseguenza naturale del passaggio dal mercato del

produttore a quello del consumatore, espressione con la quale si indica il ribaltamento

dei rapporti di forza per cui, se in un primo momento le aziende spingevano verso un

consumo massificato, ora, con la maggiore presa di coscienza dei consumatori, sono

questi ultimi a chiedere prodotti e servizi sempre più personalizzati, influenzando la

produzione.

L’assunzione della centralità dei processi e del loro cambiamento ha influenzato

l’insieme delle modalità di cambiamento di un’organizzazione, indirizzando in

maniera coerente a questa visione le scelte su vari terreni.

78

Figura 2.4 – Dall’approccio per funzioni all’approccio per processi

La progettazione e la definizione dei modelli organizzativi non possono prescindere

dall’analisi dei processi aziendali: è tramite la loro individuazione e gerarchia infatti

che si può costruire o ripensare l’assetto organizzativo ottimale per la realizzazione

dei fini dell’impresa. L’analisi dei processi è l’insieme di tecniche e strumenti che

consentono di comprendere come si originano, sono strutturati e si sviluppano i flussi

di attività operative in modo trasversale all’interno di un’organizzazione. Uno dei

vantaggi conseguiti da un internal auditor che svolge con padronanza l’analisi dei

processi, integrata dall’analisi dei relativi rischi e dei controlli, è quello di poter

identificare i process owner responsabili delle funzioni che costituiscono il processo

oggetto di analisi (soprattutto quando non esplicitamente individuati dall’azienda,

come spesso accade) e di poter valutare ogni componente del processo con tale

responsabile. Per l’internal auditor questo significa poter valutare e condividere con

il management la coerenza tra gli obiettivi del singolo process owner e l’obiettivo

globale di processo (che potrebbero anche non essere allineati) e valutare la corretta

79

copertura dei rischi di tutte le aree che fanno parte del processo esaminato. Questo dà

modo di stabilire se ci sono aree non presidiate o che presentano duplicazioni e di

individuare quelle situazioni che, per esempio, possono favorire l’insorgere di frodi

o di illeciti di diversa natura, senza tralasciare gli aspetti di efficienza del SCI che in

questo modo può essere studiato nell’ambito del processo end-to-end. Un altro grande

vantaggio derivante dall’approccio per processi è quello di poter evidenziare i rischi

più rilevanti che molto spesso si trovano nelle interfacce tra le funzioni che

interagiscono in un processo. Nella rappresentazione sistemica, un’organizzazione

viene vista come un unico macroprocesso che per raggiungere i propri obiettivi

strategici deve attuare processi operativi che a loro volta devono raggiungere obiettivi

operativi. I cosiddetti processi primari e di supporto si caratterizzano da una parte per

essere identificati in funzioni aziendali e dall’altra per essere trasversali rispetto alle

funzioni destinatarie dei loro servizi. Molto spesso l’internal audit è l’unico che

basandosi su un’ottica diversa da quella verticale riesce a cogliere aspetti altrimenti

non percepibili. Questo è l’altro vantaggio dell’analisi condotta sui processi: la

misurazione dell’efficacia e dell’efficienza delle operazioni in un’ottica di controllo.

Un intervento limitato a una sola funzione non consente di cogliere aspetti di criticità

che impattano sugli obiettivi dell’intero processo, a meno che non compromettano gli

obiettivi di quella stessa funzione.

2.5) Valutazione dei sistemi integrati di controllo interno

Il Sistema di Controllo Interno inteso come “l’insieme delle regole, delle procedure

e delle strutture organizzative volte a consentire, attraverso un adeguato processo di

identificazione, misurazione, gestione e monitoraggio dei principali rischi, una

80

conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”76 è il

perno su cui si fonda la Corporate Governance e costituisce l’elemento catalizzatore

di tutti i soggetti e le funzioni che, ognuno per la propria parte, contribuiscono alla

conduzione dell’impresa in modo sano, corretto e coerente all’obiettivo di conferire

il massimo valore sostenibile ad ogni attività dell’organizzazione. In materia, è

intervenuto negli ultimi anni anche il Legislatore nazionale, spesso sulla scorta di

esigenze contingenti, ampliando il numero dei soggetti aziendali chiamati a fornire

contributi al disegno e alla gestione dei controlli e frazionando gli ambiti di

responsabilità di ciascuno. Ciò ha determinato un proliferare di approcci, di modelli

di valutazione e di gestione spesso non integrati e, di conseguenza, potenzialmente

conflittuali, inefficienti e non economici. La possibilità di realizzare una Governance

aziendale è pertanto subordinata alla capacità di integrare le valutazioni espresse

dall’insieme di tali soggetti, pena un’azione meno efficace ed una copertura parziale

dei rischi aziendali sia in termini quantitativi che qualitativi.Il Sistema di Controllo

Interno a presidio dei rischi aziendali è infatti unico e la possibilità di garantire

l’adeguatezza delle modalità di controllo rispetto alle esigenze poste dai rischi da

presidiare dipende dalla capacità di scegliere tra controlli alternativi in base a criteri

omogenei di rilevazione e di valutazione che ne consentono la confrontabilità e la

selezione. Il perseguimento di obiettivi di efficacia ed economicità del Sistema di

Controllo Interno nel suo complesso richiede una modalità che consenta una

omogenea identificazione e valutazione dei controlli nei diversi ambiti aziendali di

applicazione, utile non solo all’identificazione ex post di sistemi caratterizzati da

76 Definizione fornita dal Codice di Autodisciplina, Borsa Italiana SpA – Comitato per la Corporate Governance

81

lacune o inefficienze, ma anche alla progettazione ex ante di modalità di controllo

che presentino i requisiti minimi necessari. Tali considerazioni sono di particolare

rilevanza per l’Internal Auditing, che è tipicamente chiamato a fornire un’assurance

complessiva sul disegno ed il funzionamento del Sistema di Controllo Interno

attraverso valutazioni indipendenti e che sempre più spesso si trova a dover integrare

le attività e le valutazioni degli altri soggetti e funzioni che, direttamente coinvolti

nelle attività operative e di controllo a vari livelli, concorrono anche alla definizione

del Sistema sulla base degli specifici ruoli e mandati.

Un approccio alla Valutazione del Sistema Integrato di Controllo Interno in grado di

supportare le attività di Assurance e Consulenza sul disegno e il funzionamento dei

controlli da parte dell’Internal Auditing e di tutti i soggetti aziendali chiamati per

ruolo e responsabilità a svilupparne o valutarne l’architettura, si prefigge i seguenti

obiettivi: oggettività, ovvero possibilità da parte di qualsiasi soggetto deputato alla

governance e/o al controllo, interno od esterno all’organizzazione, di ripetere la

valutazione giungendo ad analoghe conclusioni attraverso strumenti e regole

codificati e condivisibili; scalabilità, ovvero applicabilità dell’approccio tanto a

singoli controlli, quanto ad aggregati complessi, che nella forma più completa sono

rappresentati dall’intero Sistema di Controllo Interno aziendale;generale

applicabilità, ovvero indipendenza da specifici contesti aziendali, quali il settore di

business di appartenenza, l’ambito specialistico di applicazione (es. Legge 262, d.lgs.

231, ecc.), o i rischi gestiti (es. normativi, operativi, ecc.);compatibilità e coerenza

con gli tutti standard e le pratiche comuni in tema di controllo interno a livello

internazionale (CoSo, Enterprise Risk Management, ecc.);integrabilità, intesa come

82

apertura a possibili evoluzioni ed affinamenti (es. identificazione di eventuali ulteriori

elementi di misurazione del disegno dei controlli, piuttosto che di strumenti di

misurazione).

L’approccio si presta a contesti di applicazione caratterizzati da finalità, oggetti di

indagine e grado di analiticità dell’applicazione differenti. Dal punto di vista delle

finalità si considerino, ad esempio, i già citati ambiti di Assurance e Consulenza che

si concretizzano nella necessità di formulare attestazioni sul disegno ed il

funzionamento dei controlli interni o di fornire al management supporto per la

progettazione o l’ottimizzazione del sistema di controllo a presidio di specifici rischi.

Sul fronte dei possibili oggetti di indagine si pensi, ad esempio, alla

opportunità/necessità di procedere per:processi, con forte enfasi ad aspetti di

integrazione, sinergia e interdipendenza dei controlli; strutture organizzative, con

particolare riferimento ad aspetti di responsabilizzazione dei soggetti preposti; rischi,

con il fine di presidiare temi particolarmente critici per il perseguimento degli

obiettivi aziendali e il rispetto delle normative. Infine, sul fronte dell’analiticità si

considerino le necessità di valutare l’adeguatezza di: un singolo controllo nell’ambito

di specifiche attività di audit; il complessivo sistema dei controlli interni, che nel caso

più estremo sono rappresentati dall’organizzazione nel suo complesso, a presidio dei

rischi aziendali. L’approccio si presta, quindi, a integrare le metodologie e a

soddisfare le esigenze di numerosi soggetti dell’organizzazione coinvolti sia nel

processo di progettazione/definizione, che in quello di valutazione del Sistema di

Controllo Interno aziendale.

83

Tabella 2.1 - Coinvolgimento dei diversi soggetti della Governance aziendale nei vari ambiti di applicazione

dell’approccio (fonte: IIA)

2.5.1) Approccio risk based

Il sistema di valutazione dei controlli è sviluppato sulla base di una logica risk based

consolidata che prevede l’identificazione e valutazione preliminare degli eventi,

esterni e interni, che possono potenzialmente pregiudicare il perseguimento degli

obiettivi aziendali, siano essi strategici, operativi, di reporting, di conformità.La

definizione dei rischi significativi e delle strategie di assunzione di tali rischi da parte

del management rappresentano requisito fondamentale per la formulazione della

valutazione sull’adeguatezza del Sistema di Controllo Interno. In particolare, risulta

di fondamentale importanza l’analisi dei rischi inerenti o potenziali, ossia della

probabilità di accadimento e del possibileimpatto a prescindere da qualsiasi

84

sistemadi controllo esistente, e la determinazione dei limiti di tollerabilità

(determinata dalle condizioni economiche, finanziarie e patrimoniali dell’azienda e il

cui superamento può compromettere la sopravvivenza dell’organizzazione) e di

accettabilità (definita dalla propensione al rischio del Management, che la determina

in base ad un bilanciamento con le opportunità strategiche di ricerca della redditività).

Questa soglia consente di individuare le priorità d’intervento e di decidere i criteri di

gestione del rischio.L’adeguatezza di un Sistema di Controllo Interno si manifesta,

quindi, nella capacità di garantire il contenimento dei rischi che minacciano il

raggiungimento degli obiettivi aziendali entro i suddetti limiti attraverso una corretta

allocazione delle risorse di controllo disponibili.

Il necessario collegamento al tema di identificazione e valutazione dei rischi si

realizza attraverso la formulazione degli obiettivi di controllo rilevanti per l’ambito

oggetto di analisi, sia esso un’attività, un processo, una funzione organizzativa o

un’entità aziendale complessa.La definizione degli obiettivi di controllo prevede la

determinazione di: obiettivi aziendali di business (es. la massimizzazione dei ricavi,

il contenimento dei costi, la qualità dei prodotti/servizi, ecc.) e di governo rilevanti

(es. l’affidabilità dell’informativa gestionale e contabile, il rispetto di vincoli

normativi, ecc.), al fine di garantire il disegno di controlli adeguati per tutti gli

obiettivi considerati; fonti di rischio che possono compromettere il raggiungimento

degli obiettivi di cui al punto precedente al fine di garantire l’architettura di controllo

più adatta ad errori, frodi, mancata sincronizzazione dei processi, indisponibilità

quali/quantitativa di risorse, limiti di tollerabilità e accettabilità definiti dai processi

di gestione del rischio, per consentire le opportune valutazioni di economicità e di

85

generale efficienza del sistema di controllo.

Gli obiettivi di controllo, espressione e sintesi degli obiettivi e dei rischi aziendali

rilevanti, sono presidiati da controlli che: rilevano una situazione (un dato, un

comportamento, uno stato, ecc.); riscontrano un’eventuale deviazione rispetto ad uno

standard desiderato/definito; attivano un’adeguata azione correttiva in grado di

ricondurre la situazione allo standard o, quanto meno, di limitare gli impatti entro i

limiti di desiderabilità e accettabilità.

Qualsiasi controllo, quindi, è analizzato sulla base di una visione standard ed univoca

riconducibile, per qualsiasi tipologia considerata (controllo operativo o manageriale,

di linea o di monitoraggio, di primo, secondo e terzo livello, manuale o automatizzato,

ecc.), ad un processo di controllo che vede coinvolte le seguenti componenti: input

significativi da sottoporre a confronto; standard di riferimento, ossia elementi di

raffronto dell’input; attività di rilevazione dell’input; attività di confronto tra input e

standard di riferimento; attività di correzione/retroazione, nel caso dall’attività di

confronto si rilevi un’anomalia; output del processo di controllo; sistema informativo

di interconnessione, che consente lo scambio di informazioni necessarie a garantire

il funzionamento di tutto il processo (es. sistema di comunicazione verbale, scritta,

scambio di dati informatizzati, ecc.). Esso riguarda il collegamento tra i sistemi di

diffusione dello standard e di rilevazione dell’input con l’attività di confronto nonché

quello per l’attivazione del sistema di correzione.

L’evidenziazione di tali elementi, coerente con i modelli di riferimento e le

classificazioni tradizionali dei controlli, consente di verificare la completezza di un

controllo rispetto ai suoi elementi costitutivi, di comprendere le relazioni

86

fondamentali esistenti tra le diverse componenti e di valutarne puntualmente

l’adeguatezza rispetto all’obiettivo di controllo presidiato.

2.5.2) Il modello di valutazione

Alla base della valutazione dei Sistemi integrati di Controllo Interno vi è il Modello,

ossia l’insieme degli elementi o caratteristiche dei controlli, rilevabili in modo diretto

o indiretto da chi chiamato a svolgere attività di analisi.La misurazione diretta

avviene attraverso strumenti, ossia differenti modalità con le quali si perviene ad una

rilevazione quali-quantitativa basata su caratteristiche osservabili dei controlli, così

come sistemi di misurazione strettamente quantitativi già esistenti in azienda o

sviluppati ad hoc.

Figura 2.1 – Ambiti di valutazione dei Sistemi Integrati (fonte: IIA)

87

Gli elementi del Modello misurabili in modo indiretto sono il risultato

dell’applicazione di regole di aggregazione delle valutazioni di componenti di livello

inferiore. L’applicazione delle regole consente quindi di giungere a indici sintetici, a

supporto del giudizio dell’auditor, per la valutazione dell’adeguatezza del singolo

controllo e di sistemi complessi composti da più controlli.

L’attività di analisi e valutazione, infine, si sviluppa in un processo operativo di

applicazione articolato in cinque macro fasi tipiche adattabili in base al contesto e

agli ambiti di utilizzo.

Il Modello è la componente dell’approccio che razionalizza l’insieme degli elementi

da considerare per la progettazione di nuovi controlli o la valutazione di controlli

esistenti.Si tratta di una rappresentazione statica di componenti che prescinde dal

livello di complessità dell’entità oggetto di analisi (singolo controllo o aggregati di

controlli) e dai vincoli, interni ed esterni (numero e tipologia di variabili ambientali,

normative, ecc.), che caratterizzano il contesto in cui il controllo opera.

La logica per la sua applicazione è di tipo bottom-up, partendo da elementi di

dettaglio per poi procedere ad aggregazione degli stessi secondo criteri

predeterminati e giungere alla sintesi finale della valutazione di adeguatezza rispetto

agli obiettivi di controllo.Il fine è quello di ridurre, in sede di analisi, il disegno ed

il funzionamento di SCI complessi all'interazione di sistemi più semplici e, viceversa,

la possibilità di progettare sistemi in maniera strutturata componendo unità

elementari.

Entrando nel merito del Modello, i suoi elementi sono raggruppabili in elementi di

misurazione diretta, i quali coincidono con le caratteristiche direttamente osservabili

88

dei controlli. Si tratta delle entità di massimo dettaglio, non ulteriormente

scomponibili, la cui rilevazione, qualitativa e/o quantitativa, avviene secondo

strumenti predefiniti; ed elementi di misurazione indiretta, ossia elementi non

misurabili direttamente, ma ottenuti mediante aggregazioni, secondo regole

predefinite, di elementi di valutazione diretta.

Il Modello si presta a possibili integrazioni relativamente al numero e alla tipologia

di elementi di base, ad esempio attraverso la scomposizione di elementi di

misurazione diretta in elementi di misurazione indiretta qualora si ravvisasse

l’opportunità di scendere ad un maggiore livello di dettaglio dell’analisi.

Figura 2.2 – Sintesi del Modello

In sintesi, l’adeguatezza di un controllo dipende dall’efficacia, ossia la capacità di

89

garantire il contenimento degli impatti/probabilità del verificarsi dell’evento

rischioso entro i limiti determinati e dall’economicità, ossia la capacità di garantire

un onere complessivo del controllo (costo fisso del controllo e costo variabile di

risoluzione) non superiore agli impatti da contenere. Laddove risultino soddisfatti

questi obiettivi, l’adeguatezza dipenderà dall’efficienza del controllo, intesa come la

combinazione ottimale dei due fattori, a partire dalla quale non è possibile migliorare

uno dei due senza pregiudizio per l’altro.In generale, la ricerca di adeguatezza

consiste nel garantire il più alto grado di efficacia, considerando il vincolo

dell’economicità.

L’efficacia del controllo è determinata dall’architettura del controllo, ovvero le

caratteristiche intrinseche del processo (attributi del controllo), l’eventuale

dipendenza/relazione con altri processi di controllo e dal funzionamento del sistema

del controllo, ovvero la parziale o non conforme esecuzione delle attività previste dal

disegno dei processi di controllo.

L’efficacia del disegno di un controllo dipende dalla copertura, in termini di rapporto

tra obiettivi di controllo da presidiare e controlli esistenti, a prescindere da

considerazioni circa la qualità del controlli stessi; dalla pertinenza, intesa come

capacità dei controlli di presidiare un certo obiettivo di controllo identificando in tutto

o in parte le potenziali anomalie e/o attivando le retroazioni solo nei casi anomali,

senza intervenire su situazioni non critiche; dalla robustezza, determinata dalle

caratteristiche intrinseche delle componenti di un processo di controllo e dalla loro

relativa compatibilità, che influisce sulla probabilità che il controllo si trovi

effettivamente ad operare in relazione alle caratteristiche dei rischi e del contesto

90

aziendale considerato; infine, dalla reattività, che misura capacità di un controllo di

rilevare e correggere un rischio in tempi utili all’eliminazione o limitazione dei suoi

impatti sugli obiettivi di controllo. In particolare, l’analisi di tale elemento, basata sul

confronto con i momenti in cui si manifesta l’evento rischioso e quello in cui si

consolidano le conseguenze, consente di delineare le situazioni tipiche che sono

rappresentate di seguito.

La valutazione del funzionamento tiene conto del grado disponibilità delle risorse

individuate per l’esecuzione dei controlli; del grado di conformità, ossia dell’effettiva

esistenza e della corretta esecuzione dei controlli previsti dal disegno; della presenza

di rischi non coperti, ovvero di impatti residuali significativi che identificano

l’esistenza di obiettivi di controllo non adeguatamente presidiati.

L’economicità del controllo è determinata da due fattori:il danno/penalità potenziali,

ossia gli impatti aziendali diretti, derivanti dal verificarsi del rischio non gestito (es.

sanzioni amministrative, perdite o mancati guadagni, costi non sostenuti); ed il costo

del controllo, costituito dal costo fisso di struttura per la rilevazione delle anomalie

(es. FTE77 delle risorse dedicate all’attività di rilevazione e riscontro) e dagli oneri

variabili delle azioni di gestione dell’evento critico (es. investimenti per recupero di

immagine, risarcimenti danni, ecc.).

2.5.3) Rilevazione e processo operativo di valutazione

Gli elementi del controllo oggetto di rilevazione diretta vengono misurati sulla base

77 Il Full Time Equivalent (Equivalente a Tempo Pieno) viene principalmente utilizzato per indicare lo sforzo erogato o pianificato per svolgere una attività o un progetto

91

di strumenti di identificazione che hanno il fine di garantire, a chiunque voglia

ripetere in modo indipendente la valutazione del controllo, un sistema di riferimento

omogeneo e definito. Gli strumenti di rilevazione possono essere di tipo quantitativo,

ossia fondati sull’utilizzo di variabili quantitative riconducibili a scale numeriche

continue, oppure di tipo quali-quantitativo, ovvero basati sull’evidenziazione della

presenza o meno di caratteristiche dei controlli che possono essere ricondotte a scale

quantitative discrete.

La formulazione degli strumenti quali-quantitativi richiede l’identificazione di

attributi dell’elemento oggetto di indagine osservabili e riscontrabili le cui

combinazioni contribuiscono alla definizione di una scala in cui i livelli più alti sono

caratterizzati dalla presenza di attributi migliori.

La sintesi delle informazioni raccolte grazie all’applicazione degli strumenti di

rilevazione agli elementi del modello avviene tramite regole che consentono la

valorizzazione di singoli elementi di misurazione indiretta, dell’adeguatezza di

singoli controlli, di sistemi di controllo propri di specifici processi e di aggregati di

processi che nella forma più complessa rappresentano l’azienda nella sua interezza.

La logica di valutazione nei tre differenti contesti (controllo-processo-azienda) è

peraltro la medesima passando da un livello all’altro di complessità. La formulazione

delle regole di valutazione prescinde, infatti, dalla tipologia dei controlli e dei

processi presi in considerazione.

La realizzazione delle attività di valutazione si esplica attraverso un processo

operativo che prevede le seguenti fasi fondamentali:individuazione degli obiettivi

di controllo aziendali;identificazione e misurazione dei controlli a presidio dei rischi

92

identificati; valutazione del disegno;valutazione del funzionamento; valutazione

dell’economicità.

L’attività di individuazione degli obiettivi di controllo è strettamente connessa ai

processi di risk management/risk assessment già presenti in azienda e finalizzati alla

identificazione e misurazione dei rischi potenziali riguardanti l’ambito oggetto di

analisi. È onere del valutatore formulare gli obiettivi di controllo secondo le modalità

già descritte, sollecitando o integrando direttamente eventuali carenze;

Le attività di identificazione dei controlli a presidio dei rischi può essere realizzata

nell’ambito di singoli progetti di internal audit o, in alternativa con apposite attività

di rilevazione dei processi e dei controlli basate su interviste e “walkthrough”78

realizzate dal valutatore oppure attraverso un’auto-rilevazione da parte del

management che, supportato dal valutatore, è chiamato a evidenziare e misurare con

gli strumenti predisposti il sistema di controllo in essere a presidio degli obiettivi

gestiti.

Considerazioni analoghe si applicano, inoltre, alla realizzazione delle successive fasi

di valutazione che si differenziano esclusivamente per gli elementi analizzati e le

regole di valutazione considerate.Le fasi di valutazione del disegno, del

funzionamento e dell’economicità dovrebbero essere idealmente attuate secondo

l’ordine precedentemente indicato. Tuttavia, è possibile esprimere valutazioni sul

Sistema di Controllo Interno anche nel caso di valutazioni del disegno assenti o

parziali, a condizione che i limiti esistenti siano correttamente evidenziati e che la

successiva fase di valutazione del funzionamento garantisca un’adeguata misurazione

78 Guide strategiche dettagliate (dall’inglese “attraversare”)

93

dei rischi non coperti.

Analogamente, la fase di valutazione dell’economicità del controllo può limitarsi ad

una verifica di massima del costo complessivo delle soluzioni di controllo

ogniqualvolta gli obiettivi di Controllo siano determinati da vincoli normativamente

cogenti. Solo nel caso in cui l’equilibrio tra efficacia ed economicità appaia

palesemente compromesso diventa necessario analizzare dettagliatamente gli aspetti

legati al costo del controllo per identificare soluzioni architetturali che presentino

oneri inferiori a parità di efficacia.

In caso di applicazione dell’approccio con finalità di assurance da parte dell’Internal

Auditing e modalità di rilevazione e valutazione effettuate direttamente dal

management aziendale, risulta di particolare importanza la definizione,

formalizzazione e condivisione a priori degli strumenti e delle regole di valutazione

da applicare. In tali situazioni il ruolo dell’Internal Auditing nel processo di

applicazione viene a corrispondere a quello di un terzo indipendente che verifica la

corretta applicazione (conformità) del processo di valutazione adottato.

Il processo di valutazione, se realizzato nell’ambito di progetti di assurance

dell’adeguatezza del Sistema di Controllo Interno aziendale, richiede un

aggiornamento continuo la cui cadenza è strettamente connessa alle dinamiche del

contesto in cui l’azienda opera ed ai relativi adattamenti organizzativi e di controllo.

Elementi scatenanti tipici sono: la ridefinizione degli obiettivi di controllo a seguito

di modifiche nelle strategie aziendali e nei vincoli normativi di riferimento; la

ridefinizione delle responsabilità organizzative di presidio ai rischi; l’introduzione o

la modifica di sistemi informativi che alterano l’architettura dei controlli esistenti;

94

l’evidenziazione di rischi non coperti che superano le soglie di accettabilità o

tollerabilità; la necessità di ridurre il costo complessivo del sistema di controllo

interno.

In ogni caso, il processo di applicazione qui descritto non subisce modificazioni

significative passando da applicazioni in ambiti limitati, quali una valutazione dei

controlli per un ambito specifico (rischio, funzione, processo, ecc.) realizzabile nel

contesto di un incarico di Internal Auditing, rispetto all’applicazione nel contesto di

progetti complessi finalizzati alla valutazione del Sistema di Controllo Interno per

organizzazioni complesse e articolate che devono garantire in modo coerente ed

integrato il presidio di obiettivi di controllo diversi e potenzialmente in contrasto tra

loro.

95

CAPITOLO 3 - L’azienda target: Enel S.p.A.

3.1) La storia di Enel S.p.A.

Enel rappresenta il pilastro fondante della produzione di energia elettrica in Italia ed

inevitabilmente la sua storia e le sue radici sono strettamente legate alla storia del

settore energetico italiano.

È il 27 novembre 1962 quando la Camera dei Deputati approva in via definitiva, dopo

un lungo dibattito parlamentare, il provvedimento di nazionalizzazione del sistema

elettrico, con l’obiettivo di utilizzare in modo ottimale le risorse, di soddisfare la

crescente domanda di energia e di consentire condizioni uniformi di trattamento. Il 6

dicembre dello stesso anno il provvedimento diventa legge: nasce così Enel, Ente

Nazionale per l’Energia Elettrica, al quale la legge riserva il compito di esercitare le

attività di produzione, importazione ed esportazione, trasporto, trasformazione,

distribuzione e vendita dell’energia elettrica. È la più grossa riforma economica

approvata dal dopoguerra. In quel momento l’Italia si trova nel mezzo del cosiddetto

“miracolo economico”. Il Paese è nel pieno di un’espansione quale non ha mai

conosciuto prima, ma è anche alle prese con i problemi suscitati da uno sviluppo tanto

veloce quanto disomogeneo. Ciononostante, nel 1962 i consumi elettrici pro capite

italiani sono ancora notevolmente inferiori a quelli dei principali Paesi europei. Il

divario nei consumi elettrici è particolarmente accentuato tra nord e sud, segno del

grande malessere che affligge il Meridione. Il servizio elettrico inoltre non raggiunge

tutti gli italiani: il censimento generale della popolazione del 1961 rileva che più di

700.000 abitazioni, pari al 5,1 per cento di quelle censite, sono prive di elettricità.

96

Enel inizia di fatto la sua attività nel 1963 con il graduale assorbimento delle imprese

elettriche allora esistenti. Il processo di assorbimento è andato avanti nel tempo: alla

fine del ‘95 le imprese elettriche assorbite saranno 1270. Le reti che vengono via via

acquisite sono parcellizzate e disomogenee: nasce quindi la necessità di un grande

progetto di elettrificazione, che preveda il riordino, l’ammodernamento e lo sviluppo

della rete di distribuzione, i collegamenti elettrici con le isole e l’inizio della

realizzazione delle dorsali che dovranno trasportare l’energia lungo tutta la penisola

e connetterla con l’estero. Tra le prime unità operative costituite dall’Enel è da

segnalare il Centro Nazionale di Dispacciamento di Roma, che ha il compito di gestire

gli impianti di produzione, la rete di trasmissione e l’interconnessione con l’estero:

in pratica, il “cervello” dell’intero sistema elettrico italiano.

Figura 3.1 – Il marchio Enel dal 1963 al 1975

Per finanziare l’espansione dei suoi impianti, nel 1965 l’Enel emette sul mercato i

primi due prestiti obbligazionari. Una prima emissione sul mercato italiano per un

97

importo di 75 miliardi di lire. Una seconda di 100 miliardi di lire in Italia e 37 miliardi

di lire negli altri paesi della Comunità Europea.

Il 1966 segna invece una svolta nella storia dell’energia elettrica in Italia: è il primo

anno in cui la produzione idroelettrica copre meno del 50 per cento della produzione

complessiva. L’avvenimento è conseguenza da un lato del progressivo esaurimento

delle risorse idroelettriche e dall’altro del continuo e sostenuto aumento della

richiesta di energia elettrica, che rendono sempre più necessario il ricorso alla

produzione termoelettrica.

Sono gli anni della crescita di Enel che nel frattempo è diventata, secondo un’indagine

di Mediobanca, la seconda industria italiana per fatturato dopo la Fiat.

Il disegno di una rete di trasmissione adeguata alle necessità del Paese si va

completando con il varo della linea 380 kV Firenze-Roma, che sarà il primo

collegamento tra le reti della stessa tensione realizzate, negli anni precedenti, nel nord

e nel sud del Paese. Vengono inoltre realizzate interconnessioni a 380 kV con la

Francia e la Svizzera. Nel 1971 il consumo di energia elettrica per abitante in Italia

raggiunge 2.035 kWh. Lo squilibrio tra il nord e il sud del Paese è ancora molto forte.

Per confronto, il consumo medio per abitante della CEE è, nello stesso anno, di 3.133

kWh.

La guerra arabo-israeliana dello Yom Kippur innesca la prima grande crisi energetica.

Il petrolio viene usato come arma economica dai paesi arabi che ne riducono la

produzione. I continui rincari del greggio costringono i paesi consumatori a varare

misure di emergenza per fronteggiare la crisi adottando una politica di “austerity”.

Per fronteggiare la crisi petrolifera, Enel programma la realizzazione sia di nuovi

98

impianti nucleari, per ridurre la dipendenza dal petrolio, sia di impianti idroelettrici

di pompaggio per coprire il fabbisogno elettrico nelle ore di maggiore consumo.

Contro l’aumento dei prezzi petroliferi vengono introdotte limitazioni ai consumi di

elettricità. Il 20 dicembre 1973 la Camera dei Deputati approva un ordine del giorno

che, “considerata la grave crisi che ha colpito il Paese nel settore energetico”

impegna il Governo «allo sviluppo di una decisa politica di ricerca e di realizzazione

di fonti alternative al petrolio, particolarmente nucleari». Il Piano Energetico

Nazionale (PEN) presentato nel luglio 1975 dal Ministro dell’Industria si articola in

5 punti: idrocarburi; fonti energetiche alternative; programma Enel; ciclo del

combustibile nucleare; programmi CNEN. Per quanto riguarda l’Enel, il Piano

prevede che l’Ente indichi «simultaneamente gare per l’assegnazione di otto centrali

elettronucleari da 1.000 MW del tipo ad acqua leggera, pressurizzata e bollente» e

definisca «in linea con le indicazioni del Piano Energetico, un piano di commesse

aggiuntive, attualmente previsto in 8.000 MW, da approvare da parte del CIPE entro

il 1977». Tenuto conto delle unità nucleari già ordinate dall’Enel, per 4.000 MW, il

PEN prevede quindi un apporto di centrali nucleari per una potenza complessiva di

20.000 MW entro il 1985. Nel 1975, per la prima volta dal 1949, la produzione

italiana di energia elettrica registra un decremento rispetto all’anno precedente: -1,1

per cento. La battuta d’arresto è collegata al calo della domanda del settore

industriale, conseguente all’accentuarsi della fase di recessione dell’economia che

vede una diminuzione del prodotto interno lordo. La Legge n° 373 del 30 aprile 1976,

detta “Norme per il contenimento del consumo energetico per usi termici negli

edifici”, è il primo intervento legislativo in tema di politica di risparmio energetico.

99

L’Enel predispone un volantino, dal titolo “Per una migliore e più economica

utilizzazione dell’energia”, che viene stampato in 21 milioni di copie e inviato a tutti

gli utenti domestici (vedi figura 3.3).

Figura 3.2 – Pubblicità Enel negli anni della crisi energetica del 1976-77 (nuovo logo adottato nel 1975)

100

Alla fine degli anni ‘70 la situazione del Paese è estremamente difficile: il tasso

d’inflazione è intorno al 20 per cento e una caduta della domanda sul mercato

internazionale dell’automobile colpisce la principale industria nazionale, la Fiat. Sul

fronte energetico, la fine degli anni ‘70 è un momento di riscoperta del sole e del

vento. La crescita nel Paese di una coscienza ambientale e l’obiettivo di assicurare la

massima compatibilità tra impianti di produzione elettrica e ambiente determinano

l’avvio di una serie di iniziative energetiche ecocompatibili. Prosegue quindi la

politica di sensibilizzazione al contenimento dei consumi energetici. Viene messa in

servizio la centrale di Porto Tolle, la più potente in Europa. Il 1979, in particolare,

registra notevoli aumenti dei prezzi del petrolio, dopo alcuni anni di relativa stabilità.

Alla fine dell’anno i prezzi del greggio risultano più che raddoppiati rispetto all’anno

precedente.

Nel 1981 la produzione italiana di energia elettrica, con 181,6 miliardi di kWh,

registra una flessione del 2,2 per cento rispetto al 1980. I consumi globali di energia

elettrica, con 162,8 miliardi di kWh, registrano una flessione dello 0,5 per cento

rispetto al 1980, che sale a -3,0 nei consumi industriali. La flessione dei consumi di

energia elettrica è una chiara indicazione della fase di recessione dell’economia

italiana (definita “crisi da petrolio”) che registra una contrazione del prodotto interno

lordo dello 0,2 per cento, un tasso di inflazione del 18,7 per cento (quasi doppio

rispetto alla media degli altri Paesi industrializzati) e un forte deficit della bilancia

dei pagamenti. Allarmante anche il confronto con l’Europa. Nel 1982 la quota di

energia elettrica prodotta da idrocarburi in Italia è del 54 per cento, contro il 14 della

Repubblica Federale Tedesca, il 13 dell’Inghilterra e l’11 della Francia.

101

Nel 1984 si inaugurano due centrali dimostrative dell’Enel alimentate da fonti

energetiche rinnovabili: la centrale eolica dell’Alta Nurra e la centrale fotovoltaica

dell’isola di Vulcano. Nel 1984 Enel raggiunge il sostanziale equilibrio del conto

economico, con una perdita di 1,5 miliardi contro i 1.823 miliardi dell’anno

precedente. Era questo l’obiettivo del Piano di risanamento della situazione

economico-finanziaria, reso possibile, da un lato, dagli aumenti del Fondo di

dotazione, delle tariffe e del sovrapprezzo termico e, dall’altro, dal contenimento dei

costi di gestione e dall’aumento di produttività. Nel 1985 entra in funzione il nuovo

sistema di controllo della produzione e trasmissione di Enel. Sempre nel 1985 la

dipendenza dai prodotti petroliferi nella copertura del consumo energetico italiano

scende al 58,5 per cento dal 75,3 del 1973; ma, tenuto conto delle altre fonti

energetiche d’importazione, la dipendenza dall’estero (81,3 per cento) rimane

sostanzialmente la stessa del 1973 (81,8 per cento). Agli inizi del 1986 viene

deliberato l’aggiornamento del nuovo Piano Energetico Nazionale che era stato

approvato nel 1981. La novità consiste in uno specifico paragrafo per l’ambiente e la

sicurezza. Oltre alla costruzione di impianti idroelettrici, geotermici e termoelettrici

a carbone, il programma prevede anche la costruzione di impianti nucleari per 12.000

MW.

Tuttavia, disastro di Chernobyl blocca di fatto l’attuazione del Piano Energetico

Nazionale e l’apertura dei nuovi cantieri, non solo per le centrali nucleari, ma anche

per quelle a carbone. Il Parlamento discute della politica energetica e con due

risoluzioni impegna il Governo a convocare una Conferenza Nazionale sull’Energia,

con il compito di fornire contributi informativi e di approfondimento per una verifica

102

delle scelte di politica energetica, con particolare riguardo allo sviluppo della

componente nucleare. Nel 1986 Enel chiude per la prima volta il bilancio in attivo,

con un utile di 14 miliardi di lire. L’8 novembre 1987 si svolgono tre referendum

sulle centrali elettriche nucleari e due sulla giustizia. La maggioranza dei votanti si

esprime per la rinuncia all’energia nucleare. Considerati i risultati del referendum, il

Governo procederà alla sospensione dei lavori della centrale di Trino 2, alla chiusura

della centrale di Latina, alla verifica della sicurezza delle centrali di Caorso e di Trino

1 e alla verifica della fattibilità di riconversione della centrale di Montalto di Castro.

Figura 3.3 – Il nuovo marchio Enel (1988- 1998)

L’interesse crescente, a partire da inizio anni ’90, verso i temi ambientali determina

l’inizio della collaborazione tra Enel e le associazioni per la difesa della natura.

Seguiranno altre iniziative per la tutela della natura e dell’ambiente fino ad arrivare,

nel 2000, all’accordo volontario con il Ministero dell’Ambiente per la riduzione delle

emissioni dei gas serra. Il 5 luglio 1990 è inaugurato l’impianto idroelettrico di

pompaggio di Presenzano, tra le province di Isernia e Caserta. All’inizio del ‘91 il

103

Parlamento emana la legge n. 9 e la legge n. 10 del gennaio 1991. La legge 9/91, in

particolare, dà avvio alla liberalizzazione del settore della produzione di energia

elettrica e consente all’Enel di promuovere, in Italia e all’estero, la costituzione di

Società per Azioni o di assumere partecipazioni per attività riconducibili ai fini

dell’Ente. Il 1992 vede un cambiamento radicale dell’assetto giuridico-istituzionale

del settore elettrico nazionale. Infatti, a quasi trent’anni dall’istituzione, con il decreto

legge n. 333 dell’11 luglio 1992, convertito nella Legge n. 359 dell’8 agosto, Enel

diventa Società per Azioni, primo passo verso la privatizzazione. Lo stesso decreto

attribuisce alla nuova Società, a titolo di concessione, le attività che prima erano

riservate all’Ente per legge. Azionista unico della Società è il Ministero del Tesoro.

Nello stesso anno, in un’indagine condotta da Mediobanca, Enel risulta essere la

prima società italiana per fatturato.

Gli anni ‘90 vedono mutare Enel: al cambiamento di ragione sociale fanno seguito la

liberalizzazione del settore elettrico e la quotazione in Borsa. La liberalizzazione

ridimensiona Enel nel suo core business: viene attuata perciò una strategia di

diversificazione per lo sviluppo di nuovi business.

Nel maggio ‘93 si svolge a Firenze il summit degli E7, il gruppo che riunisce le sette

maggiori imprese elettriche mondiali, di cui fa parte Enel. L’incontro ha l’obiettivo

di elaborare strategie comuni per garantire l’uso più razionale dell’elettricità e

migliorare il sistema produttivo e distributivo in modo da minimizzare l’impatto

sull’ambiente. Nel 1994 e 1995 vengono inaugurati nuovi impianti da fonti

rinnovabili: una centrale solare fotovoltaica da 3 MW, la più grande in esercizio nel

mondo, viene realizzata a Serre Persano; nell’Alta Nurra viene messo in opera

104

l’aerogeneratore Gamma 60 da 1 MW, mentre centrali eoliche vengono messe in

esercizio a Frosolone e Collarmele. Il 14 novembre 1985 la Camera dei deputati

approva in via definitiva la Legge n. 481, che stabilisce le norme per la concorrenza

e la regolazione dei servizi di pubblica utilità e istituisce la relativa autorità di

regolazione. È un provvedimento propedeutico alla privatizzazione dell’Enel, con il

collocamento delle azioni sul mercato, e definisce in modo organico le norme per la

regolamentazione del servizio elettrico. Tra le varie disposizioni la legge conferma

l’uniformità delle tariffe elettriche su tutto il territorio nazionale, nonché il reintegro

all’Enel e alle imprese appaltatrici degli oneri connessi con l’abbandono del nucleare.

Il 1995 si chiude con un avvenimento di particolare importanza per i futuri sviluppi

dell’Enel: la firma della Convenzione tra il Ministero dell’Industria e l’Enel per la

disciplina della concessione delle attività elettriche. La Convenzione ha una validità

di 40 anni a partire dall’11 luglio 1992 (data della trasformazione dell’Ente in S.p.A.)

e conferma il ruolo dell’Enel nella trasmissione e distribuzione dell’energia elettrica,

con l’obbligo della sua diffusione “universale”.

Figura 3.4 – Logo Enel debuttato nel 1997

105

Alla fine degli anni ‘90 il settore elettrico nazionale viene liberalizzato. Il 1999, in

particolare, è l’anno della privatizzazione, con il collocamento sul mercato di oltre

3,8 miliardi di azioni, diventati, a luglio 2001, 1,9 in seguito ad un reverse stock split.

In linea con il processo di liberalizzazione e con gli obiettivi di decentramento delle

attività viene completato il processo di “societarizzazione”. Enel si trasforma in

holding industriale: dal Gruppo nascono nuove società per lo sviluppo di diverse

opportunità di business. Alla fine di giugno 1998 Wind, società di telecomunicazioni

di proprietà di Enel, France Telecom e Deutsche Telekom, vince la gara per ottenere

la concessione di telefonia mobile, diventando così il terzo gestore nazionale. Nel

luglio 2000 la compagine azionaria si modifica con l’uscita di Deutsche Telekom da

Wind. La quota azionaria viene ripartita tra Enel e France Telecom. Il 19 febbraio

1999 il Consiglio dei Ministri approva il decreto di liberalizzazione del mercato

elettrico, il cosiddetto “Decreto Bersani”. La normativa, entrata in vigore il 1° aprile

‘99, definisce e regola il nuovo assetto del settore elettrico, in cui le attività di

produzione, importazione, esportazione, acquisto e vendita di energia elettrica sono

libere (nel rispetto degli obblighi di servizio pubblico). Queste attività possono anche

essere svolte da un unico soggetto, purché sia garantita almeno la separazione

contabile e gestionale. Nel caso dell’Enel, il decreto prevede la separazione societaria

per le attività di produzione, trasmissione, distribuzione e vendita ai clienti “idonei”,

nonché l’obbligo di ridurre la propria capacità produttiva cedendo entro il 2002 “non

meno di 15.000 MW”. L’attività di trasmissione, il dispacciamento dell’energia

elettrica e la gestione unificata della rete di trasmissione nazionale sono dati in

concessione al “Gestore della Rete di Trasmissione”, costituito da una società

106

scorporata dall’Enel, le cui azioni sono assegnate a titolo gratuito al Ministero del

Tesoro. Il Gestore stipula con le società proprietarie delle reti (Enel, Municipalizzate

e altre) convenzioni che disciplinano gli interventi di manutenzione e sviluppo della

rete e delle interconnessioni. Nascono nello stesso anno Enel Produzione, Terna ed

Enel Distribuzione. Parallelamente alla societarizzazione delle attività tipiche di

produzione, trasmissione e distribuzione, si provvede allo sviluppo di nuove aree di

business. Viene infine avviata la privatizzazione dell’Enel, collocando sul mercato

oltre 3,8 miliardi di azioni ordinarie (diventati 1,9 in seguito al reverse stock split del

9 luglio 2001), pari al 31,74 per cento del capitale sociale, per un controvalore di

16,55 miliardi di euro (corrispondenti a 32.045 miliardi di lire). È la più grande offerta

pubblica in Europa e la seconda al mondo sia per valore che per numero di

sottoscrittori. L’11 ottobre 2000 Enel conclude un accordo con Vodafone (finalizzato

poi nel corso del 2001) per l’acquisto del 100 per cento di Infostrada. La fusione tra

Wind e Infostrada dà vita a un nuovo gruppo che, con oltre 17 milioni di clienti di

telefonia fissa, mobile e Internet, è il primo operatore convergente al mondo e il

secondo operatore di telecomunicazioni del nostro Paese (la società fu venduta poi

nel 2005 al gruppo Weather Investments S.A.R.L.). Con la cessione di Interpower,

nel novembre 2002, Enel completa le dismissioni di capacità produttiva previste dal

decreto Bersani. Le tre Genco cedute (Interpower, Elettrogen ed Eurogen) hanno

infatti una capacità produttiva rispettivamente di 2.611 MW, 5.438 MW e 7.008 MW.

Il Gruppo intraprende attività internazionali. Nel settembre 2001 Enel si aggiudica

per 1.870 milioni di euro (2.140 milioni di euro con il debito assunto) l’intero capitale

della spagnola Viesgo, una società che opera nella generazione e distribuzione di

107

energia elettrica controllata da Endesa con una capacità di circa 2.400 MW. Nel

dicembre dello stesso anno CHI Energy (società acquisita dal Gruppo Enel nel 2000)

completa la realizzazione di una centrale eolica negli Stati Uniti e di una a biomasse

in Canada. La capacità installata è di 30 MW per la prima e di 23 MW per la seconda.

Sempre nel 2001 il Gruppo Enel avvia la costruzione di una linea di trasmissione ad

alta tensione in Brasile. Nel marzo 2002 viene siglato un nuovo accordo per la

costruzione di un tratto di linea ad alta tensione lungo 1.278 km che collegherà il

Nord al Sud del Brasile. Nel 1992 viene avviato un progetto per il collegamento in

corrente continua tra Italia e Grecia. Il progetto, che favorisce l’interconnessione

elettrica di tutto il bacino mediterraneo, viene finanziato al 40 per cento dall’Unione

Europea. Enel partecipa al progetto attraverso Terna per il 75 per cento; il restante 25

per cento è a carico di PPC, azienda elettrica greca.

Tra le altre principali attività del primo decennio degli anni duemila risaltano: nel

2007 l'operazione di acquisizione della utility iberica Endesa79 dove raggiunge in un

primo momento una quota del 67% del capitale, arrivando nel 2009 al pieno controllo

del capitale; nel 2008 la costituzione di Enel Green Power, società dedicata allo

sviluppo e alla gestione della produzione elettrica da fonti rinnovabili.

Insomma, il nuovo millennio vede Enel sempre più concentrata su politiche di

internazionalizzazione e di sensibilizzazione su tematiche ambientali a tal punto da

essere anche inserita a partire dal 2004 nel Dow Jones Sustainability, indice borsistico

che valuta le performance finanziarie delle compagnie mondiali in base a principi di

eccellenza economico-finanziaria e di sostenibilità ambientale.

79 Operazione di fondamentale importanza, che gettò le basi per l’approdo del Gruppo Enel in Sud America.

108

Figura 3.5 – Il marchio Enel oggi (2016)

3.2) Enel oggi: attività, mission e organizzazione del gruppo

Oggi Enel opera in oltre 30 Paesi, con una capacità netta installata di circa 83 GW,

1,9 milioni di chilometri di reti e oltre 61 milioni di clienti.

Figura 3.6 – I numeri del gruppo Enel (fonte: enel.com)

109

Enel produce energia in Europa, Russia, America, Sudafrica e India attraverso un mix

bilanciato di fonti, in cui quelle rinnovabili giocano un ruolo di primo piano

(idroelettrico, eolico, solare, geotermia, biomassa) e in cui le fonti fossili vengono

diversificate tra gas naturale, carbone e olio combustibile. Quasi la metà dell’energia

elettrica prodotta da Enel è priva di emissioni di anidride carbonica, rendendo il

Gruppo uno dei principali produttori di energia pulita.

Figura 3.7 – La produzione di Enel

Il Gruppo, attraverso le sue società di distribuzione, trasporta l’energia in Italia, in

Romania, in Iberia e in America Latina grazie a 1.875.107 km di linee elettriche e

426.000 GWh di energia distribuita in due continenti.

110

Il Gruppo Enel opera attraverso le sue società commerciali sia sul mercato di maggior

tutela, a tariffe vincolate, sia sul mercato libero. Con oltre 61 milioni di utenze finali

nel mondo, di cui 56.039.735 sul mercato dell’energia elettrica (corrispondenti ad un

valore energetico di 263.054 GWh) e 5.511.005 sul mercato del gas (pari a 10,6

miliardi di metri cubi di gas), Enel ha la più ampia base di clienti rispetto ai suoi

competitor europei.

Figura 3.8 – L’attività del Gruppo Enel nel mondo (fonte: enel.com)

Enel Open Power: apertura, innovazione e sostenibilità

Il 26 Gennaio 2016 a Madrid, presso la sede della controllata spagnola Endesa, la

Presidente, Patrizia Grieco, e l’Amministratore Delegato, Francesco Starace, hanno

111

svelato la nuova identità societaria globale del Gruppo, il nuovo sito web (enel.com),

la nuova identità visiva ed il nuovo logo (vedi figura 3.6). Il nuovo brand si inscrive

nella strategia di Enel che definisce il Gruppo come innovativo, sostenibile e

all’avanguardia, un gruppo attivo lungo tutta la filiera dell’energia che pone

l’apertura al centro del suo approccio strategico e operativo. Il nuovo sistema visivo

del Gruppo e il logo segnano una nuova era per l’azienda e rappresentano i principi

di flessibilità e dinamicità di Open Power (sono stati contestualmente svelati anche i

nuovi loghi di Endesa ed Enel Green Power, in linea con gli stessi principi).

Figura 3.9 - I nuovi loghi Enel presentati a Madrid

Con il rinnovo del brand l’obiettivo è quello di allineare l’immagine di Enel ai

cambiamenti in corso all’interno del Gruppo e alla rapida evoluzione del settore

energetico, evoluzione che vede Enel tra i protagonisti assoluti. Il concetto di

apertura, sintetizzato con l’espressione inglese Open Power regala l’immagine di un

Gruppo innovativo e sostenibile che lavora per diffondere ed espandere il contenuto

tecnologico delle sue attività, per garantire la sicurezza energetica e migliorare i

propri servizi a livello globale. Open Power vuol dire anche valorizzare le

infrastrutture condividendo le conoscenze per ampliarne gli usi, così come

collaborare con i clienti, i partner e gli altri stakeholder, creando così un ambiente

112

favorevole per tutti, che assicuri e tuteli gli investimenti. Open Power richiede molto

più che essere semplici generatori e distributori di energia elettrica, il nuovo brand

incarna pienamente la natura innovativa, sostenibile, multidimensionale e aperta del

Gruppo Enel.

La strategia Open Power, già precedentemente annunciata nel novembre del 2015 a

Londra in occasione del Capital Markets Day di Enel, si fonda sull’apertura come

chiave di volta dell’approccio strategico e operativo del Gruppo. Gli obiettivi

principali di questa strategia sono: aprire l’accesso all’energia a più persone; aprire

il mondo dell’energia a nuove tecnologie; aprire la gestione dell’energia alle persone;

aprire l’energia a nuovi utilizzi; aprirsi a più partnership.

La nuova strategia di brand trasmette l’immagine di Enel come una moderna utility

aperta, flessibile, reattiva e in grado di guidare la transizione energetica. Il Gruppo

introduce un nuovo sistema visivo (loghi inclusi) attraente e colorato che riprende i

principi flessibili e dinamici di Open Power. La nuova identità visiva e il nuovo logo

sono composti da molti colori per riflettere la varietà dello spettro energetico, la

natura poliedrica di un Gruppo presente in oltre 30 Paesi e la crescente

diversificazione dei servizi offerti dall’azienda nell’ambito del sistema energetico

globale. Nell’ambito del rinnovo del brand è stato svelato anche il nuovo sito internet

enel.com, un sito che pone al centro l’utente e l’utilizzo tramite applicazioni mobili.

Inoltre, come azienda leader nel settore energetico, Enel svolge un ruolo

fondamentale nella lotta ai cambiamenti climatici e impatta sulla vita delle

persone. Entro il 2030, l'energia verde soddisferà circa il 30% del fabbisogno

energetico del pianeta. Come visto, Enel è impegnata nelle fonti di energia

113

rinnovabili (idroelettrico, eolico, solare, geotermia, biomassa e impianti di

cogenerazione) e insieme ai suoi partner sviluppa tecnologie rispettose

dell'ambiente. L’obiettivo a lungo termine è quello di diventare entro il 2050

una società interamente carbon-neutral: Enel sta lavorando a stretto contatto con

il Global Compact delle Nazioni Unite, la Clinton Global Initiatives e altri

partner per raggiungere insieme questo risultato.

Altro obiettivo consiste nella creazione di modalità più intelligenti, e basate su

dati, per analizzare i consumi in tempo reale, distribuire l'energia in modo più

efficiente e abilitare servizi totalmente nuovi per le persone (come costruire una

sorta di “internet dell'energia”). Le smart grid di Enel, ad esempio, forniscono

elettricità soltanto dove necessario, riducendo costi e sprechi e aiutando nello

stesso tempo a proteggere l'ambiente.

In linea con il posizionamento strategico Open Power, Enel ha posto la

sostenibilità ambientale, sociale ed economica al centro della propria cultura

aziendale e sta implementando un sistema di sviluppo sostenibile basato sulla

condivisione della creazione di valore, sia all’interno che all’esterno

dell’azienda. La sostenibilità, da raggiungere attraverso processi di innovazione,

è al centro del posizionamento strategico Open Power scelto da Enel. Una

strategia che ha portato Enel a far parte del Global Compact delle Nazioni

Unite con l’impegno a contribuire in maniera concreta a quattro dei 17 Obiettivi

di Sviluppo Sostenibile: l’accesso all’energia, l’incremento dell’educazione

scolastica, il contributo allo sviluppo socio-economico delle comunità in cui il

Gruppo opera e la lotta al cambiamento climatico.

114

Come ulteriore passo in avanti nella strategia di crescita del Gruppo, Enel ha istituito

una nuova linea di business globale denominata “E-Solutions”80. La nuova unità è

stata lanciata per capitalizzare la trasformazione dell'industria energetica e mira a

comprendere e soddisfare le esigenze dei clienti globali di Enel, esplorando le

opportunità nelle aree delle nuove tecnologie, per sviluppare prodotti innovativi

centrati sui bisogni dei consumatori e soluzioni digitali e non commodity. La nuova

Business Line di Enel si concentrerà sulle aree di mobilità elettrica, progetti legati al

vehicle to grid81, infrastrutture di ricarica, gestione dell'efficienza energetica, batterie

e piattaforme di ottimizzazione dell'energia, illuminazione pubblica e sistemi di

generazione distribuita82. La nuova divisione sarà strutturata inizialmente in quattro

aree primarie: “Soluzioni E-Home & Consumer”, con focus sulle soluzioni

intelligenti per la casa; “E-City”, che svilupperà soluzioni legate alla fibra ottica,

illuminazione, segnalazione e sicurezza; “E-Industries”, che svilupperà sistemi "off

grid", "limited grid" e sistemi di generazione distribuita; “E-Mobility”, che

comprenderà anche le infrastrutture di ricarica e il riutilizzo delle batterie. Tutte

queste aree rappresentano significative opportunità di business, sfruttando

80 Con un comunicato stampa del 17 maggio 2017. 81 Con la tecnologia “vehicle to grid” (V2G) le auto elettriche sono in grado di diventare delle vere e proprie

produttrici di energia. Questo è possibile grazie ad una gestione bidirezionale della carica. Le batterie delle

auto infatti, quando i veicoli sono fermi, immettono energia in rete, contribuendo a stabilizzarla e offrendo

così servizi di bilanciamento di rete al fornitore del servizio. Se in Italia l'attuale normativa non permette

l'utilizzo di caricatori V2G in modalità bidirezionale, quindi con possibilità di generare energia dalle vetture,

all'estero la situazione è notevolmente differente. In Gran Bretagna Enel e Nissan hanno avviato il primo

hub V2G al mondo interamente commerciale, presso la sede della utility danese Frederiksberg Forsyning,

che ha anche acquistato 10 Nissan e-NV200 van a zero emissioni e dove sono stati installati 10 caricatori

V2G. Recentemente, inoltre, sono stati installati ulteriori 17 caricatori in Danimarca. Grazie alla tecnologia

V2G. Stesse attività anche in Gran Bretagna, dove sono state già installate presso il Nissan Technical Centre

Europe di Cranfield i primi 9 caricatori V2G e 1 unità presso l'Università di Newcastle.

82 La Business Line E-Solutions sarà guidata da Francesco Venturini, che negli ultimi tre anni ha gestito con successo Enel Green Power.

115

l'evoluzione dirompente della tecnologia per creare valore in un'epoca di

cambiamenti profondi e trasformazioni nei vari settori industriali. E-Solutions

opererà globalmente in tutti i mercati in cui Enel ha già una presenza operativa, oltre

a cercare nuove opportunità per portare il Gruppo in nuove aree geografiche.

Figura 3.10 – Il Gruppo Enel nei quattro continenti (fonte: enel.com)

L’organizzazione del Gruppo

L’organigramma societario è sviluppato secondo il modello organizzativo a matrice.

Spiccano le figure maggiormente rilevanti all’interno del board, il Presidente (P.

Grieco) e l’AD del Gruppo (F. Starace).

Addentraci nella struttura operativa poi vengono riportate le principali funzioni

aziendali (holding functions e global service functions) e le divisioni sia a livello

territoriale (countries and regions) che a livello globale (global business functions).

116

Importante sottolineare come la funzione Audit (diretta da S. Fiori) riporti, mediante

l’intermediazione del Presidente, al Consiglio di Amministrazione e mantenga una

linea di reporting diretta con l’AD, il quale in Enel è anche amministratore incaricato

SCIGR.

Figura 3.11 – L’organigramma di Enel S.p.A. (fonte: Enel)

L’ampia introduzione sulla storia e sull’organizzazione attuale di Enel S.p.A. serve

per fornire un indispensabile inquadramento generale sulla complessità del Gruppo e

quindi sulla numerosità e sulla varietà dei rischi che il Gruppo stesso deve affrontare,

con le conseguenti difficoltà nell’ambito della progettazione e della gestione di un

adeguato Sistema di Controllo Interno e Gestione dei Rischi. Tutte queste

117

argomentazioni riconducono ad uno dei temi fondamentali di questo elaborato,

ovvero la gestione efficace ed efficiente di un SCIGR in una realtà complessa come

quella del Gruppo Enel, con lo scopo di massimizzare l’assurance sull’adeguatezza

e sull’effettiva operatività dello SCIGR minimizzando gli overlapping tra le diverse

componenti del controllo interno attraverso l’ottimale utilizzo delle risorse aziendali.

3.3) Governance e Sistema di Controllo Interno in Enel

Come visto in precedenza, Enel S.p.A. è a capo di un gruppo multinazionale tra i

principali operatori integrati globali dell’elettricità e del gas, con un particolare focus

in Europa e America Latina. Il Gruppo opera in più di 30 Paesi (su 4 continenti),

producendo energia attraverso una capacità installata netta di circa 83 GW e

distribuendo elettricità su una rete di circa 1,9 milioni di chilometri. Il Gruppo, con

circa 62 milioni di clienti nel mondo, ha la più ampia base di clienti tra gli operatori

europei del settore.

La società è quotata sul Mercato Telematico Azionario organizzato e gestito da Borsa

Italiana S.p.A. dal 1999 e registra il più elevato numero di azionisti tra le società

italiane (oltre 950.000 tra investitori retail e istituzionali). Nella compagine sociale

di Enel figurano i principali fondi d’investimento internazionali, compagnie di

assicurazione, fondi pensione e fondi etici, anche grazie all’adozione da parte della

Società e del Gruppo delle migliori pratiche internazionali in materia di trasparenza

e di corporate governance. Inoltre, all’interno del Gruppo Enel vi sono altre 13 società

118

emittenti azioni quotate sulle Borse valori argentina, brasiliana, cilena, peruviana,

russa, spagnola e statunitense83.

Il sistema di corporate governance di Enel è conforme ai principi contenuti nel

Codice di Autodisciplina delle società quotate, nella edizione da ultimo modificata

nel mese di luglio 2015, cui la Società aderisce. L’indicato sistema di corporate

governance è inoltre ispirato alle raccomandazioni formulate dalla CONSOB in

materia e, più in generale, alle best practice internazionali. Il sistema di governo

societario adottato da parte di Enel e del Gruppo risulta essenzialmente orientato

all’obiettivo della creazione di valore per gli azionisti in un orizzonte di medio-lungo

periodo, nella consapevolezza della rilevanza sociale delle attività in cui il Gruppo è

impegnato e della conseguente necessità di considerare adeguatamente, nel relativo

svolgimento, tutti gli interessi coinvolti. In conformità a quanto previsto dalla

legislazione italiana in materia di società con azioni quotate, l’organizzazione della

Società si caratterizza per la presenza: di un consiglio di amministrazione, incaricato

di provvedere in ordine alla gestione aziendale; di un collegio sindacale, chiamato a

vigilare circa l’osservanza della legge e dello statuto, nonché sul rispetto dei principi

di corretta amministrazione nello svolgimento delle attività sociali, sul processo di

informativa finanziaria, nonché sull’adeguatezza della struttura organizzativa, del

sistema di controllo interno e del sistema amministrativo-contabile della Società,

sulla revisione legale dei conti annuali e dei conti consolidati, nonché circa

l’indipendenza della società di revisione legale dei conti ed, infine, sulle modalità di

concreta attuazione delle regole di governo societario previste dal Codice di

83 Dati aggiornati al 16 marzo 2017, data di approvazione della “Relazione sul Governo Societario e gli Assetti Proprietari” da parte del Consiglio di Amministrazione di Enel S.p.A.

119

Autodisciplina; dell’assemblea dei soci, competente a deliberare tra l’altro (in sede

ordinaria o straordinaria) in merito alla nomina e alla revoca dei componenti il

consiglio di amministrazione e il collegio sindacale e circa i relativi compensi ed

eventuali azioni di responsabilità, all’approvazione del bilancio e alla destinazione

degli utili, all’acquisto e all’alienazione di azioni proprie, ai piani di azionariato, alle

modificazioni dello statuto sociale e all’emissione di obbligazioni convertibili.

L’attività di revisione legale dei conti risulta affidata a una società specializzata

iscritta nell’apposito registro, nominata dall’assemblea dei soci su proposta motivata

del collegio sindacale (nello specifico, Enel S.p.a. si affida ad Ernst & Young).

Figura 3.12 – Il governo societario di Enel S.p.A. (fonte: Enel.com)

120

In occasione del workshop annuale sul governo societario organizzato da The

European House – Ambrosetti, svoltosi a Milano nel mese di novembre 2016, sono

stati pubblicati i risultati dell’indice di eccellenza della corporate governance delle

società quotate italiane (“EG Index”) per il 2016. L’EG Index intende misurare, con

cadenza annuale e sulla base di documenti di pubblico dominio, lo stato di salute dei

sistemi di governo societario delle società quotate italiane. In particolare l’indice

analizza cinque aree chiave: struttura e rappresentanza dell’azionariato;

composizione del Consiglio di Amministrazione; funzionamento del Consiglio di

Amministrazione; meccanismi di remunerazione e incentivazione; sistema dei

controlli e di gestione dei rischi. Enel si è classificata al primo posto nell’ambito delle

società industriali del segmento FTSE-MIB (come già avvenuto nel 2015) e, con il

punteggio di 8,62/10, si è collocata nettamente al di sopra di tutte le altre società,

industriali e finanziarie dei vari segmenti del listino.

Il Sistema di Controllo Interno e Gestione dei Rischi

Il sistema di controllo interno e di gestione dei rischi (“SCIGR”) di Enel e del Gruppo

è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative

volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei

principali rischi aziendali nell’ambito del Gruppo.

Il SCIGR è integrato nei più generali assetti organizzativi e di governo societario

adottati dalla Società e dal Gruppo ed è ispirato alle best practice esistenti in ambito

nazionale e internazionale. In particolare, tale sistema tiene conto delle

raccomandazioni del Codice di Autodisciplina ed è definito coerentemente al modello

121

“Internal Controls – Integrated Framework” emesso dal Committee of Sponsoring

Organizations of the Treadway Commission (c.d. COSO Report), che rappresenta il

modello di riferimento, internazionalmente riconosciuto, per l’analisi e la valutazione

integrata dell’efficacia del SCIGR.

Un efficace SCIGR contribuisce a una conduzione dell’impresa coerente con gli

obiettivi aziendali definiti dal consiglio di amministrazione, in quanto consente di

individuare, valutare, gestire e monitorare i principali rischi in relazione alla loro

capacità di influenzare il raggiungimento degli obiettivi medesimi. Il SCIGR, in

particolare, concorre ad assicurare la salvaguardia del patrimonio sociale, l’efficienza

e l’efficacia dei processi aziendali, l’affidabilità delle informazioni fornite agli organi

sociali e al mercato, il rispetto di leggi e regolamenti nonché dello statuto sociale e

delle procedure interne.

Il SCIGR riveste, dunque, un ruolo centrale nell’organizzazione aziendale,

contribuendo all’adozione di decisioni consapevoli e coerenti con la propensione al

rischio, nonché alla diffusione di una corretta conoscenza dei rischi, della legalità e

dei valori aziendali. La cultura del controllo ha, infatti, una posizione di rilievo nella

scala dei valori del Gruppo, coinvolgendo tutta l’organizzazione aziendale nello

sviluppo e nell’applicazione di metodi per identificare, misurare, gestire e monitorare

i rischi.

Il SCIGR, in particolare:

• prevede attività di controllo ad ogni livello operativo e individua con chiarezza

compiti e responsabilità, in modo da evitare eventuali duplicazioni di attività

122

e assicurare il coordinamento tra i principali soggetti coinvolti nel medesimo

SCIGR;

• prevede la segregazione di compiti e responsabilità tra unità organizzative

distinte o all’interno delle stesse, al fine di evitare che attività incompatibili

risultino concentrate sotto responsabilità comuni: in particolare, assicura la

necessaria segregazione delle attività operative e di controllo in modo da

prevenire o, ove ciò non sia possibile, attenuare i conflitti di interesse;

• è integrato, prevedendo la diffusione di un linguaggio comune, l’adozione di

metodi e strumenti di misurazione e valutazione dei rischi tra loro

complementari, nonché flussi informativi tra le diverse funzioni in relazione

ai risultati delle attività di rispettiva competenza;

• intende assicurare sistemi informativi affidabili e idonei ai processi di

reporting ai diversi livelli ai quali sono attribuite funzioni di controllo;

• garantisce la tracciabilità delle attività di individuazione, valutazione, gestione

e monitoraggio dei rischi, assicurando nel tempo la ricostruzione delle fonti e

degli elementi informativi che supportano tali attività;

• è dotato di procedure (c.d. di “whistleblowing”) allineate alle best practice

esistenti in ambito nazionale ed internazionale, che disciplinano la possibilità

per i dipendenti (nonché i terzi in generale) di segnalare eventuali irregolarità

o violazioni della normativa applicabile e/o delle procedure interne. Tali

procedure di whistleblowing sono caratterizzate dalla presenza di appositi

canali informativi che garantiscono l’anonimato del segnalante;

123

• evidenzia situazioni di anomalia che possano costituire indicatori di

inefficienza dei sistemi di misurazione e controllo dei rischi;

• garantisce che le anomalie riscontrate siano tempestivamente portate a

conoscenza di adeguati livelli di responsabilità nell’ambito dell’azienda, in

grado di attivare efficacemente gli opportuni interventi correttivi.

Il SCIGR si articola in tre distinte tipologie di attività: il “controllo di linea” o di

“primo livello”, costituito dall’insieme delle attività di controllo che le singole unità

operative o società del Gruppo svolgono sui propri processi al fine di assicurare il

corretto svolgimento delle operazioni. Tali attività di controllo sono demandate alla

responsabilità primaria del management operativo e sono considerate parte integrante

di ogni processo aziendale; i controlli di “secondo livello”, affidati a specifiche

funzioni aziendali e volti a gestire e monitorare categorie tipiche di rischi, tra cui, a

titolo meramente esemplificativo, i rischi operativi, i rischi di mercato (quali il rischio

commodity e i rischi finanziari), i rischi di credito, i rischi strategici, il rischio legale

e il rischio di (non) conformità; l’attività di internal audit (controlli di “terzo livello”),

avente ad oggetto la verifica della struttura e della funzionalità del SCIGR nel suo

complesso, anche mediante un’azione di monitoraggio dei controlli di linea nonché

delle attività di controllo di secondo livello.

Il SCIGR è soggetto a esame e verifica periodici, tenendo conto dell’evoluzione

dell’operatività aziendale e del contesto di riferimento, nonché delle best practice

esistenti in ambito nazionale e internazionale.

124

Sono coinvolti nel Sistema in esame tutti i livelli dell’organizzazione aziendale,

infatti vi prendono parte: il Consiglio di Amministrazione, il Comitato Controllo e

rischi, il presidente del CdA, l’amministratore incaricato del SCIGR, il Collegio

Sindacale, il responsabile della funzione Audit, il sistema dei controlli di secondo

livello, il Dirigente Preposto, l’Organismo di Vigilanza e, in ultimo, i dipendenti del

Gruppo Enel.

Al fine di consentire ai diversi soggetti coinvolti nel SCIGR di svolgere

adeguatamente il ruolo loro affidato nell’ambito di tale sistema sono definiti appositi

flussi informativi tra i diversi livelli di controllo e i competenti organi di gestione e

controllo, opportunamente coordinati in termini di contenuti e tempistiche. Oltre alle

linee di riporto dirette ai vertici societari, sono istituiti appositi flussi informativi tra

le funzioni aziendali deputate ai controlli di secondo e terzo livello. In particolare, i

responsabili delle funzioni di controllo di secondo livello informano il Responsabile

della Funzione Audit delle criticità rilevate nello svolgimento delle proprie attività

che possono risultare d’interesse per le verifiche di competenza della Funzione Audit.

A sua volta, il Responsabile della Funzione Audit informa i responsabili delle altre

funzioni di controllo circa eventuali inefficienze, punti di debolezza o irregolarità

riscontrate nel corso delle verifiche compiute e riguardanti specifiche aree o materia

di competenza di tali funzioni.

125

Figura 3.13 – I flussi informativi tra la funzione Audit e gli Organi di Governo societari (fonte: Enel.com)

3.4) I pilastri del SCI in Enel

Alla base delle proprie attività il Gruppo Enel dispone di un solido sistema etico. Tale

sistema è un insieme di regole dinamico e costantemente orientato a recepire le

migliori pratiche a livello internazionale che tutte le persone che lavorano in Enel o

per Enel devono rispettare e applicare nella loro attività quotidiana.

3.4.1) Il Codice Etico

Questo codice esprime gli impegni e le responsabilità etiche nella conduzione

degli affari e delle attività aziendali assunti dai collaboratori di Enel S.p.A. e

delle Società da essa controllate, siano essi amministratori o dipendenti in ogni

126

accezione di tali imprese. Enel aspira a mantenere e sviluppare il rapporto di

fiducia con i suoi stakeholder, cioè con quelle categorie di individui, gruppi o

istituzioni il cui apporto è richiesto per realizzare la missione di Enel o che

hanno comunque un interesse in gioco nel suo perseguimento. Sono stakeholder

coloro che compiono investimenti connessi alle attività di Enel, in primo luogo

gli azionisti e, quindi, i collaboratori, i clienti, i fornitori e i partner d'affari. In

senso allargato sono inoltre stakeholder tutti quei singoli o gruppi, nonché le

organizzazioni e istituzioni che li rappresentano, i cui interessi sono influenzati

dagli effetti diretti e indiretti delle attività di Enel (rientrano in quest'ambito le

comunità locali e nazionali in cui Enel opera, le associazioni ambientaliste, le

generazioni future, ecc.).

Nella condotta degli affari i comportamenti non etici compromettono il rapporto

di fiducia tra Enel e i suoi stakeholder. Non sono etici, e favoriscono

l'assunzione di atteggiamenti ostili nei confronti dell'impresa, i comportamenti

di chiunque, singolo o organizzazione, cerchi di appropriarsi dei benefici della

collaborazione altrui, sfruttando posizioni di forza.

La buona reputazione è una risorsa immateriale essenziale. La buona

reputazione all'esterno favorisce gli investimenti degli azionisti, la fedeltà dei

clienti, l'attrazione delle migliori risorse umane, la serenità dei fornitori,

l'affidabilità verso i creditori. All'interno, essa contribuisce a prendere e attuare

le decisioni senza frizioni e di organizzare il lavoro senza controlli burocratici

ed esercizi eccessivi dell'autorità. Dato che il codice etico chiarisce i particolari

doveri di Enel nei confronti degli stakeholder (doveri fiduciari), si propone la

127

sua effettiva osservanza come termine di paragone in base al quale giudicare la

reputazione di Enel. Il codice etico è pertanto costituito: dai principi generali

sulle relazioni con gli stakeholder, che definiscono in modo astratto i valori di

riferimento nelle attività di Enel; dai criteri di condotta verso ciascuna classe di

stakeholder, che forniscono nello specifico le linee guida e le norme alle quali i

collaboratori di Enel sono tenuti ad attenersi per il rispetto dei principi generali

e per prevenire il rischio di comportamenti non etici; dai meccanismi di

attuazione, che descrivono il sistema di controllo per l'osservanza del codice

etico e per il suo continuo miglioramento.

Il codice etico di Enel è improntato ad un ideale di cooperazione in vista di un

reciproco vantaggio delle parti coinvolte, nel rispetto del ruolo di ciascuno. Enel

richiede perciò che ciascun stakeholder agisca nei suoi confronti secondo

principi e regole ispirate ad un'analoga idea di condotta etica.

Il codice etico si applica a Enel S.p.A. e alle Società da essa controllate, ed è

conseguentemente vincolante per i comportamenti di tutti i suoi collaboratori.

Inoltre, Enel richiede a tutte le imprese collegate o partecipate e ai principali

fornitori una condotta in linea con i principi generali del presente codice. Il

codice etico ha validità sia in Italia che all'estero, pur in considerazione della

diversità culturale, sociale e economica dei vari Paesi in cui Enel opera.

Entrando nello specifico, nella parte del codice relativa alle tematiche di

Corporate Governance, si legge che: “in materia di sistema di controllo interno e

di gestione dei rischi Enel adotta un apposito sistema volto a consentire

l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi

128

aziendali. Un efficace sistema contribuisce a una conduzione dell’impresa coerente

con gli obiettivi aziendali definiti dal Consiglio di Amministrazione, favorendo

l’assunzione di decisioni consapevoli; esso concorre ad assicurare la salvaguardia

del patrimonio sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità

dell’informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto

sociale e delle procedure interne”. Inoltre, nella sezione dedicata al controllo esterno,

è riportato che: “l’affidamento da parte di Enel dell’incarico di revisione del Bilancio

di esercizio e del Bilancio Consolidato avviene in piena trasparenza e nel rigoroso

rispetto della normativa vigente. L’affidamento da parte di Enel al revisore ovvero a

entità appartenenti al relativo network di incarichi aggiuntivi rispetto alla revisione

contabile è da considerarsi un fatto eccezionale ed è consentito solo in condizioni di

comprovata necessità (sotto il profilo legale, economico o della qualità del servizio),

limitatamente alle tipologie di servizi la cui fornitura da parte del revisore ovvero di

soggetti a esso collegati non sia vietata dalla normativa di riferimento. Per garantire

l’indipendenza del revisore e la trasparenza e correttezza del procedimento, le

modalità di affidamento degli incarichi aggiuntivi al revisore stesso e al relativo

network sono regolate da apposite procedure”84.

Nell’ambito di applicazione del Codice etico, al responsabile della Funzione Audit di

Enel S.p.A. sono attribuiti i seguenti compiti: verificare l’applicazione e il rispetto

del Codice Etico attraverso specifiche attività volte ad accertare e promuovere il

miglioramento continuo dell’etica nell’ambito Enel attraverso un’analisi e una

valutazione dei processi di controllo dei rischi etici; monitorare le iniziative per la

84 Enel S.p.A., Codice etico, capitolo 3, sezione I: “Criteri di condotta nelle relazioni con gli azionisti”, 2002.

129

diffusione della conoscenza e della comprensione del Codice Etico; in particolare,

garantire lo sviluppo delle attività di comunicazione e formazione etica, analizzare le

proposte di revisione delle politiche e delle procedure aziendali con significativi

impatti sull’etica aziendale e predisporre le ipotesi di soluzione da sottoporre alla

valutazione del Comitato Controllo e Rischi; ricevere e analizzare le segnalazioni di

violazione del Codice Etico; proporre al Comitato Controllo e Rischi le modifiche e

le integrazioni da apportare al Codice Etico.

Tali attività sono effettuate con il supporto delle Funzioni Audit delle società

controllate e delle Funzioni aziendali interessate e, inoltre, disponendo del libero

accesso a tutta la documentazione ritenuta utile.

3.4.2) Il Piano Tolleranza zero alla Corruzione

Il piano industriale di Enel è integrato da specifici obiettivi di responsabilità

d'impresa pubblicati sul Bilancio di sostenibilità. Aderisce al Global

Compact delle Nazioni Unite e assieme a circa 60 società internazionali, attive

nei settori dell'energia della costruzione e dell'industria mineraria, Enel ha

firmato l'adesione alla "Partnership contro la corruzione"; un'iniziativa

promossa dal World Economic Forum a Davos nel gennaio 2005 che ha voluto

introdurre “regole del gioco” uguali per tutti. In conseguenza di ciò, il Gruppo

Enel si è dotato di un piano di lotta alla corruzione: il Piano Tolleranza Zero

alla Corruzione (“TZC”) che, oltre a ribadire la necessità di rispettare i principi

di onestà, trasparenza e correttezza nello svolgimento delle attività lavorative,

formula anche precise misure anti-corruzione da adottare nei rapporti di lavoro

130

con i diversi interlocutori: partner e società controllate, fornitori e consulenti,

tra colleghi. Per la stesura del Piano TZC il gruppo di studio si è avvalso delle

competenze di Transparency International, facendo propri e includendo nel

Piano i criteri di trasparenza messi a punto da Transparency in tema di tangenti

e facilitazioni, contributi e sponsorizzazioni, omaggi e processi di acquisto.

L'impegno di lotta alla corruzione è assunto da tutte le risorse Enel. Più in particolare,

ciascuna struttura organizzativa è responsabile, per le parti di sua competenza, della

predisposizione di adeguati sistemi di controllo utili all'attuazione del piano TZC.

L'attività di monitoraggio dei controlli realizzati dalle diverse unità operative per

l'implementazione del piano è affidata alla funzione Audit, che svolge la propria

attività presso tutte le società Enel e ha l'obiettivo di fornire i suggerimenti eventuali

volti a migliorare il sistema di controllo interno.

Il Comitato Controlli e Rischi valuta l'adeguatezza del piano di audit periodico, anche

verificando la previsione di interventi atti a garantire la vigilanza sul piano TZC. Le

iniziative realizzate per l'implementazione del piano TZC sono riportate nel “Bilancio

di sostenibilità”, rendiconto chiaro, veritiero e corretto dei risultati ottenuti da Enel

in tutte le aree di rapporto con gli stakeholder. Il Bilancio di sostenibilità è sottoposto

a verifica esterna da parte di una Società indipendente accreditata.

3.4.3) L’Enel Global Compliance Program

L’Enel Global Compliance Program, rivolto alle società estere del Gruppo,

integra, ove esistenti, i compliance programs eventualmente adottati dalle

medesime società in conformità alla normativa locale.

131

Ispirato al principale quadro normativo internazionale in materia, si qualifica

come generale strumento di governance volto a rafforzare l’impegno etico e

professionale del Gruppo a prevenire la commissione all’estero di illeciti da cui

possa derivare responsabilità penale d’impresa e i connessi rischi reputazionali.

La tipologia di fattispecie trattate nell’Enel Global Compliance Program, cui si

associa la previsione di standard comportamentali e di aree da monitorare in

funzione preventiva, si basa su condotte illecite generalmente considerate tali

nella maggior parte dei Paesi (quali ad esempio i reati di corruzione, delitti

contro la pubblica amministrazione, falso in bilancio, riciclaggio, reati

commessi in violazione delle norme sulla sicurezza sul lavoro, reati ambientali,

ecc.).

3.5) Organizzazione dell’Audit di Enel

La funzione Audit del Gruppo Enel ha il compito di valutare in modo sistematico

e indipendente l’efficacia e l’adeguatezza del Sistema di Controllo Interno del

Gruppo e inoltre fornisce un supporto nel monitoraggio dei rischi e

nell’individuazione di azioni volte alla mitigazione degli stessi.

L’organizzazione a matrice della funzione Audit del gruppo nasce con

l’obiettivo di favorire un sistema informativo integrato volto a facilitare i flussi

informativi relativi ad avanzamento e performance dei progetti aziendali85 (vedi

Figura seguente).

85 Silvia Fiori, direttore Funzione Audit di Enel, in un’intervista presente sul sito web enel.it: “Come in tutte

le organizzazioni a matrice, c’è un’aspettativa esplicita e questa aspettativa è che le persone, a questo

punto, possano essere di reciproco aiuto, possano essere collaborative piuttosto che competitive. È ovvio

132

Figura 3.14 – Organizzazione della Funzione Audit del Gruppo Enel

Le singole componenti della struttura coprono ruoli e sono investite di

responsabilità differenti.

Audit Holding, Italy and Global Procurement

Questa unità ha il compito di: definire la metodologia di valutazione dei rischi,

consolidare i risultati della valutazione dei rischi, sviluppare e mantenere un insieme

di KPI (Key Performance Indicator) per monitorare le prestazioni della funzione

Audit; supportare il capo della funzione Audit (“Head of Audit”) nella valutazione

che, in questo contesto, l’effettiva implementazione della matrice può avere successo basandosi su

un’ampia condivisione delle informazioni, che siano buone o cattive notizie, e soprattutto sull’obiettivo

comune di trovare delle soluzioni obiettive ad ogni tipo di problema che potesse sorgere in fase di

implementazione nell’interesse del gruppo, prima di tutto. In questo contesto, l’Audit, il nostro ruolo è quello

di dare un esempio di perfetta organizzazione a matrice: noi vogliamo aiutare nella veloce diffusione delle

informazioni tra tutte le parti, aiutare a comprendere quali sono gli obiettivi comuni, quindi gli obiettivi del

gruppo, e aiutare, soprattutto, ad arricchire la motivazione e a raggiungere questi obiettivi tutti insieme”.

133

del funzionamento complessivo del sistema di controllo interno del Gruppo Enel;

valutare in modo sistematico e indipendente l'efficacia e l'adeguatezza del sistema di

controllo interno sul perimetro della capogruppo; preparare un piano di Audit basato

sui rischi a livello di Gruppo e proporre attività di audit speciali, anche monitorando

l'implementazione dei piani d'azione condivisi con il management; garantire la

conformità alla politica di whistleblowing di Enel all'interno del Gruppo e la vigilanza

sui programmi di conformità Enel o documenti equivalenti adottati da Enel S.p.A.;

informare periodicamente il top management sui risultati dell'audit e sui temi

rilevanti.

Audit Global ICT

A questa unità spetta il compito di: definire la valutazione dei rischi IT a livello di

Gruppo; eseguire il pertinente piano di IT audit; svolgere il piano di monitoraggio

indipendente delle attività relative al Sistema ICFR (Internal Control over Financial

Reporting) a livello di Gruppo limitatamente ai controlli di natura IT; informare

periodicamente il Capo della funzione Global ICT sui risultati del piano di audit e su

altri temi rilevanti.

Audit Iberia, Audit Latin America, Audit Europe and North Africa

Queste unità, nell’ambito della rispettiva area di competenza si occupano, sia per

quanto riguarda i processi globali, sia per quanto riguarda i processi locali, di eseguire

una valutazione dei rischi a livello regionale/nazionale, di proporre un piano di audit

basato su rischi e verifiche speciali e di svolgere attività di audit anche monitorando

134

l'attuazione dei piani d'azione, coordinata dalla pertinente unità di audit globale.

Inoltre, hanno il compito di informare periodicamente il top management competente

sui risultati dell'audit e sulle questioni rilevanti e sostenere gli organi di controllo

esterni nella loro funzione e di garantire la vigilanza sui programmi di conformità

Enel o documenti equivalenti adottati nel Paese.

Audit Global Renewable Energies, Audit Global Thermal Generation, Audit Global

Infrastructure and Networks, Audit Global Trading, Audit Global E-Solutions

Nell'ambito della rispettiva area di competenza e in relazione ai processi globali,

queste unità devono: convalidare i risultati del risk assessment e i piani annuali di

Audit risk based elaborati dalle unità di Audit della regione/paese e consolidarli a

livello di Business Line globale; coordinare i team di lavoro incaricati a svolgere le

attività di audit a livello regionale/nazionale, monitorarne l'esecuzione e approvare le

relazioni finali di audit per individuare le questioni rilevanti a livello globale;

informare periodicamente il capo della linea di business sui risultati dell'audit e su

altri temi rilevanti.

Entrando nello specifico della prima unità analizzata, la “Audit Holding, Italy and

Global Procurement”, essa è a sua volta organizzata come segue (vedi figura

3.15).

135

Figura 3.15 - Audit Holding, Italy and Global Procurement (struttura organizzativa)

Ogni unità ha specifici compiti e responsabilità.

Audit Holding and PMO

Questa unità ha tra i suoi compiti quelli di: definire la metodologia di valutazione dei

rischi, consolidare i risultati del risk assessment, i piani annuali di Audit e il loro

follow-up periodico a livello di Gruppo; sviluppare e mantenere un insieme di KPI

per monitorare le prestazioni della funzione di Audit; definire e aggiornare la

metodologia e i processi di Audit del Gruppo in linea con gli standard professionali

e garantire periodicamente programmi di revisione e miglioramento della qualità;

garantire la conformità alla politica di Enel nell’ambito del Gruppo, monitorando la

gestione del processo in tutti i paesi in cui Enel opera e supervisionare

l'implementazione di adeguati canali di comunicazione.

Per quanto riguarda le funzioni di Holding e per le società finanziarie di Enel S.p.A.,

invece, deve: effettuare il risk assessment, preparare un piano di audit risk based e

136

proporre attività di audit speciali, svolgere attività di audit, monitorando anche

l'implementazione dei piani d'azione concordati con il management; informare il top

management competente sui risultati delle attività di audit e sulle questioni rilevanti;

garantire la vigilanza sui programmi di conformità di Enel o documenti equivalenti

adottati da Enel S.p.A.; più specificamente, riferendosi al Programma di conformità

231, deve supportare l’Organismo di Vigilanza 231, svolgendo e aggiornando

periodicamente la valutazione dei rischi legati ai reati 231 e garantendo l'esecuzione

del piano annuale di monitoraggio 231.

Audit ICT Italy

Per effettuare una valutazione dei rischi a livello nazionale, tale unità deve proporre

un piano di audit risk based e controlli speciali, svolgere attività di audit anche

monitorando l'attuazione dei piani d'azione, coordinati dalla pertinente unità di audit

globale ICT; inoltre, deve informare periodicamente il management competente sui

risultati dell’audit e su relative questioni rilevanti.

Le altre unità

Spetta a queste unità, nell’ambito della propria competenza, il ruolo di: (per quanto

riguarda i processi locali) effettuare valutazioni dei rischi a livello nazionale,

preparare il piano di audit basato sui rischi e proporre audit speciali, svolgere attività

di audit, monitorando anche l'implementazione dei piani d'azione; (per quanto

riguarda i processi globali) di effettuare la valutazione dei rischi a livello nazionale,

di proporre il piano di audit basato sui rischi e le verifiche speciali, di svolgere attività

137

di audit, monitorando anche l'implementazione dei piani d'azione, con il

coordinamento della pertinente unità di audit globale; informare periodicamente il

top management competente sui risultati dell'audit e sulle questioni rilevanti e

sostenere gli organi di controllo esterni nella loro funzione; garantire la vigilanza sui

programmi di conformità Enel o documenti equivalenti, adottati nel Paese.

Inoltre, in relazione al Global Procurement, deve: convalidare i risultati della

valutazione dei rischi e i piani annuali di Audit basati sul rischio preparati dalle unità

di audit nazionali e consolidarli a livello globale; coordinare i gruppi di lavoro

incaricati di svolgere le attività di audit per paesi diversi dall'Italia per monitorare la

loro esecuzione e le relazioni di controllo finali per individuare le questioni rilevanti

a livello globale; informare periodicamente il capo Global Procurement sui risultati

dell'audit e su altri temi rilevanti.

138

CAPITOLO 4 - Il caso aziendale: Internal audit, Sistema ICFR e controllo

integrato sull’informativa finanziaria in Enel S.p.A.

4.1) Il Sistema ICFR (Internal Control over Financial Reporting)

In questo capitolo verrà effettuata un’analisi su come Enel abbia deciso di strutturare

il proprio sistema di controllo interno integrato relativamente all’informativa

finanziaria e alla copertura dei rischi di external financial reporting con un focus su

come i diversi attori del controllo si coordinino con l’obiettivo di garantire una

adeguata assurance sul sistema ICFR (Internal Control over Financial Reporting).

Tale sistema presiede la redazione del bilancio di esercizio della Società, del bilancio

consolidato di Gruppo e della relazione finanziaria semestrale consolidata di Gruppo

ed ha l’obiettivo di assicurare l’attendibilità dell’informativa finanziaria e l’idoneità

del processo di redazione dei documenti contabili in questione a produrre

l’informativa in coerenza con i principi contabili internazionali riconosciuti nella

Comunità Europea.

I rischi di external financial reporting

Il Sistema ICFR è definito come l’insieme delle attività volte a identificare e a

valutare le azioni o gli eventi il cui verificarsi o la cui assenza possa compromettere,

parzialmente o totalmente, il raggiungimento degli obiettivi di attendibilità,

accuratezza, affidabilità e tempestività dell’informativa finanziaria.

L’attendibilità della informativa si riferisce a parametri di correttezza e conformità ai

principi contabili ed alla presenza dei requisiti richiesti dalle leggi e dai regolamenti

139

applicati. L’accuratezza risiede nelle caratteristiche di neutralità e precisione:

l’informazione è considerata neutrale se è priva di distorsioni preconcette tese a

influenzare il processo decisionale dei suoi utilizzatori al fine di ottenere un

predeterminato risultato. L’affidabilità è presente se l’informativa ha le

caratteristiche di chiarezza e di completezza tali da indurre decisioni di investimento

consapevoli da parte degli investitori: l’informativa è considerata chiara se facilita la

comprensione di aspetti complessi della realtà aziendale, senza tuttavia divenire

eccessiva e superflua. Infine, la tempestività riguarda la puntualità nell’emissione

dell’informativa.

I suddetti rischi non risiedono esclusivamente nei processi contabili in senso stretto,

i cosiddetti processi di closing-the-books (come ad esempio la predisposizione dei

bilanci societari, l’alimentazione e la predisposizione del bilancio consolidato, ecc.),

ma anche in tutti gli altri processi aziendali: dai processi amministrativi (fatturazione,

pagamenti, ecc.), ai processi operativi (operations & manteinance, engineering &

construction, ecc.), fino ai processi IT, i quali rappresentano un fondamentale veicolo

per le informazione che poi finiranno in bilancio (plan & organise, acquire &

implement, deliver & support, monitor & evaluate86).

Questa analisi, aiuta a comprendere quanto tali rischi siano insiti nella stragrande

maggioranza dei processi dell’organizzazione e, quindi, quanto il Sistema ICFR

debba essere pervasivo nella fitta rete dei processi aziendali, dal più elementare al più

86 I quattro domini fanno riferimento al modello COBIT (Control Objectives for Information and related

Technology).

140

complesso, in quanto ognuno di essi è in grado di generare degli input che in maniera

diretta o indiretta finiranno per impattare sull’informativa di bilancio.

Gli adempimenti normativi del Gruppo Enel

Enel S.p.A., oltre ad adempiere agli obblighi imposti alle società quotate dal TUF e

dalla Consob, deve garantire una compliance rispetto alla legge 262/05 (analizzata

nel corso del primo capitolo) che prevede oltre all’introduzione del Dirigente

preposto, l’obbligo di istituire adeguate procedure amministrative e contabili per la

predisposizione del bilancio (di esercizio e consolidato) e di ogni altra comunicazione

in ambito finanziario.

Inoltre, presso alcune società latinoamericane del Gruppo, aventi American

Depositary Shares (“ADS”) quotate presso il New York Stock Exchange, trovano

applicazione i controlli interni relativi alla corretta tenuta delle scritture contabili

previsti dalla Sezione 404 del Sarbanes-Oxley Act.

Il Sistema ICFR del Gruppo Enel è stato progettato con l’obiettivo di garantire un

processo di controllo interno sull’informativa finanziaria omogeneo che rispetti le

disposizioni normative di tutti i mercati regolamentati nei quali le società del Gruppo

sono quotate.

4.1.1) Gli attori coinvolti nel controllo sull’informativa finanziaria

Data la sua complessa articolazione, il controllo sull’informativa finanziaria

coinvolge ed integra, con funzioni e responsabilità differenti, le più rilevanti figure

141

presenti nel quadro dei controlli aziendali. Anche se già citati in precedenza, è

importante in questa fase ricapitolarne i ruoli e le responsabilità.

Figura 4.1 - Gli attori coinvolti nel controllo sull’informativa finanziaria

Dirigente preposto

Le funzioni di dirigente preposto alla redazione dei documenti contabili societari di

Enel sono svolte dal responsabile della funzione “Amministrazione, Finanza e

Controllo” della Società (CFO)87. Tale concentrazione di incarichi è motivata dalla

vicinanza ai processi amministrativo contabile e dalla disponibilità di strutture e

mezzi da destinare al presidio del sistema ICFR. Il dirigente in questione viene

87 Nella persona di Alberto De Paoli.

142

nominato dal consiglio di amministrazione, sentito il parere del collegio sindacale, ed

è in possesso dei requisiti di professionalità contemplati nello statuto sociale.

Internal audit

L’attività di internal audit (controlli di “terzo livello”) ha ad oggetto la verifica della

struttura e della funzionalità del SCIGR nel suo complesso, anche mediante un’azione

di monitoraggio dei controlli di linea nonché delle attività di controllo di secondo

livello. Tra gli obiettivi di controllo della funzione sono pertanto compresi anche

quelli di external financial reporting.

L’IA nell’esercizio della sua attività di assurance e advisory individua e verifica i

rischi aziendali, contribuisce all’implementazione di un sistema di risk management,

assiste nella formazione interna per diffondere le competenze necessarie per

l’autodiagnosi88 del Sistema di Controllo Interno riguardo a specifici rischi di natura

finanziario-contabile. Inoltre, la funzione di internal auditing può attivarsi anche su

segnalazione del management, quindi anche del DP, per svolgere degli audit specifici

in aree minacciate da situazioni di rischio, in modo da poter fornire assurance su

adeguatezza e funzionamento dei processi segnalati, pur sempre mantenendo

un’ottica sull’organizzazione nel suo complesso e sulla complessiva esposizione al

rischio.

Come visto in precedenza, l’attività di internal audit può essere preziosa anche nella

fase di programmazione del lavoro il revisore esterno, il quale ne analizza il lavoro e

valuta se questo possa essere funzionale al lavoro di revisione considerandone

88 Control Risk Self-Assessment (CRSA): si pone quindi come obiettivo quello di fornire al management uno strumento che consente l'effettuazione di analisi qualitative per la gestione del rischio.

143

l’organizzazione, le competenze tecniche e la diligenza professionale. Il

coordinamento tra le attività delle due funzioni deve essere gestito in maniera efficace

onde evitare situazioni di duplicazione degli sforzi, o al contrario di omissione di

controlli, o infine il venir meno dei requisiti di professionalità ed indipendenza.

Società di revisione

Come visto nel capitolo primo, alla società di revisione89 (considerata la terza linea

di difesa “esterna”) spetta il compito di esprimere, attraverso una opinion sul bilancio

sottoposto a revisione, se i fatti di gestione sono correttamente rilevati nelle scritture

contabili, se il bilancio corrisponde alle risultanze di tali scritture e se risulta conforme

alle norme che disciplinano la redazione dei bilanci.

Comitato Controlli e Rischi

Il Comitato Controlli e Rischi ha il compito di supportare, con un’adeguata attività

istruttoria, di natura propositiva e consultiva, le valutazioni e le decisioni del

Consiglio di Amministrazione relative al sistema di controllo interno e di gestione

dei rischi, nonché quelle relative all’approvazione delle relazioni finanziarie

periodiche. Il CCR di Enel S.p.A. è composto da almeno tre Amministratori non

esecutivi, di cui uno con funzioni di Presidente. La maggioranza dei componenti il

Comitato, tra cui il Presidente, è dotata dei requisiti di indipendenza indicati dal

Codice di Autodisciplina delle società quotate. Almeno un componente del Comitato

89 La revisione legale del bilancio di Enel e del bilancio consolidato di Gruppo risulta affidata a Ernst & Young S.p.A. L’incarico a tale società di revisione è stato conferito dall’assemblea ordinaria del 29 aprile 2011, su proposta del collegio sindacale, con riferimento agli esercizi dal 2011 al 2019 e per un corrispettivo complessivo di circa 3,5 milioni di euro.

144

possiede un’adeguata esperienza in materia contabile e finanziaria o di gestione dei

rischi, da valutarsi dal Consiglio di Amministrazione al momento della nomina.

L’amministratore incaricato SCIGR

L’amministratore incaricato SCIGR (che nel caso di Enel S.p.A., coincide con

l’amministratore delegato), è nominato (e revocato) dal Consiglio di

Amministrazione ed ha il compito di: provvedere all’individuazione dei principali

rischi aziendali; eseguire le linee di indirizzo definite dal CdA, sulla progettazione,

realizzazione e gestione del SCIGR, del quale verifica costantemente adeguatezza ed

efficacia; formulare al CdA, in accordo col presidente, proposte in merito a nomina,

revoca e remunerazione del responsabile della funzione Audit, adoperandosi affinché

quest’ultimo disponga delle risorse necessarie all’espletamento dei propri doveri.

Inoltre, può richiedere al responsabile della funzione Audit verifiche su specifiche

aree operative e riceve dallo stesso relazioni periodiche su eventi di particolare

rilevanza. In caso di problematiche e criticità emerse, deve tempestivamente riferire

in merito all’organo collegiale.

Collegio sindacale

Il Collegio Sindacale è chiamato a: vigilare circa l'osservanza della legge e dello

statuto sociale, nonché sul rispetto dei principi di corretta amministrazione nello

svolgimento delle attività sociali; controllare il processo di informativa

finanziaria, nonché l'adeguatezza della struttura organizzativa, del sistema di

controllo interno e del sistema amministrativo-contabile della Società, nonché

145

l'affidabilità di quest'ultimo nel rappresentare correttamente i fatti di gestione;

vigilare sulla revisione legale dei conti annuali e dei conti consolidati, nonché

circa l'indipendenza della società di revisione legale dei conti; verificare le

modalità di attuazione delle regole di governo societario previste dal Codice di

Autodisciplina delle società quotate, cui la Società aderisce; vigilare

sull'adeguatezza delle disposizioni impartite dalla Società alle proprie

controllate per garantire il corretto adempimento degli obblighi informativi

previsti dalla legge.

4.2) Il processo di Internal Control over Financial Reporting in Enel

Il processo di definizione, implementazione e gestione del Sistema ICFR, che viene

progressivamente esteso alle società di significativa rilevanza che entrano a fare parte

del Gruppo, viene realizzato sotto la responsabilità del dirigente preposto alla

redazione dei documenti contabili societari e si articola nelle seguenti fasi:

• definizione del perimetro delle società e dei processi con impatto sul financial

reporting, oggetto di valutazione periodica, e comunicazione al management

delle metodologie e delle istruzioni per adempiere al suddetto processo di

valutazione (nell’anno 2016, il perimetro delle società ha raggiunto quota 56,

mentre i processi in perimetro sono stati 65190);

90 Fonte: Enel S.p.A.

146

Figura 4.2 – Società e processi in perimetro nell’anno 2016 (fonte: Enel)

• mappatura e aggiornamento dei processi rilevanti a cura dei process owner

con la supervisione del DP (supportato da un’unità in Amministrazione ICFR),

risk assessment e definizione dei controlli, quality assurance e identificazione

e aggiornamento dei Primary Key Controls utilizzando l’approccio Top Down

Risk Based91 (nell’anno 2016 i Key control/Primary Key Control identificati

sono stati 10.90592);

• valutazione del disegno e dell’operatività dei controlli (c.d. monitoraggio “di

linea”), realizzata dal management interessato (process owner) ed effettuata

attraverso self-assessment periodico;

• realizzazione dell’attività di testing indipendente a cura di una società di

consulenza esterna (nell’anno 2016 Deloitte ha testato 1694 PKC sui 4339

testabili, con un coverage ratio del 39%), ad esclusione dei controlli di natura

91 L’approccio “TDRB” consente di razionalizzare le attività di compliance, ponendo particolare enfasi sulle aree a maggiore rischio, con una diversa modulazione della strategia di testing e del supporto documentale in base al livello di rischio da esaminare. 92 Fonte: Enel S.p.A...

147

informatica, gli Information Techonology General Controls, oggetto di

monitoraggio indipendente a cura della funzione Audit Global ICT della

Società (nell’anno 2016 sono stati testati 37 PKC dei 112 testabili, con un

coverage ratio del 33%)93;

• valutazione delle carenze da parte del DP e monitoraggio delle azioni di

rimedio;

• consolidamento dei risultati e valutazione complessiva del Sistema ICFR, al

fine di procedere alla definizione delle lettere di attestazione finali

dell’amministratore delegato e del dirigente preposto alla redazione dei

documenti contabili societari in merito al bilancio di esercizio, al bilancio

consolidato e alla relazione finanziaria semestrale, supportate da un flusso di

reporting di attestazioni interne;

• pubblicazione (annuale) delle procedure amministrative e contabili.

Il perimetro delle società del Gruppo da includere nella valutazione viene determinato

in relazione allo specifico livello di rischio sia in termini quantitativi per il livello di

significatività del potenziale impatto sul bilancio consolidato (società che

contribuiscono per almeno il 5% di uno o più dei seguenti parametri, al netto delle

transazioni inter company: Attivo, Indebitamento Finanziario, Reddito ante imposte,

Ricavi) che in termini qualitativi (tenuto conto dei rischi specifici legati al business o

al processo). Per le Società considerate rilevanti (quantitativamente o

93 Fonte: Enel S.p.A.

148

qualitativamente) si procede ad analizzare i singoli processi aziendali che superano

la soglia definita di materialità94.

Figura 4.3 – Copertura dei parametri significativi (fonte: Enel)

Per la definizione del sistema è stato quindi condotto anzitutto un risk assessment a

livello di Gruppo, per individuare e valutare le azioni o gli eventi il cui verificarsi o

la cui assenza potrebbero compromettere il raggiungimento degli obiettivi del sistema

di controllo (ad esempio, asserzioni di bilancio e altri obiettivi di controllo collegati

all’informativa finanziaria). Il risk assessment è stato condotto anche con riferimento

ai rischi di frode. I rischi sono identificati sia a livello di società o gruppi di società

(“entity level”) sia a livello di processo (“process level”). Nel primo caso, i rischi

individuati sono considerati comunque ad impatto rilevante sull’informativa

finanziaria, a prescindere dalla loro probabilità di accadimento. I rischi a livello di

processo sono invece valutati, a prescindere dai relativi controlli (valutazione a livello

94 Il valore della materialità è definito a partire dal risultato ante imposte consolidato, depurato dalle

componenti straordinarie così da giungere ad un valore “normalizzato”. A tale valore viene applicato una

percentuale (che è solitamente tra il 5% e il 6%); al fine di adottare un approccio prudenziale, si applica

un’ulteriore percentuale di riduzione con la quale si determina la soglia finale di materialità. Il valore così

calcolato della materialità (per ciascuna società capofila ed alle relative subsidiaries) rappresenta il

parametro quantitativo di riferimento per l’individuazione dei processi aziendali rilevanti.

149

inerente), in termini di potenziale impatto e probabilità di accadimento, sulla base di

elementi sia qualitativi che quantitativi.

In seguito alla individuazione e valutazione dei rischi, si è proceduto con

l’individuazione di controlli finalizzati a ridurre a un livello accettabile la possibilità

di accadimento dei rischi sia a livello di entity che di processo.

In particolare, la struttura dei controlli a livello di società o gruppi di società prevede

“Entity/Company Level Controls”, intesi come strumenti di controllo definiti

centralmente e di comune applicazione nell'ambito del Gruppo o di uno specifico

settore, che consentono all’impresa controllante di indirizzare, definire e monitorare

il disegno e l’operatività del Sistema ICFR delle imprese controllate, oppure quali

strumenti di controllo che operano in modo trasversale rispetto ad una singola società

o linea di business.

I controlli a livello di entity sono catalogati in coerenza con le indicate cinque

componenti del COSO Report (ambiente di controllo, risk assessment, attività di

controllo, sistemi informativi e flussi di comunicazione, attività di monitoraggio. Il

COSO Report è integrato per gli aspetti informatici dal modello “Control Objectives

for Information and related Technology” (COBIT).

La struttura dei controlli a livello di processo prevede invece controlli specifici o di

monitoraggio, intesi come l’insieme delle attività, manuali o automatizzate, volte a

prevenire, individuare e correggere errori o irregolarità che si verificano nel corso

dello svolgimento delle attività operative.

Al fine di migliorare l’efficienza del Sistema ICFR e la sua sostenibilità nel tempo, i

controlli sono stati distinti in controlli standard e controlli chiave (key control), intesi

150

questi ultimi come controlli decisivi ai fini della prevenzione da false

rappresentazioni nei documenti contabili. Sono stati individuati anche i controlli

pervasivi, intesi come elementi strutturali del Sistema ICFR volti a definire un

contesto generale che promuova la corretta esecuzione e controllo delle attività

operative. In particolare, sono controlli pervasivi quelli relativi alla segregazione

delle attività e responsabilità incompatibili (Segregation of Duties), che mira ad

assicurare che non vi sia nella stessa persona una concentrazione di compiti e

responsabilità che possa facilitare la realizzazione e/o l’occultamento di frodi/errori.

Laddove le attività siano svolte con il supporto dei sistemi informativi, la corretta

segregazione è verificata anche con riguardo ai profili e alle utenze assegnate.

Nell’ambito delle società identificate come rilevanti si è proceduto alla definizione e

valutazione dei processi a maggior rischio e all’applicazione del cosiddetto “Top-

Down Risk-Based Approach”. L’approccio TDRB è una metodologia di analisi che

consente di modulare la natura e l’ampiezza del processo di definizione e valutazione

del sistema ICFR, focalizzando l’attenzione del management sulla documentazione

dei processi nei quali risiedono i maggiori rischi per l’attendibilità del bilancio e sulla

verifica dei controlli più efficaci a mitigarli. Il TDRB costituisce un’opportunità per

l’azienda in quanto supporta il disegno del sistema ICFR e del relativo processo di

valutazione, assicurandone i requisiti dell’efficacia e dell’efficienza attraverso la

modulazione di tutti gli elementi che contribuiscono a definirne: l’architettura

(documentazione ICFR, tipologie di rischio, tipologie di controllo, etc.); lo scoping

(sia per il self assessment che per il monitoraggio indipendente); la strategia e le

modalità di monitoraggio indipendente.

151

In coerenza con tale approccio, sono stati quindi identificati e valutati i rischi di

maggior impatto e i correlati controlli (primary key control), sia di generale

monitoraggio che specifici, volti a ridurre a un livello accettabile la possibilità di

accadimento dei suddetti rischi.

Al fine di valutare l’adeguatezza dei processi, dei rischi e dei controlli

sull’informativa finanziaria è prevista, con cadenza semestrale, una specifica attività

di monitoraggio a cura dei gestori dei processi (ovvero dei responsabili delle attività,

dei rischi e dei controlli) volta a verificare il disegno e l’operatività dei processi e

controlli di competenza.

Per ciascun processo aziendale oggetto di valutazione è mantenuta adeguata

documentazione (procedure amministrative e contabili) finalizzata a descrivere i ruoli

e le responsabilità, i flussi dei dati e delle informazioni, nonché i controlli chiave.

I risultati delle valutazioni effettuate sono comunicati al dirigente preposto alla

redazione dei documenti contabili societari attraverso specifici flussi informativi

periodici di sintesi (reporting), che classificano le eventuali carenze di operatività e/o

disegno dei controlli (in relazione al loro potenziale impatto sull’informativa

finanziaria) in semplici carenze, debolezze significative o carenze materiali.

Nel caso in cui dalle valutazioni effettuate emergano delle carenze, i flussi informativi

da ultimo indicati riportano anche le eventuali azioni correttive, intraprese o da

intraprendere, volte a consentire il raggiungimento degli obiettivi di attendibilità,

accuratezza, affidabilità e tempestività dell’informativa finanziaria.

Tali flussi vengono altresì utilizzati per la periodica informativa circa l’adeguatezza

del Sistema ICFR fornita dal dirigente preposto alla redazione dei documenti

152

contabili societari nei riguardi del collegio sindacale, del comitato controllo e rischi

e della società di revisione.

Sulla base della reportistica sopra indicata, e tenuto conto delle attestazioni rilasciate

dai responsabili di ciascuna struttura aziendale interessata, il dirigente preposto alla

redazione dei documenti contabili societari rilascia a sua volta, unitamente

all’amministratore delegato, apposita attestazione circa l’adeguatezza e l’effettiva

applicazione delle procedure amministrative e contabili predisposte per la formazione

del bilancio di esercizio, del bilancio consolidato ovvero della relazione finanziaria

semestrale (a seconda del documento contabile di volta in volta interessato).

A seguito dell’attività di monitoraggio, svolta a cura dei gestori dei processi e intesa

a verificare il disegno e l’operatività dei processi/sub-processi affidati alla loro

responsabilità, nonché dei relativi controlli individuati, vengono estratti dal sistema

di supporto i documenti che compongono le procedure amministrative e contabili

(narrative, flow chart ed elenco dei controlli), per poter procedere alla relativa

formalizzazione.

Le procedure amministrative e contabili vengono quindi emesse a cura del dirigente

preposto alla redazione dei documenti contabili societari e sono pubblicate nella

intranet aziendale.

Al fine di assicurare la corretta applicazione della metodologia sopra descritta, sono

periodicamente realizzate specifiche sessioni di formazione rivolte sia alle strutture

locali di controllo interno sull’informativa finanziaria del Gruppo, sia ai gestori dei

processi coinvolti nelle attività di monitoraggio di linea.

153

4.3) L’attività di audit sul Sistema ICFR

A partire dal primo anno di implementazione del sistema ICFR (2005)

l’organizzazione delle attività di controlli interno di III livello ha subito modifiche

funzionali all’efficienza e all’efficacia generale del sistema.

Fino al 2015 Audit ha realizzato le attività di monitoraggio indipendente dei controlli

ICFR (testing), prima attraverso il coordinamento di loan staff esterno (fino al 2009)

e successivamente attraverso un team interno di risorse, mediamente 30.

Il coinvolgimento diretto della funzione Audit nel testing dei controlli ICFR è

risultato funzionale ad incrementare il livello di maturità generale del sistema, anche

attraverso attività di consulting nella predisposizione delle procedure amministrativo

contabili, diffondendo una rinnovata cultura del controllo in ambito finanziario.

Inoltre, la funzione Audit partecipava a progetti interfunzionali volti a omogeneizzare

il modello ICFR in tutto il Gruppo (le società del Sud America e della Spagna si erano

sviluppate autonomamente negli anni precedenti e adottavano metodologie distinte),

in ottica di diffusione delle best practice interne ed esterne.

A partire dal 2016, in una situazione ormai di elevata maturità del Sistema ICFR, il

testing campionario dei controlli ICFR è stato assunto dall’unità “Amministrazione

ICFR”, attraverso la collaborazione di un fornitore esterno (ad eccezione degli IT

General Control, che continuano ad essere testati da Audit Global ICT).

Attualmente la Funzione Audit svolge le attività di controllo di terzo livello sul ICFR

che le sono proprie secondo due modalità distinte, che consentono di mantenere un

adeguato presidio dei rischi riducendo gli overlapping con le altre funzioni di

controllo (in particolare Amministrazione ICFR e revisore esterno): la prima consiste

154

nel monitoraggio del processo di valutazione periodica dell’ICFR, secondo un

modello di collaborazione tra funzioni di controllo di secondo e terzo livello; la

seconda, in una esecuzione diretta di attività di audit secondo una logica integrata,

che attraverso l’analisi di processi o di attività assicuri contemporaneamente, ove

possibile, la copertura di obiettivi operativi, di conformità, IT e di external financial

reporting.

4.3.1) Il monitoraggio del processo di valutazione periodica dell’ICFR

In questa fase di monitoraggio la funzione Audit ha mantenuto uno stretto

coordinamento con l’unità Amministrazione ICFR al fine di monitorare la

metodologia e i risultati del processo di valutazione periodica del sistema ICFR a

copertura dei rischi di errore nella predisposizione della relazione finanziaria

consolidata di Enel. Tale obiettivo è stato perseguito attraverso incontri con

Amministrazione ICFR e con Deloitte (incaricata del testing dei controlli) e flussi

informativi ad hoc. L’insieme dei suddetti flussi informativi in questione è costituito:

• dallo “scope of work” costituito da società e processi rilevanti (flusso annuale)

e relative variazioni (ad hoc);

• dal piano di testing dei controlli chiave (flusso semestrale) e relative variazioni

(ad hoc) con la Funzione Audit che mantiene la facoltà di richiedere

integrazioni o modifiche in relazione ai profili di rischio rilevati nel corso della

propria attività;

• dai fatti rilevanti ai fini della valutazione del sistema ICFR, come deficiency

che emergono dall’attività di testing (ad hoc);

155

• dai risultati sia del testing periodico, sia del self assessment (periodico).

In questa fase il controllo di terzo livello della funzione Audit ha l’obiettivo di

valutare in termini di adeguatezza:

• la metodologia utilizzata per definire le soglie di materialità;

• la metodologia di scoping e quindi lo scope of work a livello di società e di

processi;

• la metodologia adottata per la mappatura dei processi, dei rischi e dei controlli;

• la metodologia delle procedure di testing periodico: selezione dei controlli da

testare e dei rispettivi livelli di coverage; predisposizione delle carte di lavoro

e della fase di formalizzazione; modalità di implementazione dei flussi

informativi tra tester e process owner; procedure di testing e individuazione

delle soglie di tolleranza degli errori adottate; tipologia di risultati dell’attività

di testing (“ok”, “ok con eccezione operativa”, “ok con eccezione sul disegno”,

“ko”).

• i test effettuati, attraverso incontri con il fornitore esterno incaricato del testing

allo scopo di analizzare le procedure di test adottate per un campione di

controlli; in tale fase la funzione Audit può richiedere integrazioni e

supplementi di analisi.

4.3.1) Il monitoraggio degli ITGC

Gli Information Technology General Controls sono costituiti dall’insieme dei

156

controlli finalizzati a ridurre ad un livello accettabile il rischio di non corretto

funzionamento dei sistemi informatici; riguardano in generale l’operatività dei CED,

le procedure di sviluppo e manutenzione dei programmi applicativi e le politiche

generali di accesso alle applicazioni e ai dati. Con riferimento all’area ITGC viene

effettuato un controllo di coerenza, volto a garantire che ogni singolo processo abbia

un adeguato grado di copertura in sede di verifica, considerando come riferimento il

documento “IT Control Objectives for Sarbanes-Oxley” emanato dall’IT Governance

Institute, al fine di valutare e condividere con l’unità ICT Governance eventuali

modifiche/integrazioni al perimetro dei controlli.

L’unità Audit Global ICT valuta l’operatività dei controlli ITGC (Information

Technology General Control) disegnati al fine di ridurre ad un livello accettabile il

rischio di non corretto funzionamento dei sistemi informatici a supporto dei processi

di business rilevanti per il financial reporting.

Nell’anno 2016, a valle dell’attività di self assessment effettuata dai process owner,

sono stati individuati 112 controlli, operativi a livello di Gruppo e per tutte le

applicazioni rilevanti, valutati come rilevanti nel mitigare i rischi di errore nel

financial reporting (controlli operativi Primary Key Control – PKC).

Con l’obiettivo di garantire un’adeguata assurance sui processi IT, Audit Global ICT

ha verificato il 33% dei PKC operativi (37 attività), utilizzando come oggetto della

verifica un campione rappresentativo delle applicazioni maggiormente rilevanti nei

processi ICFR. Il campione di controlli da testare è stato definito sulla base dei

seguenti criteri qualitativi: copertura di tutti gli owner dei controlli (almeno un

controllo per ogni unità responsabile della Global ICT); valutazione dei risultati

157

storici inerenti il testing; modifiche avvenute su elementi organizzativi/operativi (ad

esempio nuovi controlli, modello di servizio in cloud, ecc.); rotazione triennale dei

controlli sottoposti a monitoraggio.

Il monitoraggio è stato effettuato sia attraverso test specifici sui controlli selezionati

sia attraverso sinergie con le azioni di audit del piano 2016. Nel corso delle attività

di testing svolte è stata posta particolare attenzione alla sicurezza informatica, alla

realizzazione delle soluzioni informatiche, alla gestione delle infrastrutture e ai

servizi basati su cloud.

4.3.3) L’esecuzione diretta di attività di audit secondo una logica integrata

In questa fase dell’attività viene promossa l’integrazione degli obiettivi Compliance

e Operational con obiettivi di tipo Financial individuando, tra i processi oggetto di

audit, quelli che presentano aspetti operativi potenzialmente in grado di influenzare

la predisposizione del financial reporting a livello stand alone o di Gruppo. In tali casi

i programmi di lavoro prevedono valutazioni di adeguatezza del disegno del sistema

ICFR e, ove presenti, delle procedure amministrative contabili.

Tale approccio è stato supportato attraverso la progettazione e l’erogazione di

specifiche attività formative dirette a tutta la famiglia professionale audit e volte a

consolidare una base comune di conoscenze ed un approccio metodologico

omogeneo al financial audit.

Nel 2016, circa un terzo delle azioni di audit eseguite hanno incluso verifiche

sull’adeguatezza e/o sull’operatività dei controlli interni che, nei processi,

contribuiscono a ridurre i rischi di errore nell’informativa finanziaria.

158

Figura 4.4 – Sintesi dei risultati dell’audit integrato (fonte: Enel)

Tale approccio ha consentito di identificare azioni di miglioramento correlate sia al

disegno di processi e, ove presenti, delle procedure amministrativo contabili, sia

all’operatività dei controlli disegnati nell’ambito delle procedure stesse.

159

CONCLUSIONI

Il caso Enel, trattato nel corso dell’elaborato, ha reso possibile descrivere la

complessità e l’ampiezza del Sistema di Controllo Interno e Gestione dei Rischi di

un Gruppo che opera in quattro continenti, con oltre 60mila dipendenti e con aziende

quotate in diversi mercati regolamentati ed in linea con le normative vigenti e le best

practice italiane ed internazionali.

L’obiettivo è stato quello di dimostrare come, nonostante l’ambiente economico-

aziendale estremamente turbolento che circonda un’organizzazione aziendale, sia

possibile creare un Sistema di Controllo Interno con un alto grado di efficacia ed

efficienza, sviluppando il concetto di integrazione (sia a livello operativo che a livello

di flussi informativi) tra il Sistema stesso e l’intera organizzazione.

La trattazione del caso è stata improntata su una specifica categoria di controlli: i

controlli relativi all’informativa finanziaria.

Tale scelta, ha chiarito, innanzitutto, che il controllo sul bilancio (di esercizio e

consolidato) non è solo un affare “esterno”, ma che esso coinvolge anche, seppur con

modalità differenti, vari componenti del controllo interno, tra i quali l’internal audit.

Inoltre, ha permesso di dare una dimostrazione pratica di attuazione di un approccio

integrato nei controlli mediante la presentazione e la descrizione delle varie fasi di

attuazione di un sistema di recente implementazione: il Sistema di Internal Control

over Financial Reporting (ICFR).

È stata analizzata la capacità del Sistema ICFR e dei controlli su di esso effettuati di

mitigare i rischi di external financial reporting con un focus specifico sugli attori

160

coinvolti nel Sistema stesso e nelle attività di audit messe in atto per verificarne il

disegno ed i risultati.

I risultati messi in luce dall’analisi effettuata hanno mostrato come per un Sistema di

Controllo sia possibile raggiungere un elevato livello di assurance grazie

all’ottimizzazione delle risorse a propria disposizione e ad un’attenta divisione dei

compiti e delle responsabilità, volta a ridurre i casi di duplicazione degli sforzi

(overlapping).

161

BIBLIOGRAFIA

Dittmeier Carolyn A., Internal Auditing - Chiave per la Corporate Governance,

Marzo 2011, Seconda edizione, Egea.

Troina Gaetano, Le revisioni aziendali, Prima Edizione, 2005, Franco Angeli.

Regoliosi Carlo, Perno Antonio, L’esercizio dell’internal audit, Aprile 2010,

Maggioli Editore.

Associazione Italiana Internal Auditors, Position Paper: Legge sulla Tutela del

Risparmio - artt. 14, 15 e 30 della L. n. 262 del 28 Dicembre 2005, Marzo 2006.

The Institute of Internal Auditors, Position Paper: The three lines of defense model

in effective risk management and control, Gennaio 2013.

The Institute of Internal Auditors, Tone at the Top: Issue 60 - Providing senior

management, boards of directors, and audit committees with concise information on

governance-related topics, Febbraio 2013.

The Institute of Internal Auditors, Standard internazionali per la pratica

professionale dell'internal auditing (Standard), ottobre 2016.

162

Confindustria, Linee guida per lo svolgimento delle attività del dirigente preposto

alla redazione dei documenti contabili societari ai sensi dell’art. 154-bis TUF,

Dicembre 2007.

Borsa Italiana S.p.A. – Comitato per la Corporate Governance, Codice di

Autodisciplina, luglio 2015.

CONSOB (a cura di Gasparri G.), Quaderno giuridico n.4, I controlli interni nelle

società quotate - Gli assetti della disciplina italiana e i problemi aperti, settembre

2013

CONSOB (a cura della Divisione Tutela del Consumatore Ufficio Relazioni con il

Pubblico), Testo Unico della Finanza - Decreto legislativo 24 febbraio 1998, n. 58,

Aggiornato con le modifiche apportate dalla D.Lgs. n. 254 del 30.12.2016, gennaio

2017

Basel Commitee on Banking Supervision, Principles for enhancing Corporate

Governance, ottobre 2014.

Enel S.p.A., Relazione sul governo societario e gli assetti proprietari, esercizio

2016.

Enel S.p.A., Codice Etico, 2002.

163

Enel S.p.A., Bilancio di Sostenibilità 2016 – Seeding Energies, aprile 2017

Enel S.p.A., Piano Tolleranza Zero alla Corruzione, 2006.

Enel S.p.A, Enel Global Compliance Program, 2016

Enel S.p.A., Capital Markets Day – Strategic Plan 2017/2019, novembre 2016.

164

SITOGRAFIA

www.aiiaweb.it

www.theiia.org

www.pcaobus.org

www.consob.it

www.camera.it

www.coso.org

www.borsaitaliana.it

www.eciia.eu

www.bis.org

www.ilsole24ore.com

www.assonime.it

165

www.borsaitaliana.it

www.enel.com

www.enelgreenpower.com

www.corporate.enel.it