Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
IL CONTROLLO ANTICO
L’internal Auditing costituisce una forma evoluta e relativamente recente di controlli aziendali
rispetto all’esternal auditing. L’esternal auditing noto anche come controllo contabile o revisione
legale dei conti hanno per oggetto l’analisi dei documenti contabili (prima di tutto il bilancio di
esercizio che è il documento contabile più importante). La forma più antica di controllo è quella
del controllo contabile di cui si hanno evidenze già nell’ere antiche
- Le prime forme di controllo sono attribuibili al Medio Oriente (4000 AC) dove vertevano
sulla gestione delle entrate ed uscite dei templi
- Nell’Egitto del 2000 AC il processo del controllo si prestava all’attività agricola: dal raccolto,
la pesa e lo stoccaggio.
- Antichi romani e greci (600 AC) fornirono un approccio più contabile, mirato alla gestione
delle risorse pubbliche.
Per questi motivi il controllo era denominato contabile e pubblico.
- Il primo periodo italiano di rilevante importanza è riferibile alla nascita e sviluppo del
commercio marittimo (Repubbliche Marinare, X Secolo).
- Nascono le prime figure autorevoli in tema di revisione contabile:
o i Camerlenghi a Venezia,
o i Visitatores a Genova.
o (es: Fibonacci diventa Revisore dei Libri delle Ragioni del Comune di Pisa)
I l controllo nel tempo è stato strettamente legato alla nascita di Ordini Professionali, Istituti, Organi
ed Associazioni. Infatti, nell’Italia rinascimentale nascono:
• il Collegio dei Rasonati a Venezia,
• i Liquidatori Giurati in Piemonte e Liguria
• ed il Collegio dei Ragionati a Milano
la presenza di questi nuovi organi è importante perché questi organi professionali si dedicavano
alla definizione delle prime regole da osservare dai contabili del tempo.
Nel 1602 nelle East India Company (le prime public company o S.p.A possiamo definirla come una
prima società per azioni.) è stato esteso ai finanziatori la possibilità di accertare l’attivo ed il
passivo. → i finanziatori vogliono conoscere in modo chiaro e preciso l’attivo e il passivo delle
società e quindi l’esigenza che un soggetto esterno accerti l’attivo e il passivo di queste società.
Il Code Savory, in Francia nel 1673, inserisce delle prime regole di salvaguardia del patrimonio
introducendo l’obbligo di tenuta dei libri contabili. In questo codice vengono inserite le prime
regole tecniche per la tenuta dei libri contabili.
In Austria, nel 1719, la Privilegiata Compagnia Orientale Imperiale impose la veridica della
corrispondenza tra scritture contabili e bilancio, affidando l’attività a dei membri della compagnia
stessa a soggetti con specifiche competenze.
La nazione capofila nella definizione del controllo interno è l’Inghilterra. Le due norme
fondamentali dalle quale viene decretata l’origine del controllo contabile così come lo intendiamo
anche oggi:
- Nel 1844 viene approvato il Joint Stock Companies Act: esso disciplina le regole di corretta
registrazione dei fatti di gestione, quindi la redazione del bilancio. Inoltre, prevede
l’obbligo di verifica del bilancio da parte di professionisti esterni.
- Nel 1845, con il British Companies Act, viene introdotto un requisito fondamentale per lo
svolgimento dell’attività sopra descritta: l’INDIPENDENZA. Così nasce la professione del
1
Internal Audit Sara Inzillo
In Francia, nel 1867, vengono introdotte nuove norme dove viene ampliata anche alle società
anonime la necessità di nominare un commissario per la verifica contabile.
Mentre nel mondo, basandosi sull’esempio inglese, si avanzava sulla definizione dei controlli
aziendali, in Italia il focus era ancora puntato sulla professione contabile.
Con la pubblicazione del Codice del Commercio del 1882 (prima testimonianza di recepimento di
queste norme. Il codice di Commercio è un codice di importazione francese che trae origine dal
codice napoleonico per cui la maggior parte delle norme dedicate al controllo traggono origine dalle
regole che si erano consolidate in Francia) si adotta una prima forma di controllo «privato» e non
più esclusivamente governativo (grazie all’istituzione del Collegio Sindacale), incentrato solo sul
controllo contabile ed il rispetto di leggi, regolamenti e statuti. → La novità più rilevante presente
nel codice di commercio è a sottolineare che la prima forma di controllo per le società che
pertanto non costituisce più una forma di controllo esclusivamente governativo, come fino a quel
momento, ma acquisisce la denominazione di controllo privato incentrato:
➢ sia sul controllo contabile dei documenti contabili (in primis il bilancio)
➢ ma anche una prima forma di controllo interno che deve avere come oggetto il controllo del
rispetto di:
• leggi
• regolamenti
• statuti
Questo controllo viene affidato al Collegio Sindacale. Infatti tra le novità importanti del Codice Di
commercio del 1882 vi è l’introduzione di questo organo tipicamente italiano.
2
Internal Audit Sara Inzillo
Prima però è importante sottolineare come i sistemi di controllo aziendale si sono evoluti e sono
progrediti sempre dopo uno scandalo finanziario o dopo una crisi finanziaria. Infatti iniziamo proprio
dalla più importante crisi ovvero quella del ’29.
APPROCCIO REAZIONARIO DELLA NORMATIVA «MODERNA» DEI CONTROLLI INTERNI
Nell’era moderna dei controlli interni (XX secolo) è interessante studiare l’evoluzione normativa
dei Sistemi di Controllo Interno come reazione alle frodi contabili/finanziare perpetrate.
Il primo evento rilevante catastrofico lo si può individuare nel crollo di Wall Street del ‘29.
→(24/10/29 noto come la caduta di Wall Street ovvero una crisi economico-finanziaria che poi si è
espansa in tutto il mondo)
3
Internal Audit Sara Inzillo
Questo repentino incremento non fu però sorretto da regole sufficientemente rigidi, utili a evitare
frodi. Infatti l’ottimismo creatosi si trasformò in una più facile concessione di prestiti utili a fare
investimenti, senza però fare adeguate verifiche sulla effettiva capacità di rimborso. Questa spirale
smise di funzionare quando le aspettative di crescita si disallinearono fortemente rispetto alle
performance effettive, e le speculazioni iniziarono a non essere ripagate.
La spirale speculativa fu, quindi, seguita da un circolo vizioso al ribasso, riequilibrando il sistema
azionario.
Il mercato borsistico statunitense si riprese poi grazie a norme e regole che permisero la ripresa
dei mercati e che portò a decretare la prima era d’oro del mercato borsistico statunitense. Si
assiste a tassi di crescita elevati che si dicono a tripla cifra. In questo periodo di ottimismo ci si
addentrò in una situazione che nel giro di poco si rivelò negativa per tutto il sistema americano in
quanto venivano concessi molti prestiti agli investitori senza svolgere adeguate verifiche sulla
capacità di rimborso quindi nel giro di poco tempo la situazione è precipitata riportando quindi ad
una situazione in cui i tassi di crescita si sono riabbassati. Questo perché si mise in atto una spirale
negativa per cui gli investitori non erano in grado di rimborsare i finanziamenti che avevano
ottenuto con molta facilità senza adeguate verifiche. Gli investitori avevano messo in atto delle
vere e proprie speculazioni che portarono nuovamente al ribaltarsi della situazione con nuove
situazioni di difficoltà e nuovo periodo di riforme e questa volta sono gli stessi organismi americani
che intervengono nuovamente con delle nuove normative per riequilibrare il sistema. Le
normative importanti sono due:
➢ 1932 con cui è costituita la Securities Exchange Commissione (SEC) equivalente della Consob.
Ossia la commissione governativa che si occupa del controllo su tutto il sistema borsistico
statunitense e il buon funzionamento delle società quotate
➢ 1934 nota come Securities Exchange Act → gli USA decretano l’introduzione del sistema di
controllo interno in quanto SEA va a disciplinare l’obbligatorietà… (vedi sotto)
4
Internal Audit Sara Inzillo
svolgere i controlli contabili e per la prima volta in USA viene sottolineata la differenza tra i sistemi
di controllo interno (Internal Auditing) e i sistemi di controllo esterni (esternal Auditing) che hanno
come finalità i controlli contabili.
Questo atto è noto per aver disciplinato per la prima volta nelle società americane medio-grandi
e quotate l’importanza dei sistemi di controllo interno. Spesso i sistemi di controllo si evolvono
come reazione a degli scandali e a delle crisi economico-finanziarie e quindi un altro step
importante nell’evoluzione dei sistemi di controllo è il seguente: nel 1972.
Il 1972 si caratterizza, negli USA, per la presenza di una serie di fenomeni di corruzione da parte di
pubblici ufficiali o meglio di società che corrompevano pubblici ufficiali per poter mantenere i
rapporti commerciali con le società. La scoperta di questo modus operando è nominato come
Scanfalo Watergate prende il nome dall’hotel nella città di Washington dove vennero fatte
intercettazioni. Per fronteggiare questa situazione di crisi e difficoltà intervengono le
organizzazioni americane nel 1977 con la pubblicazione di un’altra legge FCPA che definisce alcuni
aspetti importanti.
Le disposizioni contenute in questa normativa del 1977 fa si che tutte le soceità americane,
soprattuto le quotate e le medio grandi, si organizzino per cercare di implementare i sistemi di
controllo interno adeguati per prevenire tutte queste situazioni di negatività (frode, corruzione) e
cercano di dotarsi degli strumenti più idonei per garantire ciò che è richiesto dal FCPA ossia la
tracciabilità dei flussi finanziari.
SCI PRE-CoSO
Ai tempi veniva privilegiato un processo gerarchico ovvero venivano poste le basi di quelli che
dovevano esser gli elementi costituenti di un adeguato strumento di controllo interno e questi
elementi sono 5:
➢ Ambiente di controllo
➢ Valutazione dei rischi
➢ Attività di controllo
➢ Monitoraggio
➢ Informazione e comunicazione
Secondo l’approccio dei tempi questi 5 componenti necessarie per poter implementare un
adeguato sistema di controllo interno dovevano esser posizionate secondo una visione gerarchica
piramidale come risulta nello schema di questa slide. Ossia l’ambiente di controllo, il più importante
5
Internal Audit Sara Inzillo
e anche più ampio tra i 5 elementi che vanno a costituire il sistema di controllo interno, rappresenta
ed è posizionato alla base della piramide.
A seguire la valutazione dei rischi, poi le attività di controllo e in cima l’attività di monitoraggio a
significare che il monitoraggio deve andare a fare una supervisione continua delle restanti
componenti.
Processo gerarchico
6
Internal Audit Sara Inzillo
poter definire in modo adeguato l’architettura di quei modelli di controllo. Situazione tipica
del periodo pre-Coso ovvero prima del primo framework di riferimento che contiene le
disposizioni relative all’implementazione di un adeguato ed efficiente sistema di controllo
interno.
DATO CHE I SCI SONO UN INSIEME DI FILTRI, È RAZIONALE COSTRUIRE I CONTROLLI INTERNI
BASANDOSI ESCLUSIVAMENTE SULLA QUANTITÀ DI CONTROLLI
IL CoSO
Arriviamo alla pubblicazione della prima edizione del framework di riferimento. La prima edizione
1992 il CoSo report (framework del 1992). La pubblicazione di questo documento importantissimo
per l’evoluzione dei sistemi di controllo interno. Non solo per il sistema stesso ma per tutta la
funzione di internal auditing, è il risultato di una serie di studi e ricerche messe in atto negli anni
prima:
Nel 1985 la SEC decise di avviare degli studi sui casi di frode più incisi. Fu istituito il Committee of
Sponsoring Organization per questo scopo. Tale organizzazione fu supportata e patrocinata dalle 5
organizzazioni americane più importanti in tema di controlli e bilanci: AAA, AICPA, IIA (più
importante), IMA e FEI (questi ultimi due sono due organizzazioni che si occupano di disciplinare e
produrre normative di supporto in materia di accounting e auditing).
La peculiarità di tale studio fu il focus sul rischio. Ovvero, si studiarono i casi in oggetto sulla base della
capacità di gestione del rischio.
Da tale studio scaturì il CoSO Report, nel 1992. → CoSO è un espressione divenuta nota è un’acronimo
che va a sottolineare il nome della commissione governativa voluta dalla SEC e precisamente:
- Co sottolinea le iniziali di Committee
- SO → inziali della denominazione della commissione ovvero Sponsoring Organization
7
Internal Audit Sara Inzillo
Riassumendo: si è arrivati alla pubblicazione del CoSO nel 1992 per volontà della SEC che nel 1985
(USA) per cercare di capire come porre freno a numerosi casi di frode e scandali finanziari se fosse
possibile trovare strumenti per porre freno a situazioni fraudolente e negative. Per questo decise di
avviare uno studio dedicato a quali sono state le caratteristiche e le frodi più rilevanti. Per questo il
compito venne affidato ad una specifica commissione presieduta da Treadway, denominata come
Commissione Treadeay. Il nome di tale commissione ha determinato l’acronimo del CoSO stesso.
Questa commissione è stata costituita dai rappresentanti delle 5 principali organizzazioni americane
che si occupavano del tema del controllo e dei principi contabili (in senso ampio di accounting e
auditing). Il risultato di questo studio viene pubblicato nel 1992 e prende il nome di CoSO reports.
La prima edizione del 1992 denominato come CoSO report evidenzia un titolo ben preciso.
L’espressione framework per indicare che il documento contiene le principali regole, gli standard
per la definizione dei sistemi di controllo intenro.
Secondo il CoSO, Il Sistema dei Controlli Interni può essere definito come:
«un processo (possiamo intenderlo come meccanismi, procedure e strumenti) posto in essere dal
Board (CdA che ha un ruolo importante nel definire l’architettura del sistema di controllo interno),
dal management e dal resto dell’organizzazione (A sottolineare che è un sistema integrato in cui
tutti i membri dell’organizzazione sono coinvolti) al fine di fornire un ragionevole convincimento in
merito al conseguimento degli obiettivi aziendali»
“Internal control is a process, effected by an entity’s board of directors, management, and other
personnel, designed to provide reasonable assurance regarding the achievement of objectives
relating to operations, reporting, and compliance”.
8
Internal Audit Sara Inzillo
- ambiente di controllo
- identificazione e valutazione dei rischi
- attività di controllo
- informazioni e comunicazione
- monitoraggio
- La terza caratteristica: AMBITO DI APPLICAIZONE DEL CONTROLLO INTERNO
Il sistema di controllo interno è da recepire da qualsiasi società indipendentemente dal livello
organizzativo recepito. Il che significa che il sistema di controllo interno va bene per quelle società
che sono strutturate per business unit, a livello divisionale, strutturate in base all’attività che
svolgono. Ovvero è un modello organizzativo che va bene per qualsiasi forma di organizzazione
scelta dalla società stessa.:
➢ A livello di entità
➢ A livello di divisione
➢ A livello di business unit
➢ A livello di unità operativa
Ambiti Applicativi
Elementi Costitutivi
Il cubo evidenzia le tre facce e sulle tre facce sono sintetizzati i tre aspetti caratterizzanti il CoSO
report:
9
Internal Audit Sara Inzillo
1. Nella faccia superiore individuiamo i tre obiettivi disciplinati dal CoSO report riportati con
la loro espressione in inglese:
a. Operation → efficacia/efficienza del sistema di controllo interno
b. Financial reporting → l’affidabilità dei dati finanziari
c. Compliance → monitoraggio e rispetto dei regolamenti statuiti
2. Sulla faccia frontale del cubo troviamo i 5 elementi costituenti già detti e vengono riportati
in inglese:
a. Control environment → ambiente di controllo posto alla base del cubo
b. Risk Assessment → controllo dei rischi
c. Control Activities → attività di controllo
d. Information e comunication
e. Monitoring → monitoriaggio continuo
3. Nella faccia laterale dove vengono riportati gli ambiti applicativi del CoSO report: chi sono i
destinatari → può esser recepito da qualsiasi società indipendentemente dal modello
organizzativo scelto sia che la società sia organizzata per singole unità o che sia strutturata
per attività.
Tutte le nazioni poi hanno iniziato un processo di rivisitazione delle norme sul sistema di cotnrollo
interno.
La profonda rivisitazione dell’intera normativa sui controlli è stata in gran parte influenzata dal
CoSO Report 1992;
Tutti i documenti in materia di controllo interno emessi a quel tempo fra cui i principali:
1. Framework per Internal Control System in Banking Organizations elaborato nel 1998 dal
Comitato di Basilea;
2. Handbook of International Standards on Auditing and Quality Control;
3. Turnbull Guidance del Financial Reporting Council britannico;
4. le guide italiane predisposte dal CNDC nonché anche i diversi documenti emessi dalle
associazioni di categorie dei contabili,)
Il CoSO report è stato il primo documento più importante a livello internazionale per quel che
riguarda il punto di riferimento della disciplina dei controlli, nello specifico del controllo interno. Il
CoSO report è diventato un modello di riferimento di autodisciplina anche isu scala mondiale per
quel che riguarda la disciplina dei controlli interni.
Subito dopo la pubblicazione del CoSO report riprendono degli scandali finanziari che hanno per lo
più alla base maneggi di dati bilancio e commissioni di frodi. Ce ne sono state molte e questo
sottolinea che spesso i sistemi di controllo interno evolvono ogni volta che si assiste a scandali
finanziari perché se si arriva ad uno scandalo finanziario vuol dire che il sistema di controllo
interno non è adeguato ed è necessario un aggiornamento che riveda gli elementi del sistema di
controllo stesso.
10
Internal Audit Sara Inzillo
Tra le varie situazioni che si sono verificate, connesse alle quali sono stati messi in atto
comportamenti scorretti, qui sopra sono sintetizzate le più rilevanti. Sono crisi verificatesi tra fine
anni ’90 e inizi 2000. Un primo segnale si è verificato con la WM:
- WM è una società che ha iniziato a creare/gonfiare risultati gonfiando il risultato ante
imposte. In questo caso la società ha allungato i tempi di ammortamento. Una tecnica di
manipolazione dei dati finanziari che ha portato alla crisi e al tracollo. È intervenuta la SEC
con delle sanzioni ed è stato condannato l’amministratore delegato e la società di
revisione.
Quando si verificano questi scandali di importanza rilevante vuol dire che spesso le società di
revisione ne erano a conoscenza e condividevano questi comportamenti non corretti.
- 2002/2003 serie di situazioni di crisi connesse ad alcuni grandi colossi. Worldcom che ha
manipolati dati finanziari e ha capitalizzato in modo fraudolento costi di linea che anziché
sottostimarli avrebbe dovuto contabilizzare secondo altre regole → ha gonfiato i
ricavi(entrate false) e la società chiudeva con un risultato di bilancio positivo che non
esisteva
- Healtsouth→ falsi in bilancio con ricavi/profitti gonfiati. La SEC anche in questo caso
interviene e va a indagare sull’operato dell’amministratore delegato che è responsabile
perché il giorno prima della chiusura del bilancio con riporto di perdita rilevante, l’AD in
modo fraudolento aveva svenduto il magazzino per 75 milioni di euro
I due casi più rilevanti sono:
- Il caso Enron nel 2002 negli USA → società che raggira i dati economici con il fine di
gonfiare i ricavi al fine di chiudere il bilancio con risultato di esercizio positivo cosa che non
era veritiera. E una serie di manipolazione finalizzata a coprire crediti inesigibili da cui poi lo
scandalo che ha portato a condannare anche la società di revisione.
- Il caso Parmalat (2003) quasi su imitazione nel nostro ordinamento→ Parmalat è stata
condannata per falso in bilancio per via della manipolazione dei dati di bilancio. Tra cui la
11
Internal Audit Sara Inzillo
non esposizione corretta in bilancio della situazione debitoria. Anche qui c’è stato il
coinvolgimento della società di revisione che in quel caso era la Gran Thorton.
- Tyco nel 2003 anche qui c’è contabilità scorretta, sottrazione di denaro utilizzando prestiti
che non erano stati approvati, vendita di titolo… anche qui la SEC ha individuato le pratiche
contabili non corrette.
Tutte queste situazioni hanno portato ad una rivisitazione e aggiornamento delle normative
relative ai sistemi di controllo e soprattutto controllo interno.
La prima reazione è stata quella di andare a sottolineare come gli scandali finanziari il più delle volte si
verificano perché i sistemi di controllo interno attuati dalle società sono:
- Inefficienti o non adeguati
- Assenti
Per fare in modo che questo non si verifichi si sottolinea che tutti i modelli di governance devono prestare
attenzione alla definizione ed implementazione di sistemi di controllo interno adeguati a monitorare gli
andamenti per evitare il verificarsi di questi scandali finanziari. Quindi si sente da subito l’esigenza di
condividere delle regole comune a livello internazionale di buon governo che le società devono osservare al
fine di tutelare gli interessi degli azionisti.
Il primo codice di comportamento che viene realizzato è datato 1992 e viene pubblicato nel Regno Unito ed
è diventato molto famoso perché il primo e soprattutto perché viene preso come riferimento. Questo
prendo il nome di rapporto Cadbury dal nome della commissione.
Intervenire sulla sul ruolo e responsabilità della Corporate Governance al fine di rassicurare la fiducia degli
investitori.
Con specifico riferimento al CoSO Report vengono in molte nazioni prodotti specifici Codici di
Comportamento, che seppur predisposti tenendo in dovuta considerazione le peculiarità culturali e
normative di ciascun paese, condividono l’importanza di un adeguato sistema di controllo interno e di
gestione dei rischi come pure l’esigenza di fornire informazioni trasparenti, di tutelare gli interessi degli
azionisti e di definire la struttura e le responsabilità dei Board.
Il primo e più noto Il Rapporto Cadbury, pubblicato nel 1992 nel Regno Unito, è da considerarsi la Magna
Cartha della Corporate Governance e dell’autoregolamentazione societaria.
Esso è il risultato dei lavori di una apposita commissione costituita nel 1991, la Cadbury Committee on
Financial Aspects of Corporate Governance, nota come Cadbury Committee dal nome del presidente Sir
Adrian Cadbury. Il comitato è stato costituito a seguito del fallimento di alcune società fra cui la Maxwell
Communications Corporation e la Polly Peck International, per individuare delle regole di buon governo.
Su imitazione di quel che si è verificato in Inghilterra la maggior parte delle nazioni ha pubblicato il
proprio codice.
La Corporate Governance è il sistema delle regole secondo le quali le imprese sono gestite e
controllate, coniugando:
• raggiungimento degli obiettivi;
• comportamento coerente alle aspettative;
• trasparenza nei confronti di azionisti e stakeholders
Il testo di riferimento in Italia sull’argomento è il “Codice di autodisciplina per le società quotate” (cd. Codice Preda)
redatto nell’ottobre 1999, aggiornato più volte, l’ultima nel 2020 →con il supporto di Consob viene istituito un codice
con le norme di buon governo da adottare da parte di tutte le società quotate.
DIBATTITO: Molte crisi finanziarie causate da assenza o inefficienza del Sistema di Controllo Interno
12
Internal Audit Sara Inzillo
Definita quindi come “quel sistema di regole secondo le quali le imprese devono essere gestite e controllate e la
gestione e il controllo deve esser finalizzata al raggiungimento di alcuni obiettivi, al mantenimento di un
comportamento coerente alle aspettative, ed essere in grado di garantire la trasparenza nei confronti di azionisti e
stakeholder”.
Una volta definito questo primo modus operandi comune a livello internazionale, ossia la definizione di regole di
buon governo, a livello internazionale il dibattito continua ad essere acceso circa le crisi finanziarie. La maggior parte
condividevano che le cause erano da additare ad una assenza o inefficienza dei sistemi di controllo interno. Altri
invece attribuivano la causa dei malgoverni e crisi finanziarie a quello che era noto come il problema dell’agenzia (→
problema tipico del mondo anglosassone dove è molto diffusa la public company ovvero grande ricorso al mercato
borsistico porrtando ad una separazione tra potere e controllo). Ovvero i proprietari affidano la gestione
dell’impresa al management che ha obiettivi di breve periodo perché sa che la sua attività è a scandenza e ha
certezza di rinnovarsi per quella società solo se è in grado di garantire buone performance.
Per questo motivo, il Sarbanes-Oxley Act e la Legge sul Risparmio definiscono il Sistema di Controllo
Interno imprescindibile
Il manager si focalizza su obiettivi di breve periodo e hanno come obiettivo la massimizzazione dei profitti di
breve periodo così ottengono:
1. bonus
2. possono essere riconfermati
alcuni sostengono che alcune delle cause delle crisi finanziarie sia da riconnettersi a questo problema
dell’agenzia. A livello Statunitense si decide di dar luogo ad una riforma per nuove regole di buon governo.
Per risolvere i problemi di agenzia:
- Sarbanes Oxley Act (SOX) per le società quotate alla borsa di NT (2002) → è una legge importante
che molte nazioni a livello internazionale pubblicano leggi simili.
- Legge sul risparmio in Italia (2005) su imitazione della SOX e si allinea, per molti aspetti alla SOX
La SOX è stata la riforma più stringente e più importante dopo il Securities Exchange Act del 1934,
finalizzata a:
- Riconquistare la fiducia degli investitori tramite miglioramento della Corporate Governance; (delle
nuove regole di buon governo)
13
Internal Audit Sara Inzillo
Tra le principali novità introdotte vi sono: → importanti anche per gli sviluppi futuri.
1. L’istituzione di un organismo preposto al monitoraggio e al miglioramento degli standard in tema
di accounting and auditing;
2. La definizione di regole più chiare in merito ai rapporti tra audit committee e società di revisione
(organo controllo interno e organo controllo esterno);
3. L’incremento di sanzioni penali nel caso di reati riguardanti l’audit del bilancio;
4. L’introduzione di meccanismi di protezione giuridica per coloro che denunciano reati aventi a
oggetto la predisposizione e il controllo del bilancio.
5. L’introduzione di nuovi standard e procedure per l’accounting e l’auditing;
6. L’introduzione di nuovi meccanismi di monitoraggio delle professioni contabili. → verificare se i
contabili e auditors nello svolgere la loro professione fossero in linea con le norme di deontologia
professionale.
Con la Sec302 si impone la certificazione dell’informativa finanziaria da parte del direttore finanziario (CFO)
ed amministrativo (CEO). È stata, quindi, introdotta una responsabilità “penale” indiretta in capo a queste
figure, qualora l’informativa da loro sottoscritta non sia veritiera e corretta.
Sarbanes-Oxley Act Sec. 404 – MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS (doveri del
management)
“(a) RULES REQUIRED —The Commission shall prescribe rules requiring each annual report required by section
13 of the Securities Exchange Act of 1934 (15 U.S.C. 78m) to contain an internal control report, which shall:
1. state the responsibility of management for establishing and maintaining an adequate internal control
structure and procedures for financial reporting; and
2. contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the
internal control structure and procedures of the issuer for financial reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING —With respect to the internal control assessment
required by subsection (a), each registered public accounting firm that prepares or issues the audit report for
the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation
made under this subsection shall be made in accordance with standards for attestation engagements issued
or adopted by the Board.
14
Internal Audit Sara Inzillo
Ovvero con questa legge viene riconosciuta l’autorevolezza alle disposizioni contenute nel CoSO report in
quanto la responsabilità del management è quella di andare ad implementare i sistemi di controllo interno
che devono esser costituiti rispettando la presenza dei 5 elementi.
15
Internal Auditing Sara Inzillo
16
Internal Auditing Sara Inzillo
OBIETTIVI: Diventano 4
1) STRATEGIC: Gli obiettivi strategici sono quelli che, attraverso un’ottica di lungo periodo, permettono
di raggiungere fini aziendali ed in particolare la creazione di valore per i vari soggetti che si relazionano
con l’impresa; di conseguenza, nell’elaborazione delle strategie aziendali, il management dovrà trovare
“un equilibrio ottimale tra target di crescita, di redditività e rischi conseguenti. In una visione
fortemente focalizzata sulla valutazione del rischio e nella definizione delle strategie per fronteggiarli
e risolverli. Quindi la strategia diventa a tutti gli effetti il quarto obiettivo.
Questa nuova attenzione al rischio diventa anche una componente.
2) OPERATIONS
3) REPORTING
4) COMPLIANCE
LE COMPONENTI: Diventano 8
Dallo schema del CoSO-ERM si può notare come i tre nuovi componenti siano:
1. Definizione degli obiettivi (Objective Setting): gli obiettivi devono essere adeguatamente definiti,
coerentemente con la mission aziendale e con il rischio accettabile. →non è possibile escludere la
definizione di un livello di rischio accettabile già in fase di definizione del livello degli obiettivi. Questo
significa che ogni società ogni volta che definisce gli obiettivi, nella definizione degli obiettivi deve
comunque recepire il livello di rischio accettabile.
2. Identificazione degli eventi (Event Identification) consiste nella metodologia con cui vengono
identificati eventi che influiscono sul raggiungimento degli obietti aziendali, distinguendoli tra rischi
ed opportunità.
3. Risposta al rischio (Risk Response): consiste negli interventi che il management pone in essere per
mantenere i rischi emersi (una volta che sono stati mappati, valutati …) al di sotto del livello
accettabile. Le azioni da intraprenderesono:
a. Evitarlo: eliminando un prodotto o un’attività;
b. Accettarlo: decidendo di non intraprendere alcuna azione per contenere il rischio;
c. Ridurlo: implementando azioni in grado di diminuire l’incidenza della probabilità e o dell’impatto;
d. Condividerlo: attuando azioni come il trasferimento del rischio, vale a dire una polizza
assicurativa. (spesso avviene mediante sottoscrizione di polizze negative)
17
Internal Auditing Sara Inzillo
LE ALTRE COMPONENTI pur riprendendo gli stessi contenuti previsti dalla precedente versione,
enfatizzano l’approccio alla gestione del rischio:
• Ambiente di controllo: è statuito che comprende la filosofia della gestione del rischio nonché
i livelli di accettabilità del rischio;
• Valutazione del rischio: è sottolineato che trattasi di un procedimento di analisi strutturata
dei rischi per determinare la probabilità che si verifichino ed il loro impatto, allo scopo di
definirne la loro gestione.
• Attività di controllo: viene sottolineata l’importanza che le attività di controllo
devono assicurare che le risposte al rischio siano efficacemente eseguite;
• Informazione e Comunicazione: rispetto al CoSO Report I, il nuovo framework ricomprende
anche i dati previsionali importanti per la valutazione e mappatura dei rischi;
• Monitoraggio: deve avvenire in modo continuo per il tutto il processo dell’ERM;
Le altre componenti, sebbene vengano riportate così come erano nel CoSO report, vengono riviste
enfatizzando l’approccio alla gestione del rischio.
l’ERM sia un processo che deve coinvolgere l’intero sistema aziendale, le cui caratteristiche sono:
1) L’allineamento della strategia al rischio accettabile
2) Il miglioramento alla risposta del rischio individuato
3) La riduzione degli imprevisti e delle perdite conseguenti
4) L’identificazione e la gestione dei rischi correlati e multipli.
5) Identificazione delle opportunità
6) Il miglioramento dell’impiego di capitale.
Nel frattempo, si era anche diffusa da parte delle banche la cartolarizzazione, per cui si originava una lunga
catena dove i prestiti ipotecati originari passavano di cessione in cessione. Tale lunga catena di negoziazione
di strumenti finanziari disincentivava il monitoraggio del credito originario.
Nel 2004 la FED, a seguito di una crescita eccessiva dell’economia, ha optato per un aumento dei tassi con
un ovvio effetto di incremento del costo dei mutui per il rimborso delle rate, divenuto insostenibile da parte
delle famiglie fino al punto di arrivare ai casi di insolvenza provocando un drastico calo della domanda degli
immobili e lo scoppio della bolla immobiliare.
Negli anni successivi, soprattutto a partire dalla metà del 2007 molti istituti bancari iniziarono a
18
Internal Auditing Sara Inzillo
rilevare perdite elevate (alcune sono fallite) e ciò ha impattato sui sistemi finanziari globali determinando la
pesante Crisi finanziaria del 2008
Questa immagine mostra le grandi società che sono fallite a seguito di questa crisi finanziaria. Ma anche
molte banche sono state impattate. Il caso più importante è stato il fallimento della Lehman Brothers.
Obiettivo dell’aggiornamento
scopi del nuovo framework possiamo considerare:
1. la salvaguardia dei cinque elementi costituenti il Sistema di Controllo Interno, già presenti nel
framework del 1992 che, come affermato da David L. Landsittel, presidente del CoSO fino al 2013,
sono concetti “senza tempo”;
2. la costante promozione di un approccio “risk-based” anziché “check-the-box-approach” finalizzato
alla riduzione dei costi. Esso permette l’eliminazione dei controlli ritenuti inefficaci, inefficienti o
superflui rispetto al modesto valore aggiunto da essi forniti nella riduzione dei rischi e/o mancato
raggiungimento degli obiettivi aziendali → è importante il contenimento dei costi ma il contenimento
dei costi si deve ridurre, secondo questo approccio, all’eliminazione dei costi relativo ai controlli
inefficienti/inefficaci e inefficienti.
19
Internal Auditing Sara Inzillo
La commissione il 14 maggio 2013 pubblica la versione aggiornata del CoSO IC-IF, da recepire entro il 15
dicembre 2014, composto da 4 framework:
1) Internal Control - Integrated Framework Executive Summary;
2) Internal Control - Integrated Framework and Appendices;
3) Internal Control – Integrated Framework Illustrative Tools for Assessing Effectiveness of a System of
Internal Control.
4) Internal Control Over External Financial Reporting: A Compendium of Approach and Examples
CoSO REPORT-2013
La struttura cubica sintetizza il contenuto nel nuovo CoSO report. La
prima caratteristica è che vi è un ritorno alla struttura del 1992 e le
componenti tornano ad essere le 5 componenti già previste nel 1992. Poi
per quel che riguarda gli obiettivi sono i 3 noti del 1992. Per quanto
riguarda la definizione di sistemi di controllo interno il CoSO del 1992
definisce il SCI avendo come riferimento i tre obiettivi, stessa cosa
prodotta dal framework del 2013 infatti sono riportate le definizione di
SCI presenti nel CoSO report del 1992 e poi quelle nel CoSO report 2013.
In giallo sono evidenziate le differenze: quella principale risiede negli
obeittivi:
➢ Nel 1992 l’obiettivo del reporting era definito financial reporting a
sottolineare proprio l’importanza del focus su informativa finanziaria.
➢ Nel 2013 invece l’obiettivo (il secondo) non è più riconducibile al financial
reporting ma diventa solo “reporting” a sottolineare che la
reportistica/affidabilità e obiettivo della rendicontazione deve esser
totalitario e non con specifico riferimento all’informativa finanziaria.
La novità importante è che la Treadway Commission, con supporto della PriceWaterhouseCooper’s,
pubblica per la prima volta gli standard di riferimento, ossia i principi, del sistema di controllo interno.
Questa è la novità più significativa perché dal 2013 l’internal auditing diventa a tutti gli effetti una specifica
disciplina corredata di specifici principi standard di riferimento
Dati i nuovi modelli di business e le nuove caratteristiche del mercato (es: globalizzazione), si è deciso di
semplificare la struttura del CoSO, ritornando alla struttura del 1992. Di contro una maggiore specificazione
è data dall’introduzione di 17 principi standardizzati
20
Internal Auditing Sara Inzillo
ci sono 5 prinicpi a supporto della definizione e relativa alle caratteristiche dell’ambiente di controllo.
4 a supporto della definizione del risk assestement
3 per la terza componente (attività di controllo) e per la quarta (comunicazione e informazione) e 2 per le
attività di monitoraggio. Ciascuno dei 17 principi contiene standard/definizione/caratteristiche di
funzionamento tutto dedicato a far si che le società abbiano riferimenti per progettare un sistema di
controllo interno.
Questa è la prima pagine del ICIF prima versione con la copertina del framework del 2013. Anche da un
punto di vista grafico è evidente il rinnovamento/aggiornamento. La versione del 1992 è molto più
schematica e fredda, anche l’immagine mostra un aggiornamento dinamico.
21
Internal Auditing Sara Inzillo
qui è schematizzato il project line table, infatti il percorso di aggiornamento è partito nel 2010 ed è stato
pubblicato nel 2013. Quindi un periodo di 3 anni in cui ci sono state delle consultazioni pubbliche, perché il
dato di partenza è stato anche un monitoraggio delle richieste che man mano venivano formulate dagli
stakeholder per le caratteristiche che doveva avere un buon SCI.
Vediamo il supporto esterno della società di revisione e qui è schematizzato come era articolato il gruppo
dei lavori e a capo di tutto troviamo il Board of Directors costituita dai rappresentati delle principali
organizzazioni che nel frattempo rispetto a quelle viste all’inizio del 1992 si sono evolute però sono
aumentate anche di numero e sono riportate tutte le principale sigle che rappresentano le più importanti
organizzazioni in materia di accounting che hanno partecipato alla formulazione del framework
22
Internal Auditing Sara Inzillo
I principi per definire e implementare e recepire i 5 elementi costituenti il SCI. Infatti la aprticolarità del
CoSo report 2013 è un ritorno al passato perché l’edizione riprende come base di riferimento i 5 elementi
costituenti:
➢ Ambiente di controllo
➢ Valutazione dei rischi
➢ Attività di controllo
➢ Informazione e comunicazione
➢ Monitoraggio delle attività
I primi 17 principi pubblicati sono ripartiti come schematizzati sopra.
- 5 principi di riferimento per l’ambiente di controllo
- 4 principi per il risk assessment → valutazione dei rischi
- 3 le control activities
- 3 informazioni e comunicazione
- 2 per attività di monitoraggio
In questa slide riportiamo sia il nome dei 5 componenti che i 17 principi in inglese perché è la lingua
ufficiale in cui sono stati introdotti.
23
Internal Auditing Sara Inzillo
AMBIENTE DI CONTROLLO (CONTROL ENVIROMENT)
Esprime la cultura e i valori di fondo dell’organizzazione. Determina il livello di sensibilità̀ del personale alla
necessità di controllo ed è influenzato da fattori quali:
A. modelli di assegnazione di autorità e responsabilità; → per implementare i 5 principi i modelli
organizzativi devono prevedere la definizione chiara di chi sono i soggetti dotati di responsabilità e
autorità oer aver chiari i ruoli e le funzioni.
B. stili di direzione del management (integrità, valori etici); → stile di direzione fortemente focalizzato
sui valori etici e la deontologia professionale.
C. presenza di organi amministrativi indipendenti dalle direzioni esecutive; → è importante che i
soggetti membri del board siano indipendenti dai membri che si occupano di mansioni esecutive
perché l’indipendenza permette di avere ruoli chiari e non commistione di interessi
D. competenza degli operatori; → è importante avere risorse umane competenti cioè dotati delle
adeguate skills
E. chiara indicazione degli obiettivi → che si traducono nella mission di società (obiettivo che la
società intende perseguire)
è fondamentale che tutta la società concepisca e condivida l’importanza del controllo e tutte le risorse
umane coinvolte siano sensibili a tale approccio → questo significa esprimere la cultura
5 Principi:
1. Integrità e valori etici
2. Attività di supervisione del Board e indipendenza del management
3. Struttura organizzativa, linee di riporto, deleghe, poteri e responsabilità
4. Attrarre e mantenere risorse competenti
5. Responsabilizzazione delle risorse
Presidi di Controllo
Rischio Accettabile
I presidi di controllo sono strumenti che le società decidono di mettere in atto per poter mitigare e
fronteggiare il livello di rischio. Il livello di rischio accettabile è un rischio soggettivo che varia da società a
società correlato ai modelli organizzativi e alle caratteristiche delle risorse umane in quanto ciascuno degli
enti/organi hanno una propensione al rischio diversa e quindi è proprio il diverso livello di propensione al
rischio che influenza il livello accettabile del rischio. Il risk appettite è il livello di rischio.
Questa matrice, a disposizione degli operatori, è stata testata e consolidata a livello internazionale e
nazionale è di supporto per valutare il rischio accettabile Precisamente in questa matrice mettiamo in
correlazione due variabili:
➢ La probabilità che si verifichi la situazione rischio
➢ L’impatto che deriva dal verificarsi o meno di questa situazione rischiosa
(Trasferire il rischio vuol dire equipaggiarsi di paracaduti per tutelarsi dal rischio) → il tipico strumento che
mitiga i rischi è la copertura assicurativa.
24
Internal Auditing Sara Inzillo
TRASFERIRE EVITARE
Impatto
Rischio Modesto Rischio Medio
ACCETTARE RIDURRE
Probabilità
Riguarda la capacità della direzione di identificare situazioni di rischio che hanno delle ripercussioni sul
mancato/parziale raggiungimento degli obiettivi aziendali e di progettare controlli ad hoc che consentano di
fronteggiare tali situazioni di rischio.
4 Principi:
1. Chiara esplicitazione degli obiettivi da perseguire;
2. Identificazione dei rischi connessi al conseguimento degli obiettivi e determinazione delle
modalità di gestione degli stessi;
3. Considerazione dei rischi di frode (incentivi/pressioni/opportunità)
4. Valutazione dei cambiamenti che potrebbero avere impatti sul sistema di controllo interno
Si evince subito come ci sia stata una forte attenzione da parte del CoSo Report 2013 al rischio di frode al
punto tale che la treadway commission ha deciso di introdurre uno specifico principio alla definizione di
rischio di frode. Infatti negli anni si è preso atto che molte crisi finanziarie sono state causate da
comportamenti fraudolenti.
Le disposizioni contenute in questi 4 principi supportano la direzione nel cercar di identificare le situazioni
di rischio che possono impattare sul raggiungimento degli obiettivi aziendali. Soprattutto se si vanno ad
individuare delle situazioni rischiose.
25
Internal Auditing Sara Inzillo
separazione dei compiti con un mansionario preciso è più facile implementare controlli adeguati perché so
come il controllo è suddiviso.
Non solo, i tre principi prevedono che in base al timing del controllo noi possiamo avere.
In base al timing i controlli possono essere distinti in:
1. controlli preventivi;
2. controlli concomitanti;
3. controlli successivi.
• Tempestiva individuazione, rilevazione e diffusione delle informazioni utili alle persone per
adempiere alle proprie responsabilità. → importante che vengano diffuse solo le informazioni
utili. Quindi bisogna fare un’attenta analisi per diffondere solo le informazioni utili ed affidabili.
• Per informazioni utili si intendono informazioni significative, affidabili, tempestive e accessibili.
Quello che i principi vogliono sottolineare è che negli attuali contesti, dove si abbonda con informazioni, è
necessario in primis saper scegliere in modo preciso e accurato solo le informazioni utili.
• Consiste nella verifica continuativa o periodica dell’efficacia del disegno dei controlli interni e
dell’effettiva operatività degli stessi, resa necessaria dalla dinamicità del contesto all’interno del quale
è inserito il sistema dei controlli
I due principi sono:
1. Definizione e sviluppo di valutazioni continuative e ad hoc per accertare che le componenti del
controllo interno siano presenti e funzionanti
2. Valutazione, comunicazione e correzione tempestiva delle carenze individuate nel sistema di
controllo interno
Possiamo leggere questi due principi in modo sequenziale in quanto dal primo si evidenza che l’attività di
monitoraggio consiste nella verifica continuativa e periodica del funzionamento del SCI e poi il secondo che
dice che dal monitoraggio continuo puoi evidenziare eventuali carenze in tempo reale e puoi quindi
comunicarle e poi correggerle in modo adeguato.
26
Internal Auditing Sara Inzillo
SINTESI PRINCIPALI INNOVAZIONI – BENEFICI DEL COSO REPORT 2013
Questo schema sintetizza le principali innovazioni apportate dall’aggiornamento del framework. Ciascuna di
esse è inserita in un riquadro e sono strettamente correlate le une con le altre a sottolineare come sono
intrecciate e come sono a supporto di una e dell’altra.
1. I principi forniscono il più alto grado di adattabilità [..] → se il Coso report ha fornito 17 principi a
supporto della definizione di 5 elementi che costituiscono il Coso report vuol dire che le società non
possono dire che non sanno in cosa consistono i 5 elementi perché viene detto cosa sono, in cosa
consistono e come recepirle. Prevedono anche delle adattabilità perché le società recepiscano un
SCI sulla base dei 5 elementi e quindi il Coso report prevede una certa adattabilità e quindi
flessibilità
2. Una più chiara definizione […] → in tutti i 17 principi viene sottolineata l’importanza della
responsabilità in capo ai soggetti recependo un principio segregation of duty cioè la segregazione
delle responsabilità quindi l’attribuzione a ciascuno delle proprie responsabilità per evitare le
duplicazione e ridurre i costi
3. Il combinato [..] → visto che son stati disciplinati 17 principi vuol dire che tutto è finalizzato perché
il SCI funzioni al meglio possibile per aver più probabilità di raggiungere i tre obiettivi della faccia
superiore del cubo
4. È fortemente improntato al rischio […] → il risk assesstement è una componente molto significativa
e strategica infatti è sottolineata l’importanza per ogni società di definire il proprio livello di rischio
accettabile
5. Il framework essendo aggiornato […] → infatti abbiamo visto che è dedicato un apposito prinicpio
alla valutazione del rischio di frode e information tecnologies.
6. Il processo è facilmente malleabile […] → un aspetto innovativo di questo aggiornamento è la sua
adattabilità e flessibilità che fa si che il coso report possa esser recepito da qualsiasi tipo di società
indipendentemente dalla sua dimensione il che vuol dire che le disposizioni si applicano sia alla
piccola-media impresa che a quella di grandi dimensioni. Questo a sottolineare come tutte le
27
Internal Auditing Sara Inzillo
società indipendentemente dalle dimensioni devono esser dotate di un adeguato (allineato alle
dimensioni) sistema di controllo interno.
7. La nuova nomenclatura degli obiettivi permette […]→ quando abbiamo analizzato gli obiettivi
(faccia sopra del cubo) abbiamo visto come l’edizione del 2013 (per quanto riguarda il secondo
obiettivo) cambia di denominazione. Non è più financial reporting ma solo reporting a sottolineare
che l’obiettivo di un’adeguata rendicontazione dei dati non deve esser solo riferito ai dati di natura
finanziaria ma diventa sostanzialmente una rendicontazione delle informazioni in senso ampio.
8. L’aggiornamento degli ambiti applicativi […] → in cosa consiste questo beneficio? Che come
sappiamo, la faccia laterale del cubo è dedicata ai modelli organizzativi, essendo la versione del
cubo molto adattabile, va da sé che può esser recepita da qualsiasi struttura organizzativa,
indipendentemente se la società ha deciso un modello organizzativo gerarchico, funzionale, per
aree strategiche di affari. È indipendente il modello organizzativo scelto dalla società con il sistema
di controllo interno.
Quindi il SCI così definito dall’aggiornamento del 2013 essendo flessibile e prevedendo 17 principi da la
possibilità per esser recepito da ogni tipologia di società.
28
Internal Auditing Sara Inzillo
8. TUF Code
Dopo aver visto il framework di riferimento e gli aggiornamenti del Coso Report per il momento ci
fermiamo a quella del 2013 anche se non è l’ultima perché ve n’è una del 2017. Ora riprendiamo
l’evoluzione del sistema di controllo interno nell’ordinamento italiano. Ossia come il SCI con le sue
caratteristiche e le definizioni che nel tempo si consolidano come vengono recepite nell’ordinamento
italiano e quali sono le normative di riferimento.
Il recepimento del Sistema di Controllo Interno nell’ordinamento Italiano
Normative che si sono evolute dal ’98 al 2020 con l’aggiornamento del codice di autodisciplina quindi in 20
anni e in questi 20 anni alle normative sono state apportate modifiche per quanto riguarda il sistema di
controllo interno. Ogni novità e cambiamento nell’ordinamento italiano prende come riferimento un norma
introdotta nel mondo americano e a sottolineare come nell’ordinamento italiano step by step il SCI viene
recepito secondo standard internazionale quindi allineato. Noi analizzeremo le prime novità recepite nel
sistema italiano quindi le disposizioni contenute del D.lgs 58/98 noto come TUF e tutte le altre seguenti a
seguire:
➢ D.lgs 58/98 TUF
➢ Codice di Autodisciplina 1999 → in questi 20 anni abbiamo avuto diversi aggiornamenti fino al
2020
➢ D.lgs 231/2001
➢ Legge 262/2005
➢ Riforma del diritto societario 2003 → meglio definisce i sistemi di Governance
➢ D.lgs 39/2010 → ha decretato la prima riforma legale dei conti nel nostro ordinamento (CORSO
DI REVISIONE TRIENNALE)
➢ D.lgs 14/2019 → introdotto il codice di crisi e insolvenza
D.Lgs n. 58/1998 –Testo Unico delle disposizioniin materia di Intermediazione Finanziaria (TUF)
La novità rilevante è che per la prima volta viene introdotto il concetto di SCI. Perché è importante?
a) Prima normativa italiana che recepisce l’espressine Sistema di controllo Interno. Il TUF è noto anche
come Legge Draghi.
b) Oltre ad aver introdotto l’espressione SCI il decreto è importante per avere chiarito le attività di
controllo svolte dal collegio sindacale quelle svolte dalle società di revisione. Il TUF chiarisce,
creando nel nostro ordinamento una linea di demarcazione tra il controllo esterno e internal
auditing, definendo che
a. Alla società di revisione compete il controllo sulla contabilità e bilancio (controllo contabile)
b. Mentre al collegio sindacale compete il controllo del governo dell’impresa
Il termine “Sistema di Controllo Interno” appare per la prima volta in Italia nel 1998 con il Testo Unico delle
disposizioni in materia di intermediazione finanziaria (TUF), D.lgs. 24 febbraio 1998 n. 58, ai sensi degli art.
8 e 21 della Legge 6 febbraio 1996 n. 52, conosciuto anche come “Legge Draghi”.
Al TUF va riconosciuto il merito di aver chiarito il rapporto fra il Collegio Sindacale e le funzioni di controllo
svolte dalle società di revisione, statuendo che alla società di revisione compete il controllo della contabilità
e del bilancio (controllo esterno) mentre al Collegio Sindacale, quale organo di supervisione e di indirizzo
della gestione aziendale, compete il controllo del governo dell’impresa (attività di vigilanza-controllo
interno)
L’espressione Sistema di Controllo Interno (art. 149, c.1, lettera c) seppur limitata alle società quotate
prevedendo che sia il Collegio Sindacale a vigilarne l’adeguatezza, tuttavia non ne viene fornita una
definizione evidenziando una lacuna in termini di poteri e responsabilità. Il TUF attribuisce al Collegio
Sindacale un ruolo di primaria importanza qualificandola come “organo di controllo sull’amministrazione,
collocato al centro del sistema dei controlli endosocietari.
29
Internal Auditing Sara Inzillo
Ai sensi art. 149: “Il Collego Sindacale vigila […] sull’adeguatezza della struttura organizzativa della società
per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile
nonché sull’affidabilità di quest’ultimo a rappresentare correttamente i fatti di gestione”
Al TUF dobbiamo riconoscere l’introduzione nel nostro ordinamento dell’espressione sistema di controllo
interno ma non lo ha definito. Cioè il tutto io TUF non troviamo definizione del SCI. Come affermano il TUF
riconosce al collegio sindacale il ruolo di primaria importanza del controllo endosocietari.
Questo schema mostra la struttura della governance secondo il TUF. Il TUF ha infatti avuto il merito di (noi
ci limitiamo ad art. 149), essendo un testo unico quindi con disciplina in molti ambiti, aver introdotto una
serie di articoli relativi alla revisione legale dei conti.
Questo schema mostra il ruolo centrale che il TUF affida al collegio sindacale. Infatti questa mappatura
mostra come il collegio sindacale è al centro dei sistemi endosocietari perché il collegio sindacale
interagisce con
- Soggetti esterni (Consob [Commissione Nazionale per la società e per la borsa], società di revisione,
tribunale)
- Assemblea (è eletto da assemblea)
- CdA
- Internal auditor (dove è presente)
- Nella parte bassa sono collocati altri organi di riferimento in base ai quali le società si devono
strutturare secondo le linee guida statuite dal TUF:
o Il CdA che occupa una posizione centrale interagisce con
▪ Internal autidor
▪ Comitato esecutivo
▪ Amministratore delegato
▪ Direttore generale sotto il quale troviamo i direttori di funzioni (responsabili)
▪ Figure presenti nelle società quotate che sono comitati diventati sempre più
importanti
30
Internal Auditing Sara Inzillo
Questa è stata una novità dal punto di vista normativo nell’ordinamento italiano. Quel che serve nel nostro
corso relativo al TUF è quel che abbiamo visto fino ad ora. Per cui proseguiamo con codice di autodisciplina
Il Codice di Autodisciplina
Codice che viene introdotto per avere anche nel nostro ordinamento un codice che indicasse le linee guida
di buona governance delle società quotate.
1) Corpo di raccomandazioni per le società quotate. Emanato in prima versione nel 1999 con il nome di Codice
Preda (risultato dei lavori del Comitato per la Corporate Governance, Borsa Italiana spa, presieduta
dall’allora presidente della Borsa Italiana, Stefano Preda e composto dai rappresentanti delle società
quotate, dagli intermediari, dagli investitori, delle banche e delle assicurazioni) e più volte aggiornato.
2) L’autorevolezza di tale codice è data dalla chiara ispirazione al CoSO Report.
3) Secondo lo schema proposto dal Codice Cadbury, anche il documento proposto dal Comitato si articola in
due parti: il “Rapporto” e il “Codice diAutodisciplina”.
4) Adesione al Codice è facoltativa. Non vi è imposizione.
5) L’obiettivo principale del codice è quello di assicurare agli investitori internazionali l’esistenza, nelle società
quotate italiane, di un modello organizzativo basato su adeguate ripartizioni delle responsabilità per un
corretto equilibrio fra la gestione ed il controllo. → se decretiamo e discipliniamo appositi standard
finalizzati al buon governo le società in primis quelle quotate sono in grado di garantire un equilibrio tra
attività gestionale e le attività di controllo. Per cui la pubblicazione ci allinea alla prassi internazionale.
La procedura seguita dal codice italiano per arrivare alla pubblicazione del codice di autodisciplina è una
fotocopia di quello già visto in altre nazioni. Tutto il percorso per arrivare alla pubblicazione è partito dal
codice Cadbury dal quale tutte le nazioni europee e non solo hanno pubblicato il proprio Codice di
Autodisciplina. In ogni caso prendono come riferimento il CoSO report.
31
Internal Auditing Sara Inzillo
l’esigenza degli aggiornamenti sono dovuti al fatto che ci siamo sempre allineati all’evoluzione della
normativa internazionale, quindi ogni volta che veniva formulato un aggiornamento anche il nostro codice
di autodisciplina è stato costretto a recepire gli aggiornamenti. In tutto questo percorso evolutivo
l’importanza del SCI è diventata sempre più rilevante. Infatti il SCI ha assunto un ruolo sempre più centrale
nella governance. E il governo aziendale ha assunto una visione sempre più volta alla gestione dei rischi
tanto che ad un certo punto non si parla più solo di SCI ma SCI e gestione dei rischi. Questa è stata
l’evoluzione ultima. Per arrivare a questo ci abbiamo impiegato 20 anni (dal 2002 al 2020) e durante le fasi
di aggiornamento sono state seguiti le due direttrici di riferimento sopra indicate.
Nello schema vediamo il sistema unico integrato basato sulle due direttrici.
Edizione 2002 → è stato riformulato l’art. 9.1 al fine di recepire i contenuti del CoSO Report. Il Sistema di
Controllo Interno si configura come “un processo volto a monitorare l’efficienza delle operazioni aziendali,
l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni
aziendali”. Responsabile di stabilirne le linee d’indirizzo e di verificare il corretto funzionamento, così come
l’adeguatezza, è il consiglio di amministrazione che viene supportato nell’espletamento di questi compiti
del comitato per il controllo interno e dal preposto al controllo interno; quest’ultimo si identifica con il
responsabile della funzione di revisione interna nelle società che ne sono dotate (art. 9.2). Al tempo stesso
gli amministratori delegati si occupano di identificare i principali rischi aziendali e di rendere operativi gli
orientamenti definiti dal Consiglio di Amministrazione (art. 9.3). Il comitato per il controllo interno non
provvede più alla valutazione dell’adeguatezza del sistema ma si occupa di assistere il Consiglio
nell’esecuzione dei suoi compiti.
L’edizione del 2002 rispetto a quella del ’99 ha riformulato art. 9.1 ed è la prima edizione in cui troviamo
definizione totalmente allineata con il Coso Report.
Edizione 2006 → Il sistema di controllo interno è trattato all’art. 8 e definito come “l’insieme delle regole,
delle procedure e delle strutture organizzative volte a conservare, attraverso un adeguato processo di
identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa
sana, corretta e coerente con gli obiettivi prefissati”. Al Consiglio di Amministrazione vengono affidati
ulteriori responsabilità a sottolineare la sua centralità nella gestione del controllo interno. Il comitato di
controllo interno oltre all’attività istruttoria già attribuitagli dalla precedente versione del Codice, deve
svolgere un ruolo consultivo e propositivo, distinto però dalle attuazioni che la legge assegna al Collegio
Sindacale, che si occupa principalmente di verifiche ex post (art. 8)
Ad ogni edizione del codice spesso segue una rielencazione della struttura interna. Nel 2004 abbiamo avuto
un aggiornamento del Coso report focalizzata al monitoraggio dei rischi infatti la definizione del 2006
sottolinea l’importanza del SCI per gestione e monitoraggio dei principali rischi.
Edizione 2011 → Maggiore focus sulla gestione del rischio e, contestualmente, introduzione dell’art. 7:
Sistema di Controllo Interno e Gestione dei Rischi.
CdA e CCIGR sono deputati all’individuazione della natura e del livello dei rischi
Edizione 2015 → Per quanto riguarda il Sistema di Controllo Interno e di Gestione dei Rischi all’art. 7 è
stata prevista una variazione degli obiettivi perseguiti dal sistema prevedendo che l’affidabilità non
interessa più esclusivamente le informazioni finanziarie ma comprende anche i flussi endosocietari così
come quelli rivolti al mercato ( 7.P.2). Sono stati estesi anche i compiti del comitato controllo e rischi (
7.C.2.g), viene evidenziata l’importanza nell’ambito dei controlli interni, delle funzioni legali e di
compliance.
32
Internal Auditing Sara Inzillo
Nel Coso report abbiamo visto che l’obiettivo centrale non è più financial reporting ma solo reporting e
questo è ciò che vediamo nell’aggiornamento dell’art. 7 (dopo aggiornamento del 2013 del Coso report).
Edizione 2018 → Attenzione alle «Gender Diversity» visto che vi è l’obbligo di queste Gender DIversity il SCI
deve tenere in considerazione che le società abbiano recepito le quote di gender
Edizione 2020 → Pubblicata nel gennaio 2020 riforma il codice di autodisciplina secondo Quattro
direttrici:
1. Sostenibilità;
2. Engagement;
3. Proporzionalità;
4. Semplificazione
Queste sono le 4 direttrici introdotte da ultimo aggiornamento. Noi ci riferiremo all’edizione del 2015
perché le disposizioni relative al SCI sono quelle che troviamo negli articoli 7 e a seguire dell’edizione 2015.
Ovvero l’edizione che ha recepito gli aggiornamenti contenute nel Coso Report 2013.
33
Internal Audit Sara Inzillo
Riprendendo l’elenco delle principali normative che hanno portato al recepimento del SCI nell’ordinamento
italiano. Abbiamo analizzato il D.lgs 58 e abbiamo iniziato il codice di Autodisciplina (prima edizione 1999)
ma il codice di autodisciplina è stato più volte aggiornato e l’ultimo risale a Gennaio 2020 noi facciamo
riferimento all’aggiornamento del 2015 in riferimento all’aggiornamento del Coso report 2013 grazie al
quale il SCI si evolve e assume la definizione di SCI e controllo dei rischi a sottolineare la sua funzione
principale di gestione e monitoraggio dei rischi.
Ora analizziamo il Codice di Autodisciplina relativamente all’implementazione di un adeguato SCI nelle
società in primis quotate visto che si rivolge alle società quotate. Il riferimento è all’art. 7
Il Codice di Autodisciplina
Art 7 – Il Sistema di Controllo Interno e Gestione dei Rischi – Principi (titolo dell’art.)
I principi sono definiti al 7 p.1 e 7 p.2 dove sono definiti i principi fondamentali per ogni società quotata da
rispettare per implementare un adeguato sistema di controllo interno e gestione dei rischi secondo
l’ordinamento internazionale. In questi infatti troviamo una definizione più articolata di sistema di controllo
interno. Nel 7.1 troviamo una definizione più ampia in cui sono incluse anche regole e procedure.
7.P.1. Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall’insieme
delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la
misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti
organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di
riferimento e le best practices esistenti in ambito nazionale e internazionale.
La definizione più ampia di SCI è un sistema integrato che interagisce con tutti gli organi della governance e
interlocutori.
Il principio n.2 del codice di autodisciplina sottolinea come possono esser efficaci i sistemi di controllo
interno.
7.P.2. Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una conduzione
dell’impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione, favorendo
l’assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio
sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità delle informazioni fornite agli organi sociali
ed al mercato, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne.
Il sistema di controllo interno e gestione dei rischi è a disposizione del CdA dando contributo e supporto per
conseguire gli obiettivi aziendali. Quindi il CdA deve definire in modo chiaro gli obiettivi che la governance
intende conseguire. Il codice di autodisciplina poi sottolinea gli obiettivi fondamentali per una società
quotato ovvero da cui non si può prescindere:
• Assicurare la salvaguardia del patrimonio sociale
• Efficienza ed efficacia dei processi aziendali
• Affidabilità delle informazioni
• Il rispetto […]
Il codice di autodisciplina fa specifico riferimento agli obiettivi statuiti da Coso report 2013. Ovvero quelli
relativi ad efficacia/efficienza operations aziendali, reporting e la compliance. I tre statuiti da Coso report
sono completamente recepiti dal principio 7 2 del codice di autodisciplina, in aggiunta questo prevede la
necessità dell’assicurare la salvaguardia (unica aggiunta agli obiettivi del Coso report 2013)
34
Internal Audit Sara Inzillo
gli attori del sistema ciascuno per le proprie competenze perché ciascuno contribuisce per il buon
funzionamento del sistema di controllo interno.
7.P.3. Il sistema di controllo interno e di gestione dei rischi coinvolge, ciascuno per le proprie competenze:
a) il consiglio di amministrazione, che svolge un ruolo di indirizzo e di valutazione dell’adeguatezza del
sistema e individua al suo interno. Supportato da altri soggetti:
(i) uno o più amministratori, incaricati dell’istituzione e del mantenimento di un efficace sistema di
controllo interno e di gestione dei rischi (nel seguito dell’articolo 7, l’“amministratore incaricato del
sistema di controllo interno e di gestione dei rischi”), [il CdA al suo interno decide e delibera in
merito ad uno o più amministratori a cui attribuire la delega di esser il responsabile per istituzione e
mantenimento di efficace controllo interno questo amministratore prende il nome di
amministratore incaricato…] nonché
(ii) un comitato controllo e rischi, avente le caratteristiche indicate nel principio 7.P.4, con il compito di
supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di
amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle
relative all’approvazione delle relazioni finanziarie periodiche; sostanzialmente il comitato di
controllo rischi costituito all’interno del CdA ha il compito di svolgere un’attività di supporto sia
nella definizione del SCI che nelle decisioni successive.
b) il responsabile della funzione di internal audit, incaricato di verificare che il sistema di controllo interno e
di gestione dei rischi sia funzionante e adeguato;
oltre a queste figure molto precise ci sono altre figure:
c) gli altri ruoli e funzioni aziendali con specifici compiti in tema di controllo interno e gestione dei rischi,
articolati in relazione a dimensioni, complessità e profilo di rischio dell’impresa; → a seconda delle
dimensioni della società saranno previste funzioni aziendali in base alla complessità.
d) il collegio sindacale, anche in quanto comitato per il controllo interno e la revisione contabile, che vigila
sull’efficacia del sistema di controllo interno e di gestione dei rischi. → importanza del collegio sindacale
già visto nel TUF dove viene definita per la prima volta l’espressione SCI. Per quanto riguarda il collegio
sindacale vedremo specificatamente delle lezioni.
L’emittente prevede modalità di coordinamento tra i soggetti sopra elencati al fine di massimizzare
l’efficienza del sistema di controllo interno e di gestione dei rischi e di ridurre le duplicazioni di attività. Il
codice di Autodisciplina ha sottolineato come, essendo un sistema integrato, i soggetti che vi partecipano
sono molti e si parla di attori del sistema tutti coinvolti ciascuno con le proprie competenze ma è la società
che deve definire delle regole di coordinamento che devono esser chiare e precise. Solo così la governance è
in grado di massimizzare efficienza del SCI e gestione dei rischi e per poterlo massimizzare deve definire per
ciascuno di questi attori coinvolti, delle proprie funzioni chiare e precise e delle proprie responsabilità in
merito. Altrimenti c’è il rischio che le attività vengano duplicate e la duplicazione crea caos e inefficienza.
Quindi le ultime due righe del principio 3 sono fondamentali perché dice che ci sono molti soggetti ed è
chiaro che ognuno deve dare il contributo ma le società stesse devono definire regole chiare e precise per
evitare duplicazioni.
La schematizzazione sotto è riportata la struttura di riferimento di tutti quei soggetti definiti interlocutori di
un sistema integrato e ampliato.
35
Internal Audit Sara Inzillo
Struttura di riferimento ai sensi de Codice diAutodisciplina
Al centro abbiamo il SCI centrale perché è una struttura che catalizza e tutti gli altri ruotano intorno. E
possiamo vedere da destra che troviamo l’altro organo direttamente impattante sul SCI ossia il CdA che
definisce le linee guida ed è l’organo responsabile in toto delle linee guida e la valutazione.
All’interno del CdA viene definito un comitato specifico per il controllo interno che svolge una serie di
funzioni consultive a disposizione del CdA e all’interno del CdA vi è l’amministratore delegato preposto al
controllo interno. Quindi l CdA e il comitato peril controllo interno riferiscono ad altri preposti per il
controllo interno.
Dopo abbiamo il ruolo importante dell’AD che progetta, gestisce e monitora direttamente il SCI perché l’AD
è l’amministratore con la delega da parte del CdA di esser supervisore con pieni poteri relativo a
progettazione e gestione del SCI.
È lo stesso AD, se ritiene indispensabile, definire altri preposti al controllo interno con cui interagisce
direttamente. Tutto questo dipende dalle dimensioni della società.
Poi abbiamo, a sinistra, i sindaci (membri del collegio sindacali che sono soggetti esterni alla società perché
nominati da assemblea ma non vincolati da rapporti coordinai e continuativi con la società perché svolgono
la loro funzione in autonomia e hanno il compito di vigilare sull’adeguatezza del SCI e di interagire con
internal auditing).
Internal auditing è in giallo perché a differenza degli altri organi di diretta derivazione del CdA, l’internal
auditing può esser un manager esterno assunto per svolgere le sue funzioni di internal auditing.
Anche il CdA come organo è fuori il perimetro di demarcazione della governance come il collegio sindacale
perché anche i membri del CdA sono nominati dall’assemblea degli azionisti e sono soggetti indipendenti
(alcuni no) ma non sono vincolati alla governance stessa.
Questo schema sintetizza l’architettura del sistema di controllo interno e identifica i soggetti che operano e
danno il contributo al codice di autodisciplina per il buon funzionamento del SCI.
36
Internal Audit Sara Inzillo
Il Codice di Autodisciplina
7.P.4. Il comitato controllo e rischi è composto da amministratori indipendenti (titolo). In alternativa, il
comitato può essere composto da amministratori non esecutivi, in maggioranza indipendenti; in tal caso, il
presidente del comitato è scelto tra gli amministratori indipendenti. Se l’emittente è controllato da altra
società quotata o è soggetto all’attività di direzione e coordinamento di un’altra società, il comitato è
comunque composto esclusivamente da amministratori indipendenti. Almeno un componente del comitato
possiede un’adeguata esperienza in materia contabile e finanziaria o di gestione dei rischi, da valutarsi da
parte del consiglio di amministrazione al momento della nomina. → quindi è all’interno del CdA. Gli
amministratori sono di due tipi
• Dipendenti →rappresentano chi ha la maggioranza del capitale sociale. Cioè nominati dagli azionisti
di maggioranza pescati nella listi dalle liste di maggioranza.
• Indipendenti → pescati dalle liste di minoranza.
Il comitato può esser composto da amministratori non esecutivi, se sono dipendenti è importante che non
siano esecutivi ovvero non dotati di deleghe e di poteri decisionali. Per far si che il comitato sia espressione
di tutti gli stakeholders e tutti investitori anche di minoranza il presidente deve esser tra amministratori
indipendenti. Se abbiamo a che fare con una società controllata da società quotata è necessario che questo
comitato sia costituito da amministratori indipendenti. All’interno del comitato controllo rischi ci deve esser
un amministratore con esperienza in materia contabile (dottore commercialista, esperto contabile, revisore
o che abbia maturato un’esperienza in merito).
37
Internal Audit Sara Inzillo
Il Codice di Autodisciplina
7.C.1. Il consiglio di amministrazione, previo parere del comitato controllo e rischi: → il Cda, previo parere
del comitato controllo e rischi. Perché il comitato controllo e rischi, ogni volta che il Cda si esprime circa
questi punti, deve avere il benestare o un confronto con comitato controllo rischi.
a) definisce le linee di indirizzo del sistema di controllo interno e di gestione dei rischi, in modo che i
principali rischi afferenti all’emittente e alle sue controllate risultino correttamente identificati, nonché
adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi
con una gestione dell’impresa coerente con gli obiettivi strategici individuati; funzione di definire le
linee di indirizzo che deve svolgere il sistema integrato finalizzato alla mappatura dei principiali rischi.
Nonché bisogna esser capace di utilizzare degli strumenti per fronteggiarli. Il tutto deve esser coerente
con gli obiettivi individuati dalla governance stessa e con le strategie individuate.
b) valuta, con cadenza almeno annuale, l’adeguatezza del sistema di controllo interno e di gestione dei
rischi rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto, nonché la sua efficacia;
rendicontazione annuale. Nel caso vengano evidenziate carente deve individuare cause, motivarle e
prevedere strategie per superare le carenze.
c) approva, con cadenza almeno annuale, il piano di lavoro predisposto dal responsabile della funzione di
internal audit, sentiti il collegio sindacale e l’amministratore incaricato del sistema di controllo interno
e di gestione dei rischi; definisce il piano di lavoro annuale delle funzioni di internal auditing prima di
approvare il piano dei lavori servono il parere del collegio sindacale e amministratore. Questo piano è
redatto dal management con l’incarico di internal auditor di riferimento.
d) descrive, nella relazione sul governo societario, le principali caratteristiche del sistema di controllo
interno e di gestione dei rischi e le modalità di coordinamento tra i soggetti in esso coinvolti, esprimendo
la propria valutazione sull’adeguatezza dello stesso; A fine anno, quando le società quotate sono
obbligate a presentare la relazione sul governo societario, il Cda predispone una relazione ad hoc con
riferimento alle caratteristiche del SCIGR e le modalità di coordinamento messe in atto tra i vari soggetti.
In questa relazione esprime una sua valutazione sull’adeguatezza dello stesso sistema.
e) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di
suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale. → il
revisore legale dei conti è soggetto esterno che si occupa del controllo contabile è tenuto ad esprimere
un giudizio sull’adeguatezza del sistema di controllo interno. Relativamente alle comunicazioni che il cda
ricede da società di revisione si confronta con il collegio sindacale e valuta i risultati in merito al
funzionamento del sistema di controllo interno eventualmente suggerimenti e carenze che la società di
revisione fornisce in merito e chiede un confronto con collegio sindacale e valuta la fondatezza e se
recepire o meno ed eventualmente le correzioni da mettere in atto.
Il consiglio di amministrazione, su proposta dell’amministratore incaricato del sistema di controllo interno e
di gestione dei rischi e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio
38
Internal Audit Sara Inzillo
sindacale:
- nomina e revoca il responsabile della funzione di internal audit;
- assicura che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie responsabilità;
→ ovvero solitamente la funzione di internal audit è supportata da un minimo di staff. L’internal audit
definisce un vero e proprio dipartimento al capo del quale vi è un responsabile ma è supportato da una
serie di collaboratori. È lo stesso Cda che quando nomina il responsabile, sentite le esigenze del
responsabile, verifica le risorse umane e non che devono esser date in dote per svolgere al meglio la
funzione per espletare al meglio la sua funzione.
- ne definisce la remunerazione coerentemente con le politiche aziendali. → i manager che si occupano
di internal audit sono anche soggetti apicali che rivestono una funzione complessa per cui ci vogliono
conoscenze e preparazione tecnica quindi sono funzioni ben remunerazioni. Questa remunerazione
viene concordata e definita dallo stesso Cda che procede alla nomina.
Consiglio di Amministrazione
qui sotto vi è una sintesi delle attività operative del Cda, ovvero le più importanti/significative.
• Definisce la natura ed il livello di rischio compatibile con gli obiettivi strategici dell’impresa→ dopo
aver mappato i rischi e dopo che la società ha definito il livello di rischio accettabile, ovvero
compatibile con gli obiettivi e la struttura/dimensione dell’impresa. Ogni Cda sa perfettamente il
profilo di rischio e questo è il punto di lettura per la corretta implementazione del SCIGR.
• Valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabilecon particolare riferimento
al sistema di controllo e gestione dei rischi:
1. almeno una volta all’anno
2. rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto
3. anche valutazione di efficacia
il Cda ha un ruolo importante nel definire e implementare il SCI e il SCIGR è un sistema integrato con cui
interagiscono tutti i soggetti direttamente o indirettamente coinvolti, il Cda deve valutare attentamente
l’adeguatezza di un sistema che deve interagire con il SCIGR.
Per questo ogni anno è obbligato a valutare adeguatezza nel rispetto delle caratteristiche di impresa e
profilo di rischio assunto con attenta valutazione nella corrispondenza tra SCI e l’efficienza del sistema di
controllo interno.
39
Vediamo i ruoli e le funzioni svolte da altri due attori coinvolti nel sistema SCIGR ovvero
amministratore incaricato del sistema di controllo interno e gestione dei rischi (principio di
riferimento 7.C.4) e l’internal auditor.
Il Codice di Autodisciplina
7.C.4. L’amministratore incaricato del sistema di controllo interno e di gestione dei rischi:
a) cura l’identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche
delle attività svolte dall’emittente e dalle sue controllate, e li sottopone periodicamente
all’esame del consiglio di amministrazione; → il preposto al SCIGR tra le sue attività spicca
quella di focalizzarsi su mappatura, identificazione dei principali rischi aziendali. Infatti il
primo compito è identificare i principali rischi aziendali e sottoporli al Cda.
b) dà esecuzione alle linee di indirizzo definite dal consiglio di amministrazione, curando la
progettazione, realizzazione e gestione del sistema di controllo interno e di gestione dei
rischi e verificandone costantemente l’adeguatezza e l’efficacia; → questa seconda
funzione avviene dopo una stretta interazione con Cda in quanto è il Cda che ha il compito
di definire e di implementare il SCIGR. L’amministratore incaricato è colui che da
esecuzione alle linee di indirizzo e ha anche il compito di verificare costantemente
adeguatezza ed efficacia.
c) si occupa dell’adattamento di tale sistema alla dinamica delle condizioni operative e del
panorama legislativo e regolamentare; → nel momento in cui il contesto economico o
legislativo varia l’Amministratore incaricato SCIGR verifica se il SCIGR è allineato o meno
con le modifiche e si occupa di procedere alla messa a punto di idonei adattamenti.
d) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree
operative e sul rispetto delle regole e procedure interne nell’esecuzione di operazioni
aziendali, dandone contestuale comunicazione al presidente del consiglio di
amministrazione, al presidente del comitato controllo e rischi e al presidente del collegio
sindacale; → quando amministratore incaricato SCIGR (da qui in poi chiamato
amministratore)ritiene che ci siano aree critiche (circa mappatura e identificazione dei
principali rischi aziendali) può chiedere, interagendo con la funzione di internal auditing di
implementare delle specifiche verifiche finalizzate a capire le carenze, limiti etc… ovvio
sempre interagendo con il Cda, con il comitato di controllo e rischi e con il Collegio
sindacale.
e) riferisce tempestivamente al comitato controllo e rischi (o al consiglio di amministrazione)
in merito a problematiche e criticità emerse nello svolgimento della propria attività o di
cui abbia avuto comunque notizia, affinché il comitato (o il consiglio) possa prendere le
opportune iniziative per superare i limiti e criticità evidenziate. → l’amministratore per
svolgere in modo completo e adeguato le sue funzioni deve interagire con gli altri
principali attori del sistema.
Il Codice di Autodisciplina
7.C.5. Il responsabile della funzione di internal audit:
a) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli
standard internazionali, l’operatività e l’idoneità del sistema di controllo interno e di
gestione dei rischi, attraverso un piano di audit, approvato dal consiglio di
amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei
principali rischi; → vedremo il riferimento al piano di audit che è il documento più
importante di programmazione per la mappatura e gestione dei rischi che mette in atto
l’internal audit che ha il compito di definire il piano di audit e per farlo deve conoscere le
40
caratteristiche del SCIGR perché il piano deve esser allineato con le operatività, l’efficacia
e l’efficienza dello stesso sistema di controllo interno e di gestione dei rischi. Quindi deve
1) dedicarsi ad un’analisi dei principali rischi
2) deve definire il piano di audit allineato al SCIGR
b) non è responsabile di alcuna area operativa e dipende gerarchicamente dal consiglio di
amministrazione; → questa è a tutti gli effetti il suo ruolo, ovvero è una funzione di staff
in quanto non è a capo di una specifica area operativa in quanto è di supporto al Cda.
Anche da un punto di vista gerarchico dipende dal Cda.
c) ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico; → per
definire il piano di audit e che tutto sia allineato a operatività e idoneità al SCIGR deve
avere accesso a 360 gradi a tutte le informazioni per svolgere al meglio il suo incarico.
d) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività,
sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani
definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione
sull’idoneità del sistema di controllo interno e di gestione dei rischi; → durante la normale
operatività è obbligato a produrre diverse relazioni. Secondo una tempistica e una
periodicità stabilita con il Cda (bimestrale, semestrale etc.) dove rendiconta l’attività
svolta nel periodo di riferimento avendo come principale riferimento la sua attività la
gestione dei rischi e la realizzazione del piano di audit definito e approvato. In queste sue
relazioni esprime l’idoneità del SCIGR e se ritiene limiti o carenze le evidenzia nelle
relazioni periodiche per provvedere alle rettifiche riportate.
e) predispone tempestivamente relazioni su eventi di particolare rilevanza; → oltre alle
relazioni periodiche obbligatorie, in caso di eventi di straordinaria importanza per cui è
necessario un suo intervento lo fa predisponendo apposite relazioni di dettaglio.
f) trasmette le relazioni di cui ai punti d) ed e) ai presidenti del collegio sindacale, del
comitato controllo e rischi e del consiglio di amministrazione nonché all’amministratore
incaricato del sistema di controllo interno e di gestione dei rischi; → internal audit quando
definisce queste relazioni è obbligato a trasmetterne copie ai presidenti dei vari organi.
g) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi
di rilevazione contabile. → compito importante perché dopo aver definito il piano di audit
e durante la fase di realizzazione delle disposizioni contenute nel piano di audit va a
verificare se i sistemi informativi son adeguati e affidabili per realizzare il piano di audit.
Internal Auditor (slide di sintesi in cui si riportano dal punto di vista pratico le
attività svolte)
Svolge un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al
miglioramento dell'efficacia e dell’efficienza dell'organizzazione. → quali sono gli aggettivi
importanti?
41
➢ Indipendente
➢ Obbiettiva
➢ Di assurance → di garanzia e sicurezza
➢ Attività di consulenza → soprattutto se assegnata a soggetto esterno è una vera e
propria attività di consulenza.
Assiste la Direzione nel perseguimento dei propri obiettivi tramite un approccio professionale
sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi
di controllo, di gestione dei rischi e di corporate governance. →è di supporto totale della
direzione. Contribuisce e condivide con direzione il perseguimento degli obiettivi.
un approccio professionale sistematico → deve esser dotato di un suo modus operandi (un suo
approccio organizzativo) che deve esser professionale e poi secondo dei piani sistematici precisi.
questa elencazione mostra che il riferimento è alle norme a sottolineare che la funzione di
compliance è una funzione (per questo spesso è attuata da dei giuristi) volta ad andare a
verificare la conformità dell’operatività della società con la normativa di riferimento. Per
questo assume un ruolo fondamentale il riferimento alle norme. Infatti in questi 7 punti il
riferimento a norme, adeguamenti e procedure, assicurazione, discordanza tra norme in vigore
e operatività è molto forte. Questo sottolinea che per una società oggi essere compliance
(compliàns) vuol dire rispettare la compliance che vuol dire conformità dell’attività alle
norme e regolamenti e agli statuti. Secondo un approccio giuridico.
Abbiamo fin qui analizzato i principi di riferimento che disciplinano gli attori del SCI. Si tratta di
principi molto precisi e dettagliati e quindi vanno studiati con specifico di riferimento con le
disposizioni stesse al codice di autodisciplina.
42
Riprendendo l’elenco di tutte le principali normative chedal ’98 sono state recepite
nell’ordinamento italiano e contengono disposizioni che hanno impattato sull’evoluzione del
SCI. Abbiamo già visto il TUF (legge Draghi), abbiamo visto il codice di autodisciplina. Oggi
vediamo D.lgs 231/2001 che ha arrecato degli impatti sul sistema di controllo interno
significativi. Anche questa normativa ha preso riferimento dalle principali normative
internazionali (soprattutto americane) degli anni precedenti.
L’Organismo di Vigilanza – d.lgs. 231/2001
Il D.Lgs 231/2001, ha statuito una responsabilità “quasi penale”, ovvero amministrativa, in capo
agli enti collettivi colpevoli di aver commesso un reato tra quelli esplicitamente previsti dal citato
decreto nell’interesse o vantaggio dell’ente.
Questa normativa si è ispirato a sua volta al Foreign Corrupt Practices Act del 1977(USA che
abbiamo visto inizialmente)
Se la società è in grado di dimostrare di aver rispettato tutte queste fattispecie allora non sarà
condannata, viceversa sarà sottoposta alle condanne e sanzioni previste dal decreto stesso.
Infatti il decreto 231/2001 prevede delle sanzioni.
Le tipologie di sanzioni sono 4 ovvero:
SANZIONI
❑ Sanzioni Pecuniarie: calcolate in base ad un sistema a quote. Ovvero, viene determinato,
sulla base della gravità del fatto commesso, dei criteri soggettivi del colpevole, ecc… il
numero di quote e il valore unitario che moltiplicati determinano la sanzione pecuniaria
applicata. → bisogna determinare la gravità del fatto commesso, i criteri soggetivi del
colpevole, determinando il valore delle quote si fa una moltiplicazione e poi la sanzione
pecuniaria viene calcolata.
43
❑ Sanzioni Interdittive: vanno dalla sospensione/revoca di autorizzazioni o licenze, divieto di
contrattare con la PA, esclusione di agevolazioni, finanziamenti, contributi o sussidi, divieto
di pubblicizzazione di beni e servizi, fino all’interdizione perpetua dall’attività svolta
dall’ente. → L’elencazione delle sanzioni interdittive sono molte e di varia entità in base
alla gravità del reato.
❑
❑ Confisca: del prezzo o profitto del reato commesso.
ELENCO REATI
L’elenco dei reati, dal 2001 ad oggi, è evoluto ed è modificato più volte perché a determinate
scadenze il nostro ordinamento ritiene opportuno intervenire aggiornando reati e
aggiungendone degli altri. La situazione dei reati aggiornata a novembre 2019 (ultimo
aggiornamento) prevede 23 reati che sono variegati e vanno da un’indebita percezione fino a
delitti informatici etc..
1. Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per
il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un
ente;
2. Delitti informatici e trattamento illecito di dati;
3. Delitti di criminalità organizzata;
4. Concussione, induzione indebita a dare o promettere altra utilità e corruzione;
5. Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di
riconoscimento;
6. Delitti contro l’industria e il commercio;
7. Reati societari;
8. Reati con finalità di terrorismo o di eversione dell’ordine democratico previsti dal Codice
penale e dalle leggi speciali;
9. Pratiche di mutilazione degli organi genitali femminili;
10. Delitti contro la personalità individuale;
11. Reati di abuso di mercato;
12. Altre fattispecie in materia di abusi di mercato;
13. Reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione
delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro;
14. Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita,
nonché autoriciclaggio;
15. Delitti in materia di violazione del diritto d’autore;
16. Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità
giudiziaria;
17. Reati ambientali; → è verso la fine proprio perché rispecchiano la recente attenzione
agli aspetti ambientali.
18. Impiego di cittadini di paesi terzi il cui soggiorno è irregolare;
19. Razzismo e xenofobia;
20. Frode in competizioni sportive, esercizio abusivo di gioco o di scommessa e giochi
d'azzardo esercitati a mezzo di apparecchi vietati;
21. Reati Tributari;
22. Responsabilità degli enti per gli illeciti amministrativi dipendenti da reato;
23. Reati transnazionali.
Questo è un elenco aggiornato, chiaro ed esplicito. Se la società non dimostra di aver posto in
esser gli strumenti per fronteggiare questi reati viene condannata secondo le sanzioni viste.
44
Inoltre, è richiesta l’introduzione di un organo interno dell’azienda, che si occupi di vigilare
sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento, avendo
autonomi poteri di iniziativa e di controllo: questo è l’Organismo di Vigilanza (OdV) → ha la
funzione di vigilare su funzionamento e osservanza del modello da parte della società.
Dall’analisi delle disposizioni contenute nel Decreto si evince chiaramente che l’OdV non può
essere identificato con un organo sociale già previsto, quale per esempio il Collegio Sindacale o
il Comitato di un Audit, in quanto il legislatore utilizza l’espressione “organismo dell’ente” a
sottolineare un’entità distinta e separata» Infatti se il legislatore non avesse ritenuto
importante attribuire questa specifica funzione di vigilanza ad un nuovo organismo ad hoc
preposto poteva affidare questa funzione ad uno dei tanti organi di controllo presenti nella
società stessa quali il collegio sindacale o comitato per il controllo interno. Ma proprio per
sottolineare che deve essere una attività di vigilanza svolta da un nuovo ente autonomo e la sua
attività di monitoraggio deve esser totalmente distinta e separata che il decreto ha ritenuto
introdurre e costituire un nuovo organo di controllo.
Questa decisione non è piaciuta alle società che, l’introduzione di un nuovo organo, devono
sostenere ulteriori costi. Soprattutto per le società di piccole dimensioni, infatti il decreto
sottolinea che questo decreto deve esser recepito da parte di tutte le società e non solo le medio
grandi. Soprattutto infatti da parte delle piccole ed è sempre stata sottolineata l’importanza di
rispetto di tale decreto per le società di piccole dimensioni.
Negli anni, siccome l’attività di controllo, è diventata più elevata si sono fatte strada più ipotesi
da parte degli imprenditori per cercare di contenere i costi e per applicare delle forme di
semplificazione. Così sono state avanzate tante richieste per richiedere di attribuire le specifiche
funzioni svolte dall’organismo di vigilanza ad uno degli organi già in essere (es collegio sindacale
o comitato controllo interno). Al momento se ne discute ancora ma l’organismo di vigilanza
continua ad esistere.
Per quanto riguarda le attività che competono all’organismo (attività specifiche dell’OdV),
esse sono molte fra cui le principali:
1) il controllo e la verifica dell’effettività del modello di vigilanza adottato e della sua
osservanza;
2) il controllo e la verifica dell’idoneità del modello adottato a prevenire il verificarsi dei
reati- presupposto;
3) predisporre le proposte di intervento sul modello adottato al fine di aggiornare lostesso;
4) l’adozione di iniziative finalizzate a diffondere, in ambito societario, la conoscenza del
modello e la formazione del personale; → importante soprattutto nel 2001 e a seguire
soprattutto nei primi anni di costituzione perché una volta costituiti i primi organismi di
vigilanza tra le varie funzioni c’è stato quello di divulgare la novità normativa tra il
personale: la conoscenza del modello organizzativo e l’osservanza del modello stesso. A
tal fine è stata molto importante il supporto e attività svolta da membri organismi
vigilanza per formare personale in merito.
5) l’accertamento delle segnalazioni relative alla violazione del modello e l’eventuale
segnalazione dell’organo dirigente; → OdV è obbligato a recepire, da parte di tutte le
risorse della società, eventuali segnalazioni ad attestare che il modello non viene
rispettato o non funziona correttamente.
6) la predisposizione di relazioni informative tanto di quelle programmate quanto di quelle
che si dovessero rendere necessarie nello svolgimento dell’incarico. → anche l’OdV è
obbligato a predisporre relazioni informativi in relazione alla loro attività ma soprattutto
con riferimento alle considerazioni che l’organo fa e recepisce della bontà o meno
dell’organismo adottato dalla società questo anche per eventualmente condividere
aggiornamenti e modifiche che si rendono necessarie.
Per l’elaborazione di tale modello è necessario seguire quanto stabilito dal Decreto, ovvero
(art.6):
a) analisi delle attività in cui possono essere commessi reati (mappatura dei rischi);
b) stabilire precisi protocolli con lo scopo di pianificare le modalità con cui vengono
prese e attuate le decisioni dell’ente in relazione ai reati da prevenire.
Queste sono le due linee guida dell’art 6 per definire al meglio il modello di
organizzazione e gestione finalizzato alla gestione dei rischi.
45
Nelle varie normative consideriamo solo gli aspetti riguardanti gli impatti nel SCI
Riforma del diritto societario 2003
Nel percorso evolutivo della normativa italiana dei controlli societari, un ruolo importante è stato
ricoperto anche dalla riforma del diritto societario, di cui al D.lgs. 17 gennaio 2003 in vigore dal
1° gennaio 2004. Detta riforma rappresenta un importante momento evolutivo della disciplina
dei sistemi di controllo.
Fino al 2003, infatti, l’unico riferimento testuale all’attività di controllo era contenuto nell’art.
2403 cod. civ. ove si disponeva che il Collegio Sindacale doveva controllare l’amministrazione
della società
1. Questa riforma si verifica subito dopo quel periodo di gravi crisi finanziari causate da
frodi e mal gestione o mal governo. Ad esempio il caso Parmalat quindi anche il nostro
legislatore ha pensato di provvedere a redigere delle regole di governance per prevedere
e sottolineare l’importanza delle responsabilità e i ruoli di ciascun organo nei sistemi di
corporate governance.
2. Un altro aspetto importante è il dover allineare il diritto societario alle normative degli
altri paesi. Infatti una novità è il fatto di aver previsto, in aggiunta al modello di
governance italiano, nel nostro ordinamento altri due modelli di corporate governance:
a. Monistico
b. Dualistico
Dando la facoltà alle società di scegliere il modello di governance opportuno.
Sotto vi sono le altre novità
NOVITA’
1) un’estensione anche alle società non quotate dei “problemi di definizione ed
implementazione del Sistema di Controllo Interno;
2) la riforma ha assegnato al “Consiglio di Amministrazione di tutte le imprese azionarie, ivi
incluse quelle quotate, un ruolo di monitoring sull’attività gestoria curata dagli
amministratori esecutivi”, aumentando in tal modo il numero dei membri dell’organizzazione
che possono essere considerati parte del Sistema di Controllo Interno;
3) il processo di riforma e armonizzazione del diritto societario sia stato avviato nel momento
in cui le notizie degli scandali societari americani si diffondevano nel vecchio continente e
per superare nuove crisi finanziarie (in Italia, caso Parmalat, Vivendi, Adecco, Cirio)
Ma non è stata prevista nessuna chiara definizione né obblighi per le società non quotate.
Come a sottolineare che, ancora nel 2003, la definizione di sistema di controllo interno fosse
una faccenda riguardante le società medio-grandi e quotate.
46
Modello Tradizionale (o modello italiano)
Nel modello tradizionale, l’art. 2403 affida il compito di “vigilare sull’osservanza della legge e
dello statuto, sul rispetto dei principi di corretta amministrazione ed in particolare
sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società
sul suo concreto funzionamento».
Si denota che il Collegio Sindacale nasce come controllo in ogni ambito e totalitario. La riforma
del diritto societario chiarisce e dettaglia le due tipologie di controllo che esistono:
1) Il controllo contabile (controllo sui documenti contabili), che viene attribuito ad un revisore
contabile o ad una società di revisione iscritta nell’apposito registro ai sensi art. 2409-bis,
tranne nel caso in cui la società non faccia ricorso al mercato dei capitali di rischio e non
debba predisporre il bilancio consolidato, per cui lo statuto può affidare tale controllo al
Collegio Sindacale
Quindi, ai sensi della riforma societaria del 2003, nelle imprese minori il collegio sindacale
svolge due tipi di controllo: contabile e di legalità.
2) Il controllo di legalità, che compete al Collegio Sindacale che deve essere svolto secondo le
disposizioni dell’art. 2403 c.c., nonché in particolare per le società quotate ai sensi dell’art.
149 del TUF. Questo articolo afferma che: “Il Collegio Sindacale dovrà anche nell’ambito
dell’attività di controllo procedere alla verifica della corrispondenza tra il bilancio di esercizio
(o consolidato) e le risultanze delle scritture contabili, degli accertamenti eseguiti e della
conformità alle norme che lo disciplinano. Dovrà inoltre esprimere, con apposita relazione, un
giudizio sul bilancio di esercizio e sul bilancio consolidato.”
Questo sottolinea che appartiene alla funzione del controllo di legalità svolto dal collegio
sindacale anche quelle attività di controllo di tipo contabile. Anche se non entra nel merito
della revisione legale dei conti. Il controllo contabile consiste nel fare un controllo se i dati di
bilancio sono allineati con i dati risultanti dalle scritture contabili e se il bilancio è fatto con le
corrette norme. A tal fine deve esser redatta dal collegio sindacale una relazione che rientra
nei documenti del bilancio.
Modello Monistico
47
L’organo più importante di questo modello è il Cda. Infatti noi abbiamo assemblea di azionisti
che nomina Cda che al suo interno costituisce un comitato per il controllo sulla gestione.
Questo modello viene criticato perché il Comitato per il controllo sulla gestione, che svolge un
controllo interno sulla gestione, non è in grado di dimostrare l’indipendenza. Cioè i membri del
comitato sono membri designati dal Cda e presi dal suo interno. Quindi l’organo di controllo
interno è costituito e formato dagli stessi amministratori che definiscono le politiche gestorie
ed è come se si autocontrollassero.
Nel modello monistico, di origine statunitense, l’assemblea degli azionisti nomina il Consiglio di
Amministrazione a cui compete l’attività gestoria.
In pratica il consiglio di sorveglianza nel modello dualistico svolge le stesse funzioni che svolge
48
(in modello tradizionale) il collegio sindacale. Viceversa il consiglio di sorveglianza nomina il
comitato di gestione (organo gestorio in quanto ha le funzioni di amministrazioni della società).
Quest’ultimo è paragonabile al consiglio di amministrazione.
Quando nel 2003 questi modelli alternativi sono stati introdotti sin da subito le società
quotate, seppur potessero scegliere, quasi tutte ha riconfermato il modello tradizionale
italiano perché quello monistico e quello dualistico erano lontane dalla cultura e dalla
impostazione di una regolamentazione italiana. Ma ci sono state alcune eccezioni, alcune
banche hanno optato per il modello dualistico, ma poi si son riconvertite al modello
tradizionale. Anche al momento la quasi totalità delle società italiane ha implementato un
modello organizzativo basato sul modello tradizionale italiano.
Considerazioni Conclusive
Questa riforma ha detto poco, non ha definito o istituzionalizzato uno specifico organo
denominato di sistema di controllo interno. Da questo punto di vista riconosciamo che
sicuramente nel 1998 il TUF ha dato maggior contributo nel nostro ordinamento relativamente
al sistema di controllo interno in quanto ha istituzionalizzato il SCI pur riservando tutto ciò per
le società quotate in quanto il TUF si rivolge alle quotate.
1) Il D.lgs. 58/1998 ha istituzionalizzato, soprattutto nelle strutture societarie di grandi
dimensioni, la funzione dell’Internal Audit.
2) Ciò ha comportato la diffusione a livello societario della costituzione di un organo diretto a
sovraintendere il Sistema di Controllo Interno: il Comitato per il Controllo Interno. Trattasi
di un’articolazione organizzata del Consiglio di Amministrazione, nominato dal Consiglio
stesso e composto da un certo numero di amministratori non esecutivi che non rivestano
funzioni direttive. È regolato dal Codice di Autodisciplina di Borsa Italiana spa. → definendo
che il Comitato per il controllo interno è un’articolazione del CdA ha introdotto una vera e
propria novità. Ed è una delle poche grandi novità introdotte da questa riforma del diritto
societario. Il fatto che il Comitato è regolato dal codice di autodisciplina sottolinea come il
legislatore con riforma del 2003 nulla ha disciplinato in merito. Si è limitato a dire che si
tratta di un organo designato dal Cda ma nulla di specifico a tale comitato.
L’unico riferimento al Comitato per il controllo interno è quello del 2409 octiesdecies:
3) La riforma del diritto societario nulla ha disposto riguardo alla istituzione e
regolamentazione del comitato per il controllo interno, lasciata di fatto alla discrezionalità
della società. L’unico riferimento al comitato per il controllo interno previsto dalla riforma
è contenuto nell’art. 2409 octiesdecies, c. 5, c.c. che recita: “tra le competenze del
comitato del controllo per la gestione è inclusa la vigilanza sull’adeguatezza di tale
sistema”. → tra le competenze che la riforma del diritto societario attribuisce al comitato
per il controllo della gestione vi è anche quello di vigilare sull’adeguatezza del sistema di
controllo interno. Paradossalmente sembra che il nostro legislatore ha meglio disciplinato
il sistema di controllo interno dando maggior enfasi nel modello monistico.
4) Secondo la normativa, il Sistema di Controllo Interno assume rilievo esclusivamente nel
modello monistico. → perché il comitato interno è designato all’interno del Cda e se
leggiamo articoli del codice che chiariscono le funzioni del comitato per il controllo interno
nel sistema monistico ci sono chiari riferimenti al sistema di controllo interno.
49
Completiamo analisi delle normative che hanno contribuito all’evoluzione del SCI. Restano da
vedere:
➢ Legge 262/2005
➢ D.lgs 39/2010
➢ D.lgs 14/2019 CCI che ha introdotto il codice della crisi e dell’insolvenza.
La nuova normativa è stata certamente prevista con il fine di allinearsi sempre più agli
orientamenti internazionali- anglosassoni
50
finanziario.
4. Il consiglio di amministrazione vigila affinché il dirigente preposto alla redazione dei
documenti contabili societari disponga di adeguati poteri e mezzi per l'esercizio dei compiti
a lui attribuiti ai sensi del presente articolo, nonché sul rispetto effettivo delle procedure
amministrative e contabili.
5. Gli organi amministrativi delegati e il dirigente preposto alla redazione dei documenti
contabili societari attestano con apposita relazione sul bilancio di esercizio, sul
bilancio semestrale abbreviato e, ove redatto, sul bilancio consolidato:
a) l'adeguatezza e l'effettiva applicazione delle procedure di cui al comma 3 nel corso del
periodo cui si riferiscono i documenti;
b) che i documenti sono redatti in conformità ai principi contabili internazionali
applicabili riconosciuti nella Comunità europea ai sensi del regolamento (CE) n.
1606/2002 del Parlamento europeo e del Consiglio, del 19 luglio 2002;
c) la corrispondenza dei documenti alle risultanze dei libri e delle scritture contabili;
d) l'idoneità dei documenti a fornire una rappresentazione veritiera e corretta della
situazione patrimoniale, economica e finanziaria dell'emittente e dell'insieme delle
imprese incluse nel consolidamento;
e) per il bilancio d'esercizio e per quello consolidato, che la relazione sulla gestione
comprende un'analisi attendibile dell'andamento e del risultato della gestione, nonché
della situazione dell'emittente e dell'insieme delle imprese incluse nel consolidamento,
unitamente alla descrizione dei principali rischi e incertezze cui sono esposti;
f) per il bilancio semestrale abbreviato, che la relazione intermedia sulla gestione
contiene un'analisi attendibile delle informazioni di cui al comma 4 dell'articolo 154-ter.
5-bis. L'attestazione di cui al comma 5 è resa secondo il modello stabilito con
regolamento dalla Consob.
6. Le disposizioni che regolano la responsabilità degli amministratori si applicano
anche ai dirigenti preposti alla redazione dei documenti contabili societari, in
relazione ai compiti loro spettanti, salve le azioni esercitabili in base al rapporto di
lavoro con la società.
Il Dirigente Preposto alla Redazione dei Documenti Contabili o CFO (parte importante
dell’art. 154-bis)
Al dirigente preposto sono attribuite numerose responsabilità, tra cui quella di certificare,
mediante una dichiarazione scritta, la corrispondenza dei dati indicati nei documenti e nelle
relazioni societarie rivolte al mercato con le risultanze documentali, i libri e le scritture contabili
nonché di predisporre adeguate procedure amministrative e contabili per la predisposizione del
bilancio d’esercizio ed eventualmente di quello consolidato (art. 154-bis, co. 2-3, TUF). → oltre
a certificare deve definire le procedure amministrative e contabili che la società deve seguire
per predisporre il bilancio e il consolidato. Molte di queste funzioni le svolge non da solo ma con
il consiglio di amministrazione.
Unitamente al consiglio di amministrazione, si occupa di stilare una relazione in cui attesti:
1) l'adeguatezza e l'effettiva applicazione delle procedure implementate;
2) la conformità dei documenti ai principi contabili internazionali;
3) la corrispondenza dei documenti alle risultanze dei libri e delle scritture contabili;
4) l'idoneità dei documenti a fornire una rappresentazione veritiera e corretta della
situazione patrimoniale, economica e finanziaria della società e delle imprese incluse
nell’area di consolidamento;
5) la presenza, nell’ambito della relazione sulla gestione, di un'analisi attendibile
dell'andamento e del risultato della gestione, nonché della situazione dell'emittente e
dell'insieme delle imprese incluse nel consolidamento, unitamente alla descrizione dei
principali rischi e incertezze cui sono esposti;
tante attività e la particolarità è che sono tutte in capo ad una persona fisica perché il dirigente
51
preposto è un attore del sistema di controllo delle società italiane ma tutto in capo ad una
persona fisica perché non è un organo collegiale. Tutto ciò è stato recepito in completo ossequio
delle disposizioni della SOX tale che gli addetti ai lavoro la definiscono SOX italiana.
La novità più rilevante è stata l’introduzione del dirigente preposto ma ha fornito anche altre
novità che impattano su organi di amministrazione e controllo. Quindi quella del dirigente è la
novità fondamentale ma anche queste novità hanno impattato:
La nuova normativa è intervenuta anche prevedendo altre novità che impattano sugli organi di
amministrazione e controllo.
1) Lo Statuto delle società può autonomamente stabilire le caratteristiche che devono
possedere i soggetti dedicati alla gestione e al controllo per garantire i requisiti di onorabilità
e indipendenza. → le caratteristiche fanno riferimento ai requisiti di onorabilità e
indipendenza. In tutto questo le società lo possono fare se lo Statuto lo recepisce però lo han
previsto tutti che ogni società detti delle regole proprie per scegliere amministratori e
controllori.
2) Per i soggetti adibiti al controllo sono previsti nuovi compiti fra cui il dovere di cooperare con
gli altri organi sociali ed effettuare specifici controlli al fine di verificare la concreta adozione
all’interno della società dei Codici di comportamento. → quindi la legge sul risparmio va a
sottolineare un aspetto importante. Visto che l’introduzione di un nuovo soggetto nelle
società italiane gli organi di controllo son numerosi. Quindi per evitare sovrapposizioni e
duplicazioni di ruoli di responsabilità diventa importante una certa cooperazione tra tutti i
soggetti. Il fatto che siano aumentati non significa che deve esserci duplicazione ma che
ognuno deve svolgere al meglio le proprie funzioni con un ottica di cooperazione.
Vi è un’altra novità importante: la legge sul risparmio ha valorizzato la figura di controllo per
eccellenza di corporate governance ovvero il collegio sindacale:
Con riguardo al collegio sindacale, la legge sul risparmio conferma il suo ruolo di «organo di alta
vigilanza sull’adeguatezza dell’organizzazione imprenditoriale della società nel suo
complesso» anche introducendo la previsione di un nuovo dovere a carico dei sindaci. Essi sono
tenuti a vigilare sulla concreta applicazione delle regole di governance raccomandate nei
codici di comportamento adottati dalle emittenti (art. 149, co. 1, lett. c-bis, TUF), per cui «il
rispetto del codice di autodisciplina diviene a pieno titolo oggetto della vigilanza del collegio
sindacale».
{“di alta vigilanza” → a sottolineare il ruolo apicale che svolge il collegio sindacale tra gli organi
di controllo. Lo ha fatto introducendo un nuovo dovere. }
52
Riconferma di una statuizione del diritto societario del 2003 che per le società quotate la
revisione legale dei conti deve esser esterna.
2. Le disposizioni previste dall’art. 19 che, in linea con le Disposizioni della Banca d’Italia sulla
governance delle società bancarie emanate nel 2008, assegnano al collegio sindacale (e ai
corrispondenti organi di controllo nei sistemi alternativi) il compito di occuparsi, in qualità
di “comitato per il controllo interno e la revisione contabile” (CCIRC), di alcune questioni
fondamentali della governance degli enti di interesse pubblico consolidato.
Possono affidare tale funzione al collegio sindacale, come disposto dall’art. 2409-bis c.c.
Questo secondo punto è un ulteriore conferma dell’importanza che il collegio sindacale riveste
nell’ordinamento italiano. Perché voler attribuire al CS anche questo ruolo che potrebbe esser
svolto da un apposito comitato, significa rafforzare il ruolo del CS. Infatti nel testo unico della
revisione il CS è un supervisore e coordinatore:
Tali modifiche sono state dettate dall’intento sia di rafforzare il ruolo del collegio, quale
«supervisore e coordinatore del complessivo e “policentrico” sistema dei controlli societari»
sia per assicurare una maggiore razionalizzazione dei controllori della società, assegnando ad
un organo già presente all’interno della società delle funzioni che altrimenti dovrebbero essere
affidate ad un nuovo attore.
Questo perché siamo nel 2010 e sono tanti gli organi che si occupano di controllo ma ciò non
toglie che ci vuole un po’ di coordinamento e razionalizzazione tra questi organi. E questo ruolo
e compito spetta al CS. → rafforza il ruolo del CS.
È famoso perché dopo molti anni in Italia viene riformato il diritto fallimentare. Non si parla più
di diritto fallimentare ma si parla oggigiorno (come si parla nel resto del mondo) di crisi di
impresa e di insolvenza e non più di diritto fallimentare.
NOVITA’ PER I CONTROLLI
(i cambiamenti sono molti ma quelli che a noi importano sono questi):
1. ADEGUATI ASSETTI ORGANIZZATIVI
Per quanto concerne gli assetti organizzativi con il Codice il Legislatore introduce una
serie di obblighi diretti a impattare e modificare la governance delle imprese, al fine di
allineare la gestione e gli assetti organizzativi alle indicazioni consolidate della dottrina
economica aziendale, i principali dei quali sono riassumibili in determinati obblighi
organizzativi e alcuni strumenti di allerta e in altre misure premiali dirette a
incoraggiare comportamenti virtuosi dell’imprenditore. → vuol dire che gli assetti
organizzativi siano tali per cui vi siano degli strumenti in grado di monitorare i rischi e
gli eventuali stati di crisi perché solo quelle soceità che si dotano di questi adeguati
assetti organizzativi sono capaci di cogliere per tempo quegli elementi di rischi che
possono impattare e portarla al default. Ma se sono capaci di mappare e prevenire
possono evitare di arrivare al default. È chiaro che per le società dotarsi di adeguati
assetti organizzativi vuol dire definire strumenti volti a captare per tempo eventuali
sintomi di rischio e una parte importante di questo ruolo deve esser svolta dal SCI.
Infatti per il codice di crisi e insolvenza l’implementazione del SCI è conditio sine qua
non per fare questo monitoraggio preliminare dello stato di eventuali segnali di crisi.
Questo compete non solo alle imprese quotate ma anche per le società piccole
2. AMPLIAMENTO ORGANI DI CONTROLLO
Relativamente all’ampliamento degli organi di controllo il riferimento è al novellato art.
2477 del c.c. che viene integrato e riscritto dall’art. 379 del Codice allo scopo di ampliare
53
notevolmente la platea delle S.r.l. che saranno obbligate a dotarsi di un organo di
controllo o del revisore. Ai sensi del nuovo 2477 del c.c. i parametri per la costituzione
dell’organo di controllo risultano così modificati:
Quindi viene sottolineato come anche per le piccole società diventa importante dotarsi di
organi di controllo perché il codice di crisi insolvenza all’art. 13 è intervenuto a modificare
dell’art. 2477 c.c. (art. che definisce i parametri a decorrere dal quale scatta l’organo di
costituire organo di controllo). Questi parametri sono stati abbassati quindi andando ad a
abbassare i parametri aumenta il numero di piccole società che devono costituire l’organo di
controllo → ci si riferisce principalmente alle srl.
In realtà i punti a e b non sono cambiati ma sono cambiati i parametri del c. Sottolineiamo che
si parla di aver superato almeno uno dei limiti. Quindi c’è stata una restrizione. Se una società
supera, per due esercizi consecutivi, supera anche solo uno di questi parametri ed è obbligata
ad istituire l’organo di controllo. Quindi questo sottolinea l’importanza degli organi di controllo
al punto che ne viene ampliato il numero di società che sono obbligati a costituirli.
Con questo abbiamo concluso l’analisi le principali normative introdotte nel nostro
ordinamento negli ultimi 20 anni. Ora ci occuperemo delle regole di funzionamento il collegio
sindacale.
54
Il collegio sindacale assume un ruolo fondamentale per i modelli di corporate governance.
Inoltre è un organo che esiste solo in Italia quindi solo nel nostro ordinamento e non ha
confronti con nessun altro paese. Quindi svolge un ruolo peculiare.
Poi il collegio sindacale così come esiste oggi con le sue funzionalità, caratteristiche e con la
sua funzione tipica di esser il controllore della legalità della società che si traduce in uno
svolgimento di attività di vigilanza sull’intera amministrazione della società era già presente più
di un secolo fa. Le origini di questo organo risalgono a ben prima del 1882 ovvero la
pubblicazione in Italia del primo Codice Civile di riferimento. Infatti nel 1882 è stato l’anno del
recepimento dei codici napoleonici. Esisteva prima del 1882 ma non era formalizzato in quanto
il codice precedente era quello del 1865 dove non vi è riferimento all’istituto del collegio
Sindacale ma vi sono testimonianze che in alcune società del tempo (compagnie) vi era un
organo che svolgeva un’attività di vigilanza al pari di quella svolta dal CS.
Collegio Sindacale - ante 1882 -
Codice di Commercio del 1865
Istituto del Collegio Sindacale non era ancora stato istituzionalizzato, di fatto era già molto
diffuso nella pratica degli Statuti delle principali compagnie forme dell’attività di vigilanza
sindacale:
- nella compagnia della Camera Imperiale di Comacchio del 1709;
- nell’Imperiale Privilegiata Compagnia Orientale del 1719;
- nella Compagnia Reale del Piemonte per le opere e i negozi in seta del 1752. Trattasi per
lo più di organi interni svolgenti a volte la funzione di vigilanza interna oltre a quella di
revisione del bilancio → attività prettamente contabile.
siamo già dopo l’unità di Italia in riferimento al Codice di commercio.
55
Collegio Sindacale – 1882- art. 184-
Codice di Commercio del 1882- art: 184
«I sindaci devono:
1. stabilire d’accordo cogli amministratori della società, la forma dei bilanci e della situazione
delle azioni;
2. esaminare almeno ogni trimestre i libri della società per conoscere le operazionisociali e
accertare la bontà di metodo e di scrittura: (anche oggi devono riunirsi ogni trimestre)
3. Fare frequenti ed improvvisi riscontri di cassa non mai più lontani di un trimestre uno
dall’altro; (anche oggi devono verificare il saldo di cassa ogni trimestre)
4. riconoscere almeno una volta ogni mese colla scorta dei libri sociali, l’esistenza dei titoli o
dei valori di qualunque specie depositati in pegno, cauzione o custodia presso la società; (ai
tempi questa disposizione era più rigida)
5. Verificare l’adempimento delle disposizioni dell’atto costitutivo e dello statuto, riguardanti
le condizioni stabilite per l’intervento dei soci nell’assemblea; (anche oggi i sindaci devono
verificare il rispetto della società sullo statuto)
6. rivedere il bilancio e farne relazione nel termine assegnato negli articoli 154 e 179;
7. sorvegliare le operazioni di liquidazione;
8. convocare, colle norme stabilite nell’art. 175, l’assemblea straordinaria ed anche
l’assemblea ordinaria in caso di omissione da parte degli amministratori; (oggi se
amministratori non convocano assemblea devono farlo i sindaci)
9. intervenire a tutte le assemblee generali; (anche oggi)
10. e in genere sorvegliare che le disposizioni della legge, dell’atto costitutivo e dello statuto
siano adempiute dagli amministratori. I sindaci delle società non soggette alle disposizioni
dell’art. 177 hanno diritto di ottenere ogni mese dagli amministratori uno stato delle
operazioni sociali. I sindaci possono assistere alle adunanze degli amministratori, e far
inserire negli ordini del giorno di queste adunanze e in quelli delle assemblee ordinarie e
straordinarie le proposte che credono opportune».(esattamente come oggi)
Le nuove disposizioni in merito, contenute negli artt. 183-184 e 185, da subito vennero criticate
dalla dottrina e dai professionisti del tempo sia per l’estrema sinteticità della normativa, in
particolare con riferimento alla mancanza di una nozione condivisa del requisito di
indipendenza richiesto ai controllori e relativo meccanismo di selezione e nomina dei membri
del Collegio, nonché per l’estrema lacunosità della normativa. Per questo furono subito molte
le proposte di riforma o perfino di abolizione dell’istituto dei sindaci.
Oggi il problema di indipendenza degli organi di controllo è un problema importante, sono molte
le normative che negli anni si sono susseguite per definire e chiarire i requisiti da rispettare per
esser indipendenti. Ma il problema di indipendenza era già sentito nel 1882 infatti molti ne
hanno sottolineato la carenza di normativa. Ma anche la mancanza di criterio da seguire per la
nomina del Collegio sindacale, è un po’ anche il limite che esiste adesso perché non è ben chiaro
come le società scelgono i membri del collegio sindacale. Molti criticano la mancanza di linee
guida e chiare, spesso i membri del CS vengono nominate per conoscenza di o per passaparola.
56
da Vivante (Presidente della Commissione Parlamentare).
I dottori elaborarono una proposta volta in primis a rivedere i criteri di scelta dei sindaci nonché
le loro funzioni;
Quella di Vivante si fondava sull’abolizione del Collegio Sindacale e istituzione di un Ufficio
Statale costituito da 50 revisori centrali e di diversi Uffici provinciali composti in numero variabile
da 8 a 20 membri.
A seguire, il 24 luglio 1936, con l’emanazione del RD (regio decreto perché vi era ancora la
monarchia) n. 1548 convertito dalla L. 3 aprile 1937 n. 517 e con il RD n. 228 del 10 febbraio
1937, venne istituita la disciplina speciale: ossia il Ruolo dei Revisori Legali dei Conti. Per le
attività di controllo effettuate dal Collegio Sindacale il RD ha statuito che alcuni dei componenti
del Collegio dovessero possedere una adeguata competenza tecnica ed esperienza in materia
contabile.
La data del 1937 è importante perché per la prima volta viene sancita in Italia la figura del
revisore legale dei conti.
Si delinea la situazione attuale: il CS svolge funzione di vigilanza ma svolge anche il controllo
contabile, ma per farlo è necessario che i membri del CS è necessario che almeno uno o due
siano revisori legali dei conti. Molto simili alle disposizioni attuali.
Nel frattempo decade la monarchia e viene istituita la repubblica così viene introdotto il codice
civile. Per quanto riguarda il CS le modifiche sono davvero poche in realtà.
Questo è un excursus storico sul collegio sindacale. Una cosa importante è vedere come già
esistesse prima del 1882 e poi come, nonostante il tempo intercorso, tantissime regole di
funzionamento del CS sono le stesse prodotte tanti anni fa.
57
Noi dobbiamo conoscere bene il ruolo del CS perché è l’organo di controllo interno nel nostro
ordinamento e soprattutto è unico, esiste solo nel nostro ordinamento. Qui vediamo articoli
del codice che riguardano questo istituto e vedremo che molte sono molto simili a quelle viste
fino ad ora relative a diversi anni fa.
Collegio Sindacale- DISPOSIZIONI CIVILISTICA
- art. 2397- Composizione
Art. 2397- Composizione del Collegio
1) Il collegio sindacale si compone di tre o cinque membri effettivi, soci o non soci. Devono
inoltre essere nominati due sindaci supplenti. (già esisteva nel 1882)
2) Almeno un membro effettivo ed uno supplente devono essere scelti tra gli iscritti tra i
revisori legali iscritti nell’apposito registro. I restanti membri, se non iscritti in tale registro,
devono essere scelti fra gli iscritti negli albi professionali individuati con decreto del Ministro
della giustizia, o fra i professori universitari di ruolo, in materie economiche o giuridiche.
Quindi uno per esser membro del CS deve esser revisore iscritto all’albo o un professore o un
professionista iscritto all’albo
3) … abrogato …
58
Collegio Sindacale- art. 2402- Retribuzione
Art. 2402– Retribuzione
1. La retribuzione annuale dei sindaci, se non è stabilita nello statuto, deve esser
determinata dall’assemblea all’atto della nomina per l’intero periodo di durata del loro ufficio
→ ogni società elabora delle regole precise per la retribuzione. L’assemblea che nomina il
sindaco definisce la retribuzione che è la medesima per tutti e tre gli anni del mandato.
essere determinata dalla assemblea all'atto della nomina per l'intero periodo di durata del loro
ufficio
59
quando il danno non si sarebbe prodotto se essi avessero vigilato in conformità degli
obblighi della loro carica. → il sindaco è obbligato a vigilare attentamente sull’attività degli
amministratori perché ne sono coinvolti quando gli amministratori compiono atti illeciti e
viene provato che hanno potuto comportarsi in mala fede perché è venuta meno l’attività
di vigilanza dei sindaci che sono quindi solidamente responsabili.
3) All'azione di responsabilità contro i sindaci si applicano, in quanto compatibili, le
disposizioni degli articoli 2393, 2393-bis, 2394, 2394-bis e 2395.
60
Collegio Sindacale- art. 2409 –Denunzia al Tribunale
Art. 2409– Denunzia al Tribunale
5. L'amministratore giudiziario può proporre l'azione di responsabilità contro gli
amministratori e i sindaci. Si applica l'ultimo comma dell'articolo 2393;
6. Prima della scadenza del suo incarico l'amministratore giudiziario rende conto al
tribunale che lo ha nominato; convoca e presiede l'assemblea per la nomina dei nuovi
amministratori e sindaci o per proporre, se del caso, la messa in liquidazione della
società o la sua ammissione ad una procedura concorsuale;
7. I provvedimenti previsti da questo articolo possono essere adottati anche su richiesta
del collegio sindacale, del consiglio di sorveglianza o del comitato per il controllo sulla
gestione, nonché, nelle società che fanno ricorso al mercato del capitale di rischio, del
pubblico ministero; in questi casi le spese per l'ispezione sono a carico della società.
Il 2409 si conclude dicendo che, quando il tribunale lo ritiene necessario, può nominare un
amministratore giudiziario che sostanzialmente è un amministratore nominato per legge che si
occupa di mettere in atto tutte le azioni di responsabilità contro gli amministratori e i sindaci e
poi dovrà presiedere l’assemblea per nominare i componenti di organi sia del Cda che dei
sindaci.
Ciò che è importante però sono le disposizioni contenute nel comma 7 del 2409 che viene a
completamente, sottolineato che tutta la procedura di denunzia al tribunale che era partita
dai soci quando questi ritengono che vi sono fondate ragioni di mala gestio da parte di
amministratori. Questa denuncia può esser fatta dallo stesso collegio sindacale o dallo stesso
consiglio di sorveglianza o dal comitato per il controllo sulla gestione (questi due organi sono
presenti se le società hanno deciso di avvalersi degli altri due modelli di corporate governance)
e, se sono società quotate, dal pubblico ministero.
Fin qui abbiamo letto gli articoli del C.c. che regolano ex lege le caratteristiche (composizione,
ruoli, doveri, responsabilità …) del collegio sindacale. Non sono da sapere tutti a memoria ma
almeno le disposizioni importanti.
Domande possibili.
Da chi è composto collegio sindacale, quali sono i suoi doveri, quali le sue responsabilità
rimanda alle disposizioni del c.c. senza conoscere a memoria commi e sotto-commi ma almeno
le regole e le disposizioni principali.
61
Collegio Sindacale- Attore del SCI
Abbiamo analizzato l’origine storica del CS e tutti gli articoli del codice che definiscono le regole di
funzionamento del CS. Il CS è l’organo di controllo interno più importante nell’ordinamento italiano ed è
unico nell’ordinamento italiano.
Questa immagine mostra i rapporti che si instaurano tra gli attori del SCI. Abbiamo già visto questo schema
ma riprendiamolo in occasione dell’analisi del CS per comprendere come il CS si posiziona all’interno di
questo reticolo di organi di controllo. Il CS ha il ruolo di collettore e supervisore.
Il CS interagisce direttamente con internal Auditing, il CdA, il comitato per il controllo intero (creato
all’interno del CdA). Interagisce indirettamente con Amministratore delegato e altri preposti al controllo. Il
collegio sindacale quindi i sindaci hanno la possibilità di interagire e chiedere e svolgere al meglio la loro
attività che è un’attività di vigilanza interagendo in modo appropriato e opportuno con tutti i membri e i
soggetti del controllo interno.
Nel fare questo il CS può fare questo perché titolato, oltre che dalle disposizioni civilistiche, anche dallo
stesso TUF che dedica l’art. 149 dove si possono ravvisare delle similutidine in quanto molte disposizioni
sono le stesse del codice civile. Unica differenza è che gli articoli del codice sono molti e dettagliati invece il
TUF ha dedicato un solo articolo riassumendo il ruolo del CS.
62
e del comitato esecutivo. I sindaci, che non assistono senza giustificato motivo alle assemblee o,
durante un esercizio sociale, a due adunanze del consiglio d'amministrazione o del comitato esecutivo,
decadono dall'ufficio. → visto uguale nel CC circa la decadenza dei sindaci
3. Il collegio sindacale comunica senza indugio alla Consob le irregolarità riscontrate nell'attività di
vigilanza e trasmette i relativi verbali delle riunioni e degli accertamenti svolti e ogni altra utile
documentazione.
…omisissis…
Cosa evidenziamo di differenze?
1. Punto 1 dedicato alla funzione, dedicato all’attività di vigilanza, il tuf è sicuramente più preciso
perché la definizione di espletamento dell’attività di vigilanza da parte del CS è meglio definito e
meglio chiara nell’art. 149 del TUF al punto 1 perché sono ben dettagliati i singoli passaggi e le
osservazioni di riferimento. L’attività di vigilanza consiste nell’osservanza di leggi, atto
costitutivo, principi di corretta amministrazione, adeguatezza della struttura amministrativa,
sistema di controllo interno, sistema amminstrativo contabile.
2. il Collegio Sindacale deve vigilare attentamente sulla modalità concreta attuazione delle regole di
governo societario contenute nei codici → il CS è delegato all’attività di vigilanza che consiste
anche nella verifica del concreto e corretto recepimento delle disposizioni contenute nel codice
etico e di autodisciplina da parte delle quotate.
3. Art. 149 al terzo punto statuisce che in qualsiasi momento lo ritenga opportuno è tenuto a
comunicare le irregolarità, soprattutto gravi, che il CS ha riscontrato durante la sua attività di
vigilanza alla consob e quando comunica alla Consob può anche consegnare la documentazione
che ritiene idonea e i verbali delle riunioni che ha messo in atto
Non vi è dubbio che la definizione di ruoli e funzioni del CS statuite dal 149 sono sicuramente meno
giuridiche, più pratiche e più incentrate sulla definizione di cosa significa svolgere una concreta e corretta
attività di vigilanza.
Collegio Sindacale- Attore del SCI
1. Dovere di partecipare alle riunioni del CdA, invitato
a partecipare riunioni comitato esecutivo (e
Comitati), se esistenti;
2. Richiedere notizie agli amministratori sulle
operazioni sociali;
3. Procedere direttamente alla convocazione degli
organi societari (CdA, comitato esecutivo);
4. Supervisionare e coordinamento l’operato della
società di revisione;
5. Effettuare attività ispettive
Qui vediamo schematizzato il rapporto tra Cda, CS e AD. Le frecce vanno a sottolineare un rapporto
circolare. Infatti è un rapporto circolare e biunivoco in quanto il Cda interagisce interagisce riferendo o
chiedendo al Cs, viceversa il Cs nei confronti del Cda. Idem il rapporto tra Cs e AD. Ossia il CS può richiedere
informazioni all’AD ma viceversa AD può richiedere al CS. Poi questa diretta relazione biunivoca tra Cda e
AD. Ricordiamo che AD è un amministratore cioè un membro del Cda investito di poteri di esser colui che
ha la delega e funzione di tutto quel che riguarda il controllo interno. Da qui il motivo per cui è colui che
interagisce in primis con il collegio sindacale.
63
Collegio Sindacale- Ruolo Vigilanza sulla Gestione
Abbiamo cercato di capire, tramite il TUF, in cosa consiste questa attività di vigilanza e abbiamo visto che il
TUF è dettagliato, ma per meglio chiarire questo ruolo bisogna tener conto di alcune disposizioni giuridiche
che vanno a statuire che l’attività di vigilanza comunque non è un controllo di merito sulle scelte
gestionali.
Soprattutto:
dall’attiva collaborazione della direzione nel fornire informazioni adeguate esercitando anche, quando
necessario, moral suasion nell’esigere un continuo flusso delle info e chiedendo quando necessario il
miglioramento della qualità delle info stesse.[ business plan, budget, valutazione scostamenti, operazioni
rilevanti, andamento gestionale (continuità) , conflitti interesse, … ]
il ruolo proattivo del CS perché deve sollecitare il Cda, nei tempi utili, le informazioni che vengono
richieste e deve esser proattivo a sensibilizzare il Cda a fornire informazioni sempre migliori → sostenere
il miglioramento della qualità delle informazioni stesse. Quali sono queste informazioni?
COMPRENSIONE IMPRESA
Pianificazione del ➢ SETTORE, NORMATIVA,
Lavoro e suddivisione dei compiti ➢ CARATTERISTICHE E QUADRO NORMATIVI
nell’ambito del CS ➢ OBIETTIVI, STRATEGIE, RISCHI
Valutazione del Sistema VALUTAZIONE ADEGUATEZZA STRUTTURA
Amministrativo e contabile
IL SISTEMA E’AFFIDABILE?
Test sulla sostanza Individuazione punti di forza e punti secondo
approccio risk based
La valutazione dell’adeguatezza della struttura vuol dire fare il test sulla sostanza che si concretizza con
valutazione dell’affidabilità o meno della struttura. Cioè relativamente alla struttura il CS va ad individuare i
punti di forza e debolezza sempre nel rispetto dell’approccio risk-based (stesso per i revisori legali dei
conti). Tutto questo da luogo a verbalizzazioni: i verbali sono periodici e in questi verbali vengono riportarti
tutti gli scambi di info con la direzione perche il CS interagisce con frequenza con tutti gli organi del board e
gli scambi di info vengono riportati nei verbali periodici. Il CS spesso è anche tenuto a produrre delle
relazioni:
64
- Dove esprime adeguatezza della struttura ma non solo. Anche questa è un’attività tipica del CS cioè
fare report e relazioni
Ora vediamo dal punto di vista aziendale, per ora ci siamo focalizzati sull’aspetto legale ma da un punto di
vista pratico cosa significa che il CS va a vigilare sull’assetto organizzativo? Significa suddividere in due sotto
sistemi.
Vigilanza sull’assetto organizzativo: che si divide in due sotto sistemi distinti ma contigui:
Capiamo perfettamente che tutti questi indicatori e ambiti di cui il CS deve conoscere molto bene servono
per esprimere un giudizio su assetto organizzativo generale
b) Assetto amministrativo contabile: per far si che il CS possa svolgere al meglio al sua attività di
vigilanza è necessario che conosca
Conoscenza e miglioramento struttura decisionale:
1. Procedure amministrative (conoscenza, valutazione affidabilità)
2. Organizzazione dei controlli interni
3. Analisi continua dei risultati
4. Processo di formazione del bilancio → stiamo valutando assetto amm-cont e tutto il processo
di formazione del bilancio è l’output più importante di tutto l’assetto organizzativo
Nel fare questo: il CS presidia
• Redditività
• Valutazione del rischio
65
• Compliance alle norme di Legge e regolamenti
• Correttezza dell’informativa interna ma in particolare esterna
• Veridicità e completezza dell’informativa economica e finanziaria (interna – esterna),
processo di bilancio
Il tutto avviene di solito facendo il Monitoraggio e valutazione delle variabili
- Definizione dei poteri autorizzativi ed operativi. Definizione ruoli, separazione delle funzioni
- Valutazione e gestione del rischio management
- Sistema di compliance, sistemi di IT
- Risorse umane
In questa lezione abbiamo visto in cosa consiste l’attività di vigilanza secondo il TUF e poi in cosa consiste
una vigilanza su assetto organizzativo da un punto di vista operativo. Da cui la divisione nei due sotto
sistemi:
66
Lezione su CS e Società di revisione. Infatti Cs e SR interagiscono e se siamo in questa situazione vuol dire
che ci troviamo in una società in cui il CS svolge solo la funzione di vigilanza e il controllo contabile è
lasciato in mano alla società di revisione. Nel definire i loro rapporti i due organi sono soliti definire tempi e
modalità: è sufficiente uno scambio per telefono, per iscritto servono meeting?
In occasione delle fasi conclusive di verifica del bilancio e della relazione semestrale la società di revisione
fornisce al collegio Sindacale:
1) Comunicazione del piano di revisione applicato alle procedure svolte;
2) Notizie riguardanti problematiche relative al bilancio e alla relazione semestrale
3) Informazioni sulle relazioni che intende emettere → sul giudizio che la SR prevede di emettere in
relazione alla relazione semestrale o al bilancio.
Al momento del rilascio delle relazioni la società di revisione deve rilasciare copia al collegio sindacale
Comunicazione CONSOB 1574 del 20 febbraio 1997 dove raccomanda che il Collegio Sindacale richieda alla
società di revisione tutte le informazioni utili per il controllo di propria competenza, con particolare
riferimento a quelle relative al funzionamento del SCI e amministrativo-contabile.
Il Collegio Sindacale comunica senza indugio alla Consob le irregolarità riscontrate nell’attività di vigilanza
(art. 149 TUF)
67
La società di revisione informa senza indugio la CONSOB ed il Collegio Sindacale dei fatti ritenuti censurabili
(art. 155 TUF)
Sono tre gli art. del TUF che disciplinano i rapporti tra CS e SR nello scambio di dati e informazioni:
- 149
- 150
- 155
Qui è il collegio sindacale che si rivolge alla società di revisione per chiedere le carte da lavoro: le carte da
lavoro cosa sono? La società di revisione per svolgere la revisione legale dei conti deve utilizzare le carte da
lavoro che sono sostanzialmente i documenti che attestano che sono state svolte le procedure da cui la
società di revisione ha rilevato gli elementi probativi di supporto alla revisione.
Il CS può chiederlo ma deve spiegare le motivazioni per cui sta chiedendo le carte da lavoro.
Il revisore informa per iscritto il Collegio Sindacale delle caratteristiche e dei limiti della revisione contabile
e di alcune richieste in merito alle modalità di acquisizione delle informazioni delle carte di lavoro.
➔ Risposta per iscritto quando la SR rileva dei limiti ovvero che non tutte le procedure di revisione non
possono esser svolte perché ci sono limiti o criticità
Il Collegio sindacale aderisce alle richieste del revisore
L’esame delle carte di lavoro del revisore da parte dei sindaci non sostituisce i controlli attribuiti al Collegio
Sindacale e non lo sollevano dalla sua responsabilità
SOCIETA’ DI REVISIONE CHIEDE AL COLLEGIO SINDACALE
Richiesta Informazioni
1) Il piano delle attività ai fini della vigilanza prevista dall’art. 2409-sexies c.c.
2) I risultati delle verifiche sull’adeguatezza della struttura organizzativa, amministrativa, contabile e
del SCI
3) I risultati delle operazioni con parti correlate e alle transazioni rilevanti
4) Le eventuali denunce dei soci
5) I suggerimenti inoltrati alla Direzione e/o al Consiglio di Amministrazione
6) I risultati delle altre attività di controllo assegnate ai sindaci da leggi speciali
Gli incontri con il Collegio Sindacale vanno annotati nel libro della revisione con indicazione degli argomenti
trattati
Il CS e SR si possono incontrare, di solito si incontrano ogni 3 mesi, e il meeting viene annotto nel libro della
revisione e con un verbale dell’odg dove vengono riportati anche tutti gli argomenti trattati.
68
A completamento delle lezioni circa l’attività del collegio sindacale riportiamo questo schema
Più volte abbiamo sottolineato che, nel sistema italiano, esistono tanti attori cosiddetti attori del sistema di
controllo interno a sottolineare che sono molti gli organi che si occupano del SCI e sono elencati
nell’immagine. Tutti questi organi sono persone, risorse umane molto di qualità specializzata ovvero costi
rilevanti per la società.
Sappiamo che tutti questi sono soggetti del SCI e sappiamo che il SCI è regolamentato dal Coso framework
il quale, nonstante le varie edizioni, tutte condividono il riconoscimento dei tre obiettivi statuiti dal Coso
report che sono:
➢ Operation
➢ Reporting
➢ Compliance
Supponiamo di fare uno schema di sintesi di tutti gli attori del sistema di controllo interno e di vedere tutti
questi attori come partecipano e copartecipano alla realizzazione e conseguitmento degli obiettivi statuiti
dal Coso report. Come si legge questa immagine?
69
Il Cda svolge un controllo diretto sia per l’economicità, che per il reporting che la compliance perché il Cda
nonostante la definizione del SCI è l’organo che riveste il ruolo più determinante perché è al Cda che
compete la funzione e il ruolo di definire e implementare il SCI.
Poi abbiamo il comitato per il controllo interno che con riferimento a tutti e 3 gli obiettivi svolge un’attività
di supporto al Cda, perché il Comitato è un organo designato internamente al Cda.
Il management è paragonabile allo stesso ruolo in termini di conseguimento degli obiettivi del Cda. Insieme
al Cda il management è l’unico di questi attori ad esser coinvolto direttamente per il conseguimento dei tre
obiettivi.
Il Collegio sindacale è un organo che svolge una funzione di supervisione per quanto riguarda l’obiettivo di
economicità e attendibilità. Invece per quanto riguarda il terzo obiettivo della compliace (conformità alla
legge) il CS svolge un controllo di tipo diretto perché l’attività del CS presuppone proprio l’osservazione e il
rispetto da parte della società dello Statuto e delle norme e quindi questo significa un’attività diretta sulla
compliance.
Il dirigente preposto svolge un’attività di supervisione (di controllo indiretto) per l’economicità ma svolge
con riferimento a reporting e compliance un’attività diretta.
La società di revisione il cui compito è il controllo contabile quindi svolge due controlli indiretto come
supervisore per economicità e compliance ma svolge un ruolo di controllo diretto per l’attendibilità che è
dedicata al reporting finanziario
Il controllo di gestione, che noi sappiamo esser un organo interno, si occupa di analisi costi, budget,
scostamenti quindi svolge un controllo diretto su economicità e indiretto su altri due
Risk officer da un contributo totalmente indiretto perché svolge per tutti e tre obiettivi solo attività di
revisione
Organismo di vilanza (vi è un doppione tra ruolo del CS e organismo di vigilanza 231/2001) perché
entrambi sono organi di supervisione per economicità e attendibilità, ma sono direttamente coinvolti per
obiettivo di compliance
Internal audit fa lavoro di monitoraggio di tutti i controlli in essere ed è l’unico ruolo che svolge questa
attività di monitoraggio in senso ampio su tutte le attività svolte da tutti gli altri organi di controllo.
L’immagine da una sintesi di tutti gli attori del SCI in riferimento agli obiettivi del Coso Report. Ora abbiamo
concluso di parlare del CS e la parte dedicata ai ruoli degli attori del controllo interno.
70
Il Ruolo del Revisore dei Conti nel SCIGR
ITALIA 315:
Dispone che il revisore comprenda l’impresa e il contesto in cui opera, incluso il suo controllo interno, in
misura sufficiente a identificare e valutare i rischi di errori significativi nel bilancio e per stabilire e svolgere
le procedure di revisione in risposta ai rischi identificati e valutati.
ISA Italia 315 riguarda l’attività preliminare del revisore dei conti, cioè quando si accinge a predisporre il piano
di revisione che deve contenere strategia e procedure di revisione.
Il revisore prima della stesura del piano di revisore deve comprendere caratteristiche di impesa e il contesto
in cui opera e per fare questo il revisore deve comprendere il SCI della società perché già in questa fase
preliminare delle imprese si fa già un’idea se una società è dotata di un buon SCI (deve trattarsi di un sistema
di controllo interno efficiente ed efficace inteso in senso pratico vuol dire capace di mappare, monitorare i
rischi ed errori significativi di bilancio).
il revisore deve conoscere le regole per l’informativa finanziaria. Deve capire caratteristiche di impresa per
quanto riguarda utilizzo principi contabili (redige bilancio OIC o IAS?). il primo riferimento che troviamo è il
riferimento al principio di revisione ISA Italia 315
Per definire il Rischio di Controllo, il revisore dovrà analizzare il SCI SENZA darne un giudizio ma
valutandone l’efficacia e l’efficienza al fine di determinare l’approccio di revisione (CONTROL o
SUBSTANTIVE) → Quindi saranno analizzate tutte le componenti
Il rischio di revisione è il rischio che il revisore arrivi a formulare un bilancio positivo relativamente ad un
bilancio di esercizio in cui ci sono errori. Il rischio di revisione è un rischio quindi molto delicato e tutti i
revisori cercano di analizzarlo al meglio. Il rischio di revisione si scompone in due sottorischi:
➢ Rischio di errori significativi
o Rischio intrinseco
o Rischio di controllo → altro riferimento al SCI. Il rischio di controllo è strettamente
connesso al SCI in quanto il revisore per quantificare il rischio di controllo deve analizzare il
SCI, non ne deve dare un giudizio ma solo valutare efficacia ed efficienza. Infatti una volta
che il revisore ha mappato il rischio di controllo deve fare un altro step: definire che
71
approccio dare alla revisione legale dei conti. Gli approcci sono due
▪ Control approach
▪ Substantive approach
Per stabilire che approccio utilizzare lo decide solo dopo aver valutato efficacia ed
efficienza del SCI che permette al revisore di valutare il rischio di controllo. → altro
riferimento per il revisore legale dei conti per il SCI:
➢ Rischio di individuazione
Le componenti del Coso Report sono fondamentali e ora le rivediamo: le componenti del Coso report le
abbiamo trovati in tutte le edizioni del coso report perché come ha detto uno dei più importanti studiosi
del SCI le componenti del Coso report sono componenti senza tempo a sottolineare che sono importanti e
lo saranno sempre.
AMBIENTE DI CONTROLLO
riguarda l’atteggiamento, la consapevolezza e le azioni della direzione e dei responsabili delle attività di
amministrazione in relazione al controllo interno dell’azienda
AZIONI:
Il revisore deve comprendere e valutare se la direzione abbia istaurato una cultura aziendale ispirata a
valori etici.
Quindi altro aspetto importante è il rapporto tra il revisore legale dei conti (RLC) e il SCI per quanto riguarda
le componenti del Coso report.
AZIONI:
IL REVISORE DEVE comprendere e valutare se l’impresa disponga di un processo finalizzato a:
(i) identificare i rischi connessi alle attività rilevanti per gli obiettivi di informativafinanziaria;
(ii) stimare la significatività dei rischi;
(iii) valutare la probabilità che si verifichino tali rischi;
(iv) decidere le azioni da intraprendere per fronteggiare tali rischi.
Nel caso in cui l’impresa NON abbia predisposto tale processo il revisore deve valutare se tale
situazione sia una carenza significativa.
Il ruolo del revisore anche qui è molto delicato
INFORMAZIONE E COMUNICAZIONE
riguarda il complesso delle componenti fisiche, software, persone, procedure e dati utilizzati per la
redazione del bilancio
AZIONI:
IL REVISORE DEVE comprendere le seguenti aree:
(i) le classi di operazioni rilevanti (nella gestione rispetto al bilancio)e quelle non rilevanti;
(ii) le procedure IT mediante le quali dette operazioni sono rilevate, registrate, elaborate, corrette e
trasferite in bilancio; → il processo informativo è sempre più digitalizzato quindi si parla di information
tecnlogies
(iii) il processo di predisposizione dell’informativa finanziaria;
(iv)i controlli su scritture contabili
quando ci si riferisce a questa componente del coso report il ruolo del revisore legale dei conti sarà
fortemente focalizzato sull’informativa contabile.
72
ATTIVITA’ DI CONTROLLO
Riguardano le direttive e le procedure istituite dall’impresa per garantire che le strategie definite della
direzione siano eseguite.
AZIONI:
IL REVISORE DEVE comprendere le attività di controllo al fine di valutare i rischi di errori significativi a livello
di asserzioni e per definire procedure di revisione conseguenti in risposta ai rischi identificati.
Vuol dire che la società ha implementato le attività di controllo, le attività di controllo hanno evidenziato
dei rischi e la società ha individuato la risposta dei rischi. Queste sono attività che il RLC deve mettere in
atto.
MONITORAGGIO
(è un controllo continuo che viene day by day cioè giorno dopo giorno)
riguarda la valutazione periodica dei controlli al fine di verificare il loro operato e il funzionamento di
eventuali modifiche introdotte a causa di variazioni nelle condizioni operative
per quanto riguarda il monitoraggio, poiché l’attività del RLC è un’attività di controllo contabile, con
specifico riferimento al monitoraggio il revisore sarà molto attento a vedere se l’attività ha implementato
un’attività di monitoraggio anche sul sistema di controllo interno per verificare se il tutto, relativamente
all’attività di informativa finanziaria, avvenga in modo preciso e corretto senza errori o altro.
AZIONI:
IL REVISORE DEVE comprendere le principali attività utilizzate dall’impresa per monitorare il controllo
interno sulla redazione dell’informativa finanziaria
Il revisore deve
1. capire se la società ha implementato questa componente del Coso report
2. cercare di capire le attività che la società ha definito e messo in atto per effettuare il monitoraggio
e fare un adeguato monitoraggio
3. sempre per il fatto che l’attività principale del RLC è esser focalizzato sul Controllo Contabile con
riferimento al monitoraggio il revisore sarà attento a vedere se la società ha implementato
un’attività di monitoraggio anche sul SCI per verificare che il tutto relativamente all’informativa
finanziaria avvenga in modo corretto senza errori.
73
Quando il revisore ritiene che dopo aver svolto tutte le sue analisi, indagini relative al SCI ed evince che ci
sono delle carenze (riferimento ad ISA italia 265) il revisore deve comportarsi in un certo modo.
Dall’esame del Sistema di Controllo Interno possono emergere CARENZE quando (rif. ISA Italia 265):
Una CARENZA sullo SCI risulta SIGNIFICATIVA quando, secondo il giudizio professionale del revisore, è
Quindi una volta che il revisore ha effettuato le sue analisi si possono evidenziare queste due situazioni
(vedi sopra):
1. Situazione di carenza del SCI. Vuol dire che comunque è carente ma il SCI c’è infatti l’ISA Italia dice
che il controllo è messo in atto ma non funziona in modo adeguato soprattutto nel prevenire,
individuare ed intervenire in modo veloce sugli errori di bilancio
2. La seconda carenza statuita dall’ISA Italia è peggiore perché in questo secondo caso la carenza è
molto grave in quanto il controllo non c’è
Noi abbiamo quindi due gradi di carenza una stop e una significativa. Sarà lo stesso revisore a cercare di
capire ed esprimere un giudizio in merito alla gravità della carenza in quanto una carenza sul sistema risulta
significativa quando secondo il giudizio professionale del revisore è sufficientemente importate da esser
portata all’attenzione del responsabile dell’attività di governance.
secondo il giudizio professionale → sottointende che è il revisore che a parere suo si prende la
responsabilità di definire se il SCI è carente e se è carente in modo significativo. Quindi al responsabilità e il
giudizio è solo suo personale. Anche perché se ritiene che sia una carenza significativa è obbligato a riferirlo
alla governance infatti il revisore deve comunicare in modo appropriato e tempestivo le carenze sul SCI, il
revisore è obbligato sempre ai sensi delle disposizioni statuite dall’ISA Italia 265.
Per cui per concludere sottolineiamo il ruolo importante che il RLC ha nei confronti del SCIGR in quando
deve valutarlo in tutti i modi:
➢ In fase iniziale
➢ In un secondo momento quando valuta il rischio di revisione e il rischio di controllo
➢ Valutare l’esistenza o meno dei 5 componenti del SCI ai sensi del Coso report
E una volta che ha completato queste tre aree di intervento del Revisore legale dei conti nei confronti del
SCI deve tirare le somme cioè prendersi la responsabilità di esprimere un giudizio e se un giudizio si orienta
verso un giudizio negativo vuol dire che ha riscontrato delle carenze allora è obbligato ad un passo
successivo ossia capire e definire se è una carenza significativa o meno. Se propende per carenza
significativa deve quanto prima comunicarlo alla governance.
74
CoSO ERM REPORT – Integrating with Strategy and Performance Versione 2017
Ultimo aggiornamento del Coso report. Nel 2017 la nostra commission ha deciso di produrre
una nuova versione che è stata pubblicata nel 2017 ma comunque i lavori erano iniziati tempo
prima. Ha deciso per una nuova versione perché i contesti e sistemi economici sono cambiati. Di
solito quando al commission decideva di aggiornare il Coso era a fronte di scandali perché gli sci
non erano più efficienti. Questa volta l’aggiornamento non è stato reso necessario dal voler
evitare nuove crisi ma piuttosto da esigenza di recepire un cambiamento culturale dei contesti
aziendali.
Il titolo del Coso report 2017 è significativo in quanto c’è l’essenza del nuovo aggiornamento.
1. La Treadway commission vuole portare avanti l’edizione del 2004 che è stata la prima
edizione del Coso report che ha introdotto e declinato l’enterprice risk management
(ERM). La commissione ha ritenuto che l’ERM era rimasta isolata al 2004 quindi sente
l’esigenza di aggiornare questa pratica. → per questo nel titolo si indica il ritorno
all’ERM.
2. Altra caratteristica è integrated cioè in questa edizione si va a delineare un SCI
integrato. Cioè il SCI è qualcosa di più evoluto perché è talmente evoluto secondo una
forma di sistema integrato con le strategie e le performance. L’integrazione con
strategia è come se fosse preliminare cioè ex ante. Ma questo nuovo Coso report è
integrato anche con la performance che è il risultato. È un’integrazione ex ante ed ex
post.
Con questa nuova edizione il Coso report ha voluto migliorare l’approccio alla gestione del
rischio. Quindi sostanzialmente con Coso report 2017 c’è un potenziamento dell’approccio alla
gestione del rischio per un’esigenza voluta dagli stakeholder che chiedono alle aziende di esser
brave a mappare i rischi e a definire le risposte ai rischi. Questo perché viviamo in contesti
globalizzati ma anche rischiosi. Vediamo anche come si sono evoluti i rischi infatti ci sono rischi
nuovi che prima non c’erano.
3. Un altro aspetto importante è che l’obiettivo non è quello di rincorrere il rischio ma di
prevenire il rischio perché c’è un integrazione con strategia e performance.
OBIETTIVO: prevenire, e non più «rincorrere», il rischio grazie alla considerazione della
Strategia (mission, vision e core values) in fase di individuazione del rischio.
in queste quattro righe contenute nella pagine introduttiva del Coso report 2017 mostra come
la commission ha definito il Coso non come funzione o dipartimento ma qualcosa di più
evoluto: cultura e capacità che si integra con la strategia e il fine è arrivare a creare valore.
L’obiettivo finale dell’erm è supportare la società a creare valore
Non si limita ad un processo di semplice elencazione dei rischi che l’azienda incontra nello
svolgimento della sua attività. → evoluzione rispetto all’edizione del 2004 che è stato
interpretato come mappatura dei rischi che vuol dire in prims come un’elencazione dei rischi.
Rilevante è integrazione: «un processo di gestione del rischio integrato con i processi di business
aiuta le organizzazioni a prevedere i rischi o affrontarli in maniera più consona, identificare
opportunità nuove o perseguire in modo migliore quelle esistenti, rispondere a scostamenti
delle performance più velocemente e consistentemente, ottimizzare le risorse, migliorare la
collaborazione e condivisione delle informazioni, rafforzare la resilienza dell’impresa».
75
Queste sono tutte espressioni tradotte dal summary exevutive della pagine introduttiva del
framework. Già qui si respira un nuovo approccio, visione e considerazioni più allineate agli
attuali contesti.
L’aggiornamento del 2017
impone un cambio di filosofia
relativo ai controlli interni. Si
configura un ritorno al
concetto di ERM del 2004
(che altrimenti sarebbe
divenuta una versione a sé
stante)
Innanzitutto in ciascuna di queste 5 componenti troviamo il termine risk e altri termini che ci
ricorda che si tratta di un’evoluzione delle5 componenti basiche. Questo sottolinea che le 5
componenti del Coso report sono componenti senza tempo che si evolveranno e acquisiranno
nuove caratteristiche.
Principali Novità:
➢ Adozione di una struttura di componenti e principi → ci sarà sempre perché le 5
componenti ci saranno sempre e i principi sono stati introdotti per la prima volta
nell’edizione del 2013 che ha portato all’introduzione del 17 principi. Il Coso 2017
riprende i 17 principi e li amplia (ne aggiunge nuovi) e li adatta.
➢ Semplificazione della definizione di ERM
➢ Enfasi sulla relazione tra rischio e valore
➢ Rinnovo focus sull’integrazione di ERM
➢ Miglioramento dell’allineamento tra performance ed ERM
➢ Chiarisce le aspettative in termini di governance e oversight
➢ Stimola un migliore reporting verso il board
76
Queste sono novità significative.
CoSO ERM 2017
Questa freccia è molto importante perché ci fa
capire l’evoluzione e l’aggiornamento apportato
dal Coso report ed ERM 2017.
Si tratta sempre di una freccia verso destra
(guardiamo al futuro) si tratta anche di tante
componenti che si intrecciano tra loro
(importante perché le componenti che si intrecciano mostrano che si tratta di un sistema
integrato). Poi abbiamo l 5 componenti che sono i pilastri del Coso report evolute in contesti
nuovi. Questo modo di integrarsi, (queste componenti che si integrano e si muovono) danno
l’impressione che ci sia qualcosa che si muove verso destra. Quindi ci deve esser maggior
flessibilità della struttura dei controlli.
Cioè superare la rigidità che troviamo nelle versioni precedenti per muoversi sempre più verso
una forma di flessibilità dei controlli.
Infatti, si può notare, anche solo graficamente, come la struttura del cubo sia stata sostituita con
una linea direzionale orientata al futuro composta da flussi decisionali che intersecano le varie
componenti al fine di perseguire il raggiungimento degli obiettivi che sono rimasti gli stessi.
Questa è una novità significativa. Dopo anni abbiamo lasciato il cubo che era l’immagine famosa
in tutto il mondo valida al 1992 al 2017 ha rappresentato la struttura del SCI. Sostituire il cubo
con questa freccia direzionale significa un momento di rottura importante. Questo significa che
il segnale da parte della commissione è importante perché i sistemi hanno imposto un certo
cambiamento.
77
L’Executive Summary → introduzione al framework che riporta i cambiamenti apportati.
Paper su e-learning in cui la Treadway commission ha pubblicato questa nuova versione.
Queste sono le prime considerazioni che sono state fatte. Il Coso report è stato
pubblicato nel 2017, le prime società che lo hanno recepito sono state le società
americane. In Italia anche se la diffusione è avvenuto contestualmente, oggi nl 2020 le
società italiane (soprattutto le quotate) stanno facendo fatica. Quindi nel 2017 non vi
erano società quotate italiane che avevano recepito le nuove disposizioni. Nel 2018
hanno iniziato a capire come fare e nel 2019 ci sono stati i primi recepimenti.
78
Abbiamo visto le motivazioni che hanno portato all’aggiornamento 2017 e le novità. Questa
lezione è dedicate all’analisi dei principi. Già nel Coso report 2013 troviamo I principi ovvero le
regole che permettono di implementare le 5 componenti base. Nel 2013 è nato questo nuovo
modo di fare introducendo degli standard di riferimento. L’edizione 2017 continua su questa
strada ed introduce anche nuovi principi da 17 a 20. Quindi vi è un ampliamento del 2013.
Tutto viene mantenuto ma rivisto e aggiornato a fronte dei cambiamenti e della nuova
filosofia.
CoSO ERM REPORT – Integrating with Strategy and Performance Versione 2017
Il CoSO Report 2017 definisce un setter di 20 Principi di riferimento di cui le componenti sono
ereditate dalla precedente edizione del 2013 ma in alcuni punti aggiornata e rivista. I principi
sono riconducibili alle 5 componenti del CoSO 2017 secondo il seguente schema di riferimento.
I principi fanno riferimento alle 5 componenti che erano già state statuite nella prima edizione
riviste. Le componenti sono quelle dell’immagine. Per ciascuna di queste componenti (che d’ora
in poi vengono mantenute con la loro dicitura e formulazione originaria).
I 20 PRINCIPI DEL COSO ERM 2017
La cultura del rischio diventa un valore etico. Ogni azienda segue un approccio etico corretto
solo se ricomprende la cultura del rischio. Perché il rischio fa parte della nuova cultura
aziendale a sottolineare che non è più pensabile operare in un contesto privo di rischio. Quindi
diventa una conditio sine qua non per poter procedere nei business per cui una buona
governance tra i suoi valori etici ricomprende una cultura del rischio.
79
1. Governance and Culture: 5 Principi
Anche qui troviamo i titoli in inglese che non sono stati appositamente tradotti perché le
traduzioni che sono state fatte non rendono bene il contenuto. Questo perché sono titoli
stringati ma concentrati. Perché noi con la traduzione italiana non coglieremmo lo spirito della
Treadway commission. Non per tutti ma solo per alcuni ma per evitare di averne alcuni in
inglese ed altri in italiano sono rimasti tutti in inglese.
1) Exercises Board Risk Oversight: il board of directors è l’organismo deputato all’attività di
oversight della strategia al fine di supportare il management nel raggiungimento degli
obiettivi. → si riconferma il ruolo del board di oversight (supervisione totale dall’alto).
2) Establishes Operating Structures: stabilire i comportamenti desiderati all’interno
dell’organizzazione riguardo alla gestione del rischio.
3) Defines Desired Culture: è necessario che i comportamenti desiderati vengano definiti al fine
di instaurare una cultura aziendale. L’espressione desiderati la troviamo in due principi a
sottolineare che il filo conduttore è quello di una condivisione perché se è un comportamento
desiderato dai membri di tutto l’organizzazione è stato condiviso. Quindi il prerequisito di
questo nuovo sistema di Coso report sono i comportamenti alla base condivisi.
4) Demonstrates Commitment to Core Value: dimostrare che i valori aziendali non siano
un’utopia, ma perseguibili nel loro rispetto e raggiungimento.
5) Attracts, Develops, and Retain Capable Individuals: attrarre, sviluppare e mantenere le
risorse competenti per costruire un capitale umano in linea con le finalità aziendali
Quest’ultimo aspetto è molto innovativo. Oggi una buona governance si percepisce anche dalla
sua capacità di attrarre risorse umane di valore e soprattutto di riuscire a mantenerle. Questo
sta comportando dei cambiamenti. Mentre in passato era positivo per i giovani cambiare posto
di lavoro perché si fa curriculum (in linea con la filosofia del passato). Dal 2017 questo nuovo
orientamento è stato rafforzato dal Coso report, si tende a perseguire una finalità diversa. Visto
che il successo di un’azienda è in gran parte legato alle risorse la governance, se sa che le sue
risorse umane sono di valore, deve mantenerle perché solo così istituisce un patrimonio di
risorse umane per poter crescere al meglio.
2. Strategia & Definizione degli Obiettivi
1) Le aziende in base alle proprie caratteristiche possono già definire il Risk Appetite e
conseguentemente i “paracaduti aziendali”: ovvero quelle scelte che permettono di evitare
o contenere i rischi. → abbiamo già visto il concetto di risk appetite che definisce il rischio
sostenibile e se sei in grado di definire questo sei capace di definire i paracaduti aziendali per
fronteggiare il rischio. Da questo punto di vista ogni sistema di governance non deve avere
come obiettivo l’eliminazione del rischio (infatti i rischi non sono eliminabili e sono elementi
intrinsechi all’attività aziendale perciò è necessario conviverci).
2) L’obiettivo di qualsiasi sistema di governo dei rischi non è l’eliminazione completa del rischio
che costituisce elemento intrinseco dell’attività di impresa.
3) Lo scopo ultimo della gestione del rischio dovrebbe essere quello di valutare quali rischi
assumere al fine di conseguire i risultati attesi e come reagire in caso si manifestino rischi
inaspettati.
2. Strategia & Definizione degli Obiettivi:4 Principi
6) Analyzes Business Context: l’organizzazione è tenuta a considerare il contesto
aziendale ed il suo impatto sui vari profili di rischio. valore, quindi degli obiettivi.
7) Defines Risk Appetite: la definizione della propensione al rischio (risk appettite) deve
considerare la creazione, conservazione e realizzazione di valore, quindi degli obiettivi.
Qual è il livello di rischio accettabile? Qual è la propensione al rischio?
8) Evaluates Alternative Strategies: dotarsi di diverse opzioni nell’aggiramento o
superamento del rischio. Queste alternative vanno valutate in relazione all’impatto sul
profilo di rischio.
9) Formulates Business Objectives: formulare obiettivi di business che devono essere
coerenti con la strategia fissata.
3. Performance: 5 PRINCIPI
Può essere considerata l’essenza della vecchia Valutazione dei Rischi.
10) Identifies Risk: l’organizzazione deve necessariamente identificare i rischi, ed il loro
impatto sulle performance e sul raggiungimento degli obiettivi.
11) Assesses Severity of Risk: è opportuno valutare la rischiosità, la gravità del
rischio (severity risk). → è un aspetto importante in quanto questo va a introdurre un
80
concetto di misurazione del rischio perché ci sono rischi meno severi, gravi. Altri che
sono invece più gravosi (più severi) cioè l’impatto a livello di governance è più rilevante
o perché il paracadute non riesce a tutelarci.
12) Prioritizes Risks: è consigliabile categorizzare i rischi sulla base della risk tollerance
dell’organizzazione, per poter meglio definire le risposte al rischio.
13) Implements Risk Responses: successivamente è necessario individuare le risposte ai
vari rischi più appropriate.
14) Develops Portfolio View: definita la matrice di risposta ai rischi (ovvero tutte le
possibili combinazioni) è possibile, avendo una visione d’insieme, sviluppare un
portfolio di risposte utile per il raggiungimento degli obiettivi.
4. Review & Revisione: 3PRINCIPI
Corrisponde in parte alla componente Informazione e Comunicazione Della precedente
edizione
81
Questa lezione è dedicata alla relazione del coso report come supporto alla gestione di una
particolare tipologia di rischi: ovvero ESG (tre tipi di rischi tipici degli attuali contesti
Enviorment, Governance, Social)
1. Affrontare la proliferazione dei dati. L’ l’ERM dovrà adattarsi all’aumento dei dati a
disposizione e alla velocità di analisi degli stessi. Per cui servono nuovi strumenti di analisi
e di visualizzazione, per cui sarà molto utile comprenderne i rischi e gli impatti; → Le
società devono affrontare ad un aumento della quantità di dati ma soprattutto la velocità
di analisi. In un contesto in cui i dati sono molti e viaggiano veloci l’ERM deve individuare
nuovi strumenti di analisi per comprendere rischi e impatti connessi ad aumento dei dati.
2. Sfruttare l’intelligenza artificiale e l’automazione. Le pratiche di ERM devono
considerare queste tecnologie e quelle per cui saranno necessarie numerose informazioni
per gestire il rischio di queste nuove relazioni, tendenze e modelli; → le società entrano
sempre più in contatto con intelligenze artificiale e automazione.
3. Gestione dei costi del risk management. Dirigenti e aziende devono considerare i costi
derivanti dalla gestione dei rischi, dei processi di conformità e delle attività di controllo
4. Costruire organizzazioni più forti Le organizzazioni devono migliorare l’integrazione della
gestione del rischio aziendale con la strategia e le prestazioni, in modo da anticipare la
gestione dei rischi con maggior impatto sull’entità.
A. L’ERM dovrà adattarsi al futuro per fornire i benefici indicati nel framework. Con i
giusti accorgimenti tali benefici supereranno gli investimenti e daranno
consapevolezza alle organizzazioni della loro capacità di gestire il futuro.
Dopo la pubblicazione di ERM 2017 molti studiosi hanno espresso pareri in merito e molti nel
titolo mettevano un riferimento al futuro “ERM guarda al futuro, deve adattarsi al futuro” solo
così si possono avere benefici superiori ai costi
B. Negli ultimi anni le entità, comprese le imprese, i governi e le istituzioni no profit,
dovranno affrontare un panorama in evoluzione dei rischi relativi all’ambiente, alla
società e alla governance, detti appunto “ Environmental, Social & Governance (ESG)
che possono influire sulla redditività, sul successo e sulla sopravvivenza. → basta
vedere ai disastri ambientali degli ultimi anni. Un rischio temuto con effetti devastanti
è quello del cambiamento climatico. Tutti questi stanno determinando perdite per le
società rilevanti.
C. I fattori Environmental, Social e Governance (ESG), sono diventati sempre più rilevanti,
in quanto disastri ambientali, questioni sociali o problematiche aziendali hanno
causato ingenti perdite a molti imprenditori. Oggi la capacità di analizzare i fattori ESG
rappresenta, sicuramente un “plus” in grado di modificare la sostenibilità a lungo
termine, e quindi ottenere un vantaggio competitivo. Tale vantaggio si può ottenere
se il fattore ESG è adeguato alla tipologia di business aziendale
La componente performance del CoSO ERM 2017 è stata suddivisa in tre parti con specifico
riferimento agli ESG.
82
Come interpretiamo questo schema? Abbiamo il
nostro flusso che si intreccia (dati che si
intrecciano) che rappresenta l’immagine per
schematizzare ERM 2017. È una novità in quanto
sostituisce l’utilizzo del cubo. Questo flusso lo
abbiamo visto orizzontale ad indicare un flusso
verso il futuro. In questo schema il flusso è
messo in modo verticale in cui sono
rappresentati i 5 componenti. Ora la
componente centrale che è quella intitolata alle
performance for (riveduta e corretta) per
definire uno specifico strumento per l’ERM.
Infatti la terza componente è definita performance for ESG-related risks quindi è uno specifico
modello riferito a questi tre importanti rischi. Per far si che ERM svolta questo ruolo questa terza
componente è stata suddivisa in tre sottocomponenti:
1. IDENTIFIES RISK Identificare il rischio e di come esso influisca sulla performance della
strategia e sugli obiettivi aziendali. Per i rischi riferiti agli ESG i manager devono
comprenderli anche se trattasi di rischi difficilmente identificabili perché spesso sono o
rischi nuovi ed emergenti o rischi a lungo termine. Spesso questi rischi non sono
identificabili in quanto nuovi ed emergenti ma soprattutto a lungo termine.
2. ASSESSES & PRIORITIZES RISKS (valutazione e categorizzazione dei rischi in base alla
priorità) Consiste nella valutazione e assegnazione delle priorità ai rischi. Ogni rischio deve
essere valutato dal management in base al contesto aziendale, alle strategie adottate, ai
benefici attesi e la propensione al rischio dell’azienda.
3. IMPLEMENTS RISK RESPONSES Consiste nell’implementazione delle risposte ai rischi. I
rischi legati all’ESG sono difficili da prevedere ed hanno un impatto significativo
sull’impresa. Per gestire meglio tale situazione, l’impresa deve effettuare una chiara
assegnazione dei rischi ai relativi Risk Owner. Ogni risk owner è responsabile, quindi, della
gestione delle risorse per la progettazione e implementazione della risposta al rischio.
Significa che venga strutturata e integrata con queste finalità (di dedicarsi alla gestione di ESG)
deve suddividere la componente in sottocomponenti.
A fronte di ciò viene introdotto un nuovo attore (risk owner) cioè responsabile del rischio. È un
manager particolare con skills e abilità specifiche per gestire le risorse al fine di dare risposte ai
rischi. Questi rischi sono in primis i nuovi tipi di rischi ESG.
Tale guida si allinea con l’Enterprise Risk Management-Integrating with Strategy and
Performance ed è un prezioso contributo per l’applicazione del Framework ERM CoSO 2017 ai
rischi ESG. Non esiste una definizione universale di rischi relativi all’ESG, che può essere indicato
come rischio di sostenibilità, non finanziario o extra finanziario.
Questa guida non fornisce definizione specifica di risk ESG ma si limita a sintetizzare.
Sottolineando che ESG sono rischi di sostenibilità non finanziario o extra finanziario. Sottolinea
che sono connessi alla sostenibilità. Quindi non esiste una definizione ma ne esistono molte.
Ogni studioso ha prodotto specifiche ricerche per esprimere il proprio pensiero ed
interpretazione.
83
3. GOVERNANCE consiste nell’insieme di regole o principi che definiscono diritti,
responsabilità e aspettative tra le diverse parti interessate nella governance delle società.
Quando è ben definita può essere utilizzata per bilanciare o allineare gli interessi tra le parti
interessate e può fungere da strumento per supportare la strategia a lungo di un’azienda
Nel 2014 troviamo rischi variegati. Per la prima volta appaiono i rischi ambientali (acqua,
clima). Abbiamo ancora qualche rischio economico, un rischio sociale e compaiono due rischi
tecnologico.
Nel 2019 è quasi tutto verde a sottolineare che la maggior parte dei rischi delle società sono
rischi connessi all’ambiente. (cambiamenti climatici, acqua, eventi naturali)
nel 2019 sono venuti meno i rischi economici. Vuol dire che per la prima volta i rischi
ambientali hanno superato i rischi economici.
Nel 2009, con l’avvento della crisi economica, tutte le imprese si focalizzavano,
comprensibilmente, sui profitti, sul raggiungimento dell’equilibrio economico. Pertanto, si
giustifica la prevalenza, in quegli anni, dei rischi economici quali:
84
- Aumento dei prezzi di petrolio e gas;
- Crollo dei prezzi degli asset aziendali;
- Crisi fiscali;
- Rallentamento dell’economia cinese.
Nel 2009 non erano neanche presi in considerazione i rischi ambientali, dopo dieci anni, secondo
il World Economic Forum la situazione cambia radicalmente, tutte le imprese devono far fronte
non più a rischi economici ma ai rischi ambientali quali:
- Disastri naturali;
- Condizioni meteorologiche avverse;
- Cambiamenti climatici;
Inoltre, nel 2019 le imprese devono fronteggiare, non solo rischi ambientali ma anche rischi
tecnologici (frode di dati e attacchi informatici), rischi di natura geopolitica come le armi di
distruzione di massa e rischi di tipo sociale quale la scarsità idrica.
Tali rischi non solo sono diventati più frequenti, ma espongono le aziende a gravi conseguenze,
sia in termini operativi che reputazionali sino a condizionarne anche i risultati finanziari.
I dati riportati sono la risultante della survey condotta nel 2018 con cui veniva richiesto di
esprimere un parere (tra 1 e 5) sulle singole questioni. La media dei risultati ottenuti ha
permesso di disporre graficamente i rischi e di estrapolare quelli maggiormente incisivi che,
come prevedibile, sono riconducibili a quelli ambientali.
È stato chiesto di esprimere un parere da 1 a 5 sui rischi più preoccupanti per le società. Cioè
quelli più incisivi. Vediamo che i rombi più alti e grandi sono quelli ei rischi ambientali. Nella
parte alta del grafico vediamo come abbiamo
delle valutazioni alte (prossime a 4 – 4,5)
relativamente ai rischi ambientali. Questo è un
altro documento importante pubblicato
insieme al report del 2019.
Molto importante da citare è il recente regolamento europeo 679/2016, detto GDPR (General
Data Protection Regulation), che stabilisce :
1) regole relative alla protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché norme relative alla libera circolazione di tali dati;
2) norme per la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in
particolare del diritto alla protezione dei dati personali.
L’introduzione di tale normativa ha portato numerose imprese a dotarsi di una struttura
appositamente dedicata alla GDPR. Prende così importanza la figura del Data Protector Officer
responsabile della mitigazione dei rischi riguardanti il furto di dati sensibili di una società.
85
Il RUOLO DEL BOARD secondo COSO_ERM 2017
CoSO ERM REPORT – Integrating with Strategy and Performance Versione 2017
Con il nuovo Report, il ruolo del Board diventa sempre più centrale e rilevante. L’attività di
oversight, ovvero di supervisione generale, conferisce una responsabilità globale e quindi i
poteri effettivi di incidere sull’operato dell’Internal Audit. → rafforzamento dei poteri del Board
Quindi il board diventa il primo attore, quello più importante, in una nuova logica di
rafforzamento dei poteri dati al board.
Da dove si percepisce questo ruolo più importante?
Data l’importanza che riveste il Board, non solo nella gestione del rischio, il CoSO sottolinea le
attività imprescindibili che sono attribuite al Board of Directors e precisamente:
In realtà questa elencazione non è completa perché in più punti il riferimento al board è
presente e le attività specifiche del board. Quindi troviamo un concetto nuovo che sicuramente
era presente nelle altre edizioni ma qui è sottolineato ovvero valutare il risk appetite.
86
Con il CoSO Report questa filosofia è stata ribaltata a favore di una più ampia concezione. Dal
1992 l’ambiente di controllo è sinonimo di struttura organizzativa, e di principi quali:
competenza, segregation of duty (divisione dei ruoli e responsabilità*), indipendenza, valori
etici e cultura aziendale
*) per ciascun soggetto è necessario sia chiaro quale sia il suo ruolo e responsabilità all’interno
di una struttura organizzativa. Solo se è rispettata la segregation of duty diventa semplice,
durante i controlli, percepire se ognuno ha espletato i propri ruoli, le responsabilità che gli
competono ed è anche chiara la persona/soggetto con cui interagire in caso di carenza.
Queste sono state le prime novità dell’ambiente di controllo durante la prima edizione. La
definizione è stata influenzata dal seguente report:
Il Report of the National Commission on Fraudolent Financial Reporting del 1987, risultato della
commissione istituita per studiare i comportamenti fraudolenti e documento ispiratore della
formazione del Committee of Sponsoring Organizations of the Treadway Commission, definisce
l’ambiente di controllo come:
“The corporate control environment is the atmosphere in which the internal accounting controls
are applied and the financial statements are prepared. A company's control environment
includes management philosophy and operating style, organizational structure, methods of
communicating and enforcing the assignment of authority and responsibility, and personnel
management methods. The control environment has a pervasive impact on the entire process
by which a company's financial reports are prepared.”
Novità
- stile direttivo e filosofico del management, la struttura organizzativa e i metodi
comunicativi.
- pervasivo”. Ovvero, si riconosce la natura diffusiva della governance nei diversi profili
della realtà societaria, con specifico riferimento alla reportistica finanziaria
Per ciò che riguarda la componente ambiente di controllo, i principi di riferimento sono:
1. Demonstrates commitment to integrity and ethical values;
2. Exercises oversight responsibility; → primo riferimento a oversight
3. Establishes structure, authority and responsibility;
4. Demonstrates commitment to competence;
5. Enforces accountability. → rendicontazione
Le regole sono più snelle e veloci. I principi si traducono in linee guida a cui segue un’operatività
più snella.
87
Coso report 2017
L’espansione dell’ambiente di controllo trova il suo culmine con l’ultimo aggiornamento del
Report: il CoSO Report 2017 – Integrating with Strategy and Performance con cui si configura il
ritorno all’ERM secondo un approccio più particolareggiato.
Anche con edizione 2017 troviamo i principi che sono diventati in totale 20. I principi
sottolineano il ruolo di oversight del board e quello di cultura in quanto i principi sono
finalizzati a sottolineare i due aspetti più rilevanti nell’ambiente di controllo del 2017:
➢ Pervasività totale
➢ Cultura aziendale.
In tal senso la governance sta assumendo un valore differente ovvero più rassicurante nei
confronti degli stakeholder, inglobando non più solo indicatori economici-finanziari ma anche
aspetti ambientali e sociali.
A questo proposito, la governance, supervisor e dominus della componente “Ambiente di
Controllo”, si sta assestando su questo nuovo paradigma divenendo sempre più “sociale”.
Quindi i SCI hanno come ulteriori finalità: la tutela del mercato, degli interessi dei terzi e della
fiducia riposta nell’entità. Per far ciò è opportuno introdurre il termine sostenibilità, da
correlare all’entità che svolge la propria attività con il fine di soddisfare il più ampio ventaglio
di interessi.
“Essere socialmente responsabili significa non solo soddisfare pienamente gli obblighi
giuridici applicabili, ma anche andare al di là investendo “di più” nel capitaleumano,
nell’ambiente e nei rapporti con le altre parti interessate.”
Ovvero rispetto norme e statuti è importante ma bisogna investire nell’ambiente e nel capitale
umano e il rapporto con tutte le parti interessate (stakeholder)
88
A questo proposito la Commissione tiene anche a precisare che la governance deveporre
attenzione a due “dimensioni”:
1) DIMENSIONE INTERNA
2) DIMENSIONE ESTERNA
Dimensione Interna:
1) Gestione delle Risorse Umane: istruire e formare risorse umane al fine di attrarre e
conservare i lavoratori qualificati. → oggi vogliamo trattenere le risorse umane.
2) Salute e Sicurezza nel Lavoro: problematica centrale soprattutto nell’esternalizzazione del
lavoro. Utilizzare come criterio di scelta la garanzia fornita dall’appaltante.
3) Adattamento alle Trasformazioni: una ristrutturazione socialmente responsabile equivale
ad equilibrare e prendere in considerazione gli interessi e le preoccupazioni di tutte le
parti interessate ai cambiamenti e alle decisioni. → la novità va gestita in quanto spesso
si percepisce come un ostacolo.
4) Gestione degli Effetti sull’Ambiente e delle Risorse Umane: la riduzione dei consumi di
risorse, emissioni e rifiuti è una scelta win-win sia per l’azienda, che riduce i costi, sia per
l’ambiente, in quanto non si sfruttano le risorse scarse e/o non si producono eccedenze
difficilmente smaltibili.
Dimensione Esterna:
1) Comunità Locali: è importante tenere in considerazione la comunità nella quale l’entità si
inserisce.
2) Partnership Commerciali, Fornitori e Consumatori: è opportuno segnalare le sinergie
avviate con i partner, sempre nel rispetto delle normative relative alla concorrenza.
3) Diritti dell’Uomo: le politiche aziendali possono intaccare i diritti garantiti all’uomo,
inteso come lavoratore (interno) o cittadino (esterno). I codici di condotta mirano a
definire i confini entro i quali gli
effetti della gestione aziendale non ledono i diritti altrui.
4) Preoccupazioni Ambientali a Livello Globale: le scelte interne alla società possono
influenzare anche la tematica ambientale.Un comportamento socialmente accettato
mira ad incontrare positivamente le richieste della collettività ma diviene anche un buon
esempio per le altre entità.
La dimensione esterna vuol dire analizzare quei parametri che stanno al di fuori dell’entità
stessa.
Il messaggio è che l’ambiente di controllo si è evoluta in tutte le edizioni fino ad assumere
questa nuova dimensione dove l’ambiente di controllo è sempre più rivolto verso l’aspetto
socio-ambientale: salvaguardia e rispetto delle problematiche. Per cercare di gestire al meglio
queste problematiche che caratterizzano gli attuali contesti.
L’ambiente di controllo per funzionare al meglio deve esser messo nelle condizioni di
conoscere nuovi paradigmi perché solo così può controllarli, intercettarli, prevedere linee
guide per fronteggiarli al meglio .
89
CoSo Report: tradizione e novità Uno sguardo al futuro
Coso ERM 2017
la seguente immagine mostra il passaggio tra Coso report 2013 e 2017. L’obiettivo della
lezione è vedere immagini che sintetizzano le caratteristiche del processo evolutivo del coso
report. Sono immagini molto consolidate.
Tra i due framework c’è il ponte a sintetizzare che è un passaggio. È uno strumento che collega
ma segna la nitida separazione perché il Coso report 2013 è stato innovativo per quanto
riguarda i primi 17 principi. I principi sono diventati standard di riferimento per disciplinare il
SCI poi li troviamo anche nell’edizione del 2017. Qui sono stati riveduti, rinominati ed ampliati.
C’è stato un ponte a sottolineare la continuazione. Ma ci sono anche fratture infatti nel 2017
viene sostituita la figura del cubo che viene ritenuto non più idoneo. Identificava la
tridimensionalità e non è più sufficiente perché siamo in una nuova era con rischi e orizzonti
diversi quindi il cubo non è sufficiente.
- 1992 primo Cubo per la prima volta appare con la denominazione sopra indicata con 5
componenti e 3 obiettivi
- 2004 seconda edizione dove per la prima volta vi è la ridefinizione e appare l’acronimo
ERM con la novità di 8 componenti e 4 obiettivi. Il cubo aumenta le sue parti
componenti sia per gli elementi che costituiscono SCI e obiettivi. Sulla terza facciata
sono riportate le diverse forme di organizzazione. Nel 1992 si parla di unit mentre nel
2004 abbiamo un ritorno al passato:
o Rapporti partecipativi
o Struttura funzionale
- 2013 troviamo un ritorno al passato:
o Componenti tornano ad esser 5
o Obiettivi tornano 3 ma obiettivo reporting non è più financial ma di
rendicontazione in senso ampio. Rispecchia il diffondersi della rendicontazione
- 2017 non c’è più il cubo ma vedremo come abbiamo fatto un ulteriore modifica perché
abbiamo previsto la copertina del volume di riferimento
90
Questa immagine riporta dal 1990 fino al 2015 gli scandali finanziari per ricordare che più volte
abbiamo visto che la treadway commission interviene e richiede aggiornamento quasi sempre
come conseguenza di uno scandalo o crisi finanziaria talmente tanto da apportare effetti a
livello internazionale. Ad un certo punto i SCI non sono più efficienti o efficaci perché lavorano
in contesti evoluti. Quindi il SCI non è più idoneo e porta a scandali finanziari. Oggi in questo
contesto globalizzato anche se la crisi parte negli USA in tempo quasi immediato arriva in tutto
il resto del mondo. Così il Coso report viene aggiornato ma non solo questo, infatti anche tutte
le leggi e normative sono sempre state prodotte e pubblicate dai vari organismi come reazione
di uno scandalo: es SOX, aggiornamento del codice di autodisciplina. Sopra in rosso abbiamo gli
scandali finanziari e sotto gli aggiornamenti.
Fallimento del SCI? Fallimento del Risk Management? Fallimento della Governance?
…da SCI a SCIGR
Questa immagine riprende quella di sopra ma abbiamo nell’ultimo riquadro la copertina del
framework. Anche il titolo Fallimento del SCI? Fallimento del Risk Management? Fallimento
della Governance? Queste domande per sottolineare una chiave di lettura un po’ critica che è
stata sollevata dagli studiosi: se noi abbiamo assistito a continui aggiornamenti vuol dire che in
primis c’è stato un fallimento del SCI e poi la treadway commission quando ha istituito ERM
allora è fallito anche quello.
Questa è una chiave di lettura apportata da alcuni studiosi. Altri hanno risposto che non sono
stati fallimenti ma interventi necessari che fanno si che le società devono recepirli. Questa slide
definisce il processo evolutivo. Noi siamo passati da un SCI a SCIGR e gli attuali contesti la terza
91
fase è quella di GRC cioè governance risk and Compliance. Oggi il SCI come nell’edizione del
2017 ha decretato questo sistemo integrato basato su un controllo GRC.
COSO was organized in 1985 to sponsor the National Commission on Fraudulent Financial
Reporting, an independent private-sector initiative that studied the causal factors that can
lead to fraudulent financial reporting. It also developed recommendations for public
companies and their independent auditors, for the SEC and other regulators, and for
educational institutions.
The National Commission was sponsored jointly by five major professional associations
headquartered in the United States: the American Accounting Association
(AAA), the American Institute of Certified Public Accountants (AICPA), Financial Executives
International (FEI), The Institute of Internal Auditors (IIA), and the National Association of
Accountants (now the Institute of Management Accountants [IMA]). Wholly independent of each
of the sponsoring organizations, the Commission included representatives from industry, public
accounting, investment firms, and the New York Stock Exchange.
92
L’internal Audit dal 1992 ha sempre usato il Coso Model come riferimento…
Tra le cause dell’incremento della volatilità e dell’incertezza dei mercati, vanno considerate
l’interconnessione e la velocità con cui i rischi si propagano.
Un evento che accade in un mercato o in una geografia, attraverso percorsi non sempre
prevedibili, può produrre conseguenze indirette anche in settori ed aree molto distanti.
93
Non si può fare a meno di valutare le conseguenze reputazionali dei rischi…
Questa immagine è il punto di arrivo che schematizza il Coso report. Vuol dire che i 3 pilastri che
sorreggono il tutto intersecano l’anello che sono le componenti dell’ERM (sempre 5 componenti
che comunque sono un’evoluzione delle 5 componenti base del ’92). Evoluti per recepire il
cambiamento economico e sociale.
(Questo anno doveva esser importante per il recepimento del codice di crisi dell’insolvenza che
è stato molto importante che è stato rimandando per il periodo critico che bisogna affrontare)
Questo articolo vuol dire che tutti gli attori del SCI sono obbligati a monitorare le attività che
vengono svolte e soprattutto se l’assetto organizzativo è organizzato o meno. Per poter
realizzare queste disposizioni il soggetto preposto a tutto ciò deve esser un efficace sistema di
controllo interno.
94
Analisi dei rischi
Il sistema di gestione dei rischi rappresenta un elemento fondamentale per una sana e
prudente gestione aziendale. Di seguito abbiamo gli step da seguire
1. definizione degli obiettivi aziendali → il rischio è connesso al mancato raggiungimento
degli obiettivi
2. Identificazione e analisi dei rischi
3. Sviluppo della risposta ai rischi
95
La funzione Internal Audit
Parte del corso dedicata alle funzioni svolte dal soggetto preposto all’internal audit. Lezione
introduttiva all’ultima parte del corso ovvero entrare nel merito delle procedure e funzioni
svolte dall’internal audit e analisi del modello delle tre linee di difesa (paradigma di riferimento
per internal audit)
Il sistema di controllo interno all’interno della Corporate Governance
Il Risk management sono tutti quei processi, mezzi e risorse presenti in tutti i livelli
dell’organizzazione che vogliono garantire il raggiungimento degli obiettivi aziendali. Se
abbiamo un buon sistema di risk management per mappare i rischi preventivamente definiti e
correlati agli obiettivi che le società si danno perché se funziona bene l’ERM sarà in grado di
mappare, quindi intervenire per tempo, e se ci sono rischi che minacciano il conseguimento
degli obiettivi il Risk management riesce a definire le risposte al rischio.
Qui abbiamo una scheda di sintesi di come tutti i cambiamenti degli ultimi 20 anni li possiamo
96
posizionare su un centro e le frecce mostrano che possiamo muoverci in un orologio in senso
orario. Inizialmente sono riportati i cambiamenti significativi a cui abbiamo assistito in questi
anni(Globalizzazione etc.. tutto ciò che c’è in elenco) muovendoci a destra vediamo che questi
cambiamenti hanno determinato frodi e scandali a livello di corporate governance che hanno
determinato le tante crisi finanziare che hanno alimentato sfiducia nella leadership e maggior
richiesta di internvento degli stakeholder che ha impattato su corporate governance e SCI. Per
cui nuovo intervento e nell’ultimo schema troviamo il riquadro con scritto necessità di agire…
Ogni volta che c’è un impatto di CG e SCI per forza è necessario intervenire di nuovo sugli
approcci a cultura di controllo, rischio e governance.
Questa immagine sintetizza il modello circolare di cambiamenti – effetti – reazioni che si è
riproposto negli ultimi 20 anni sempre in modo ciclico.
Poi abbiamo normative nazionali (diverse nazioni di riferimento) ma alcune sono molto
importanti che sono diventate di uso internazionale. Es UK ha una serie di norme interne che
governano Governance e Internal Audit, altre dal SudAfrica, USA e Australia. Molte di queste
sono diventate di importanza internazionale pur ricordando che la maggior parte delle norme
che sono strettamente connesse ai modelli di CG risentono dei modelli di CG che sono statuiti
in quel particolare paese. Queste normative di riferimento fanno tutte riferimento al modello
anglosassone. Questi paesi sono tutti di matrice anglosassone.
Anche in Italia abbiamo norme di riferimento, in particolare per SCI, il nostro riferimento è il
codice di autodisciplina o codici etici delle singole società.
97
Governance Efficace
Corporate bribery is bad business. In our free market system it is basic that the sale of
products should take place on the basis of price, quality, and service. Corporate bribery is
fundamentally destructive of this basic tenet. (United States Senate, 1977)
Sono molte le nazioni che hanno recepito le disposizioni creando una normativa di riferimento nel
proprio paese. Qui troviamo le principali norme dei vari paesi:
• UK Bribery Act
• D.Lgs 231/01 → In Italia come conseguenza alle disposizioni americane
• Loi Sapin II (Francia)
• Ley Organica 5/2010 (Spagna)
98
Sarbanes Oxley Act (SOx)
Vera e propria riforma strutturale della disciplina statunitense. (i capisaldi di questa normativa)
▪ Rafforzamento indipendenza società di revisione;
▪ attendibilità info finanziarie e dei processi di controllo;
▪ rafforzamento della corporate governance;
▪ riforma processi di audit
▪ poteri della SEC;
▪ Richiama espressamente i principi del Coso
o Fasi del processo Sox
• Report of the New York stock exchange (codice di autoregolamentazione)
o Più puntuale descrizione delle norme adottate
o Principi
▪ Responsabilità del CDA
▪ Responsabilità del management
Fasi tipiche di un progetto SOX
Perché ci serve il riferimento? C’è un collegamento tra funzioni tipiche dell’IA e le fasi della
SOX. In tutto questo processo riformatorio della SOX ci sono anche delle linee guida operative.
Ovvero ciò che deve esser fatto dalla funzione di internal auditing. Secondo quanto fatto
dall’IA è necessario procedere alla tripartizione dei processi. Queste tre fasi sono importanti
per il processo riformatorio.
➢ Mappatura → Seguiamo lo sviluppo di queste attività che troviamo in questa colonna. In
questo contesto il riferimento più importante riguarda il reporting finanziario. Infatti c’è
l’importanza del reporting finanziario. Siamo alla prima edizione del framework e tra i
primi obiettivi abbiamo un financial reporting e in quel contesto l’importanza dei controlli
era soprattutto rivolto ai controlli finanziari cioè con specifico riferimento ai bilanci di
esercizio.
➢ Assestement → le varie fasi del SOX prevedono tutte le fasi che troviamo in colonna.
➢ Interventi → Attività che devono esser svolte nella terza fase.
Qual è l’importanza di questa tabella? Possiamo procedere alla lettura delle fasi sia per riga che
per colonna. Ma possiamo anche leggere per riga: nella fase di mappatura dei processi c’è la
classificaizone, per l’assestemen c’è l’identificazione. Invece la prima attività relativa alla fase di
interventi e informativa devo svolgere la valutazione dell’adeguatezza.
Questa è l’importanza di questa matrice contenuta nella SOX ed è stata definita come una
prima matrice che contiene le attività operative che devono esser messe in atto dall’internal
auditing.
99
Le asserzioni di bilancio alla base della SOX
Visto e considerato che tutto ciò è importante dobbiamo considerare che siamo in
corrispondenza della prima edizione del Coso report dove l’attività di controllo è focalizzata sul
bilancio di esercizio. Infatti la SOX va a prevedere le asserzioni in bilancio (linee guida operative
che IA deve conoscere molto bene ogni volta che si occupa di effettuare i controlli dei dati
finanziari). Infatti qui è riportato le asserzioni al bilancio. Infatti sono 4:
• Supporto alla preparazione del financial statement
• Alla base del modello SOx
• Assistono gli auditors nel considerare un ampio spettro di criticità che possono
essere rilevanti ai fini dell’autenticità del bilancio
• La loro considerazione durante le varie fasi dell’audit aiuta a ridurre il rischio di audit
• Come parte del risk assessment, gli auditors devono comprendere l’organizzazione
anche dal punto di vista del rischio di errore materiale (material misstatement)
• Dovuti a frodi od errori, imputabili al bilancio e a livello di financial assertions
• La valutazione del rischio consente di individuare la natura, il grado di profindità e le
tempistiche delle procedure di audit necessarie per ottenere un livello adeguato e
sufficiente di evidenze di audit
L’IA deve anche prestare molta attenzione nel cercare di capire se ci sono frodi ed errori relativi
al bilancio stesso. Ogni volta che IA partecipa a questo si dice che partecipa alla definizione del
material misstatement (errore materiale).
• I test dei controlli (TOC) vengono eseguiti per valutare l’efficacia operativa dei controlli a
livello di financial statament nel corso di revisione abbiamo visto l’importanza dei test
di controllo. Anche in questo caso vediamo che questo percorso delle SOX prende molto
ispirazione alle procedure di revisione che di solito vengono svolte dal revisore legale dei
conti. Stiamo parlando di attività di IA ma finalizzate alla financial information quindi è
necessario prendere come riferimento le disposizioni a cui fa riferimento il revisore
esterno.
• Le tipologie di financial assertions
• Legati alle classi ditransazione
• Afferenti lo stato patrimoniale
• Relative alla presentazione e alla disclosure
Anche nel corso di revisione legale dei conti abbiamo visto che esistono diverse classi di
transazione:
➢ Transazioni routinarie
➢ Transazioni non routinarie
A seconda che siano riferite o meno alla gestione ordinaria o straordinaria. E se sono
importanti alla presentazione delle disclosure.
100
Asserzioni legate a classi di transazione
Occurrence Transactions recognized in Salaries & wages expense has been incurred during
the financial statements have the period in respect of the personnel employed by
occurred and relate to the the entity. Salaries and wages expense does not
entity. include the payroll cost of any unauthorized
personnel.
Completene All transactions that were Salaries and wages cost in respect of all personnel
ss supposed to be recorded have been fully accounted for.
have been recognized in the
financial statements.
Accuracy Transactions have been Salaries and wages cost has been calculated
recorded accurately at their accurately. Any adjustments such as tax deduction
appropriate amounts. at source have been correctly reconciled and
accounted for.
Cut-off Transactions have been Salaries and wages cost recognized during the
recognized in the correct period relates to the current accounting period.
accounting periods. Any accrued and prepaid expenses have been
accounted for correctly in the financial statements.
Classificatio Transactions have been Salaries and wages cost has been fairly allocated
n classified and presented fairly between:
in the financial statements. -Operating expenses incurred in production
activities;
-General and administrative expenses; and
-Cost of personnel relating to any self-constructed
assets other than inventory.
101
Asserzioni legate a classi di transazione
102
Asserzioni relative alla presentazione e alla disclosure
Occurrence Transactions and events Transactions with related parties disclosed in the
disclosed in the financial notes of financial statements have occurred during
statements have occurred the period and relate to the audit entity.
and relate to the entity.
Completeness All transactions, balances, All related parties, related party transactions and
events and other matters balances that should have been disclosed have been
that should have been disclosed in the notes of financial statements.
disclosed have been
disclosed in the financial
statements.
Classifi Disclosed events, The nature of related party transactions, balances
cation transactions, balances and and events has been clearly disclosed in the notes
& other financial matters have of financial statements. Users of the financial
Unders been classified appropriately statements can clearly determine the financial
tandabi and presented clearly in a statement captions affected by the related party
lity manner that promotes the transactions and balances and can easily ascertain
understandability of their financial effect.
information contained in the
financial statements.
Accuracy & Transactions, events, Related party transactions, balances and events
Valuation balances and other financial have been disclosed accurately at their appropriate
matters have been disclosed amounts.
accurately at their
appropriate amounts.
Tutto scritto in inglese perchè sono le asserzioni così come sono state prodotte dalla SOX. Facciamo caso
che anche durante il corso di revisione abbiamo parlato di asserzioni di bilancio che si identificano con
l’acrononico CEAIO
➢ Consistenza
➢ Accuratezza
➢ Valutazione
➢ Esistenza
Sono le stesse che troviamo qui. Quindi le stesse usate dal revisore esterno quando mette in atto le
procedure finalizzate alla valutazione del bilancio.
Queste tre tabelle sono di sintesi delle asserzioni nelle tre situazioni diverse:
➢ Transazioni
➢ SP
➢ Discolsure
Nella seconda colonna di spiega cosa si intende, nella terza colonna ci sono esempi specifici con
riferimento a ciascuna asserzione che sono le situazioni più tipiche (aspetti più critici nel fare le
valutazioni)
Come prima attività IA inizialmente si sono dedicati a perfezionare, secondo le disposizioni contenute in
questa normativa, ad effettuare controlli precisi sul financial statement. Il processo messo in atto è
quello della valutazione delle asserzioni perché il modus operandi è stato copiato dalla prassi
professionale da altri. IA è un’attività molto più recente rispetto all’esternal auditing.
103
Internal Audit- Il codice diautodisciplina
Lezione dedicata alle attività dell’internal auditing. Abbiamo introdotto ciò in cui consiste
l’attività di Internal Auditor e vediamo dove è posizionato IA in un modello di corporate
governance e le sue funzioni. Dobbiamo riprendere disposizioni che abbiamo visto quando ci
siamo occupati dell’analisi dei contenuti del codice di autodisciplina (noto anche come Codice
Preda). È stato più volte aggiornato per recepire i vari cambiamenti che si sono resi necessari.
Delle varie disposizioni contenute nel codice di autodisciplina ci interesse vedere funzioni e
responsabilità dell’IA. Abbiamo visto come codice di autodisciplina è la fonte primaria della
normativa di controlli interni e rappresenta un documento allineato con la prassi
internazionale. Quindi conosciamo bene i paragrafi che definiscono funzioni e responsabilità
dell’IA.
7.C.5. Il responsabile della funzione di internal audit:
i principi sono numerati più i commenti.
a) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli
standard internazionali, l’operatività e l’idoneità del sistema di controllo interno e di
gestione dei rischi, attraverso un piano di audit, approvato dal consiglio di
amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei
principali rischi;
in rosso ci sono le disposizioni più importanti. Standard internazionali nel nostro ordinamento
li abbiamo percepiti da normative internazionali soprattutto dal mondo anglosassone. Per
questo li abbiamo recepiti e c’è un riferimento agli standard internazionali.
b) non è responsabile di alcuna area operativa e dipende gerarchicamente dal consiglio di
amministrazione; → noi da un punto di vista gerarchico la funzione di IA non possiamo
posizionarla su qualche gradino della piramide gerarchica.
c) ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico; → per
svolgere il suo incarico quindi sicuramente totale possibilità di accedere alle
informazioni.
104
• Definizione tipologia dei controlli (di linea, di secondo livello, di terzo livello)
• Definizione dei principi generali di organizzazione (formalizzazione dei processi, ruoli e
responsabilità, competenze,….)
Governo societario, controllo interno e gestione dei rischi
Il modello delle tre linee è un concetto molto importante e di attualità. È un modello di tre
linee dei controlli.
La circolare 285 di Banca d’Italia- Le funzioni di controllo
Per la prima volta viene introdotto il concetto di avere tre linee di controllo.per capire dove si
trova l’internal audit in questo sistema di tre livelli di controllo
• Costituzione di funzioni aziendali di controllo permanenti e indipendenti
• Di conformità alle norme (compliance) (II livello)
• Di controllo dei rischi (risk management) (II Livello)
• Di revisione interna (internal audit)(III livello)
Per la prima volta il 285 dice che i controlli di revisione interna sono di terzo livello. Questa è la
particolarità del 285.
tutto è basato sulla fondamentale regola del criterio della proporzionalità o dimensionalità
cioè tutto deve esser proporzionato e ragguagliato alle dimensioni. Ricordiamo che è una
circolare che riguarda il settore bancario. Abbiamo le piccole banche di credito e i grandi
colossi quali Ubi banca etc quindi tutto deve esser proporzionale.
• I criteri di remunerazione del personale che partecipa alle funzioni aziendali di controllo
non ne compromettono l’obiettività → IA è una funzione importante e strategica e
soprattutto adeguatamente remunerato. Ma i criteri di remunerazione devono esser
trasparenti e chiari. Un IA più è pagato più può dire che va bene e sarebbe compromessa
l’obiettività. È molto importante che ogni organizzazione si doti di criteri di
remunerazione adeguati per tutti gli IA
105
La circolare 285 di Banca d’Italia- la funzione di audit
• Programma delle attività
• Piano di audit risk based, con una sezione specifica dedicata all’ICT → risk based
come per il revisore esterno. Vi è un allineamento tra audit risk per revisore
legale dei conti e per revisore interno.
• Relazione periodica sulle attività svolte
• Informazione tempestiva in caso di violazione e carenze rilevanti
• Contenuto delle attività (elenco non esaustivo)→ elenco attività tipiche ma non in
modo esaustivo. Cioè è stato previsto che l’elencazione non sia esaustiva perché ogni
banca possa prevederne delle altre e più specifiche.
• Valutazione della completezza, adeguatezza, funzionalità, affidabilità del
sistema di controlli interni edel processo di gestione dei rischi
• Valuta l’efficacia di definizione del RAF
• Test periodici sul funzionamento delle procedure operative e di controllo
interno
• Compiti di accertamento con riguardo a specifiche irregolarità
• Controlla regolarmente il piano aziendale di continuità operativa
Elenco con specifico riferimento a banche di Italia ma deve esser attività svolta con continuità,
regolarità ed immediatezza.
• Accesso a tutte le attività, comprese quelle esternalizzate e quelle periferiche
Per svolgere al meglio le sue funzioni IA deve aver accesso ad attività interne ma anche quelle
esternalizzate. È obbligato a mappare tutte le attività che le società esternalizza es nelle piccole
banche spesso è esternalizzata l’attività legale. Piuttosto che assumere un legale preferiscono
affidare tale funzione a studi legali esterni.
➔ Coordinamento tra le diverse funzioni aziendali a presidio dei rischi e dei controlli.
Dire linee o livelli è lo stesso perché tutto deriva dalla traduzione del Three lines model
106
MODELLO DELLE TRE LINEE DI DIFESA
(Three lines of defence, 3LoD acronimo)
È un modello definito per il controllo aziendale. Come mai nasce l’esigenza di un nuovo
modello? Nasce a fronte delle critiche che sono state mosse al Coso report da diverse parti del
mondo. Il Coso report è stato criticato per una mancanza di chiarezza nella definizione di ruoli
e responsabilità. Criticato anche per esser troppo teorico e poco pratico. Quindi c’era
l’esigenza di avere un approccio più pratico e interpretativo. Quindi questo nasce da nazioni di
comunità europea forse anche per via della difficoltà a recepire il modello anglosassone e
statunitense per via di strutture anche diverse. Quindi è quasi un risposta europea ai
framework dei controllo USA e UK.
Il modello delle Tre linee di difesa è stato elaborato congiuntamente dalla:
1) European Confederation of Institutes of Internal Auditing (ECIIA); → in ogni nazione c’è
un istituto di interna auditing dopo l’istituto statunitense anche in Italia (a Milano) e quindi
anche questa in europa.
2) E dalla Federazione Europea delle Associazioni di Risk Manager (FERMA )
Viene elaborato da addetti ai lavori europei. Viene pubblicato come guida.
GUIDANCE ON THE 8th EU COMPANY LAWDIRECTIVE ON STATUTORY AUDIT
le guide sono un po’ come i D.lgs che hanno anche una circolare di commento. Così le direttive
europee richiedono una guida. Quindi all’interno della Direttiva VIII richiede questa guida che
contiene questo modello.
pubblicato nel settembre 2010 (Aggiornato nel 2018 e nel 2019 aperta consultazione per
ulteriore aggiornamento)
Consultazione pubblica→ es il nostro OIC ogni volta che pubblica un nuovo principio contabile
prima lo pubblica in bozza di consultazione con scadenza. Alla scadenza viene ritirato, la
commissione vede se sono arrivate proposte, suggerimenti e poi provvede alla pubblicazione
del documento definitivo. Stessa cosa successo in questo caso.
IIA, Position Paper, The Three lines of defense in Effective Risk Management and Control,
January 2013,
Ha avuto il merito di rendere più pratico e operativo, da parte delle società italiane, il modello
delle tre linee. Quindi è un ulteriore guida operativa per recepire al meglio queste tre linee di
difesa.
Tale modello divide in tre gruppi gli attori coinvolti in una efficace gestione dei rischi:
1. FUNZIONI CHE POSSIEDONO E GESTISCONO I RISCHI→ funzioni rischiose, strettamente
legate ai rischi.
2. FUNZIONI CHE CONTROLLANO I RISCHI
3. FUNZIONI CHE FORNISCONO ASSURANCE. INDIPENDENTE
107
LIMITE DEL CoSO REPORT
Molti hanno rilevato che per implementare il sistema dei controlli delineato dal CoSo Report
fosse necessario definire ed assegnare in maniera chiara i ruoli e le responsabilità all’interno del
sistema di riferimento aziendale e coordinare le attività tra i diversi soggetti coinvolti, per renderlo
efficace e per poter operare in condizioni di economicità (contenimento dei costi) anche perché
un limite subito emerso è che le società per poter implementare le disposizioni contenute nel
framework devono investire e sostenere costi non indifferenti.
In estrema sintesi i limiti del Coso report
1) Confusione nella definizione di ruoli e responsabilità
2) Eccessivamente costoso
Poi c’è un’altra freccia nel terzo pilastro dove va al governing body (cuore centrale del modello
di CG) ma l’interna audit come funzione interagisce sia il senior management ma anche come
governing body e audit committee
108
i rischi (livello più basso). È quello in prima linea di difesa. Secondo il modello delle tre linee
di difesa queste persone sono dette Risk owner
✓ Controlli di secondo livello: rappresentata dalle funzioni che monitorano l’efficacia della
prima linea o la aiutano a costruire un’efficace sistema di controlli di natura operativa.
Queste sono le funzioni di risk management e di compliance. che possono anche
appartenere ad uno solo manager, più o molti.→ quando i controllo della prima linea non
sono efficaci intervengono e forniscono supporti operativi per implementare i sistemi di
primo livello per esser più efficaci.
Riassumendo il primo livello si concretizza con la funzione di risk owner. Il secondo con la
funzione di risk management e il terzo con la funzione di internal audit.
Il modello delle tre linee di difese non va in contrasto con Coso report ma lo integra e si pone
in continuità al framework di riferimento del risk management.
109
MODELLO DELLE TRE LINEE DI DIFESA
➢ Una risposta da parte delle associazioni europee del predominio americano dei
framework di riferimento in materia di controllo soprattutto interno
Sono svolti dai responsabili delle singole funzioni solitamente dal direttore di funzione (nei
modelli organizzativi individuiamo le varie funzioni) che, da un punto di vista operativo:
110
monitoramento sono stati recepiti e i risultati) sul disegno e sul funzionamento del complessivo
sistema di controllo interno, accompagnato da piani di miglioramento definiti dal management
.
Sono solitamente affidati alla funzione di Revisione Interna (Internal Audit), all’Organismo di
Vigilanza ex D.Lgs 231/2001 oppure al Revisore contabile (external Auditor).
Tutti i tre tali soggetti, seppur vigilando su aspetti diversi, devono monitorare l’adeguatezza
degli assetti organizzativi e dei controlli interni riportando direttamente al top management e
all’organo amministrativo relativamente:
A) all’efficacia ed efficienza delle operations, salvaguardia assetti aziendali, affidabilità ed
integrità dei processi di reporting, la compliance a leggi e regolamenti, policy, procedure
e contratti;
B) alle attività del risk management, all’esistenza degli elementi costituenti il sistema di
controllo interno previsti dal Framework CoSO Report.
Va anche ricordato come gli esiti delle verifiche e dei controlli effettuati devono essere resi noti
a tutti gli organi della governance
Questo schema è la mappatura attuale di come le società italiane hanno recepito il modello
delle tre linee. È un sistema piramidale perché i controlli di tre livelli li collochiamo su una
piramide in quanto c’è una gerarchia di funzionamento.
Sotto vi è un’elencazione di tutte quelle attività per le quali deve funzionare il SCI ossia gli
ambiti del SCI. Il SCI deve operare a livello di tutte le attività che si trovano in un’azienda:
➢ amministrazione
➢ infrastrutture
➢ … (vedi schema)
Dopo salendo troviamo i controlli di primo livello che sono controlli di linea perché insiti in tutti
i processi operativi (alla base della piramide) e vengono svolti dal management che si occupa di
funzioni operative (direttore operativo)
Poi troviamo soggetti indipendenti dalla funzione operativa ma dotati di competenze molto
specifiche ciascuno per il proprio ambito. Qui dipende in questo grafico li abbiamo tutti ma non
sono presenti tutti. Ogni società sceglie in base alla dimensione e al tipo di attività. (leggi i
soggetti nel grafico):
➢ Responsabili prevenzione della corruzione e della trasparenza
➢ Dirigente preposto
➢ Responsabile del sistema della gestione della qualità
➢ Responsabile della gestione dei sistemi informativi
➢ Responsabili della gestione e sicurezza sul lavoro
➢ Responsabile della gestione ambientale (tematica molto sentita)
➢ Responsabile della gestione dei sistemi informatici e tecnologici
Responsabile → sono figure dedicate al controllo di II livello indipendenti dal I livello ma dotati
111
di elevata competenza. Come detto dal codice di autodisciplina è possibile che venga nominato
un risk owner (responsabile di tutti i controlli interni per ogni ambito del sistema di controllo
interno) questa figura fa da coadiuvatore con tutti i responsabili di II livello. È il
delegato/responsabile di tutte queste figure che svolgono controlli di II livello
Infine abbiamo il III livello che è solo dell’internal audit che interagisce con figure apicali perché
deve rendicontare circa ciò che succede sotto di lui. Con chi interagisce?
➢ Organi esterni, dotati di una veduta indipendente.
o Collegio sindacale
o Società di revisione
o Organismo di vigilanza
➢ Governance
o Assemblea
o Cda
o Altri comitati che sono espressione del Cda
Questa è come il modello delle tre linee è recepito nelle società italiane secondo una logica
piramidale.
Le tre linee di difesa nel modello di corporate governance italiano
1) la prima linea di difesa è affidata al management operativo, che decide il livello di rischio
assunto dall’impresa e si occupa di disegnare dei controlli in linea con lo stesso.
2) la composizione della seconda linea può però variare a seconda delle caratteristiche delle
imprese; nelle imprese di maggiori dimensioni questi compiti sono solitamente affidata a
dipartimenti specifici mentre nelle entità più piccole, alcuni ruoli potrebbero essere
combinati o addirittura non essere presenti.
3) la terza linea è assegnata alla funzione di internal audit;
Secondo il Position Paper, l’IIA definisce l’internal auditing come «un'attività indipendente e
obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza
dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un
approccio professionale sistematico (costante, preciso), che genera valore aggiunto(L’IA è
talmente strategica che deve esser lui stesso a esser in grado di generare valore aggiunto per la
società) in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei
rischi e di Corporate Governance».
Non svolge sono assurance (valutazione in toto dell’affidabilità del SCI) ma anche consulenza
perché se ci sono limiti deve proporre delle correzioni di limiti.
Si tratta pertanto di una funzione che non ha compiti di gestione, ma ha l’incarico di esprimere
un giudizio indipendente e fornire sicurezza sull’operatività e l’efficienza del sistema; ciò che
la distingue dalle altre due linee, è infatti la sua indipendenza e obiettività, caratteristiche
richieste proprio per la natura dei compiti che è chiamata a svolgere
LINEE AGGIUNTIVE
Sono quei soggetti esterni con cui interagisce l’IA
Oltre alle tre linee di difesa, anche gli azionisti, sindaci, i membri dell’ODV e i revisori esterni
contribuiscono a definire la struttura dei controlli.
- I regolatori si occupano di stabilire le regole di governance e quelle relative ai controlli,
vigilando la loro osservanza. In Italia è Consob
- i revisori invece osservano e valutano i controlli realizzati rispetto alla reportistica societaria
e ai relativi rischi
- Sebbene i diversi ruoli siano separati, tutte le linee, comprese le linee “aggiuntive”, devono
comunicare tra loro, dato che il loro comune obiettivo è quello di aiutare l’organizzazione a
perseguire i propri obiettivi, minimizzando le lacune.
Questo modello funziona se tutte e tre le linee di difesa funzionano (anche le aggiuntive) ma
soprattutto devono esser tutte presenti. Dove ognuno svolge il proprio ruolo precisamente e in
modo separato. Ma soprattutto devono comunicare tra loro perché tutti questi soggetti hanno
un unico obiettivo di supportare l’organizzazione per perseguire l’obiettivo e contribuire a
minimizzare le lacune e criticità.
112
I PRINCIPI OCSE
Sono relativamente recenti in quanto la prima pubblicazione risale al 2010. Anche questi
contengono riferimenti al buon funzionamento del SCI. Anche se i principi OCSE si rivolgono in
primis ai modelli di corporate governance. Ma gli sci riveste un ruolo importante nei sistemi di
CR quindi gli OCSE non possono prescindere dai SCI.
Quali sono altri modelli e principi per l’implementazione di un efficace ed efficiente SCI. Il Coso
report è comunque il documento più importante per le disposizioni sul sistema di controllo
interno. Quello che stiamo vedendo sono modelli alternativi per fornire anche un punto di
vista per fronteggiare il monopolio della Treadway commission. Questi sono modelli recenti
che vanno a definire quelli che sono delle altre regole e quello che è chiaro è che nessuno delle
varia organizzazioni ha fornito framework nuovi. Nessuno ha avuto l’ambizione di sostituire il
Coso report. Sono tutti concordi nel dire che sono nuovi disposizioni che integrano quelli del
Coso report e vanno a sottolineare che il più delle volte vogliono dare un contributo per
superare limiti e carenze che gli studiosi hanno rilevato nel Coso report. Questo perché tutte le
organizzazioni mondiali nei confronti del Coso report hanno un atteggiamento di doverosa
sottomissione cioè riconoscono l’autorevolezza del coso report perché:
➢ Sono stati i primi
➢ È consolidato nel sistema anglosassone.
L’Organizzazione per la Cooperazione e Sviluppo Economico (OCSE) nel documento
“Corporate Governance and the Financial Crisis Conclusions and Emerging Good Practice to
Enhance Implementation of the principles” ha attestato che in particolare la debolezza della
corporate governance relativamente al tema di risk management, è stata une delle cause che ha
alimentato la grave crisi finanziaria del 2008. → pubblicato per fornire linee guida per migliorare
la corporate governance. Pubblicati dopo la grande crisi finanziaria del 2008. Anche perché
ritiene che la crisi è dovuta alla debolezza dei sistemi di corporate governance e soprattutto della
gestione del rischio → qui vediamo la differenza con treadway commission in quanto questa
ha sempre sostenuto che le cause delle crisi finanziarie sono da attribuire ai limiti e carenze dei
SCI. Poi ad un certo punto le regole per il buon funzionamento del SCI diventano carenti, non
vanno più bene e ci sono manager che riescono a baipassare queste regole e superare quindi il
SCI. Questo è l’approccio della Treadway commission. Infatti subito dopo crisi rilevanti è sempre
intervenuta con un nuovo aggiornamento. Viceversa l’OCSE non è tutto da attribuire ai SCI ma
alle debolezze dei modelli di CG e in primis è riferibile ad una componente importante del CG
cioè l’area occupata dal risk management.
Da qui l’intento dell’OCSE di individuare alcune linee guida per le imprese per migliorare la buona
governance per operare in contesti dinamici e rischiosi
I PRINCIPI OCSE: Iter per la pubblicazione
1. primi principi di governo societario dell’OCSE sono stati approvati nel 1998 per recepire le
richieste della Riunione del Consiglio dei Ministri dell’OCSE del 27-28 aprile 1988 di
sviluppare un insieme di norme e di principi di governo societario.
2. Essi si rivolgono in particolare alle società finanziarie e non finanziarie che raccolgono i
capitali presso il pubblico ( ma consigliati anche per società non quotate)
3. Sono stati subito adottati dal Financial Stability Forum come uno dei dodici principali
standard volti a garantire l’integrità dei sistemi finanziari (Twelve Key Standards for Sound
Financial Systems).
4. Hanno assunto ruolo di quadro di riferimento per la componente del governo societario
nell’ambito dei Rapporti sull’Osservanza degli Standard e dei Codici (ROSC) elaborati dalla
Banca Mondiale e dal Fondo Monetario Internazionale
5. I principi seppur non vincolanti per le legislazioni nazionali, costituiscono uno strumento di
riferimento per tutti i responsabili delle politiche governative nel definire gli assetti giuridici
e regolamentari per il governo societario
Questi principi seppur non vincolanti sono diventati uno strumento di riferimento
importante per la normativa per il governo societario e per l’implementazione delle nuove
regole di governance. Le stanno quindi recependo tutti seppur non obbligatori.
113
1. Nel 2002 per adeguarsi ad una situazione economica in continuo movimento il Consiglio
dell’OCSE ha affidato al Gruppo di indirizzo dell’OCSE sul governo societario (ossia l’OECD
Steering Group on Corporate Governance) il compito di rivedere i Principi emanati nel 1998
alla luce dei cambiamenti intervenuti.
2. Ai lavori hanno partecipato in qualità di osservatori anche la Banca Mondiale, la Banca dei
Regolamenti Internazionali (BRI), il Fondo Monetario Internazionale (FMI).
3. Una bozza dell’aggiornamento è stata pubblicata sul sito internet per accogliere i commenti
del pubblico interessato. (Pubblica consultazione) finito il periodo della pubblica
consultazione nel 2004 viene pubblicata la versione definitiva.
Parte Prima-I principi di governo societario dell’OCSE; nella prima parte sono pubblicati i
principi
Parte Seconda- Annotazioni ai principi di governo societario dell’OCSE annotazioni e
commenti di supporto.
Nel 2014 la Corporate Governance Committee dell’OCSE ha avviato una nuova consultazione a
cui oltre ai paesi dell’OCSE ed anche del G20 hanno aderito anche altre istituzioni e organismi
nazionali ed internazionali fra cui il Comitato di Basilea, il Financial Stability Board e la Banca
Mondiale. → negli anni l’OCSE è diventata sempre più importante con visibilità sempre più
mondiale.
Nel 2015 OECD pubblica l’aggiornamento la cui struttura conserva la stessa configurazione di
base evidenziata nella prima edizione, viceversa i contenuti sono stati rivisti al fine di garantire
maggiore efficienza e trasparenza dei sistemi economici a beneficio degli operatori di mercato
e dei consumatori anche alla luce dell’ulteriore crisi finanziaria globale del 2008.
Il 2015 ha superato le carenze e i limiti che scoppiasse la crisi del 2008
I rinnovati principi sono stati inoltre posti alla base delle Linee Guida Corporate Governance
Principles for Banks, adottate nel luglio 2015 da parte del Comitato di Basilea in materia di
governo societario bancario.
(*) Basilea si occupa soprattutto di definire la regolamentazione del settore bancario. Tutti gli
addetti ai lavori tutti conoscono le Basilea I, Basilea II gli indicatori per il credito.
114
attenzione e solo così può salvaguardare e proteggersi dai market failures (dafault, venir
meno di certi equilibri)
3. Garantire la parità di trattamento fra portatori di strumenti finanziari ossia tutelare la
posizione dei soci di minoranza;
4. Prevedere una specifica disciplina da dare alla disclosure per gestire in modo adeguato i
conflitti d’interesse.
Aggiornamento più recente che le società stanno recependo.
I PRINCIPI OCSE: ASPETTI RILEVANTI PER SCI
Prima volta che OCSE si dedica al SCI in modo ampio e concentrato in quanto fino a quel
momento il riferimento era limitato.
Rilevante fra le linee guida proposte dall’OCSE focalizzare attenzione sugli aspetti di cui il sistema
di controllo interno è parte integrante.
Il riferimento è in particolare:
A. Board, composizione, responsabilità e funzioni. I principi sottolineano che deve assumere
consapevolmente la responsabilità di “supervisionare” in particolare le attività del
management. A tal fine è necessario effettuare il “check and balance framework” ossia il
controllo e bilanciamento reciproco tra le varie componenti del sistema di governo. → un
sistema di governance è formato da varie componenti ed è importante che venga svolta
un’attività di controllo e bilanciamento reciproco tra tutte le componenti. Cioè ci deve esser
un bilanciamento reciproco. Perché ciò avvenga serve un buon sistema di controllo. Questo
concetto OCSE lo definisce in check and balance framework
115
ISO 31.000 (31 mila)
Altro framework per il SCI. È uno standard che prevede aspetti particolari per importanza del SCI.
Con riferimento ad ISO 31mila abbiamo due framework:
➢ Prima pubblicazione 2009
➢ Primo aggiornamento 2018
Il Framework ERM proposto dal CoSO ha costituito la base per lo sviluppo di ulteriori integrazioni in
merito alla gestione integrata del rischio:
1. A tal fine nel 2009 a seguito dell’introduzione del CoSO ERM 2004 è stata pubblicata la
norma ISO 31000 Risk Management- Principles and Guidelines:
2. La pubblicazione del CoSO Report 2017 ha alimentato la necessità di aggiornare lo
standard con la pubblicazione dell’ ISO 31000: 2018
ISO 31000: 2009 “Risk Management- Principles and Guidelines”
Il Coso report resta il framework di riferimento. Ma poi le organizzazioni hanno sentito l’esigenza di
pubblicare il proprio framework:
➢ Per poter integrare → motivazione condivisa e detta da tutti
➢ Per dimostrare e voler evidenziare il fatto che esistono anche alternativa al Coso framework
Tutti questi framework già nelle premesse tendono a sottolineare che le disposizioni contenute in
questo nuovo documento non vogliono sostituire Coso report ma integrarlo. Infatti è ciò che fa
anche ISO 31mila nella premessa.
La novità significativa è la proposta di una struttura nuova in quanto si struttura in tre pilastri.
A differenza del CoSO Report che si struttura in un cubo l’ISO 31000 si basa su trepilastri:
1. PRINCIPI definiscono le linee guida generali che permettono di fornire una definizione più
ampia di ERM
2. FRAMEWORK: si articola in 5 fasi secondo il modello Deming, PLAN, DO, CHECK, ACT (PDCA)
finalizzato nell’adattare un modello idoneo alla gestione e monitoraggio del rischio. →
pianificare, progettare, fare, controllare e agire in questo senso. Questa è la sintesi del modello
che è il cuore del framework e contiene la spiegazione di queste fasi che fanno si che il nostro
ERM possa adattarsi al sistema gestionale in cui è inserito.
3. PROCESSI: il processo di risk management che deve essere integrato nelle pratiche
dell’organizzazione ed incorporare i processi già esistenti.
Si diffonde l’esigenza di schematizzare ISO 31mila in un grafico. Poiché consta di 3 pilastri han deciso
che questa sarebbe stata la struttura (come immagine sotto):
116
La Struttura dell’ISO 31000:2018
Schema che sintetizza L’ISO 31000 aggioranto al 2018 pur ricordando che la struttura dei tre pilastri
era già presente nel 2009. La struttura del 2018, oltre ad aver recepito le ultime novità dell’ERM
2017, ha consolidato le regole e caratteristiche base previste nella prima edizione del 2009.
I pilastri sono tre:
➢ principi
➢ framework
➢ process
i principi sono posizionati al centro con le frecce che collega direttamente agli altri due pilastri.
Questo perché i principles definiscono le regole base per poter recepire un ERM in tutte le
organizzazioni secondo quanto previsto da ISO 31 000. Vediamo che i principles sono dei principi che
devono conoscere tutti i manager che si occupano di rischio e non devono esser solo conosciuti dal
risk management ma anche messi in atto.
Nel cerchio più piccolo abbiamo creazione di valore e protezione. Poi vediamo che è necessario che
vi sia il rispetto di questi principi scritti in inglese (lingua ufficiale). A sottolineare che il processo deve
esser fortemente
➢ integration (integrato )
➢ basato sul miglioramento continuo per cui implementazione è sempre importante
➢ ma anche l’evoluzione degli aspetti sia umani che culturali
➢ le organizzazioni devono dotarsi delle migliori informazioni possibili
➢ che sia un processo dinamico per poter esser in continuo miglioramento
➢ deve esser inclusivo di tutto e
➢ fortemente customizzato → esser condiviso e il benestare degli stakeholder
➢ deve esser strutturato e comprensibile → ben definito nella struttura e gli elementi che lo
compongono devono rendere la struttura comprensibile perché dobbiamo allinearci con un
modello/sistema che va bene per tutte le organizzazioni.
Il secondo pilastro è il framework è sempre il risk management che si occupa di conoscere
disposizioni contenute nel framework:
➢ il cuore è della leadership
➢ integration
➢ implementation
➢ evolution
➢ desing
l’implementazione del risk management non è improvvisato, è un percorso che si sviluppa fase per
fare che è improntato sul design (definizione)poi sulla sua implementazione, lo sviluppo e
l’implementazione e per realizzare il miglioramento continuo è probabile che venga integrato per il
miglioramento continuo
terzo pilastro: risk management process anche in questo caso è il risk management che realizza i
processi → esecuzione step by step. Le fasi significative del processo enterprise risk management:
➢ ogni processo prima di esser implementato deve esser valutato il contesto, le finalità
dell’ERM (contestualizzate) e i criteria (caratteristiche dell’organizzazione)
117
➢ risk assesstment è la valutazione dei rischi secondo un percorso idoneo consolidato e
recepito da tutte le organizzazioni. Per farlo il risk assestement deve constare di alcune sotto
fasi
o risk identification → identifica i rischi. Costruisce un database dei rischi tipici di
quella società con cui l’organizzazione deve confrontarsi.
o risk analysis → ciascuno di questi rischi mappato deve esser analizzato attantamente
o risk evaluation → complessa perché si tratta di quantificare un rischio cioè, usando le
tante tecniche, si tratta di capire come fare a valutare gli effetti negativi in costi o
perdite che potrebbe lo stesso rischio arrecare alla società.
➢ Infine abbiamo il risk treatment → definire quelli che sono gli strumenti per gestire il rischio
qualora il rischio dovesse verificarsi.
A conclusione del terzo pilastro vediamo nelle colonne laterali:
- Comunication&Governance → definire un flusso di info preciso, continuo che vada dall’alto
al basso o viceversa e che sia un flusso condiviso.
- Monitoring&review
- Recording&reporting → è necessario tenere un rapporto. Si è solito compilare tabelle di
sintesi in cui far confluire i principali dati caratteristici che hanno definito l’ERM così
strutturato.
Questi tre aspetti sono tre capisaldi fondamentali per la realizzazione e implementazione dell’ERM.
Principi dell’ISO 31000:2018
Il primo pilastro riguarda i principi che l’azienda deve fare propri in una prospettiva di Enterprise Risk
Management per la creazione e conservazione del valore nel tempo. Nel 2009 si parlava di principi
generali e basta invece quello del 2018 sono definiti 8 principi finalizzati a raggiungere la creazione,
conservazione della società nel tempo. In tutti questi 8 si vede l’attenzione da parte dello standard
dell’ISO 31mila del fattore umano.
Sono otto (attenzione per fattore umano, culturali, orientato al miglioramento continuo):
questi 8 son quelli che troviamo nello schema di sintesi che rappresenta l’ISO 31mila 2018. Il modus
operandi da parte di tutte le organizzazioni, quando i sistemi evolvono e diventano più complessi, si
ricorre sempre all’uso di principi base. Infatti i principi sono una codifica finalizzata a far si che gli
addetti ai lavori possano avere regole più chiare da recepire per costruire un modello. Si parla
sempre di regole alla base per la costruzione di un modello importante.
(fonte dei principi)Institute of Risk Management, A Risk Practitioners Guide to ISO 31000: 2018
Il framework
Il Framework si concentra sull’impegno e sulla leadeship del mangement per l’analisi del contesto
interno ed esterno e per applicazione delle logiche PDCA e per lo sviluppo del processo del rischio .
Le componenti del Framework sono finalizzate a promuovere lo sviluppo continuo dei processi ed un
efficiente consumo delle risorse. Esse sono:
1 Design, progettazione della gestione dei rischi;
2 Implementation, implementare la progettazione dei rischi;
3 Evaluation, valutazione dei processi messi in pratica e raggiungimento degli obiettivi fissati;
4 Improvement, miglioramento continuo del modello;
118
5 Integration, ultima componente introdotta con aggiornamento del 2018 che prevede
integrazione del processo di risk management con le altre aree funzionali aziendali.
Quando si arriva all’edizione aggiornata del 2018 le componenti arrivano a 5 perché prima era una
bozza per questo non era scritta. Queste 5 componenti rappresentano il framwork, ma per poter
esser realizzato perché è un risk management framework, si basa su una leadership e un
management che sia titolato e abbia le competenze per poter realizzare tutto ciò. Non deve avere
solo il credito, autorevolezza e autorità ma anche conoscenza ed esperienza. Prima di applicare e
recepire le 5 fasi è necessario che il management faccia analisi del contesto interno ed esterno per
verificare l’esistenza delle condizioni nell’organizzazione per recepire tutto ciò. Se l’organizzazione
non ha le caratteristiche per recepire questo processo o si implementa oppure se si vuole continuare
bisogna fare in modo di individuare e recuperare preliminarmente le risorse necessarie.
Stiamo vedendo gli standard di riferimento prodotti da parte di altre organizzazioni e istituti
relativamente ad ERM e SCI.
119
IPPF- International Professional Practice Framework
Lezione degli standard di riferimento dell’Internal audit quindi regole professionali che sono note a
livello internazionale e riguardano il comportamento, le linee di condotta e le responsabilità che
deve rispettare l’Internal Auditor all’interno del SCI.
Le caratteristiche della funzione Internal Audit e la tipologia di attività svolte sono disciplinate dal
corpus denominato
La versione più aggiornata risale al 2017 e include, come elementi di novità, la mission e i principi
fondamentali, finalizzati a contestualizzare meglio la funzione Internal Audit
Novità
Mission
Core principles
Organizzazione delle
«recommended
guidance»
1
Old framework è la prima pubblicazione che poi è stato aggiornato recentemente dal New
Framework. La struttura del framework rispetto al vecchio risulta cambiata per quanto riguarda il
suo contenuto. Mentre nel vecchio abbiamo una torta dove ogni fetta rappresenta uno standard,
nel secondo viene meno il concetto di torta e viene divisa in due parti:
➢ Una (in grigio) rappresenta le norme raccomandate → dei consigli
➢ Mandatory → linee guida obbligatorie → ogni componente del framework non riveste un
ruolo uguale agli altri.
L’involucro (contenitore) che sono le novità rispetto alla prima edizione è ciò che troviamo scritto
nella nuvoletta. Questo è l’aspetto che distingue la nuova versione con la vecchia per gli standard
di lavoro degli IA.
La tematica di IA sta evolvendo e negli ultimi anni vuole quasi diventare a livello internazionale
una professione che, per poterla esercitare, è necessario acquisire titoli particolari e
probabilmente anche nel nostro ordinamento a breve si arriverà a dover sostenere un esame di
stato per acquisire il titolo di Internal Auditor. Che è ciò che succede per tutte le altre professioni.
Facendo una comparazione di questi principi con quelli della revisione possiamo vederli come un
po’ gli ISA per i revisori legali dei conti
120
Mission
Si fa riferimento ad un obiettivo in senso ampio. In questo caso si parla della missione del
framework.
Obiettivo della mission:
1. rafforzare e supportare l’intero framework
2. chiarire le aspirazioni dell’IA all’interno delle organizzazioni
la mission coincide con l’obiettivo che deve rivestire l’IA nello svolgere la sua funzione. Quale è
l’obiettivo dell’IA?
OBIETTIVO DELL INTERNAL AUDIT: Proteggere ed accrescere il valore dell’organizzazione,
fornendo assurance obiettiva e risk based, consulenza e competenza.
È importante questa definizione di mission perché definisce l’importanza dell’Internal Audit
nella collocazione nella Corporate Governance. Abbiamo visto che la sua collocazione non è facile
da determinare in quanto si colloca sulla medesima linea del Cda poiché la sua attività è una
attività consulenziale. Prima dell’International practice era una funzione di staff che all’interno del
framework era definito come attività di consulenza.
In tutto il framework vi sono definizioni chiare, precise e sintetiche. Questo però è visto come un
limite in quanto a volte molto sintetico. Ma essendo dei principi/linee guide è da premiare la
stessa sinteticità.
La mission del framework è presente nei molti punti dei principi in quanto c’è una coerenza tra
mission e attività operative.
• Coerenza tra mission statement e l’intera struttura degli IPPF
• Definizione chiara e sintetica
Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale
sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di
controllo in quanto finalizzato a valutare e migliorare i processi di controllo di gestione dei rischi e
di Corporate Governance. → questa seconda parte è molto innovativa perché assiste
l’organizzazione (attività consulenziale) e poi subito dopo è confermato il concetto di attività di
consulenza in quanto la consulenza è un approccio professionale e sistematico che genera valore
aggiunto perché il VA si ottiene con il miglioramento completo della corporate Governance.
La definizione colloca la funzione Internal Audit tra le funzioni fondamentali a presidio del sistema
di controlli interni e gestione dei rischi.
Il Codice Etico
- Definisce i principi e le aspettative che devono ispirare i comportamenti individuali e delle
121
organizzazioni nella condotta dell'attività di internal audit.
- Descrive i requisiti minimi di condotta e di comportamento piuttosto che specifiche
attività.
- Include due componenti essenziali:
✓ Principi fondamentali per la professione e la pratica dell'internal auditing.
✓ Regole di Condotta, norme comportamentali che gli internal auditor sono tenuti ad
osservare.
122
2017.
Standard di connotazione
Standard di prestazione
La numerazione è di importazione anglosassone che è quindi aritcolata in centinaia o migliaia per
acquisire eventuali sotto-commi.
123
FUNZIONE DI COMPLIANCE
Tendenza attuale degli ultimi tempi. Il concetto di compliance lo abbiamo introdotto con
specifico riferimento al Coso report. La conformità è la traduzione dell’espressione to be
compliance.
Negli anni le norme e i regolamenti sono diventati più complessi. Ad un certo punto le
organizzazioni hanno sottolineato l’importanza di individuare una specifica funzione dedicata al
monitoraggio della conformità. Tutto questo è stato rilevante nel settore bancario in quanto la
funzione di compliance diventa fondamentale nel 2005 quando il comitato di Basilea ha
definito cosa si intende per compliance (complaians). Per la prima volta si parla di rischio di
compliance.
Il concetto di rischio di compliance è stato formalmente introdotto dal Comitato di Basilea nel
2005 e recepito da Banca d’Italia nel 2007.
Il rischio di compliance (o di non conformità) viene definito come “il rischio di incorrere in
sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in
conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di
autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina)”.
RISCHIO DI COMPLIANCE
Il Rischio di compliance è un rischio aziendale trasversale e
deve essere inteso come responsabilità dell’intera
organizzazione
124
manager dovesse esser di estrazione e formazione giuridica (il fine era quello di
osservare quelle che sono le norme giuridiche). Altri hanno rivendicato al necessità di
conoscenze aziendalistiche in senso ampio.
➢ Coordinamenti con le funzioni → gestire la compliance anche nelle varie ramificazioni.
-
Mappatura delle leggi dei regolamenti
Assegnazione di ruoli e responsabilità → ci deve esser un soggetto a cui affidare la
-
responsabilità.
- Valutazione e prioritizzazione → diventare compliance è fondamentale ma bisogna
fare valutazione del rischio della compliance andando a verificare l’analisi dei gap
(carenze)
- Gestire la compliance a livello di allineamento con le best practice perché il comitato
di Basilea ha fatto si che il problema venisse affrontato a livello europeo e
internazionale.
In questi 10 anni si è andato a definire i principi di buon funzionamento delle caratteristiche
della funzione di compliance. Sostanzialmente delle linee guida che le società hanno recepito in
quanto sono state profili e linee guida per procedere all’implementazione sono state tracciate
per la prima volta dal Comitato di Basilea nel 2005
Responsabile
• Executive o membro dello staff con alta seniority;
della Compliance
• Linee di riporto: in funzione del modello scelto dalla banca
(centralizzato o decentralizzato; funzione interna o in
outsourcing). Nel caso di un modello decentralizzato, una
linea di riporto verso il responsabile della Compliance deve
essere garantita
125
Conflitto In linea di principio, per evitare conflitti di interesse, alla funzione
Compliance devono essere assegnati solo ruoli e responsabilità
di interessi tipiche della funzione.
Punti di attenzione che possono creare potenziali conflitti:
• Banche piccole, in cui la funzione Compliance può vedersi
assegnati compiti non propriamente tipici della funzione;
• Criteri di remunerazione della performance della funzione.
Chi si occupa di compliance deve esser indipendente da tutti altri ruoli e funzioni quindi gli
elementi caratterizzanti di indipendenza sono status, responsabile della compliance e conflitto
di interessi.
(*) compliance policy → recepimento delle regole di ogni specifica attività.
126
Responsabilità Le responsabilità indicate di seguito devono essere portate avanti all’interno
Della funzione di un programma di
Compliance compliance basato sull’analisi e la valutazione dei rischi e sottoposto alla
supervisione del responsabile della funzione Compliance.
• Ruolo di advisor, nei confronti del senior management, in relazioni a
tematiche relative alla
compliance nei confronti di leggi, regolamenti, standard e alle
modifiche/aggiornamenti degli stessi;
• Punto di riferimento all’interno della banca per questioni legate alla
compliance, inclusa la funzione di
“educatore”;
• Identificazione, valutazione e monitoraggio del rischio di compliance;
• Esecuzione di test, in maniera sufficiente e rappresentativa, e reporting
dei risultati degli stessi ai livelli
organizzativi e funzionali appropriati;
• Altre responsabilità, legate ad esempio a ruoli nei confronti degli enti
regolatori.
127
Vediamo le caratteristiche del RM. Prima abbiamo visto la funzione compliance (evoluzione
ultima dei ruoli, responsabilità e competenze che deve avere il SCI). Qual è la relazione con un
altro soggetto ovvero il risk manager (RM)? Sono tutte figure che si sono evolute negli ultimi
anni e ci sono società medio-grandi e anche quotate che non hanno queste funzioni ben
definite. Sono funzioni manageriali costose che ognuno valuta come crede.
Nel modello delle 3 linee è posizionata nel II livello
FUNZIONE RISK MANAGEMENT
Funzione di controllo di secondo livello → incarico di monitare i rischi legati ad un determinato
processo. Poiché il RM è apicale supporta l’organo amministrativo.
Non abbiamo precisi standard di riferimento per il RM. Non esiste un corpo di standard quindi
si prendono come regole le disposizioni del Coso report con tutte le sue evoluzioni. La figura
del RM è posizionata ad un punto tale da avere un adeguato accesso alle informazioni. Nel
settore bancario e assicurativo invece abbiamo delle linee guida.
Identifica, valuta, monitora e gestisce i rischi legati ad un determinato processo
Supporto all’organo amministrativo
Modello di riferimento: CoSO Report, CoSO ERM, ISO 31000
Posizionamento organizzativo adeguato ed accesso alle informazioni
Ruolo regolamentato nel settore bancario e in quello assicurativo
mancando delle linee guida facciamo riferimento ai modelli dell’ERM o ISO 31000 e così via.
Qui sopra troviamo un modello di risk management condiviso. Troviamo una successione di
fasi:
1. Valutazione del contesto → implica l’inserimento in modo opportuno del Ris
management con le sue interazioni. La prima fase è correlata ai due pilastri della:
a. Comunicazione e consultazione
b. Monitoraggio e review
(i numeri di riferimento per ciascun aspetto c’era un paragrafo di supporto)
Tutti i framework condividono molti aspetti comuni e l’approccio sequenziale. Poi si entra in
quella fase che nella sua fase è denominata di risk assestment che è il cuore del risk manager
(valutazione dei rischi). Che è un quadro in azzurro per sottolineare che è la parte centrale. E
sottolineare che questa parte centrale a sua volta si compone di altre fasi:
➢ Risk identification
➢ Risk analysis
➢ Risk evaluation
Vediamo come questi processi negli anni sono stati sempre più spezzettati, cioè suddivisi in
sottoprocessi quasi come fosse una tecnica ingegneristica. Ingegneria gestionale ha proprio
l’obiettivo di applicare loro regole nei processi di governance.
Il Risk assestement è una delle 5 componenti del Coso report e a sua volta è spacchettata in
sotto fase:
➢ Identificare
➢ Analizzare
➢ Valutare il rischio
128
Infine abbiamo il risk treatment (risposta al rischio). Le risposte al rischio sono individuate nel
riquadro giallo. Le risposte al rischio sono volte a capire:
- Evitiamo
- Accettiamo
- Riduciamo/mitighiamo
- Condividiamo
- Sfruttiamo → orientamento che stanno mettendo a punto negli ultimi periodi le
funzioni di RM. Comprendendo che è impossibile evitare i rischi, una volta si diceva che
era bravo chi evitava i rischi, oggi si dice bravo chi sa sfruttare i rischi ovvero
trasformare un rischio in una opportunità.
Tutto questo deve esser fatto nella logica che l’azienda ha già definito il suo risk appetite.
L’altro aspetto importante da tenere in considerazione è che ogni risposta al rischio comporta
dei costi e benefici e soprattutto ciascuna di queste scelte impatta sul rischio stesso.
Nella parte DX della slide vediamo che questo processo di risk management deve essere inteso
sempre più come un processo perfettamente integrato nella cultura aziendale e deve esser
finalizzato al miglioramento continuo. Ovvero da qui il concetto espresso nel pilastro di
monitoring e review (non deve esser replicato a fotocopia dalle società ogni anno perché
questo non è significativo e non esprime la crescita e il potenziamento delle aree di risk
management).
Una delle prime fasi è la mappatura del rischio quindi gli studiosi hanno pensato di riportare
una mappatura di tutti i possibili rischi esistenti a sottolineare come è il risultato di analisi e
questa mappa dei rischi viene ogni anno integrata e migliorata perché le società si ritrovano ad
affrontare rischi nuovi. In realtà sarebbe una tabella a quattro colonne (2 sopra e 2 sotto).
Nella prima colonna troviamo i rischi strategici, rischi operativi, di compliance e finanziari. Tutti
i rischi con cui le società devono avere a che fare sono tutti presenti in queste colonne.
129
Questi rischi, una volta mappati, vengono utilizzati dai vari risk management in base alla risk
matrix cioè la matrice dei rischi. Significa che, dopo aver estrapolato dalla mappa dei rischi
universi i rischi suoi propri, l’impresa va a valutare l’impatto del valore rischio prendendo come
riferimento anche il supporto della statistica.
Come si legge la matrice della pagine successiva? Sotto abbiamo i livelli di probabilità suddivisi
nei tre raggruppamenti:
➢ Tasso di probabilità alto
➢ Tasso di probabilità medio
➢ Tasso di probabilità basso
Ciascuno di questi tre raggruppamenti è spacchettato nei vari livelli di probabilità.
- Quello basso consta di tre considerazioni
o Improbabile
o Una volta all’anno etc
Sopra sono sviluppati gli impatti relativamente alle probabilità di verifiarsi.
Esempio se consideriamo come fattori di rischio quello finanziario ed economico che è uno dei
rischi presenti nelle società, se il RM ha valutato probabilità alte allora la matrice è da
considerarsi alta quando va ad impattare significativemente (su > 5% o >3% del profitto). Se è
medio (2-5% ricavi e 0,5-3% profitto) se è alto (< 2% <0,5% profitto).
Questo è il modo di leggere la matrice che viene lavorata prendendo come riferimento la
matrice dei rischi universo. Tutto quello detto fino ad ora va a caratterizzare la funzione del risk
manager tutta questa disciplina è molto in evoluzione tanto che, oltre alla funzione di IA …,
abbiamo una nuova funzione l’antiriciclaggio.
130
131
FUNZIONE ANTIRECICLAGGIO
Oggi ci sono molte normative e molte responsabilità per contenere questo fenomeno che vuol
dire anche svolgere una funzione sociale importante. Negli ultimi anni, fino a quando si è
iniziato a parlare di antiriciclaggio è stato allocato o a IA o RM. Ma oggi essendo molto
complessa e con molte normative molte società sono arrivate al punto di introdurre una
specifica funzione che si occupi di anti riciclaggio. È delle fine del 2019 un obbligo di legge che
per espletare questa funzione è necessaria una specifica expertise (specifico titolo) perché
anche il nostro ordinamento sta per recepire gli esperti in antiriciclaggio. → creare una
specifica specializzazione in questo settore.
Nel modello delle 3 linee di difesa lo troviamo nel II livello. Questo fa riferimento al
finanziamento illecito (al terrorismo). Le norme sono molte
La funzione antiriciclaggio rappresenta una funzione di controllo di secondo livello a cui spetta il
compito specifico di presidiare il rischio di riciclaggio e finanziamento al terrorismo. È disciplinata
da una serie di norme, regolamenti e disposizioni tra i quali indichiamo:
❖ Il provvedimento del 10 marzo 2011 di Banca d’Italia;
❖ Il D.Lgs 231/01;
❖ La Direttiva 849/2015 (IV Direttiva AML); → molto importante tutta dedicata
all’antiriciclaggio
❖ Indicatori di anomalia e disposizioni emanate dalla Banca d’Italia; → Svolge un ruolo
importane
❖ Schemi rappresentativi di comportamenti anomali forniti dall’UIF-Unità di Informazione
Finanziaria per l’Italia.
Flussi di denaro illecito possono minare l’integrità, la stabilità e la reputazione del settore
finanziario e costituire una minaccia per il mercato interno dell’Unione nonché per lo
sviluppo internazionale. Definito dalla banca d’Italia
FUNZIONE ANTIRECICLAGGIO
Alla funzione antiriciclaggio sono attribuiti compiti di natura legale, organizzativa e di controllo,
elencati in modo dettagliato nel provvedimento di Banca d’Italia. Qui indichiamo i principali:
1. Identificare le norme applicabili in materia di antiriciclaggio e valutarne l’impatto su
processi eprocedure interni;
2. Collaborare alla definizione del sistema di controlli interni e delle procedure finalizzati
alla prevenzione e al contrasto del rischio di riciclaggio;
3. Verificare nel continuo l’adeguatezza del processo di gestione del rischio di riciclaggio e
l’idoneità del sistema di controllo interno, proponendo le opportune modifiche quando
e dove necessario;
4. Effettuare annualmente l’autovalutazione del rischio di riciclaggio a cui è sottoposta
l’organizzazione,con la partecipazione delle altre funzioni aziendali interessate;
5. Curare la predisposizione del piano di formazione ai fini dell’aggiornamento continuo del
personale in materia di antiriciclaggio. (corsi di formazione del personale)
6. Predisporre i flussi informativi diretti agli organi aziendali e all’alta direzione;
7. Informare tempestivamente gli organi aziendali in caso di violazioni o problematiche
significative riscontrate nell’esecuzione delle proprie attività.
132
complessità. → ci sono aree geografiche in cui c’è una maggior presenza della malavita.
Gli indicatori di anomalia (RED FLAGS) previsti da Banca d’Italia svolgono un ruolo
importante a supporto delle attività preventive.
Essi sono raggruppati in quattro aree:
• Indicatori di anomalia connessi al cliente; → cliente ad alto rischio o no
• Indicatori di anomalia connessi alle operazioni o ai rapporti;
• Indicatori di anomalia connessi ai mezzi e alle modalità di pagamento; → es. noi
vediamo che in Italia ci sono ancora molti tentativi per il contenimento dell’uso della
moneta contante.
• Indicatori di anomalia relativi alle operazioni in strumenti finanziari e ai contratti
assicurativi.
gli indicatori di anomali che mostrano il rischio di potersi trovare a fronte di riciclaggio
INFORMATION SECURITY
Rischi connessi alla progressiva dematerializzazione dei processi e delle transazioni con
digitalizzazione e utilizzo della connessione → incrementato con il covid.
La forte evoluzione tecnologica degli ultimi anni e la progressiva dematerializzazione di
processi e transazioni hanno aumentato la consapevolezza della necessità di un approccio
alla sicurezza informatica
Diventa importante per le società tutelarsi andando a mappare le fonti di rischi (di sicurezza
informatica) cercare di capire i mezzi a disposizione per prevenire e sentirci più sicuri ma è un
aspetto molto nuovo, in evoluzione con cui tutti ci dovremo confrontare nei prossimi anni.
Anche i regolamenti a supporto sono molti.
133
account sicuri offerti dal provider del servizio (per esempio autenticazione a due
fattori);
• Mettere il personale autorizzato all’accesso ai servizi informatici, da remoto o
da locale, nelle condizioni di disporre di utenze personali non condivise con
altri. Proteggere opportunamente l’accesso e disattivare i vecchi account non
più utilizzati;
• Fare in modo che ogni utente possa accedere solo alle informazioni e ai
sistemi di cui necessita e/o di sua competenza.
Formazione e • Sensibilizzare e formare adeguatamente il personale sui rischi di cyber
consapevolezza security e sulle pratiche da adottare per l’impiego sicuro
degli strumenti aziendali (per esempio riconoscere allegati email, utilizzare
solo software autorizzato, ecc.). I vertici aziendali devono avere cura di
predisporre per tutto il personale aziendale la formazione necessaria a fornire
almeno le nozioni basilari di
sicurezza.
Protezione dei • Far svolgere la configurazione iniziale di tutti i sistemi e dispositivi da
dati personale esperto, responsabile per la configurazione
sicura degli stessi. Le credenziali di accesso di default devono essere sempre
sostituite;
• Eseguire periodicamente backup delle informazioni e dei dati critici per
l’azienda. Conservare i backup in modo sicuro e
verificarli periodicamente.
Protezione • Proteggere le Reti e i sistemi da accessi non autorizzati attraverso
delle reti strumenti specifici (per esempio Firewall e altri
dispositivi/software anti-intrusione).
Prevenzione e • In caso di incidente (per esempio venga rilevato un attacco o un malware),
mitigazione informare i responsabili della sicurezza e far mettere
in sicurezza i sistemi da personale esperto;
• Aggiornare tutti i software in uso (inclusi i firmware) all’ultima versione
consigliata dal produttore. Dimettere i dispositivi o i
software obsoleti e non più aggiornabili.
È un mondo che si sta sviluppando in modo molto veloce e il management ha bisogno sempre
più del supporto di specialisti.
Noi siamo partiti da funzione di IA che si è evoluta al punto tale che diventa necessario
introdurre sempre più figure specializzate. Inizialmente tutte queste funzioni erano in capo
all’internal audit. Ma poi tutte queste figure specifiche si sono rese sempre più necessario:
➢ Compliance
➢ Risk manager
➢ Antiriciclaggio
➢ Information security
Che sono evoluzioni ultime. Tutto ciò che è connesso all’IA si è sviluppato in modo trasversale a
livello internazionale sebbene sia partito dagli USA.
134
Lezione di integrzione.
I controlli- alcuni concetti di base
Segregation of duties
Divisione dei compiti e delle responsabilità. Nell’immagine sopra troviamo i principi del controllo
interno ma non sono i principi del SCI (che sono presenti nel framework). Questi sopra riguardano
SOLO la funzione di IA.
Relativamente alla funzione di IA i diversi principi a cui deve attenersi l’Internal Audit sono presenti
nello schema sopra (scritti in inglese perché consolidati da prassi internazionale). Il più importante
è la separazione delle funzioni e responsabilità (duties) per molti è il principio che sta alla base di
un’adeguata attività di controllo interno. In cosa consiste?
• Concetto base: separare responsabilità incompatibili a livello di processo di business in modo
che nessuno, da solo, possa commettere deliberatamente un atto di frode.
Se si va a segregare tutte le funzioni e per ciascun pezzo si individua una risorsa umana che è quello
responsabile abbiamo un processo di business spacchettata in più fasi e individuiamo il
responsabile. In questo modo le regole base del controllo interno ammettono possono funzionare
bene. Perché è l’unico strumento che permette di evitare qualsiasi atto di frode. Per implementare
in modo corretto il principio della segregation duties bisogna prendere a riferimento i 4 aspetti
sotto (autorizzazione …)
• Principali responsabilità incompatibili
• Autorizzazione
• Custodia degli asset/beni
• Registrazioni → le registrazioni contabili/processi amministrativi
• Management review → inteso come riconciliazioni di ciò che è messo in atto.
• La combinazione di due o più responsabilità viene giudicata incompatibile → poiché son
incompatibili devono competere a soggetti diversi.
• Limiti alla corretta applicazione della SOD può essere dovuta all’ampiezza del team →bisogna
• Individuare risorse idonee a cui attribuire le risorse
• Quante devono esser le risorse del team
• Mitigazione con controlli compensativi
• Complementare alla SOD è il «need-to-have principle» → complementare alla SOD. Per
applicare al meglio questo standard bisogna avere un principio ovvero una regola di
funzionamento.
CRO- CCO-CFO: differenze operative (2^ approfondimento)
Queste tre sono tutti soggetti molto richiesti che richiedono competenze, preparazione ed
esperienza. A volte creano confusione perché acronimi simili ma sono importanti.
Il CFO si distingue dagli altri perché svolge una sua attività ben più chiara e definita in quanto lo
possiamo paragonare l direttore amministrativo (il capo dell’area amministrativa e contabile).
Infatti le sue funzioni sono quelle sotto indicate
135
Chef Financial Officer (CFO)
o Assicura che il reporting finanziario sia accurato, completo e rappresentato in modo veritiero e
corretto
o Assicura l’efficacia del sistema di controlli sul bilancio
o Definisce gli obiettivi economico finanziari a supporto delle decisioni strategiche e di business
o Pianifica e gestisce le attività finanziare dell’organizzazione
o Identifica e applica i cambiamenti ai principi contabili e di reporting che hanno impatto
sull’organizzazione livello nazionale ed internazionale
In sintesi le sue funzioni sono esser il capo della funzione amministrativa-finanziaria finalizzata al
reporting finanziario.
Gli altri due manager, importanti comunque, si distinguono perché il CRO è colui che presiede l’attività
di risk management. Mentre il CCO è colui che sta a capo della funzione della compliance (specifica in
più dell’intera funzione di Internal Auditing). Temporalmente il Risk manager nasce prima del CCO.
136
o Funzioni coinvolte: modello delle tre linee di difesa
Non è più come un controllo contabile che considera aspetti hard ma anche aspetti soft. Il controllo
interno è incorporato in tutti i processi aziendali e il punto di riferimento è il modello delle tre linee
di difesa che ci permettono di collocare le funzioni coinvolti su determinate linee. Negli anni si è
assistita ad un’ulteriore forma di controllo.
➢ Controllo per la governance → controlli per la governance ovvero tutto il modello
organizzativo e societario. Quali sono i principi di riferimento per mettere in atto la
governance?
o Linee Guida OCSE e codici di Corporate Governance; → es codice di autodisciplina.
Quindi tutti i codici di best practices per la governance.
o Il controllo come processo; inclusione di aspetti hard e soft → anche qui il
controllo è visto come il processo.
o I controlli a supporto degli obiettivi di lungo periodo e della sostenibilità; → è
fondamentale essere sostenibili
o Ruolo centrale del Consiglio di Amministrazione → funzioni coinvolte. Il Cda svolge
un ruolo determinante.
Questo ulteriore schema di sintesi per evidenziare e sottolineare l’ evoluzione e le caratteristiche
di questi tre controlli che per arrivare a questo stato sono trascorsi decenni.
Queste ultime lezione non trovano riferimento nel syllabus in quanto sarebbero stati
approfondimenti.
137