Internal Audit Corso Completo

Internal Audit Sara Inzillo
IL CONTROLLO ANTICO
L’internal Auditing costituisce una forma evoluta e relativamente recente di controlli aziendali
rispetto all’esternal auditing. L’esternal auditing noto anche come controllo contabile o revisione
legale dei conti hanno per oggetto l’analisi dei documenti contabili (prima di tutto il bilancio di
esercizio che è il documento contabile più importante). La forma più antica di controllo è quella
del controllo contabile di cui si hanno evidenze già nell’ere antiche
- Le prime forme di controllo sono attribuibili al Medio Oriente (4000 AC) dove vertevano
sulla gestione delle entrate ed uscite dei templi
- Nell’Egitto del 2000 AC il processo del controllo si prestava all’attività agricola: dal raccolto,
la pesa e lo stoccaggio.
- Antichi romani e greci (600 AC) fornirono un approccio più contabile, mirato alla gestione
delle risorse pubbliche.
Per questi motivi il controllo era denominato contabile e pubblico.
- Il primo periodo italiano di rilevante importanza è riferibile alla nascita e sviluppo del
commercio marittimo (Repubbliche Marinare, X Secolo).
- Nascono le prime figure autorevoli in tema di revisione contabile:
o i Camerlenghi a Venezia,
o i Visitatores a Genova.
o (es: Fibonacci diventa Revisore dei Libri delle Ragioni del Comune di Pisa)
I l controllo nel tempo è stato strettamente legato alla nascita di Ordini Professionali, Istituti, Organi
ed Associazioni. Infatti, nell’Italia rinascimentale nascono:
• il Collegio dei Rasonati a Venezia,
• i Liquidatori Giurati in Piemonte e Liguria
• ed il Collegio dei Ragionati a Milano
la presenza di questi nuovi organi è importante perché questi organi professionali si dedicavano
alla definizione delle prime regole da osservare dai contabili del tempo.
Nel 1602 nelle East India Company (le prime public company o S.p.A possiamo definirla come una
prima società per azioni.) è stato esteso ai finanziatori la possibilità di accertare l’attivo ed il
passivo. → i finanziatori vogliono conoscere in modo chiaro e preciso l’attivo e il passivo delle
società e quindi l’esigenza che un soggetto esterno accerti l’attivo e il passivo di queste società.
Il Code Savory, in Francia nel 1673, inserisce delle prime regole di salvaguardia del patrimonio
introducendo l’obbligo di tenuta dei libri contabili. In questo codice vengono inserite le prime
regole tecniche per la tenuta dei libri contabili.
In Austria, nel 1719, la Privilegiata Compagnia Orientale Imperiale impose la veridica della
corrispondenza tra scritture contabili e bilancio, affidando l’attività a dei membri della compagnia
stessa a soggetti con specifiche competenze.
La nazione capofila nella definizione del controllo interno è l’Inghilterra. Le due norme
fondamentali dalle quale viene decretata l’origine del controllo contabile così come lo intendiamo
anche oggi:
- Nel 1844 viene approvato il Joint Stock Companies Act: esso disciplina le regole di corretta
registrazione dei fatti di gestione, quindi la redazione del bilancio. Inoltre, prevede
l’obbligo di verifica del bilancio da parte di professionisti esterni.
- Nel 1845, con il British Companies Act, viene introdotto un requisito fondamentale per lo
svolgimento dell’attività sopra descritta: l’INDIPENDENZA. Così nasce la professione del
1
«revisore», come la conosciamo oggi.

Sulla scia di queste norme pubblicate in Inghilterra anche altre nazioni europee (Germania e
Austria) recepiscono queste norme precedentemente emanate in Inghilterra. Tutte finalizzate a
definire delle regole chiare e precise:
➢ Per la regolare tenuta della contabilità
➢ Per La redazione del bilancio di esercizio
➢ A completamento per la verifica contabile
In Germania, nel 1863 con il Allgemeines Deutsches Handelsgesetzbuch, viene prevista la facoltà di
nominare un organismo interno per la verifica contabile e la sorveglianza. → L’organismo preposto
alla verifica contabile e a sorveglianza dei fatti di gestione deve esser un organo interno alla
società stessa. Quindi la necessità di nominare all’interno delle società un organismo preposto alla
verifica contabile ossia dotato dei poteri di controllo contabile.
In Francia, nel 1867, vengono introdotte nuove norme dove viene ampliata anche alle società
anonime la necessità di nominare un commissario per la verifica contabile.
L’aspetto più importante per il controllo contabile si hanno negli USA

In USA, nel 1887, si consolida la cultura del controllo, emancipandosi dall’influenza inglese, con la
costituzione dell’AAPA (American Association of Public Accountants).
Tale istituzione si trasforma nel
1. 1916 in IPA (Institute of Public Accountants).
2. Nel 1917 si trasforma in AIA (American Institute of Accountants),
3. ed infine nel 1957 assume l’attuale nome di AICPA (American Institute of Certified Public
Accountant). → nominazione odierna.
Qual è l’importanza di queste istituzioni? Aver contribuito in modo rilevante alla pubblicazione
delle prime regole tecniche che devono esser recepite e rispettate da tutti coloro che acquisiscono
un ruolo importante nelle società del tempo.
In Italia invece c’è un allineamento, rispetto a queste normative, tardivo.
Mentre nel mondo, basandosi sull’esempio inglese, si avanzava sulla definizione dei controlli
aziendali, in Italia il focus era ancora puntato sulla professione contabile.
Con la pubblicazione del Codice del Commercio del 1882 (prima testimonianza di recepimento di
queste norme. Il codice di Commercio è un codice di importazione francese che trae origine dal
codice napoleonico per cui la maggior parte delle norme dedicate al controllo traggono origine dalle
regole che si erano consolidate in Francia) si adotta una prima forma di controllo «privato» e non
più esclusivamente governativo (grazie all’istituzione del Collegio Sindacale), incentrato solo sul
controllo contabile ed il rispetto di leggi, regolamenti e statuti. → La novità più rilevante presente
nel codice di commercio è a sottolineare che la prima forma di controllo per le società che
pertanto non costituisce più una forma di controllo esclusivamente governativo, come fino a quel
momento, ma acquisisce la denominazione di controllo privato incentrato:
➢ sia sul controllo contabile dei documenti contabili (in primis il bilancio)
➢ ma anche una prima forma di controllo interno che deve avere come oggetto il controllo del
rispetto di:
• leggi
• regolamenti
• statuti
Questo controllo viene affidato al Collegio Sindacale. Infatti tra le novità importanti del Codice Di
commercio del 1882 vi è l’introduzione di questo organo tipicamente italiano.
2
Gli anni a seguire comportano un’evoluzione dell’attività di controllo finalizzate a consolidare

queste prime disposizioni contenute nel codice di commercio del 1882. Tra le date abbiamo:
- Negli anni ‘30 del XX Secolo (R.D. 1302/1931) fu introdotta la facoltà di adoperare la
revisione del bilancio. → si parla ancora di facoltà e non obbligo perché siamo all’inizio di
un percorso nuovo
- Nel 1937 si istituì il Ruolo dei Revisori Legali dei Conti e l’obbligatorietà di individuare uno o
due sindaci da tale Ruolo.
- La legge n. 1966/1936 riconosce il ruolo delle società di revisione nell’ordinamento italiano.
Grazie a tale avvenimento si diffusero le più grandi Audit Firms, di ispirazione
anglosassone. → si pone la prima pietra per la nascita delle società di revisione italiane.
L’ordinamento italiano, in tema di controllo contabile, non ha avuto un atteggiamento
originario ma si è limitato ad ispirarsi e acquisire quelle norme e quelle regole che sono
state sperimentate e consolidate nel mondo anglosassone.
- Primo aggiornamento codice civile. Vengono riconfermate la maggior parte delle norme
relative all’obbligo del controllo contabile e della revisione del bilancio di esercizio che già
erano presenti nelle normative precedenti ma vi è una novità rilevante perché rafforza i
poteri affidati al collegio sindacale. Secondo il codice il Collegio Sindacale viene decretato
come l’organo preposto anche al controllo contabile, L’aggiornamento del Codice civile del
1942 affidò al Collegio Sindacale, non solo il controllo contabile ma la funzione di controllo
interno.
Per cui Il collegio Sindacale dal codice del 1942 acquisisce una duplice funzione in termine di
controllo aziendale:
➢ Il controllo contabile finalizzato all’analisi dei dati contenuti nel bilancio di esercizio
➢ Funzione di controllo interno che consiste in un’attività di sorveglianza che negli anni verrà
sempre più interpretata come un’attività di vigilanza sulla corretta gestione e amministrazione
della società.
Questo rappresenta la forma più importante ed evoluta di controlli nel nostro ordinamento. Infatti
il nostro ordinamento ha avuto una lentezza ed un ritardo in tale contesto. Infatti confrontando il
periodo storico con gli eventi che hanno caratterizzato il mondo anglosassone (USA) la situazione è
diversa. Mentre in Italia nel 1942 si è alle prese con la definizione delle funzioni da attribuire al
collegio sindacale, negli USA (il mondo anglosassone) è alle prese con la definizione di nuove
forme di controllo incentrate sull’importanza dei sistemi di controllo interno come forma possibile
di controllo per poter fronteggiare le prime crisi finanziarie che si sono manifestate nel mondo
americano: quella più importante del 1929 che ha decretato il crollo di Wall Street. Quindi contesti
diversi hanno decretato origine diversa dei sistemi di controllo aziendale nell’ordinamento italiano
e in quello anglosassone.
Prima però è importante sottolineare come i sistemi di controllo aziendale si sono evoluti e sono
progrediti sempre dopo uno scandalo finanziario o dopo una crisi finanziaria. Infatti iniziamo proprio
dalla più importante crisi ovvero quella del ’29.
APPROCCIO REAZIONARIO DELLA NORMATIVA «MODERNA» DEI CONTROLLI INTERNI
Nell’era moderna dei controlli interni (XX secolo) è interessante studiare l’evoluzione normativa
dei Sistemi di Controllo Interno come reazione alle frodi contabili/finanziare perpetrate.
Il primo evento rilevante catastrofico lo si può individuare nel crollo di Wall Street del ‘29.
→(24/10/29 noto come la caduta di Wall Street ovvero una crisi economico-finanziaria che poi si è
espansa in tutto il mondo)
3
IL CROLLO DI WALL STREET

La fine della WWI fu accolta dalla Borsa di New York come buon auspicio per l’avvenire. Nel giro di
poco tempo in USA si notò la prima era d’oro (Roaring Twenties) del mercato borsistico con tassi
annui di crescita a tripla cifra.
Questo repentino incremento non fu però sorretto da regole sufficientemente rigidi, utili a evitare
frodi. Infatti l’ottimismo creatosi si trasformò in una più facile concessione di prestiti utili a fare
investimenti, senza però fare adeguate verifiche sulla effettiva capacità di rimborso. Questa spirale
smise di funzionare quando le aspettative di crescita si disallinearono fortemente rispetto alle
performance effettive, e le speculazioni iniziarono a non essere ripagate.
La spirale speculativa fu, quindi, seguita da un circolo vizioso al ribasso, riequilibrando il sistema
azionario.
Il mercato borsistico statunitense si riprese poi grazie a norme e regole che permisero la ripresa
dei mercati e che portò a decretare la prima era d’oro del mercato borsistico statunitense. Si
assiste a tassi di crescita elevati che si dicono a tripla cifra. In questo periodo di ottimismo ci si
addentrò in una situazione che nel giro di poco si rivelò negativa per tutto il sistema americano in
quanto venivano concessi molti prestiti agli investitori senza svolgere adeguate verifiche sulla
capacità di rimborso quindi nel giro di poco tempo la situazione è precipitata riportando quindi ad
una situazione in cui i tassi di crescita si sono riabbassati. Questo perché si mise in atto una spirale
negativa per cui gli investitori non erano in grado di rimborsare i finanziamenti che avevano
ottenuto con molta facilità senza adeguate verifiche. Gli investitori avevano messo in atto delle
vere e proprie speculazioni che portarono nuovamente al ribaltarsi della situazione con nuove
situazioni di difficoltà e nuovo periodo di riforme e questa volta sono gli stessi organismi americani
che intervengono nuovamente con delle nuove normative per riequilibrare il sistema. Le
normative importanti sono due:
➢ 1932 con cui è costituita la Securities Exchange Commissione (SEC) equivalente della Consob.
Ossia la commissione governativa che si occupa del controllo su tutto il sistema borsistico
statunitense e il buon funzionamento delle società quotate
➢ 1934 nota come Securities Exchange Act → gli USA decretano l’introduzione del sistema di
controllo interno in quanto SEA va a disciplinare l’obbligatorietà… (vedi sotto)
SECURITIES EXCHANGE ACT (1934)

La risposta americana si può sintetizzare in due punti:
• Obbligatorietà di introdurre un Sistema di Controlli Interno all’interno delle società medio-
grandi e quotate: AUTOCONTROLLO. → evitare e contenere situazioni poco chiare e di mal
governo per cui l’importanza di questo atto sta nell’aver introdotto per la prima volta e
disciplinato nel sistema statunitense i sistemi di controllo interno.
• Necessità di individuare delle professionalità adeguate alruolo, ovvero professionisti
separati dell’external audit.
Nascita del doppio bianario: CONTROLLI ESTERNI + INTERNI

La normativa sottolinea che i sistemi di controllo interno sono sistemi di autocontrollo che ogni
società va a creare e implementare al suo interno e non c’entrano con i controlli esterni che
vengono affidati a professionisti con dei profili e delle caratteristiche e delle skills particolari per
4
svolgere i controlli contabili e per la prima volta in USA viene sottolineata la differenza tra i sistemi
di controllo interno (Internal Auditing) e i sistemi di controllo esterni (esternal Auditing) che hanno
come finalità i controlli contabili.
Questo atto è noto per aver disciplinato per la prima volta nelle società americane medio-grandi
e quotate l’importanza dei sistemi di controllo interno. Spesso i sistemi di controllo si evolvono
come reazione a degli scandali e a delle crisi economico-finanziarie e quindi un altro step
importante nell’evoluzione dei sistemi di controllo è il seguente: nel 1972.
Nello stesso anno sarà istituita la SEC (securities Exchange Commission)
Il 1972 si caratterizza, negli USA, per la presenza di una serie di fenomeni di corruzione da parte di
pubblici ufficiali o meglio di società che corrompevano pubblici ufficiali per poter mantenere i
rapporti commerciali con le società. La scoperta di questo modus operando è nominato come
Scanfalo Watergate prende il nome dall’hotel nella città di Washington dove vennero fatte
intercettazioni. Per fronteggiare questa situazione di crisi e difficoltà intervengono le
organizzazioni americane nel 1977 con la pubblicazione di un’altra legge FCPA che definisce alcuni
aspetti importanti.
FCPA – Foreign Corrupt Practices Act (1977)

Reazione allo scandalo Watergate
Due Aspetti significativi:
• Sanzioni inasprite per corruzione di pubblici ufficiali esteri.
• Estensione della normativa a tutto il personale e non solo ai dirigenti (INTRODUZIONE AL
CONETTO DI PERVASIVITA’) → introduce per la prima volta il concetto di pervasività
• Importanza di implementare Misure atte a garantire la tracciabilità dei flussi finanziari
imponendo regole per la tenuta dei bilanci e dei libri contabili.
Per l’implementazione di questo ultimo punto è il ruolo che riveste il sistema di controllo interno
durante la fase di autocontrollo che quindi deve esser in grado di sorvegliare e garantire la
tracciabilità dei flussi finanziari.
Le disposizioni contenute in questa normativa del 1977 fa si che tutte le soceità americane,
soprattuto le quotate e le medio grandi, si organizzino per cercare di implementare i sistemi di
controllo interno adeguati per prevenire tutte queste situazioni di negatività (frode, corruzione) e
cercano di dotarsi degli strumenti più idonei per garantire ciò che è richiesto dal FCPA ossia la
tracciabilità dei flussi finanziari.
SCI PRE-CoSO
Ai tempi veniva privilegiato un processo gerarchico ovvero venivano poste le basi di quelli che
dovevano esser gli elementi costituenti di un adeguato strumento di controllo interno e questi
elementi sono 5:
➢ Ambiente di controllo
➢ Valutazione dei rischi
➢ Attività di controllo
➢ Monitoraggio
➢ Informazione e comunicazione
Secondo l’approccio dei tempi questi 5 componenti necessarie per poter implementare un
adeguato sistema di controllo interno dovevano esser posizionate secondo una visione gerarchica
piramidale come risulta nello schema di questa slide. Ossia l’ambiente di controllo, il più importante
5
e anche più ampio tra i 5 elementi che vanno a costituire il sistema di controllo interno, rappresenta
ed è posizionato alla base della piramide.
A seguire la valutazione dei rischi, poi le attività di controllo e in cima l’attività di monitoraggio a
significare che il monitoraggio deve andare a fare una supervisione continua delle restanti
componenti.
Posizionato lungo i lati della piramide l’altra componente denominata informazione e

comunicazione a sottolineare la trasversalità della sua funzione in quanto una volta valutati i rischi
da parte del sistema di controllo interno, e una volta che il sistema di controllo interno ha definito
le attività di controllo per tener monitorati i rischi, tutti i dati/info che si possono trarre da queste
valutazioni, devono essere anche comunicati a tutto il sistema quindi a tutti i membri dell’ambiente
di controllo.
SCI PRE-CoSO → viene definito sistema di controllo PRE-CoSo perché siamo negli anni ’80 e siamo
in quella situazione (negli USA) precedente a quella che è la pubblicazione del primo framework di
riferimento per il sistema di controllo interno che si ha nel 1992
Processo gerarchico
Per cercare di implementare al meglio il sistema di controllo

interno che fosse in grado di accogliere le 5 componenti, che
fosse efficiente ed adeguato, le società erano solite tenere in considerazione l’efficienza dello
stesso sistema di controllo interno connessi all’implementazione. Non vi è ombra di dubbio che per
una società:
- Introdurre un sistema di controllo interno
- Prevedere degli appositi organi/funzioni
Significa sostenere dei costi e il grafico sottostante era uno strumento utilizzato dalle società,
soprattutto a quei tempi, per cercare di trovare e definire un livello efficiente dei controlli. Come si
evince dall’analisi del grafico usando un sistema di assi cartesiani in cui mettiamo in comparazione il
livello dei controlli su asse x con il costo per implementare i controlli su asse y le società sono in
grado di trovare il livello efficiente dei controlli dato dall’intersezione delle due curve, ossia:
- Il costo dei controlli (funzione crescente verde perché i costi dei controlli aumentano
all’aumentare dei controlli)
- Curva gialla che mi definisce il valore incrementale del rischio in quanto il valore
incrementale del rischio diminuisce all’aumentare del livello dei controlli.
➔ Il punto di intersezione tra queste due curve rappresenta per le società un livello di
efficienza da implementare relativamente ai sistemi di controllo interno in grado di
determinare il livello dei controlli ottimali da mettere in atto e i corrispondenti costi per
6
poter definire in modo adeguato l’architettura di quei modelli di controllo. Situazione tipica
del periodo pre-Coso ovvero prima del primo framework di riferimento che contiene le
disposizioni relative all’implementazione di un adeguato ed efficiente sistema di controllo
interno.
DATO CHE I SCI SONO UN INSIEME DI FILTRI, È RAZIONALE COSTRUIRE I CONTROLLI INTERNI
BASANDOSI ESCLUSIVAMENTE SULLA QUANTITÀ DI CONTROLLI
IL CoSO
Arriviamo alla pubblicazione della prima edizione del framework di riferimento. La prima edizione
1992 il CoSo report (framework del 1992). La pubblicazione di questo documento importantissimo
per l’evoluzione dei sistemi di controllo interno. Non solo per il sistema stesso ma per tutta la
funzione di internal auditing, è il risultato di una serie di studi e ricerche messe in atto negli anni
prima:
Nel 1985 la SEC decise di avviare degli studi sui casi di frode più incisi. Fu istituito il Committee of
Sponsoring Organization per questo scopo. Tale organizzazione fu supportata e patrocinata dalle 5
organizzazioni americane più importanti in tema di controlli e bilanci: AAA, AICPA, IIA (più
importante), IMA e FEI (questi ultimi due sono due organizzazioni che si occupano di disciplinare e
produrre normative di supporto in materia di accounting e auditing).
La peculiarità di tale studio fu il focus sul rischio. Ovvero, si studiarono i casi in oggetto sulla base della
capacità di gestione del rischio.
Da tale studio scaturì il CoSO Report, nel 1992. → CoSO è un espressione divenuta nota è un’acronimo
che va a sottolineare il nome della commissione governativa voluta dalla SEC e precisamente:
- Co sottolinea le iniziali di Committee
- SO → inziali della denominazione della commissione ovvero Sponsoring Organization
7
IL CoSO REPORT (versione 1992)

Fino ad ora abbiamo analizzato l’escursus dell’evoluzione dei sistemi di controllo aziendale in era
antica e moderna fino ad arrivare alla pubblicazione del CoSO 1992.
Riassumendo: si è arrivati alla pubblicazione del CoSO nel 1992 per volontà della SEC che nel 1985
(USA) per cercare di capire come porre freno a numerosi casi di frode e scandali finanziari se fosse
possibile trovare strumenti per porre freno a situazioni fraudolente e negative. Per questo decise di
avviare uno studio dedicato a quali sono state le caratteristiche e le frodi più rilevanti. Per questo il
compito venne affidato ad una specifica commissione presieduta da Treadway, denominata come
Commissione Treadeay. Il nome di tale commissione ha determinato l’acronimo del CoSO stesso.
Questa commissione è stata costituita dai rappresentanti delle 5 principali organizzazioni americane
che si occupavano del tema del controllo e dei principi contabili (in senso ampio di accounting e
auditing). Il risultato di questo studio viene pubblicato nel 1992 e prende il nome di CoSO reports.
La prima edizione del 1992 denominato come CoSO report evidenzia un titolo ben preciso.
L’espressione framework per indicare che il documento contiene le principali regole, gli standard
per la definizione dei sistemi di controllo intenro.
Secondo il CoSO, Il Sistema dei Controlli Interni può essere definito come:
«un processo (possiamo intenderlo come meccanismi, procedure e strumenti) posto in essere dal
Board (CdA che ha un ruolo importante nel definire l’architettura del sistema di controllo interno),
dal management e dal resto dell’organizzazione (A sottolineare che è un sistema integrato in cui
tutti i membri dell’organizzazione sono coinvolti) al fine di fornire un ragionevole convincimento in
merito al conseguimento degli obiettivi aziendali»
“Internal control is a process, effected by an entity’s board of directors, management, and other
personnel, designed to provide reasonable assurance regarding the achievement of objectives
relating to operations, reporting, and compliance”.
ASPETTI SALIENI DEL COSO REPORT

Una volta definito cosa si intende per sistema di controllo interno va a delineare:
➢ Gli obbiettivi del sistema di controllo interno (gli obiettivi sono 3. Vedi sotto)
➢ Gli elementi costituenti del sistema di controllo interno
➢ Le organizzazioni a cui è destinato il sistema di controllo interno
3 obiettivi del sistema di controllo interno

• efficienza ed efficacia nel raggiungimento degli obiettivi gestionali e finanziari e di
salvaguardia del patrimonio aziendale;
• attendibilità informativa di bilancio sia interna che esterna. L’attendibilità include i concetti
di tempestività, trasparenza e altri obiettivi posti dal legislatore e standard setter;
• conformità a leggi e regolamenti a cui l’impresa è sottoposta;
5 elementi costitutivi del sistema di controllo interno
(visti prima quando abbiamo visto come via via gli elementi si andavano a costituire come
elementi costituenti un adeguato sistema di controlli interni nel periodo denominato pre-
CoSO reports. La differenza è che nel pre-CoSO i 5 elementi di cui le società avevano
conoscenza erano soliti esser posizionati secondo una piramide quindi secondo una linea
gerarchica verticale mentre con il CoSO report l’orientamento cambia pur salvaguardando il
fatto che il CoSO report recepisce pienamente i 5 elementi costituenti il sistema di controllo
interno:)
8
- ambiente di controllo
- identificazione e valutazione dei rischi
- attività di controllo
- informazioni e comunicazione
- monitoraggio
- La terza caratteristica: AMBITO DI APPLICAIZONE DEL CONTROLLO INTERNO
Il sistema di controllo interno è da recepire da qualsiasi società indipendentemente dal livello
organizzativo recepito. Il che significa che il sistema di controllo interno va bene per quelle società
che sono strutturate per business unit, a livello divisionale, strutturate in base all’attività che
svolgono. Ovvero è un modello organizzativo che va bene per qualsiasi forma di organizzazione
scelta dalla società stessa.:
➢ A livello di entità
➢ A livello di divisione
➢ A livello di business unit
➢ A livello di unità operativa
CoSO REPORT: LA NOVITA’

La vera novità introdotta dal CoSO report è la visione cubica. Il cubo tridimensionale che va a
sintetizzare i contenuti del CoSO report secondo la versione 1992. È importante il passaggio da una
versione piramidale che già abbiamo visto nel periodo pre-CoSO report. La visione cubica a
sottolineare la pervasività del CoSO report
- Incremento dell’economicità delle operazioni

Obiettivi aziendali (efficacia ed efficienza);
- Affidabilità del reporting finanziario;
- Rispetto di leggi, regolamenti e statuti.
Ambiti Applicativi
Elementi Costitutivi
Il cubo evidenzia le tre facce e sulle tre facce sono sintetizzati i tre aspetti caratterizzanti il CoSO
report:
9
1. Nella faccia superiore individuiamo i tre obiettivi disciplinati dal CoSO report riportati con
la loro espressione in inglese:
a. Operation → efficacia/efficienza del sistema di controllo interno
b. Financial reporting → l’affidabilità dei dati finanziari
c. Compliance → monitoraggio e rispetto dei regolamenti statuiti
2. Sulla faccia frontale del cubo troviamo i 5 elementi costituenti già detti e vengono riportati
in inglese:
a. Control environment → ambiente di controllo posto alla base del cubo
b. Risk Assessment → controllo dei rischi
c. Control Activities → attività di controllo
d. Information e comunication
e. Monitoring → monitoriaggio continuo
3. Nella faccia laterale dove vengono riportati gli ambiti applicativi del CoSO report: chi sono i
destinatari → può esser recepito da qualsiasi società indipendentemente dal modello
organizzativo scelto sia che la società sia organizzata per singole unità o che sia strutturata
per attività.
Tutte le nazioni poi hanno iniziato un processo di rivisitazione delle norme sul sistema di cotnrollo
interno.
La profonda rivisitazione dell’intera normativa sui controlli è stata in gran parte influenzata dal
CoSO Report 1992;
Tutti i documenti in materia di controllo interno emessi a quel tempo fra cui i principali:
1. Framework per Internal Control System in Banking Organizations elaborato nel 1998 dal
Comitato di Basilea;
2. Handbook of International Standards on Auditing and Quality Control;
3. Turnbull Guidance del Financial Reporting Council britannico;
4. le guide italiane predisposte dal CNDC nonché anche i diversi documenti emessi dalle
associazioni di categorie dei contabili,)
fanno espresso richiamo ai contenuti del CoSO.
Il CoSO Report ha rappresentato un modello di riferimento di “AUTODISCIPLINA” su scala

mondiale
Il CoSO report è stato il primo documento più importante a livello internazionale per quel che
riguarda il punto di riferimento della disciplina dei controlli, nello specifico del controllo interno. Il
CoSO report è diventato un modello di riferimento di autodisciplina anche isu scala mondiale per
quel che riguarda la disciplina dei controlli interni.
Subito dopo la pubblicazione del CoSO report riprendono degli scandali finanziari che hanno per lo
più alla base maneggi di dati bilancio e commissioni di frodi. Ce ne sono state molte e questo
sottolinea che spesso i sistemi di controllo interno evolvono ogni volta che si assiste a scandali
finanziari perché se si arriva ad uno scandalo finanziario vuol dire che il sistema di controllo
interno non è adeguato ed è necessario un aggiornamento che riveda gli elementi del sistema di
controllo stesso.
10
Tra le varie situazioni che si sono verificate, connesse alle quali sono stati messi in atto
comportamenti scorretti, qui sopra sono sintetizzate le più rilevanti. Sono crisi verificatesi tra fine
anni ’90 e inizi 2000. Un primo segnale si è verificato con la WM:
- WM è una società che ha iniziato a creare/gonfiare risultati gonfiando il risultato ante
imposte. In questo caso la società ha allungato i tempi di ammortamento. Una tecnica di
manipolazione dei dati finanziari che ha portato alla crisi e al tracollo. È intervenuta la SEC
con delle sanzioni ed è stato condannato l’amministratore delegato e la società di
revisione.
Quando si verificano questi scandali di importanza rilevante vuol dire che spesso le società di
revisione ne erano a conoscenza e condividevano questi comportamenti non corretti.
- 2002/2003 serie di situazioni di crisi connesse ad alcuni grandi colossi. Worldcom che ha
manipolati dati finanziari e ha capitalizzato in modo fraudolento costi di linea che anziché
sottostimarli avrebbe dovuto contabilizzare secondo altre regole → ha gonfiato i
ricavi(entrate false) e la società chiudeva con un risultato di bilancio positivo che non
esisteva
- Healtsouth→ falsi in bilancio con ricavi/profitti gonfiati. La SEC anche in questo caso
interviene e va a indagare sull’operato dell’amministratore delegato che è responsabile
perché il giorno prima della chiusura del bilancio con riporto di perdita rilevante, l’AD in
modo fraudolento aveva svenduto il magazzino per 75 milioni di euro
I due casi più rilevanti sono:
- Il caso Enron nel 2002 negli USA → società che raggira i dati economici con il fine di
gonfiare i ricavi al fine di chiudere il bilancio con risultato di esercizio positivo cosa che non
era veritiera. E una serie di manipolazione finalizzata a coprire crediti inesigibili da cui poi lo
scandalo che ha portato a condannare anche la società di revisione.
- Il caso Parmalat (2003) quasi su imitazione nel nostro ordinamento→ Parmalat è stata
condannata per falso in bilancio per via della manipolazione dei dati di bilancio. Tra cui la
11
non esposizione corretta in bilancio della situazione debitoria. Anche qui c’è stato il
coinvolgimento della società di revisione che in quel caso era la Gran Thorton.
- Tyco nel 2003 anche qui c’è contabilità scorretta, sottrazione di denaro utilizzando prestiti
che non erano stati approvati, vendita di titolo… anche qui la SEC ha individuato le pratiche
contabili non corrette.
Tutte queste situazioni hanno portato ad una rivisitazione e aggiornamento delle normative
relative ai sistemi di controllo e soprattutto controllo interno.
La prima reazione è stata quella di andare a sottolineare come gli scandali finanziari il più delle volte si
verificano perché i sistemi di controllo interno attuati dalle società sono:
- Inefficienti o non adeguati
- Assenti
Per fare in modo che questo non si verifichi si sottolinea che tutti i modelli di governance devono prestare
attenzione alla definizione ed implementazione di sistemi di controllo interno adeguati a monitorare gli
andamenti per evitare il verificarsi di questi scandali finanziari. Quindi si sente da subito l’esigenza di
condividere delle regole comune a livello internazionale di buon governo che le società devono osservare al
fine di tutelare gli interessi degli azionisti.
Il primo codice di comportamento che viene realizzato è datato 1992 e viene pubblicato nel Regno Unito ed
è diventato molto famoso perché il primo e soprattutto perché viene preso come riferimento. Questo
prendo il nome di rapporto Cadbury dal nome della commissione.
Intervenire sulla sul ruolo e responsabilità della Corporate Governance al fine di rassicurare la fiducia degli
investitori.
Con specifico riferimento al CoSO Report vengono in molte nazioni prodotti specifici Codici di
Comportamento, che seppur predisposti tenendo in dovuta considerazione le peculiarità culturali e
normative di ciascun paese, condividono l’importanza di un adeguato sistema di controllo interno e di
gestione dei rischi come pure l’esigenza di fornire informazioni trasparenti, di tutelare gli interessi degli
azionisti e di definire la struttura e le responsabilità dei Board.
Il primo e più noto Il Rapporto Cadbury, pubblicato nel 1992 nel Regno Unito, è da considerarsi la Magna
Cartha della Corporate Governance e dell’autoregolamentazione societaria.
Esso è il risultato dei lavori di una apposita commissione costituita nel 1991, la Cadbury Committee on
Financial Aspects of Corporate Governance, nota come Cadbury Committee dal nome del presidente Sir
Adrian Cadbury. Il comitato è stato costituito a seguito del fallimento di alcune società fra cui la Maxwell
Communications Corporation e la Polly Peck International, per individuare delle regole di buon governo.
Su imitazione di quel che si è verificato in Inghilterra la maggior parte delle nazioni ha pubblicato il
proprio codice.
La Corporate Governance è il sistema delle regole secondo le quali le imprese sono gestite e
controllate, coniugando:
• raggiungimento degli obiettivi;
• comportamento coerente alle aspettative;
• trasparenza nei confronti di azionisti e stakeholders
Il testo di riferimento in Italia sull’argomento è il “Codice di autodisciplina per le società quotate” (cd. Codice Preda)
redatto nell’ottobre 1999, aggiornato più volte, l’ultima nel 2020 →con il supporto di Consob viene istituito un codice
con le norme di buon governo da adottare da parte di tutte le società quotate.
DIBATTITO: Molte crisi finanziarie causate da assenza o inefficienza del Sistema di Controllo Interno
12
L’importanza di questo codice è data dal fatto che:

1. c’è un allineamento circa le regole di buongoverno per tutte le società quotate
2. ciascuno di questi codici contiene la definizione di ciò che si intende per Corporate Governance → anche il
nostro codice di autodisciplina da una definizione
CORPORATE GOVERNANCE ED AGENCY PROBLEM
Per Corporate Governance si intende:
«Corporate governance involves a set of relationships between a company’s management, its
board, its shareholders and other stakeholders. Corporate governance also provides the structure
through which the objectives of the company are set, and the means of attaining those objectives
and monitoring performance are determined»
Definita quindi come “quel sistema di regole secondo le quali le imprese devono essere gestite e controllate e la
gestione e il controllo deve esser finalizzata al raggiungimento di alcuni obiettivi, al mantenimento di un
comportamento coerente alle aspettative, ed essere in grado di garantire la trasparenza nei confronti di azionisti e
stakeholder”.
Una volta definito questo primo modus operandi comune a livello internazionale, ossia la definizione di regole di
buon governo, a livello internazionale il dibattito continua ad essere acceso circa le crisi finanziarie. La maggior parte
condividevano che le cause erano da additare ad una assenza o inefficienza dei sistemi di controllo interno. Altri
invece attribuivano la causa dei malgoverni e crisi finanziarie a quello che era noto come il problema dell’agenzia (→
problema tipico del mondo anglosassone dove è molto diffusa la public company ovvero grande ricorso al mercato
borsistico porrtando ad una separazione tra potere e controllo). Ovvero i proprietari affidano la gestione
dell’impresa al management che ha obiettivi di breve periodo perché sa che la sua attività è a scandenza e ha
certezza di rinnovarsi per quella società solo se è in grado di garantire buone performance.
Agency Problem → separazione tra proprietà e controllo

L’Agency Problem, o problema di agenzia, è una situazione in cui la separazione tra proprietà e
controllo determina una piena autonomia del management, sfruttata al fine di ottenere maggiori
performance e quindi maggiori bonus, in tutti i modi: leciti ed illeciti.
Per questo motivo, il Sarbanes-Oxley Act e la Legge sul Risparmio definiscono il Sistema di Controllo
Interno imprescindibile
Il manager si focalizza su obiettivi di breve periodo e hanno come obiettivo la massimizzazione dei profitti di
breve periodo così ottengono:
1. bonus
2. possono essere riconfermati
alcuni sostengono che alcune delle cause delle crisi finanziarie sia da riconnettersi a questo problema
dell’agenzia. A livello Statunitense si decide di dar luogo ad una riforma per nuove regole di buon governo.
Per risolvere i problemi di agenzia:
- Sarbanes Oxley Act (SOX) per le società quotate alla borsa di NT (2002) → è una legge importante
che molte nazioni a livello internazionale pubblicano leggi simili.
- Legge sul risparmio in Italia (2005) su imitazione della SOX e si allinea, per molti aspetti alla SOX
Sarbanes-Oxley Act (2002)

Sarbanes- Oxley Act (SOX), dal nome di due politici che hanno definito il progetto di legge: Paul Sarbanes e
Mike Oxley
La SOX è stata la riforma più stringente e più importante dopo il Securities Exchange Act del 1934,
finalizzata a:
- Riconquistare la fiducia degli investitori tramite miglioramento della Corporate Governance; (delle
nuove regole di buon governo)
13
- Garantire la trasparenza delle scritture contabili;

- Incrementare le pene per i reati societari.
Normativa molto dettagliata e specifica formata da 11 Titoli suddivisi in sezioni di cui le più importanti sono
302 (certificazione dell’informativa finanziaria) e 404 (responsabilità del management)
Tra le principali novità introdotte vi sono: → importanti anche per gli sviluppi futuri.
1. L’istituzione di un organismo preposto al monitoraggio e al miglioramento degli standard in tema
di accounting and auditing;
2. La definizione di regole più chiare in merito ai rapporti tra audit committee e società di revisione
(organo controllo interno e organo controllo esterno);
3. L’incremento di sanzioni penali nel caso di reati riguardanti l’audit del bilancio;
4. L’introduzione di meccanismi di protezione giuridica per coloro che denunciano reati aventi a
oggetto la predisposizione e il controllo del bilancio.
5. L’introduzione di nuovi standard e procedure per l’accounting e l’auditing;
6. L’introduzione di nuovi meccanismi di monitoraggio delle professioni contabili. → verificare se i
contabili e auditors nello svolgere la loro professione fossero in linea con le norme di deontologia
professionale.
Sarbanes-Oxley Act: Sec. 302 – CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS

“(a) CERTIFICATION OF PERIODIC REPORTS —Each periodic report containing financial statements filed by an
issuer with the Commission pursuant to section 13(a) or 15(d) of the Securities Exchange Act of 1934, shall be
accompanied by a written statement by the chief executive officer and chief financial officer of the issuer.
(b) CONTENT —The statement required by sub section (a) shall certify the appropriateness of the financial
statements and disclosures contained in the periodic report, and that those financial statements and disclosures
fairly present, in all material respects, the operations and financial condition of the issuer.” [testo della sezione]
Con la Sec302 si impone la certificazione dell’informativa finanziaria da parte del direttore finanziario (CFO)
ed amministrativo (CEO). È stata, quindi, introdotta una responsabilità “penale” indiretta in capo a queste
figure, qualora l’informativa da loro sottoscritta non sia veritiera e corretta.
Sarbanes-Oxley Act Sec. 404 – MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS (doveri del
management)
“(a) RULES REQUIRED —The Commission shall prescribe rules requiring each annual report required by section
13 of the Securities Exchange Act of 1934 (15 U.S.C. 78m) to contain an internal control report, which shall:
1. state the responsibility of management for establishing and maintaining an adequate internal control
structure and procedures for financial reporting; and
2. contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the
internal control structure and procedures of the issuer for financial reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING —With respect to the internal control assessment
required by subsection (a), each registered public accounting firm that prepares or issues the audit report for
the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation
made under this subsection shall be made in accordance with standards for attestation engagements issued
or adopted by the Board.
14
Any such attestation shall not be the subject of a separate engagement.”
La Sec404 sintetizza i doveri in capo al management:

• Responsabilità relativa alla valutazione dell’efficacia dei controlli interni.
• Valutazione effettuata sulla base di un modello riconosciuto e supportata da idonee evidenze. →
il modello riconosciuto consiste nel fare un riferimento preciso alle disposizioni contenute nel
CoSO report
L’AUTOREVOLEZZA DEL CoSO REPORT È DATA ANCHE DA QUESTA SECTION.
Ovvero con questa legge viene riconosciuta l’autorevolezza alle disposizioni contenute nel CoSO report in
quanto la responsabilità del management è quella di andare ad implementare i sistemi di controllo interno
che devono esser costituiti rispettando la presenza dei 5 elementi.
Fasi tipiche SOX

Per esser rispettosi delle disposizioni contenute nella SOX (molto precisa e dettagliata) è necessario seguire
questi tre step della tabella. Ovvero le imprese devono:
1. Fare una mappatura dei processi
2. Per ogni processo mettere in atto la valutazione dei rischi connessi a quello specifico processo
3. Report informativa → per ogni processo mappato, una volta valutati i rischi connessi a quel
processo si procede poi alla valutazione dell’adeguatezza del sistema di controllo. Ovvero mappare
e verificare se il sistema di controllo interno è stato in grado di mappare in modo adeguato il
processo.
Mappatura Processi Risk Assessment Report & Informativa

Definizione dello schema Identificazione dei rischi e degli Valutazione dell’adeguatezza del
generale di classificazione obiettivi di controllo sistema dei controlli nel
dei processi complesso
Collegamento dei processi alle Rilevazione dei controlli Identificazione delle azioni
voci di bilancio correttive
Classificazione dei processi in base Valutazione dei controlli di alto Definizione di un sistema di
alla rilevanza e rischiosità livello monitoraggio
Centralità del processo di financial Valutazione dei controlli Attestazione del
reporting operativi management
Definizione della Valutazione dei controlli-testing
documentazione in base alla
criticità del processo
Differenze CoSO report 1992 e SOX

Confronto tra primo framework del 1992 e SOX. Infatti la SOX riprende alcuni punti del CoSO report ma va
sottolineato che i focus di riferimento di questi due standard diventati importantissimi, sono diversi. Infatti
mentre il CoSO è molto focalizzato sugli obiettivi attribuiti al sistema di controllo interno (economicità,
attendibilità e conformità) e se facciamo riferimento al cubo significa attenzione e focus sugli obiettivi della
facciata superiore del cubo. Viceversa le attenzioni della SOX è proprio quello di sottolineare gli obblighi e
CoSO REPORT 1992 SOX
Focus su Obiettivi del SCI: Focus su:
- economicità; - Obblighi e responsabilità a carico del management in
- attendibilità merito all’efficacia del Sistema Controllo Interno e in
- conformità relazione all’attendibilità dell’info
responsabilità posti a carico del managaement in merito all’implementazione di un sistema di controllo
interno efficace e la loro responsabilità nel garantire l’attendibilità delle informazioni finanziarie.
15
Internal Auditing Sara Inzillo
CoSO ERM REPORT (versione 2004)

La Commissione Treadway a distanza di dodici anni ha ritenuto opportuno emettere un aggiornamento del
Framework, pubblicando nel 2004 → considerando che, alla luce delle crisi finanziarie, degli scandali,
questo significava che forse alcune componenti del CoSO report andavano riviste perché non ritenute più
idonee per fronteggiare le situazioni critiche degli attuali contesti. Infatti dalla pubblicazione del primo
framework sono passati 15 anni.
CoSO Report II, intitolato Enterprise Risk Management-Integrated Framework, noto come CoSO ERM-2004
→ERM sempre acronimo.
I motivi dell’aggiornamento del Framework:

1) Cercare nuovi strumenti per Maggior tutela per gli stakeholders a seguito delle crisi finanziarie;
2) Per recepire i rilevanti cambiamenti che hanno coinvolto l’economia globale: tecnologia, globalizzazione,
nuovi modelli di organizzazione (outsourcing, joint-venture) → i sistemi economici nel 2000 sono cambianti
in modo rilevante. L’economia non è più settoriale riferita alle singole nazioni ma l’economia diventa
sempre più globale. I nuovi approcci tecnologici ha supportato i nuovi modelli di business e il diffondersi di
nuovi modelli organizzativi basati su operazioni/decisioni di esternalizzare/delocalizzare parte di attività
aziendali e quello di intraprendere nuove operazioni di internalizzazione.
3) Cambiamento della prospettiva nell’approccio al rischio non più interpretato come unicamente una
minaccia ma anche come potenziale componente del Sistema di Controllo Interno in grado di generare
valore. Tale evoluzione si ritiene sia transitata attraverso tre differenti modelli di Business Corporate Model
→ il rischio non viene più visto come una minaccia. Infatti il nuovo mondo sempre più globalizzato richiede alle
nuove organizzazioni di iniziare ad interpretare nuovamente il concetto di rischio. Questo non viene più
interpretato come una minaccia ma una potenziale componente del controllo interno in grado di generare
valore.
Se le società sono in grado di mappare il rischio allora sono anche in grado di risolverli senza problemi e sono
in grado di generare valore per le stesse organizzazioni. E chi lo deve fare sono i sistemi di controllo interno?
Come si è arrivati alla sperimentazione di questi nuovi paradigmi? Si è arrivati perché si è assistito
all’evoluzione dei modelli di business corporate modern risk. La società si è resa conto di dover convivere con
le situazioni rischiosi e hanno valutato di definire modelli di business nuovi basati a dover gestire e
fronteggiare il rischio. Questi nuovi modelli organizzativi si sono evoluti secondo diverse strutture e
metodologie.
4) Risk:
- il Risk Management; → modelli in cui i manager dovevano identificare, pianificare e valutare strategia
per fronteggiare i rischi.
- il Business Risk Management; → modello più evoluto che enfatizza il fatto che le figure apicali (il
management) deve mappare i rischi ma il concetto di rischio diventa un concetto più integrato a livello
di intera organizzazione
- l’Enterprise-Wide Risk Management → tutta l’intera realtà a livello ampio deve esser
organizzata/gestita/valutata avendo come riferimento la gestione del rischio con tutto ciò che
comporta.
Approcci al rischio: tradizionale e secondo ERM
Traditional Risk Management Enterprise Risk Management (Introdotti dal nuovo framework)
Rischio come azzardo individuale Rischio contestualizzato nella strategia di business →rischio
Identificazione e valutazione del rischio integrato nella strategia
Focus sul rischio separato Sviluppo del risk portfolio → mappatura del rischio
Mitigazione del rischio Focus sul rischio critico
Limiti dei rischi Ottimizzazione del rischio Strategia dei rischi
Rischi senza un titolare → non si era in grado di Definizione delle responsabilità sui rischi
individuare il soggetto responsabile di alcuni rischi Monitoraggio e misurazione dei rischi
Quantificazione confusa dei rischi
“ Il rischio è responsabilità di tutti”
“ Il rischio non è mia responsabilità”
16
CoSo ERM Report versione del2004
Il cubo viene pubblicato nella versione del CoSO nel 2004. È

stata mantenuta la medesima struttura cubica ma si possono
individuare delle differenze e delle novità rispetto
all’edizione del 1992.
➔ Facciata superiore → obiettivi nella versione del 1992
erano 3 ma in questa nuova edizione viene introdotto un
quarto obiettivo (strategic)
➔ Facciata frontale → diventano ora 8 nella versione del
Coso del 2004. Sono presenti le 5 che abbiamo visto
prima. A queste 5 si aggiungono 3 specificatamente
dedicate alla gestione dei rischi:
▪ Objective setting
▪ Event Identification
▪ Risk response
OBIETTIVI: Diventano 4
1) STRATEGIC: Gli obiettivi strategici sono quelli che, attraverso un’ottica di lungo periodo, permettono
di raggiungere fini aziendali ed in particolare la creazione di valore per i vari soggetti che si relazionano
con l’impresa; di conseguenza, nell’elaborazione delle strategie aziendali, il management dovrà trovare
“un equilibrio ottimale tra target di crescita, di redditività e rischi conseguenti. In una visione
fortemente focalizzata sulla valutazione del rischio e nella definizione delle strategie per fronteggiarli
e risolverli. Quindi la strategia diventa a tutti gli effetti il quarto obiettivo.
Questa nuova attenzione al rischio diventa anche una componente.
2) OPERATIONS
3) REPORTING
4) COMPLIANCE
LE COMPONENTI: Diventano 8
Dallo schema del CoSO-ERM si può notare come i tre nuovi componenti siano:
1. Definizione degli obiettivi (Objective Setting): gli obiettivi devono essere adeguatamente definiti,
coerentemente con la mission aziendale e con il rischio accettabile. →non è possibile escludere la
definizione di un livello di rischio accettabile già in fase di definizione del livello degli obiettivi. Questo
significa che ogni società ogni volta che definisce gli obiettivi, nella definizione degli obiettivi deve
comunque recepire il livello di rischio accettabile.
2. Identificazione degli eventi (Event Identification) consiste nella metodologia con cui vengono
identificati eventi che influiscono sul raggiungimento degli obietti aziendali, distinguendoli tra rischi
ed opportunità.
3. Risposta al rischio (Risk Response): consiste negli interventi che il management pone in essere per
mantenere i rischi emersi (una volta che sono stati mappati, valutati …) al di sotto del livello
accettabile. Le azioni da intraprenderesono:
a. Evitarlo: eliminando un prodotto o un’attività;
b. Accettarlo: decidendo di non intraprendere alcuna azione per contenere il rischio;
c. Ridurlo: implementando azioni in grado di diminuire l’incidenza della probabilità e o dell’impatto;
d. Condividerlo: attuando azioni come il trasferimento del rischio, vale a dire una polizza
assicurativa. (spesso avviene mediante sottoscrizione di polizze negative)
17
LE ALTRE COMPONENTI pur riprendendo gli stessi contenuti previsti dalla precedente versione,
enfatizzano l’approccio alla gestione del rischio:
• Ambiente di controllo: è statuito che comprende la filosofia della gestione del rischio nonché
i livelli di accettabilità del rischio;
• Valutazione del rischio: è sottolineato che trattasi di un procedimento di analisi strutturata
dei rischi per determinare la probabilità che si verifichino ed il loro impatto, allo scopo di
definirne la loro gestione.
• Attività di controllo: viene sottolineata l’importanza che le attività di controllo
devono assicurare che le risposte al rischio siano efficacemente eseguite;
• Informazione e Comunicazione: rispetto al CoSO Report I, il nuovo framework ricomprende
anche i dati previsionali importanti per la valutazione e mappatura dei rischi;
• Monitoraggio: deve avvenire in modo continuo per il tutto il processo dell’ERM;
Le altre componenti, sebbene vengano riportate così come erano nel CoSO report, vengono riviste
enfatizzando l’approccio alla gestione del rischio.
Novità CoSo ERM-2004→ Sintesi delle novità

IlCoSO ERM non vuole essere uno stravolgimento del CoSO IC-IF ma una sua integrazione ai fini di una
rinnovata prospettiva attribuita al rischio. La prima edizione viene quindi aggiornata e integrata prendendo
tutta la nuova parte dedicata al rischio. Per questo L’ERM viene definito come un processo
l’ERM sia un processo che deve coinvolgere l’intero sistema aziendale, le cui caratteristiche sono:
1) L’allineamento della strategia al rischio accettabile
2) Il miglioramento alla risposta del rischio individuato
3) La riduzione degli imprevisti e delle perdite conseguenti
4) L’identificazione e la gestione dei rischi correlati e multipli.
5) Identificazione delle opportunità
6) Il miglioramento dell’impiego di capitale.
Nuova crisi Finanziaria- Nuovi standard per i controlli

Nuovo Aggiornamento del CoSo Report nel 2013, la Commissione interviene ogni volta che c’è una crisi
finanziaria. Infatti nel 2004 è iniziata una crisi negli USA che è arrivata nel resto del mondo nel 2008. Ogni
volta che c’è una crisi finanziaria si sente la necessità di aggiornare e intervenire per implementare i sistemi
di controllo perché crisi finanziaria significa che i sistemi di controllo (interno) hanno perso la loro efficienza.
Questa nuova crisi finanziaria si origina negli USA e l’origine in primis è relativo al settore immobiliare.
Dal 2006 nuova crisi. Origine negli USA, settore immobiliare.
In Usa agli inizi del 2000 si assiste ad una forte crescita del mercato immobiliare, grazie soprattutto alla
politica monetaria della Federal Reserve di riduzione dei tassi di interesse. Il basso costo del denaro risultava
appetibile per le famiglie che alimentarono la domanda di case, e quindi il loro prezzo, creando una vera bolla
immobiliare.
Le banche erano anche propense ad accordare mutui in quanto se il mutuatario non era stato in grado di
rimborsare avrebbero potuto procedere con il pignoramento e rivendita dell’abitazione.
Nel frattempo, si era anche diffusa da parte delle banche la cartolarizzazione, per cui si originava una lunga
catena dove i prestiti ipotecati originari passavano di cessione in cessione. Tale lunga catena di negoziazione
di strumenti finanziari disincentivava il monitoraggio del credito originario.
Nel 2004 la FED, a seguito di una crescita eccessiva dell’economia, ha optato per un aumento dei tassi con
un ovvio effetto di incremento del costo dei mutui per il rimborso delle rate, divenuto insostenibile da parte
delle famiglie fino al punto di arrivare ai casi di insolvenza provocando un drastico calo della domanda degli
immobili e lo scoppio della bolla immobiliare.
Negli anni successivi, soprattutto a partire dalla metà del 2007 molti istituti bancari iniziarono a
18
rilevare perdite elevate (alcune sono fallite) e ciò ha impattato sui sistemi finanziari globali determinando la
pesante Crisi finanziaria del 2008
Questa immagine mostra le grandi società che sono fallite a seguito di questa crisi finanziaria. Ma anche
molte banche sono state impattate. Il caso più importante è stato il fallimento della Lehman Brothers.
Avvio Progetto di nuovo aggiornamento del CoSO Report

Nel novembre 2010, il CoSO annuncia di aver avviato un progetto per aggiornare il Framework del 1992. A
tal fine ha chiesto il supporto della PriceWaterhouseCoopers ed ha anche istituito un Consiglio Consultivo.
MOTIVI A SUPPORTO DELL’AGGIORNAMENTO:

1. Complessità e globalizzazione che caratterizza l’ambiente aziendale in ambito sia nazionale che
internazionale
2. Nuovo ruolo della tecnologia
3. Adozione da parte delle imprese di modelli di business sempre più innovativi
4. Nella complessa articolazione della normativa relativa al SCI ravvisabile a livello internazionale
5. Nella richiesta di maggior responsabilità e competenza da parte delle imprese per il management
interno
6. Nelle esigenze, specialmente espresse dagli stakeholders di efficienza ed efficacia dei sistemi di
controllo interno.
Obiettivo dell’aggiornamento
scopi del nuovo framework possiamo considerare:
1. la salvaguardia dei cinque elementi costituenti il Sistema di Controllo Interno, già presenti nel
framework del 1992 che, come affermato da David L. Landsittel, presidente del CoSO fino al 2013,
sono concetti “senza tempo”;
2. la costante promozione di un approccio “risk-based” anziché “check-the-box-approach” finalizzato
alla riduzione dei costi. Esso permette l’eliminazione dei controlli ritenuti inefficaci, inefficienti o
superflui rispetto al modesto valore aggiunto da essi forniti nella riduzione dei rischi e/o mancato
raggiungimento degli obiettivi aziendali → è importante il contenimento dei costi ma il contenimento
dei costi si deve ridurre, secondo questo approccio, all’eliminazione dei costi relativo ai controlli
inefficienti/inefficaci e inefficienti.
19
La commissione il 14 maggio 2013 pubblica la versione aggiornata del CoSO IC-IF, da recepire entro il 15
dicembre 2014, composto da 4 framework:
1) Internal Control - Integrated Framework Executive Summary;
2) Internal Control - Integrated Framework and Appendices;
3) Internal Control – Integrated Framework Illustrative Tools for Assessing Effectiveness of a System of
Internal Control.
4) Internal Control Over External Financial Reporting: A Compendium of Approach and Examples
CoSO REPORT-2013
La struttura cubica sintetizza il contenuto nel nuovo CoSO report. La
prima caratteristica è che vi è un ritorno alla struttura del 1992 e le
componenti tornano ad essere le 5 componenti già previste nel 1992. Poi
per quel che riguarda gli obiettivi sono i 3 noti del 1992. Per quanto
riguarda la definizione di sistemi di controllo interno il CoSO del 1992
definisce il SCI avendo come riferimento i tre obiettivi, stessa cosa
prodotta dal framework del 2013 infatti sono riportate le definizione di
SCI presenti nel CoSO report del 1992 e poi quelle nel CoSO report 2013.
In giallo sono evidenziate le differenze: quella principale risiede negli
obeittivi:
➢ Nel 1992 l’obiettivo del reporting era definito financial reporting a
sottolineare proprio l’importanza del focus su informativa finanziaria.
➢ Nel 2013 invece l’obiettivo (il secondo) non è più riconducibile al financial
reporting ma diventa solo “reporting” a sottolineare che la
reportistica/affidabilità e obiettivo della rendicontazione deve esser
totalitario e non con specifico riferimento all’informativa finanziaria.
La novità importante è che la Treadway Commission, con supporto della PriceWaterhouseCooper’s,
pubblica per la prima volta gli standard di riferimento, ossia i principi, del sistema di controllo interno.
Questa è la novità più significativa perché dal 2013 l’internal auditing diventa a tutti gli effetti una specifica
disciplina corredata di specifici principi standard di riferimento
CoSO Report 1992 CoSO Report 2013

Internal Control is a process affected by an entity’s Internal Control is a process affected by an entity’s
board of directors, management and other board of directors, management and other personnel,
personnel, designed to provide reasonable designed to provide reasonable assuVre
arnsio
cene
re2
g0
a1
rd3ing the
assurance regarding the achievement of objectives achievement of objectives relating the operations,
in effectiveness and efficiency of operations; reporting and compliance.
reliability of financial reporting and compliance
with applicable laws and regulations
Dati i nuovi modelli di business e le nuove caratteristiche del mercato (es: globalizzazione), si è deciso di
semplificare la struttura del CoSO, ritornando alla struttura del 1992. Di contro una maggiore specificazione
è data dall’introduzione di 17 principi standardizzati
20
Novità Rilevante: I 17Principi
I primi 17 costituiscono le regole di funzionamento, e contengono le specifiche disposizioni relative alle 5

componenti del sistema di controllo interno.
ci sono 5 prinicpi a supporto della definizione e relativa alle caratteristiche dell’ambiente di controllo.
4 a supporto della definizione del risk assestement
3 per la terza componente (attività di controllo) e per la quarta (comunicazione e informazione) e 2 per le
attività di monitoraggio. Ciascuno dei 17 principi contiene standard/definizione/caratteristiche di
funzionamento tutto dedicato a far si che le società abbiano riferimenti per progettare un sistema di
controllo interno.
Questa è la prima pagine del ICIF prima versione con la copertina del framework del 2013. Anche da un
punto di vista grafico è evidente il rinnovamento/aggiornamento. La versione del 1992 è molto più
schematica e fredda, anche l’immagine mostra un aggiornamento dinamico.
21
qui è schematizzato il project line table, infatti il percorso di aggiornamento è partito nel 2010 ed è stato
pubblicato nel 2013. Quindi un periodo di 3 anni in cui ci sono state delle consultazioni pubbliche, perché il
dato di partenza è stato anche un monitoraggio delle richieste che man mano venivano formulate dagli
stakeholder per le caratteristiche che doveva avere un buon SCI.
Vediamo il supporto esterno della società di revisione e qui è schematizzato come era articolato il gruppo
dei lavori e a capo di tutto troviamo il Board of Directors costituita dai rappresentati delle principali
organizzazioni che nel frattempo rispetto a quelle viste all’inizio del 1992 si sono evolute però sono
aumentate anche di numero e sono riportate tutte le principale sigle che rappresentano le più importanti
organizzazioni in materia di accounting che hanno partecipato alla formulazione del framework
22
17 PRINCIPI DEL CoSo REPORT

CARATTERITICHE CoSo REPORT 2013
I principi per definire e implementare e recepire i 5 elementi costituenti il SCI. Infatti la aprticolarità del
CoSo report 2013 è un ritorno al passato perché l’edizione riprende come base di riferimento i 5 elementi
costituenti:
➢ Ambiente di controllo
➢ Valutazione dei rischi
➢ Attività di controllo
➢ Informazione e comunicazione
➢ Monitoraggio delle attività
I primi 17 principi pubblicati sono ripartiti come schematizzati sopra.
- 5 principi di riferimento per l’ambiente di controllo
- 4 principi per il risk assessment → valutazione dei rischi
- 3 le control activities
- 3 informazioni e comunicazione
- 2 per attività di monitoraggio
In questa slide riportiamo sia il nome dei 5 componenti che i 17 principi in inglese perché è la lingua
ufficiale in cui sono stati introdotti.
23
AMBIENTE DI CONTROLLO (CONTROL ENVIROMENT)
Esprime la cultura e i valori di fondo dell’organizzazione. Determina il livello di sensibilità̀ del personale alla
necessità di controllo ed è influenzato da fattori quali:
A. modelli di assegnazione di autorità e responsabilità; → per implementare i 5 principi i modelli
organizzativi devono prevedere la definizione chiara di chi sono i soggetti dotati di responsabilità e
autorità oer aver chiari i ruoli e le funzioni.
B. stili di direzione del management (integrità, valori etici); → stile di direzione fortemente focalizzato
sui valori etici e la deontologia professionale.
C. presenza di organi amministrativi indipendenti dalle direzioni esecutive; → è importante che i
soggetti membri del board siano indipendenti dai membri che si occupano di mansioni esecutive
perché l’indipendenza permette di avere ruoli chiari e non commistione di interessi
D. competenza degli operatori; → è importante avere risorse umane competenti cioè dotati delle
adeguate skills
E. chiara indicazione degli obiettivi → che si traducono nella mission di società (obiettivo che la
società intende perseguire)
è fondamentale che tutta la società concepisca e condivida l’importanza del controllo e tutte le risorse
umane coinvolte siano sensibili a tale approccio → questo significa esprimere la cultura
5 Principi:
1. Integrità e valori etici
2. Attività di supervisione del Board e indipendenza del management
3. Struttura organizzativa, linee di riporto, deleghe, poteri e responsabilità
4. Attrarre e mantenere risorse competenti
5. Responsabilizzazione delle risorse
VALUTAZIONE DEI RISCHI (RISK ASSESSMENT)

Il nuovo approccio statuito è il seguente:
L’obiettivo del risk assessment è individuare il rischio e mitigarlo fino ad un “livello accettabile”
Il livello accettabile è un livello soggettivo in quanto varia in base alla propensione al rischio dell’ente (Risk
Appettite) → calcolato con una formula anche se piuttosto forzato
Rischio Lordo
Presidi di Controllo
Rischio Accettabile
I presidi di controllo sono strumenti che le società decidono di mettere in atto per poter mitigare e
fronteggiare il livello di rischio. Il livello di rischio accettabile è un rischio soggettivo che varia da società a
società correlato ai modelli organizzativi e alle caratteristiche delle risorse umane in quanto ciascuno degli
enti/organi hanno una propensione al rischio diversa e quindi è proprio il diverso livello di propensione al
rischio che influenza il livello accettabile del rischio. Il risk appettite è il livello di rischio.
Questa matrice, a disposizione degli operatori, è stata testata e consolidata a livello internazionale e
nazionale è di supporto per valutare il rischio accettabile Precisamente in questa matrice mettiamo in
correlazione due variabili:
➢ La probabilità che si verifichi la situazione rischio
➢ L’impatto che deriva dal verificarsi o meno di questa situazione rischiosa
(Trasferire il rischio vuol dire equipaggiarsi di paracaduti per tutelarsi dal rischio) → il tipico strumento che
mitiga i rischi è la copertura assicurativa.
24
Rischio Medio Rischio Elevato
TRASFERIRE EVITARE
Impatto
Rischio Modesto Rischio Medio
ACCETTARE RIDURRE
Probabilità
Riguarda la capacità della direzione di identificare situazioni di rischio che hanno delle ripercussioni sul
mancato/parziale raggiungimento degli obiettivi aziendali e di progettare controlli ad hoc che consentano di
fronteggiare tali situazioni di rischio.
4 Principi:
1. Chiara esplicitazione degli obiettivi da perseguire;
2. Identificazione dei rischi connessi al conseguimento degli obiettivi e determinazione delle
modalità di gestione degli stessi;
3. Considerazione dei rischi di frode (incentivi/pressioni/opportunità)
4. Valutazione dei cambiamenti che potrebbero avere impatti sul sistema di controllo interno
Si evince subito come ci sia stata una forte attenzione da parte del CoSo Report 2013 al rischio di frode al
punto tale che la treadway commission ha deciso di introdurre uno specifico principio alla definizione di
rischio di frode. Infatti negli anni si è preso atto che molte crisi finanziarie sono state causate da
comportamenti fraudolenti.
Le disposizioni contenute in questi 4 principi supportano la direzione nel cercar di identificare le situazioni
di rischio che possono impattare sul raggiungimento degli obiettivi aziendali. Soprattutto se si vanno ad
individuare delle situazioni rischiose.
ATTIVITA’ DI CONTROLLO (CONTROL ACTIVITIES)

3 Principi:
1. Identificazione e sviluppo di adeguate attività di controllo
2. Identificazione e sviluppo di adeguate attività di controllo IT
3. Sviluppare policy e procedure aziendali di controllo
Dalla lettura dei titoli dei 3 principi di riferimento è evidente l’attenzione del CoSo report di porre
attenzione su monitoraggio (mettere in atto specifiche attività di controllo) per le attività di information
tecnology. Tutte le società sono fortemente digitalizzate e la tecnologia è di aiuto ma l’utilizzo improprio
può portare a rischi di frode.
I tre principi devono essere attuati in ogni livello gerarchico.
Sono attuate a tutti i livelli gerarchici e funzionali della struttura organizzativa

Anche le attività di controllo Devono rispettare i principi di:
A. adeguata separazione dei compiti;
B. corretta autorizzazione per tutte le operazioni;
C. adeguata documentazione e registrazione delle operazioni;
D. controllo fisico su beni e registrazioni.
Perché le attività di controllo siano efficienti e possano compiere correttamente le loro attività è necessario
che le società siano organizzate nel rispetto di questi principi. Perché se le organizzazioni hanno recepito la
25
separazione dei compiti con un mansionario preciso è più facile implementare controlli adeguati perché so
come il controllo è suddiviso.
Non solo, i tre principi prevedono che in base al timing del controllo noi possiamo avere.
In base al timing i controlli possono essere distinti in:
1. controlli preventivi;
2. controlli concomitanti;
3. controlli successivi.
TIPOLOGIE di Control Activities

➢ Manual: Controllato dalle persone Es Management Review, Analisi indicatori, Riconciliazioni
Mensili. Calcolo di accantonamenti → Attività di controllo riferiti ai controlli contabili
➢ Automatic: Configurato Direttamente nel sistema che supporta il Business Es controlli Automatici
nelle Procedure IT
➢ Preventive: Autorizzazioni, Approvazioni Es controllo dell’approvvigionamento, ordine prima
dell’invio al fornitore, Approvazione Ore di straordinari, Approvazione dei limiti del Fido a nuovi
clienti
➢ Detective: Sono disegnati per catturare (evidenziare) le eccezioni all’interno del processo es
Riconciliazione delle banche su base mensile, Analisi di varianza Budget-actual→ individuare le
eccezioni che caratterizzano il processo produttivo.
INFORMAZIONE E COMUNICAZIONE (INFORMATION & COMUNICATION)

I principi di riferimento sono 3:
➢ Utilizzo di informazioni affidabili e rilevanti
➢ Adeguate comunicazioni interne
➢ Adeguate informazioni esterne
Anche in questo caso i titoli sono significativi in quanto fanno capire subito cosa vogliono definire questi
principi. In particolare quindi:
• Tempestiva individuazione, rilevazione e diffusione delle informazioni utili alle persone per
adempiere alle proprie responsabilità. → importante che vengano diffuse solo le informazioni
utili. Quindi bisogna fare un’attenta analisi per diffondere solo le informazioni utili ed affidabili.
• Per informazioni utili si intendono informazioni significative, affidabili, tempestive e accessibili.
Quello che i principi vogliono sottolineare è che negli attuali contesti, dove si abbonda con informazioni, è
necessario in primis saper scegliere in modo preciso e accurato solo le informazioni utili.
MONITORAGGIO DEI CONTROLLI (MNITORING ACTIVITIES)
• Consiste nella verifica continuativa o periodica dell’efficacia del disegno dei controlli interni e
dell’effettiva operatività degli stessi, resa necessaria dalla dinamicità del contesto all’interno del quale
è inserito il sistema dei controlli
I due principi sono:
1. Definizione e sviluppo di valutazioni continuative e ad hoc per accertare che le componenti del
controllo interno siano presenti e funzionanti
2. Valutazione, comunicazione e correzione tempestiva delle carenze individuate nel sistema di
controllo interno
Possiamo leggere questi due principi in modo sequenziale in quanto dal primo si evidenza che l’attività di
monitoraggio consiste nella verifica continuativa e periodica del funzionamento del SCI e poi il secondo che
dice che dal monitoraggio continuo puoi evidenziare eventuali carenze in tempo reale e puoi quindi
comunicarle e poi correggerle in modo adeguato.
26
SINTESI PRINCIPALI INNOVAZIONI – BENEFICI DEL COSO REPORT 2013
Questo schema sintetizza le principali innovazioni apportate dall’aggiornamento del framework. Ciascuna di
esse è inserita in un riquadro e sono strettamente correlate le une con le altre a sottolineare come sono
intrecciate e come sono a supporto di una e dell’altra.
Come va letto lo schema?
1. I principi forniscono il più alto grado di adattabilità [..] → se il Coso report ha fornito 17 principi a
supporto della definizione di 5 elementi che costituiscono il Coso report vuol dire che le società non
possono dire che non sanno in cosa consistono i 5 elementi perché viene detto cosa sono, in cosa
consistono e come recepirle. Prevedono anche delle adattabilità perché le società recepiscano un
SCI sulla base dei 5 elementi e quindi il Coso report prevede una certa adattabilità e quindi
flessibilità
2. Una più chiara definizione […] → in tutti i 17 principi viene sottolineata l’importanza della
responsabilità in capo ai soggetti recependo un principio segregation of duty cioè la segregazione
delle responsabilità quindi l’attribuzione a ciascuno delle proprie responsabilità per evitare le
duplicazione e ridurre i costi
3. Il combinato [..] → visto che son stati disciplinati 17 principi vuol dire che tutto è finalizzato perché
il SCI funzioni al meglio possibile per aver più probabilità di raggiungere i tre obiettivi della faccia
superiore del cubo
4. È fortemente improntato al rischio […] → il risk assesstement è una componente molto significativa
e strategica infatti è sottolineata l’importanza per ogni società di definire il proprio livello di rischio
accettabile
5. Il framework essendo aggiornato […] → infatti abbiamo visto che è dedicato un apposito prinicpio
alla valutazione del rischio di frode e information tecnologies.
6. Il processo è facilmente malleabile […] → un aspetto innovativo di questo aggiornamento è la sua
adattabilità e flessibilità che fa si che il coso report possa esser recepito da qualsiasi tipo di società
indipendentemente dalla sua dimensione il che vuol dire che le disposizioni si applicano sia alla
piccola-media impresa che a quella di grandi dimensioni. Questo a sottolineare come tutte le
27
società indipendentemente dalle dimensioni devono esser dotate di un adeguato (allineato alle
dimensioni) sistema di controllo interno.
7. La nuova nomenclatura degli obiettivi permette […]→ quando abbiamo analizzato gli obiettivi
(faccia sopra del cubo) abbiamo visto come l’edizione del 2013 (per quanto riguarda il secondo
obiettivo) cambia di denominazione. Non è più financial reporting ma solo reporting a sottolineare
che l’obiettivo di un’adeguata rendicontazione dei dati non deve esser solo riferito ai dati di natura
finanziaria ma diventa sostanzialmente una rendicontazione delle informazioni in senso ampio.
8. L’aggiornamento degli ambiti applicativi […] → in cosa consiste questo beneficio? Che come
sappiamo, la faccia laterale del cubo è dedicata ai modelli organizzativi, essendo la versione del
cubo molto adattabile, va da sé che può esser recepita da qualsiasi struttura organizzativa,
indipendentemente se la società ha deciso un modello organizzativo gerarchico, funzionale, per
aree strategiche di affari. È indipendente il modello organizzativo scelto dalla società con il sistema
di controllo interno.
Quindi il SCI così definito dall’aggiornamento del 2013 essendo flessibile e prevedendo 17 principi da la
possibilità per esser recepito da ogni tipologia di società.
28
8. TUF Code
Dopo aver visto il framework di riferimento e gli aggiornamenti del Coso Report per il momento ci
fermiamo a quella del 2013 anche se non è l’ultima perché ve n’è una del 2017. Ora riprendiamo
l’evoluzione del sistema di controllo interno nell’ordinamento italiano. Ossia come il SCI con le sue
caratteristiche e le definizioni che nel tempo si consolidano come vengono recepite nell’ordinamento
italiano e quali sono le normative di riferimento.
Il recepimento del Sistema di Controllo Interno nell’ordinamento Italiano
Normative che si sono evolute dal ’98 al 2020 con l’aggiornamento del codice di autodisciplina quindi in 20
anni e in questi 20 anni alle normative sono state apportate modifiche per quanto riguarda il sistema di
controllo interno. Ogni novità e cambiamento nell’ordinamento italiano prende come riferimento un norma
introdotta nel mondo americano e a sottolineare come nell’ordinamento italiano step by step il SCI viene
recepito secondo standard internazionale quindi allineato. Noi analizzeremo le prime novità recepite nel
sistema italiano quindi le disposizioni contenute del D.lgs 58/98 noto come TUF e tutte le altre seguenti a
seguire:
➢ D.lgs 58/98 TUF
➢ Codice di Autodisciplina 1999 → in questi 20 anni abbiamo avuto diversi aggiornamenti fino al
2020
➢ D.lgs 231/2001
➢ Legge 262/2005
➢ Riforma del diritto societario 2003 → meglio definisce i sistemi di Governance
➢ D.lgs 39/2010 → ha decretato la prima riforma legale dei conti nel nostro ordinamento (CORSO
DI REVISIONE TRIENNALE)
➢ D.lgs 14/2019 → introdotto il codice di crisi e insolvenza
D.Lgs n. 58/1998 –Testo Unico delle disposizioniin materia di Intermediazione Finanziaria (TUF)
La novità rilevante è che per la prima volta viene introdotto il concetto di SCI. Perché è importante?
a) Prima normativa italiana che recepisce l’espressine Sistema di controllo Interno. Il TUF è noto anche
come Legge Draghi.
b) Oltre ad aver introdotto l’espressione SCI il decreto è importante per avere chiarito le attività di
controllo svolte dal collegio sindacale quelle svolte dalle società di revisione. Il TUF chiarisce,
creando nel nostro ordinamento una linea di demarcazione tra il controllo esterno e internal
auditing, definendo che
a. Alla società di revisione compete il controllo sulla contabilità e bilancio (controllo contabile)
b. Mentre al collegio sindacale compete il controllo del governo dell’impresa
Il termine “Sistema di Controllo Interno” appare per la prima volta in Italia nel 1998 con il Testo Unico delle
disposizioni in materia di intermediazione finanziaria (TUF), D.lgs. 24 febbraio 1998 n. 58, ai sensi degli art.
8 e 21 della Legge 6 febbraio 1996 n. 52, conosciuto anche come “Legge Draghi”.
Al TUF va riconosciuto il merito di aver chiarito il rapporto fra il Collegio Sindacale e le funzioni di controllo
svolte dalle società di revisione, statuendo che alla società di revisione compete il controllo della contabilità
e del bilancio (controllo esterno) mentre al Collegio Sindacale, quale organo di supervisione e di indirizzo
della gestione aziendale, compete il controllo del governo dell’impresa (attività di vigilanza-controllo
interno)
L’espressione Sistema di Controllo Interno (art. 149, c.1, lettera c) seppur limitata alle società quotate
prevedendo che sia il Collegio Sindacale a vigilarne l’adeguatezza, tuttavia non ne viene fornita una
definizione evidenziando una lacuna in termini di poteri e responsabilità. Il TUF attribuisce al Collegio
Sindacale un ruolo di primaria importanza qualificandola come “organo di controllo sull’amministrazione,
collocato al centro del sistema dei controlli endosocietari.
29
Ai sensi art. 149: “Il Collego Sindacale vigila […] sull’adeguatezza della struttura organizzativa della società
per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile
nonché sull’affidabilità di quest’ultimo a rappresentare correttamente i fatti di gestione”
Al TUF dobbiamo riconoscere l’introduzione nel nostro ordinamento dell’espressione sistema di controllo
interno ma non lo ha definito. Cioè il tutto io TUF non troviamo definizione del SCI. Come affermano il TUF
riconosce al collegio sindacale il ruolo di primaria importanza del controllo endosocietari.
Struttura della Governance secondoTUF
Questo schema mostra la struttura della governance secondo il TUF. Il TUF ha infatti avuto il merito di (noi
ci limitiamo ad art. 149), essendo un testo unico quindi con disciplina in molti ambiti, aver introdotto una
serie di articoli relativi alla revisione legale dei conti.
Questo schema mostra il ruolo centrale che il TUF affida al collegio sindacale. Infatti questa mappatura
mostra come il collegio sindacale è al centro dei sistemi endosocietari perché il collegio sindacale
interagisce con
- Soggetti esterni (Consob [Commissione Nazionale per la società e per la borsa], società di revisione,
tribunale)
- Assemblea (è eletto da assemblea)
- CdA
- Internal auditor (dove è presente)
- Nella parte bassa sono collocati altri organi di riferimento in base ai quali le società si devono
strutturare secondo le linee guida statuite dal TUF:
o Il CdA che occupa una posizione centrale interagisce con
▪ Internal autidor
▪ Comitato esecutivo
▪ Amministratore delegato
▪ Direttore generale sotto il quale troviamo i direttori di funzioni (responsabili)
▪ Figure presenti nelle società quotate che sono comitati diventati sempre più
importanti
30
• Figure preposte al controllo

• Comitato controllo interno
• Comitato per proposte di nomina
• Comitato per remunerazioni
• Investor Rethor ovvero ufficio che tiene le relazioni con tutti gli stakeholder
in particolari con investitori e azionisti
Questa è stata una novità dal punto di vista normativo nell’ordinamento italiano. Quel che serve nel nostro
corso relativo al TUF è quel che abbiamo visto fino ad ora. Per cui proseguiamo con codice di autodisciplina
Il Codice di Autodisciplina
Codice che viene introdotto per avere anche nel nostro ordinamento un codice che indicasse le linee guida
di buona governance delle società quotate.
1) Corpo di raccomandazioni per le società quotate. Emanato in prima versione nel 1999 con il nome di Codice
Preda (risultato dei lavori del Comitato per la Corporate Governance, Borsa Italiana spa, presieduta
dall’allora presidente della Borsa Italiana, Stefano Preda e composto dai rappresentanti delle società
quotate, dagli intermediari, dagli investitori, delle banche e delle assicurazioni) e più volte aggiornato.
2) L’autorevolezza di tale codice è data dalla chiara ispirazione al CoSO Report.
3) Secondo lo schema proposto dal Codice Cadbury, anche il documento proposto dal Comitato si articola in
due parti: il “Rapporto” e il “Codice diAutodisciplina”.
4) Adesione al Codice è facoltativa. Non vi è imposizione.
5) L’obiettivo principale del codice è quello di assicurare agli investitori internazionali l’esistenza, nelle società
quotate italiane, di un modello organizzativo basato su adeguate ripartizioni delle responsabilità per un
corretto equilibrio fra la gestione ed il controllo. → se decretiamo e discipliniamo appositi standard
finalizzati al buon governo le società in primis quelle quotate sono in grado di garantire un equilibrio tra
attività gestionale e le attività di controllo. Per cui la pubblicazione ci allinea alla prassi internazionale.
La procedura seguita dal codice italiano per arrivare alla pubblicazione del codice di autodisciplina è una
fotocopia di quello già visto in altre nazioni. Tutto il percorso per arrivare alla pubblicazione è partito dal
codice Cadbury dal quale tutte le nazioni europee e non solo hanno pubblicato il proprio Codice di
Autodisciplina. In ogni caso prendono come riferimento il CoSO report.
In sintesi il Codice di Autodisciplina durante il suo

percorso evolutivo, attraverso le proprie
raccomandazioni, ha di fatto dapprima potenziato la
centralità del ruolo del Sistema di Controllo Interno
divenuto poi di Sistema di Controllo Interno e
Gestione dei Rischi nei moderni sistemi di governance.
A tal fine due sono state le direttrici di riferimento:
a) L’ampliamento del coinvolgimento a vario titolo di

tutti gli attori coinvolti nella vita societaria;
b) La centralità del rischio nei sistemi di controlli quale
base di riferimento per la definizione di un sistema di
controllo unico ed integrato anche al fine di massimizzare l’efficienza dei controlli e di ridurre la
sovrapposizione delle attività; → da qui SCI e gestione dei rischi ma questo diventa un sistema di
controllo unico e integrato. Questa integrazione è finalizzata alla massimizzazione dell’efficienza
dei controllo contenendo le duplicazioni.
31
l’esigenza degli aggiornamenti sono dovuti al fatto che ci siamo sempre allineati all’evoluzione della
normativa internazionale, quindi ogni volta che veniva formulato un aggiornamento anche il nostro codice
di autodisciplina è stato costretto a recepire gli aggiornamenti. In tutto questo percorso evolutivo
l’importanza del SCI è diventata sempre più rilevante. Infatti il SCI ha assunto un ruolo sempre più centrale
nella governance. E il governo aziendale ha assunto una visione sempre più volta alla gestione dei rischi
tanto che ad un certo punto non si parla più solo di SCI ma SCI e gestione dei rischi. Questa è stata
l’evoluzione ultima. Per arrivare a questo ci abbiamo impiegato 20 anni (dal 2002 al 2020) e durante le fasi
di aggiornamento sono state seguiti le due direttrici di riferimento sopra indicate.
Nello schema vediamo il sistema unico integrato basato sulle due direttrici.
Edizione 2002 → è stato riformulato l’art. 9.1 al fine di recepire i contenuti del CoSO Report. Il Sistema di
Controllo Interno si configura come “un processo volto a monitorare l’efficienza delle operazioni aziendali,
l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni
aziendali”. Responsabile di stabilirne le linee d’indirizzo e di verificare il corretto funzionamento, così come
l’adeguatezza, è il consiglio di amministrazione che viene supportato nell’espletamento di questi compiti
del comitato per il controllo interno e dal preposto al controllo interno; quest’ultimo si identifica con il
responsabile della funzione di revisione interna nelle società che ne sono dotate (art. 9.2). Al tempo stesso
gli amministratori delegati si occupano di identificare i principali rischi aziendali e di rendere operativi gli
orientamenti definiti dal Consiglio di Amministrazione (art. 9.3). Il comitato per il controllo interno non
provvede più alla valutazione dell’adeguatezza del sistema ma si occupa di assistere il Consiglio
nell’esecuzione dei suoi compiti.
L’edizione del 2002 rispetto a quella del ’99 ha riformulato art. 9.1 ed è la prima edizione in cui troviamo
definizione totalmente allineata con il Coso Report.
Edizione 2006 → Il sistema di controllo interno è trattato all’art. 8 e definito come “l’insieme delle regole,
delle procedure e delle strutture organizzative volte a conservare, attraverso un adeguato processo di
identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa
sana, corretta e coerente con gli obiettivi prefissati”. Al Consiglio di Amministrazione vengono affidati
ulteriori responsabilità a sottolineare la sua centralità nella gestione del controllo interno. Il comitato di
controllo interno oltre all’attività istruttoria già attribuitagli dalla precedente versione del Codice, deve
svolgere un ruolo consultivo e propositivo, distinto però dalle attuazioni che la legge assegna al Collegio
Sindacale, che si occupa principalmente di verifiche ex post (art. 8)
Ad ogni edizione del codice spesso segue una rielencazione della struttura interna. Nel 2004 abbiamo avuto
un aggiornamento del Coso report focalizzata al monitoraggio dei rischi infatti la definizione del 2006
sottolinea l’importanza del SCI per gestione e monitoraggio dei principali rischi.
Edizione 2010 → nessuna Modifica per il SCI
Edizione 2011 → Maggiore focus sulla gestione del rischio e, contestualmente, introduzione dell’art. 7:
Sistema di Controllo Interno e Gestione dei Rischi.
CdA e CCIGR sono deputati all’individuazione della natura e del livello dei rischi
Edizione 2014 → nessuna modifica per il SCI
Edizione 2015 → Per quanto riguarda il Sistema di Controllo Interno e di Gestione dei Rischi all’art. 7 è
stata prevista una variazione degli obiettivi perseguiti dal sistema prevedendo che l’affidabilità non
interessa più esclusivamente le informazioni finanziarie ma comprende anche i flussi endosocietari così
come quelli rivolti al mercato ( 7.P.2). Sono stati estesi anche i compiti del comitato controllo e rischi (
7.C.2.g), viene evidenziata l’importanza nell’ambito dei controlli interni, delle funzioni legali e di
compliance.
32
Nel Coso report abbiamo visto che l’obiettivo centrale non è più financial reporting ma solo reporting e
questo è ciò che vediamo nell’aggiornamento dell’art. 7 (dopo aggiornamento del 2013 del Coso report).
Edizione 2018 → Attenzione alle «Gender Diversity» visto che vi è l’obbligo di queste Gender DIversity il SCI
deve tenere in considerazione che le società abbiano recepito le quote di gender
Edizione 2020 → Pubblicata nel gennaio 2020 riforma il codice di autodisciplina secondo Quattro
direttrici:
1. Sostenibilità;
2. Engagement;
3. Proporzionalità;
4. Semplificazione
Queste sono le 4 direttrici introdotte da ultimo aggiornamento. Noi ci riferiremo all’edizione del 2015
perché le disposizioni relative al SCI sono quelle che troviamo negli articoli 7 e a seguire dell’edizione 2015.
Ovvero l’edizione che ha recepito gli aggiornamenti contenute nel Coso Report 2013.
33
Riprendendo l’elenco delle principali normative che hanno portato al recepimento del SCI nell’ordinamento
italiano. Abbiamo analizzato il D.lgs 58 e abbiamo iniziato il codice di Autodisciplina (prima edizione 1999)
ma il codice di autodisciplina è stato più volte aggiornato e l’ultimo risale a Gennaio 2020 noi facciamo
riferimento all’aggiornamento del 2015 in riferimento all’aggiornamento del Coso report 2013 grazie al
quale il SCI si evolve e assume la definizione di SCI e controllo dei rischi a sottolineare la sua funzione
principale di gestione e monitoraggio dei rischi.
Ora analizziamo il Codice di Autodisciplina relativamente all’implementazione di un adeguato SCI nelle
società in primis quotate visto che si rivolge alle società quotate. Il riferimento è all’art. 7
Art 7 – Il Sistema di Controllo Interno e Gestione dei Rischi – Principi (titolo dell’art.)
I principi sono definiti al 7 p.1 e 7 p.2 dove sono definiti i principi fondamentali per ogni società quotata da
rispettare per implementare un adeguato sistema di controllo interno e gestione dei rischi secondo
l’ordinamento internazionale. In questi infatti troviamo una definizione più articolata di sistema di controllo
interno. Nel 7.1 troviamo una definizione più ampia in cui sono incluse anche regole e procedure.
7.P.1. Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall’insieme
delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la
misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti
organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di
riferimento e le best practices esistenti in ambito nazionale e internazionale.
La definizione più ampia di SCI è un sistema integrato che interagisce con tutti gli organi della governance e
interlocutori.
Il principio n.2 del codice di autodisciplina sottolinea come possono esser efficaci i sistemi di controllo
interno.
7.P.2. Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una conduzione
dell’impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione, favorendo
l’assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio
sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità delle informazioni fornite agli organi sociali
ed al mercato, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne.
Il sistema di controllo interno e gestione dei rischi è a disposizione del CdA dando contributo e supporto per
conseguire gli obiettivi aziendali. Quindi il CdA deve definire in modo chiaro gli obiettivi che la governance
intende conseguire. Il codice di autodisciplina poi sottolinea gli obiettivi fondamentali per una società
quotato ovvero da cui non si può prescindere:
• Assicurare la salvaguardia del patrimonio sociale
• Efficienza ed efficacia dei processi aziendali
• Affidabilità delle informazioni
• Il rispetto […]
Il codice di autodisciplina fa specifico riferimento agli obiettivi statuiti da Coso report 2013. Ovvero quelli
relativi ad efficacia/efficienza operations aziendali, reporting e la compliance. I tre statuiti da Coso report
sono completamente recepiti dal principio 7 2 del codice di autodisciplina, in aggiunta questo prevede la
necessità dell’assicurare la salvaguardia (unica aggiunta agli obiettivi del Coso report 2013)
Il codice di autodisciplina: GLI ATTORI DEL SISTEMA

A partire dal 7.p. 3 il codice di autodisciplina va ad individuare gli attori del sistema ovvero tutti i soggetti
che direttamente o indirettamente partecipano e contribuiscono alla buona efficacia del sistema di
controllo interno e gestione dei rischi. Questa mappatura è molto chiara e ben definita in quanto il principio
prevede che il SCI e gestione dei rischi coinvolge ciascuno per le proprie competenze. Coinvolge si intende
34
gli attori del sistema ciascuno per le proprie competenze perché ciascuno contribuisce per il buon
funzionamento del sistema di controllo interno.
7.P.3. Il sistema di controllo interno e di gestione dei rischi coinvolge, ciascuno per le proprie competenze:
a) il consiglio di amministrazione, che svolge un ruolo di indirizzo e di valutazione dell’adeguatezza del
sistema e individua al suo interno. Supportato da altri soggetti:
(i) uno o più amministratori, incaricati dell’istituzione e del mantenimento di un efficace sistema di
controllo interno e di gestione dei rischi (nel seguito dell’articolo 7, l’“amministratore incaricato del
sistema di controllo interno e di gestione dei rischi”), [il CdA al suo interno decide e delibera in
merito ad uno o più amministratori a cui attribuire la delega di esser il responsabile per istituzione e
mantenimento di efficace controllo interno questo amministratore prende il nome di
amministratore incaricato…] nonché
(ii) un comitato controllo e rischi, avente le caratteristiche indicate nel principio 7.P.4, con il compito di
supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di
amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle
relative all’approvazione delle relazioni finanziarie periodiche; sostanzialmente il comitato di
controllo rischi costituito all’interno del CdA ha il compito di svolgere un’attività di supporto sia
nella definizione del SCI che nelle decisioni successive.
b) il responsabile della funzione di internal audit, incaricato di verificare che il sistema di controllo interno e
di gestione dei rischi sia funzionante e adeguato;
oltre a queste figure molto precise ci sono altre figure:
c) gli altri ruoli e funzioni aziendali con specifici compiti in tema di controllo interno e gestione dei rischi,
articolati in relazione a dimensioni, complessità e profilo di rischio dell’impresa; → a seconda delle
dimensioni della società saranno previste funzioni aziendali in base alla complessità.
d) il collegio sindacale, anche in quanto comitato per il controllo interno e la revisione contabile, che vigila
sull’efficacia del sistema di controllo interno e di gestione dei rischi. → importanza del collegio sindacale
già visto nel TUF dove viene definita per la prima volta l’espressione SCI. Per quanto riguarda il collegio
sindacale vedremo specificatamente delle lezioni.
L’emittente prevede modalità di coordinamento tra i soggetti sopra elencati al fine di massimizzare
l’efficienza del sistema di controllo interno e di gestione dei rischi e di ridurre le duplicazioni di attività. Il
codice di Autodisciplina ha sottolineato come, essendo un sistema integrato, i soggetti che vi partecipano
sono molti e si parla di attori del sistema tutti coinvolti ciascuno con le proprie competenze ma è la società
che deve definire delle regole di coordinamento che devono esser chiare e precise. Solo così la governance è
in grado di massimizzare efficienza del SCI e gestione dei rischi e per poterlo massimizzare deve definire per
ciascuno di questi attori coinvolti, delle proprie funzioni chiare e precise e delle proprie responsabilità in
merito. Altrimenti c’è il rischio che le attività vengano duplicate e la duplicazione crea caos e inefficienza.
Quindi le ultime due righe del principio 3 sono fondamentali perché dice che ci sono molti soggetti ed è
chiaro che ognuno deve dare il contributo ma le società stesse devono definire regole chiare e precise per
evitare duplicazioni.
La schematizzazione sotto è riportata la struttura di riferimento di tutti quei soggetti definiti interlocutori di
un sistema integrato e ampliato.
35
Struttura di riferimento ai sensi de Codice diAutodisciplina
Al centro abbiamo il SCI centrale perché è una struttura che catalizza e tutti gli altri ruotano intorno. E
possiamo vedere da destra che troviamo l’altro organo direttamente impattante sul SCI ossia il CdA che
definisce le linee guida ed è l’organo responsabile in toto delle linee guida e la valutazione.
All’interno del CdA viene definito un comitato specifico per il controllo interno che svolge una serie di
funzioni consultive a disposizione del CdA e all’interno del CdA vi è l’amministratore delegato preposto al
controllo interno. Quindi l CdA e il comitato peril controllo interno riferiscono ad altri preposti per il
controllo interno.
Dopo abbiamo il ruolo importante dell’AD che progetta, gestisce e monitora direttamente il SCI perché l’AD
è l’amministratore con la delega da parte del CdA di esser supervisore con pieni poteri relativo a
progettazione e gestione del SCI.
È lo stesso AD, se ritiene indispensabile, definire altri preposti al controllo interno con cui interagisce
direttamente. Tutto questo dipende dalle dimensioni della società.
Poi abbiamo, a sinistra, i sindaci (membri del collegio sindacali che sono soggetti esterni alla società perché
nominati da assemblea ma non vincolati da rapporti coordinai e continuativi con la società perché svolgono
la loro funzione in autonomia e hanno il compito di vigilare sull’adeguatezza del SCI e di interagire con
internal auditing).
Internal auditing è in giallo perché a differenza degli altri organi di diretta derivazione del CdA, l’internal
auditing può esser un manager esterno assunto per svolgere le sue funzioni di internal auditing.
Anche il CdA come organo è fuori il perimetro di demarcazione della governance come il collegio sindacale
perché anche i membri del CdA sono nominati dall’assemblea degli azionisti e sono soggetti indipendenti
(alcuni no) ma non sono vincolati alla governance stessa.
Questo schema sintetizza l’architettura del sistema di controllo interno e identifica i soggetti che operano e
danno il contributo al codice di autodisciplina per il buon funzionamento del SCI.
36
7.P.4. Il comitato controllo e rischi è composto da amministratori indipendenti (titolo). In alternativa, il
comitato può essere composto da amministratori non esecutivi, in maggioranza indipendenti; in tal caso, il
presidente del comitato è scelto tra gli amministratori indipendenti. Se l’emittente è controllato da altra
società quotata o è soggetto all’attività di direzione e coordinamento di un’altra società, il comitato è
comunque composto esclusivamente da amministratori indipendenti. Almeno un componente del comitato
possiede un’adeguata esperienza in materia contabile e finanziaria o di gestione dei rischi, da valutarsi da
parte del consiglio di amministrazione al momento della nomina. → quindi è all’interno del CdA. Gli
amministratori sono di due tipi
• Dipendenti →rappresentano chi ha la maggioranza del capitale sociale. Cioè nominati dagli azionisti
di maggioranza pescati nella listi dalle liste di maggioranza.
• Indipendenti → pescati dalle liste di minoranza.
Il comitato può esser composto da amministratori non esecutivi, se sono dipendenti è importante che non
siano esecutivi ovvero non dotati di deleghe e di poteri decisionali. Per far si che il comitato sia espressione
di tutti gli stakeholders e tutti investitori anche di minoranza il presidente deve esser tra amministratori
indipendenti. Se abbiamo a che fare con una società controllata da società quotata è necessario che questo
comitato sia costituito da amministratori indipendenti. All’interno del comitato controllo rischi ci deve esser
un amministratore con esperienza in materia contabile (dottore commercialista, esperto contabile, revisore
o che abbia maturato un’esperienza in merito).
7.C.2. Il comitato controllo e rischi, nell’assistere il consiglio di amministrazione:

a) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari e
sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili e, nel caso
di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato; → la prima funzione
del comitato di controllo e rischi è quella di esprimere la sua opinione circa l’utilizzo dei corretti
principi contabili.
b) esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali;
funzione consultiva
c) esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo
interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione
internal audit; funzione di esaminatore deve legger le relazioni fatte da internal auditi o altro
soggetto relativo al buon funzionamento del SCI.
d) monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal audit;
e) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree
operative, dandone contestuale comunicazione al presidente del collegio sindacale;
f) riferisce al consiglio, almeno semestralmente, in occasione dell’approvazione della relazione
finanziaria annuale e semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di
controllo interno e di gestione dei rischi; → il comitato controllo rischi, sia in previsione della
fine dell’esercizio con redazione del bilancio o a metà anno, deve fornire una sua relazione in
cui rendiconta il suo giudizio in merito all’adeguatezza del sistema di controllo interno e
gestione dei rischi.
g) supporta, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di
amministrazione relative alla gestione di rischi derivanti da fatti pregiudizievoli di cui il consiglio
di amministrazione sia venuto a conoscenza.
7.C.3. Ai lavori del comitato controllo e rischi partecipa il presidente del collegio sindacale o altro sindaco
da lui designato; possono comunque partecipare anche gli altri sindaci. → sottolinea come a tutte le
riunioni del comitato controllo rischi è necessaria la presenza del collegio sindacale o almeno un
rappresentante.
37
Comitato Controllo e Rischi

Schema da un punto di vista pratico/operativo sono le funzioni del comitato controllo e rischi.
Funzione di supporto a CDA
1) esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali
2) esamina le relazioni periodiche (di qualsiasi genere e da chiunque fatte), aventi per oggetto la
valutazione del sistema di controllo interno e di gestione dei rischi e quelle predisposte dall’internal
audit
3) Riferisce al Cda, almeno semestralmente su attività svolta e adeguatezze Sistema di Controllo Interno
e di Gestione dei Rischi (SCIGR)
4) Supporta tramite adeguata attività istruttoria, le valutazioni e le decisioni del Cda relative alla gestione
dei rischi derivanti da fatti pregiudizievoli di cui il Cda sia venuto a conoscenza
Sintesi delle 4 attività che deve mettere in atto tra tutte quelle previste dal codice di autodisciplina.
7.C.1. Il consiglio di amministrazione, previo parere del comitato controllo e rischi: → il Cda, previo parere
del comitato controllo e rischi. Perché il comitato controllo e rischi, ogni volta che il Cda si esprime circa
questi punti, deve avere il benestare o un confronto con comitato controllo rischi.
a) definisce le linee di indirizzo del sistema di controllo interno e di gestione dei rischi, in modo che i
principali rischi afferenti all’emittente e alle sue controllate risultino correttamente identificati, nonché
adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi
con una gestione dell’impresa coerente con gli obiettivi strategici individuati; funzione di definire le
linee di indirizzo che deve svolgere il sistema integrato finalizzato alla mappatura dei principiali rischi.
Nonché bisogna esser capace di utilizzare degli strumenti per fronteggiarli. Il tutto deve esser coerente
con gli obiettivi individuati dalla governance stessa e con le strategie individuate.
b) valuta, con cadenza almeno annuale, l’adeguatezza del sistema di controllo interno e di gestione dei
rischi rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto, nonché la sua efficacia;
rendicontazione annuale. Nel caso vengano evidenziate carente deve individuare cause, motivarle e
prevedere strategie per superare le carenze.
c) approva, con cadenza almeno annuale, il piano di lavoro predisposto dal responsabile della funzione di
internal audit, sentiti il collegio sindacale e l’amministratore incaricato del sistema di controllo interno
e di gestione dei rischi; definisce il piano di lavoro annuale delle funzioni di internal auditing prima di
approvare il piano dei lavori servono il parere del collegio sindacale e amministratore. Questo piano è
redatto dal management con l’incarico di internal auditor di riferimento.
d) descrive, nella relazione sul governo societario, le principali caratteristiche del sistema di controllo
interno e di gestione dei rischi e le modalità di coordinamento tra i soggetti in esso coinvolti, esprimendo
la propria valutazione sull’adeguatezza dello stesso; A fine anno, quando le società quotate sono
obbligate a presentare la relazione sul governo societario, il Cda predispone una relazione ad hoc con
riferimento alle caratteristiche del SCIGR e le modalità di coordinamento messe in atto tra i vari soggetti.
In questa relazione esprime una sua valutazione sull’adeguatezza dello stesso sistema.
e) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di
suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale. → il
revisore legale dei conti è soggetto esterno che si occupa del controllo contabile è tenuto ad esprimere
un giudizio sull’adeguatezza del sistema di controllo interno. Relativamente alle comunicazioni che il cda
ricede da società di revisione si confronta con il collegio sindacale e valuta i risultati in merito al
funzionamento del sistema di controllo interno eventualmente suggerimenti e carenze che la società di
revisione fornisce in merito e chiede un confronto con collegio sindacale e valuta la fondatezza e se
recepire o meno ed eventualmente le correzioni da mettere in atto.
Il consiglio di amministrazione, su proposta dell’amministratore incaricato del sistema di controllo interno e
di gestione dei rischi e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio
38
sindacale:
- nomina e revoca il responsabile della funzione di internal audit;
- assicura che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie responsabilità;
→ ovvero solitamente la funzione di internal audit è supportata da un minimo di staff. L’internal audit
definisce un vero e proprio dipartimento al capo del quale vi è un responsabile ma è supportato da una
serie di collaboratori. È lo stesso Cda che quando nomina il responsabile, sentite le esigenze del
responsabile, verifica le risorse umane e non che devono esser date in dote per svolgere al meglio la
funzione per espletare al meglio la sua funzione.
- ne definisce la remunerazione coerentemente con le politiche aziendali. → i manager che si occupano
di internal audit sono anche soggetti apicali che rivestono una funzione complessa per cui ci vogliono
conoscenze e preparazione tecnica quindi sono funzioni ben remunerazioni. Questa remunerazione
viene concordata e definita dallo stesso Cda che procede alla nomina.
Consiglio di Amministrazione
qui sotto vi è una sintesi delle attività operative del Cda, ovvero le più importanti/significative.
• Definisce la natura ed il livello di rischio compatibile con gli obiettivi strategici dell’impresa→ dopo
aver mappato i rischi e dopo che la società ha definito il livello di rischio accettabile, ovvero
compatibile con gli obiettivi e la struttura/dimensione dell’impresa. Ogni Cda sa perfettamente il
profilo di rischio e questo è il punto di lettura per la corretta implementazione del SCIGR.
• Valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabilecon particolare riferimento
al sistema di controllo e gestione dei rischi:
1. almeno una volta all’anno
2. rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto
3. anche valutazione di efficacia
il Cda ha un ruolo importante nel definire e implementare il SCI e il SCIGR è un sistema integrato con cui
interagiscono tutti i soggetti direttamente o indirettamente coinvolti, il Cda deve valutare attentamente
l’adeguatezza di un sistema che deve interagire con il SCIGR.
Per questo ogni anno è obbligato a valutare adeguatezza nel rispetto delle caratteristiche di impresa e
profilo di rischio assunto con attenta valutazione nella corrispondenza tra SCI e l’efficienza del sistema di
controllo interno.
39
Vediamo i ruoli e le funzioni svolte da altri due attori coinvolti nel sistema SCIGR ovvero
amministratore incaricato del sistema di controllo interno e gestione dei rischi (principio di
riferimento 7.C.4) e l’internal auditor.
7.C.4. L’amministratore incaricato del sistema di controllo interno e di gestione dei rischi:
a) cura l’identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche
delle attività svolte dall’emittente e dalle sue controllate, e li sottopone periodicamente
all’esame del consiglio di amministrazione; → il preposto al SCIGR tra le sue attività spicca
quella di focalizzarsi su mappatura, identificazione dei principali rischi aziendali. Infatti il
primo compito è identificare i principali rischi aziendali e sottoporli al Cda.
b) dà esecuzione alle linee di indirizzo definite dal consiglio di amministrazione, curando la
progettazione, realizzazione e gestione del sistema di controllo interno e di gestione dei
rischi e verificandone costantemente l’adeguatezza e l’efficacia; → questa seconda
funzione avviene dopo una stretta interazione con Cda in quanto è il Cda che ha il compito
di definire e di implementare il SCIGR. L’amministratore incaricato è colui che da
esecuzione alle linee di indirizzo e ha anche il compito di verificare costantemente
adeguatezza ed efficacia.
c) si occupa dell’adattamento di tale sistema alla dinamica delle condizioni operative e del
panorama legislativo e regolamentare; → nel momento in cui il contesto economico o
legislativo varia l’Amministratore incaricato SCIGR verifica se il SCIGR è allineato o meno
con le modifiche e si occupa di procedere alla messa a punto di idonei adattamenti.
d) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree
operative e sul rispetto delle regole e procedure interne nell’esecuzione di operazioni
aziendali, dandone contestuale comunicazione al presidente del consiglio di
amministrazione, al presidente del comitato controllo e rischi e al presidente del collegio
sindacale; → quando amministratore incaricato SCIGR (da qui in poi chiamato
amministratore)ritiene che ci siano aree critiche (circa mappatura e identificazione dei
principali rischi aziendali) può chiedere, interagendo con la funzione di internal auditing di
implementare delle specifiche verifiche finalizzate a capire le carenze, limiti etc… ovvio
sempre interagendo con il Cda, con il comitato di controllo e rischi e con il Collegio
sindacale.
e) riferisce tempestivamente al comitato controllo e rischi (o al consiglio di amministrazione)
in merito a problematiche e criticità emerse nello svolgimento della propria attività o di
cui abbia avuto comunque notizia, affinché il comitato (o il consiglio) possa prendere le
opportune iniziative per superare i limiti e criticità evidenziate. → l’amministratore per
svolgere in modo completo e adeguato le sue funzioni deve interagire con gli altri
principali attori del sistema.
Amministratore Incaricato del SCIGR

Principali responsabilità (slide di sintesi e schematizzata):
1) identificare i principali rischi aziendali
2) da esecuzione alle linee di indirizzo definite da Cda, curando la progettazione,
realizzazione e gestione del SCIGR, verificandone costantemente l’adeguatezza ed
efficacia
3) adatta il SCIGR alla dinamica delle condizioni operative e del panorama legislativo e
regolamentare
4) può chiedere all’internal audit verifiche su specifiche aree operativa
5) riferisce a CCR (o al Cda) in merito a problematiche emerse
7.C.5. Il responsabile della funzione di internal audit:
a) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli
standard internazionali, l’operatività e l’idoneità del sistema di controllo interno e di
gestione dei rischi, attraverso un piano di audit, approvato dal consiglio di
amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei
principali rischi; → vedremo il riferimento al piano di audit che è il documento più
importante di programmazione per la mappatura e gestione dei rischi che mette in atto
l’internal audit che ha il compito di definire il piano di audit e per farlo deve conoscere le
40
caratteristiche del SCIGR perché il piano deve esser allineato con le operatività, l’efficacia
e l’efficienza dello stesso sistema di controllo interno e di gestione dei rischi. Quindi deve
1) dedicarsi ad un’analisi dei principali rischi
2) deve definire il piano di audit allineato al SCIGR
b) non è responsabile di alcuna area operativa e dipende gerarchicamente dal consiglio di
amministrazione; → questa è a tutti gli effetti il suo ruolo, ovvero è una funzione di staff
in quanto non è a capo di una specifica area operativa in quanto è di supporto al Cda.
Anche da un punto di vista gerarchico dipende dal Cda.
c) ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico; → per
definire il piano di audit e che tutto sia allineato a operatività e idoneità al SCIGR deve
avere accesso a 360 gradi a tutte le informazioni per svolgere al meglio il suo incarico.
d) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività,
sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani
definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione
sull’idoneità del sistema di controllo interno e di gestione dei rischi; → durante la normale
operatività è obbligato a produrre diverse relazioni. Secondo una tempistica e una
periodicità stabilita con il Cda (bimestrale, semestrale etc.) dove rendiconta l’attività
svolta nel periodo di riferimento avendo come principale riferimento la sua attività la
gestione dei rischi e la realizzazione del piano di audit definito e approvato. In queste sue
relazioni esprime l’idoneità del SCIGR e se ritiene limiti o carenze le evidenzia nelle
relazioni periodiche per provvedere alle rettifiche riportate.
e) predispone tempestivamente relazioni su eventi di particolare rilevanza; → oltre alle
relazioni periodiche obbligatorie, in caso di eventi di straordinaria importanza per cui è
necessario un suo intervento lo fa predisponendo apposite relazioni di dettaglio.
f) trasmette le relazioni di cui ai punti d) ed e) ai presidenti del collegio sindacale, del
comitato controllo e rischi e del consiglio di amministrazione nonché all’amministratore
incaricato del sistema di controllo interno e di gestione dei rischi; → internal audit quando
definisce queste relazioni è obbligato a trasmetterne copie ai presidenti dei vari organi.
g) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi
di rilevazione contabile. → compito importante perché dopo aver definito il piano di audit
e durante la fase di realizzazione delle disposizioni contenute nel piano di audit va a
verificare se i sistemi informativi son adeguati e affidabili per realizzare il piano di audit.
Il Codice di Autodisciplina (altro principio relativo ad internal audit)

7.C.6 La funzione di internal audit, nel suo complesso o per segmenti di operatività, può essere
affidata a un soggetto esterno all’emittente, purché dotato di adeguati requisiti di
professionalità, indipendenza e organizzazione. L’adozione di tali scelte organizzative,
adeguatamente motivata, è comunicata agli azionisti e al mercato nell’ambito della relazione sul
governo societario. → questa è la possibilità decretata, da parte del codice di autodisciplina, di
assegnare la funzione di internal audit ad un soggetto esterno alla società quotata e il più delle
volte il responsabile dell’internal audit sia proprio un soggetto esterno (soprattutto nelle
quotate). Il cda deve scegliere questa persona dopo aver vagliato tante candidature perché è
importante che si tratti di una figura professionale:
• dotata di professionalità
• in grado di garantire il requisito di indipendenza
• dotata di capacità organizzative
e la società e Cda deve comuniccare agli azionisti, e motivare, la scelta di questa funzione. Sia
per il fatto di averla assegnata ad un soggetto esterno che per la scelta della persona stessa
analizzando attentamente che abbia i requisiti richiesti.
Internal Auditor (slide di sintesi in cui si riportano dal punto di vista pratico le
attività svolte)
Svolge un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al
miglioramento dell'efficacia e dell’efficienza dell'organizzazione. → quali sono gli aggettivi
importanti?
41
➢ Indipendente
➢ Obbiettiva
➢ Di assurance → di garanzia e sicurezza
➢ Attività di consulenza → soprattutto se assegnata a soggetto esterno è una vera e
propria attività di consulenza.
Assiste la Direzione nel perseguimento dei propri obiettivi tramite un approccio professionale
sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi
di controllo, di gestione dei rischi e di corporate governance. →è di supporto totale della
direzione. Contribuisce e condivide con direzione il perseguimento degli obiettivi.
un approccio professionale sistematico → deve esser dotato di un suo modus operandi (un suo
approccio organizzativo) che deve esser professionale e poi secondo dei piani sistematici precisi.
Compliance (pronuncia complaians)

Compliance → espressione che ha assunto un ruolo rilevante. Questa funzione l’abbiamo
recepita dal mondo anglosassone (da quello statunitense). Questa funzione è stata interpretata
come un’evoluzione dell’attività di internal audit. Infatti inizialmente questa attività è stata
svolta dall’internal audit che nello svolgere il suo ruolo si dedica anche a garantire quello che
sono tutti i compiti connessi alla compliance. Siccome queste funzioni sono diventate
importanti e rilevanti che in molte società quotate (soprattutto le medio-grandi) hanno
introdotto una specifica funzione di compliance creando al proprio interno la funzione di
internal audit e accanto quella di compliance. A sottolineare come inizialmente l’attività di
compliance veniva svolta dall’internal audit mentre oggi le realità italiane (sono molte, come
succede nelle public company di matrice anglosassone) troviamo due specifiche funzioni:
➢ Quella di internal audit
➢ Quella di compliance
Svolge i seguenti compiti:
1) prevenire i disallineamenti tra le procedure aziendali e l’insieme delle regole interne ed
esterne all’azienda;
2) assistere le strutture aziendali nell’applicazione delle Norme;
3) predisporre interventi formativi per adeguare le procedure interne dei dipendenti e dei
collaboratori alle Norme;
4) coordinare e garantire l’attuazione degli adempimenti richiesti dalle Norme;
5) segnalare le più recenti novità normative al fine di aggiornare periodicamente la
documentazione in essere presso l’azienda;
6) risolvere situazioni di discordanza tra le Norme in vigore e le specifiche realtà operative
dell’azienda;
7) assicurare le relazioni con le Autorità ed Organi di Controllo interni ed esterni
questa elencazione mostra che il riferimento è alle norme a sottolineare che la funzione di
compliance è una funzione (per questo spesso è attuata da dei giuristi) volta ad andare a
verificare la conformità dell’operatività della società con la normativa di riferimento. Per
questo assume un ruolo fondamentale il riferimento alle norme. Infatti in questi 7 punti il
riferimento a norme, adeguamenti e procedure, assicurazione, discordanza tra norme in vigore
e operatività è molto forte. Questo sottolinea che per una società oggi essere compliance
(compliàns) vuol dire rispettare la compliance che vuol dire conformità dell’attività alle
norme e regolamenti e agli statuti. Secondo un approccio giuridico.
Abbiamo fin qui analizzato i principi di riferimento che disciplinano gli attori del SCI. Si tratta di
principi molto precisi e dettagliati e quindi vanno studiati con specifico di riferimento con le
disposizioni stesse al codice di autodisciplina.
(documento originale stesso su pagine e-learning ma anche un documento importante scritto

in lingua inglese che è un paper di presentazione del Coso report del 2013. Ovvero quello più
importante che ha portato ai 17 principi e che è stato fonte ispiratrice dell’aggiornamento più
importante del codice di autodisciplina.
42
Riprendendo l’elenco di tutte le principali normative chedal ’98 sono state recepite
nell’ordinamento italiano e contengono disposizioni che hanno impattato sull’evoluzione del
SCI. Abbiamo già visto il TUF (legge Draghi), abbiamo visto il codice di autodisciplina. Oggi
vediamo D.lgs 231/2001 che ha arrecato degli impatti sul sistema di controllo interno
significativi. Anche questa normativa ha preso riferimento dalle principali normative
internazionali (soprattutto americane) degli anni precedenti.
L’Organismo di Vigilanza – d.lgs. 231/2001
Il D.Lgs 231/2001, ha statuito una responsabilità “quasi penale”, ovvero amministrativa, in capo
agli enti collettivi colpevoli di aver commesso un reato tra quelli esplicitamente previsti dal citato
decreto nell’interesse o vantaggio dell’ente.
Questo decreto recepisce alcune normative internazionali:

Tale provvedimento recepisce quanto previsto dalla “convenzione OCSE sulla lotta alla
corruzione di pubblici ufficiali nelle operazioni economiche internazionali”, sottoscritta da
molti paesi fra cui l’Italia nel 1977.
Questa normativa si è ispirato a sua volta al Foreign Corrupt Practices Act del 1977(USA che
abbiamo visto inizialmente)
L’Organismo di Vigilanza – d.lgs. 231/2001

articolo più importante è art. 6 – ESIMENTE ad indicare le società esenti.
Art 6 – ESIMENTE
«Se il reato è stato commesso dalle persone indicate nell’articolo 5, comma 1, lettera a), l’ente
non risponde se prova che:
a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del
fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di
quello verificatosi;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro
aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di
iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di
organizzazione e di gestione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera
b).»
Commento all’articolo 6:
a) La società deve dimostrare di esser in possesso di un modello di organizzazione idoneo
a prevenire i reati. Che vedremo poi esser un buon SCIGR.
b) Con questa disposizione il decreto introduce l’esigenza di costruire un oganismo con
autonomi potere di controllo e iniziativa che ha il compito di osservare e vigilare del
corretto funzionamento del modello organizzazione del comma precedente e di cui la
società deve dotarsi
c) La società sarà esentata solo se in grado di dimostrare che le persone che hanno
commesso il reato lo hanno fatto eludendo, anche in modo fraudolento, il modello di
organizzazione e gestione che la società ha implementato.
d) Questo nuovo organo di controllo deve esser anche di dimostrare che ha vigilato in
modo adeguato.
L’esimente prevede uno sgravio di responsabilità per l’ente che, commesso il fatto, dimostra di
aver adottato ed attuato un modello organizzativo idoneo a prevenire la commissione dei reati
espressamente previsti dallo stesso decreto.
Se la società è in grado di dimostrare di aver rispettato tutte queste fattispecie allora non sarà
condannata, viceversa sarà sottoposta alle condanne e sanzioni previste dal decreto stesso.
Infatti il decreto 231/2001 prevede delle sanzioni.
Le tipologie di sanzioni sono 4 ovvero:
SANZIONI
❑ Sanzioni Pecuniarie: calcolate in base ad un sistema a quote. Ovvero, viene determinato,
sulla base della gravità del fatto commesso, dei criteri soggettivi del colpevole, ecc… il
numero di quote e il valore unitario che moltiplicati determinano la sanzione pecuniaria
applicata. → bisogna determinare la gravità del fatto commesso, i criteri soggetivi del
colpevole, determinando il valore delle quote si fa una moltiplicazione e poi la sanzione
pecuniaria viene calcolata.
43
❑ Sanzioni Interdittive: vanno dalla sospensione/revoca di autorizzazioni o licenze, divieto di
contrattare con la PA, esclusione di agevolazioni, finanziamenti, contributi o sussidi, divieto
di pubblicizzazione di beni e servizi, fino all’interdizione perpetua dall’attività svolta
dall’ente. → L’elencazione delle sanzioni interdittive sono molte e di varia entità in base
alla gravità del reato.
❑
❑ Confisca: del prezzo o profitto del reato commesso.
❑ Pubblicazione della sentenza di condanna: che genera un danno d’immagine all’ente. →

rendere noto che la soceità è stata condannata per quei reati del D.lgs 231/2001 crea un
danno di immagine con ripercussioni non indifferenti.
ELENCO REATI
L’elenco dei reati, dal 2001 ad oggi, è evoluto ed è modificato più volte perché a determinate
scadenze il nostro ordinamento ritiene opportuno intervenire aggiornando reati e
aggiungendone degli altri. La situazione dei reati aggiornata a novembre 2019 (ultimo
aggiornamento) prevede 23 reati che sono variegati e vanno da un’indebita percezione fino a
delitti informatici etc..
1. Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per
il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un
ente;
2. Delitti informatici e trattamento illecito di dati;
3. Delitti di criminalità organizzata;
4. Concussione, induzione indebita a dare o promettere altra utilità e corruzione;
5. Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di
riconoscimento;
6. Delitti contro l’industria e il commercio;
7. Reati societari;
8. Reati con finalità di terrorismo o di eversione dell’ordine democratico previsti dal Codice
penale e dalle leggi speciali;
9. Pratiche di mutilazione degli organi genitali femminili;
10. Delitti contro la personalità individuale;
11. Reati di abuso di mercato;
12. Altre fattispecie in materia di abusi di mercato;
13. Reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione
delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro;
14. Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita,
nonché autoriciclaggio;
15. Delitti in materia di violazione del diritto d’autore;
16. Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità
giudiziaria;
17. Reati ambientali; → è verso la fine proprio perché rispecchiano la recente attenzione
agli aspetti ambientali.
18. Impiego di cittadini di paesi terzi il cui soggiorno è irregolare;
19. Razzismo e xenofobia;
20. Frode in competizioni sportive, esercizio abusivo di gioco o di scommessa e giochi
d'azzardo esercitati a mezzo di apparecchi vietati;
21. Reati Tributari;
22. Responsabilità degli enti per gli illeciti amministrativi dipendenti da reato;
23. Reati transnazionali.
Questo è un elenco aggiornato, chiaro ed esplicito. Se la società non dimostra di aver posto in
esser gli strumenti per fronteggiare questi reati viene condannata secondo le sanzioni viste.
Dotarsi di un modello di organizzazione gestione e controllo idoneo a prevenire reati

Ai fini dell’evoluzione dei sistemi di controllo, è significativa la previsione contenuta nell’art. 6
del Decreto secondo cui la responsabilità non è attribuibile all’azienda nel caso in cui questa sia
dotata (già prima del verificarsi del reato) di un “modello di organizzazione, gestione e
controllo idoneo a prevenire reati della specie di quello verificatosi e l’abbia concretamente
realizzato”.
44
Inoltre, è richiesta l’introduzione di un organo interno dell’azienda, che si occupi di vigilare
sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento, avendo
autonomi poteri di iniziativa e di controllo: questo è l’Organismo di Vigilanza (OdV) → ha la
funzione di vigilare su funzionamento e osservanza del modello da parte della società.
Dall’analisi delle disposizioni contenute nel Decreto si evince chiaramente che l’OdV non può
essere identificato con un organo sociale già previsto, quale per esempio il Collegio Sindacale o
il Comitato di un Audit, in quanto il legislatore utilizza l’espressione “organismo dell’ente” a
sottolineare un’entità distinta e separata» Infatti se il legislatore non avesse ritenuto
importante attribuire questa specifica funzione di vigilanza ad un nuovo organismo ad hoc
preposto poteva affidare questa funzione ad uno dei tanti organi di controllo presenti nella
società stessa quali il collegio sindacale o comitato per il controllo interno. Ma proprio per
sottolineare che deve essere una attività di vigilanza svolta da un nuovo ente autonomo e la sua
attività di monitoraggio deve esser totalmente distinta e separata che il decreto ha ritenuto
introdurre e costituire un nuovo organo di controllo.
Questa decisione non è piaciuta alle società che, l’introduzione di un nuovo organo, devono
sostenere ulteriori costi. Soprattutto per le società di piccole dimensioni, infatti il decreto
sottolinea che questo decreto deve esser recepito da parte di tutte le società e non solo le medio
grandi. Soprattutto infatti da parte delle piccole ed è sempre stata sottolineata l’importanza di
rispetto di tale decreto per le società di piccole dimensioni.
Negli anni, siccome l’attività di controllo, è diventata più elevata si sono fatte strada più ipotesi
da parte degli imprenditori per cercare di contenere i costi e per applicare delle forme di
semplificazione. Così sono state avanzate tante richieste per richiedere di attribuire le specifiche
funzioni svolte dall’organismo di vigilanza ad uno degli organi già in essere (es collegio sindacale
o comitato controllo interno). Al momento se ne discute ancora ma l’organismo di vigilanza
continua ad esistere.
Per quanto riguarda le attività che competono all’organismo (attività specifiche dell’OdV),
esse sono molte fra cui le principali:
1) il controllo e la verifica dell’effettività del modello di vigilanza adottato e della sua
osservanza;
2) il controllo e la verifica dell’idoneità del modello adottato a prevenire il verificarsi dei
reati- presupposto;
3) predisporre le proposte di intervento sul modello adottato al fine di aggiornare lostesso;
4) l’adozione di iniziative finalizzate a diffondere, in ambito societario, la conoscenza del
modello e la formazione del personale; → importante soprattutto nel 2001 e a seguire
soprattutto nei primi anni di costituzione perché una volta costituiti i primi organismi di
vigilanza tra le varie funzioni c’è stato quello di divulgare la novità normativa tra il
personale: la conoscenza del modello organizzativo e l’osservanza del modello stesso. A
tal fine è stata molto importante il supporto e attività svolta da membri organismi
vigilanza per formare personale in merito.
5) l’accertamento delle segnalazioni relative alla violazione del modello e l’eventuale
segnalazione dell’organo dirigente; → OdV è obbligato a recepire, da parte di tutte le
risorse della società, eventuali segnalazioni ad attestare che il modello non viene
rispettato o non funziona correttamente.
6) la predisposizione di relazioni informative tanto di quelle programmate quanto di quelle
che si dovessero rendere necessarie nello svolgimento dell’incarico. → anche l’OdV è
obbligato a predisporre relazioni informativi in relazione alla loro attività ma soprattutto
con riferimento alle considerazioni che l’organo fa e recepisce della bontà o meno
dell’organismo adottato dalla società questo anche per eventualmente condividere
aggiornamenti e modifiche che si rendono necessarie.
Per l’elaborazione di tale modello è necessario seguire quanto stabilito dal Decreto, ovvero
(art.6):
a) analisi delle attività in cui possono essere commessi reati (mappatura dei rischi);
b) stabilire precisi protocolli con lo scopo di pianificare le modalità con cui vengono
prese e attuate le decisioni dell’ente in relazione ai reati da prevenire.
Queste sono le due linee guida dell’art 6 per definire al meglio il modello di
organizzazione e gestione finalizzato alla gestione dei rischi.
45
Nelle varie normative consideriamo solo gli aspetti riguardanti gli impatti nel SCI
Riforma del diritto societario 2003
Nel percorso evolutivo della normativa italiana dei controlli societari, un ruolo importante è stato
ricoperto anche dalla riforma del diritto societario, di cui al D.lgs. 17 gennaio 2003 in vigore dal
1° gennaio 2004. Detta riforma rappresenta un importante momento evolutivo della disciplina
dei sistemi di controllo.
Fino al 2003, infatti, l’unico riferimento testuale all’attività di controllo era contenuto nell’art.
2403 cod. civ. ove si disponeva che il Collegio Sindacale doveva controllare l’amministrazione
della società
1. Questa riforma si verifica subito dopo quel periodo di gravi crisi finanziari causate da
frodi e mal gestione o mal governo. Ad esempio il caso Parmalat quindi anche il nostro
legislatore ha pensato di provvedere a redigere delle regole di governance per prevedere
e sottolineare l’importanza delle responsabilità e i ruoli di ciascun organo nei sistemi di
corporate governance.
2. Un altro aspetto importante è il dover allineare il diritto societario alle normative degli
altri paesi. Infatti una novità è il fatto di aver previsto, in aggiunta al modello di
governance italiano, nel nostro ordinamento altri due modelli di corporate governance:
a. Monistico
b. Dualistico
Dando la facoltà alle società di scegliere il modello di governance opportuno.
Sotto vi sono le altre novità
NOVITA’
1) un’estensione anche alle società non quotate dei “problemi di definizione ed
implementazione del Sistema di Controllo Interno;
2) la riforma ha assegnato al “Consiglio di Amministrazione di tutte le imprese azionarie, ivi
incluse quelle quotate, un ruolo di monitoring sull’attività gestoria curata dagli
amministratori esecutivi”, aumentando in tal modo il numero dei membri dell’organizzazione
che possono essere considerati parte del Sistema di Controllo Interno;
3) il processo di riforma e armonizzazione del diritto societario sia stato avviato nel momento
in cui le notizie degli scandali societari americani si diffondevano nel vecchio continente e
per superare nuove crisi finanziarie (in Italia, caso Parmalat, Vivendi, Adecco, Cirio)
Ma non è stata prevista nessuna chiara definizione né obblighi per le società non quotate.
Come a sottolineare che, ancora nel 2003, la definizione di sistema di controllo interno fosse
una faccenda riguardante le società medio-grandi e quotate.
La riforma si è anche caratterizzata per l’introduzione di una maggior flessibilità

per la scelta del modello di governo societario;
I controlli sono svolti da organi diversi a seconda del modello che la società decide di
implementare.
1) MODELLO TRADIZIONALE (ITALIANO)
2) MODELLO DUALISTICO
3) MODELLO MONISTICO
46
Modello Tradizionale (o modello italiano)
Il modello tradizionale si caratterizza per la presenza di tre organi:

➢ Assemblea dei soci che nomina il CdA
➢ Organo di controllo che è collegio sindacale
Si chiama sistema italiano perché il collegio sindacale come organo si trova solo in Italia e non
trova confronti simili in nessuna parte del mondo, ed è un organo importante, per molti è
considerato un sistema di controllo interno importante.
Nel modello tradizionale, l’art. 2403 affida il compito di “vigilare sull’osservanza della legge e
dello statuto, sul rispetto dei principi di corretta amministrazione ed in particolare
sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società
sul suo concreto funzionamento».
Si denota che il Collegio Sindacale nasce come controllo in ogni ambito e totalitario. La riforma
del diritto societario chiarisce e dettaglia le due tipologie di controllo che esistono:
1) Il controllo contabile (controllo sui documenti contabili), che viene attribuito ad un revisore
contabile o ad una società di revisione iscritta nell’apposito registro ai sensi art. 2409-bis,
tranne nel caso in cui la società non faccia ricorso al mercato dei capitali di rischio e non
debba predisporre il bilancio consolidato, per cui lo statuto può affidare tale controllo al
Collegio Sindacale
Quindi, ai sensi della riforma societaria del 2003, nelle imprese minori il collegio sindacale
svolge due tipi di controllo: contabile e di legalità.
2) Il controllo di legalità, che compete al Collegio Sindacale che deve essere svolto secondo le
disposizioni dell’art. 2403 c.c., nonché in particolare per le società quotate ai sensi dell’art.
149 del TUF. Questo articolo afferma che: “Il Collegio Sindacale dovrà anche nell’ambito
dell’attività di controllo procedere alla verifica della corrispondenza tra il bilancio di esercizio
(o consolidato) e le risultanze delle scritture contabili, degli accertamenti eseguiti e della
conformità alle norme che lo disciplinano. Dovrà inoltre esprimere, con apposita relazione, un
giudizio sul bilancio di esercizio e sul bilancio consolidato.”
Questo sottolinea che appartiene alla funzione del controllo di legalità svolto dal collegio
sindacale anche quelle attività di controllo di tipo contabile. Anche se non entra nel merito
della revisione legale dei conti. Il controllo contabile consiste nel fare un controllo se i dati di
bilancio sono allineati con i dati risultanti dalle scritture contabili e se il bilancio è fatto con le
corrette norme. A tal fine deve esser redatta dal collegio sindacale una relazione che rientra
nei documenti del bilancio.
Modello Monistico
47
L’organo più importante di questo modello è il Cda. Infatti noi abbiamo assemblea di azionisti
che nomina Cda che al suo interno costituisce un comitato per il controllo sulla gestione.
Questo modello viene criticato perché il Comitato per il controllo sulla gestione, che svolge un
controllo interno sulla gestione, non è in grado di dimostrare l’indipendenza. Cioè i membri del
comitato sono membri designati dal Cda e presi dal suo interno. Quindi l’organo di controllo
interno è costituito e formato dagli stessi amministratori che definiscono le politiche gestorie
ed è come se si autocontrollassero.
Nel modello monistico, di origine statunitense, l’assemblea degli azionisti nomina il Consiglio di
Amministrazione a cui compete l’attività gestoria.
Il Consiglio di Amministrazione a sua volta costituisce al suo interno un Comitato per il

Controllo sulla Gestione a cui competono le attività di controllo sui principi di corretta
amministrazione, similmente ai doveri che competono al Collegio Sindacale
Modello Dualistico
si caratterizza per la presenza di due organi. Ha avuto origine in Germania e Giappone.
La particolarità è che noi abbiamo assemblea dei soci che nomina il consiglio di sorveglianza
che è un organo di controllo e l’assemblea dei soci nomina l’organo di controllo. A sua volta il
consiglio di sorveglianza nomina il comitato di gestione che è l’organo gestorio. Quindi
paradossalmente questo modello si caratterizza per questa stranezza. L’assemblea nomina
prima l’organo di controllo e poi quello di gestione. Anche in questo modello il controllo
contabile è affidato ad un soggetto esterno solitamente la società di revisione.
Il modello dualistico, di derivazione tedesca e diffuso a livello europeo, si caratterizza per la

presenza di un doppio consiglio: il Consiglio di Gestione ed il Consiglio di Sorveglianza.
L’assemblea degli azionisti provvede alla nomina del Consiglio di Sorveglianza che svolge
funzioni simili a quelle svolte dal Collegio Sindacale.
Al Consiglio di Sorveglianza spetta la nomina di un Consiglio di Gestione deputato
all’amministrazione societaria, che svolge funzioni simili al Consiglio diAmministrazione.
In pratica il consiglio di sorveglianza nel modello dualistico svolge le stesse funzioni che svolge
48
(in modello tradizionale) il collegio sindacale. Viceversa il consiglio di sorveglianza nomina il
comitato di gestione (organo gestorio in quanto ha le funzioni di amministrazioni della società).
Quest’ultimo è paragonabile al consiglio di amministrazione.
Quando nel 2003 questi modelli alternativi sono stati introdotti sin da subito le società
quotate, seppur potessero scegliere, quasi tutte ha riconfermato il modello tradizionale
italiano perché quello monistico e quello dualistico erano lontane dalla cultura e dalla
impostazione di una regolamentazione italiana. Ma ci sono state alcune eccezioni, alcune
banche hanno optato per il modello dualistico, ma poi si son riconvertite al modello
tradizionale. Anche al momento la quasi totalità delle società italiane ha implementato un
modello organizzativo basato sul modello tradizionale italiano.
Considerazioni Conclusive
Questa riforma ha detto poco, non ha definito o istituzionalizzato uno specifico organo
denominato di sistema di controllo interno. Da questo punto di vista riconosciamo che
sicuramente nel 1998 il TUF ha dato maggior contributo nel nostro ordinamento relativamente
al sistema di controllo interno in quanto ha istituzionalizzato il SCI pur riservando tutto ciò per
le società quotate in quanto il TUF si rivolge alle quotate.
1) Il D.lgs. 58/1998 ha istituzionalizzato, soprattutto nelle strutture societarie di grandi
dimensioni, la funzione dell’Internal Audit.
2) Ciò ha comportato la diffusione a livello societario della costituzione di un organo diretto a
sovraintendere il Sistema di Controllo Interno: il Comitato per il Controllo Interno. Trattasi
di un’articolazione organizzata del Consiglio di Amministrazione, nominato dal Consiglio
stesso e composto da un certo numero di amministratori non esecutivi che non rivestano
funzioni direttive. È regolato dal Codice di Autodisciplina di Borsa Italiana spa. → definendo
che il Comitato per il controllo interno è un’articolazione del CdA ha introdotto una vera e
propria novità. Ed è una delle poche grandi novità introdotte da questa riforma del diritto
societario. Il fatto che il Comitato è regolato dal codice di autodisciplina sottolinea come il
legislatore con riforma del 2003 nulla ha disciplinato in merito. Si è limitato a dire che si
tratta di un organo designato dal Cda ma nulla di specifico a tale comitato.
L’unico riferimento al Comitato per il controllo interno è quello del 2409 octiesdecies:
3) La riforma del diritto societario nulla ha disposto riguardo alla istituzione e
regolamentazione del comitato per il controllo interno, lasciata di fatto alla discrezionalità
della società. L’unico riferimento al comitato per il controllo interno previsto dalla riforma
è contenuto nell’art. 2409 octiesdecies, c. 5, c.c. che recita: “tra le competenze del
comitato del controllo per la gestione è inclusa la vigilanza sull’adeguatezza di tale
sistema”. → tra le competenze che la riforma del diritto societario attribuisce al comitato
per il controllo della gestione vi è anche quello di vigilare sull’adeguatezza del sistema di
controllo interno. Paradossalmente sembra che il nostro legislatore ha meglio disciplinato
il sistema di controllo interno dando maggior enfasi nel modello monistico.
4) Secondo la normativa, il Sistema di Controllo Interno assume rilievo esclusivamente nel
modello monistico. → perché il comitato interno è designato all’interno del Cda e se
leggiamo articoli del codice che chiariscono le funzioni del comitato per il controllo interno
nel sistema monistico ci sono chiari riferimenti al sistema di controllo interno.
In conclusione possiamo dire : è importante la riforma del diritto societario e significativa in un

contesto di armonizzazione internazionale per recepimento di altri modello di governance. Ma i
contributi che ha portato al SCI non sono stati un granché infatti la maggior parte degli addetti
ai lavori ha considerato carente la riforma del diritto societario per quanto riguarda definizione
e istituzionalizzazione del SCI.
49
Completiamo analisi delle normative che hanno contribuito all’evoluzione del SCI. Restano da
vedere:
➢ Legge 262/2005
➢ D.lgs 39/2010
➢ D.lgs 14/2019 CCI che ha introdotto il codice della crisi e dell’insolvenza.
Legge 262/2005-Legge sul Risparmio

La Legge 28 dicembre 2005, n. 262, Disposizioni per la tutela del risparmio e la disciplina dei
mercati finanziari, (c.d. Legge sul risparmio) ha introdotto diverse novità a livello di corporate
governance e di sistema di controllo interno. [nota come SOX italiana perché prende spunto
dalla SOX].
La nuova normativa è stata interpretata come «la risposta italiana al Sarbanes Oxley Act» sia
per le ragioni che hanno portato alla sua promulgazione sia per i suoi contenuti.
Sia per le motivazioni che per i contenuti possiamo affermare che sono gli stessi della SOX:
1) Motivazioni: La legge 262/05 finalizzata al «rafforzamento dell’attendibilità
dell’informazione al pubblico di natura finanziaria»; i risparmiatori, investitori istituzionali,
erano infatti sfiduciati dopo i numerosi crolli finanziari (tra gli altri, Parmalat e Cirio) e che
avevano messo in evidenza le carenze dei sistemi di controllo interno delle emittenti; → In
Italia nel 2005 siamo in quel periodo di nuova ondata di scandali finanziari (Parmalat e Cirio)
quindi i risparmiatori erano sfiduciati quindi il nostro ordinamento decide di produrre una
nuova normativa per riacquistare la fiducia di risparmiatori e investitori.
2) Contenuti: il riferimento è alle disposizioni contenute nella section 302 della SoX dedicata
alla “Corporate responsibility for financial reports”, che aveva introdotto obblighi ben definiti
a carico del Chief Executive Officer (CEO) e del Chief Financial Officer (CFO) riguardo
l’attestazione della veridicità dei dati contenuti nei bilanci e nelle relazioni finanziarie
Introduzione di una nuova figura all’interno delle società quotate responsabile personalmente
dell’autenticità della documentazione contabile e dei dati.
DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI

Solitamente denominato anche dirigente contabile, coincide nella realtà operativa con la figura
del direttore amministrativo o finanziario della società oppure con il CFO (che è una figura
superiori al direttore amministrativo o finanziario) nelle aziende di maggiori dimensioni
L’art. 14 della Legge sul risparmio ha infatti determinato l’introduzione nel TUF di una nuova
sezione dedicata alla redazione dell’informativa societaria, comprendente un articolo, il 154-
bis, intitolato al “Dirigente preposto alla redazione dei documenti contabili societari”» tutto
l’articolo disciplina funzioni, responsabilità e ruoli.
La nuova normativa è stata certamente prevista con il fine di allinearsi sempre più agli
orientamenti internazionali- anglosassoni
Il Dirigente Preposto alla Redazione dei Documenti Contabili o CFO

art. 154 TUF
1. Lo statuto degli emittenti quotati aventi l'Italia come Stato membro d'origine prevede i
requisiti di professionalità e le modalità di nomina di un dirigente preposto alla
redazione dei documenti contabili societari, previo parere obbligatorio dell'organo di
controllo.
2. Gli atti e le comunicazioni della società diffusi al mercato, e relativi all’informativa contabile
anche infrannuale della stessa società, sono accompagnati da una dichiarazione scritta del
dirigente preposto alla redazione dei documenti contabili societari, che ne attestano la
corrispondenza alle risultanze documentali, ai libri e alle scritture contabili.
3. Il dirigente preposto alla redazione dei documenti contabili societari predispone adeguate
procedure amministrative e contabili per la formazione del bilancio di esercizio e, ove
previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere
50
finanziario.
4. Il consiglio di amministrazione vigila affinché il dirigente preposto alla redazione dei
documenti contabili societari disponga di adeguati poteri e mezzi per l'esercizio dei compiti
a lui attribuiti ai sensi del presente articolo, nonché sul rispetto effettivo delle procedure
amministrative e contabili.
5. Gli organi amministrativi delegati e il dirigente preposto alla redazione dei documenti
contabili societari attestano con apposita relazione sul bilancio di esercizio, sul
bilancio semestrale abbreviato e, ove redatto, sul bilancio consolidato:
a) l'adeguatezza e l'effettiva applicazione delle procedure di cui al comma 3 nel corso del
periodo cui si riferiscono i documenti;
b) che i documenti sono redatti in conformità ai principi contabili internazionali
applicabili riconosciuti nella Comunità europea ai sensi del regolamento (CE) n.
1606/2002 del Parlamento europeo e del Consiglio, del 19 luglio 2002;
c) la corrispondenza dei documenti alle risultanze dei libri e delle scritture contabili;
d) l'idoneità dei documenti a fornire una rappresentazione veritiera e corretta della
situazione patrimoniale, economica e finanziaria dell'emittente e dell'insieme delle
imprese incluse nel consolidamento;
e) per il bilancio d'esercizio e per quello consolidato, che la relazione sulla gestione
comprende un'analisi attendibile dell'andamento e del risultato della gestione, nonché
della situazione dell'emittente e dell'insieme delle imprese incluse nel consolidamento,
unitamente alla descrizione dei principali rischi e incertezze cui sono esposti;
f) per il bilancio semestrale abbreviato, che la relazione intermedia sulla gestione
contiene un'analisi attendibile delle informazioni di cui al comma 4 dell'articolo 154-ter.
5-bis. L'attestazione di cui al comma 5 è resa secondo il modello stabilito con
regolamento dalla Consob.
6. Le disposizioni che regolano la responsabilità degli amministratori si applicano
anche ai dirigenti preposti alla redazione dei documenti contabili societari, in
relazione ai compiti loro spettanti, salve le azioni esercitabili in base al rapporto di
lavoro con la società.
Questo articolo disciplina funzioni, ruoli e responsabilità-
Il Dirigente Preposto alla Redazione dei Documenti Contabili o CFO (parte importante
dell’art. 154-bis)
Al dirigente preposto sono attribuite numerose responsabilità, tra cui quella di certificare,
mediante una dichiarazione scritta, la corrispondenza dei dati indicati nei documenti e nelle
relazioni societarie rivolte al mercato con le risultanze documentali, i libri e le scritture contabili
nonché di predisporre adeguate procedure amministrative e contabili per la predisposizione del
bilancio d’esercizio ed eventualmente di quello consolidato (art. 154-bis, co. 2-3, TUF). → oltre
a certificare deve definire le procedure amministrative e contabili che la società deve seguire
per predisporre il bilancio e il consolidato. Molte di queste funzioni le svolge non da solo ma con
il consiglio di amministrazione.
Unitamente al consiglio di amministrazione, si occupa di stilare una relazione in cui attesti:
1) l'adeguatezza e l'effettiva applicazione delle procedure implementate;
2) la conformità dei documenti ai principi contabili internazionali;
3) la corrispondenza dei documenti alle risultanze dei libri e delle scritture contabili;
4) l'idoneità dei documenti a fornire una rappresentazione veritiera e corretta della
situazione patrimoniale, economica e finanziaria della società e delle imprese incluse
nell’area di consolidamento;
5) la presenza, nell’ambito della relazione sulla gestione, di un'analisi attendibile
dell'andamento e del risultato della gestione, nonché della situazione dell'emittente e
dell'insieme delle imprese incluse nel consolidamento, unitamente alla descrizione dei
principali rischi e incertezze cui sono esposti;
tante attività e la particolarità è che sono tutte in capo ad una persona fisica perché il dirigente
51
preposto è un attore del sistema di controllo delle società italiane ma tutto in capo ad una
persona fisica perché non è un organo collegiale. Tutto ciò è stato recepito in completo ossequio
delle disposizioni della SOX tale che gli addetti ai lavoro la definiscono SOX italiana.
La novità più rilevante è stata l’introduzione del dirigente preposto ma ha fornito anche altre
novità che impattano su organi di amministrazione e controllo. Quindi quella del dirigente è la
novità fondamentale ma anche queste novità hanno impattato:
La nuova normativa è intervenuta anche prevedendo altre novità che impattano sugli organi di
amministrazione e controllo.
1) Lo Statuto delle società può autonomamente stabilire le caratteristiche che devono
possedere i soggetti dedicati alla gestione e al controllo per garantire i requisiti di onorabilità
e indipendenza. → le caratteristiche fanno riferimento ai requisiti di onorabilità e
indipendenza. In tutto questo le società lo possono fare se lo Statuto lo recepisce però lo han
previsto tutti che ogni società detti delle regole proprie per scegliere amministratori e
controllori.
2) Per i soggetti adibiti al controllo sono previsti nuovi compiti fra cui il dovere di cooperare con
gli altri organi sociali ed effettuare specifici controlli al fine di verificare la concreta adozione
all’interno della società dei Codici di comportamento. → quindi la legge sul risparmio va a
sottolineare un aspetto importante. Visto che l’introduzione di un nuovo soggetto nelle
società italiane gli organi di controllo son numerosi. Quindi per evitare sovrapposizioni e
duplicazioni di ruoli di responsabilità diventa importante una certa cooperazione tra tutti i
soggetti. Il fatto che siano aumentati non significa che deve esserci duplicazione ma che
ognuno deve svolgere al meglio le proprie funzioni con un ottica di cooperazione.
Vi è un’altra novità importante: la legge sul risparmio ha valorizzato la figura di controllo per
eccellenza di corporate governance ovvero il collegio sindacale:
Con riguardo al collegio sindacale, la legge sul risparmio conferma il suo ruolo di «organo di alta
vigilanza sull’adeguatezza dell’organizzazione imprenditoriale della società nel suo
complesso» anche introducendo la previsione di un nuovo dovere a carico dei sindaci. Essi sono
tenuti a vigilare sulla concreta applicazione delle regole di governance raccomandate nei
codici di comportamento adottati dalle emittenti (art. 149, co. 1, lett. c-bis, TUF), per cui «il
rispetto del codice di autodisciplina diviene a pieno titolo oggetto della vigilanza del collegio
sindacale».
{“di alta vigilanza” → a sottolineare il ruolo apicale che svolge il collegio sindacale tra gli organi
di controllo. Lo ha fatto introducendo un nuovo dovere. }
Altra normativa che impatta sul sistema di controllo interno:

Il D.lgs 27 gennaio 2010, n. 39, Testo Unico della Revisione
(già visto nel corso di revisione legale dei conti perché ha riformato la revisione legale dei conti)
Il Decreto Legislativo 27 gennaio 2010, n. 39, (anche conosciuto come Testo Unico della
Revisione) recepisce nel nostro ordinamento la Direttiva 2006/43/CE (VIII Direttiva), in materia
di revisione legale dei conti annuali e consolidati. Lo stesso, al fine di recepire il Regolamento
(UE) n. 537/2014 e le disposizioni contenute nella Direttiva 2014/56/UE è stato aggiornato per il
tramite del D. Lgs. 17 luglio 2016, n. 135.
NOVITA’ PER I CONTROLLI

1. Viene stabilita una distinzione tra revisione legale dei conti negli enti di interesse
pubblico (EIP) e negli enti a regime intermedio (ERI) da quella svolta nelle altre società di
capitali.
A fronte di questa demarcazione, le società quotate, così come gli EIP e gli ERI, sono
vincolati ad assegnare ad un revisore esterno l’incarico di svolgere la revisione legale,
mentre le restanti società per azioni, allorché non siano tenute alla redazione del bilancio
consolidato, possono affidare tale funzione al collegio sindacale, come disposto dall’art.
2409-bis c.c.
52
Riconferma di una statuizione del diritto societario del 2003 che per le società quotate la
revisione legale dei conti deve esser esterna.
2. Le disposizioni previste dall’art. 19 che, in linea con le Disposizioni della Banca d’Italia sulla
governance delle società bancarie emanate nel 2008, assegnano al collegio sindacale (e ai
corrispondenti organi di controllo nei sistemi alternativi) il compito di occuparsi, in qualità
di “comitato per il controllo interno e la revisione contabile” (CCIRC), di alcune questioni
fondamentali della governance degli enti di interesse pubblico consolidato.
Possono affidare tale funzione al collegio sindacale, come disposto dall’art. 2409-bis c.c.
Questo secondo punto è un ulteriore conferma dell’importanza che il collegio sindacale riveste
nell’ordinamento italiano. Perché voler attribuire al CS anche questo ruolo che potrebbe esser
svolto da un apposito comitato, significa rafforzare il ruolo del CS. Infatti nel testo unico della
revisione il CS è un supervisore e coordinatore:
Tali modifiche sono state dettate dall’intento sia di rafforzare il ruolo del collegio, quale
«supervisore e coordinatore del complessivo e “policentrico” sistema dei controlli societari»
sia per assicurare una maggiore razionalizzazione dei controllori della società, assegnando ad
un organo già presente all’interno della società delle funzioni che altrimenti dovrebbero essere
affidate ad un nuovo attore.
Questo perché siamo nel 2010 e sono tanti gli organi che si occupano di controllo ma ciò non
toglie che ci vuole un po’ di coordinamento e razionalizzazione tra questi organi. E questo ruolo
e compito spetta al CS. → rafforza il ruolo del CS.
Codice della crisi e dell’insolvenza (D.lgs 14/2019)

Il decreto legislativo 12 gennaio 2019, n.14 – Codice della crisi d’impresa e dell’insolvenza,
emanato in esercizio della delega prevista dalla legge 19 ottobre 2017, n. 155 e pubblicato sulla
Gazzetta Ufficiale n. 38 del 14.02.2019 – Supp. Ordinario n. 6, contiene numerose disposizioni
che immetteranno in maniera significativa sulla governance delle imprese.
È famoso perché dopo molti anni in Italia viene riformato il diritto fallimentare. Non si parla più
di diritto fallimentare ma si parla oggigiorno (come si parla nel resto del mondo) di crisi di
impresa e di insolvenza e non più di diritto fallimentare.
NOVITA’ PER I CONTROLLI
(i cambiamenti sono molti ma quelli che a noi importano sono questi):
1. ADEGUATI ASSETTI ORGANIZZATIVI
Per quanto concerne gli assetti organizzativi con il Codice il Legislatore introduce una
serie di obblighi diretti a impattare e modificare la governance delle imprese, al fine di
allineare la gestione e gli assetti organizzativi alle indicazioni consolidate della dottrina
economica aziendale, i principali dei quali sono riassumibili in determinati obblighi
organizzativi e alcuni strumenti di allerta e in altre misure premiali dirette a
incoraggiare comportamenti virtuosi dell’imprenditore. → vuol dire che gli assetti
organizzativi siano tali per cui vi siano degli strumenti in grado di monitorare i rischi e
gli eventuali stati di crisi perché solo quelle soceità che si dotano di questi adeguati
assetti organizzativi sono capaci di cogliere per tempo quegli elementi di rischi che
possono impattare e portarla al default. Ma se sono capaci di mappare e prevenire
possono evitare di arrivare al default. È chiaro che per le società dotarsi di adeguati
assetti organizzativi vuol dire definire strumenti volti a captare per tempo eventuali
sintomi di rischio e una parte importante di questo ruolo deve esser svolta dal SCI.
Infatti per il codice di crisi e insolvenza l’implementazione del SCI è conditio sine qua
non per fare questo monitoraggio preliminare dello stato di eventuali segnali di crisi.
Questo compete non solo alle imprese quotate ma anche per le società piccole
2. AMPLIAMENTO ORGANI DI CONTROLLO
Relativamente all’ampliamento degli organi di controllo il riferimento è al novellato art.
2477 del c.c. che viene integrato e riscritto dall’art. 379 del Codice allo scopo di ampliare
53
notevolmente la platea delle S.r.l. che saranno obbligate a dotarsi di un organo di
controllo o del revisore. Ai sensi del nuovo 2477 del c.c. i parametri per la costituzione
dell’organo di controllo risultano così modificati:
«La nomina dell'organo di controllo o del revisore è obbligatoria se la società:

a) è tenuta alla redazione del bilancio consolidato;
b) controlla una società obbligata alla revisione legale dei conti;
c) ha superato per due esercizi consecutivi almeno uno dei seguenti limiti:
1) totale dell'attivo dello stato patrimoniale: 4 milioni €;
2) ricavi delle vendite e delle prestazioni: 4 milioni €;
3) dipendenti occupati in media durante l'esercizio: 20 unità.»
Quindi viene sottolineato come anche per le piccole società diventa importante dotarsi di
organi di controllo perché il codice di crisi insolvenza all’art. 13 è intervenuto a modificare
dell’art. 2477 c.c. (art. che definisce i parametri a decorrere dal quale scatta l’organo di
costituire organo di controllo). Questi parametri sono stati abbassati quindi andando ad a
abbassare i parametri aumenta il numero di piccole società che devono costituire l’organo di
controllo → ci si riferisce principalmente alle srl.
In realtà i punti a e b non sono cambiati ma sono cambiati i parametri del c. Sottolineiamo che
si parla di aver superato almeno uno dei limiti. Quindi c’è stata una restrizione. Se una società
supera, per due esercizi consecutivi, supera anche solo uno di questi parametri ed è obbligata
ad istituire l’organo di controllo. Quindi questo sottolinea l’importanza degli organi di controllo
al punto che ne viene ampliato il numero di società che sono obbligati a costituirli.
Con questo abbiamo concluso l’analisi le principali normative introdotte nel nostro
ordinamento negli ultimi 20 anni. Ora ci occuperemo delle regole di funzionamento il collegio
sindacale.
54
Il collegio sindacale assume un ruolo fondamentale per i modelli di corporate governance.
Inoltre è un organo che esiste solo in Italia quindi solo nel nostro ordinamento e non ha
confronti con nessun altro paese. Quindi svolge un ruolo peculiare.
Poi il collegio sindacale così come esiste oggi con le sue funzionalità, caratteristiche e con la
sua funzione tipica di esser il controllore della legalità della società che si traduce in uno
svolgimento di attività di vigilanza sull’intera amministrazione della società era già presente più
di un secolo fa. Le origini di questo organo risalgono a ben prima del 1882 ovvero la
pubblicazione in Italia del primo Codice Civile di riferimento. Infatti nel 1882 è stato l’anno del
recepimento dei codici napoleonici. Esisteva prima del 1882 ma non era formalizzato in quanto
il codice precedente era quello del 1865 dove non vi è riferimento all’istituto del collegio
Sindacale ma vi sono testimonianze che in alcune società del tempo (compagnie) vi era un
organo che svolgeva un’attività di vigilanza al pari di quella svolta dal CS.
Collegio Sindacale - ante 1882 -
Codice di Commercio del 1865
Istituto del Collegio Sindacale non era ancora stato istituzionalizzato, di fatto era già molto
diffuso nella pratica degli Statuti delle principali compagnie forme dell’attività di vigilanza
sindacale:
- nella compagnia della Camera Imperiale di Comacchio del 1709;
- nell’Imperiale Privilegiata Compagnia Orientale del 1719;
- nella Compagnia Reale del Piemonte per le opere e i negozi in seta del 1752. Trattasi per
lo più di organi interni svolgenti a volte la funzione di vigilanza interna oltre a quella di
revisione del bilancio → attività prettamente contabile.
siamo già dopo l’unità di Italia in riferimento al Codice di commercio.
Collegio Sindacale - 1882-

Codice di Commercio del 1882
Il Codice del 1882 statuisce l’introduzione del Collegio Sindacale nell’ordinamento giuridico
italiano al fine di attribuire ai sindaci scelti dall’assemblea il ruolo di supervisori sulla gestione
sociale.
Nuove disposizioni contenute negli art. 183- 184-185 del codice di Commercio 1882
Anche se il codice è del 1882 si tratta di disposizioni molto attuali in quanto le disposizioni
relative al funzionamento del CS non sono molto cambiate.
Collegio Sindacale – 1882- art. 183-

Codice di Commercio del 1882- art: 183
«In ogni assemblea ordinaria e in quella indicata nell’art. 14 si devono nominare tre o cinque
sindaci e due supplenti per la sorveglianza delle operazioni sociali e per la revisione del bilancio.
I sindaci possono essere soci e non soci e sono rieleggibili. Non sono eleggibili o decadono
dall’ufficio i parenti e gli affini degli amministratori sino al quarto grado di consanguineità od
affinità. In caso di morte, di rinuncia, di fallimento o di decadenza d’alcuno dei sindaci,
subentrano i supplenti in ordine d’età. Se ciò non basta a renderne completo il numero, i sindaci
rimasti chiamano a sostituire i mancanti altre persone che stanno in carica sino alla prossima
assemblea generale».
Il linguaggio è arcaico ma le disposizioni sono molto attuali:

➢ i sindaci possono essere ineleggibili
➢ non sono eleggibili e cadono di ufficio se non sussiste l’indipendenza. L’indipendenza
deve sussistere anche nei confronti di parenti (oggi la disposizione parla di affini fino al
4^ grado mentre quella del tempo parla di consaguineità ed affinità)
➢ se muore, decade, rinuncia uno subentrano i supplenti previsti e il supplente che
subentra è in ordine di età
➢ se anche questi vengono meno bisogna nominarne degli altri che si chiamano sostituti
e rimangono in carica fino a nuova assemblea che li conferma o ne nomina nuovi.
Quindi le disposizioni sono simili alle attuali.
55
«I sindaci devono:
1. stabilire d’accordo cogli amministratori della società, la forma dei bilanci e della situazione
delle azioni;
2. esaminare almeno ogni trimestre i libri della società per conoscere le operazionisociali e
accertare la bontà di metodo e di scrittura: (anche oggi devono riunirsi ogni trimestre)
3. Fare frequenti ed improvvisi riscontri di cassa non mai più lontani di un trimestre uno
dall’altro; (anche oggi devono verificare il saldo di cassa ogni trimestre)
4. riconoscere almeno una volta ogni mese colla scorta dei libri sociali, l’esistenza dei titoli o
dei valori di qualunque specie depositati in pegno, cauzione o custodia presso la società; (ai
tempi questa disposizione era più rigida)
5. Verificare l’adempimento delle disposizioni dell’atto costitutivo e dello statuto, riguardanti
le condizioni stabilite per l’intervento dei soci nell’assemblea; (anche oggi i sindaci devono
verificare il rispetto della società sullo statuto)
6. rivedere il bilancio e farne relazione nel termine assegnato negli articoli 154 e 179;
7. sorvegliare le operazioni di liquidazione;
8. convocare, colle norme stabilite nell’art. 175, l’assemblea straordinaria ed anche
l’assemblea ordinaria in caso di omissione da parte degli amministratori; (oggi se
amministratori non convocano assemblea devono farlo i sindaci)
9. intervenire a tutte le assemblee generali; (anche oggi)
10. e in genere sorvegliare che le disposizioni della legge, dell’atto costitutivo e dello statuto
siano adempiute dagli amministratori. I sindaci delle società non soggette alle disposizioni
dell’art. 177 hanno diritto di ottenere ogni mese dagli amministratori uno stato delle
operazioni sociali. I sindaci possono assistere alle adunanze degli amministratori, e far
inserire negli ordini del giorno di queste adunanze e in quelli delle assemblee ordinarie e
straordinarie le proposte che credono opportune».(esattamente come oggi)

Le regole del mandato erano un po’ diverse rispetto ad oggi. Anche se durante il mandato
bisogna comportarsi come buon padre di famiglia è sempre esistita ed esiste anche oggi.
«L’estensione e gli effetti della responsabilità dei sindaci si determinano con le regole del
mandato».
Le nuove disposizioni in merito, contenute negli artt. 183-184 e 185, da subito vennero criticate
dalla dottrina e dai professionisti del tempo sia per l’estrema sinteticità della normativa, in
particolare con riferimento alla mancanza di una nozione condivisa del requisito di
indipendenza richiesto ai controllori e relativo meccanismo di selezione e nomina dei membri
del Collegio, nonché per l’estrema lacunosità della normativa. Per questo furono subito molte
le proposte di riforma o perfino di abolizione dell’istituto dei sindaci.
Oggi il problema di indipendenza degli organi di controllo è un problema importante, sono molte
le normative che negli anni si sono susseguite per definire e chiarire i requisiti da rispettare per
esser indipendenti. Ma il problema di indipendenza era già sentito nel 1882 infatti molti ne
hanno sottolineato la carenza di normativa. Ma anche la mancanza di criterio da seguire per la
nomina del Collegio sindacale, è un po’ anche il limite che esiste adesso perché non è ben chiaro
come le società scelgono i membri del collegio sindacale. Molti criticano la mancanza di linee
guida e chiare, spesso i membri del CS vengono nominate per conoscenza di o per passaparola.
Quindi a fronte di questo alcuni sostenevano la necessità di abrogare la riforma e introdurne

una nuova.
Per un po’ di anni tutto rimane fermo anche per via delle due guerre mondiali. Così dopo la
ricostruzione dopo la I guerra mondiale si rimette mano alla questione.
Collegio Sindacale – anni 30’- Riforma-
In occasione del primo raduno nazionale dei dottori in Economia e Commercio, tenutosi a Torino
il 6 e 7 ottobre 1935, fu fatta la proposta di riforma del Collegio Sindacale che si inserì come
risposta ad un’altra proposta di riforma avanzata dalla commissione parlamentare presieduta
56
da Vivante (Presidente della Commissione Parlamentare).
I dottori elaborarono una proposta volta in primis a rivedere i criteri di scelta dei sindaci nonché
le loro funzioni;
Quella di Vivante si fondava sull’abolizione del Collegio Sindacale e istituzione di un Ufficio
Statale costituito da 50 revisori centrali e di diversi Uffici provinciali composti in numero variabile
da 8 a 20 membri.
A seguire, il 24 luglio 1936, con l’emanazione del RD (regio decreto perché vi era ancora la
monarchia) n. 1548 convertito dalla L. 3 aprile 1937 n. 517 e con il RD n. 228 del 10 febbraio
1937, venne istituita la disciplina speciale: ossia il Ruolo dei Revisori Legali dei Conti. Per le
attività di controllo effettuate dal Collegio Sindacale il RD ha statuito che alcuni dei componenti
del Collegio dovessero possedere una adeguata competenza tecnica ed esperienza in materia
contabile.
La data del 1937 è importante perché per la prima volta viene sancita in Italia la figura del
revisore legale dei conti.
Si delinea la situazione attuale: il CS svolge funzione di vigilanza ma svolge anche il controllo
contabile, ma per farlo è necessario che i membri del CS è necessario che almeno uno o due
siano revisori legali dei conti. Molto simili alle disposizioni attuali.
Collegio Sindacale – 1942

Codice civile del 1942:
Recepisce l’impianto normativo del tempo senza apportare significative modifiche. Ciò in quanto
il RD n. 1548 del 1936 aveva già previsto delle modifiche per le attività di controllo effettuate
dal Collegio Sindacale.
1) sono state delineate le condizioni di “giusta causa” e quella di “giusti motivi” per poter
procedere alla revoca, decadenza e sostituzione dello stesso Collegio o dei suoi membri;
2) Il codice si limitava a disciplinare essenzialmente un controllo di tipo contabile.
Nel frattempo decade la monarchia e viene istituita la repubblica così viene introdotto il codice
civile. Per quanto riguarda il CS le modifiche sono davvero poche in realtà.
Tutto questo per recepire i regi decreti del ’36 e ‘37
Collegio Sindacale – anni 70

1) A partire dagli 50’ si avvia nel contesto Europeo il percorso per la costituzione della CE che
si conclude con il trattato firmato a Roma il 25 marzo 1957 ed entrato in vigore il
1°gennaio 1958;
2) Si consolida in Europa la presenza di revisori e di società di revisione di matrice
anglosassone (Big Eight); → erano otto le società di revisione ma oggi sono solo 4 per via
di alcune ristrutturazioni con operazioni di fusioni e altro.
3) In Italia nel 1972 viene costituita l’Associazione Italiana Internal Auditors (AIIA); →
associazione che si occupa (ancora oggi) della diffusione e potenziamento delle attività di
controllo interno.
4) Nel 1974, con la Legge n. 216 venne istituita la Commissione Nazionale per le Società e la
Borsa (Consob); → inizia ad intervenire in modo rilevante nelle società quotate quindi si
occupa di controllare anche le società di revisione che controllano le società quotate e i
sindaci.
Poi l’Italia mette in atto una serie di riforme
5) Con il DPR del 31 marzo 1975 n. 136, in attuazione della legge delega del 7 giugno 1974 n.
216, in Italia si dà avvio ad una nuova stagione di riforme, la più importante fa riferimento
alla statuizione dell’obbligo del controllo contabile e relativa certificazione dei bilanci per
le società quotate in borsa;
6) Il 7 ottobre 1977 viene costituita IFAC (International Federation of Accountants) anche con
il fine di armonizzare le regole contabili grazie alle direttive comunitarie. Da qui l’avvio del
processo di standardizzazione delle regole di accounting and auditing. → per introdurre
principi contabili condivisi a livello europeo che porterà alla pubblicazione delle prime
direttive a livello europeo. La prima è la IV Direttiva del 1992 che da avvio alla riforma
contabile e poi tutto quel che si è verificato.
Questo è un excursus storico sul collegio sindacale. Una cosa importante è vedere come già
esistesse prima del 1882 e poi come, nonostante il tempo intercorso, tantissime regole di
funzionamento del CS sono le stesse prodotte tanti anni fa.
57
Noi dobbiamo conoscere bene il ruolo del CS perché è l’organo di controllo interno nel nostro
ordinamento e soprattutto è unico, esiste solo nel nostro ordinamento. Qui vediamo articoli
del codice che riguardano questo istituto e vedremo che molte sono molto simili a quelle viste
fino ad ora relative a diversi anni fa.
Collegio Sindacale- DISPOSIZIONI CIVILISTICA
- art. 2397- Composizione
Art. 2397- Composizione del Collegio
1) Il collegio sindacale si compone di tre o cinque membri effettivi, soci o non soci. Devono
inoltre essere nominati due sindaci supplenti. (già esisteva nel 1882)
2) Almeno un membro effettivo ed uno supplente devono essere scelti tra gli iscritti tra i
revisori legali iscritti nell’apposito registro. I restanti membri, se non iscritti in tale registro,
devono essere scelti fra gli iscritti negli albi professionali individuati con decreto del Ministro
della giustizia, o fra i professori universitari di ruolo, in materie economiche o giuridiche.
Quindi uno per esser membro del CS deve esser revisore iscritto all’albo o un professore o un
professionista iscritto all’albo
3) … abrogato …
Collegio Sindacale- art. 2398- Presidente

Art. 2398- Presidente del Collegio
1) Il presidente del collegio sindacale è nominato dall'assemblea
Collegio Sindacale- art. 2399- Cause Ineleggibilità e decadenza

Art. 2399 – Cause di Ineleggibilità e decadenza
1. Non possono essere eletti alla carica di sindaco e, se eletti, decadono dall'ufficio:
a) coloro che si trovano nelle condizioni previste dall'articolo 2382; il coniuge, i parenti
e gli affini entro il quarto grado degli amministratori delle società da questa
controllate, delle società che la controllano e di quelle sottoposte a comune controllo;
→ sottolinea l’indipendenza già presente nel 1882
b) coloro che sono legati alla società o alle società da questa controllate o alle società che
la controllano o a quelle sottoposte a comune controllo da un rapporto di lavoro o da
un rapporto continuativo di consulenza o di prestazione d'opera retribuita, ovvero da
altri rapporti di natura patrimoniale che ne compromettano l'indipendenza. → non
può esser sindaco chi lavora in una delle società con cui essa trattiene dei rapporti (es
controllate, collegate o altri tipi di rapporti).
2. La cancellazione o la sospensione dal registro dei revisori legali e delle società di revisione
legale e la perdita dei requisiti previsti dall'ultimo comma dell'articolo 2397 sono causa di
decadenza dall'ufficio di sindaco. → statuisce che se uno, per vari motivi, perde l’iscrizione
al registro dei revisori perde anche l’incarico di sindaco. Inoltre rinvia al 2397 perché ci
sono le cause di decadenza d’ufficio più quelle previste dallo statuto e altre norme
specifiche per la nomina dei revisori.
3. Lo statuto può prevedere altre cause di ineleggibilità o decadenza, nonché cause di
incompatibilità e limiti e criteri per il cumulo degli incarichi
Possiamo vedere che alcune sono uguali a quelle già viste precedentemente nel 1882 e anni
seguenti.
Collegio Sindacale- art. 2401- Sostituzione

Art. 2401– Sostituzione regole per la sostituzione dei sindaci
1. In caso di morte, di rinunzia o di decadenza di un sindaco, subentrano i supplenti in ordine di
età, nel rispetto dell'articolo 2397, secondo comma. I nuovi sindaci restano in carica fino alla
prossima assemblea, la quale deve provvedere alla nomina dei sindaci effettivi e supplenti
necessari per l'integrazione del collegio, nel rispetto dell'articolo 2397, secondo comma. I
nuovi nominati scadono insieme con quelli incarica.
2. In caso di sostituzione del presidente, la presidenza è assunta fino alla prossima assemblea
dal sindaco anziano.
Se con i sindaci supplenti non si completa il collegio sindacale, deve essere convocata
l'assemblea perché provveda all'integrazione del collegio medesimo
58
Collegio Sindacale- art. 2402- Retribuzione
Art. 2402– Retribuzione
1. La retribuzione annuale dei sindaci, se non è stabilita nello statuto, deve esser
determinata dall’assemblea all’atto della nomina per l’intero periodo di durata del loro ufficio
→ ogni società elabora delle regole precise per la retribuzione. L’assemblea che nomina il
sindaco definisce la retribuzione che è la medesima per tutti e tre gli anni del mandato.
essere determinata dalla assemblea all'atto della nomina per l'intero periodo di durata del loro
ufficio
Collegio Sindacale- art. 2403- Doveri del Collegio Sindacale

Art. 2403– Doveri del Collegio Sindacale (uno dei più importanti)
a. Il collegio sindacale vigila sull'osservanza della legge e dello statuto, sul rispetto dei principi
di corretta amministrazione ed in particolare sull'adeguatezza dell'assetto organizzativo,
amministrativo e contabile adottato dalla società sul suo concreto funzionamento. Attività
di vigilanza che è la principale attività del CS nel comma dopo viene definita l’attività di
controllo contabile
b. Esercita inoltre il controllo contabile (ora revisione legale dei conti) nel caso previsto
dall'articolo 2409-bis, terzo comma.(ora secondo.. ) che dalla riforma del 2003 bib su chiama
più controllo contabile ma revisione legale dei conti. O meglio è meglio dire revisione legale
dei conti a far data dalla recezione della direttiva europea ossia con D.lgs 39/2010. La
funzione di revisione legale dei conti è secondaria perché la principale è quella di vigilanza.
Collegio Sindacale- art. 2404- Riunioni del Collegio Sindacale

Art. 2404– Riunioni del Collegio Sindacale
1. Il collegio sindacale deve riunirsi almeno ogni novanta giorni. La riunione può svolgersi, se lo
statuto lo consente indicandone le modalità, anche con mezzi di telecomunicazione. → il
codice 1882 prevedeva almeno ogni trimestre quindi praticamente uguale.
2. Il sindaco che, senza giustificato motivo, non partecipa durante un esercizio sociale a due
riunioni del collegio decade dall'ufficio. → se il sindaco non si presenta due volte senza
motivo decade d’ufficio
3. Delle riunioni del collegio deve redigersi verbale, che viene trascritto nel libro previsto
dall'articolo 2421, primo comma, n. 5), e sottoscritto dagli intervenuti. → ogni volta che CS
si riunisce prepara un verbale che deve esser sottoscritto da tutti i sindaci e viene trascritto su
un apposito libro detto libro dei sindaci
4. Il collegio sindacale è regolarmente costituito con la presenza della maggioranza dei sindaci
e delibera a maggioranza assoluta dei presenti. Il sindaco dissenziente ha diritto di fare
iscrivere a verbale i motivi del proprio dissenso. → su 3 che costituiscono il CS devono esser
presenti almeno 2 su 3 perché ci deve esser la maggioranza.
Collegio Sindacale- art. 2405 –

Intervento alle adunanze del Consiglio di Amministrazione e alle Assemblee
Art. 2405– Intervento alle adunanze del Consiglio di Amministrazione e alle Assemblee
1. I sindaci devono assistere alle adunanze del consiglio di amministrazione, alle assemblee e
alle riunioni del comitato esecutivo. → possono stare li ed ascoltare perché hanno bisogno
di percepire tutte le info che servono per svolgere l’attività di vigilanza.
2. I sindaci, che non assistono senza giustificato motivo alle assemblee o, durante un esercizio
sociale, a due adunanze consecutive del consiglio d'amministrazione o del comitato
esecutivo, decadono dall'ufficio. → verrebbe meno uno dei loro compiti più importanti
Collegio Sindacale- art. 2407 –Responsabilità
Art. 2407– Responsabilità
1) I sindaci devono adempiere i loro doveri con la professionalità e la diligenza richieste dalla
natura dell'incarico; sono responsabili della verità delle loro attestazioni e devono
conservare il segreto sui fatti e sui documenti di cui hanno conoscenza per ragione del loro
ufficio. → queste sono norme di deontologia professionale, norme etiche, quindi segretezza,
professionalità e diligenza.
2) Essi sono responsabili solidalmente con gli amministratori per i fatti o le omissioni di questi,
59
quando il danno non si sarebbe prodotto se essi avessero vigilato in conformità degli
obblighi della loro carica. → il sindaco è obbligato a vigilare attentamente sull’attività degli
amministratori perché ne sono coinvolti quando gli amministratori compiono atti illeciti e
viene provato che hanno potuto comportarsi in mala fede perché è venuta meno l’attività
di vigilanza dei sindaci che sono quindi solidamente responsabili.
3) All'azione di responsabilità contro i sindaci si applicano, in quanto compatibili, le
disposizioni degli articoli 2393, 2393-bis, 2394, 2394-bis e 2395.
Collegio Sindacale- art. 2408 –Denunzia al Collegio Sindacale

Art. 2408– Denunzia al Collegio Sindacale
1) Ogni socio può denunziare i fatti che ritiene censurabili al collegio sindacale, il quale
deve tener conto della denunzia nella relazione all'assemblea → qualsiasi socio che viene
a conoscenza di un fatto censurabile deve riportarlo al CS.
2) Se la denunzia è fatta da tanti soci che rappresentino un ventesimo del capitale sociale o
un cinquantesimo nelle società che fanno ricorso al mercato del capitale di rischio, il
collegio sindacale deve indagare senza ritardo sui fatti denunziati e presentare le sue
conclusioni ed eventuali proposte all'assemblea; deve altresì, nelle ipotesi previste dal
secondo comma dell'articolo 2406, convocare l'assemblea. Lo statuto può prevedere per
la denunzia percentuali minori di partecipazione.
Collegio Sindacale- art. 2409 –Denunzia al Tribunale

Art. 2409– Denunzia al Tribunale
1) Se vi è fondato sospetto che gli amministratori, in violazione dei loro doveri, abbiano
compiuto gravi irregolarità nella gestione che possono arrecare danno alla società o a una
o più società controllate, i soci che rappresentano il decimo del capitale sociale o, nelle
società che fanno ricorso al mercato del capitale di rischio, il ventesimo del capitale sociale
possono denunziare i fatti al tribunale con ricorso notificato anche alla società. Lo statuto
può prevedere percentuali minori di partecipazione.
2) Il tribunale, sentiti in camera di consiglio gli amministratori e i sindaci, può ordinare
l'ispezione dell'amministrazione della società a spese dei soci richiedenti, subordinandola,
se del caso, alla prestazione di una cauzione. Il provvedimento è reclamabile.
3) Il tribunale non ordina l'ispezione e sospende per un periodo determinato il procedimento
se l'assemblea sostituisce gli amministratori e i sindaci con soggetti di adeguata
professionalità, che si attivano senza indugio per accertare se le violazioni sussistono e, in
caso positivo, per eliminarle, riferendo al tribunale sugli accertamenti e le attività compiute.
4) Se le violazioni denunziate sussistono ovvero se gli accertamenti e le attività compiute ai
sensi del terzo comma risultano insufficienti alla loro eliminazione, il tribunale può disporre
gli opportuni provvedimenti provvisori e convocare l'assemblea per le conseguenti
deliberazioni. Nei casi più gravi può revocare gli amministratori ed eventualmente anche i
sindaci e nominare un amministratore giudiziario, determinandone i poteri e la durata.
Tutti questi 4 commi per dire quando vi è un sospetto che ci sia la malafede i soci possono fare
denunzia al tribuale e se si arriva a questo vuol dire che i sindaci:
1. Non hanno svolto adeguatamente l’attività di vigilanza
2. Probabilmente, se i soci non han fatto denunzia ai sindaci, li hanno ritenuti coinvolti in
questa mala gesta o ne hanno già fatto denunzia ma non è stata data opportuna
risposta.
A questo punto interviene il tribunale che deve
1. Convocare l’assemblea
2. Fare ispezioni
3. Se ritiene può anche sostituire amministratori e sindaci con altri ritenuti
professionalmente adeguati
4. Se il tribunale ritiene che vi sia fondatezza in tutto ciò procede con sanzioni e anche
revoche.
60
Collegio Sindacale- art. 2409 –Denunzia al Tribunale
Art. 2409– Denunzia al Tribunale
5. L'amministratore giudiziario può proporre l'azione di responsabilità contro gli
amministratori e i sindaci. Si applica l'ultimo comma dell'articolo 2393;
6. Prima della scadenza del suo incarico l'amministratore giudiziario rende conto al
tribunale che lo ha nominato; convoca e presiede l'assemblea per la nomina dei nuovi
amministratori e sindaci o per proporre, se del caso, la messa in liquidazione della
società o la sua ammissione ad una procedura concorsuale;
7. I provvedimenti previsti da questo articolo possono essere adottati anche su richiesta
del collegio sindacale, del consiglio di sorveglianza o del comitato per il controllo sulla
gestione, nonché, nelle società che fanno ricorso al mercato del capitale di rischio, del
pubblico ministero; in questi casi le spese per l'ispezione sono a carico della società.
Il 2409 si conclude dicendo che, quando il tribunale lo ritiene necessario, può nominare un
amministratore giudiziario che sostanzialmente è un amministratore nominato per legge che si
occupa di mettere in atto tutte le azioni di responsabilità contro gli amministratori e i sindaci e
poi dovrà presiedere l’assemblea per nominare i componenti di organi sia del Cda che dei
sindaci.
Ciò che è importante però sono le disposizioni contenute nel comma 7 del 2409 che viene a
completamente, sottolineato che tutta la procedura di denunzia al tribunale che era partita
dai soci quando questi ritengono che vi sono fondate ragioni di mala gestio da parte di
amministratori. Questa denuncia può esser fatta dallo stesso collegio sindacale o dallo stesso
consiglio di sorveglianza o dal comitato per il controllo sulla gestione (questi due organi sono
presenti se le società hanno deciso di avvalersi degli altri due modelli di corporate governance)
e, se sono società quotate, dal pubblico ministero.
Fin qui abbiamo letto gli articoli del C.c. che regolano ex lege le caratteristiche (composizione,
ruoli, doveri, responsabilità …) del collegio sindacale. Non sono da sapere tutti a memoria ma
almeno le disposizioni importanti.
Domande possibili.
Da chi è composto collegio sindacale, quali sono i suoi doveri, quali le sue responsabilità
rimanda alle disposizioni del c.c. senza conoscere a memoria commi e sotto-commi ma almeno
le regole e le disposizioni principali.
61
Collegio Sindacale- Attore del SCI
Abbiamo analizzato l’origine storica del CS e tutti gli articoli del codice che definiscono le regole di
funzionamento del CS. Il CS è l’organo di controllo interno più importante nell’ordinamento italiano ed è
unico nell’ordinamento italiano.
Questa immagine mostra i rapporti che si instaurano tra gli attori del SCI. Abbiamo già visto questo schema
ma riprendiamolo in occasione dell’analisi del CS per comprendere come il CS si posiziona all’interno di
questo reticolo di organi di controllo. Il CS ha il ruolo di collettore e supervisore.
Il CS interagisce direttamente con internal Auditing, il CdA, il comitato per il controllo intero (creato
all’interno del CdA). Interagisce indirettamente con Amministratore delegato e altri preposti al controllo. Il
collegio sindacale quindi i sindaci hanno la possibilità di interagire e chiedere e svolgere al meglio la loro
attività che è un’attività di vigilanza interagendo in modo appropriato e opportuno con tutti i membri e i
soggetti del controllo interno.
Nel fare questo il CS può fare questo perché titolato, oltre che dalle disposizioni civilistiche, anche dallo
stesso TUF che dedica l’art. 149 dove si possono ravvisare delle similutidine in quanto molte disposizioni
sono le stesse del codice civile. Unica differenza è che gli articoli del codice sono molti e dettagliati invece il
TUF ha dedicato un solo articolo riassumendo il ruolo del CS.
Collegio Sindacale- Attori del SCI

Art. 149 TUF (D.Lgs 58/98
1. Il collegio sindacale vigila:
a) sull'osservanza della legge e dell'attocostitutivo;
b) sul rispetto dei principi di correttaamministrazione;
c) sull'adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di
controllo interno e del sistema amministrativo-contabile nonché sull'affidabilità di quest'ultimo nel
rappresentare correttamente i fatti di gestione;
c-bis) sulle modalità di concreta attuazione delle regole di governo societario previste da codici di
comportamento redatti da società di gestione di mercati regolamentati o da associazioni di categoria, cui
la società, mediante informativa al pubblico, dichiara diattenersi526;
d) sull'adeguatezza delle disposizioni impartite dalla società alle società controllate ai sensi dell’art.114,
comma2
2. I membri del collegio sindacale assistono alle assemblee ed alle riunioni del consiglio di amministrazione
62
e del comitato esecutivo. I sindaci, che non assistono senza giustificato motivo alle assemblee o,
durante un esercizio sociale, a due adunanze del consiglio d'amministrazione o del comitato esecutivo,
decadono dall'ufficio. → visto uguale nel CC circa la decadenza dei sindaci
3. Il collegio sindacale comunica senza indugio alla Consob le irregolarità riscontrate nell'attività di
vigilanza e trasmette i relativi verbali delle riunioni e degli accertamenti svolti e ogni altra utile
documentazione.
…omisissis…
Cosa evidenziamo di differenze?
1. Punto 1 dedicato alla funzione, dedicato all’attività di vigilanza, il tuf è sicuramente più preciso
perché la definizione di espletamento dell’attività di vigilanza da parte del CS è meglio definito e
meglio chiara nell’art. 149 del TUF al punto 1 perché sono ben dettagliati i singoli passaggi e le
osservazioni di riferimento. L’attività di vigilanza consiste nell’osservanza di leggi, atto
costitutivo, principi di corretta amministrazione, adeguatezza della struttura amministrativa,
sistema di controllo interno, sistema amminstrativo contabile.
2. il Collegio Sindacale deve vigilare attentamente sulla modalità concreta attuazione delle regole di
governo societario contenute nei codici → il CS è delegato all’attività di vigilanza che consiste
anche nella verifica del concreto e corretto recepimento delle disposizioni contenute nel codice
etico e di autodisciplina da parte delle quotate.
3. Art. 149 al terzo punto statuisce che in qualsiasi momento lo ritenga opportuno è tenuto a
comunicare le irregolarità, soprattutto gravi, che il CS ha riscontrato durante la sua attività di
vigilanza alla consob e quando comunica alla Consob può anche consegnare la documentazione
che ritiene idonea e i verbali delle riunioni che ha messo in atto
Non vi è dubbio che la definizione di ruoli e funzioni del CS statuite dal 149 sono sicuramente meno
giuridiche, più pratiche e più incentrate sulla definizione di cosa significa svolgere una concreta e corretta
attività di vigilanza.
Collegio Sindacale- Attore del SCI
1. Dovere di partecipare alle riunioni del CdA, invitato
a partecipare riunioni comitato esecutivo (e
Comitati), se esistenti;
2. Richiedere notizie agli amministratori sulle
operazioni sociali;
3. Procedere direttamente alla convocazione degli
organi societari (CdA, comitato esecutivo);
4. Supervisionare e coordinamento l’operato della
società di revisione;
5. Effettuare attività ispettive
Qui vediamo schematizzato il rapporto tra Cda, CS e AD. Le frecce vanno a sottolineare un rapporto
circolare. Infatti è un rapporto circolare e biunivoco in quanto il Cda interagisce interagisce riferendo o
chiedendo al Cs, viceversa il Cs nei confronti del Cda. Idem il rapporto tra Cs e AD. Ossia il CS può richiedere
informazioni all’AD ma viceversa AD può richiedere al CS. Poi questa diretta relazione biunivoca tra Cda e
AD. Ricordiamo che AD è un amministratore cioè un membro del Cda investito di poteri di esser colui che
ha la delega e funzione di tutto quel che riguarda il controllo interno. Da qui il motivo per cui è colui che
interagisce in primis con il collegio sindacale.
63
Collegio Sindacale- Ruolo Vigilanza sulla Gestione
Abbiamo cercato di capire, tramite il TUF, in cosa consiste questa attività di vigilanza e abbiamo visto che il
TUF è dettagliato, ma per meglio chiarire questo ruolo bisogna tener conto di alcune disposizioni giuridiche
che vanno a statuire che l’attività di vigilanza comunque non è un controllo di merito sulle scelte
gestionali.
Ruolo attivo di vigilanza sulla gestione

non è un controllo di merito sulle scelte gestionali – opportunità, convenienza – bensì un controllo di
legittimità sulle scelte: conformità ai criteri di razionalità economica, valutazione del rischio). → non può
non condividere delle scelte del Cda perché il merito delle scelte gestionali compete al Cda. Il suo è un
controllo di legittimità sulle scelte. L’unica cosa che può dire è che le scelte del Cda devono esser conforme ai
criteri etici, razionalità economica e valutazione del rischio.
Si realizza
—
Soprattutto:
dall’attiva collaborazione della direzione nel fornire informazioni adeguate esercitando anche, quando
necessario, moral suasion nell’esigere un continuo flusso delle info e chiedendo quando necessario il
miglioramento della qualità delle info stesse.[ business plan, budget, valutazione scostamenti, operazioni
rilevanti, andamento gestionale (continuità) , conflitti interesse, … ]
il ruolo proattivo del CS perché deve sollecitare il Cda, nei tempi utili, le informazioni che vengono
richieste e deve esser proattivo a sensibilizzare il Cda a fornire informazioni sempre migliori → sostenere
il miglioramento della qualità delle informazioni stesse. Quali sono queste informazioni?
- La documentazione che riguarda la programmazione di attività aziendale (BP, budget, valutazione

scostamenti, eventuali giustificazioni ..) il cda non può esimersi e deve consegnare tutta la
documentazione che il CS ritiene opportuno
Collegio Sindacale- Ruolo Vigilanza sulla Gestione

L’attività del CS non è improvvisata ma è tutta programmata e pianificata, come l’attività di revisione
esterna.
COMPRENSIONE IMPRESA
Pianificazione del ➢ SETTORE, NORMATIVA,
Lavoro e suddivisione dei compiti ➢ CARATTERISTICHE E QUADRO NORMATIVI
nell’ambito del CS ➢ OBIETTIVI, STRATEGIE, RISCHI
Valutazione del Sistema VALUTAZIONE ADEGUATEZZA STRUTTURA
Amministrativo e contabile
IL SISTEMA E’AFFIDABILE?
Test sulla sostanza Individuazione punti di forza e punti secondo
approccio risk based
Verbali Periodici, Suggerimenti SCAMBIO CONTINUO DI INFORMAZIONI TRA

Colloqui con direzione, Relazioni DIREZIONE E ORGANO DI VIGILANZA
La valutazione dell’adeguatezza della struttura vuol dire fare il test sulla sostanza che si concretizza con
valutazione dell’affidabilità o meno della struttura. Cioè relativamente alla struttura il CS va ad individuare i
punti di forza e debolezza sempre nel rispetto dell’approccio risk-based (stesso per i revisori legali dei
conti). Tutto questo da luogo a verbalizzazioni: i verbali sono periodici e in questi verbali vengono riportarti
tutti gli scambi di info con la direzione perche il CS interagisce con frequenza con tutti gli organi del board e
gli scambi di info vengono riportati nei verbali periodici. Il CS spesso è anche tenuto a produrre delle
relazioni:
64
- Dove esprime adeguatezza della struttura ma non solo. Anche questa è un’attività tipica del CS cioè
fare report e relazioni
Ora vediamo dal punto di vista aziendale, per ora ci siamo focalizzati sull’aspetto legale ma da un punto di
vista pratico cosa significa che il CS va a vigilare sull’assetto organizzativo? Significa suddividere in due sotto
sistemi.
Vigilanza sull’assetto organizzativo: che si divide in due sotto sistemi distinti ma contigui:
a) Assetto organizzativo generale

Assetto organizzativo generale: per poterlo monitorare al meglio il CS deve prima di tutto acquisire delle
conoscenze che sono in merito al:
1. Tipo di organizzazione (funzionale, divisionale etc..)

2. Esistenza di gerarchie di ruoli e funzioni
3. Comunicazione interna tra i vari soggetti dell’organizzazione è efficace o meno
4. Chi ha i poteri decisionali
5. Chi ha le deleghe e se tutto questo è efficace o meno
6. Obietittivi del Cda o figure apicali hanno deciso
7. Questi obiettivi sono stati condivisi e divulgati
8. Dal punto di vista pratico la vigilanza sull’assetto organizzativo di traduce in un presidio da parte del
CS sulla:
Presidia
• Redditività
• Valutazione del rischio
• Quote di mercato
• Compliance alle norme di Legge e regolamenti
• Qualità
• Soddisfazione del management – dipendenti
• Correttezza dell’informativa (in genere)
Il tutto avviene di solito facendo il Monitoraggio e valutazione delle variabili
- Struttura produttiva/operativa
- Valutazione e gestione del rischio management
- Sistema di compliance, sistemi di IT
- Risorse umane
- Capacità di adattamento, flessibilità
Capiamo perfettamente che tutti questi indicatori e ambiti di cui il CS deve conoscere molto bene servono
per esprimere un giudizio su assetto organizzativo generale
b) Assetto amministrativo contabile: per far si che il CS possa svolgere al meglio al sua attività di
vigilanza è necessario che conosca
Conoscenza e miglioramento struttura decisionale:
1. Procedure amministrative (conoscenza, valutazione affidabilità)
2. Organizzazione dei controlli interni
3. Analisi continua dei risultati
4. Processo di formazione del bilancio → stiamo valutando assetto amm-cont e tutto il processo
di formazione del bilancio è l’output più importante di tutto l’assetto organizzativo
Nel fare questo: il CS presidia
• Redditività
• Valutazione del rischio
65
• Compliance alle norme di Legge e regolamenti
• Correttezza dell’informativa interna ma in particolare esterna
• Veridicità e completezza dell’informativa economica e finanziaria (interna – esterna),
processo di bilancio
Il tutto avviene di solito facendo il Monitoraggio e valutazione delle variabili
- Definizione dei poteri autorizzativi ed operativi. Definizione ruoli, separazione delle funzioni
- Valutazione e gestione del rischio management
- Sistema di compliance, sistemi di IT
- Risorse umane
In questa lezione abbiamo visto in cosa consiste l’attività di vigilanza secondo il TUF e poi in cosa consiste
una vigilanza su assetto organizzativo da un punto di vista operativo. Da cui la divisione nei due sotto
sistemi:
- Assetto organizzativo in senso generale

- Assetto amministrativo di tipo contabile
66
Lezione su CS e Società di revisione. Infatti Cs e SR interagiscono e se siamo in questa situazione vuol dire
che ci troviamo in una società in cui il CS svolge solo la funzione di vigilanza e il controllo contabile è
lasciato in mano alla società di revisione. Nel definire i loro rapporti i due organi sono soliti definire tempi e
modalità: è sufficiente uno scambio per telefono, per iscritto servono meeting?
Rapporti tra Collegio Sindacale e Società di Revisione

Collegio Sindacale e società di revisione fissano i tempi e le modalità per lo scambio di informazioni
Solitamente incontri trimestrali verbalizzati aventi per oggetto:
1. Tutti quelli ritenuti rilevanti opportuni e utili per lo svolgimento dell’attività di vigilanza
2. Tutti quelli derivanti dalle specifiche verifiche della società di revisione in ordine:
a. all’osservanza della legge e dell’atto costitutivo;
b. alla struttura organizzativa e al controllo interno;
c. alla continuità aziendale;
d. al sistema amministrativo contabile;
e. alla regolare tenuta della contabilità e corretta rilevazione dei fatti di gestione
3. Tutte le comunicazioni e richieste scritte e verbali della società di revisione agli amministratori e
dirigenti → info che il CS può considerar utile e può chiedere informazioni a SR
4. L’esistenza di fatti censurabili rilevati dalla società di revisione → i fatti censurabili sono quelli per
cui il CS è titolato a farne comunicazione alla Consob
5. Le verifiche effettuate su operazioni con parti correlate e le considerazioni al riguardo → parti
correlati sono società con cui si intrattengono rapporti partecipativi (collegate, controllate…)
In occasione delle fasi conclusive di verifica del bilancio e della relazione semestrale la società di revisione
fornisce al collegio Sindacale:
1) Comunicazione del piano di revisione applicato alle procedure svolte;
2) Notizie riguardanti problematiche relative al bilancio e alla relazione semestrale
3) Informazioni sulle relazioni che intende emettere → sul giudizio che la SR prevede di emettere in
relazione alla relazione semestrale o al bilancio.
Al momento del rilascio delle relazioni la società di revisione deve rilasciare copia al collegio sindacale
NOMINA E REVOCA DELLA SOCIETA’ DIREVISIONE

Il Collegio Sindacale deve acquisire delle informazioni necessarie per esprimere il proprio parere
all’assemblea sul conferimento o sulla revoca dell’incarico alla società di revisione, verificando
l’indipendenza della società di revisione, l’idoneità tecnica all’espletamento dell’incarico. → il CS prima di
esprimere un giudizio deve aver acquisito tutte le informazioni idonee sulle competenza ma soprattutto
sull’indipendenza perché il compito del CS è proprio quello di verificare questa indipendenza. Cioè nessuna
figura apicale deve avere rapporti con la società di revisione.
SCAMBIO DI DATI E DI INFORMAZIONI
Collegio Sindacale e società di revisione si scambiano dati e informazioni rilevanti per
l’espletamento dei rispettivi compiti (art. 150 TUF)
Comunicazione CONSOB 1574 del 20 febbraio 1997 dove raccomanda che il Collegio Sindacale richieda alla
società di revisione tutte le informazioni utili per il controllo di propria competenza, con particolare
riferimento a quelle relative al funzionamento del SCI e amministrativo-contabile.
Il Collegio Sindacale comunica senza indugio alla Consob le irregolarità riscontrate nell’attività di vigilanza
(art. 149 TUF)
67
La società di revisione informa senza indugio la CONSOB ed il Collegio Sindacale dei fatti ritenuti censurabili
(art. 155 TUF)
Sono tre gli art. del TUF che disciplinano i rapporti tra CS e SR nello scambio di dati e informazioni:
- 149
- 150
- 155
Qui è il collegio sindacale che si rivolge alla società di revisione per chiedere le carte da lavoro: le carte da
lavoro cosa sono? La società di revisione per svolgere la revisione legale dei conti deve utilizzare le carte da
lavoro che sono sostanzialmente i documenti che attestano che sono state svolte le procedure da cui la
società di revisione ha rilevato gli elementi probativi di supporto alla revisione.
Il CS può chiederlo ma deve spiegare le motivazioni per cui sta chiedendo le carte da lavoro.
Richiesta carte di lavoro
COLLEGIO SINDACALE SOCIETA’ REVISIONE
La richiesta del Collegio Sindacale deve essere motivata
Il revisore informa per iscritto il Collegio Sindacale delle caratteristiche e dei limiti della revisione contabile
e di alcune richieste in merito alle modalità di acquisizione delle informazioni delle carte di lavoro.
➔ Risposta per iscritto quando la SR rileva dei limiti ovvero che non tutte le procedure di revisione non
possono esser svolte perché ci sono limiti o criticità
Il Collegio sindacale aderisce alle richieste del revisore
L’esame delle carte di lavoro del revisore da parte dei sindaci non sostituisce i controlli attribuiti al Collegio
Sindacale e non lo sollevano dalla sua responsabilità
SOCIETA’ DI REVISIONE CHIEDE AL COLLEGIO SINDACALE
Richiesta Informazioni
COLLEGIO SINDACALE SOCIETA’ REVISIONE
la richiesta di informazioni può riguardare:
1) Il piano delle attività ai fini della vigilanza prevista dall’art. 2409-sexies c.c.
2) I risultati delle verifiche sull’adeguatezza della struttura organizzativa, amministrativa, contabile e
del SCI
3) I risultati delle operazioni con parti correlate e alle transazioni rilevanti
4) Le eventuali denunce dei soci
5) I suggerimenti inoltrati alla Direzione e/o al Consiglio di Amministrazione
6) I risultati delle altre attività di controllo assegnate ai sindaci da leggi speciali
Gli incontri con il Collegio Sindacale vanno annotati nel libro della revisione con indicazione degli argomenti
trattati
Il CS e SR si possono incontrare, di solito si incontrano ogni 3 mesi, e il meeting viene annotto nel libro della
revisione e con un verbale dell’odg dove vengono riportati anche tutti gli argomenti trattati.
68
A completamento delle lezioni circa l’attività del collegio sindacale riportiamo questo schema
Obiettivi CoSO Report ed Organi Controllo
Più volte abbiamo sottolineato che, nel sistema italiano, esistono tanti attori cosiddetti attori del sistema di
controllo interno a sottolineare che sono molti gli organi che si occupano del SCI e sono elencati
nell’immagine. Tutti questi organi sono persone, risorse umane molto di qualità specializzata ovvero costi
rilevanti per la società.
Sappiamo che tutti questi sono soggetti del SCI e sappiamo che il SCI è regolamentato dal Coso framework
il quale, nonstante le varie edizioni, tutte condividono il riconoscimento dei tre obiettivi statuiti dal Coso
report che sono:
➢ Operation
➢ Reporting
➢ Compliance
Supponiamo di fare uno schema di sintesi di tutti gli attori del sistema di controllo interno e di vedere tutti
questi attori come partecipano e copartecipano alla realizzazione e conseguitmento degli obiettivi statuiti
dal Coso report. Come si legge questa immagine?
I colori definiscono i tipi di controllo:
➢ Nera abbiamo un controllo diretto→ cioè viene svolto direttamente dall’organo

➢ In bianco è un organo di supervisione che svolge quel tipo di controllo
➢ In verde attività di supporto
➢ In grigio attività di monitoraggio dei controlli in essere
69
Il Cda svolge un controllo diretto sia per l’economicità, che per il reporting che la compliance perché il Cda
nonostante la definizione del SCI è l’organo che riveste il ruolo più determinante perché è al Cda che
compete la funzione e il ruolo di definire e implementare il SCI.
Poi abbiamo il comitato per il controllo interno che con riferimento a tutti e 3 gli obiettivi svolge un’attività
di supporto al Cda, perché il Comitato è un organo designato internamente al Cda.
Il preposto al controllo svolge un’attività di controllo ma in termini di supervisione, quindi non

direttamente coinvolto ma è un supervisore con riferimento a tutti e tre gli obiettivi.
Il management è paragonabile allo stesso ruolo in termini di conseguimento degli obiettivi del Cda. Insieme
al Cda il management è l’unico di questi attori ad esser coinvolto direttamente per il conseguimento dei tre
obiettivi.
Il Collegio sindacale è un organo che svolge una funzione di supervisione per quanto riguarda l’obiettivo di
economicità e attendibilità. Invece per quanto riguarda il terzo obiettivo della compliace (conformità alla
legge) il CS svolge un controllo di tipo diretto perché l’attività del CS presuppone proprio l’osservazione e il
rispetto da parte della società dello Statuto e delle norme e quindi questo significa un’attività diretta sulla
compliance.
Il dirigente preposto svolge un’attività di supervisione (di controllo indiretto) per l’economicità ma svolge
con riferimento a reporting e compliance un’attività diretta.
La società di revisione il cui compito è il controllo contabile quindi svolge due controlli indiretto come
supervisore per economicità e compliance ma svolge un ruolo di controllo diretto per l’attendibilità che è
dedicata al reporting finanziario
Il controllo di gestione, che noi sappiamo esser un organo interno, si occupa di analisi costi, budget,
scostamenti quindi svolge un controllo diretto su economicità e indiretto su altri due
Risk officer da un contributo totalmente indiretto perché svolge per tutti e tre obiettivi solo attività di
revisione
Organismo di vilanza (vi è un doppione tra ruolo del CS e organismo di vigilanza 231/2001) perché
entrambi sono organi di supervisione per economicità e attendibilità, ma sono direttamente coinvolti per
obiettivo di compliance
Internal audit fa lavoro di monitoraggio di tutti i controlli in essere ed è l’unico ruolo che svolge questa
attività di monitoraggio in senso ampio su tutte le attività svolte da tutti gli altri organi di controllo.
L’immagine da una sintesi di tutti gli attori del SCI in riferimento agli obiettivi del Coso Report. Ora abbiamo
concluso di parlare del CS e la parte dedicata ai ruoli degli attori del controllo interno.
70
Il Ruolo del Revisore dei Conti nel SCIGR
ITALIA 315:
Dispone che il revisore comprenda l’impresa e il contesto in cui opera, incluso il suo controllo interno, in
misura sufficiente a identificare e valutare i rischi di errori significativi nel bilancio e per stabilire e svolgere
le procedure di revisione in risposta ai rischi identificati e valutati.
ISA Italia 315 riguarda l’attività preliminare del revisore dei conti, cioè quando si accinge a predisporre il piano
di revisione che deve contenere strategia e procedure di revisione.
Il revisore prima della stesura del piano di revisore deve comprendere caratteristiche di impesa e il contesto
in cui opera e per fare questo il revisore deve comprendere il SCI della società perché già in questa fase
preliminare delle imprese si fa già un’idea se una società è dotata di un buon SCI (deve trattarsi di un sistema
di controllo interno efficiente ed efficace inteso in senso pratico vuol dire capace di mappare, monitorare i
rischi ed errori significativi di bilancio).
il revisore deve conoscere le regole per l’informativa finanziaria. Deve capire caratteristiche di impresa per
quanto riguarda utilizzo principi contabili (redige bilancio OIC o IAS?). il primo riferimento che troviamo è il
riferimento al principio di revisione ISA Italia 315
Per definire il Rischio di Controllo, il revisore dovrà analizzare il SCI SENZA darne un giudizio ma
valutandone l’efficacia e l’efficienza al fine di determinare l’approccio di revisione (CONTROL o
SUBSTANTIVE) → Quindi saranno analizzate tutte le componenti
Il rischio di revisione è il rischio che il revisore arrivi a formulare un bilancio positivo relativamente ad un
bilancio di esercizio in cui ci sono errori. Il rischio di revisione è un rischio quindi molto delicato e tutti i
revisori cercano di analizzarlo al meglio. Il rischio di revisione si scompone in due sottorischi:
➢ Rischio di errori significativi
o Rischio intrinseco
o Rischio di controllo → altro riferimento al SCI. Il rischio di controllo è strettamente
connesso al SCI in quanto il revisore per quantificare il rischio di controllo deve analizzare il
SCI, non ne deve dare un giudizio ma solo valutare efficacia ed efficienza. Infatti una volta
che il revisore ha mappato il rischio di controllo deve fare un altro step: definire che
71
approccio dare alla revisione legale dei conti. Gli approcci sono due
▪ Control approach
▪ Substantive approach
Per stabilire che approccio utilizzare lo decide solo dopo aver valutato efficacia ed
efficienza del SCI che permette al revisore di valutare il rischio di controllo. → altro
riferimento per il revisore legale dei conti per il SCI:
➢ Rischio di individuazione
Le componenti del Coso Report sono fondamentali e ora le rivediamo: le componenti del Coso report le
abbiamo trovati in tutte le edizioni del coso report perché come ha detto uno dei più importanti studiosi
del SCI le componenti del Coso report sono componenti senza tempo a sottolineare che sono importanti e
lo saranno sempre.
AMBIENTE DI CONTROLLO
riguarda l’atteggiamento, la consapevolezza e le azioni della direzione e dei responsabili delle attività di
amministrazione in relazione al controllo interno dell’azienda
AZIONI:
Il revisore deve comprendere e valutare se la direzione abbia istaurato una cultura aziendale ispirata a
valori etici.
Quindi altro aspetto importante è il rapporto tra il revisore legale dei conti (RLC) e il SCI per quanto riguarda
le componenti del Coso report.
VALUTAZIONE DEL RISCHIO

Riguarda le modalità con cui la direzione identifica i rischi attinenti alla preparazione di un bilancio idoneo a
fornire una rappresentazione veritiera e corretta, in conformità al quadro normativo di riferimento
AZIONI:
IL REVISORE DEVE comprendere e valutare se l’impresa disponga di un processo finalizzato a:
(i) identificare i rischi connessi alle attività rilevanti per gli obiettivi di informativafinanziaria;
(ii) stimare la significatività dei rischi;
(iii) valutare la probabilità che si verifichino tali rischi;
(iv) decidere le azioni da intraprendere per fronteggiare tali rischi.
Nel caso in cui l’impresa NON abbia predisposto tale processo il revisore deve valutare se tale
situazione sia una carenza significativa.
Il ruolo del revisore anche qui è molto delicato
INFORMAZIONE E COMUNICAZIONE
riguarda il complesso delle componenti fisiche, software, persone, procedure e dati utilizzati per la
redazione del bilancio
AZIONI:
IL REVISORE DEVE comprendere le seguenti aree:
(i) le classi di operazioni rilevanti (nella gestione rispetto al bilancio)e quelle non rilevanti;
(ii) le procedure IT mediante le quali dette operazioni sono rilevate, registrate, elaborate, corrette e
trasferite in bilancio; → il processo informativo è sempre più digitalizzato quindi si parla di information
tecnlogies
(iii) il processo di predisposizione dell’informativa finanziaria;
(iv)i controlli su scritture contabili
quando ci si riferisce a questa componente del coso report il ruolo del revisore legale dei conti sarà
fortemente focalizzato sull’informativa contabile.
72
ATTIVITA’ DI CONTROLLO
Riguardano le direttive e le procedure istituite dall’impresa per garantire che le strategie definite della
direzione siano eseguite.
AZIONI:
IL REVISORE DEVE comprendere le attività di controllo al fine di valutare i rischi di errori significativi a livello
di asserzioni e per definire procedure di revisione conseguenti in risposta ai rischi identificati.
Vuol dire che la società ha implementato le attività di controllo, le attività di controllo hanno evidenziato
dei rischi e la società ha individuato la risposta dei rischi. Queste sono attività che il RLC deve mettere in
atto.
MONITORAGGIO
(è un controllo continuo che viene day by day cioè giorno dopo giorno)
riguarda la valutazione periodica dei controlli al fine di verificare il loro operato e il funzionamento di
eventuali modifiche introdotte a causa di variazioni nelle condizioni operative
per quanto riguarda il monitoraggio, poiché l’attività del RLC è un’attività di controllo contabile, con
specifico riferimento al monitoraggio il revisore sarà molto attento a vedere se l’attività ha implementato
un’attività di monitoraggio anche sul sistema di controllo interno per verificare se il tutto, relativamente
all’attività di informativa finanziaria, avvenga in modo preciso e corretto senza errori o altro.
AZIONI:
IL REVISORE DEVE comprendere le principali attività utilizzate dall’impresa per monitorare il controllo
interno sulla redazione dell’informativa finanziaria
Il revisore deve
1. capire se la società ha implementato questa componente del Coso report
2. cercare di capire le attività che la società ha definito e messo in atto per effettuare il monitoraggio
e fare un adeguato monitoraggio
3. sempre per il fatto che l’attività principale del RLC è esser focalizzato sul Controllo Contabile con
riferimento al monitoraggio il revisore sarà attento a vedere se la società ha implementato
un’attività di monitoraggio anche sul SCI per verificare che il tutto relativamente all’informativa
finanziaria avvenga in modo corretto senza errori.
Il ruolo che il revisore legale dei conti ha nel SCIGR sono

1. Ai sensi dell’ISA Italia 315 andare, in fase iniziale, a verificare se la società è dotata di SCI e se
questo è efficiente ed efficace.
2. Mappatura e rischio di revisione e l’analisi delle varie componenti del rischio deve prestare
controllo al rischio di controllo per cui vedere se la società ha SCI che funziona bene o no. A
seconda del giudizio sul SCI per il revisore vorrà dire che il rischio di controllo è alto o basso e quindi
decidere che approccio utilizzare nella revisione.
3. Analisi attenta dell’esistenza nella società delle 5 componenti del Coso report. Perché se verifica
esistenza delle 5 componenti vuol dire che la società ha recepito la struttura del SCI
73
Quando il revisore ritiene che dopo aver svolto tutte le sue analisi, indagini relative al SCI ed evince che ci
sono delle carenze (riferimento ad ISA italia 265) il revisore deve comportarsi in un certo modo.
Dall’esame del Sistema di Controllo Interno possono emergere CARENZE quando (rif. ISA Italia 265):
❑ un controllo è messo in atto, tuttavia non consente la prevenzione, l’individuazione e la correzione in

modo tempestivo di errori nel bilancio;
oppure
❑ non esiste un controllo atto a prevenire, individuare o correggere, in modo tempestivo, errori di
bilancio.
Una CARENZA sullo SCI risulta SIGNIFICATIVA quando, secondo il giudizio professionale del revisore, è
sufficientemente importante da essere portato all’attenzione dei responsabili dell’attività di Governance.

Il REVISORE DEVE comunicare in modo appropriato e tempestivo alla Governance aziendale le carenze sul
Sistema di Controllo Interno della società (rif. ISA Italia 265).
Quindi una volta che il revisore ha effettuato le sue analisi si possono evidenziare queste due situazioni
(vedi sopra):
1. Situazione di carenza del SCI. Vuol dire che comunque è carente ma il SCI c’è infatti l’ISA Italia dice
che il controllo è messo in atto ma non funziona in modo adeguato soprattutto nel prevenire,
individuare ed intervenire in modo veloce sugli errori di bilancio
2. La seconda carenza statuita dall’ISA Italia è peggiore perché in questo secondo caso la carenza è
molto grave in quanto il controllo non c’è
Noi abbiamo quindi due gradi di carenza una stop e una significativa. Sarà lo stesso revisore a cercare di
capire ed esprimere un giudizio in merito alla gravità della carenza in quanto una carenza sul sistema risulta
significativa quando secondo il giudizio professionale del revisore è sufficientemente importate da esser
portata all’attenzione del responsabile dell’attività di governance.
secondo il giudizio professionale → sottointende che è il revisore che a parere suo si prende la
responsabilità di definire se il SCI è carente e se è carente in modo significativo. Quindi al responsabilità e il
giudizio è solo suo personale. Anche perché se ritiene che sia una carenza significativa è obbligato a riferirlo
alla governance infatti il revisore deve comunicare in modo appropriato e tempestivo le carenze sul SCI, il
revisore è obbligato sempre ai sensi delle disposizioni statuite dall’ISA Italia 265.
Per cui per concludere sottolineiamo il ruolo importante che il RLC ha nei confronti del SCIGR in quando
deve valutarlo in tutti i modi:
➢ In fase iniziale
➢ In un secondo momento quando valuta il rischio di revisione e il rischio di controllo
➢ Valutare l’esistenza o meno dei 5 componenti del SCI ai sensi del Coso report
E una volta che ha completato queste tre aree di intervento del Revisore legale dei conti nei confronti del
SCI deve tirare le somme cioè prendersi la responsabilità di esprimere un giudizio e se un giudizio si orienta
verso un giudizio negativo vuol dire che ha riscontrato delle carenze allora è obbligato ad un passo
successivo ossia capire e definire se è una carenza significativa o meno. Se propende per carenza
significativa deve quanto prima comunicarlo alla governance.
74
CoSO ERM REPORT – Integrating with Strategy and Performance Versione 2017
Ultimo aggiornamento del Coso report. Nel 2017 la nostra commission ha deciso di produrre
una nuova versione che è stata pubblicata nel 2017 ma comunque i lavori erano iniziati tempo
prima. Ha deciso per una nuova versione perché i contesti e sistemi economici sono cambiati. Di
solito quando al commission decideva di aggiornare il Coso era a fronte di scandali perché gli sci
non erano più efficienti. Questa volta l’aggiornamento non è stato reso necessario dal voler
evitare nuove crisi ma piuttosto da esigenza di recepire un cambiamento culturale dei contesti
aziendali.
Il titolo del Coso report 2017 è significativo in quanto c’è l’essenza del nuovo aggiornamento.
1. La Treadway commission vuole portare avanti l’edizione del 2004 che è stata la prima
edizione del Coso report che ha introdotto e declinato l’enterprice risk management
(ERM). La commissione ha ritenuto che l’ERM era rimasta isolata al 2004 quindi sente
l’esigenza di aggiornare questa pratica. → per questo nel titolo si indica il ritorno
all’ERM.
2. Altra caratteristica è integrated cioè in questa edizione si va a delineare un SCI
integrato. Cioè il SCI è qualcosa di più evoluto perché è talmente evoluto secondo una
forma di sistema integrato con le strategie e le performance. L’integrazione con
strategia è come se fosse preliminare cioè ex ante. Ma questo nuovo Coso report è
integrato anche con la performance che è il risultato. È un’integrazione ex ante ed ex
post.
Con questa nuova edizione il Coso report ha voluto migliorare l’approccio alla gestione del
rischio. Quindi sostanzialmente con Coso report 2017 c’è un potenziamento dell’approccio alla
gestione del rischio per un’esigenza voluta dagli stakeholder che chiedono alle aziende di esser
brave a mappare i rischi e a definire le risposte ai rischi. Questo perché viviamo in contesti
globalizzati ma anche rischiosi. Vediamo anche come si sono evoluti i rischi infatti ci sono rischi
nuovi che prima non c’erano.
3. Un altro aspetto importante è che l’obiettivo non è quello di rincorrere il rischio ma di
prevenire il rischio perché c’è un integrazione con strategia e performance.
Nel 2017 il Committee of Sponsoring Organizations of the Treadway Commission ha pubblicato

un aggiornamento dell’ERM.
Con un nuovo titolo:
Enterprise Risk Management - Integrating with Strategy and Performance.
Il documento risponde all’evoluzione dell’ERM e alla necessità delle organizzazioni di migliorare

il proprio approccio alla gestione del rischio per rispondere adeguatamente alle richieste
sempre più impegnative degli stakeholders.
OBIETTIVO: prevenire, e non più «rincorrere», il rischio grazie alla considerazione della
Strategia (mission, vision e core values) in fase di individuazione del rischio.
l’ERM «non è una funzione o un dipartimento. È la cultura, le capacità e le politiche che

l’organizzazione integra nel processo di definizione e realizzazione della strategia, con lo scopo
di gestire il rischio creando, preservando e ricavando valore»
in queste quattro righe contenute nella pagine introduttiva del Coso report 2017 mostra come
la commission ha definito il Coso non come funzione o dipartimento ma qualcosa di più
evoluto: cultura e capacità che si integra con la strategia e il fine è arrivare a creare valore.
L’obiettivo finale dell’erm è supportare la società a creare valore
Non si limita ad un processo di semplice elencazione dei rischi che l’azienda incontra nello
svolgimento della sua attività. → evoluzione rispetto all’edizione del 2004 che è stato
interpretato come mappatura dei rischi che vuol dire in prims come un’elencazione dei rischi.
Rilevante è integrazione: «un processo di gestione del rischio integrato con i processi di business
aiuta le organizzazioni a prevedere i rischi o affrontarli in maniera più consona, identificare
opportunità nuove o perseguire in modo migliore quelle esistenti, rispondere a scostamenti
delle performance più velocemente e consistentemente, ottimizzare le risorse, migliorare la
collaborazione e condivisione delle informazioni, rafforzare la resilienza dell’impresa».
75
Queste sono tutte espressioni tradotte dal summary exevutive della pagine introduttiva del
framework. Già qui si respira un nuovo approccio, visione e considerazioni più allineate agli
attuali contesti.
L’aggiornamento del 2017
impone un cambio di filosofia
relativo ai controlli interni. Si
configura un ritorno al
concetto di ERM del 2004
(che altrimenti sarebbe
divenuta una versione a sé
stante)
Questa immagine è una freccia

all’interno di un anello. Che è
l’immagine che sintetizza
l’evoluzione del Coso report
2017. La freccia rivolta verso
destra sottolinea che si guarda
al futuro. Questa freccia
composta in tre parti:
➢ Mission visione e core
values
➢ Strategy and business Objectives
➢ Enhanced performance
Questi sono i 3 nuovi pilastri su cui si costruisce il nuovo ERM 2017.

L’anello è l’enterprice risk managemnt secondo la nuova versione che è formato da 5 anelli i
colori diversi ciascuno dei quali rappresenta le nuove componenti dell’ERM che riprendono la
base del Coso report. Ma sono tutte state riviste in base ai nuovi contesti. Queste sono:
➢ Risk Governance and Cultures
➢ Risk, Strategy an Objective-setting
➢ Risk in Execution
➢ Risk information, Communication and reporting
➢ Monitoring Enterprise Risk management perforance
Innanzitutto in ciascuna di queste 5 componenti troviamo il termine risk e altri termini che ci
ricorda che si tratta di un’evoluzione delle5 componenti basiche. Questo sottolinea che le 5
componenti del Coso report sono componenti senza tempo che si evolveranno e acquisiranno
nuove caratteristiche.
CoSO ERM 2004 vs. CoSO ERM 2017

Il nuovo paradigma: nel 1992
quando è apparso il primo Coso
report si parlava di SCI e basta. Con
Coso report (che ha introdotto per la
prima volta l’ERM) SCI evolve a
spporto della gestione del rischio
(SCIG). Secondo questa nuova
versione del 2017 siamo oltre e il
sistema è evoluto ed è integrato che
ha integrato la governance stesso.
Quindi il modo migliore per definirlo è l’acronimo GRC (Governance, Risk and Compliance)
Principali Novità:
➢ Adozione di una struttura di componenti e principi → ci sarà sempre perché le 5
componenti ci saranno sempre e i principi sono stati introdotti per la prima volta
nell’edizione del 2013 che ha portato all’introduzione del 17 principi. Il Coso 2017
riprende i 17 principi e li amplia (ne aggiunge nuovi) e li adatta.
➢ Semplificazione della definizione di ERM
➢ Enfasi sulla relazione tra rischio e valore
➢ Rinnovo focus sull’integrazione di ERM
➢ Miglioramento dell’allineamento tra performance ed ERM
➢ Chiarisce le aspettative in termini di governance e oversight
➢ Stimola un migliore reporting verso il board
76
Queste sono novità significative.
CoSO ERM 2017
Questa freccia è molto importante perché ci fa
capire l’evoluzione e l’aggiornamento apportato
dal Coso report ed ERM 2017.
Si tratta sempre di una freccia verso destra
(guardiamo al futuro) si tratta anche di tante
componenti che si intrecciano tra loro
(importante perché le componenti che si intrecciano mostrano che si tratta di un sistema
integrato). Poi abbiamo l 5 componenti che sono i pilastri del Coso report evolute in contesti
nuovi. Questo modo di integrarsi, (queste componenti che si integrano e si muovono) danno
l’impressione che ci sia qualcosa che si muove verso destra. Quindi ci deve esser maggior
flessibilità della struttura dei controlli.
Cioè superare la rigidità che troviamo nelle versioni precedenti per muoversi sempre più verso
una forma di flessibilità dei controlli.
Per poter comprendere le innovazioni apportate è fondamentale il riferimento alla struttura

ideata dalla commissione, come da figura seguente:
La nuova versione si caratterizza rispetto alla precedente versione per:
UNA MAGGIOR FLESSIBILITA’ DELLA STRUTTURA DEI CONTROLLI
Infatti, si può notare, anche solo graficamente, come la struttura del cubo sia stata sostituita con
una linea direzionale orientata al futuro composta da flussi decisionali che intersecano le varie
componenti al fine di perseguire il raggiungimento degli obiettivi che sono rimasti gli stessi.
Questa è una novità significativa. Dopo anni abbiamo lasciato il cubo che era l’immagine famosa
in tutto il mondo valida al 1992 al 2017 ha rappresentato la struttura del SCI. Sostituire il cubo
con questa freccia direzionale significa un momento di rottura importante. Questo significa che
il segnale da parte della commissione è importante perché i sistemi hanno imposto un certo
cambiamento.
CoSO ERM 2017- NOVITA’

L’Executive Summary del 2017 evidenzia i seguenti aspetti (items) caratterizzanti
l’aggiornamento
1) Fornisce una visione più approfondita del contributo dell’ERM nei processi di
definizione ed attuazione della strategia.
2) Coadiuva l'allineamento tra performance e ERM al fine di migliorare la definizione
degli obiettivi e la comprensione dell'impatto del rischio sulla performance.
3) Chiarisce le aspettative in termini di governance e supervisione: viene confermata
la tendenza verso l’integrazione in ottica di Governance, Risk & Culture (GRC) con
un controllo accentuato da parte della Governance. → GRC è il punto di arrivo di
questa edizione. Quella in grassetto è una novità importante perché in tutte le altre
edizioni il ruolo centrale come attore del SCI competeva al board. In questa nuove
edizioni invece l’attore principale è la governance nel suo complesso. Questa è una
logica conseguenza del fato che si tratta di un sistema integrato.
4) Riconosce la globalizzazione e la necessità di applicare un approccio comune.
5) Presenta nuove modalità di individuazione del rischio e di raggiungimento degli
obiettivi in un contesto di business sempre più complesso.
6) Incrementa l’attività di reporting con lo scopo di raggiungere le aspettative degli
stakeholder, anche con riguardo alla trasparenza.
7) Tiene conto dell’evoluzione tecnologica e della proliferazione dei dati a supporto
del processo decisionale.
8) Ricomprende definizioni, componenti e principi fondamentali per tutti i livelli di
gestione coinvolti nella
progettazione, implementazione e conduzione di pratiche previste dall’ERM.
77
L’Executive Summary → introduzione al framework che riporta i cambiamenti apportati.
Paper su e-learning in cui la Treadway commission ha pubblicato questa nuova versione.
In questa elencazione ci sono concetti molto importanti e di attualità. Ad esempio i

termini
➢ Globalizzazione
➢ Nuove modalità di individuazione dei rischi
➢ Incrementare attività di reporting
➢ Raggiungere le aspettative di stakeholder
➢ Trasparenza
➢ Proliferazione dei dati
Sono concetti che caratterizzano i nuovi sistemi economici globali non esistenti nelle
precedenti edizioni.
CoSO ERM 2017- BENEFICI
Tra i benefici dell’ultima versione del CoSO ERM 2017:
1) L’aumento del range di opportunità: l’analisi dei rischi offre la possibilità di
identificare nuove opportunità da sfruttare; →l’analisi dei rischi offre la
possibilità di identificare nuove opportunità da sfruttare. La nuova concezione
dei rischi, secondo molti, non è una concezione negativa. Quindi il rischio non
viene più visto come un qualcosa di negativo ma come una potenzialità perché
da un rischio la società può determinare opportunità future.
2) Identificare i rischi a livello di entità: utilizzare un approccio di analisi dei rischi a
più livelli permette di identificare un rischio che si genererebbe in una divisione
ma con impatto inun’altra; → se mappi i rischi non a livello di business unit o
divisione ma a livello integrato, gli effetti e le risposte al rischio sono diverse:
a. Eviti duplicazione
b. Tu individuavi rischio su una divisione ma non vedevi l’impatto su
un’altra divisione.
3) Aumentare le performance, riducendo il grado di incertezza;
4) Ridurre la variabilità delle performance: un buon sistema di gestione del rischio
riduce la volatilità delle performance, normalizzando i risultati.
5) Avere un’allocazione delle risorse più efficiente. L’allocazione efficiente
permette di scegliere, in base all’analisi degli impatti dei rischi, la strategia
efficiente da attuare;
6) Incrementare la resilienza aziendale, essendo in grado di anticipare i rischi e non
solo di contrastarli.
Queste sono le prime considerazioni che sono state fatte. Il Coso report è stato
pubblicato nel 2017, le prime società che lo hanno recepito sono state le società
americane. In Italia anche se la diffusione è avvenuto contestualmente, oggi nl 2020 le
società italiane (soprattutto le quotate) stanno facendo fatica. Quindi nel 2017 non vi
erano società quotate italiane che avevano recepito le nuove disposizioni. Nel 2018
hanno iniziato a capire come fare e nel 2019 ci sono stati i primi recepimenti.
Se le società sono capaci di comprendere bene le disposizioni del Coso ERM la

conseguenza è una soddisfazione generale per tutti.
Si evince subito che è cambiato approccio e filosofia cambiando il cubo trasformandolo

in una freccia.
78
Abbiamo visto le motivazioni che hanno portato all’aggiornamento 2017 e le novità. Questa
lezione è dedicate all’analisi dei principi. Già nel Coso report 2013 troviamo I principi ovvero le
regole che permettono di implementare le 5 componenti base. Nel 2013 è nato questo nuovo
modo di fare introducendo degli standard di riferimento. L’edizione 2017 continua su questa
strada ed introduce anche nuovi principi da 17 a 20. Quindi vi è un ampliamento del 2013.
Tutto viene mantenuto ma rivisto e aggiornato a fronte dei cambiamenti e della nuova
filosofia.
Il CoSO Report 2017 definisce un setter di 20 Principi di riferimento di cui le componenti sono
ereditate dalla precedente edizione del 2013 ma in alcuni punti aggiornata e rivista. I principi
sono riconducibili alle 5 componenti del CoSO 2017 secondo il seguente schema di riferimento.
I principi fanno riferimento alle 5 componenti che erano già state statuite nella prima edizione
riviste. Le componenti sono quelle dell’immagine. Per ciascuna di queste componenti (che d’ora
in poi vengono mantenute con la loro dicitura e formulazione originaria).
I 20 PRINCIPI DEL COSO ERM 2017
I) ELEMENTO: GOVERNANCE and CULTURE

Questa è la nuova denominazione, dopo un’attenta rivisitazione, di quello che era il primo
elemento del Coso report ovvero l’ambiente di controllo. La Treadway commission ha detto
che questa componente non è una sostituzione dell’ambiente di controllo ma
un’aggiornamento. Fatta per fare emergere l’importanza dell’attività di fusione della cultura
aziendale operata dalla Governance. Per sottolineare che l’ambiente di controllo si può creare
solo se la governance si impegna a divulgare una cultura aziendale orientata ai controlli. Per
poter fare questo è importante il sistema di ERM. I nuovi assetti di governance devono avere
l’ERM e per riuscire al meglio questo deve basarsi su due elementi importanti come spiegato
sotto.
1) La componente “Governance and Culture” è l’elemento che sostituisce l’Ambiente di
Controllo presente nella prima edizione.
2) Questa innovazione (e non sostituzione) è stata effettuata per far emergere
l’importanza della attività di diffusione della cultura aziendale operata dalla governance.
3) Un solido ed efficace sistema di ERM ha come elementi portanti:
A. RISK GOVERNANCE, ossia l’approccio con cui l’impresa nel suo complesso affronta il
rischio, in termini di ruoli e di responsabilità per la gestione stessa del rischio
B. CULTURA DEL RISCHIO, intesa come valori etici, comportamenti e le peculiarità del
contesto di business.
La cultura del rischio diventa un valore etico. Ogni azienda segue un approccio etico corretto
solo se ricomprende la cultura del rischio. Perché il rischio fa parte della nuova cultura
aziendale a sottolineare che non è più pensabile operare in un contesto privo di rischio. Quindi
diventa una conditio sine qua non per poter procedere nei business per cui una buona
governance tra i suoi valori etici ricomprende una cultura del rischio.
79
1. Governance and Culture: 5 Principi
Anche qui troviamo i titoli in inglese che non sono stati appositamente tradotti perché le
traduzioni che sono state fatte non rendono bene il contenuto. Questo perché sono titoli
stringati ma concentrati. Perché noi con la traduzione italiana non coglieremmo lo spirito della
Treadway commission. Non per tutti ma solo per alcuni ma per evitare di averne alcuni in
inglese ed altri in italiano sono rimasti tutti in inglese.
1) Exercises Board Risk Oversight: il board of directors è l’organismo deputato all’attività di
oversight della strategia al fine di supportare il management nel raggiungimento degli
obiettivi. → si riconferma il ruolo del board di oversight (supervisione totale dall’alto).
2) Establishes Operating Structures: stabilire i comportamenti desiderati all’interno
dell’organizzazione riguardo alla gestione del rischio.
3) Defines Desired Culture: è necessario che i comportamenti desiderati vengano definiti al fine
di instaurare una cultura aziendale. L’espressione desiderati la troviamo in due principi a
sottolineare che il filo conduttore è quello di una condivisione perché se è un comportamento
desiderato dai membri di tutto l’organizzazione è stato condiviso. Quindi il prerequisito di
questo nuovo sistema di Coso report sono i comportamenti alla base condivisi.
4) Demonstrates Commitment to Core Value: dimostrare che i valori aziendali non siano
un’utopia, ma perseguibili nel loro rispetto e raggiungimento.
5) Attracts, Develops, and Retain Capable Individuals: attrarre, sviluppare e mantenere le
risorse competenti per costruire un capitale umano in linea con le finalità aziendali
Quest’ultimo aspetto è molto innovativo. Oggi una buona governance si percepisce anche dalla
sua capacità di attrarre risorse umane di valore e soprattutto di riuscire a mantenerle. Questo
sta comportando dei cambiamenti. Mentre in passato era positivo per i giovani cambiare posto
di lavoro perché si fa curriculum (in linea con la filosofia del passato). Dal 2017 questo nuovo
orientamento è stato rafforzato dal Coso report, si tende a perseguire una finalità diversa. Visto
che il successo di un’azienda è in gran parte legato alle risorse la governance, se sa che le sue
risorse umane sono di valore, deve mantenerle perché solo così istituisce un patrimonio di
risorse umane per poter crescere al meglio.
2. Strategia & Definizione degli Obiettivi
1) Le aziende in base alle proprie caratteristiche possono già definire il Risk Appetite e
conseguentemente i “paracaduti aziendali”: ovvero quelle scelte che permettono di evitare
o contenere i rischi. → abbiamo già visto il concetto di risk appetite che definisce il rischio
sostenibile e se sei in grado di definire questo sei capace di definire i paracaduti aziendali per
fronteggiare il rischio. Da questo punto di vista ogni sistema di governance non deve avere
come obiettivo l’eliminazione del rischio (infatti i rischi non sono eliminabili e sono elementi
intrinsechi all’attività aziendale perciò è necessario conviverci).
2) L’obiettivo di qualsiasi sistema di governo dei rischi non è l’eliminazione completa del rischio
che costituisce elemento intrinseco dell’attività di impresa.
3) Lo scopo ultimo della gestione del rischio dovrebbe essere quello di valutare quali rischi
assumere al fine di conseguire i risultati attesi e come reagire in caso si manifestino rischi
inaspettati.
2. Strategia & Definizione degli Obiettivi:4 Principi
6) Analyzes Business Context: l’organizzazione è tenuta a considerare il contesto
aziendale ed il suo impatto sui vari profili di rischio. valore, quindi degli obiettivi.
7) Defines Risk Appetite: la definizione della propensione al rischio (risk appettite) deve
considerare la creazione, conservazione e realizzazione di valore, quindi degli obiettivi.
Qual è il livello di rischio accettabile? Qual è la propensione al rischio?
8) Evaluates Alternative Strategies: dotarsi di diverse opzioni nell’aggiramento o
superamento del rischio. Queste alternative vanno valutate in relazione all’impatto sul
profilo di rischio.
9) Formulates Business Objectives: formulare obiettivi di business che devono essere
coerenti con la strategia fissata.
3. Performance: 5 PRINCIPI
Può essere considerata l’essenza della vecchia Valutazione dei Rischi.
10) Identifies Risk: l’organizzazione deve necessariamente identificare i rischi, ed il loro
impatto sulle performance e sul raggiungimento degli obiettivi.
11) Assesses Severity of Risk: è opportuno valutare la rischiosità, la gravità del
rischio (severity risk). → è un aspetto importante in quanto questo va a introdurre un
80
concetto di misurazione del rischio perché ci sono rischi meno severi, gravi. Altri che
sono invece più gravosi (più severi) cioè l’impatto a livello di governance è più rilevante
o perché il paracadute non riesce a tutelarci.
12) Prioritizes Risks: è consigliabile categorizzare i rischi sulla base della risk tollerance
dell’organizzazione, per poter meglio definire le risposte al rischio.
13) Implements Risk Responses: successivamente è necessario individuare le risposte ai
vari rischi più appropriate.
14) Develops Portfolio View: definita la matrice di risposta ai rischi (ovvero tutte le
possibili combinazioni) è possibile, avendo una visione d’insieme, sviluppare un
portfolio di risposte utile per il raggiungimento degli obiettivi.
4. Review & Revisione: 3PRINCIPI
Corrisponde in parte alla componente Informazione e Comunicazione Della precedente
edizione
15) Assesses Substantial Change: identificare e valutare i cambiamenti sostanziali che

possono impattare sulla strategia e sugli obiettivi.
16) Reviews Risk and Performance: è necessario, nella revisione delle performance,
considerare i rischi.
17) Pursues Improvement in Enterprise Risk Management: perseguire il miglioramento
della gestione del rischio aziendale.
Questi tre principi vanno tutti letti con una visione globale di dire vado a monitorare i
cambiamenti che impattano su strategie e obiettivi. Questo porta una modifica dei rischi e
performance e tutto ciò, se io vado a modificare per combattere, significa che deve
comportare ad un miglioramento e potenziamento di Enterprise Risk Management.
5. Informazione,Comunicazione & Reporting:3 PRINCIPI
E’ assimilabile alla componente Monitoraggio:
18) Leverages Information System: sfruttare le informazioni e i sistemi tecnologici per
supportare la gestione dei rischi aziendali.
19) Communicates Risk Information: utilizzare i canali di comunicazione per supportare la
gestione dei rischi aziendali.
20) Reports on Risk, Culture and Performance: riferire a più livelli e in tutta l’entità in
merito a rischio, cultura e prestazioni.
Questo ultimo lo possiamo chiudere con il primo (come un anello) perché è un report finale
che contiene la rendicontazione dei principi fondanti ossia il rischio, cultura e performance e io
devo esser capace, secondo determinate scadenze, di fare un report che va a rendicontare in
merito a questi tre items. Questo report per l’importanza che riveste deve esser divulgato a
tutti i livelli per avere una comunicazione diffusa tra tutti i soggetti che operano all’interno e
all’esterno dell’organizzazione.
81
Questa lezione è dedicata alla relazione del coso report come supporto alla gestione di una
particolare tipologia di rischi: ovvero ESG (tre tipi di rischi tipici degli attuali contesti
Enviorment, Governance, Social)
L’ERM -2017 a supporto della gestione dell’ESG Risks

La gestione del rischio diventa fondamentale e non solo, ma già come si legge nella premessa,
la gestione del rischio diventa tanto importante da svolgere un duplice ruolo di collegamento:
1. La gestione del rischio partecipa da una parte alla definizione delle strategie
2. Dall’altra va a guidare tutto l’intero processo di determinazione delle performance
ottenute.
Già nella premessa, contenuta nell’Executive Summary, è esplicitato che nel nuovo Report la
gestione dei rischi diventa centrale. Da un lato partecipa alla definizione della strategia,
dall’altro guida il processo di determinazione delle performance ottenute.
il CoSO ERM 2017 individua quattro tendenze che avranno effetti sul risk management
aziendale:
1. Affrontare la proliferazione dei dati. L’ l’ERM dovrà adattarsi all’aumento dei dati a
disposizione e alla velocità di analisi degli stessi. Per cui servono nuovi strumenti di analisi
e di visualizzazione, per cui sarà molto utile comprenderne i rischi e gli impatti; → Le
società devono affrontare ad un aumento della quantità di dati ma soprattutto la velocità
di analisi. In un contesto in cui i dati sono molti e viaggiano veloci l’ERM deve individuare
nuovi strumenti di analisi per comprendere rischi e impatti connessi ad aumento dei dati.
2. Sfruttare l’intelligenza artificiale e l’automazione. Le pratiche di ERM devono
considerare queste tecnologie e quelle per cui saranno necessarie numerose informazioni
per gestire il rischio di queste nuove relazioni, tendenze e modelli; → le società entrano
sempre più in contatto con intelligenze artificiale e automazione.
3. Gestione dei costi del risk management. Dirigenti e aziende devono considerare i costi
derivanti dalla gestione dei rischi, dei processi di conformità e delle attività di controllo
4. Costruire organizzazioni più forti Le organizzazioni devono migliorare l’integrazione della
gestione del rischio aziendale con la strategia e le prestazioni, in modo da anticipare la
gestione dei rischi con maggior impatto sull’entità.
A. L’ERM dovrà adattarsi al futuro per fornire i benefici indicati nel framework. Con i
giusti accorgimenti tali benefici supereranno gli investimenti e daranno
consapevolezza alle organizzazioni della loro capacità di gestire il futuro.
Dopo la pubblicazione di ERM 2017 molti studiosi hanno espresso pareri in merito e molti nel
titolo mettevano un riferimento al futuro “ERM guarda al futuro, deve adattarsi al futuro” solo
così si possono avere benefici superiori ai costi
B. Negli ultimi anni le entità, comprese le imprese, i governi e le istituzioni no profit,
dovranno affrontare un panorama in evoluzione dei rischi relativi all’ambiente, alla
società e alla governance, detti appunto “ Environmental, Social & Governance (ESG)
che possono influire sulla redditività, sul successo e sulla sopravvivenza. → basta
vedere ai disastri ambientali degli ultimi anni. Un rischio temuto con effetti devastanti
è quello del cambiamento climatico. Tutti questi stanno determinando perdite per le
società rilevanti.
C. I fattori Environmental, Social e Governance (ESG), sono diventati sempre più rilevanti,
in quanto disastri ambientali, questioni sociali o problematiche aziendali hanno
causato ingenti perdite a molti imprenditori. Oggi la capacità di analizzare i fattori ESG
rappresenta, sicuramente un “plus” in grado di modificare la sostenibilità a lungo
termine, e quindi ottenere un vantaggio competitivo. Tale vantaggio si può ottenere
se il fattore ESG è adeguato alla tipologia di business aziendale
La componente performance del CoSO ERM 2017 è stata suddivisa in tre parti con specifico
riferimento agli ESG.
82
Come interpretiamo questo schema? Abbiamo il
nostro flusso che si intreccia (dati che si
intrecciano) che rappresenta l’immagine per
schematizzare ERM 2017. È una novità in quanto
sostituisce l’utilizzo del cubo. Questo flusso lo
abbiamo visto orizzontale ad indicare un flusso
verso il futuro. In questo schema il flusso è
messo in modo verticale in cui sono
rappresentati i 5 componenti. Ora la
componente centrale che è quella intitolata alle
performance for (riveduta e corretta) per
definire uno specifico strumento per l’ERM.
Infatti la terza componente è definita performance for ESG-related risks quindi è uno specifico
modello riferito a questi tre importanti rischi. Per far si che ERM svolta questo ruolo questa terza
componente è stata suddivisa in tre sottocomponenti:
1. IDENTIFIES RISK Identificare il rischio e di come esso influisca sulla performance della
strategia e sugli obiettivi aziendali. Per i rischi riferiti agli ESG i manager devono
comprenderli anche se trattasi di rischi difficilmente identificabili perché spesso sono o
rischi nuovi ed emergenti o rischi a lungo termine. Spesso questi rischi non sono
identificabili in quanto nuovi ed emergenti ma soprattutto a lungo termine.
2. ASSESSES & PRIORITIZES RISKS (valutazione e categorizzazione dei rischi in base alla
priorità) Consiste nella valutazione e assegnazione delle priorità ai rischi. Ogni rischio deve
essere valutato dal management in base al contesto aziendale, alle strategie adottate, ai
benefici attesi e la propensione al rischio dell’azienda.
3. IMPLEMENTS RISK RESPONSES Consiste nell’implementazione delle risposte ai rischi. I
rischi legati all’ESG sono difficili da prevedere ed hanno un impatto significativo
sull’impresa. Per gestire meglio tale situazione, l’impresa deve effettuare una chiara
assegnazione dei rischi ai relativi Risk Owner. Ogni risk owner è responsabile, quindi, della
gestione delle risorse per la progettazione e implementazione della risposta al rischio.
Significa che venga strutturata e integrata con queste finalità (di dedicarsi alla gestione di ESG)
deve suddividere la componente in sottocomponenti.
A fronte di ciò viene introdotto un nuovo attore (risk owner) cioè responsabile del rischio. È un
manager particolare con skills e abilità specifiche per gestire le risorse al fine di dare risposte ai
rischi. Questi rischi sono in primis i nuovi tipi di rischi ESG.
Documenti che mostrano che le società danno importanza ai rischi?

Data la crescente attenzione per gli ESG, il CoSO e il WBCSD (World Business Council for
Sustainable Development) hanno collaborato per sviluppare una guida, “Guidance for Applying
Enterprise Risk Management”, pubblicata il 23 ottobre 2018, finalizzata ad aiutare le entità a
comprendere, gestire e divulgare questi rischi efficacemente.
Tale guida si allinea con l’Enterprise Risk Management-Integrating with Strategy and
Performance ed è un prezioso contributo per l’applicazione del Framework ERM CoSO 2017 ai
rischi ESG. Non esiste una definizione universale di rischi relativi all’ESG, che può essere indicato
come rischio di sostenibilità, non finanziario o extra finanziario.
Questa guida non fornisce definizione specifica di risk ESG ma si limita a sintetizzare.
Sottolineando che ESG sono rischi di sostenibilità non finanziario o extra finanziario. Sottolinea
che sono connessi alla sostenibilità. Quindi non esiste una definizione ma ne esistono molte.
Ogni studioso ha prodotto specifiche ricerche per esprimere il proprio pensiero ed
interpretazione.
L’ERM -2017 a supporto della gestione dell’ESG Risks

Qui troviamo gli approcci più condivisi degli ultimi anni:
1. ENVIRONMENT consiste nel contributo di un’entità ai cambiamenti climatici attraverso le
emissioni di gas serra, insieme alla gestione dei rifiuti e all’efficienza energetica
2. SOCIAL si tratta dei diritti umani, degli standard di lavoro nella catena di
approvvigionamento, dell’esposizione al lavoro minorile illegale e a questioni più di routine
come l’osservanza delle normative sulla salute e sicurezza sul lavoro
83
3. GOVERNANCE consiste nell’insieme di regole o principi che definiscono diritti,
responsabilità e aspettative tra le diverse parti interessate nella governance delle società.
Quando è ben definita può essere utilizzata per bilanciare o allineare gli interessi tra le parti
interessate e può fungere da strumento per supportare la strategia a lungo di un’azienda
GLOBAL RIKS REPORT 2019

Un altro documento che ci mostra come l’evoluzione dei rischi ha portato verso questa
direzione degli ESG è il risultato dell’edizione 2019 di un report aggiornato dal 2006
Per meglio comprendere le considerazioni sull’evoluzione dei rischi è sufficiente approfondire
l’ultima edizione del The Global Risks Report 2019. Questo Report viene pubblicato ogni anno
dal World Economic Forum ed aggiornato ogni anno dal 2006, effettuando un’analisi
comparativa tra le diverse edizioni si evidenzia la variazione dei rischi nell’ultimo decennio
Le macrocategorie dei rischi considerate sono riconducibili alle seguenti aree:
• Economic;
• Environmental;
• Geopolitical;
• Societal;
• Technological.
Analizzando l’evoluzione delle 5 categorie di rischi considerando la probabilità che si verifiche

l’evento e l’impatto che ne deriverebbe si possono trarre delle considerazioni significative in
merito ai cambiamenti in atto: quattro dei “Top Risk” sono riconducibili a fenomeni ambientali,
sociali.
Come si legge questo grafico?

Innanzituto questo grafico si riferisce ad un raggio temporale di 10 anni (2009 -2019) e serve a
mappare l’evoluzione dei rischi nell’ultimo decennio. Sono indicati con colori diversi le 5
tipologie di rischi
➢ Economici blu
➢ Ambiente verde
➢ Geopolitici giallo
➢ Sociali rosso
➢ Tecnologici rosa
Allora si nota subito, guardando la distribuzione dei colori, come nel 2009 la maggior parte dei
rischi erano di natura economica. Due rischi sociali e uno geopolitica
Nel 2014 troviamo rischi variegati. Per la prima volta appaiono i rischi ambientali (acqua,
clima). Abbiamo ancora qualche rischio economico, un rischio sociale e compaiono due rischi
tecnologico.
Nel 2019 è quasi tutto verde a sottolineare che la maggior parte dei rischi delle società sono
rischi connessi all’ambiente. (cambiamenti climatici, acqua, eventi naturali)
nel 2019 sono venuti meno i rischi economici. Vuol dire che per la prima volta i rischi
ambientali hanno superato i rischi economici.
Nel 2009, con l’avvento della crisi economica, tutte le imprese si focalizzavano,
comprensibilmente, sui profitti, sul raggiungimento dell’equilibrio economico. Pertanto, si
giustifica la prevalenza, in quegli anni, dei rischi economici quali:
84
- Aumento dei prezzi di petrolio e gas;
- Crollo dei prezzi degli asset aziendali;
- Crisi fiscali;
- Rallentamento dell’economia cinese.
Nel 2009 non erano neanche presi in considerazione i rischi ambientali, dopo dieci anni, secondo
il World Economic Forum la situazione cambia radicalmente, tutte le imprese devono far fronte
non più a rischi economici ma ai rischi ambientali quali:
- Disastri naturali;
- Condizioni meteorologiche avverse;
- Cambiamenti climatici;
Inoltre, nel 2019 le imprese devono fronteggiare, non solo rischi ambientali ma anche rischi
tecnologici (frode di dati e attacchi informatici), rischi di natura geopolitica come le armi di
distruzione di massa e rischi di tipo sociale quale la scarsità idrica.
Tali rischi non solo sono diventati più frequenti, ma espongono le aziende a gravi conseguenze,
sia in termini operativi che reputazionali sino a condizionarne anche i risultati finanziari.
I dati riportati sono la risultante della survey condotta nel 2018 con cui veniva richiesto di
esprimere un parere (tra 1 e 5) sulle singole questioni. La media dei risultati ottenuti ha
permesso di disporre graficamente i rischi e di estrapolare quelli maggiormente incisivi che,
come prevedibile, sono riconducibili a quelli ambientali.
È stato chiesto di esprimere un parere da 1 a 5 sui rischi più preoccupanti per le società. Cioè
quelli più incisivi. Vediamo che i rombi più alti e grandi sono quelli ei rischi ambientali. Nella
parte alta del grafico vediamo come abbiamo
delle valutazioni alte (prossime a 4 – 4,5)
relativamente ai rischi ambientali. Questo è un
altro documento importante pubblicato
insieme al report del 2019.
I cambiamenti climatici hanno un forte

impatto sull’economia e sulle scelte
strategiche delle varie industrie. L’economia
circolare, l’abbattimento di consumi, emissioni
e volumi di rifiuti non riciclabili, sono le sfide
principali che le grandi aziende mondiali si
trovano ad affrontare oggi
Altra categoria di rischi emergenti riguarda le

minacce informatico-tecnologiche. Virus, furto
di dati e hackeraggio gravano su sistemi di controllo interno molto spesso inadeguati per
affrontare questo tipo di avversità. Nell’ultimo decennio con l’avvento della digitalizzazione e
dell’utilizzo della connettività si è visto un aumento esponenziale, sia in termini di impatto che
di probabilità, di attacchi informatici o di perdite di dati a danno delle aziende. Ciò ha portato
sempre più a prendere in considerazione l’opportunità di dotarsi di ottimi esperti in cyber
security per far fronte a tali rischi. → sono molto importanti perché spesso il sistema di gestione
del rischio, per quanto evoluto, non è in grado di affrontare e fronteggiare in modo adeguato
queste minacce informatiche e tecnologiche. Sono quelli che negli ultimi anni stanno crescendo
in modo esponenziale persino più di quelli ambientali. Per cercare di contenere le minacce
tencologico a livello internazionale ci si sta attrezzando cercando di definire nuove risorse
umane e manager specializzati a mappare e fronteggiare questi rischi connessi a minacce
tencologiche. Infatti oggi una figura richiesta è l’espero di cyber security ma importante è anche
l’introduzione di una specifica normativa:
Molto importante da citare è il recente regolamento europeo 679/2016, detto GDPR (General
Data Protection Regulation), che stabilisce :
1) regole relative alla protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché norme relative alla libera circolazione di tali dati;
2) norme per la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in
particolare del diritto alla protezione dei dati personali.
L’introduzione di tale normativa ha portato numerose imprese a dotarsi di una struttura
appositamente dedicata alla GDPR. Prende così importanza la figura del Data Protector Officer
responsabile della mitigazione dei rischi riguardanti il furto di dati sensibili di una società.
85
Il RUOLO DEL BOARD secondo COSO_ERM 2017
Con il nuovo Report, il ruolo del Board diventa sempre più centrale e rilevante. L’attività di
oversight, ovvero di supervisione generale, conferisce una responsabilità globale e quindi i
poteri effettivi di incidere sull’operato dell’Internal Audit. → rafforzamento dei poteri del Board
Quindi il board diventa il primo attore, quello più importante, in una nuova logica di
rafforzamento dei poteri dati al board.
Da dove si percepisce questo ruolo più importante?
Data l’importanza che riveste il Board, non solo nella gestione del rischio, il CoSO sottolinea le
attività imprescindibili che sono attribuite al Board of Directors e precisamente:
1) La definizione di Strategie e valutazione del Risk Appetite;

2) La valutazione della coerenza della strategia e degli obiettivi (principali collegati a visione
misson) con la mission, vision e valori fondamentali dell’entità;
3) Le decisioni in merito ad operazioni straordinarie significative, quali acquisizioni, fusioni,
finanziamenti, aumenti di capitale, distribuzione di dividendi, ecc.; → cosa c’entra SCI con
operazioni straordinarie? Ogni volta che società mette in atto queste azioni significa che
1. SCI ha attuato in modo chiaro e preciso le attività di controllo in merito con
riferimento alla finalità
2. Il board monitora in modo più attento rispetto al passato
4) La valutazione di risposte alle fluttuazioni delle performance o del rischio determinato;→ il
board è obbligato a prestare molto attenzione a come variano le performance soprattutto
rispetto agli obiettivi predeterminato.
5) Azioni da intraprendere in caso di comportamenti devianti dalle strategie fondamentali;
6) Approvazioni dei meccanismi per incentivi e remunerazione del personale; → perché le
risorse umane siano coinvolte in questo sistema di controllo diventa fondamentale la
condivisione ovvero che ciascuna risorsa umana contribuisca direttamente alla buona
realizzazione e al raggiungimento degli obiettivi.
7) Relazioni con gli stakeholders. → importanti perché questa nuova filosofia richiede che vi
sia il coinvolgimento di tutti gli stakeholder. Questo diventa compito del board di
coinvolgere e prestare attenzione a loro sia nella definizione di mission e vision ma anche in
tutte le attività
In realtà questa elencazione non è completa perché in più punti il riferimento al board è
presente e le attività specifiche del board. Quindi troviamo un concetto nuovo che sicuramente
era presente nelle altre edizioni ma qui è sottolineato ovvero valutare il risk appetite.
Il Board ha anche il compito di determinare la strategia da intraprendere per la cui

individuazione non va considerato esclusivamente il rischio, ma, secondo il CoSO Report 2017,
altre due variabili da tenere in considerazione
A. La possibilità che la strategia non sia allineata alla vision, mission e cultura aziendale. La
coerenza tra strategia e valori aziendali è una condizione necessaria per l’efficacia ed
efficienza di un ERM. → è molto più importante la coerenza tra strategia e valori aziendali
piuttosto che con il rischio. È importante il rischio ma di più la coerenza.
B. Vanno considerate le implicazioni della strategia scelta. Ciò in quanto sono molte le
opzioni da intraprendere nella gestione del rischio
Ciò che è significativo è l’allineamento tra strategia e valori aziendali nel Coso ERM 2017.
L’EVOLUZIONE DELL’AMBIENTE DI CONTROLLO NELLA PROSPETTIVA DELLASOSTENIBILITA’

L’ambiente di controllo è quella filosofia secondo cui i controlli sono molto importanti, e che vi
sia disponibilità a farsi controllare da parte di tutti i soggetti coinvolti. Quindi è il primo
mattone importante per costruire tutta la struttura dei SCI.
Sicuramente questa è la componente più soggetta ad aggiornamenti. Tutti volti affinchè le
società potessero adattarsi ai cambiamenti dell’ambiente economico. I contesti sociali ed
economici in 20 anni sono radicalmente cambiati.
L’ambiente di controllo è una componente che è stata fortemente modificata in ogni

aggiornamento del CoSO report.
Nei SCI pre-introduzione del CoSO 1992, l’ambiente di controllo era inteso come componente
passiva, nella quale venivamo attuati i controlli da parte del Board. Era considerato il luogo in
cui il management realizzava i controlli preventivati.
86
Con il CoSO Report questa filosofia è stata ribaltata a favore di una più ampia concezione. Dal
1992 l’ambiente di controllo è sinonimo di struttura organizzativa, e di principi quali:
competenza, segregation of duty (divisione dei ruoli e responsabilità*), indipendenza, valori
etici e cultura aziendale
*) per ciascun soggetto è necessario sia chiaro quale sia il suo ruolo e responsabilità all’interno
di una struttura organizzativa. Solo se è rispettata la segregation of duty diventa semplice,
durante i controlli, percepire se ognuno ha espletato i propri ruoli, le responsabilità che gli
competono ed è anche chiara la persona/soggetto con cui interagire in caso di carenza.
Queste sono state le prime novità dell’ambiente di controllo durante la prima edizione. La
definizione è stata influenzata dal seguente report:
Il Report of the National Commission on Fraudolent Financial Reporting del 1987, risultato della
commissione istituita per studiare i comportamenti fraudolenti e documento ispiratore della
formazione del Committee of Sponsoring Organizations of the Treadway Commission, definisce
l’ambiente di controllo come:
“The corporate control environment is the atmosphere in which the internal accounting controls
are applied and the financial statements are prepared. A company's control environment
includes management philosophy and operating style, organizational structure, methods of
communicating and enforcing the assignment of authority and responsibility, and personnel
management methods. The control environment has a pervasive impact on the entire process
by which a company's financial reports are prepared.”
Novità
- stile direttivo e filosofico del management, la struttura organizzativa e i metodi
comunicativi.
- pervasivo”. Ovvero, si riconosce la natura diffusiva della governance nei diversi profili
della realtà societaria, con specifico riferimento alla reportistica finanziaria
Coso Report 2004 – introduzione ERM

Nel 2004 si assiste alla prima introduzione dell’Enterprise Risk Management. Di riflesso, tutte
le componenti, divenute otto, subiscono l’influenza del concetto di ERM. Per ciò che riguarda
l’ambiente di controllo, esso viene definito Internal Environment e non più Control
Environment.
La definizione data da tale Report è:

“The internal environment encompasses the tone of an organization and sets the basis for how
risk is viewed and addressed by an entity’s people, including risk management philosophy and
risk appetite, integrity and ethical values, and the environment in which theyoperate.”
CoSO report 2013

Il CoSO Report 2013 segna un ritorno al passato. Si torna ai cinque componenti, di cui la prima:
Control Environment.
Oltre ad una concezione più snella, furono introdotti dei principi a supporto di ogni
componente.
La vera novità è l’introduzione dei principi di riferimento che per il controllo Ambiente sono i
seguenti
Per ciò che riguarda la componente ambiente di controllo, i principi di riferimento sono:
1. Demonstrates commitment to integrity and ethical values;
2. Exercises oversight responsibility; → primo riferimento a oversight
3. Establishes structure, authority and responsibility;
4. Demonstrates commitment to competence;
5. Enforces accountability. → rendicontazione
Le regole sono più snelle e veloci. I principi si traducono in linee guida a cui segue un’operatività
più snella.
87
Coso report 2017
L’espansione dell’ambiente di controllo trova il suo culmine con l’ultimo aggiornamento del
Report: il CoSO Report 2017 – Integrating with Strategy and Performance con cui si configura il
ritorno all’ERM secondo un approccio più particolareggiato.
Anche con edizione 2017 troviamo i principi che sono diventati in totale 20. I principi
sottolineano il ruolo di oversight del board e quello di cultura in quanto i principi sono
finalizzati a sottolineare i due aspetti più rilevanti nell’ambiente di controllo del 2017:
➢ Pervasività totale
➢ Cultura aziendale.
La componente ambiente di controllo prende ora il nome di Governance & Culture.

I principi a essa dedicati sono:
1. Exercises Board Risk Oversight;
2. Establishes Operating Structures;
3. Defines Desired Culture;
4. Demonstrates Commitment to Core Value;
5. Attracts, Develops and Retains Capable Individuals.
Questi postulati, in aggiunta alla definizione data, sintetizzano perfettamente l’aspetto

della pervasività. Ora la parola chiave è diventata “cultura aziendale”,
La direttrice evolutiva dell’ambiente di controllo può essere paragonata, o addirittura

considerata intersecante, a quella relativa al reporting e all’aspetto sociale che sta divenendo
sempre più centrale nelle logiche aziendaliste.
Quindi abbiamo visto l’importanza di indicatori economici-finanziari ma anche ambientali e
sociali. La nuova governance in questi rinnovati contesti deve esser in grado di fare una
valutazione precisa e attenta dell’aspetto sociale e ambientale.
In tal senso la governance sta assumendo un valore differente ovvero più rassicurante nei
confronti degli stakeholder, inglobando non più solo indicatori economici-finanziari ma anche
aspetti ambientali e sociali.
A questo proposito, la governance, supervisor e dominus della componente “Ambiente di
Controllo”, si sta assestando su questo nuovo paradigma divenendo sempre più “sociale”.
Quindi i SCI hanno come ulteriori finalità: la tutela del mercato, degli interessi dei terzi e della
fiducia riposta nell’entità. Per far ciò è opportuno introdurre il termine sostenibilità, da
correlare all’entità che svolge la propria attività con il fine di soddisfare il più ampio ventaglio
di interessi.
Il concetto che meglio si adatta a ciò è il CSR: Corporate Social Responsibility.
In sintesi il passaggio è questo:

L’ambiente di controllo è evoluto in tutte le edizioni del Coso report. Noi siamo nell’ultima
evoluzione (del 2017) secondo cui ambiente di controllo è diventato Governance e Culture e
significa per la società essere attenta e focalizzata sul sociale. Solo così può soddisfare il
maggior numero di stakeholder. Questo vuol dire assumere una direzione corporate Social
Responsability. Questo è il punto di arrivo.
Le definizioni in dottrina di CSR sono molte ma quella più accreditata è la seguente:

La definizione più istituzionale è quindi forse quella contenuta nel Libro Verde della Comunità
Europea secondo cui:
“Essere socialmente responsabili significa non solo soddisfare pienamente gli obblighi
giuridici applicabili, ma anche andare al di là investendo “di più” nel capitaleumano,
nell’ambiente e nei rapporti con le altre parti interessate.”
Ovvero rispetto norme e statuti è importante ma bisogna investire nell’ambiente e nel capitale
umano e il rapporto con tutte le parti interessate (stakeholder)
88
A questo proposito la Commissione tiene anche a precisare che la governance deveporre
attenzione a due “dimensioni”:
1) DIMENSIONE INTERNA
2) DIMENSIONE ESTERNA
Dimensione Interna:
1) Gestione delle Risorse Umane: istruire e formare risorse umane al fine di attrarre e
conservare i lavoratori qualificati. → oggi vogliamo trattenere le risorse umane.
2) Salute e Sicurezza nel Lavoro: problematica centrale soprattutto nell’esternalizzazione del
lavoro. Utilizzare come criterio di scelta la garanzia fornita dall’appaltante.
3) Adattamento alle Trasformazioni: una ristrutturazione socialmente responsabile equivale
ad equilibrare e prendere in considerazione gli interessi e le preoccupazioni di tutte le
parti interessate ai cambiamenti e alle decisioni. → la novità va gestita in quanto spesso
si percepisce come un ostacolo.
4) Gestione degli Effetti sull’Ambiente e delle Risorse Umane: la riduzione dei consumi di
risorse, emissioni e rifiuti è una scelta win-win sia per l’azienda, che riduce i costi, sia per
l’ambiente, in quanto non si sfruttano le risorse scarse e/o non si producono eccedenze
difficilmente smaltibili.
Dimensione Esterna:
1) Comunità Locali: è importante tenere in considerazione la comunità nella quale l’entità si
inserisce.
2) Partnership Commerciali, Fornitori e Consumatori: è opportuno segnalare le sinergie
avviate con i partner, sempre nel rispetto delle normative relative alla concorrenza.
3) Diritti dell’Uomo: le politiche aziendali possono intaccare i diritti garantiti all’uomo,
inteso come lavoratore (interno) o cittadino (esterno). I codici di condotta mirano a
definire i confini entro i quali gli
effetti della gestione aziendale non ledono i diritti altrui.
4) Preoccupazioni Ambientali a Livello Globale: le scelte interne alla società possono
influenzare anche la tematica ambientale.Un comportamento socialmente accettato
mira ad incontrare positivamente le richieste della collettività ma diviene anche un buon
esempio per le altre entità.
La dimensione esterna vuol dire analizzare quei parametri che stanno al di fuori dell’entità
stessa.
Il messaggio è che l’ambiente di controllo si è evoluta in tutte le edizioni fino ad assumere
questa nuova dimensione dove l’ambiente di controllo è sempre più rivolto verso l’aspetto
socio-ambientale: salvaguardia e rispetto delle problematiche. Per cercare di gestire al meglio
queste problematiche che caratterizzano gli attuali contesti.
L’ambiente di controllo per funzionare al meglio deve esser messo nelle condizioni di
conoscere nuovi paradigmi perché solo così può controllarli, intercettarli, prevedere linee
guide per fronteggiarli al meglio .
89
CoSo Report: tradizione e novità Uno sguardo al futuro
Coso ERM 2017
la seguente immagine mostra il passaggio tra Coso report 2013 e 2017. L’obiettivo della
lezione è vedere immagini che sintetizzano le caratteristiche del processo evolutivo del coso
report. Sono immagini molto consolidate.
Tra i due framework c’è il ponte a sintetizzare che è un passaggio. È uno strumento che collega
ma segna la nitida separazione perché il Coso report 2013 è stato innovativo per quanto
riguarda i primi 17 principi. I principi sono diventati standard di riferimento per disciplinare il
SCI poi li troviamo anche nell’edizione del 2017. Qui sono stati riveduti, rinominati ed ampliati.
C’è stato un ponte a sottolineare la continuazione. Ma ci sono anche fratture infatti nel 2017
viene sostituita la figura del cubo che viene ritenuto non più idoneo. Identificava la
tridimensionalità e non è più sufficiente perché siamo in una nuova era con rischi e orizzonti
diversi quindi il cubo non è sufficiente.
qui abbiamo l’evoluzione del Coso report.
- 1992 primo Cubo per la prima volta appare con la denominazione sopra indicata con 5
componenti e 3 obiettivi
- 2004 seconda edizione dove per la prima volta vi è la ridefinizione e appare l’acronimo
ERM con la novità di 8 componenti e 4 obiettivi. Il cubo aumenta le sue parti
componenti sia per gli elementi che costituiscono SCI e obiettivi. Sulla terza facciata
sono riportate le diverse forme di organizzazione. Nel 1992 si parla di unit mentre nel
2004 abbiamo un ritorno al passato:
o Rapporti partecipativi
o Struttura funzionale
- 2013 troviamo un ritorno al passato:
o Componenti tornano ad esser 5
o Obiettivi tornano 3 ma obiettivo reporting non è più financial ma di
rendicontazione in senso ampio. Rispecchia il diffondersi della rendicontazione
- 2017 non c’è più il cubo ma vedremo come abbiamo fatto un ulteriore modifica perché
abbiamo previsto la copertina del volume di riferimento
90
Questa immagine riporta dal 1990 fino al 2015 gli scandali finanziari per ricordare che più volte
abbiamo visto che la treadway commission interviene e richiede aggiornamento quasi sempre
come conseguenza di uno scandalo o crisi finanziaria talmente tanto da apportare effetti a
livello internazionale. Ad un certo punto i SCI non sono più efficienti o efficaci perché lavorano
in contesti evoluti. Quindi il SCI non è più idoneo e porta a scandali finanziari. Oggi in questo
contesto globalizzato anche se la crisi parte negli USA in tempo quasi immediato arriva in tutto
il resto del mondo. Così il Coso report viene aggiornato ma non solo questo, infatti anche tutte
le leggi e normative sono sempre state prodotte e pubblicate dai vari organismi come reazione
di uno scandalo: es SOX, aggiornamento del codice di autodisciplina. Sopra in rosso abbiamo gli
scandali finanziari e sotto gli aggiornamenti.
Quindi abbiamo le tre ondate di scandali e conseguenti aggiornamenti.(leggi)
Fallimento del SCI? Fallimento del Risk Management? Fallimento della Governance?
…da SCI a SCIGR
Questa immagine riprende quella di sopra ma abbiamo nell’ultimo riquadro la copertina del
framework. Anche il titolo Fallimento del SCI? Fallimento del Risk Management? Fallimento
della Governance? Queste domande per sottolineare una chiave di lettura un po’ critica che è
stata sollevata dagli studiosi: se noi abbiamo assistito a continui aggiornamenti vuol dire che in
primis c’è stato un fallimento del SCI e poi la treadway commission quando ha istituito ERM
allora è fallito anche quello.
Questa è una chiave di lettura apportata da alcuni studiosi. Altri hanno risposto che non sono
stati fallimenti ma interventi necessari che fanno si che le società devono recepirli. Questa slide
definisce il processo evolutivo. Noi siamo passati da un SCI a SCIGR e gli attuali contesti la terza
91
fase è quella di GRC cioè governance risk and Compliance. Oggi il SCI come nell’edizione del
2017 ha decretato questo sistemo integrato basato su un controllo GRC.
Perché la Tradizione? Il CoSO – Internal Control (1/3)

L’internal Audit dal 1992 ha sempre usato il Coso Model come riferimento…
Qui sotto nel riquadro abbiamo una pietra miliare. Il Coso report si basa sull’iniziale
commissione voluta dalla SEC per dare via a questo processo.
COSO was organized in 1985 to sponsor the National Commission on Fraudulent Financial
Reporting, an independent private-sector initiative that studied the causal factors that can
lead to fraudulent financial reporting. It also developed recommendations for public
companies and their independent auditors, for the SEC and other regulators, and for
educational institutions.
The National Commission was sponsored jointly by five major professional associations
headquartered in the United States: the American Accounting Association
(AAA), the American Institute of Certified Public Accountants (AICPA), Financial Executives
International (FEI), The Institute of Internal Auditors (IIA), and the National Association of
Accountants (now the Institute of Management Accountants [IMA]). Wholly independent of each
of the sponsoring organizations, the Commission included representatives from industry, public
accounting, investment firms, and the New York Stock Exchange.
Questa è la schermata del Coso dove compaiono gli acronimi

di quelli che costituiscono il Coso.
Questo sito è strutturato ad un autopresentazione dove nella
sezione About us possiamo vedere Mission, Vision ed History.
Questo sito è sempre aggiornato.
Nell’ultima figura sotto c’è la copertina del framework 2013

con questo titolo: coso framework adn Sox Compliance
importante perché edizione 2013 è stata definito come un
passaggio alla SOX molti hanno definito questo passaggio
come il Coso report 2013 è diventato compliance quindi alle
disposizioni contenute nella SOX.
92
L’internal Audit dal 1992 ha sempre usato il Coso Model come riferimento…
CoSO Internal Control - Integrated Framework vs CoSOERM

Mostra le differenze tra ’92 e 2013. Quando si vogliono fare comparazioni per sottolineare gli
aspetti evolutivi è necessario fare due tipologie di comparazioni:
➢ Il Coso ’92 si compara con 2013 perché ’92 abbiamo la prima versione ma il 2004 non è
un evoluzione lineari. Alcuni la vedono come un’integrazione che porta l’ERM mentre
nel 2013 non si parla di ERM infatti è vista come aggiornamento basico
➢ 2004 e 2017. In quanto nel 2004 abbiamo l’introduzione dell’ERM e nel 2017 si
continua su questa linea.
Il Consiglio di Amministrazione, nel suo ruolo di indirizzo strategico, è chiamato a definire le
linee di indirizzo del SCIGR e a vigilare (oversight) sulla loro effettiva attuazione, valutando
periodicamente l’adeguatezza complessiva del SCIGR rispetto al profilo di rischio dell’impresa e
ai suoi obiettivi strategici
Tra le cause dell’incremento della volatilità e dell’incertezza dei mercati, vanno considerate
l’interconnessione e la velocità con cui i rischi si propagano.
Un evento che accade in un mercato o in una geografia, attraverso percorsi non sempre
prevedibili, può produrre conseguenze indirette anche in settori ed aree molto distanti.
93
Non si può fare a meno di valutare le conseguenze reputazionali dei rischi…
Missione, Visione, Valori, Ambiente di Controllo, Cultura del rischio e Strategia
Questa immagine è il punto di arrivo che schematizza il Coso report. Vuol dire che i 3 pilastri che
sorreggono il tutto intersecano l’anello che sono le componenti dell’ERM (sempre 5 componenti
che comunque sono un’evoluzione delle 5 componenti base del ’92). Evoluti per recepire il
cambiamento economico e sociale.
Missione, Visione, Valori, Ambiente di Controllo, Cultura del rischio e Strategia

Art. 14.
Obbligo di segnalazione degli organi di controllo societari

1. (comma 1 art. 14 importante) Gli organi di controllo societari, il revisore contabile e la società
di revisione, ciascuno nell’ambito delle proprie funzioni, hanno l’obbligo di verificare che
l’organo amministrativo valuti costantemente, assumendo le conseguenti idonee iniziative, se
l’assetto organizzativo dell’impresa è adeguato, se sussiste l’equilibrio economico finanziario e
quale è il prevedibile andamento della gestione, nonché di segnalare immediatamente allo
stesso organo amministrativo l’esistenza di fondati indizi della crisi
(Questo anno doveva esser importante per il recepimento del codice di crisi dell’insolvenza che
è stato molto importante che è stato rimandando per il periodo critico che bisogna affrontare)
Questo articolo vuol dire che tutti gli attori del SCI sono obbligati a monitorare le attività che
vengono svolte e soprattutto se l’assetto organizzativo è organizzato o meno. Per poter
realizzare queste disposizioni il soggetto preposto a tutto ciò deve esser un efficace sistema di
controllo interno.
94
Analisi dei rischi
Il sistema di gestione dei rischi rappresenta un elemento fondamentale per una sana e
prudente gestione aziendale. Di seguito abbiamo gli step da seguire
1. definizione degli obiettivi aziendali → il rischio è connesso al mancato raggiungimento
degli obiettivi
2. Identificazione e analisi dei rischi
3. Sviluppo della risposta ai rischi
Analisi dei rischi

Nell'ambito del processo di valutazione dei rischi, il management deve considerare i
cambiamenti che possono compromettere il raggiungimento degli obiettivi.
L'organizzazione identifica e valuta i cambiamenti che potrebbero avere un impatto

significativo sul SCIGR.
➢ Ambiente esterno→ nuovaregolamentazione,prezziedisponibilitàdellematerieprime,
conflitti diplomatici, catastrofi naturali
➢ Modello di business → variazioni nella linea produttiva o nella logistica, operazioni di
M&A, disinvestimenti, riorganizzazione, operazioni con Paesi esteri, nuove tecnologie
➢ Leadership → cambiodiverticiaziendali,variazionedifilosofiadiconduzioneaziendale,
scelte di investimento, avvio di nuoveiniziative
Analisi dei rischi

I rischi Environmental, Social & Governance (ESG) sono la conseguenza di alcuni significativi
cambiamenti che impattano sul profilo di rischio delle imprese
Ad oggi nel report "Global Risk Report 2018" pubblicato dal World Economic Forum quattro
dei cinque “Top Risk” sono riconducibili a fenomeni ambientali o sociali.
Analisi dei rischi
Mitigazione dei rischi o sviluppo di opportunità?

➢ Incrementare utilizzo di stampanti 3D nelle supply chain
➢ Smart materials rivoluzionano business e vita personale
➢ Reingegnerizzazione di processi App-based ("internet delle cose")
➢ Sharing economy – modelli di business app-based
➢ Analisi dei big data per predire i cambiamenti delle preferenze
➢ Utilizzo di droni per consegne, security, soccorsi medici,etc.
Le aziende sono pronte ad affrontare i rischi emergenti?
- unknown unknowns → eventi altamente improbabili e ad impatto catastrofico, difficili
da prevedere
- known unknowns→ eventi probabili e ad alto impatto, osservabili ma spesso ignorati
- known knowns → eventi significativi prevedibili ma difficili da gestire
95
La funzione Internal Audit
Parte del corso dedicata alle funzioni svolte dal soggetto preposto all’internal audit. Lezione
introduttiva all’ultima parte del corso ovvero entrare nel merito delle procedure e funzioni
svolte dall’internal audit e analisi del modello delle tre linee di difesa (paradigma di riferimento
per internal audit)
Il sistema di controllo interno all’interno della Corporate Governance
L’internal audit è una persona. Se si tratta di un’impresa grande abbiamo un dipartimento di

internal audit. Il dipartimento sarà più o meno grande a seconda delle dimensioni della società
stessa. Gerarchicamente non possiamo posizionarlo su una linea di livello precisa in quanto è
un organo di staff. È all’interno del corporate governance ma interagisce con il Cda. È un
dipartimento che dal punto di vista gerarchico possiamo porlo al livello del Cda.
Nell’immagine sopra possiamo vedere come, con utilizzo di questi cerchi, dove posizionale il
SCI in un sistema di Corporate governance. La CG è il livello più ampio in quanto rappresenta il
modo con cui le società son governate. Al suo interno dobbiamo aver chiaro la relazione tra
risk management e SCI. Avendo noi visto i contenuti del framework sappiamo che quando
parliamo di Risk management è l’ERM.
Il Risk management sono tutti quei processi, mezzi e risorse presenti in tutti i livelli
dell’organizzazione che vogliono garantire il raggiungimento degli obiettivi aziendali. Se
abbiamo un buon sistema di risk management per mappare i rischi preventivamente definiti e
correlati agli obiettivi che le società si danno perché se funziona bene l’ERM sarà in grado di
mappare, quindi intervenire per tempo, e se ci sono rischi che minacciano il conseguimento
degli obiettivi il Risk management riesce a definire le risposte al rischio.
All’interno del risk management abbiamo il SCI.

Questi tre cerchi ci fanno capire che il SCI è la parte centrale del Risk management che a sua
volta è un sottosistema importante del sistema della Corporate Governance. Questo è venuto a
delinearsi dal 2004 ovvero con l’introduzione dell’ERM. Quindi è un sistema recente nella storia
degli studi dei SCI perché formalmente bisogna far riferimento a partire dal 2004.
I cambiamenti negli ultimi 20 anni
• Globalizzazione dei mercati e delle

operazioni
• Complessità dei mercati finanziari
• Nuovi modelli di business
• Leggi e regolamenti
• Aspetti tecnologici
• Sistemi informativi
• Molteplicità e bisogni degli
stakeholder
Qui abbiamo una scheda di sintesi di come tutti i cambiamenti degli ultimi 20 anni li possiamo
96
posizionare su un centro e le frecce mostrano che possiamo muoverci in un orologio in senso
orario. Inizialmente sono riportati i cambiamenti significativi a cui abbiamo assistito in questi
anni(Globalizzazione etc.. tutto ciò che c’è in elenco) muovendoci a destra vediamo che questi
cambiamenti hanno determinato frodi e scandali a livello di corporate governance che hanno
determinato le tante crisi finanziare che hanno alimentato sfiducia nella leadership e maggior
richiesta di internvento degli stakeholder che ha impattato su corporate governance e SCI. Per
cui nuovo intervento e nell’ultimo schema troviamo il riquadro con scritto necessità di agire…
Ogni volta che c’è un impatto di CG e SCI per forza è necessario intervenire di nuovo sugli
approcci a cultura di controllo, rischio e governance.
Questa immagine sintetizza il modello circolare di cambiamenti – effetti – reazioni che si è
riproposto negli ultimi 20 anni sempre in modo ciclico.
Governance- le fonti normative

I. Direttive Ue e raccomandazioni OECD/OCSE – Organizzazione per la cooperazione e
lo sviluppo economico – Economic Cooperation and Development)
II. Normative nazionale, regolamentare ed attuativa
a. UK
b. Sud Africa
c. USA
d. Australia
III. Italia – norme dello Stato, codici di autodisciplina ed etici
IV. Norme specifiche per alcuni settori
Quando facciamo riferimento ai SCI dobbiamo comunque parlare di Corporate Governance.

Queste sopra sono le norme di riferimento che contengono linee guide e regole di
funzionamento della governance. Quello che rappresenta il corpus più rilevante in questi ultimi
anni sono le disposizioni contenute nella direttiva europea e quelle che sono le
raccomandazioni prodotte dall’OCSE (organizzazione mondiale per l’organizzazione e lo
sviluppo economico) infatti l’acronimo rappresenta il nome inglese. Negli anni ha prodotto
molte norme di riferimento e regolamento per la buon governance che si riflette sul risk
management e SCI che sono sottoforma di raccomandazioni.
Poi abbiamo normative nazionali (diverse nazioni di riferimento) ma alcune sono molto
importanti che sono diventate di uso internazionale. Es UK ha una serie di norme interne che
governano Governance e Internal Audit, altre dal SudAfrica, USA e Australia. Molte di queste
sono diventate di importanza internazionale pur ricordando che la maggior parte delle norme
che sono strettamente connesse ai modelli di CG risentono dei modelli di CG che sono statuiti
in quel particolare paese. Queste normative di riferimento fanno tutte riferimento al modello
anglosassone. Questi paesi sono tutti di matrice anglosassone.
Anche in Italia abbiamo norme di riferimento, in particolare per SCI, il nostro riferimento è il
codice di autodisciplina o codici etici delle singole società.
Quando parliamo di norme specifiche il riferimento è all’attività e si intende che se facciamo

riferimento a tutte le società del settore bancario abbiamo norme specifiche, o quelle delle
Public utilities ne avremo altre, nel settore assicurativo abbiamo norme specifiche per l’internal
auditing.
97
Governance Efficace
Una governance per esser efficace deve basarsi su

- etica e valori,
- gestione delle prestazioni e responsabilità (La segregation duty sta alla base di tutte le
regole di buon governo).
- La comunicazione efficace tutti i membri della governance devono esser tutti ben
informati. Non solo sulle strutture organizzativa ma su obiettivi e mission e devono
esser ben chiari i correlati rischi e le attività di controllo da mettere in atto per
contenere i rischi
- Il ruolo del board → per garantire un’efficace governance deve attuare un’attenta
attività di coordinamento tra Internal Auditing, management ed Esternal Auditing
Questa schematizzazione cosa c’entra con IA? C’entra perché un dipartimento di IA per
funzionare bene deve esser in grado di monitorare se il sistema di Governance compresi tutti
gli attori dei sistemi di governance si stanno muovendo verso la giusta direzione (efficacia della
governance). L’IA deve avere come direttrice la conoscenza degli aspetti determinanti per
conseguire una Governance Efficace.
Foreign Curruption Practice Act (FCPA)
Per poter arrivare a sviluppare al meglio le attività svolte dall’IA. Durante il nostro percorso
abbiamo avuto modo di far riferimento ad una norma americana importante ovvero FCPA
(1997) che è stato una pietra miliare delle normative per il contenimento della corruzione. Per
poter garantire un’efficace governance porre attenzione al fatto che la governance eviti il
commettere atti di corruzione. La corruzione è il peggior aspetto che non permette il
conseguimento di una Governance efficace.
Pubblicato nel 1977
▪ Proibire alle società statunitensi di corrompere funzionari stranieri
▪ Campo di applicazione: società e controllate nazionali, controllateestere, joint
venture, partnership, imprese associate
▪ Dirigenti, amministratori, dipendenti e rappresentanti della società
▪ Disposizioni in materia di contabilità e controllo interno
▪ Emanazione delle Federal Sentencing Guidelines (1988) →compliance
program
Corporate bribery is bad business. In our free market system it is basic that the sale of
products should take place on the basis of price, quality, and service. Corporate bribery is
fundamentally destructive of this basic tenet. (United States Senate, 1977)
Sono molte le nazioni che hanno recepito le disposizioni creando una normativa di riferimento nel
proprio paese. Qui troviamo le principali norme dei vari paesi:
• UK Bribery Act
• D.Lgs 231/01 → In Italia come conseguenza alle disposizioni americane
• Loi Sapin II (Francia)
• Ley Organica 5/2010 (Spagna)
98
Sarbanes Oxley Act (SOx)
Vera e propria riforma strutturale della disciplina statunitense. (i capisaldi di questa normativa)
▪ Rafforzamento indipendenza società di revisione;
▪ attendibilità info finanziarie e dei processi di controllo;
▪ rafforzamento della corporate governance;
▪ riforma processi di audit
▪ poteri della SEC;
▪ Richiama espressamente i principi del Coso
o Fasi del processo Sox
• Report of the New York stock exchange (codice di autoregolamentazione)
o Più puntuale descrizione delle norme adottate
o Principi
▪ Responsabilità del CDA
▪ Responsabilità del management
Fasi tipiche di un progetto SOX
Perché ci serve il riferimento? C’è un collegamento tra funzioni tipiche dell’IA e le fasi della
SOX. In tutto questo processo riformatorio della SOX ci sono anche delle linee guida operative.
Ovvero ciò che deve esser fatto dalla funzione di internal auditing. Secondo quanto fatto
dall’IA è necessario procedere alla tripartizione dei processi. Queste tre fasi sono importanti
per il processo riformatorio.
➢ Mappatura → Seguiamo lo sviluppo di queste attività che troviamo in questa colonna. In
questo contesto il riferimento più importante riguarda il reporting finanziario. Infatti c’è
l’importanza del reporting finanziario. Siamo alla prima edizione del framework e tra i
primi obiettivi abbiamo un financial reporting e in quel contesto l’importanza dei controlli
era soprattutto rivolto ai controlli finanziari cioè con specifico riferimento ai bilanci di
esercizio.
➢ Assestement → le varie fasi del SOX prevedono tutte le fasi che troviamo in colonna.
➢ Interventi → Attività che devono esser svolte nella terza fase.
Qual è l’importanza di questa tabella? Possiamo procedere alla lettura delle fasi sia per riga che
per colonna. Ma possiamo anche leggere per riga: nella fase di mappatura dei processi c’è la
classificaizone, per l’assestemen c’è l’identificazione. Invece la prima attività relativa alla fase di
interventi e informativa devo svolgere la valutazione dell’adeguatezza.
Questa è l’importanza di questa matrice contenuta nella SOX ed è stata definita come una
prima matrice che contiene le attività operative che devono esser messe in atto dall’internal
auditing.
99
Le asserzioni di bilancio alla base della SOX
Visto e considerato che tutto ciò è importante dobbiamo considerare che siamo in
corrispondenza della prima edizione del Coso report dove l’attività di controllo è focalizzata sul
bilancio di esercizio. Infatti la SOX va a prevedere le asserzioni in bilancio (linee guida operative
che IA deve conoscere molto bene ogni volta che si occupa di effettuare i controlli dei dati
finanziari). Infatti qui è riportato le asserzioni al bilancio. Infatti sono 4:
• Supporto alla preparazione del financial statement
• Alla base del modello SOx
• Assistono gli auditors nel considerare un ampio spettro di criticità che possono
essere rilevanti ai fini dell’autenticità del bilancio
• La loro considerazione durante le varie fasi dell’audit aiuta a ridurre il rischio di audit
• Come parte del risk assessment, gli auditors devono comprendere l’organizzazione
anche dal punto di vista del rischio di errore materiale (material misstatement)
• Dovuti a frodi od errori, imputabili al bilancio e a livello di financial assertions
• La valutazione del rischio consente di individuare la natura, il grado di profindità e le
tempistiche delle procedure di audit necessarie per ottenere un livello adeguato e
sufficiente di evidenze di audit
L’IA deve anche prestare molta attenzione nel cercare di capire se ci sono frodi ed errori relativi
al bilancio stesso. Ogni volta che IA partecipa a questo si dice che partecipa alla definizione del
material misstatement (errore materiale).
• I test dei controlli (TOC) vengono eseguiti per valutare l’efficacia operativa dei controlli a
livello di financial statament nel corso di revisione abbiamo visto l’importanza dei test
di controllo. Anche in questo caso vediamo che questo percorso delle SOX prende molto
ispirazione alle procedure di revisione che di solito vengono svolte dal revisore legale dei
conti. Stiamo parlando di attività di IA ma finalizzate alla financial information quindi è
necessario prendere come riferimento le disposizioni a cui fa riferimento il revisore
esterno.
• Le tipologie di financial assertions
• Legati alle classi ditransazione
• Afferenti lo stato patrimoniale
• Relative alla presentazione e alla disclosure
Anche nel corso di revisione legale dei conti abbiamo visto che esistono diverse classi di
transazione:
➢ Transazioni routinarie
➢ Transazioni non routinarie
A seconda che siano riferite o meno alla gestione ordinaria o straordinaria. E se sono
importanti alla presentazione delle disclosure.
L’aspetto importante è vedere le funzioni dell’internal auditing. Vedremo durante il percorso

che le funzioni dell’internal auditor sono evolute e siamo negli anni in cui è stata introdotta la
SOX per cui è ovvio che l’attività importante dell’IA è un’attività svolta in primis sull’attività di
bilancio. Per fare questo le attività sono molto simili, a volte uguale, da quelle svolte dalla
prassi professionale ossia dal revisore esterno.
Nelle tre tabelle ci sono le asserzioni:
100
Asserzioni legate a classi di transazione
Assertions relating to classes of transactions
Assertions Explanation Examples: Salaries & Wages Cost
Occurrence Transactions recognized in Salaries & wages expense has been incurred during
the financial statements have the period in respect of the personnel employed by
occurred and relate to the the entity. Salaries and wages expense does not
entity. include the payroll cost of any unauthorized
personnel.
Completene All transactions that were Salaries and wages cost in respect of all personnel
ss supposed to be recorded have been fully accounted for.
have been recognized in the
financial statements.
Accuracy Transactions have been Salaries and wages cost has been calculated
recorded accurately at their accurately. Any adjustments such as tax deduction
appropriate amounts. at source have been correctly reconciled and
accounted for.
Cut-off Transactions have been Salaries and wages cost recognized during the
recognized in the correct period relates to the current accounting period.
accounting periods. Any accrued and prepaid expenses have been
accounted for correctly in the financial statements.
Classificatio Transactions have been Salaries and wages cost has been fairly allocated
n classified and presented fairly between:
in the financial statements. -Operating expenses incurred in production
activities;
-General and administrative expenses; and
-Cost of personnel relating to any self-constructed
assets other than inventory.
101
Asserzioni legate a classi di transazione
Assertions relating to assets, liabilities

and equity balances at the period end
Assertions Explanation Examples: Inventory balance
Existence Assets, liabilities and Inventory recognized in the balance sheet

equity balances exist at exists at the period end.
the period end.
Completeness All assets, liabilities and All inventory units that should have been
equity balances that were recorded have been recognized in the
supposed to be recorded financial statements. Any inventory held
have been recognized in the by a third party on behalf of the audit
financial statements. entity has been included in the inventory
balance.
Right Entity has the right to Audit entity owns or controls the
s& ownership or use of the inventory recognized in the financial
Oblig recognized assets, and the statements. Any inventory held by the
ation liabilities recognized in the audit entity on account of another entity
s financial statements has not been recognized as part of
represent the obligations of inventory of the audit entity.
the entity.
Valuation Assets, liabilities and Inventory has been recognized at the
equity balances have lower of cost and net realizable value in
been valued accordance with IAS 2 Inventories. Any
appropriately. costs that could not be reasonably
allocated to the cost of production (e.g.
general and administrative costs) and
any abnormal wastage has been
excluded from the cost of inventory. An
acceptable valuation basis has been used
to value inventory cost at the period end
(e.g. FIFO, AVCO, etc.)
102
Asserzioni relative alla presentazione e alla disclosure
Assertions relating to presentation and disclosures
Assertions Explanation Examples: Related Party Disclosures
Occurrence Transactions and events Transactions with related parties disclosed in the
disclosed in the financial notes of financial statements have occurred during
statements have occurred the period and relate to the audit entity.
and relate to the entity.
Completeness All transactions, balances, All related parties, related party transactions and
events and other matters balances that should have been disclosed have been
that should have been disclosed in the notes of financial statements.
disclosed have been
disclosed in the financial
statements.
Classifi Disclosed events, The nature of related party transactions, balances
cation transactions, balances and and events has been clearly disclosed in the notes
& other financial matters have of financial statements. Users of the financial
Unders been classified appropriately statements can clearly determine the financial
tandabi and presented clearly in a statement captions affected by the related party
lity manner that promotes the transactions and balances and can easily ascertain
understandability of their financial effect.
information contained in the
financial statements.
Accuracy & Transactions, events, Related party transactions, balances and events
Valuation balances and other financial have been disclosed accurately at their appropriate
matters have been disclosed amounts.
accurately at their
appropriate amounts.
Tutto scritto in inglese perchè sono le asserzioni così come sono state prodotte dalla SOX. Facciamo caso
che anche durante il corso di revisione abbiamo parlato di asserzioni di bilancio che si identificano con
l’acrononico CEAIO
➢ Consistenza
➢ Accuratezza
➢ Valutazione
➢ Esistenza
Sono le stesse che troviamo qui. Quindi le stesse usate dal revisore esterno quando mette in atto le
procedure finalizzate alla valutazione del bilancio.
Queste tre tabelle presentano le asserzioni.

➢ Per SP sono le stesse della revisione → esistenza, completezza, diritti e obbligazioni, valutazione
➢ Con riferimento alla disclosure → accuratezza, completezza, valutazione, classificazione informativa
Queste tre tabelle sono di sintesi delle asserzioni nelle tre situazioni diverse:
➢ Transazioni
➢ SP
➢ Discolsure
Nella seconda colonna di spiega cosa si intende, nella terza colonna ci sono esempi specifici con
riferimento a ciascuna asserzione che sono le situazioni più tipiche (aspetti più critici nel fare le
valutazioni)
Come prima attività IA inizialmente si sono dedicati a perfezionare, secondo le disposizioni contenute in
questa normativa, ad effettuare controlli precisi sul financial statement. Il processo messo in atto è
quello della valutazione delle asserzioni perché il modus operandi è stato copiato dalla prassi
professionale da altri. IA è un’attività molto più recente rispetto all’esternal auditing.
103
Internal Audit- Il codice diautodisciplina
Lezione dedicata alle attività dell’internal auditing. Abbiamo introdotto ciò in cui consiste
l’attività di Internal Auditor e vediamo dove è posizionato IA in un modello di corporate
governance e le sue funzioni. Dobbiamo riprendere disposizioni che abbiamo visto quando ci
siamo occupati dell’analisi dei contenuti del codice di autodisciplina (noto anche come Codice
Preda). È stato più volte aggiornato per recepire i vari cambiamenti che si sono resi necessari.
Delle varie disposizioni contenute nel codice di autodisciplina ci interesse vedere funzioni e
responsabilità dell’IA. Abbiamo visto come codice di autodisciplina è la fonte primaria della
normativa di controlli interni e rappresenta un documento allineato con la prassi
internazionale. Quindi conosciamo bene i paragrafi che definiscono funzioni e responsabilità
dell’IA.
7.C.5. Il responsabile della funzione di internal audit:
i principi sono numerati più i commenti.
a) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli
standard internazionali, l’operatività e l’idoneità del sistema di controllo interno e di
gestione dei rischi, attraverso un piano di audit, approvato dal consiglio di
amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei
principali rischi;
in rosso ci sono le disposizioni più importanti. Standard internazionali nel nostro ordinamento
li abbiamo percepiti da normative internazionali soprattutto dal mondo anglosassone. Per
questo li abbiamo recepiti e c’è un riferimento agli standard internazionali.
b) non è responsabile di alcuna area operativa e dipende gerarchicamente dal consiglio di
amministrazione; → noi da un punto di vista gerarchico la funzione di IA non possiamo
posizionarla su qualche gradino della piramide gerarchica.
c) ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico; → per
svolgere il suo incarico quindi sicuramente totale possibilità di accedere alle
informazioni.
7.C.5. Il responsabile della funzione di internal audit (segue):

d) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività,
sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani
definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione
sull’idoneità del sistema di controllo interno e di gestione dei rischi;
e) predispone tempestivamente relazioni su eventi di particolare rilevanza;
f) trasmette le relazioni di cui ai punti d) ed e) ai presidenti del collegio sindacale, del
comitato controllo e rischi e del consiglio di amministrazione nonché all’amministratore
incaricato del sistema di controllo interno e di gestione dei rischi;
g) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi
di rilevazione contabile.
La circolare 285 di Banca d’Italia- il Sistema dei controlli interni

Funzioni specifiche dell’IA nel codice di autodisciplina. Riguarda il SCI nelle banche e siccome
è importante il SCI le disposizioni sono state recepite anche dalle altre società.
• Titolo IV, capitolo 3
• Elemento fondamentale nel governo delle banche
• La circolare come parte integrante di un sistema di norme relative agli assetti bancari
• Principio di proporzionalità
• Ruolo BCE e Banca d’Italia
• Glossario (funzioni, processi, RAF, risk appetite, risk tolerance…)
• Definizione di controllo interno e degli obiettivi ad esso collegati (rif. ERM, antiriciclaggio,
RAF)
104
• Definizione tipologia dei controlli (di linea, di secondo livello, di terzo livello)
• Definizione dei principi generali di organizzazione (formalizzazione dei processi, ruoli e
responsabilità, competenze,….)
Governo societario, controllo interno e gestione dei rischi
Il modello delle tre linee è un concetto molto importante e di attualità. È un modello di tre
linee dei controlli.
La circolare 285 di Banca d’Italia- Le funzioni di controllo
Per la prima volta viene introdotto il concetto di avere tre linee di controllo.per capire dove si
trova l’internal audit in questo sistema di tre livelli di controllo
• Costituzione di funzioni aziendali di controllo permanenti e indipendenti
• Di conformità alle norme (compliance) (II livello)
• Di controllo dei rischi (risk management) (II Livello)
• Di revisione interna (internal audit)(III livello)
Per la prima volta il 285 dice che i controlli di revisione interna sono di terzo livello. Questa è la
particolarità del 285.
tutto è basato sulla fondamentale regola del criterio della proporzionalità o dimensionalità
cioè tutto deve esser proporzionato e ragguagliato alle dimensioni. Ricordiamo che è una
circolare che riguarda il settore bancario. Abbiamo le piccole banche di credito e i grandi
colossi quali Ubi banca etc quindi tutto deve esser proporzionale.
• Autorità, risorse e competenze

• Accesso ai dati aziendali
• Possibilità di ricorrere a consulenze esterne (Novità) perché in fase iniziale, dove
per tutte le società italiane, da la possibilità di avvalersi di mandati esterni. Cioè
se non siamo capacità di avere internamente l’internal audit possiamo averla
esternamente.
• Programmi di formazione nel continuo e programmi di rotazione delle
Risorse→ si è compresa l’importanza che tutti devono esser informati
sull’internal audit e in cosa consiste.
• Posizionamento gerarchico → il primo problema quando è stato introdotto l’IA è stato
quello di capire il posizionamento gerarchico. Non ha una responsabilità diretta di aree
operative sottoposte al controllo e tutti internal auditing sono nominati e revocati dal
Cda. Già da queste prime disposizioni è emerso che internal audit come funzione è
difficile da collocare gerarchicamente perché svolge una funzione generica. Quindi non
viene posizionata su nessun livello gerarchico ma sulla stessa linea del cda perché
interagisce direttamente con esso.
• Posizionamento gerarchico-funzionale adeguato
• Non hanno responsabilità diretta di aree operative sottoposte a controllo
• Sono nominati e revocati dall’organo con funzione disupervisione strategica
• Le funzioni aziendali di controllo sono tra loro separate
• I criteri di remunerazione del personale che partecipa alle funzioni aziendali di controllo
non ne compromettono l’obiettività → IA è una funzione importante e strategica e
soprattutto adeguatamente remunerato. Ma i criteri di remunerazione devono esser
trasparenti e chiari. Un IA più è pagato più può dire che va bene e sarebbe compromessa
l’obiettività. È molto importante che ogni organizzazione si doti di criteri di
remunerazione adeguati per tutti gli IA
105
La circolare 285 di Banca d’Italia- la funzione di audit
• Programma delle attività
• Piano di audit risk based, con una sezione specifica dedicata all’ICT → risk based
come per il revisore esterno. Vi è un allineamento tra audit risk per revisore
legale dei conti e per revisore interno.
• Relazione periodica sulle attività svolte
• Informazione tempestiva in caso di violazione e carenze rilevanti
• Contenuto delle attività (elenco non esaustivo)→ elenco attività tipiche ma non in
modo esaustivo. Cioè è stato previsto che l’elencazione non sia esaustiva perché ogni
banca possa prevederne delle altre e più specifiche.
• Valutazione della completezza, adeguatezza, funzionalità, affidabilità del
sistema di controlli interni edel processo di gestione dei rischi
• Valuta l’efficacia di definizione del RAF
• Test periodici sul funzionamento delle procedure operative e di controllo
interno
• Compiti di accertamento con riguardo a specifiche irregolarità
• Controlla regolarmente il piano aziendale di continuità operativa
Elenco con specifico riferimento a banche di Italia ma deve esser attività svolta con continuità,
regolarità ed immediatezza.
• Accesso a tutte le attività, comprese quelle esternalizzate e quelle periferiche
Per svolgere al meglio le sue funzioni IA deve aver accesso ad attività interne ma anche quelle
esternalizzate. È obbligato a mappare tutte le attività che le società esternalizza es nelle piccole
banche spesso è esternalizzata l’attività legale. Piuttosto che assumere un legale preferiscono
affidare tale funzione a studi legali esterni.
Le tre linee di difesa delle organizzazioni

La prima linea: Il management operativo
• Responsabilità: ownership e gestione del rischio, incluso il mantenimento di un efficace
sistema di controlli
• Approccio day by day
• Implementazione azioni correttive
La seconda linea: Il risk management e la compliance
• Responsabilità: supervisione del rischio (monitoraggio della prima linea→ disegno ed
efficacia operativa)
• Risk management (per una corretta gestione del rischio&compliance (anche specifiche,
es HSE, ambiente, qualità, sicurezza)
La terza linea → internal audit
• Responsabilità: fornire una valutazione indipendente
• Linea di riporto che garantisca indipendenza
• Agisce nel rispetto degli standard internazionale per la professione
➔ Coordinamento tra le diverse funzioni aziendali a presidio dei rischi e dei controlli.
Dire linee o livelli è lo stesso perché tutto deriva dalla traduzione del Three lines model
106
MODELLO DELLE TRE LINEE DI DIFESA
(Three lines of defence, 3LoD acronimo)
È un modello definito per il controllo aziendale. Come mai nasce l’esigenza di un nuovo
modello? Nasce a fronte delle critiche che sono state mosse al Coso report da diverse parti del
mondo. Il Coso report è stato criticato per una mancanza di chiarezza nella definizione di ruoli
e responsabilità. Criticato anche per esser troppo teorico e poco pratico. Quindi c’era
l’esigenza di avere un approccio più pratico e interpretativo. Quindi questo nasce da nazioni di
comunità europea forse anche per via della difficoltà a recepire il modello anglosassone e
statunitense per via di strutture anche diverse. Quindi è quasi un risposta europea ai
framework dei controllo USA e UK.
Il modello delle Tre linee di difesa è stato elaborato congiuntamente dalla:
1) European Confederation of Institutes of Internal Auditing (ECIIA); → in ogni nazione c’è
un istituto di interna auditing dopo l’istituto statunitense anche in Italia (a Milano) e quindi
anche questa in europa.
2) E dalla Federazione Europea delle Associazioni di Risk Manager (FERMA )
Viene elaborato da addetti ai lavori europei. Viene pubblicato come guida.
GUIDANCE ON THE 8th EU COMPANY LAWDIRECTIVE ON STATUTORY AUDIT
le guide sono un po’ come i D.lgs che hanno anche una circolare di commento. Così le direttive
europee richiedono una guida. Quindi all’interno della Direttiva VIII richiede questa guida che
contiene questo modello.
si ispira alla normativa finanziaria ed in particolare ai principi di corporate governance di Basilea.

I principi di corporate governance di Basilea contiene delle direttive che tutte le società dei paesi
dell’unione dovrebbero rispettare per poter conseguire le best practices per la buona
governance
pubblicato nel settembre 2010 (Aggiornato nel 2018 e nel 2019 aperta consultazione per
ulteriore aggiornamento)
Consultazione pubblica→ es il nostro OIC ogni volta che pubblica un nuovo principio contabile
prima lo pubblica in bozza di consultazione con scadenza. Alla scadenza viene ritirato, la
commissione vede se sono arrivate proposte, suggerimenti e poi provvede alla pubblicazione
del documento definitivo. Stessa cosa successo in questo caso.
IIA, Position Paper, The Three lines of defense in Effective Risk Management and Control,
January 2013,
Ha avuto il merito di rendere più pratico e operativo, da parte delle società italiane, il modello
delle tre linee. Quindi è un ulteriore guida operativa per recepire al meglio queste tre linee di
difesa.
Tale modello divide in tre gruppi gli attori coinvolti in una efficace gestione dei rischi:
1. FUNZIONI CHE POSSIEDONO E GESTISCONO I RISCHI→ funzioni rischiose, strettamente
legate ai rischi.
2. FUNZIONI CHE CONTROLLANO I RISCHI
3. FUNZIONI CHE FORNISCONO ASSURANCE. INDIPENDENTE
Il modello finalizzato a permettere di integrare il CoSo Report in modo da risolvere la questione

dei ruoli e delle responsabilità che il CoSo Report affrontava solo in modo teorico.
Abbiamo detto che è stato pubblicato come risposto al modello statuinitense. Ma per non
mettersi direttamente contro il modello del coso report l’istituto ha detto di non voler
proporre un modello alternativo al Coso report ma vuole esser un modello di integrazione al
coso report. A sottolineare che il Coso report resta in materia di IA ma questo deve esser
integrato perché sono emersi dei limiti.
107
LIMITE DEL CoSO REPORT
Molti hanno rilevato che per implementare il sistema dei controlli delineato dal CoSo Report
fosse necessario definire ed assegnare in maniera chiara i ruoli e le responsabilità all’interno del
sistema di riferimento aziendale e coordinare le attività tra i diversi soggetti coinvolti, per renderlo
efficace e per poter operare in condizioni di economicità (contenimento dei costi) anche perché
un limite subito emerso è che le società per poter implementare le disposizioni contenute nel
framework devono investire e sostenere costi non indifferenti.
In estrema sintesi i limiti del Coso report
1) Confusione nella definizione di ruoli e responsabilità
2) Eccessivamente costoso
Questo è uno schema delle tre linee di difesa

Abbiamo i tre pilastri che sorreggono il Three lines defense model:
➢ Prima linea di difesa (le due funzioni e linea)
o Manager che si occupano del controllo e
o l’internal control mesaures
➢ nel secondo pilastri abbiamo altri ruoli. È più ricco di funzioni e ruoli
➢ nel terzo pilastro → compete tutto ad internal audit. Il nostro obiettivo è capire dove
posizionamo il ruolo dell’Internal Audit. Qui è chiaro che IA ha un ruolo determinante
in quanto è il solo per quanto riguarda la terza linea di difesa.
Da questi tre pilastri partono altre 3 frecce che si collegano al senior management sono coloro
che sono i direttori generali ma anche senior (quindi una certa anzianità nell’azienda). Ciascuno
dei tre pilastri interagisce con il senior management.
Poi c’è un’altra freccia nel terzo pilastro dove va al governing body (cuore centrale del modello
di CG) ma l’interna audit come funzione interagisce sia il senior management ma anche come
governing body e audit committee
Poi abbiamo altri due pilastri:

➢ external auditing → al modello partecipa anche il revisore esterno
➢ regulator → è il sistema regolatore che ciascuna delle nazioni ha i propri sistemi. Es in
Italia è la Consob
questo modello
✓ Controllo di primo livello: formato dal management e dal personale operativo, a stretto
contratto con le attività insite nei processi e a cui spetta il compito di presidiare e gestire i
rischi nell’operatività quotidiana Per questo motivo il personale della prima linea di difesa
viene anche chiamato “risk owner”. → con tutte quelle figure e ruoli che lavorano
quotidianamente con le attività e processi che hanno anche il compito di presidiare e gestire
108
i rischi (livello più basso). È quello in prima linea di difesa. Secondo il modello delle tre linee
di difesa queste persone sono dette Risk owner
✓ Controlli di secondo livello: rappresentata dalle funzioni che monitorano l’efficacia della
prima linea o la aiutano a costruire un’efficace sistema di controlli di natura operativa.
Queste sono le funzioni di risk management e di compliance. che possono anche
appartenere ad uno solo manager, più o molti.→ quando i controllo della prima linea non
sono efficaci intervengono e forniscono supporti operativi per implementare i sistemi di
primo livello per esser più efficaci.
✓ Controllo di terzo livello: ha il delicato compito di fornire al consiglio di amministrazione

un’assurance complessiva sulla solidità e l’efficacia del sistema di governance, gestione dei
rischi e controlli interni in modo obiettivo ed indipendente aspetto che la prima e la seconda
linea di difesa non sono in grado di garantire, essendo esse stesse attivamente coinvolte
nel disegno e nell’esecuzione dei controlli.
Riassumendo il primo livello si concretizza con la funzione di risk owner. Il secondo con la
funzione di risk management e il terzo con la funzione di internal audit.
CARATTERISTICHE DEL MODELLO

1) Il modello funziona se le diverse linee che lo compongono sono presenti ed agiscono in
armonia
2) Il senior management, il Consiglio di Amministrazione e altri organi di governo aziendale
sono i principali stakeholders del modello delle tre linee di difesa e hanno la
responsabilità di definire gli obiettivi aziendali di breve, medio e lungo termine,
comunicandoli nella maniera più appropriata alle diverse funzioni aziendali e
assicurandosi che il presidio dei rischi, permetta di raggiungere gli obiettivi.
3) Il modello si pone in continuità anche con il modello di riferimento Enterprise Risk
Management- ERM;→ primo aggiornamento del 2004 con questo il Coso report ha
assunto la definizione di ERM.
Il modello delle tre linee di difese non va in contrasto con Coso report ma lo integra e si pone
in continuità al framework di riferimento del risk management.
109
MODELLO DELLE TRE LINEE DI DIFESA
Il modello delle tre linee di difesa è :
➢ Una risposta da parte delle associazioni europee del predominio americano dei
framework di riferimento in materia di controllo soprattutto interno
➢ Non è in contrasto con il Coso report. Non vuole disconoscerne le disposizioni ma

integrarlo e migliorarlo al fine di superare i limiti e le carenze del Coso report.
CONTROLLI PRIMO LIVELLO ( DI LINEA) → controlli permanenti

Sono controlli di linea insiti nei processi operativi e consistono in “controlli di carattere
procedurale, informatico, comportamentale, amministrativo-contabile diretti ad assicurare il
corretto svolgimento delle operazioni e sono finalizzati per il conseguimento:
- dell’efficacia ed efficienza dei processi aziendali;
- della salvaguardia del valore delle attività e protezione delle perdite;
- dell’affidabilità e integrità delle informazioni contabili e gestionali;
- della conformità delle operazioni con la legge nonché con le politiche, i piani, i
regolamenti e le procedure interne.
Sono svolti dai responsabili delle singole funzioni solitamente dal direttore di funzione (nei
modelli organizzativi individuiamo le varie funzioni) che, da un punto di vista operativo:
1) controllare la corretta esecuzione del processo;

2) gestire eventuali anomalie e prevenzioni dei rischi sulla base del sistema normativo
interno (modello organizzativo D.lgs 231/01, regolamenti, policy e procedure interne,
procedure informatiche, sistema amministrativo-contabile);
3) verificare il rispetto di eventuali leggi, regolamenti e standard;
4) riportare al top management o ad altra figura apicale il risultato della sua attività.
Tali controlli vengono definiti anche “permanenti”, utilizzando quindi un approccio day by day
CONTROLLI SECONDO LIVELLO (PERIODICI) → controlli periodici

Sono controlli affidati a strutture e soggetti diversi da quelli operativi che devono
necessariamente evidenziare profili di indipendenza e nonché di competenza in quanto hanno
la facoltà di intervenire nella definizione della struttura del Sistema di Controllo Interno con
riferimento ai rischi che sono oggetto delle loro attività di monitoraggio.
Solitamente tali controlli sono attribuiti:
1) funzione di Risk Management (o comitato rischi) il cui alla compito è quello di
concorrere alla definizione delle metodologie per la misurazione dei rischi nonché
controllarne l’implementazione ed i risultati;
2) alla funzione di compliance che concorre alla definizione delle metodologie di
misurazione/valutazione del rischio in conformità ossia di mancato rispetto delle leggi e
dei regolamenti nonché all’individuazione delle idonee procedure per la prevenzione dei
rischi rilevati.
In alcuni specifici settori la normativa di riferimento (Codice Autodisciplina art. 7.C.6) prevede
l’introduzione di una specifica funzione deputata alla gestione dei rischi, il Chief Risk Officer.
L’istituzione della seconda linea di controlli è anche connessa alla necessità di garantire e
verificare che la prima linea di difesa sia correttamente disegnata ed efficacemente
implementata.
I controlli di secondo livello sono denominati controlli “periodici
Il rischio di conformità è il rischio di esser carente nel rispetto delle leggi/regolamenti e
individuazione delle idonee procedure necessarie per prevenire i rischi
CONTROLLI TERZO LIVELLO (PERIODICI)

Tali controlli forniscono “assurance indipendente” (esprimono un’attività di supervisione
sull’intero funzionamento del SCI. Vanno anche a monitarare se eventuali piani di
110
monitoramento sono stati recepiti e i risultati) sul disegno e sul funzionamento del complessivo
sistema di controllo interno, accompagnato da piani di miglioramento definiti dal management
.
Sono solitamente affidati alla funzione di Revisione Interna (Internal Audit), all’Organismo di
Vigilanza ex D.Lgs 231/2001 oppure al Revisore contabile (external Auditor).
Tutti i tre tali soggetti, seppur vigilando su aspetti diversi, devono monitorare l’adeguatezza
degli assetti organizzativi e dei controlli interni riportando direttamente al top management e
all’organo amministrativo relativamente:
A) all’efficacia ed efficienza delle operations, salvaguardia assetti aziendali, affidabilità ed
integrità dei processi di reporting, la compliance a leggi e regolamenti, policy, procedure
e contratti;
B) alle attività del risk management, all’esistenza degli elementi costituenti il sistema di
controllo interno previsti dal Framework CoSO Report.
Va anche ricordato come gli esiti delle verifiche e dei controlli effettuati devono essere resi noti
a tutti gli organi della governance
Questo schema è la mappatura attuale di come le società italiane hanno recepito il modello
delle tre linee. È un sistema piramidale perché i controlli di tre livelli li collochiamo su una
piramide in quanto c’è una gerarchia di funzionamento.
Sotto vi è un’elencazione di tutte quelle attività per le quali deve funzionare il SCI ossia gli
ambiti del SCI. Il SCI deve operare a livello di tutte le attività che si trovano in un’azienda:
➢ amministrazione
➢ infrastrutture
➢ … (vedi schema)
Dopo salendo troviamo i controlli di primo livello che sono controlli di linea perché insiti in tutti
i processi operativi (alla base della piramide) e vengono svolti dal management che si occupa di
funzioni operative (direttore operativo)
Poi troviamo soggetti indipendenti dalla funzione operativa ma dotati di competenze molto
specifiche ciascuno per il proprio ambito. Qui dipende in questo grafico li abbiamo tutti ma non
sono presenti tutti. Ogni società sceglie in base alla dimensione e al tipo di attività. (leggi i
soggetti nel grafico):
➢ Responsabili prevenzione della corruzione e della trasparenza
➢ Dirigente preposto
➢ Responsabile del sistema della gestione della qualità
➢ Responsabile della gestione dei sistemi informativi
➢ Responsabili della gestione e sicurezza sul lavoro
➢ Responsabile della gestione ambientale (tematica molto sentita)
➢ Responsabile della gestione dei sistemi informatici e tecnologici
Responsabile → sono figure dedicate al controllo di II livello indipendenti dal I livello ma dotati
111
di elevata competenza. Come detto dal codice di autodisciplina è possibile che venga nominato
un risk owner (responsabile di tutti i controlli interni per ogni ambito del sistema di controllo
interno) questa figura fa da coadiuvatore con tutti i responsabili di II livello. È il
delegato/responsabile di tutte queste figure che svolgono controlli di II livello
Infine abbiamo il III livello che è solo dell’internal audit che interagisce con figure apicali perché
deve rendicontare circa ciò che succede sotto di lui. Con chi interagisce?
➢ Organi esterni, dotati di una veduta indipendente.
o Collegio sindacale
o Società di revisione
o Organismo di vigilanza
➢ Governance
o Assemblea
o Cda
o Altri comitati che sono espressione del Cda
Questa è come il modello delle tre linee è recepito nelle società italiane secondo una logica
piramidale.
Le tre linee di difesa nel modello di corporate governance italiano
1) la prima linea di difesa è affidata al management operativo, che decide il livello di rischio
assunto dall’impresa e si occupa di disegnare dei controlli in linea con lo stesso.
2) la composizione della seconda linea può però variare a seconda delle caratteristiche delle
imprese; nelle imprese di maggiori dimensioni questi compiti sono solitamente affidata a
dipartimenti specifici mentre nelle entità più piccole, alcuni ruoli potrebbero essere
combinati o addirittura non essere presenti.
3) la terza linea è assegnata alla funzione di internal audit;
Secondo il Position Paper, l’IIA definisce l’internal auditing come «un'attività indipendente e
obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza
dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un
approccio professionale sistematico (costante, preciso), che genera valore aggiunto(L’IA è
talmente strategica che deve esser lui stesso a esser in grado di generare valore aggiunto per la
società) in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei
rischi e di Corporate Governance».
Non svolge sono assurance (valutazione in toto dell’affidabilità del SCI) ma anche consulenza
perché se ci sono limiti deve proporre delle correzioni di limiti.
Si tratta pertanto di una funzione che non ha compiti di gestione, ma ha l’incarico di esprimere
un giudizio indipendente e fornire sicurezza sull’operatività e l’efficienza del sistema; ciò che
la distingue dalle altre due linee, è infatti la sua indipendenza e obiettività, caratteristiche
richieste proprio per la natura dei compiti che è chiamata a svolgere
LINEE AGGIUNTIVE
Sono quei soggetti esterni con cui interagisce l’IA
Oltre alle tre linee di difesa, anche gli azionisti, sindaci, i membri dell’ODV e i revisori esterni
contribuiscono a definire la struttura dei controlli.
- I regolatori si occupano di stabilire le regole di governance e quelle relative ai controlli,
vigilando la loro osservanza. In Italia è Consob
- i revisori invece osservano e valutano i controlli realizzati rispetto alla reportistica societaria
e ai relativi rischi
- Sebbene i diversi ruoli siano separati, tutte le linee, comprese le linee “aggiuntive”, devono
comunicare tra loro, dato che il loro comune obiettivo è quello di aiutare l’organizzazione a
perseguire i propri obiettivi, minimizzando le lacune.
Questo modello funziona se tutte e tre le linee di difesa funzionano (anche le aggiuntive) ma
soprattutto devono esser tutte presenti. Dove ognuno svolge il proprio ruolo precisamente e in
modo separato. Ma soprattutto devono comunicare tra loro perché tutti questi soggetti hanno
un unico obiettivo di supportare l’organizzazione per perseguire l’obiettivo e contribuire a
minimizzare le lacune e criticità.
112
I PRINCIPI OCSE
Sono relativamente recenti in quanto la prima pubblicazione risale al 2010. Anche questi
contengono riferimenti al buon funzionamento del SCI. Anche se i principi OCSE si rivolgono in
primis ai modelli di corporate governance. Ma gli sci riveste un ruolo importante nei sistemi di
CR quindi gli OCSE non possono prescindere dai SCI.
Quali sono altri modelli e principi per l’implementazione di un efficace ed efficiente SCI. Il Coso
report è comunque il documento più importante per le disposizioni sul sistema di controllo
interno. Quello che stiamo vedendo sono modelli alternativi per fornire anche un punto di
vista per fronteggiare il monopolio della Treadway commission. Questi sono modelli recenti
che vanno a definire quelli che sono delle altre regole e quello che è chiaro è che nessuno delle
varia organizzazioni ha fornito framework nuovi. Nessuno ha avuto l’ambizione di sostituire il
Coso report. Sono tutti concordi nel dire che sono nuovi disposizioni che integrano quelli del
Coso report e vanno a sottolineare che il più delle volte vogliono dare un contributo per
superare limiti e carenze che gli studiosi hanno rilevato nel Coso report. Questo perché tutte le
organizzazioni mondiali nei confronti del Coso report hanno un atteggiamento di doverosa
sottomissione cioè riconoscono l’autorevolezza del coso report perché:
➢ Sono stati i primi
➢ È consolidato nel sistema anglosassone.
L’Organizzazione per la Cooperazione e Sviluppo Economico (OCSE) nel documento
“Corporate Governance and the Financial Crisis Conclusions and Emerging Good Practice to
Enhance Implementation of the principles” ha attestato che in particolare la debolezza della
corporate governance relativamente al tema di risk management, è stata une delle cause che ha
alimentato la grave crisi finanziaria del 2008. → pubblicato per fornire linee guida per migliorare
la corporate governance. Pubblicati dopo la grande crisi finanziaria del 2008. Anche perché
ritiene che la crisi è dovuta alla debolezza dei sistemi di corporate governance e soprattutto della
gestione del rischio → qui vediamo la differenza con treadway commission in quanto questa
ha sempre sostenuto che le cause delle crisi finanziarie sono da attribuire ai limiti e carenze dei
SCI. Poi ad un certo punto le regole per il buon funzionamento del SCI diventano carenti, non
vanno più bene e ci sono manager che riescono a baipassare queste regole e superare quindi il
SCI. Questo è l’approccio della Treadway commission. Infatti subito dopo crisi rilevanti è sempre
intervenuta con un nuovo aggiornamento. Viceversa l’OCSE non è tutto da attribuire ai SCI ma
alle debolezze dei modelli di CG e in primis è riferibile ad una componente importante del CG
cioè l’area occupata dal risk management.
Da qui l’intento dell’OCSE di individuare alcune linee guida per le imprese per migliorare la buona
governance per operare in contesti dinamici e rischiosi
I PRINCIPI OCSE: Iter per la pubblicazione
1. primi principi di governo societario dell’OCSE sono stati approvati nel 1998 per recepire le
richieste della Riunione del Consiglio dei Ministri dell’OCSE del 27-28 aprile 1988 di
sviluppare un insieme di norme e di principi di governo societario.
2. Essi si rivolgono in particolare alle società finanziarie e non finanziarie che raccolgono i
capitali presso il pubblico ( ma consigliati anche per società non quotate)
3. Sono stati subito adottati dal Financial Stability Forum come uno dei dodici principali
standard volti a garantire l’integrità dei sistemi finanziari (Twelve Key Standards for Sound
Financial Systems).
4. Hanno assunto ruolo di quadro di riferimento per la componente del governo societario
nell’ambito dei Rapporti sull’Osservanza degli Standard e dei Codici (ROSC) elaborati dalla
Banca Mondiale e dal Fondo Monetario Internazionale
5. I principi seppur non vincolanti per le legislazioni nazionali, costituiscono uno strumento di
riferimento per tutti i responsabili delle politiche governative nel definire gli assetti giuridici
e regolamentari per il governo societario
Questi principi seppur non vincolanti sono diventati uno strumento di riferimento
importante per la normativa per il governo societario e per l’implementazione delle nuove
regole di governance. Le stanno quindi recependo tutti seppur non obbligatori.
113
1. Nel 2002 per adeguarsi ad una situazione economica in continuo movimento il Consiglio
dell’OCSE ha affidato al Gruppo di indirizzo dell’OCSE sul governo societario (ossia l’OECD
Steering Group on Corporate Governance) il compito di rivedere i Principi emanati nel 1998
alla luce dei cambiamenti intervenuti.
2. Ai lavori hanno partecipato in qualità di osservatori anche la Banca Mondiale, la Banca dei
Regolamenti Internazionali (BRI), il Fondo Monetario Internazionale (FMI).
3. Una bozza dell’aggiornamento è stata pubblicata sul sito internet per accogliere i commenti
del pubblico interessato. (Pubblica consultazione) finito il periodo della pubblica
consultazione nel 2004 viene pubblicata la versione definitiva.
4. A consultazione conclusa il Gruppo d’Indirizzo ha prodotto una versione aggiornata,

pubblicata nel 2004, i cui contenuti rivisti hanno recepito le esperienze e le
raccomandazioni anche dei Paesi non membri.
Il Documento è suddiviso in due parti:
Parte Prima-I principi di governo societario dell’OCSE; nella prima parte sono pubblicati i
principi
Parte Seconda- Annotazioni ai principi di governo societario dell’OCSE annotazioni e
commenti di supporto.
Nel 2014 la Corporate Governance Committee dell’OCSE ha avviato una nuova consultazione a
cui oltre ai paesi dell’OCSE ed anche del G20 hanno aderito anche altre istituzioni e organismi
nazionali ed internazionali fra cui il Comitato di Basilea, il Financial Stability Board e la Banca
Mondiale. → negli anni l’OCSE è diventata sempre più importante con visibilità sempre più
mondiale.
Nel 2015 OECD pubblica l’aggiornamento la cui struttura conserva la stessa configurazione di
base evidenziata nella prima edizione, viceversa i contenuti sono stati rivisti al fine di garantire
maggiore efficienza e trasparenza dei sistemi economici a beneficio degli operatori di mercato
e dei consumatori anche alla luce dell’ulteriore crisi finanziaria globale del 2008.
Il 2015 ha superato le carenze e i limiti che scoppiasse la crisi del 2008
I rinnovati principi sono stati inoltre posti alla base delle Linee Guida Corporate Governance
Principles for Banks, adottate nel luglio 2015 da parte del Comitato di Basilea in materia di
governo societario bancario.
(*) Basilea si occupa soprattutto di definire la regolamentazione del settore bancario. Tutti gli
addetti ai lavori tutti conoscono le Basilea I, Basilea II gli indicatori per il credito.
I PRINCIPI OCSE: NOVITA’ ULTIMA EDIZONE -2015

Fra le novità più significative dell’ultima versione:
1. L’eliminazione ai riferimenti alle singole giurisdizioni che recepiscono i Principi suggerendo
ai regolatori e alle autorità nazionali di operare in modo quanto più coordinato e integrato;
ciò al fine di prevenire il “ rischio sistemico”; → nelle prime edizioni si faceva riferimento
normativo alle specifiche nazioni. Es in Germania ci si riferisce ad X in Francia ad Y. Questo
perché si vuol dire che non serve più fare distinzioni in quanto quando scoppiano le crisi poi
la stessa crisi ha effetti in tutto il mondo allo stesso modo. Stesse cause, stesso andamento
quindi serve esser più coordinati a livello globale.
2. Maggior attenzione per i mercati di capitali per cui i mercati azionari dovrebbero
supportare un’efficace corporate governance tendente a proteggere situazioni di
potenziale market failure; → se gli azionisti valutano una società che ha una buona
governance vuol dire che la società ha dedicato al suo modello di governance molta
114
attenzione e solo così può salvaguardare e proteggersi dai market failures (dafault, venir
meno di certi equilibri)
3. Garantire la parità di trattamento fra portatori di strumenti finanziari ossia tutelare la
posizione dei soci di minoranza;
4. Prevedere una specifica disciplina da dare alla disclosure per gestire in modo adeguato i
conflitti d’interesse.
Aggiornamento più recente che le società stanno recependo.
I PRINCIPI OCSE: ASPETTI RILEVANTI PER SCI
Prima volta che OCSE si dedica al SCI in modo ampio e concentrato in quanto fino a quel
momento il riferimento era limitato.
Rilevante fra le linee guida proposte dall’OCSE focalizzare attenzione sugli aspetti di cui il sistema
di controllo interno è parte integrante.
Il riferimento è in particolare:
A. Board, composizione, responsabilità e funzioni. I principi sottolineano che deve assumere
consapevolmente la responsabilità di “supervisionare” in particolare le attività del
management. A tal fine è necessario effettuare il “check and balance framework” ossia il
controllo e bilanciamento reciproco tra le varie componenti del sistema di governo. → un
sistema di governance è formato da varie componenti ed è importante che venga svolta
un’attività di controllo e bilanciamento reciproco tra tutte le componenti. Cioè ci deve esser
un bilanciamento reciproco. Perché ciò avvenga serve un buon sistema di controllo. Questo
concetto OCSE lo definisce in check and balance framework
B. Informativa trasparente per gli stakeholder. La diffusione dell’informazione aziendale in

modo tempestivo e corretto. Rendere disponibile le informazioni soprattutto anche
all’esterno apporta benefici alle imprese perchè permette a tutti gli stakeholder di avere
conoscenza della situazione complessiva, nonché delle possibili strategie future. Solo un
modello di governance trasparente può contribuire al consolidamento (fidelizzazione) dei
rapporti con gli stakeholders e ciò è determinante per il mantenimento nel tempo
dell’impresa stessa
I PRINCIPI OCSE e SCI

Questa immagine è il filo
conduttore che lega i principi
OCSE con il SCI. Cominciamo
con i due aspetti laterali:
➢ Ruolo del Cda (board)
➢ Informativa trasparente
Sono direttamente collegati ai
principi OCSE in quanto ultima
edizione 2015 OCSE si focalizza
su due aspetti:
1. Il ruolo del Cda
(composizioni e funzioni
secondo check and
balance)
2. Informativa trasparente finalizzata a consolidare gli stakeholder.
Poi c’è questa freccia azzurra che collega OCSE con SCI perché leggendo il framework intero
vediamo che spesso i principi fanno diretto riferimento al SCI. Perché per consentire il Check
and balance framework che è funzione fondamentale del Cda questo lo può mappare solo SCI
che è titolato a verificare e monitare il Check and balance framework.
Per quanto riguarda il secondo aspetto è il SCI che ha la funzione di controllare che tutta
l’informazione processata è corretta (la società non può divulgare info non corrette). Ma è il
SCI che durante il processo di analisi cerca di intervenire per velocizzare tutto il processo.
Insomma consegue l’obiettivo fondamentale del reporting. Per poter garantire il
conseguimento di questo secondo aspetto diventa fondamentale.
Questa rilevante importanza che l’OCSE da al SCI è presente solo nell’ultima versione 2015.
Nelle precedenti, es quella del ’98, non c’era. Nell’edizione 2004 c’era qualcosina ma poco.
115
ISO 31.000 (31 mila)
Altro framework per il SCI. È uno standard che prevede aspetti particolari per importanza del SCI.
Con riferimento ad ISO 31mila abbiamo due framework:
➢ Prima pubblicazione 2009
➢ Primo aggiornamento 2018
Il Framework ERM proposto dal CoSO ha costituito la base per lo sviluppo di ulteriori integrazioni in
merito alla gestione integrata del rischio:
1. A tal fine nel 2009 a seguito dell’introduzione del CoSO ERM 2004 è stata pubblicata la
norma ISO 31000 Risk Management- Principles and Guidelines:
2. La pubblicazione del CoSO Report 2017 ha alimentato la necessità di aggiornare lo
standard con la pubblicazione dell’ ISO 31000: 2018
ISO 31000: 2009 “Risk Management- Principles and Guidelines”
Il Coso report resta il framework di riferimento. Ma poi le organizzazioni hanno sentito l’esigenza di
pubblicare il proprio framework:
➢ Per poter integrare → motivazione condivisa e detta da tutti
➢ Per dimostrare e voler evidenziare il fatto che esistono anche alternativa al Coso framework
Tutti questi framework già nelle premesse tendono a sottolineare che le disposizioni contenute in
questo nuovo documento non vogliono sostituire Coso report ma integrarlo. Infatti è ciò che fa
anche ISO 31mila nella premessa.
La novità significativa è la proposta di una struttura nuova in quanto si struttura in tre pilastri.
A differenza del CoSO Report che si struttura in un cubo l’ISO 31000 si basa su trepilastri:
1. PRINCIPI definiscono le linee guida generali che permettono di fornire una definizione più
ampia di ERM
2. FRAMEWORK: si articola in 5 fasi secondo il modello Deming, PLAN, DO, CHECK, ACT (PDCA)
finalizzato nell’adattare un modello idoneo alla gestione e monitoraggio del rischio. →
pianificare, progettare, fare, controllare e agire in questo senso. Questa è la sintesi del modello
che è il cuore del framework e contiene la spiegazione di queste fasi che fanno si che il nostro
ERM possa adattarsi al sistema gestionale in cui è inserito.
3. PROCESSI: il processo di risk management che deve essere integrato nelle pratiche
dell’organizzazione ed incorporare i processi già esistenti.
Rispetto al CoSO ERM 2004, l’ISO 31000:

a) fornisce un approccio più snello e facile da applicare, utilizzabile da qualsiasi organizzazione
indipendentemente dalle dimensioni e attività; → far si che tutte le organizzazioni,
indipendentemente da dimensione e attività, applichino l’ERM. Per superare il limite del Coso
report. Ossia il Coso report va bene ma per le organizzazioni complesse e quotate in borsa in
quanto il recepimento delle disposizioni è costoso (perché richiede anche risorse umane
specializziate) e complesso
b) essendo più generico, è in grado di supportare sia un approccio top-down che bottom-up. Il
flusso di informazioni che proviene dal basso verso l’alto è altrettanto importante, in quanto
combina controllo e collaborazione, chiarezza sugli obiettivi di progetto e visibilità dei processi
organizzativi interni.
Si diffonde l’esigenza di schematizzare ISO 31mila in un grafico. Poiché consta di 3 pilastri han deciso
che questa sarebbe stata la struttura (come immagine sotto):
116
La Struttura dell’ISO 31000:2018
Schema che sintetizza L’ISO 31000 aggioranto al 2018 pur ricordando che la struttura dei tre pilastri
era già presente nel 2009. La struttura del 2018, oltre ad aver recepito le ultime novità dell’ERM
2017, ha consolidato le regole e caratteristiche base previste nella prima edizione del 2009.
I pilastri sono tre:
➢ principi
➢ framework
➢ process
i principi sono posizionati al centro con le frecce che collega direttamente agli altri due pilastri.
Questo perché i principles definiscono le regole base per poter recepire un ERM in tutte le
organizzazioni secondo quanto previsto da ISO 31 000. Vediamo che i principles sono dei principi che
devono conoscere tutti i manager che si occupano di rischio e non devono esser solo conosciuti dal
risk management ma anche messi in atto.
Nel cerchio più piccolo abbiamo creazione di valore e protezione. Poi vediamo che è necessario che
vi sia il rispetto di questi principi scritti in inglese (lingua ufficiale). A sottolineare che il processo deve
esser fortemente
➢ integration (integrato )
➢ basato sul miglioramento continuo per cui implementazione è sempre importante
➢ ma anche l’evoluzione degli aspetti sia umani che culturali
➢ le organizzazioni devono dotarsi delle migliori informazioni possibili
➢ che sia un processo dinamico per poter esser in continuo miglioramento
➢ deve esser inclusivo di tutto e
➢ fortemente customizzato → esser condiviso e il benestare degli stakeholder
➢ deve esser strutturato e comprensibile → ben definito nella struttura e gli elementi che lo
compongono devono rendere la struttura comprensibile perché dobbiamo allinearci con un
modello/sistema che va bene per tutte le organizzazioni.
Il secondo pilastro è il framework è sempre il risk management che si occupa di conoscere
disposizioni contenute nel framework:
➢ il cuore è della leadership
➢ integration
➢ implementation
➢ evolution
➢ desing
l’implementazione del risk management non è improvvisato, è un percorso che si sviluppa fase per
fare che è improntato sul design (definizione)poi sulla sua implementazione, lo sviluppo e
l’implementazione e per realizzare il miglioramento continuo è probabile che venga integrato per il
miglioramento continuo
terzo pilastro: risk management process anche in questo caso è il risk management che realizza i
processi → esecuzione step by step. Le fasi significative del processo enterprise risk management:
➢ ogni processo prima di esser implementato deve esser valutato il contesto, le finalità
dell’ERM (contestualizzate) e i criteria (caratteristiche dell’organizzazione)
117
➢ risk assesstment è la valutazione dei rischi secondo un percorso idoneo consolidato e
recepito da tutte le organizzazioni. Per farlo il risk assestement deve constare di alcune sotto
fasi
o risk identification → identifica i rischi. Costruisce un database dei rischi tipici di
quella società con cui l’organizzazione deve confrontarsi.
o risk analysis → ciascuno di questi rischi mappato deve esser analizzato attantamente
o risk evaluation → complessa perché si tratta di quantificare un rischio cioè, usando le
tante tecniche, si tratta di capire come fare a valutare gli effetti negativi in costi o
perdite che potrebbe lo stesso rischio arrecare alla società.
➢ Infine abbiamo il risk treatment → definire quelli che sono gli strumenti per gestire il rischio
qualora il rischio dovesse verificarsi.
A conclusione del terzo pilastro vediamo nelle colonne laterali:
- Comunication&Governance → definire un flusso di info preciso, continuo che vada dall’alto
al basso o viceversa e che sia un flusso condiviso.
- Monitoring&review
- Recording&reporting → è necessario tenere un rapporto. Si è solito compilare tabelle di
sintesi in cui far confluire i principali dati caratteristici che hanno definito l’ERM così
strutturato.
Questi tre aspetti sono tre capisaldi fondamentali per la realizzazione e implementazione dell’ERM.
Principi dell’ISO 31000:2018
Il primo pilastro riguarda i principi che l’azienda deve fare propri in una prospettiva di Enterprise Risk
Management per la creazione e conservazione del valore nel tempo. Nel 2009 si parlava di principi
generali e basta invece quello del 2018 sono definiti 8 principi finalizzati a raggiungere la creazione,
conservazione della società nel tempo. In tutti questi 8 si vede l’attenzione da parte dello standard
dell’ISO 31mila del fattore umano.
Sono otto (attenzione per fattore umano, culturali, orientato al miglioramento continuo):
questi 8 son quelli che troviamo nello schema di sintesi che rappresenta l’ISO 31mila 2018. Il modus
operandi da parte di tutte le organizzazioni, quando i sistemi evolvono e diventano più complessi, si
ricorre sempre all’uso di principi base. Infatti i principi sono una codifica finalizzata a far si che gli
addetti ai lavori possano avere regole più chiare da recepire per costruire un modello. Si parla
sempre di regole alla base per la costruzione di un modello importante.
(fonte dei principi)Institute of Risk Management, A Risk Practitioners Guide to ISO 31000: 2018
Il framework
Il Framework si concentra sull’impegno e sulla leadeship del mangement per l’analisi del contesto
interno ed esterno e per applicazione delle logiche PDCA e per lo sviluppo del processo del rischio .
Le componenti del Framework sono finalizzate a promuovere lo sviluppo continuo dei processi ed un
efficiente consumo delle risorse. Esse sono:
1 Design, progettazione della gestione dei rischi;
2 Implementation, implementare la progettazione dei rischi;
3 Evaluation, valutazione dei processi messi in pratica e raggiungimento degli obiettivi fissati;
4 Improvement, miglioramento continuo del modello;
118
5 Integration, ultima componente introdotta con aggiornamento del 2018 che prevede
integrazione del processo di risk management con le altre aree funzionali aziendali.
Quando si arriva all’edizione aggiornata del 2018 le componenti arrivano a 5 perché prima era una
bozza per questo non era scritta. Queste 5 componenti rappresentano il framwork, ma per poter
esser realizzato perché è un risk management framework, si basa su una leadership e un
management che sia titolato e abbia le competenze per poter realizzare tutto ciò. Non deve avere
solo il credito, autorevolezza e autorità ma anche conoscenza ed esperienza. Prima di applicare e
recepire le 5 fasi è necessario che il management faccia analisi del contesto interno ed esterno per
verificare l’esistenza delle condizioni nell’organizzazione per recepire tutto ciò. Se l’organizzazione
non ha le caratteristiche per recepire questo processo o si implementa oppure se si vuole continuare
bisogna fare in modo di individuare e recuperare preliminarmente le risorse necessarie.
Il framework con le 5 componenti le ritroviamo nello schema.

Il Processo
L’ultimo pilastro del modello è il processo che consta di 5 fasi:
1) Definizione del contesto;
2) Valutazione del rischio;
3) Trattamento del rischio;→ gestione del rischio
4) Monitoraggio e revisione;
5) Comunicazione e consultazione.
Queste sono 5 fasi importanti che sono le 5 componenti del processo.
Il modello ISO 31000 evidenzia similitudini con il CoSO 2017.
Entrambi i modelli proteggono gli interessi degli stessi stakeholders ed entrambi hanno una struttura
simile che va dall’analisi dell’ambiente al monitoraggio e reporting.
1. L’ultima edizione rispetto alla prima è molto più corposa quindi un modello più evoluto
2. La prima edizione nasce come risposta e integrazione di ERM 2004
3. L’aggiornamento 2018 (pubblicata nel gennaio 2019) è la conseguenza dell’aggiornamento
del Coso report 2017
Le similitudini tra coso e Iso 31 mila entrambi i modello
➢ Sono finalizzati a proteggere e soddisfare le esigenze di stakeholder
➢ Sottolineano l’importanza
o dell’analisi dell’ambiente (Fattori interi ed esterno)
o monitoraggio
o reporting
Differenze fra i due modelli
- Per il CoSO Framework gli elementi fondamentali di un processo integrato ERM sono
obiettivi, prestazioni e strategia aziendale grazie ad una volontà di integrazione nella
governance aziendale
- Lo standard ISO 310000, invece, pone enfasi sulla gestione dei rischi e meno alla
governance, delineando come punti chiave il framework, i processi e il contesto interno ed
esterno dell’impresa. → l’ERM diventa il cuore centrale di tutto lo standard al punto tale che
sono stati definiti tre pilastri a supporto della gestione del rischio.
- La differenza è dovuta ai diversi approcci degli organi normatori: la Treadway Commision più
incline ad entrare nelle logiche di business, essendo un organo promotore; mentre l’ Institute
of Risk Management tende maggiormente a definire una metodologia ed un approccio
tecnico-gestionale standard per gli attori a cui l’ISO è riferito. → questi due organi hanno
obiettivi diversi.
Stiamo vedendo gli standard di riferimento prodotti da parte di altre organizzazioni e istituti
relativamente ad ERM e SCI.
119
IPPF- International Professional Practice Framework
Lezione degli standard di riferimento dell’Internal audit quindi regole professionali che sono note a
livello internazionale e riguardano il comportamento, le linee di condotta e le responsabilità che
deve rispettare l’Internal Auditor all’interno del SCI.
Le caratteristiche della funzione Internal Audit e la tipologia di attività svolte sono disciplinate dal
corpus denominato
Il framework è il corpo delle regole che riguarda un certo aspetto.

The International Professional Practice Framework- IPPF, pubblicato da:
The Institute of Internal Auditors. → è un istituto che è stato fondato negli USA diversi anni fa e
si è ramificato a livello internazionale in quanto tutte le nazioni hanno una sede e filiale
dell’Institute of Internal Auditors.
La versione più aggiornata risale al 2017 e include, come elementi di novità, la mission e i principi
fondamentali, finalizzati a contestualizzare meglio la funzione Internal Audit
Novità
Mission
Core principles
Organizzazione delle
«recommended
guidance»
1
Old framework è la prima pubblicazione che poi è stato aggiornato recentemente dal New
Framework. La struttura del framework rispetto al vecchio risulta cambiata per quanto riguarda il
suo contenuto. Mentre nel vecchio abbiamo una torta dove ogni fetta rappresenta uno standard,
nel secondo viene meno il concetto di torta e viene divisa in due parti:
➢ Una (in grigio) rappresenta le norme raccomandate → dei consigli
➢ Mandatory → linee guida obbligatorie → ogni componente del framework non riveste un
ruolo uguale agli altri.
L’involucro (contenitore) che sono le novità rispetto alla prima edizione è ciò che troviamo scritto
nella nuvoletta. Questo è l’aspetto che distingue la nuova versione con la vecchia per gli standard
di lavoro degli IA.
La tematica di IA sta evolvendo e negli ultimi anni vuole quasi diventare a livello internazionale
una professione che, per poterla esercitare, è necessario acquisire titoli particolari e
probabilmente anche nel nostro ordinamento a breve si arriverà a dover sostenere un esame di
stato per acquisire il titolo di Internal Auditor. Che è ciò che succede per tutte le altre professioni.
Facendo una comparazione di questi principi con quelli della revisione possiamo vederli come un
po’ gli ISA per i revisori legali dei conti
120
Mission
Si fa riferimento ad un obiettivo in senso ampio. In questo caso si parla della missione del
framework.
Obiettivo della mission:
1. rafforzare e supportare l’intero framework
2. chiarire le aspirazioni dell’IA all’interno delle organizzazioni
la mission coincide con l’obiettivo che deve rivestire l’IA nello svolgere la sua funzione. Quale è
l’obiettivo dell’IA?
OBIETTIVO DELL INTERNAL AUDIT: Proteggere ed accrescere il valore dell’organizzazione,
fornendo assurance obiettiva e risk based, consulenza e competenza.
È importante questa definizione di mission perché definisce l’importanza dell’Internal Audit
nella collocazione nella Corporate Governance. Abbiamo visto che la sua collocazione non è facile
da determinare in quanto si colloca sulla medesima linea del Cda poiché la sua attività è una
attività consulenziale. Prima dell’International practice era una funzione di staff che all’interno del
framework era definito come attività di consulenza.
In tutto il framework vi sono definizioni chiare, precise e sintetiche. Questo però è visto come un
limite in quanto a volte molto sintetico. Ma essendo dei principi/linee guide è da premiare la
stessa sinteticità.
La mission del framework è presente nei molti punti dei principi in quanto c’è una coerenza tra
mission e attività operative.
• Coerenza tra mission statement e l’intera struttura degli IPPF
• Definizione chiara e sintetica
Core principles (altra novità)

I principi fondamentali sono le regole basiche → che stanno alla base dell’Internal Audit.
Potremmo definirle come norme etiche che deve rispettare Internal Audit.
Principi Fondamentali per la Pratica Professionale dell'Internal Auditing
- Agire con manifesta integrità.
- Dimostrare competenza e diligenza professionale.
- Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti).
- Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione.
- Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo.
- Dimostrare elevati standard qualitativi ed essere orientati al miglioramento continuo. →
solo così puoi creare valore
- Comunicare con efficacia.
- Fornire una risk based assurance. → come per la revisione esterna.
- Operare con un approccio propositivo, proattivo e lungimirante.
- Favorire il miglioramento dell'organizzazione.
Definizione di Internal Audit

L’internal Auditing è un’attività indipendente ed obiettiva di assurance e consulenza, finalizzata al
miglioramento dell’efficacia e dell’efficienza dell’organizzazione. → questa prima parte della
definizione è molto simile a quella di altri istituti. Similarità con altre istituti la vediamo nel
concetto di consulenza (non era presente nelle prime definizioni)
Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale
sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di
controllo in quanto finalizzato a valutare e migliorare i processi di controllo di gestione dei rischi e
di Corporate Governance. → questa seconda parte è molto innovativa perché assiste
l’organizzazione (attività consulenziale) e poi subito dopo è confermato il concetto di attività di
consulenza in quanto la consulenza è un approccio professionale e sistematico che genera valore
aggiunto perché il VA si ottiene con il miglioramento completo della corporate Governance.
La definizione colloca la funzione Internal Audit tra le funzioni fondamentali a presidio del sistema
di controlli interni e gestione dei rischi.
Il Codice Etico
- Definisce i principi e le aspettative che devono ispirare i comportamenti individuali e delle
121
organizzazioni nella condotta dell'attività di internal audit.
- Descrive i requisiti minimi di condotta e di comportamento piuttosto che specifiche
attività.
- Include due componenti essenziali:
✓ Principi fondamentali per la professione e la pratica dell'internal auditing.
✓ Regole di Condotta, norme comportamentali che gli internal auditor sono tenuti ad
osservare.
Gli standard della professione

Sono i comportamenti che deve tenere l’IA nello svolgere la sua funzione. Quando si parla di
Standard della professione si basa sue due pilastri:
➢ Connotazione → standard che vanno a connotare (meglio definire) il profilo dell’IA. E

abbiamo a che fare con 4 aspetti ceh riguardano la connotazione
o Finalità, intesa come mandato di audit a sottolineare che si tratta di un’attività di
consulenza in quanto queste avvengono con la sottoscrizione di un mandato tra
un soggetto (professionista che acquisisce mandato) e un soggetto
(organizzazione che attribuisce il mandato)
o Indipendenza e obiettività
o Competenza e diligenza
o Miglioramento continuo
➢ Prestazione → entrare nel merito e capire le prestazioni.
o Gestione attività
o Natura attività
o Pianificazione dell’incarico
o Esecuzione dell’incarico
o Comunicazione dei risultati
o Monitoraggio continuo → solo così si hanno feedback che danno origine ad azioni
correttive
o Accettazione del rischio → l’attività di impresa è di sua natura rischiosa
In rosso vediamo la copertina con il simbolo dell’istituto che l’ha pubblicato. Copertina del
122
2017.
standard descrizione elementi
1000 Finalità, autorità e Mandato di audit; riconoscimento degli IPPF.

responsabilità
1100 (*) Indipendenza e Indipendenza organizzativa; interazione con il
Obbiettività Board; ruoli addizionali del responsabile IA;
obbiettività individuale (conflitto di interessi);
condizionamenti all’obbiettività.
1200 Competenza e Concetto di competenza (collettivo) e diligenza;
diligenza aggiornamento professionale continuo
professionale
1300 Quality Assurance e Programma di qualità e suoi requisiti; valutazioni interne ed
programmi di esterne; comunicazione del programma; uso della dizione
miglioramento «Conforme…..»; comunicazione di non conformità (OVVERO
COMPLIANCE)
Standard di connotazione
(*) (caposaldo 1000 specifica 100)
standard descrizione elementi
2000 Gestione dell’attività Pianificazione (incl comunicazione e

approvazione); gestione delle risorse; direttive e
procedure; coordinamento e affidamento con gli
altri assurance provider
2100 Natura dell’attività Governance, risk e controllo
2200 Pianificazione Elementi di pianificazione; obbiettivi dell’incarico;
dell’incarico ambito di copertura;
assegnazione delle risorse; programma di lavoro;
2300 Esecuzione dell’incarico Raccolta delle informazioni; analisi e valutazione;
documentazione delle
informazioni; supervisione
2400 Comunicazione dei Modalità di comunicazione; qualità della
risultati comunicazione; errori e omissioni; uso della dizione
«in accordo con,….»; comunicazione di non
conformità; divulgazione dei risultati; giudizi
complessivi
2500 Monitoraggio azioni Follow up
correttive
2600 Accettazione del rischio Comunicazione dell’accettazione del rischio
Standard di prestazione
La numerazione è di importazione anglosassone che è quindi aritcolata in centinaia o migliaia per
acquisire eventuali sotto-commi.
123
FUNZIONE DI COMPLIANCE
Tendenza attuale degli ultimi tempi. Il concetto di compliance lo abbiamo introdotto con
specifico riferimento al Coso report. La conformità è la traduzione dell’espressione to be
compliance.
Negli anni le norme e i regolamenti sono diventati più complessi. Ad un certo punto le
organizzazioni hanno sottolineato l’importanza di individuare una specifica funzione dedicata al
monitoraggio della conformità. Tutto questo è stato rilevante nel settore bancario in quanto la
funzione di compliance diventa fondamentale nel 2005 quando il comitato di Basilea ha
definito cosa si intende per compliance (complaians). Per la prima volta si parla di rischio di
compliance.
Il concetto di rischio di compliance è stato formalmente introdotto dal Comitato di Basilea nel
2005 e recepito da Banca d’Italia nel 2007.
Il rischio di compliance (o di non conformità) viene definito come “il rischio di incorrere in
sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in
conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di
autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina)”.
RISCHIO DI COMPLIANCE
Il Rischio di compliance è un rischio aziendale trasversale e
deve essere inteso come responsabilità dell’intera
organizzazione
Altro concetto significativo è che questo rischio di

compliance è aziendale e trasversale perché può impattare in
qualsiasi ambito. Un rischio la cui responsabilità non
compete solo alla persona fisica ma a tutta l’organizzazione.
Dal 2007 in poi il tema/concetto rischio di compliance come
rischio aziendale e trasversale assume sempre più rilevanza.
Le società si devono dotare dell’ombrello per difendersi e fronteggiare al meglio il rischio di
compliance. Il simbolo apparso in quegli anni è proprio l’ombrello con i riferimenti alle varie
norme che la società deve rispettare:
➢ Norme specifiche
➢ Norme su controlli e sul bilancio
➢ Problema delle norme etiche
➢ Norme internazionali (Coso report)
➢ Le norme ISO
➢ D.lgs 231/2001 che ha introdotto la responsabilità degli enti
Quindi diventa importante per la società fronteggiare il rischio. da qui il passaggio ad arrivare
ad introdurre una specifica funzione di compliance è stato diretto perché le organizzazioni
hanno capito che il rischio di compliance ricade su tutta la società. Da qui l’esigenza di
introdurre una specifica funzione (funzione di compliance) con il ruolo di tenere mappato
l’osservanza da parte della società delle norme.
Da qui c’è l’esigenza di avere una funzione di compliance. (immagine sotto) Per poter esser
implementata al meglio implica un set up importante formato da step by step per definire
questa nuova funzione che deve basarsi su:
➢ Visione del mandato della funzione → definire in modo chiaro i ruoli richiesti alla
funzione
➢ Capire come la nuova funzione deve esser posizionata nel sistema organizzativo:
o Sulla piramide gerarchica? Si no
o Se si a quale livello?
➢ Competenze → inizialmente è stato un problema perché non era ancora definito il
profilo del manager a cui attribuire il ruolo in quanto la maggior parte ha ritenuto che il
124
manager dovesse esser di estrazione e formazione giuridica (il fine era quello di
osservare quelle che sono le norme giuridiche). Altri hanno rivendicato al necessità di
conoscenze aziendalistiche in senso ampio.
➢ Coordinamenti con le funzioni → gestire la compliance anche nelle varie ramificazioni.
SET UP FUNZIONE DI COMPLIANCE

Set up della funzione compliance
Mandato della funzione, posizionamento organizzativo, indipendenza, accesso alle
informazioni e al personale, risorse, competenze, coordinamento con le altre funzioni,
gestione dei compliance breaches, reporting, follow up:
-
Mappatura delle leggi dei regolamenti
Assegnazione di ruoli e responsabilità → ci deve esser un soggetto a cui affidare la
-
responsabilità.
- Valutazione e prioritizzazione → diventare compliance è fondamentale ma bisogna
fare valutazione del rischio della compliance andando a verificare l’analisi dei gap
(carenze)
- Gestire la compliance a livello di allineamento con le best practice perché il comitato
di Basilea ha fatto si che il problema venisse affrontato a livello europeo e
internazionale.
In questi 10 anni si è andato a definire i principi di buon funzionamento delle caratteristiche
della funzione di compliance. Sostanzialmente delle linee guida che le società hanno recepito in
quanto sono state profili e linee guida per procedere all’implementazione sono state tracciate
per la prima volta dal Comitato di Basilea nel 2005
FUNZIONE COMPLIANCE SECONDO COMITATO DI BASILEA

principio Descrizione ed elementi caratterizzanti
Status appropriato e formalizzato all’interno di una compliance

Status
policy che includa: ruolo e responsabilità della funzione; misure di
tutela della sua indipendenza; relazione e coordinamento con le
altre funzioni preposte alla gestione dei rischi e dei controlli; accesso
alle informazioni necessarie allo svolgimento delle attività; accesso
Indipendenza
diretto al senior management e al Consiglio di Amministrazione (e ai

suoi comitati); diritto di condurre investigazioni in caso di violazioni
alla compliance policy; doveri e modalità di reporting verso il senior
management.
Responsabile
• Executive o membro dello staff con alta seniority;
della Compliance
• Linee di riporto: in funzione del modello scelto dalla banca
(centralizzato o decentralizzato; funzione interna o in
outsourcing). Nel caso di un modello decentralizzato, una
linea di riporto verso il responsabile della Compliance deve
essere garantita
125
Conflitto In linea di principio, per evitare conflitti di interesse, alla funzione
Compliance devono essere assegnati solo ruoli e responsabilità
di interessi tipiche della funzione.
Punti di attenzione che possono creare potenziali conflitti:
• Banche piccole, in cui la funzione Compliance può vedersi
assegnati compiti non propriamente tipici della funzione;
• Criteri di remunerazione della performance della funzione.
Chi si occupa di compliance deve esser indipendente da tutti altri ruoli e funzioni quindi gli
elementi caratterizzanti di indipendenza sono status, responsabile della compliance e conflitto
di interessi.
(*) compliance policy → recepimento delle regole di ogni specifica attività.
principio Descrizione ed elementi caratterizzanti

In linea di principio, per evitare conflitti di interesse, alla funzione
Conflitto
Compliance devono essere assegnati solo ruoli e responsabilità
Interessi
tipiche della funzione. Punti di attenzione che possono creare
potenziali conflitti:
• Banche piccole, in cui la funzione Compliance può vedersi
assegnati compiti non propriamente tipici della funzione;
• Criteri di remunerazione della performance della funzione
Accesso alle •La funzione Compliance ha il diritto di comunicare con ogni

Indipendenza
informazioni e al membro dello staff e di ottenere l’accesso a documenti ed

personale altre informazioni necessarie per lo svolgimento delle
proprie funzioni;
•Diritto di poter condurre indagini in caso di possibili infrazioni
nei confronti della compliance policy (inclusa la possibilità di
avere assistenza da parte di specialisti, ove necessario);
•Possibilità di riportare liberamente ogni irregolarità o infrazione
senza il timore di azioni di ritorsione;
•Accesso diretto al Consiglio di Amministrazione, bypassando il
normale processo di reporting, dove e quando necessario.
L’accesso diretto al Consiglio di Amministrazione include anche
la possibilità di un incontro dedicato almeno una volta
all’anno.
Risorse Le risorse assegnate dalla funzione Compliance devono essere sufficienti e

adeguate, così da assicurare
un’appropriata gestione del rischio. In particolare:
• Le qualifiche, esperienze, competenze includono anche una solida e
comprovata capacità di comprendere leggi, regolamenti e standard
che possono avere un impatto sulle attività della banca;
• Necessità di mantenere aggiornate nel tempo le conoscenze e le
competenze del personale attraverso
adeguati e sistematici programmi di formazione e di training.
126
Responsabilità Le responsabilità indicate di seguito devono essere portate avanti all’interno
Della funzione di un programma di
Compliance compliance basato sull’analisi e la valutazione dei rischi e sottoposto alla
supervisione del responsabile della funzione Compliance.
• Ruolo di advisor, nei confronti del senior management, in relazioni a
tematiche relative alla
compliance nei confronti di leggi, regolamenti, standard e alle
modifiche/aggiornamenti degli stessi;
• Punto di riferimento all’interno della banca per questioni legate alla
compliance, inclusa la funzione di
“educatore”;
• Identificazione, valutazione e monitoraggio del rischio di compliance;
• Esecuzione di test, in maniera sufficiente e rappresentativa, e reporting
dei risultati degli stessi ai livelli
organizzativi e funzionali appropriati;
• Altre responsabilità, legate ad esempio a ruoli nei confronti degli enti
regolatori.
Le attività gestite dalla funzione Compliance dovrebbero essere sottoposte ad

un monitoraggio periodico da parte della funzione Internal Audit.
• Conditio sine qua non: il rischio di compliance è incluso nelle attività di
Rapporti con la risk assessment eseguite dalla funzione Internal Audit;
funzione Internal • Programma di audit specifico che includa anche il test dei
Audit controlli;
• Necessità di separare, a livello organizzativo e di ruoli e responsabilità,
le funzioni Compliance e Internal Audit, in modo da assicurare un
adeguato livello di assurance sulle attività e i controlli.
127
Vediamo le caratteristiche del RM. Prima abbiamo visto la funzione compliance (evoluzione
ultima dei ruoli, responsabilità e competenze che deve avere il SCI). Qual è la relazione con un
altro soggetto ovvero il risk manager (RM)? Sono tutte figure che si sono evolute negli ultimi
anni e ci sono società medio-grandi e anche quotate che non hanno queste funzioni ben
definite. Sono funzioni manageriali costose che ognuno valuta come crede.
Nel modello delle 3 linee è posizionata nel II livello
FUNZIONE RISK MANAGEMENT
Funzione di controllo di secondo livello → incarico di monitare i rischi legati ad un determinato
processo. Poiché il RM è apicale supporta l’organo amministrativo.
Non abbiamo precisi standard di riferimento per il RM. Non esiste un corpo di standard quindi
si prendono come regole le disposizioni del Coso report con tutte le sue evoluzioni. La figura
del RM è posizionata ad un punto tale da avere un adeguato accesso alle informazioni. Nel
settore bancario e assicurativo invece abbiamo delle linee guida.
Identifica, valuta, monitora e gestisce i rischi legati ad un determinato processo
Supporto all’organo amministrativo
Modello di riferimento: CoSO Report, CoSO ERM, ISO 31000
Posizionamento organizzativo adeguato ed accesso alle informazioni
Ruolo regolamentato nel settore bancario e in quello assicurativo
mancando delle linee guida facciamo riferimento ai modelli dell’ERM o ISO 31000 e così via.
Qui sopra troviamo un modello di risk management condiviso. Troviamo una successione di
fasi:
1. Valutazione del contesto → implica l’inserimento in modo opportuno del Ris
management con le sue interazioni. La prima fase è correlata ai due pilastri della:
a. Comunicazione e consultazione
b. Monitoraggio e review
(i numeri di riferimento per ciascun aspetto c’era un paragrafo di supporto)
Tutti i framework condividono molti aspetti comuni e l’approccio sequenziale. Poi si entra in
quella fase che nella sua fase è denominata di risk assestment che è il cuore del risk manager
(valutazione dei rischi). Che è un quadro in azzurro per sottolineare che è la parte centrale. E
sottolineare che questa parte centrale a sua volta si compone di altre fasi:
➢ Risk identification
➢ Risk analysis
➢ Risk evaluation
Vediamo come questi processi negli anni sono stati sempre più spezzettati, cioè suddivisi in
sottoprocessi quasi come fosse una tecnica ingegneristica. Ingegneria gestionale ha proprio
l’obiettivo di applicare loro regole nei processi di governance.
Il Risk assestement è una delle 5 componenti del Coso report e a sua volta è spacchettata in
sotto fase:
➢ Identificare
➢ Analizzare
➢ Valutare il rischio
128
Infine abbiamo il risk treatment (risposta al rischio). Le risposte al rischio sono individuate nel
riquadro giallo. Le risposte al rischio sono volte a capire:
- Evitiamo
- Accettiamo
- Riduciamo/mitighiamo
- Condividiamo
- Sfruttiamo → orientamento che stanno mettendo a punto negli ultimi periodi le
funzioni di RM. Comprendendo che è impossibile evitare i rischi, una volta si diceva che
era bravo chi evitava i rischi, oggi si dice bravo chi sa sfruttare i rischi ovvero
trasformare un rischio in una opportunità.
Tutto questo deve esser fatto nella logica che l’azienda ha già definito il suo risk appetite.
L’altro aspetto importante da tenere in considerazione è che ogni risposta al rischio comporta
dei costi e benefici e soprattutto ciascuna di queste scelte impatta sul rischio stesso.
Nella parte DX della slide vediamo che questo processo di risk management deve essere inteso
sempre più come un processo perfettamente integrato nella cultura aziendale e deve esser
finalizzato al miglioramento continuo. Ovvero da qui il concetto espresso nel pilastro di
monitoring e review (non deve esser replicato a fotocopia dalle società ogni anno perché
questo non è significativo e non esprime la crescita e il potenziamento delle aree di risk
management).
MAPPATURE RISCHI- RISCHI UNIVERSO
Una delle prime fasi è la mappatura del rischio quindi gli studiosi hanno pensato di riportare
una mappatura di tutti i possibili rischi esistenti a sottolineare come è il risultato di analisi e
questa mappa dei rischi viene ogni anno integrata e migliorata perché le società si ritrovano ad
affrontare rischi nuovi. In realtà sarebbe una tabella a quattro colonne (2 sopra e 2 sotto).
Nella prima colonna troviamo i rischi strategici, rischi operativi, di compliance e finanziari. Tutti
i rischi con cui le società devono avere a che fare sono tutti presenti in queste colonne.
129
Questi rischi, una volta mappati, vengono utilizzati dai vari risk management in base alla risk
matrix cioè la matrice dei rischi. Significa che, dopo aver estrapolato dalla mappa dei rischi
universi i rischi suoi propri, l’impresa va a valutare l’impatto del valore rischio prendendo come
riferimento anche il supporto della statistica.
Come si legge la matrice della pagine successiva? Sotto abbiamo i livelli di probabilità suddivisi
nei tre raggruppamenti:
➢ Tasso di probabilità alto
➢ Tasso di probabilità medio
➢ Tasso di probabilità basso
Ciascuno di questi tre raggruppamenti è spacchettato nei vari livelli di probabilità.
- Quello basso consta di tre considerazioni
o Improbabile
o Una volta all’anno etc
Sopra sono sviluppati gli impatti relativamente alle probabilità di verifiarsi.
Esempio se consideriamo come fattori di rischio quello finanziario ed economico che è uno dei
rischi presenti nelle società, se il RM ha valutato probabilità alte allora la matrice è da
considerarsi alta quando va ad impattare significativemente (su > 5% o >3% del profitto). Se è
medio (2-5% ricavi e 0,5-3% profitto) se è alto (< 2% <0,5% profitto).
Questo è il modo di leggere la matrice che viene lavorata prendendo come riferimento la
matrice dei rischi universo. Tutto quello detto fino ad ora va a caratterizzare la funzione del risk
manager tutta questa disciplina è molto in evoluzione tanto che, oltre alla funzione di IA …,
abbiamo una nuova funzione l’antiriciclaggio.
130
131
FUNZIONE ANTIRECICLAGGIO
Oggi ci sono molte normative e molte responsabilità per contenere questo fenomeno che vuol
dire anche svolgere una funzione sociale importante. Negli ultimi anni, fino a quando si è
iniziato a parlare di antiriciclaggio è stato allocato o a IA o RM. Ma oggi essendo molto
complessa e con molte normative molte società sono arrivate al punto di introdurre una
specifica funzione che si occupi di anti riciclaggio. È delle fine del 2019 un obbligo di legge che
per espletare questa funzione è necessaria una specifica expertise (specifico titolo) perché
anche il nostro ordinamento sta per recepire gli esperti in antiriciclaggio. → creare una
specifica specializzazione in questo settore.
Nel modello delle 3 linee di difesa lo troviamo nel II livello. Questo fa riferimento al
finanziamento illecito (al terrorismo). Le norme sono molte
La funzione antiriciclaggio rappresenta una funzione di controllo di secondo livello a cui spetta il
compito specifico di presidiare il rischio di riciclaggio e finanziamento al terrorismo. È disciplinata
da una serie di norme, regolamenti e disposizioni tra i quali indichiamo:
❖ Il provvedimento del 10 marzo 2011 di Banca d’Italia;
❖ Il D.Lgs 231/01;
❖ La Direttiva 849/2015 (IV Direttiva AML); → molto importante tutta dedicata
all’antiriciclaggio
❖ Indicatori di anomalia e disposizioni emanate dalla Banca d’Italia; → Svolge un ruolo
importane
❖ Schemi rappresentativi di comportamenti anomali forniti dall’UIF-Unità di Informazione
Finanziaria per l’Italia.
Flussi di denaro illecito possono minare l’integrità, la stabilità e la reputazione del settore
finanziario e costituire una minaccia per il mercato interno dell’Unione nonché per lo
sviluppo internazionale. Definito dalla banca d’Italia
L’antiriciclaggio non è solo un problema europeo ma anche internazionale. È stata la stessa

banca di Italia a prevedere un’elencazione dei compiti propri. (nel seguente elenco)
FUNZIONE ANTIRECICLAGGIO
Alla funzione antiriciclaggio sono attribuiti compiti di natura legale, organizzativa e di controllo,
elencati in modo dettagliato nel provvedimento di Banca d’Italia. Qui indichiamo i principali:
1. Identificare le norme applicabili in materia di antiriciclaggio e valutarne l’impatto su
processi eprocedure interni;
2. Collaborare alla definizione del sistema di controlli interni e delle procedure finalizzati
alla prevenzione e al contrasto del rischio di riciclaggio;
3. Verificare nel continuo l’adeguatezza del processo di gestione del rischio di riciclaggio e
l’idoneità del sistema di controllo interno, proponendo le opportune modifiche quando
e dove necessario;
4. Effettuare annualmente l’autovalutazione del rischio di riciclaggio a cui è sottoposta
l’organizzazione,con la partecipazione delle altre funzioni aziendali interessate;
5. Curare la predisposizione del piano di formazione ai fini dell’aggiornamento continuo del
personale in materia di antiriciclaggio. (corsi di formazione del personale)
6. Predisporre i flussi informativi diretti agli organi aziendali e all’alta direzione;
7. Informare tempestivamente gli organi aziendali in caso di violazioni o problematiche
significative riscontrate nell’esecuzione delle proprie attività.
Fattori di rischio che possono alimentare dei sospetti

Nella valutazione dei rischi di riciclaggio infatti i principali fattori di rischio che vengono
valutati considerano i seguenti aspetti:
• Il volume e l’ammontare delle transazioni, ovvero l’operatività delle transazioni;
• I prodotti e i servizi offerti, nonché il mercato di riferimento;
• La tipologia di clientela, con una maggiore attenzione nei confronti dei clienti classificati
come “ad alto rischio”; → per passati comportamenti, contatti con la malavita etc..
• I canali distributivi utilizzati per l’apertura ed il mantenimento dei rapporti e per la vendita
dei prodotti e dei servizi;
• L’area geografica ed i paesi in cui si opera a livello di transazioni, con riferimento all’operatività
della clientela, alla presenza di eventuali società del gruppo, succursali, e altri fattori di
132
complessità. → ci sono aree geografiche in cui c’è una maggior presenza della malavita.
Gli indicatori di anomalia (RED FLAGS) previsti da Banca d’Italia svolgono un ruolo
importante a supporto delle attività preventive.
Essi sono raggruppati in quattro aree:
• Indicatori di anomalia connessi al cliente; → cliente ad alto rischio o no
• Indicatori di anomalia connessi alle operazioni o ai rapporti;
• Indicatori di anomalia connessi ai mezzi e alle modalità di pagamento; → es. noi
vediamo che in Italia ci sono ancora molti tentativi per il contenimento dell’uso della
moneta contante.
• Indicatori di anomalia relativi alle operazioni in strumenti finanziari e ai contratti
assicurativi.
gli indicatori di anomali che mostrano il rischio di potersi trovare a fronte di riciclaggio
INFORMATION SECURITY
Rischi connessi alla progressiva dematerializzazione dei processi e delle transazioni con
digitalizzazione e utilizzo della connessione → incrementato con il covid.
La forte evoluzione tecnologica degli ultimi anni e la progressiva dematerializzazione di
processi e transazioni hanno aumentato la consapevolezza della necessità di un approccio
alla sicurezza informatica
Diventa importante per le società tutelarsi andando a mappare le fonti di rischi (di sicurezza
informatica) cercare di capire i mezzi a disposizione per prevenire e sentirci più sicuri ma è un
aspetto molto nuovo, in evoluzione con cui tutti ci dovremo confrontare nei prossimi anni.
Anche i regolamenti a supporto sono molti.
A) Coinvolgere il personale e i livelli organizzativi ritenuti appropriati: il Consiglio di

Amministrazione, in primis, a cui spetta il compito, tra gli altri, di definire una cultura della
sicurezza. Non da meno sono coinvolte altre funzioni aziendali: legale, sistemi informativi,
risk management, risorse umane;
B) Definire una metodologia o utilizzare un framework ritenuto appropriato in modo da
assicurare un approccio strutturato, coerente, obiettivo ed efficace. Con riferimento ai
framework disponibili, il COBIT, rivisitato nel 2019 e finalizzato alla governance dei sistemi
IT risulta il più applicato. Riguardo alla gestione della sicurezza delle informazioni i
riferimenti, validi sia a livello normativo che metodologico, sono l’ISO 27001 e il NIST;
C) Valutare in modo uniforme il livello di rischio all’interno dell’organizzazione così da
identificare in modo chiaro le aree di rischio e definire di conseguenza le priorità. La
valutazione del rischio ICT deve essere allineata alle metodologie già presenti
nell’organizzazione in tema di risk management e quindi deve considerare, in modo
coerente, il risk appetite e la tolleranza al rischio;
D) Riflettere le priorità di business nel rispetto del risk appetite espresso dall’organizzazione
e in linea con i cambiamenti e le necessità di business, normative e regolamentari.
I CONTROLLI DI SICUREZZA ESSENZIALI

Area Controlli essenziali
Governance • Identificare e rispettare le leggi e/o i regolamenti con rilevanza in tema di
cyber security che risultino applicabili per l’azienda.
Inventario • Creare e mantenere aggiornato un inventario dei sistemi, dispositivi, software,

dispositivi e servizi e applicazioni informatiche in uso
software all’interno del perimetro aziendale;
• Utilizzare soltanto i servizi web (social network, cloud computing, posta
elettronica, spazio web, ecc.) offerti da terze parti strettamente necessari;
• Individuare le informazioni, i dati e i sistemi critici per l’azienda affinché siano
adeguatamente protetti;
• Nominare un referente che sia responsabile per il coordinamento delle
attività di gestione e di protezione delle informazioni e
dei sistemi informatici.
Protezione dal • Dotare tutti i dispositivi che lo consentono di software di protezione (antivirus,
malware antimalware, ecc.) regolarmente aggiornato.
Gestione • Diversificare le password per ogni account, con una complessità adeguata e
password e valutare l’utilizzo dei sistemi di autenticazione più
133
account sicuri offerti dal provider del servizio (per esempio autenticazione a due
fattori);
• Mettere il personale autorizzato all’accesso ai servizi informatici, da remoto o
da locale, nelle condizioni di disporre di utenze personali non condivise con
altri. Proteggere opportunamente l’accesso e disattivare i vecchi account non
più utilizzati;
• Fare in modo che ogni utente possa accedere solo alle informazioni e ai
sistemi di cui necessita e/o di sua competenza.
Formazione e • Sensibilizzare e formare adeguatamente il personale sui rischi di cyber
consapevolezza security e sulle pratiche da adottare per l’impiego sicuro
degli strumenti aziendali (per esempio riconoscere allegati email, utilizzare
solo software autorizzato, ecc.). I vertici aziendali devono avere cura di
predisporre per tutto il personale aziendale la formazione necessaria a fornire
almeno le nozioni basilari di
sicurezza.
Protezione dei • Far svolgere la configurazione iniziale di tutti i sistemi e dispositivi da
dati personale esperto, responsabile per la configurazione
sicura degli stessi. Le credenziali di accesso di default devono essere sempre
sostituite;
• Eseguire periodicamente backup delle informazioni e dei dati critici per
l’azienda. Conservare i backup in modo sicuro e
verificarli periodicamente.
Protezione • Proteggere le Reti e i sistemi da accessi non autorizzati attraverso
delle reti strumenti specifici (per esempio Firewall e altri
dispositivi/software anti-intrusione).
Prevenzione e • In caso di incidente (per esempio venga rilevato un attacco o un malware),
mitigazione informare i responsabili della sicurezza e far mettere
in sicurezza i sistemi da personale esperto;
• Aggiornare tutti i software in uso (inclusi i firmware) all’ultima versione
consigliata dal produttore. Dimettere i dispositivi o i
software obsoleti e non più aggiornabili.
È un mondo che si sta sviluppando in modo molto veloce e il management ha bisogno sempre
più del supporto di specialisti.
Noi siamo partiti da funzione di IA che si è evoluta al punto tale che diventa necessario
introdurre sempre più figure specializzate. Inizialmente tutte queste funzioni erano in capo
all’internal audit. Ma poi tutte queste figure specifiche si sono rese sempre più necessario:
➢ Compliance
➢ Risk manager
➢ Antiriciclaggio
➢ Information security
Che sono evoluzioni ultime. Tutto ciò che è connesso all’IA si è sviluppato in modo trasversale a
livello internazionale sebbene sia partito dagli USA.
134
Lezione di integrzione.
I controlli- alcuni concetti di base
Segregation of duties
Divisione dei compiti e delle responsabilità. Nell’immagine sopra troviamo i principi del controllo
interno ma non sono i principi del SCI (che sono presenti nel framework). Questi sopra riguardano
SOLO la funzione di IA.
Relativamente alla funzione di IA i diversi principi a cui deve attenersi l’Internal Audit sono presenti
nello schema sopra (scritti in inglese perché consolidati da prassi internazionale). Il più importante
è la separazione delle funzioni e responsabilità (duties) per molti è il principio che sta alla base di
un’adeguata attività di controllo interno. In cosa consiste?
• Concetto base: separare responsabilità incompatibili a livello di processo di business in modo
che nessuno, da solo, possa commettere deliberatamente un atto di frode.
Se si va a segregare tutte le funzioni e per ciascun pezzo si individua una risorsa umana che è quello
responsabile abbiamo un processo di business spacchettata in più fasi e individuiamo il
responsabile. In questo modo le regole base del controllo interno ammettono possono funzionare
bene. Perché è l’unico strumento che permette di evitare qualsiasi atto di frode. Per implementare
in modo corretto il principio della segregation duties bisogna prendere a riferimento i 4 aspetti
sotto (autorizzazione …)
• Principali responsabilità incompatibili
• Autorizzazione
• Custodia degli asset/beni
• Registrazioni → le registrazioni contabili/processi amministrativi
• Management review → inteso come riconciliazioni di ciò che è messo in atto.
• La combinazione di due o più responsabilità viene giudicata incompatibile → poiché son
incompatibili devono competere a soggetti diversi.
• Limiti alla corretta applicazione della SOD può essere dovuta all’ampiezza del team →bisogna
• Individuare risorse idonee a cui attribuire le risorse
• Quante devono esser le risorse del team
• Mitigazione con controlli compensativi
• Complementare alla SOD è il «need-to-have principle» → complementare alla SOD. Per
applicare al meglio questo standard bisogna avere un principio ovvero una regola di
funzionamento.
CRO- CCO-CFO: differenze operative (2^ approfondimento)
Queste tre sono tutti soggetti molto richiesti che richiedono competenze, preparazione ed
esperienza. A volte creano confusione perché acronimi simili ma sono importanti.
Il CFO si distingue dagli altri perché svolge una sua attività ben più chiara e definita in quanto lo
possiamo paragonare l direttore amministrativo (il capo dell’area amministrativa e contabile).
Infatti le sue funzioni sono quelle sotto indicate
135
Chef Financial Officer (CFO)
o Assicura che il reporting finanziario sia accurato, completo e rappresentato in modo veritiero e
corretto
o Assicura l’efficacia del sistema di controlli sul bilancio
o Definisce gli obiettivi economico finanziari a supporto delle decisioni strategiche e di business
o Pianifica e gestisce le attività finanziare dell’organizzazione
o Identifica e applica i cambiamenti ai principi contabili e di reporting che hanno impatto
sull’organizzazione livello nazionale ed internazionale
In sintesi le sue funzioni sono esser il capo della funzione amministrativa-finanziaria finalizzata al
reporting finanziario.
Gli altri due manager, importanti comunque, si distinguono perché il CRO è colui che presiede l’attività
di risk management. Mentre il CCO è colui che sta a capo della funzione della compliance (specifica in
più dell’intera funzione di Internal Auditing). Temporalmente il Risk manager nasce prima del CCO.
Chef Risk Officer (CRO)

- Stabilisce il framework di gestione dei rischi all’interno dell’organizzazione
- Definisce, comunica e aggiorna le politiche di gestione del rischio
- Esegue attività di risk assessment indipendente, nel rispetto delle varie procedure aziendali
- Effettua attività di monitoraggio dei rischi in collaborazione con gli internal auditor e i revisori
esterni
- Coordina le attività di reporting relative alla gestione dei rischi
È il capo del risk management. È il supervisor di tutta questa funzione. Nel fare tutto ciò interagisce
con Internal ed Esternal auditing
Chef compliance officer (CCO)
o Definisce, sviluppa e aggiorna politiche e procedure per la gestione dei programmi di
compliance e li gestisce quotidianamente
o Identifica nuove leggi e regolamenti, valuta l’impatto sulle attività aziendali e comunica gli
opportuni e necessari adeguamenti
o Si confronta con il responsabile legale per questione relative alla compliance legale
o segnalazione (compliance hotline
o Aggiorna periodicamente il Consiglio di Amministrazione e il senior management sulle
questioni legate alla compliance
È il capo delle funzioni di compliance (è una delle ultime figure manageriali). Nel contesto di una
impresa medio-grande, quotata dove la funzione di compliace è articolata svolta da molte persone
con un vero e proprio dipartimento e si sente la necessità di avere un capo, supervisore.
EVOLUZIONE DEI SISTEMI DI CONTROLLO AZIENDALE

Negli anni i controlli sono evoluti sempre più ma hanno un denominatore comune ossia il controllo
contabile. Che è la prima forma di controlli aziendali che le aziende di ogni dimensione hanno
recepito e implementato e il controllo contabile che è il controllo messo in atto dall’esternal audit
che ha come obiettivo il controllo dettagliato sul processo informativo contabile e si basa sulla
conoscenza dei principi contabili.
➢ Controllo contabile ha come riferimento
o Principi contabili;
o Il controllo come elemento tangibile (hard)
o Contabilità, controllo dei costi, reporting;
o Funzioni coinvolte: Amministrazione e Controllo
Negli anni si è aggiunto anche l’internal auditing (origine anglosassone, più americana) e
oggi abbiamo ben 20 principi del sistema di funzionamento del SCI e i principi di
riferimento per il controllo inteno sono le disposizioni contenute nel Coso report.
➢ Controllo interno
o CoSO Report ed ERM
o Il controllo come processo; inclusione di aspetti hard e soft
o I controlli sono incorporati in tutti i processi aziendali;
136
o Funzioni coinvolte: modello delle tre linee di difesa
Non è più come un controllo contabile che considera aspetti hard ma anche aspetti soft. Il controllo
interno è incorporato in tutti i processi aziendali e il punto di riferimento è il modello delle tre linee
di difesa che ci permettono di collocare le funzioni coinvolti su determinate linee. Negli anni si è
assistita ad un’ulteriore forma di controllo.
➢ Controllo per la governance → controlli per la governance ovvero tutto il modello
organizzativo e societario. Quali sono i principi di riferimento per mettere in atto la
governance?
o Linee Guida OCSE e codici di Corporate Governance; → es codice di autodisciplina.
Quindi tutti i codici di best practices per la governance.
o Il controllo come processo; inclusione di aspetti hard e soft → anche qui il
controllo è visto come il processo.
o I controlli a supporto degli obiettivi di lungo periodo e della sostenibilità; → è
fondamentale essere sostenibili
o Ruolo centrale del Consiglio di Amministrazione → funzioni coinvolte. Il Cda svolge
un ruolo determinante.
Questo ulteriore schema di sintesi per evidenziare e sottolineare l’ evoluzione e le caratteristiche
di questi tre controlli che per arrivare a questo stato sono trascorsi decenni.
Queste ultime lezione non trovano riferimento nel syllabus in quanto sarebbero stati
approfondimenti.
137

Internal Audit Corso Completo

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Internal Audit Corso Completo

Caricato da

Copyright:

Formati disponibili

Internal Audit Sara Inzillo

«revisore», come la conosciamo oggi.

L’aspetto più importante per il controllo contabile si hanno negli USA

Gli anni a seguire comportano un’evoluzione dell’attività di controllo finalizzate a consolidare

IL CROLLO DI WALL STREET

SECURITIES EXCHANGE ACT (1934)

Nascita del doppio bianario: CONTROLLI ESTERNI + INTERNI

Nello stesso anno sarà istituita la SEC (securities Exchange Commission)

FCPA – Foreign Corrupt Practices Act (1977)

Posizionato lungo i lati della piramide l’altra componente denominata informazione e

Per cercare di implementare al meglio il sistema di controllo

IL CoSO REPORT (versione 1992)

ASPETTI SALIENI DEL COSO REPORT

3 obiettivi del sistema di controllo interno

CoSO REPORT: LA NOVITA’

- Incremento dell’economicità delle operazioni

fanno espresso richiamo ai contenuti del CoSO.

Il CoSO Report ha rappresentato un modello di riferimento di “AUTODISCIPLINA” su scala

L’importanza di questo codice è data dal fatto che:

Agency Problem → separazione tra proprietà e controllo

Sarbanes-Oxley Act (2002)

- Garantire la trasparenza delle scritture contabili;

Sarbanes-Oxley Act: Sec. 302 – CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS

Any such attestation shall not be the subject of a separate engagement.”

La Sec404 sintetizza i doveri in capo al management:

Fasi tipiche SOX

Mappatura Processi Risk Assessment Report & Informativa

Differenze CoSO report 1992 e SOX

CoSO ERM REPORT (versione 2004)

I motivi dell’aggiornamento del Framework:

CoSo ERM Report versione del2004

Il cubo viene pubblicato nella versione del CoSO nel 2004. È

Novità CoSo ERM-2004→ Sintesi delle novità

Nuova crisi Finanziaria- Nuovi standard per i controlli

Avvio Progetto di nuovo aggiornamento del CoSO Report

MOTIVI A SUPPORTO DELL’AGGIORNAMENTO:

CoSO Report 1992 CoSO Report 2013

Novità Rilevante: I 17Principi

I primi 17 costituiscono le regole di funzionamento, e contengono le specifiche disposizioni relative alle 5

17 PRINCIPI DEL CoSo REPORT

VALUTAZIONE DEI RISCHI (RISK ASSESSMENT)

Rischio Medio Rischio Elevato

ATTIVITA’ DI CONTROLLO (CONTROL ACTIVITIES)

I tre principi devono essere attuati in ogni livello gerarchico.

Sono attuate a tutti i livelli gerarchici e funzionali della struttura organizzativa

TIPOLOGIE di Control Activities

INFORMAZIONE E COMUNICAZIONE (INFORMATION & COMUNICATION)

MONITORAGGIO DEI CONTROLLI (MNITORING ACTIVITIES)

Come va letto lo schema?

Struttura della Governance secondoTUF

• Figure preposte al controllo

In sintesi il Codice di Autodisciplina durante il suo

a) L’ampliamento del coinvolgimento a vario titolo di

Edizione 2010 → nessuna Modifica per il SCI

Edizione 2014 → nessuna modifica per il SCI

Il codice di autodisciplina: GLI ATTORI DEL SISTEMA

7.C.2. Il comitato controllo e rischi, nell’assistere il consiglio di amministrazione:

Comitato Controllo e Rischi

Amministratore Incaricato del SCIGR

Il Codice di Autodisciplina (altro principio relativo ad internal audit)

Compliance (pronuncia complaians)

(documento originale stesso su pagine e-learning ma anche un documento importante scritto

Questo decreto recepisce alcune normative internazionali:

L’Organismo di Vigilanza – d.lgs. 231/2001