Iniziamo con il dire che non esiste una definizione unica di sistema di controllo.
Il modello proposto dal Committee of Sponsoring Organization of the Tradeway Commission (CoSO), probabilmente uno dei più diffusi e noti, definisce il controllo “un processo (svolto dal consiglio di amministrazione, dai dirigenti e da altri soggetti della struttura aziendale) finalizzato a fornire una ragionevole sicurezza (al consiglio di amministrazione e al management stessi, N.d.R.) sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
- efficacia ed efficienza delle attività operative;
- attendibilità delle informazioni di bilancio;
- conformità alle leggi ed ai regolamenti in vigore”.[1]
Tre quindi sono gli ambiti di azione del controllo: le attività operative, la produzione delle informazioni di bilancio (e, più in generale, delle informazioni comunque rivolte al pubblico) e la conformità dell’azione aziendale a norme e regolamenti.
E tre sono gli obiettivi: “efficacia strategica ed efficienza operativa definiti dai vertici aziendali, la trasparenza informativa delineata dalle politiche aziendali, la correttezza gestionale e l’osservanza sostanziale di leggi, norme e regolamenti”. [2]
Per conseguire tali obiettivi il Modello elaborato dal CoSO avverte di non limitarsi all’esecuzione delle attività di controllo (tipicamente attività “a posteriori” o al più “concomitanti” le operazioni aziendali), ma suggerisce e sostiene l’adozione di un sistema che permetta di “manovrare” più leve e di agire “a priori”, ossia prima del verificarsi dell’evento rischioso.
Queste leve, definite “le componenti del sistema di controllo”, sono:
- l’ambiente di controllo;
- la valutazione dei rischi;
- l’attività di controllo;
- l’informazione e la comunicazione;
- il monitoraggio.
Queste cinque componenti, strettamente correlate tra loro, costituiscono il sistema di controlli interno dell’azienda. [3]
Vediamole un po’ più nel dettaglio:
- L’ambiente di controllo determina il livello di “sensibilità” del personale alla necessità di controllo. Quando si parla di ambiente di controllo ci si riferisce all’integrità ed ai valori etici dei dirigenti, alla competenza del personale, alla filosofia ed allo stile di direzione, ai sistemi incentivanti adottati dall’azienda, alle modalità di delega delle responsabilità, di organizzazione e di sviluppo professionale, all’impegno e alla capacità di indirizzo del consiglio di amministrazione (PriceWaterhouseCoopers, op. cit., pagg. 25 e seguenti).
- Il processo di valutazione dei rischi permette di individuare e analizzare i fattori che possono pregiudicare il raggiungimento degli obiettivi che l’azienda si è posta (obiettivi che devono essere compatibili e coerenti, N.d.R.) e consente di determinare come questi rischi dovranno essere gestiti (si veda anche: “La gestione dei rischi”; PriceWaterhouseCoopers, op. cit., pagg. 40 e seguenti; Beretta, op. cit., pagg. 35 e seguenti).
- Le attività di controllo possono essere definite come “l’insieme delle politiche e delle procedure che assicurano al management che le sue direttive siano applicate”[4]. Includono attività diverse quali approvazioni, autorizzazioni, verifiche, esami della performance operativa, protezione dei beni aziendali, separazione dei compiti, tracciabilità delle principali operazioni ecc…
- Informazione e comunicazione. La circolazione di informazioni pertinenti, all’interno dell’organizzazione e da / verso l’esterno (clienti, fornitori, azionisti, authority ecc.), è essenziale per dirigere l’azienda verso gli obiettivi fissati. Le qualità delle informazioni sono solitamente così riassunte: l’informazione deve essere pertinente, tempestiva, aggiornata, esatta ed accessibile (PriceWaterhouseCoopers, op. cit., pagg. 71 e seguenti).
- Il monitoraggio, infine, deve assicurare l’efficacia del sistema di controllo interno nel tempo; è pertanto necessaria la “valutazione critica, da parte di persone appropriate, del modo in cui i controlli sono concepiti, dei tempi di esecuzione e dei modi in cui sono presi i provvedimenti necessari”[5].
È opportuno precisare che «il sistema di controllo interno è una responsabilità dei diversi “process owner”. Gli Internal auditor forniscono assurance sul disegno e sull’efficacia di tali controlli, ma non ne sono responsabili.» [6]
Per ora, limitiamoci infine a segnalare che l’attenzione in azienda si sta spostando dal sistema dei controlli interni al più ampio ambito della gestione dei rischi aziendali, il cui modello “di riferimento” è comunemente identificato nel c.d. “Enterprise Risk Management”, o “ERM” elaborato dal Committee of Sponsoring Organizations of the Treadway Commission, così definito: “Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regardin the achievement of entity objectives.” [7]
Il sistema di controllo interno ha una forte complementarietà con i modelli di corporate governance, dei quali diremo nei prossimi post.
Il modello proposto dal Committee of Sponsoring Organization of the Tradeway Commission (CoSO), probabilmente uno dei più diffusi e noti, definisce il controllo “un processo (svolto dal consiglio di amministrazione, dai dirigenti e da altri soggetti della struttura aziendale) finalizzato a fornire una ragionevole sicurezza (al consiglio di amministrazione e al management stessi, N.d.R.) sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
- efficacia ed efficienza delle attività operative;
- attendibilità delle informazioni di bilancio;
- conformità alle leggi ed ai regolamenti in vigore”.[1]
Tre quindi sono gli ambiti di azione del controllo: le attività operative, la produzione delle informazioni di bilancio (e, più in generale, delle informazioni comunque rivolte al pubblico) e la conformità dell’azione aziendale a norme e regolamenti.
E tre sono gli obiettivi: “efficacia strategica ed efficienza operativa definiti dai vertici aziendali, la trasparenza informativa delineata dalle politiche aziendali, la correttezza gestionale e l’osservanza sostanziale di leggi, norme e regolamenti”. [2]
Per conseguire tali obiettivi il Modello elaborato dal CoSO avverte di non limitarsi all’esecuzione delle attività di controllo (tipicamente attività “a posteriori” o al più “concomitanti” le operazioni aziendali), ma suggerisce e sostiene l’adozione di un sistema che permetta di “manovrare” più leve e di agire “a priori”, ossia prima del verificarsi dell’evento rischioso.
Queste leve, definite “le componenti del sistema di controllo”, sono:
- l’ambiente di controllo;
- la valutazione dei rischi;
- l’attività di controllo;
- l’informazione e la comunicazione;
- il monitoraggio.
Queste cinque componenti, strettamente correlate tra loro, costituiscono il sistema di controlli interno dell’azienda. [3]
Vediamole un po’ più nel dettaglio:
- L’ambiente di controllo determina il livello di “sensibilità” del personale alla necessità di controllo. Quando si parla di ambiente di controllo ci si riferisce all’integrità ed ai valori etici dei dirigenti, alla competenza del personale, alla filosofia ed allo stile di direzione, ai sistemi incentivanti adottati dall’azienda, alle modalità di delega delle responsabilità, di organizzazione e di sviluppo professionale, all’impegno e alla capacità di indirizzo del consiglio di amministrazione (PriceWaterhouseCoopers, op. cit., pagg. 25 e seguenti).
- Il processo di valutazione dei rischi permette di individuare e analizzare i fattori che possono pregiudicare il raggiungimento degli obiettivi che l’azienda si è posta (obiettivi che devono essere compatibili e coerenti, N.d.R.) e consente di determinare come questi rischi dovranno essere gestiti (si veda anche: “La gestione dei rischi”; PriceWaterhouseCoopers, op. cit., pagg. 40 e seguenti; Beretta, op. cit., pagg. 35 e seguenti).
- Le attività di controllo possono essere definite come “l’insieme delle politiche e delle procedure che assicurano al management che le sue direttive siano applicate”[4]. Includono attività diverse quali approvazioni, autorizzazioni, verifiche, esami della performance operativa, protezione dei beni aziendali, separazione dei compiti, tracciabilità delle principali operazioni ecc…
- Informazione e comunicazione. La circolazione di informazioni pertinenti, all’interno dell’organizzazione e da / verso l’esterno (clienti, fornitori, azionisti, authority ecc.), è essenziale per dirigere l’azienda verso gli obiettivi fissati. Le qualità delle informazioni sono solitamente così riassunte: l’informazione deve essere pertinente, tempestiva, aggiornata, esatta ed accessibile (PriceWaterhouseCoopers, op. cit., pagg. 71 e seguenti).
- Il monitoraggio, infine, deve assicurare l’efficacia del sistema di controllo interno nel tempo; è pertanto necessaria la “valutazione critica, da parte di persone appropriate, del modo in cui i controlli sono concepiti, dei tempi di esecuzione e dei modi in cui sono presi i provvedimenti necessari”[5].
È opportuno precisare che «il sistema di controllo interno è una responsabilità dei diversi “process owner”. Gli Internal auditor forniscono assurance sul disegno e sull’efficacia di tali controlli, ma non ne sono responsabili.» [6]
Per ora, limitiamoci infine a segnalare che l’attenzione in azienda si sta spostando dal sistema dei controlli interni al più ampio ambito della gestione dei rischi aziendali, il cui modello “di riferimento” è comunemente identificato nel c.d. “Enterprise Risk Management”, o “ERM” elaborato dal Committee of Sponsoring Organizations of the Treadway Commission, così definito: “Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regardin the achievement of entity objectives.” [7]
Il sistema di controllo interno ha una forte complementarietà con i modelli di corporate governance, dei quali diremo nei prossimi post.
----
[1] PriceWaterhouseCoopers, Il sistema di controllo interno – Terza edizione aggiornata settembre 2004, ed. Il Sole 24 ORE, pagg. 2 e seguenti.
[2] Beretta, op. cit., p. 40.
[3] PriceWaterhouseCoopers, op. cit., pagg. 17 e seguenti.
[4] PriceWaterhouseCoopers, op. cit., cap. 4, pag. 59.
[5] PriceWaterhouseCoopers, op. cit., cap. 6, pag. 83.
[6] IIA, Position Paper IIA: esprimere un Giudizio da parte dell’Internal Auditing sul sistema di Controllo Interno – Considerazioni Pratiche, pag. VI (Traduzione del Position Paper “Practical considerations regarding Internal Auditing Expressing an Opinion on Internal Control” emesso dall’Insitute of Internal Auditors nel mese di giugno 2005, traduzione a cura dell’associazione Italiana Internal Auditors (AIIA) – Comitato per la ricerca e studi.
[7] Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk management – Integrated Framework, Executive Summary, September 2004, pag. 2.