Internal Audit Corso Completo

Internal Audit Sara Inzillo
IL CONTROLLO ANTICO
L’internal Auditing costituisce una forma evoluta e relativamente recente di controlli aziendali
rispetto all’esternal auditing. L’esternal auditing noto anche come controllo contabile o revisione
legale dei conti hanno per oggetto l’analisi dei documenti contabili (prima di tutto il bilancio di
esercizio che è il documento contabile più importante). La forma più antica di controllo è quella
del controllo contabile di cui si hanno evidenze già nell’ere antiche
- Le prime forme di controllo sono attribuibili al Medio Oriente (4000 AC) dove vertevano
sulla gestione delle entrate ed uscite dei templi
- Nell’Egitto del 2000 AC il processo del controllo si prestava all’attività agricola: dal raccolto,
la pesa e lo stoccaggio.
- Antichi romani e greci (600 AC) fornirono un approccio più contabile, mirato alla gestione
delle risorse pubbliche.
Per questi motivi il controllo era denominato contabile e pubblico.
- Il primo periodo italiano di rilevante importanza è riferibile alla nascita e sviluppo del
commercio marittimo (Repubbliche Marinare, X Secolo).
- Nascono le prime figure autorevoli in tema di revisione contabile:
o i Camerlenghi a Venezia,
o i Visitatores a Genova.
o (es: Fibonacci diventa Revisore dei Libri delle Ragioni del Comune di Pisa)
I l controllo nel tempo è stato strettamente legato alla nascita di Ordini Professionali, Istituti, Organi
ed Associazioni. Infatti, nell’Italia rinascimentale nascono:
• il Collegio dei Rasonati a Venezia,
• i Liquidatori Giurati in Piemonte e Liguria
• ed il Collegio dei Ragionati a Milano
la presenza di questi nuovi organi è importante perché questi organi professionali si dedicavano
alla definizione delle prime regole da osservare dai contabili del tempo.
Nel 1602 nelle East India Company (le prime public company o S.p.A possiamo definirla come una
prima società per azioni.) è stato esteso ai finanziatori la possibilità di accertare l’attivo ed il
passivo. → i finanziatori vogliono conoscere in modo chiaro e preciso l’attivo e il passivo delle
società e quindi l’esigenza che un soggetto esterno accerti l’attivo e il passivo di queste società.
Il Code Savory, in Francia nel 1673, inserisce delle prime regole di salvaguardia del patrimonio
introducendo l’obbligo di tenuta dei libri contabili. In questo codice vengono inserite le prime
regole tecniche per la tenuta dei libri contabili.
In Austria, nel 1719, la Privilegiata Compagnia Orientale Imperiale impose la veridica della
corrispondenza tra scritture contabili e bilancio, affidando l’attività a dei membri della compagnia
stessa a soggetti con specifiche competenze.
La nazione capofila nella definizione del controllo interno è l’Inghilterra. Le due norme
fondamentali dalle quale viene decretata l’origine del controllo contabile così come lo intendiamo
anche oggi:
- Nel 1844 viene approvato il Joint Stock Companies Act: esso disciplina le regole di corretta
registrazione dei fatti di gestione, quindi la redazione del bilancio. Inoltre, prevede
l’obbligo di verifica del bilancio da parte di professionisti esterni.
- Nel 1845, con il British Companies Act, viene introdotto un requisito fondamentale per lo
svolgimento dell’attività sopra descritta: l’INDIPENDENZA. Così nasce la professione del
1
«revisore», come la conosciamo oggi.

Sulla scia di queste norme pubblicate in Inghilterra anche altre nazioni europee (Germania e
Austria) recepiscono queste norme precedentemente emanate in Inghilterra. Tutte finalizzate a
definire delle regole chiare e precise:
➢ Per la regolare tenuta della contabilità
➢ Per La redazione del bilancio di esercizio
➢ A completamento per la verifica contabile
In Germania, nel 1863 con il Allgemeines Deutsches Handelsgesetzbuch, viene prevista la facoltà di
nominare un organismo interno per la verifica contabile e la sorveglianza. → L’organismo preposto
alla verifica contabile e a sorveglianza dei fatti di gestione deve esser un organo interno alla
società stessa. Quindi la necessità di nominare all’interno delle società un organismo preposto alla
verifica contabile ossia dotato dei poteri di controllo contabile.
In Francia, nel 1867, vengono introdotte nuove norme dove viene ampliata anche alle società
anonime la necessità di nominare un commissario per la verifica contabile.
L’aspetto più importante per il controllo contabile si hanno negli USA

In USA, nel 1887, si consolida la cultura del controllo, emancipandosi dall’influenza inglese, con la
costituzione dell’AAPA (American Association of Public Accountants).
Tale istituzione si trasforma nel
1. 1916 in IPA (Institute of Public Accountants).
2. Nel 1917 si trasforma in AIA (American Institute of Accountants),
3. ed infine nel 1957 assume l’attuale nome di AICPA (American Institute of Certified Public
Accountant). → nominazione odierna.
Qual è l’importanza di queste istituzioni? Aver contribuito in modo rilevante alla pubblicazione
delle prime regole tecniche che devono esser recepite e rispettate da tutti coloro che acquisiscono
un ruolo importante nelle società del tempo.
In Italia invece c’è un allineamento, rispetto a queste normative, tardivo.
Mentre nel mondo, basandosi sull’esempio inglese, si avanzava sulla definizione dei controlli
aziendali, in Italia il focus era ancora puntato sulla professione contabile.
Con la pubblicazione del Codice del Commercio del 1882 (prima testimonianza di recepimento di
queste norme. Il codice di Commercio è un codice di importazione francese che trae origine dal
codice napoleonico per cui la maggior parte delle norme dedicate al controllo traggono origine dalle
regole che si erano consolidate in Francia) si adotta una prima forma di controllo «privato» e non
più esclusivamente governativo (grazie all’istituzione del Collegio Sindacale), incentrato solo sul
controllo contabile ed il rispetto di leggi, regolamenti e statuti. → La novità più rilevante presente
nel codice di commercio è a sottolineare che la prima forma di controllo per le società che
pertanto non costituisce più una forma di controllo esclusivamente governativo, come fino a quel
momento, ma acquisisce la denominazione di controllo privato incentrato:
➢ sia sul controllo contabile dei documenti contabili (in primis il bilancio)
➢ ma anche una prima forma di controllo interno che deve avere come oggetto il controllo del
rispetto di:
• leggi
• regolamenti
• statuti
Questo controllo viene affidato al Collegio Sindacale. Infatti tra le novità importanti del Codice Di
commercio del 1882 vi è l’introduzione di questo organo tipicamente italiano.
2
Gli anni a seguire comportano un’evoluzione dell’attività di controllo finalizzate a consolidare

queste prime disposizioni contenute nel codice di commercio del 1882. Tra le date abbiamo:
- Negli anni ‘30 del XX Secolo (R.D. 1302/1931) fu introdotta la facoltà di adoperare la
revisione del bilancio. → si parla ancora di facoltà e non obbligo perché siamo all’inizio di
un percorso nuovo
- Nel 1937 si istituì il Ruolo dei Revisori Legali dei Conti e l’obbligatorietà di individuare uno o
due sindaci da tale Ruolo.
- La legge n. 1966/1936 riconosce il ruolo delle società di revisione nell’ordinamento italiano.
Grazie a tale avvenimento si diffusero le più grandi Audit Firms, di ispirazione
anglosassone. → si pone la prima pietra per la nascita delle società di revisione italiane.
L’ordinamento italiano, in tema di controllo contabile, non ha avuto un atteggiamento
originario ma si è limitato ad ispirarsi e acquisire quelle norme e quelle regole che sono
state sperimentate e consolidate nel mondo anglosassone.
- Primo aggiornamento codice civile. Vengono riconfermate la maggior parte delle norme
relative all’obbligo del controllo contabile e della revisione del bilancio di esercizio che già
erano presenti nelle normative precedenti ma vi è una novità rilevante perché rafforza i
poteri affidati al collegio sindacale. Secondo il codice il Collegio Sindacale viene decretato
come l’organo preposto anche al controllo contabile, L’aggiornamento del Codice civile del
1942 affidò al Collegio Sindacale, non solo il controllo contabile ma la funzione di controllo
interno.
Per cui Il collegio Sindacale dal codice del 1942 acquisisce una duplice funzione in termine di
controllo aziendale:
➢ Il controllo contabile finalizzato all’analisi dei dati contenuti nel bilancio di esercizio
➢ Funzione di controllo interno che consiste in un’attività di sorveglianza che negli anni verrà
sempre più interpretata come un’attività di vigilanza sulla corretta gestione e amministrazione
della società.
Questo rappresenta la forma più importante ed evoluta di controlli nel nostro ordinamento. Infatti
il nostro ordinamento ha avuto una lentezza ed un ritardo in tale contesto. Infatti confrontando il
periodo storico con gli eventi che hanno caratterizzato il mondo anglosassone (USA) la situazione è
diversa. Mentre in Italia nel 1942 si è alle prese con la definizione delle funzioni da attribuire al
collegio sindacale, negli USA (il mondo anglosassone) è alle prese con la definizione di nuove
forme di controllo incentrate sull’importanza dei sistemi di controllo interno come forma possibile
di controllo per poter fronteggiare le prime crisi finanziarie che si sono manifestate nel mondo
americano: quella più importante del 1929 che ha decretato il crollo di Wall Street. Quindi contesti
diversi hanno decretato origine diversa dei sistemi di controllo aziendale nell’ordinamento italiano
e in quello anglosassone.
Prima però è importante sottolineare come i sistemi di controllo aziendale si sono evoluti e sono
progrediti sempre dopo uno scandalo finanziario o dopo una crisi finanziaria. Infatti iniziamo proprio
dalla più importante crisi ovvero quella del ’29.
APPROCCIO REAZIONARIO DELLA NORMATIVA «MODERNA» DEI CONTROLLI INTERNI
Nell’era moderna dei controlli interni (XX secolo) è interessante studiare l’evoluzione normativa
dei Sistemi di Controllo Interno come reazione alle frodi contabili/finanziare perpetrate.
Il primo evento rilevante catastrofico lo si può individuare nel crollo di Wall Street del ‘29.
→(24/10/29 noto come la caduta di Wall Street ovvero una crisi economico-finanziaria che poi si è
espansa in tutto il mondo)
3
IL CROLLO DI WALL STREET

La fine della WWI fu accolta dalla Borsa di New York come buon auspicio per l’avvenire. Nel giro di
poco tempo in USA si notò la prima era d’oro (Roaring Twenties) del mercato borsistico con tassi
annui di crescita a tripla cifra.
Questo repentino incremento non fu però sorretto da regole sufficientemente rigidi, utili a evitare
frodi. Infatti l’ottimismo creatosi si trasformò in una più facile concessione di prestiti utili a fare
investimenti, senza però fare adeguate verifiche sulla effettiva capacità di rimborso. Questa spirale
smise di funzionare quando le aspettative di crescita si disallinearono fortemente rispetto alle
performance effettive, e le speculazioni iniziarono a non essere ripagate.
La spirale speculativa fu, quindi, seguita da un circolo vizioso al ribasso, riequilibrando il sistema
azionario.
Il mercato borsistico statunitense si riprese poi grazie a norme e regole che permisero la ripresa
dei mercati e che portò a decretare la prima era d’oro del mercato borsistico statunitense. Si
assiste a tassi di crescita elevati che si dicono a tripla cifra. In questo periodo di ottimismo ci si
addentrò in una situazione che nel giro di poco si rivelò negativa per tutto il sistema americano in
quanto venivano concessi molti prestiti agli investitori senza svolgere adeguate verifiche sulla
capacità di rimborso quindi nel giro di poco tempo la situazione è precipitata riportando quindi ad
una situazione in cui i tassi di crescita si sono riabbassati. Questo perché si mise in atto una spirale
negativa per cui gli investitori non erano in grado di rimborsare i finanziamenti che avevano
ottenuto con molta facilità senza adeguate verifiche. Gli investitori avevano messo in atto delle
vere e proprie speculazioni che portarono nuovamente al ribaltarsi della situazione con nuove
situazioni di difficoltà e nuovo periodo di riforme e questa volta sono gli stessi organismi americani
che intervengono nuovamente con delle nuove normative per riequilibrare il sistema. Le
normative importanti sono due:
➢ 1932 con cui è costituita la Securities Exchange Commissione (SEC) equivalente della Consob.
Ossia la commissione governativa che si occupa del controllo su tutto il sistema borsistico
statunitense e il buon funzionamento delle società quotate
➢ 1934 nota come Securities Exchange Act → gli USA decretano l’introduzione del sistema di
controllo interno in quanto SEA va a disciplinare l’obbligatorietà… (vedi sotto)
SECURITIES EXCHANGE ACT (1934)

La risposta americana si può sintetizzare in due punti:
• Obbligatorietà di introdurre un Sistema di Controlli Interno all’interno delle società medio-
grandi e quotate: AUTOCONTROLLO. → evitare e contenere situazioni poco chiare e di mal
governo per cui l’importanza di questo atto sta nell’aver introdotto per la prima volta e
disciplinato nel sistema statunitense i sistemi di controllo interno.
• Necessità di individuare delle professionalità adeguate alruolo, ovvero professionisti
separati dell’external audit.
Nascita del doppio bianario: CONTROLLI ESTERNI + INTERNI

La normativa sottolinea che i sistemi di controllo interno sono sistemi di autocontrollo che ogni
società va a creare e implementare al suo interno e non c’entrano con i controlli esterni che
vengono affidati a professionisti con dei profili e delle caratteristiche e delle skills particolari per
4
svolgere i controlli contabili e per la prima volta in USA viene sottolineata la differenza tra i sistemi
di controllo interno (Internal Auditing) e i sistemi di controllo esterni (esternal Auditing) che hanno
come finalità i controlli contabili.
Questo atto è noto per aver disciplinato per la prima volta nelle società americane medio-grandi
e quotate l’importanza dei sistemi di controllo interno. Spesso i sistemi di controllo si evolvono
come reazione a degli scandali e a delle crisi economico-finanziarie e quindi un altro step
importante nell’evoluzione dei sistemi di controllo è il seguente: nel 1972.
Nello stesso anno sarà istituita la SEC (securities Exchange Commission)
Il 1972 si caratterizza, negli USA, per la presenza di una serie di fenomeni di corruzione da parte di
pubblici ufficiali o meglio di società che corrompevano pubblici ufficiali per poter mantenere i
rapporti commerciali con le società. La scoperta di questo modus operando è nominato come
Scanfalo Watergate prende il nome dall’hotel nella città di Washington dove vennero fatte
intercettazioni. Per fronteggiare questa situazione di crisi e difficoltà intervengono le
organizzazioni americane nel 1977 con la pubblicazione di un’altra legge FCPA che definisce alcuni
aspetti importanti.
FCPA – Foreign Corrupt Practices Act (1977)

Reazione allo scandalo Watergate
Due Aspetti significativi:
• Sanzioni inasprite per corruzione di pubblici ufficiali esteri.
• Estensione della normativa a tutto il personale e non solo ai dirigenti (INTRODUZIONE AL
CONETTO DI PERVASIVITA’) → introduce per la prima volta il concetto di pervasività
• Importanza di implementare Misure atte a garantire la tracciabilità dei flussi finanziari
imponendo regole per la tenuta dei bilanci e dei libri contabili.
Per l’implementazione di questo ultimo punto è il ruolo che riveste il sistema di controllo interno
durante la fase di autocontrollo che quindi deve esser in grado di sorvegliare e garantire la
tracciabilità dei flussi finanziari.
Le disposizioni contenute in questa normativa del 1977 fa si che tutte le soceità americane,
soprattuto le quotate e le medio grandi, si organizzino per cercare di implementare i sistemi di
controllo interno adeguati per prevenire tutte queste situazioni di negatività (frode, corruzione) e
cercano di dotarsi degli strumenti più idonei per garantire ciò che è richiesto dal FCPA ossia la
tracciabilità dei flussi finanziari.
SCI PRE-CoSO
Ai tempi veniva privilegiato un processo gerarchico ovvero venivano poste le basi di quelli che
dovevano esser gli elementi costituenti di un adeguato strumento di controllo interno e questi
elementi sono 5:
➢ Ambiente di controllo
➢ Valutazione dei rischi
➢ Attività di controllo
➢ Monitoraggio
➢ Informazione e comunicazione
Secondo l’approccio dei tempi questi 5 componenti necessarie per poter implementare un
adeguato sistema di controllo interno dovevano esser posizionate secondo una visione gerarchica
piramidale come risulta nello schema di questa slide. Ossia l’ambiente di controllo, il più importante
5
e anche più ampio tra i 5 elementi che vanno a costituire il sistema di controllo interno, rappresenta
ed è posizionato alla base della piramide.
A seguire la valutazione dei rischi, poi le attività di controllo e in cima l’attività di monitoraggio a
significare che il monitoraggio deve andare a fare una supervisione continua delle restanti
componenti.
Posizionato lungo i lati della piramide l’altra componente denominata informazione e

comunicazione a sottolineare la trasversalità della sua funzione in quanto una volta valutati i rischi
da parte del sistema di controllo interno, e una volta che il sistema di controllo interno ha definito
le attività di controllo per tener monitorati i rischi, tutti i dati/info che si possono trarre da queste
valutazioni, devono essere anche comunicati a tutto il sistema quindi a tutti i membri dell’ambiente
di controllo.
SCI PRE-CoSO → viene definito sistema di controllo PRE-CoSo perché siamo negli anni ’80 e siamo
in quella situazione (negli USA) precedente a quella che è la pubblicazione del primo framework di
riferimento per il sistema di controllo interno che si ha nel 1992
Processo gerarchico
Per cercare di implementare al meglio il sistema di controllo

interno che fosse in grado di accogliere le 5 componenti, che
fosse efficiente ed adeguato, le società erano solite tenere in considerazione l’efficienza dello
stesso sistema di controllo interno connessi all’implementazione. Non vi è ombra di dubbio che per
una società:
- Introdurre un sistema di controllo interno
- Prevedere degli appositi organi/funzioni
Significa sostenere dei costi e il grafico sottostante era uno strumento utilizzato dalle società,
soprattutto a quei tempi, per cercare di trovare e definire un livello efficiente dei controlli. Come si
evince dall’analisi del grafico usando un sistema di assi cartesiani in cui mettiamo in comparazione il
livello dei controlli su asse x con il costo per implementare i controlli su asse y le società sono in
grado di trovare il livello efficiente dei controlli dato dall’intersezione delle due curve, ossia:
- Il costo dei controlli (funzione crescente verde perché i costi dei controlli aumentano
all’aumentare dei controlli)
- Curva gialla che mi definisce il valore incrementale del rischio in quanto il valore
incrementale del rischio diminuisce all’aumentare del livello dei controlli.
➔ Il punto di intersezione tra queste due curve rappresenta per le società un livello di
efficienza da implementare relativamente ai sistemi di controllo interno in grado di
determinare il livello dei controlli ottimali da mettere in atto e i corrispondenti costi per
6
poter definire in modo adeguato l’architettura di quei modelli di controllo. Situazione tipica
del periodo pre-Coso ovvero prima del primo framework di riferimento che contiene le
disposizioni relative all’implementazione di un adeguato ed efficiente sistema di controllo
interno.
DATO CHE I SCI SONO UN INSIEME DI FILTRI, È RAZIONALE COSTRUIRE I CONTROLLI INTERNI
BASANDOSI ESCLUSIVAMENTE SULLA QUANTITÀ DI CONTROLLI
IL CoSO
Arriviamo alla pubblicazione della prima edizione del framework di riferimento. La prima edizione
1992 il CoSo report (framework del 1992). La pubblicazione di questo documento importantissimo
per l’evoluzione dei sistemi di controllo interno. Non solo per il sistema stesso ma per tutta la
funzione di internal auditing, è il risultato di una serie di studi e ricerche messe in atto negli anni
prima:
Nel 1985 la SEC decise di avviare degli studi sui casi di frode più incisi. Fu istituito il Committee of
Sponsoring Organization per questo scopo. Tale organizzazione fu supportata e patrocinata dalle 5
organizzazioni americane più importanti in tema di controlli e bilanci: AAA, AICPA, IIA (più
importante), IMA e FEI (questi ultimi due sono due organizzazioni che si occupano di disciplinare e
produrre normative di supporto in materia di accounting e auditing).
La peculiarità di tale studio fu il focus sul rischio. Ovvero, si studiarono i casi in oggetto sulla base della
capacità di gestione del rischio.
Da tale studio scaturì il CoSO Report, nel 1992. → CoSO è un espressione divenuta nota è un’acronimo
che va a sottolineare il nome della commissione governativa voluta dalla SEC e precisamente:
- Co sottolinea le iniziali di Committee
- SO → inziali della denominazione della commissione ovvero Sponsoring Organization
7
IL CoSO REPORT (versione 1992)

Fino ad ora abbiamo analizzato l’escursus dell’evoluzione dei sistemi di controllo aziendale in era
antica e moderna fino ad arrivare alla pubblicazione del CoSO 1992.
Riassumendo: si è arrivati alla pubblicazione del CoSO nel 1992 per volontà della SEC che nel 1985
(USA) per cercare di capire come porre freno a numerosi casi di frode e scandali finanziari se fosse
possibile trovare strumenti per porre freno a situazioni fraudolente e negative. Per questo decise di
avviare uno studio dedicato a quali sono state le caratteristiche e le frodi più rilevanti. Per questo il
compito venne affidato ad una specifica commissione presieduta da Treadway, denominata come
Commissione Treadeay. Il nome di tale commissione ha determinato l’acronimo del CoSO stesso.
Questa commissione è stata costituita dai rappresentanti delle 5 principali organizzazioni americane
che si occupavano del tema del controllo e dei principi contabili (in senso ampio di accounting e
auditing). Il risultato di questo studio viene pubblicato nel 1992 e prende il nome di CoSO reports.
La prima edizione del 1992 denominato come CoSO report evidenzia un titolo ben preciso.
L’espressione framework per indicare che il documento contiene le principali regole, gli standard
per la definizione dei sistemi di controllo intenro.
Secondo il CoSO, Il Sistema dei Controlli Interni può essere definito come:
«un processo (possiamo intenderlo come meccanismi, procedure e strumenti) posto in essere dal
Board (CdA che ha un ruolo importante nel definire l’architettura del sistema di controllo interno),
dal management e dal resto dell’organizzazione (A sottolineare che è un sistema integrato in cui
tutti i membri dell’organizzazione sono coinvolti) al fine di fornire un ragionevole convincimento in
merito al conseguimento degli obiettivi aziendali»
“Internal control is a process, effected by an entity’s board of directors, management, and other
personnel, designed to provide reasonable assurance regarding the achievement of objectives
relating to operations, reporting, and compliance”.
ASPETTI SALIENI DEL COSO REPORT

Una volta definito cosa si intende per sistema di controllo interno va a delineare:
➢ Gli obbiettivi del sistema di controllo interno (gli obiettivi sono 3. Vedi sotto)
➢ Gli elementi costituenti del sistema di controllo interno
➢ Le organizzazioni a cui è destinato il sistema di controllo interno
3 obiettivi del sistema di controllo interno

• efficienza ed efficacia nel raggiungimento degli obiettivi gestionali e finanziari e di
salvaguardia del patrimonio aziendale;
• attendibilità informativa di bilancio sia interna che esterna. L’attendibilità include i concetti
di tempestività, trasparenza e altri obiettivi posti dal legislatore e standard setter;
• conformità a leggi e regolamenti a cui l’impresa è sottoposta;
5 elementi costitutivi del sistema di controllo interno
(visti prima quando abbiamo visto come via via gli elementi si andavano a costituire come
elementi costituenti un adeguato sistema di controlli interni nel periodo denominato pre-
CoSO reports. La differenza è che nel pre-CoSO i 5 elementi di cui le società avevano
conoscenza erano soliti esser posizionati secondo una piramide quindi secondo una linea
gerarchica verticale mentre con il CoSO report l’orientamento cambia pur salvaguardando il
fatto che il CoSO report recepisce pienamente i 5 elementi costituenti il sistema di controllo
interno:)
8
- ambiente di controllo
- identificazione e valutazione dei rischi
- attività di controllo
- informazioni e comunicazione
- monitoraggio
- La terza caratteristica: AMBITO DI APPLICAIZONE DEL CONTROLLO INTERNO
Il sistema di controllo interno è da recepire da qualsiasi società indipendentemente dal livello
organizzativo recepito. Il che significa che il sistema di controllo interno va bene per quelle società
che sono strutturate per business unit, a livello divisionale, strutturate in base all’attività che
svolgono. Ovvero è un modello organizzativo che va bene per qualsiasi forma di organizzazione
scelta dalla società stessa.:
➢ A livello di entità
➢ A livello di divisione
➢ A livello di business unit
➢ A livello di unità operativa
CoSO REPORT: LA NOVITA’

La vera novità introdotta dal CoSO report è la visione cubica. Il cubo tridimensionale che va a
sintetizzare i contenuti del CoSO report secondo la versione 1992. È importante il passaggio da una
versione piramidale che già abbiamo visto nel periodo pre-CoSO report. La visione cubica a
sottolineare la pervasività del CoSO report
- Incremento dell’economicità delle operazioni

Obiettivi aziendali (efficacia ed efficienza);
- Affidabilità del reporting finanziario;
- Rispetto di leggi, regolamenti e statuti.
Ambiti Applicativi
Elementi Costitutivi
Il cubo evidenzia le tre facce e sulle tre facce sono sintetizzati i tre aspetti caratterizzanti il CoSO
report:
9
1. Nella faccia superiore individuiamo i tre obiettivi disciplinati dal CoSO report riportati con
la loro espressione in inglese:
a. Operation → efficacia/efficienza del sistema di controllo interno
b. Financial reporting → l’affidabilità dei dati finanziari
c. Compliance → monitoraggio e rispetto dei regolamenti statuiti
2. Sulla faccia frontale del cubo troviamo i 5 elementi costituenti già detti e vengono riportati
in inglese:
a. Control environment → ambiente di controllo posto alla base del cubo
b. Risk Assessment → controllo dei rischi
c. Control Activities → attività di controllo
d. Information e comunication
e. Monitoring → monitoriaggio continuo
3. Nella faccia laterale dove vengono riportati gli ambiti applicativi del CoSO report: chi sono i
destinatari → può esser recepito da qualsiasi società indipendentemente dal modello
organizzativo scelto sia che la società sia organizzata per singole unità o che sia strutturata
per attività.
Tutte le nazioni poi hanno iniziato un processo di rivisitazione delle norme sul sistema di cotnrollo
interno.
La profonda rivisitazione dell’intera normativa sui controlli è stata in gran parte influenzata dal
CoSO Report 1992;
Tutti i documenti in materia di controllo interno emessi a quel tempo fra cui i principali:
1. Framework per Internal Control System in Banking Organizations elaborato nel 1998 dal
Comitato di Basilea;
2. Handbook of International Standards on Auditing and Quality Control;
3. Turnbull Guidance del Financial Reporting Council britannico;
4. le guide italiane predisposte dal CNDC nonché anche i diversi documenti emessi dalle
associazioni di categorie dei contabili,)
fanno espresso richiamo ai contenuti del CoSO.
Il CoSO Report ha rappresentato un modello di riferimento di “AUTODISCIPLINA” su scala

mondiale
Il CoSO report è stato il primo documento più importante a livello internazionale per quel che
riguarda il punto di riferimento della disciplina dei controlli, nello specifico del controllo interno. Il
CoSO report è diventato un modello di riferimento di autodisciplina anche isu scala mondiale per
quel che riguarda la disciplina dei controlli interni.
Subito dopo la pubblicazione del CoSO report riprendono degli scandali finanziari che hanno per lo
più alla base maneggi di dati bilancio e commissioni di frodi. Ce ne sono state molte e questo
sottolinea che spesso i sistemi di controllo interno evolvono ogni volta che si assiste a scandali
finanziari perché se si arriva ad uno scandalo finanziario vuol dire che il sistema di controllo
interno non è adeguato ed è necessario un aggiornamento che riveda gli elementi del sistema di
controllo stesso.
10
Tra le varie situazioni che si sono verificate, connesse alle quali sono stati messi in atto
comportamenti scorretti, qui sopra sono sintetizzate le più rilevanti. Sono crisi verificatesi tra fine
anni ’90 e inizi 2000. Un primo segnale si è verificato con la WM:
- WM è una società che ha iniziato a creare/gonfiare risultati gonfiando il risultato ante
imposte. In questo caso la società ha allungato i tempi di ammortamento. Una tecnica di
manipolazione dei dati finanziari che ha portato alla crisi e al tracollo. È intervenuta la SEC
con delle sanzioni ed è stato condannato l’amministratore delegato e la società di
revisione.
Quando si verificano questi scandali di importanza rilevante vuol dire che spesso le società di
revisione ne erano a conoscenza e condividevano questi comportamenti non corretti.
- 2002/2003 serie di situazioni di crisi connesse ad alcuni grandi colossi. Worldcom che ha
manipolati dati finanziari e ha capitalizzato in modo fraudolento costi di linea che anziché
sottostimarli avrebbe dovuto contabilizzare secondo altre regole → ha gonfiato i
ricavi(entrate false) e la società chiudeva con un risultato di bilancio positivo che non
esisteva
- Healtsouth→ falsi in bilancio con ricavi/profitti gonfiati. La SEC anche in questo caso
interviene e va a indagare sull’operato dell’amministratore delegato che è responsabile
perché il giorno prima della chiusura del bilancio con riporto di perdita rilevante, l’AD in
modo fraudolento aveva svenduto il magazzino per 75 milioni di euro
I due casi più rilevanti sono:
- Il caso Enron nel 2002 negli USA → società che raggira i dati economici con il fine di
gonfiare i ricavi al fine di chiudere il bilancio con risultato di esercizio positivo cosa che non
era veritiera. E una serie di manipolazione finalizzata a coprire crediti inesigibili da cui poi lo
scandalo che ha portato a condannare anche la società di revisione.
- Il caso Parmalat (2003) quasi su imitazione nel nostro ordinamento→ Parmalat è stata
condannata per falso in bilancio per via della manipolazione dei dati di bilancio. Tra cui la
11
non esposizione corretta in bilancio della situazione debitoria. Anche qui c’è stato il
coinvolgimento della società di revisione che in quel caso era la Gran Thorton.
- Tyco nel 2003 anche qui c’è contabilità scorretta, sottrazione di denaro utilizzando prestiti
che non erano stati approvati, vendita di titolo… anche qui la SEC ha individuato le pratiche
contabili non corrette.
Tutte queste situazioni hanno portato ad una rivisitazione e aggiornamento delle normative
relative ai sistemi di controllo e soprattutto controllo interno.
La prima reazione è stata quella di andare a sottolineare come gli scandali finanziari il più delle volte si
verificano perché i sistemi di controllo interno attuati dalle società sono:
- Inefficienti o non adeguati
- Assenti
Per fare in modo che questo non si verifichi si sottolinea che tutti i modelli di governance devono prestare
attenzione alla definizione ed implementazione di sistemi di controllo interno adeguati a monitorare gli
andamenti per evitare il verificarsi di questi scandali finanziari. Quindi si sente da subito l’esigenza di
condividere delle regole comune a livello internazionale di buon governo che le società devono osservare al
fine di tutelare gli interessi degli azionisti.
Il primo codice di comportamento che viene realizzato è datato 1992 e viene pubblicato nel Regno Unito ed
è diventato molto famoso perché il primo e soprattutto perché viene preso come riferimento. Questo
prendo il nome di rapporto Cadbury dal nome della commissione.
Intervenire sulla sul ruolo e responsabilità della Corporate Governance al fine di rassicurare la fiducia degli
investitori.
Con specifico riferimento al CoSO Report vengono in molte nazioni prodotti specifici Codici di
Comportamento, che seppur predisposti tenendo in dovuta considerazione le peculiarità culturali e
normative di ciascun paese, condividono l’importanza di un adeguato sistema di controllo interno e di
gestione dei rischi come pure l’esigenza di fornire informazioni trasparenti, di tutelare gli interessi degli
azionisti e di definire la struttura e le responsabilità dei Board.
Il primo e più noto Il Rapporto Cadbury, pubblicato nel 1992 nel Regno Unito, è da considerarsi la Magna
Cartha della Corporate Governance e dell’autoregolamentazione societaria.
Esso è il risultato dei lavori di una apposita commissione costituita nel 1991, la Cadbury Committee on
Financial Aspects of Corporate Governance, nota come Cadbury Committee dal nome del presidente Sir
Adrian Cadbury. Il comitato è stato costituito a seguito del fallimento di alcune società fra cui la Maxwell
Communications Corporation e la Polly Peck International, per individuare delle regole di buon governo.
Su imitazione di quel che si è verificato in Inghilterra la maggior parte delle nazioni ha pubblicato il
proprio codice.
La Corporate Governance è il sistema delle regole secondo le quali le imprese sono gestite e
controllate, coniugando:
• raggiungimento degli obiettivi;
• comportamento coerente alle aspettative;
• trasparenza nei confronti di azionisti e stakeholders
Il testo di riferimento in Italia sull’argomento è il “Codice di autodisciplina per le società quotate” (cd. Codice Preda)
redatto nell’ottobre 1999, aggiornato più volte, l’ultima nel 2020 →con il supporto di Consob viene istituito un codice
con le norme di buon governo da adottare da parte di tutte le società quotate.
DIBATTITO: Molte crisi finanziarie causate da assenza o inefficienza del Sistema di Controllo Interno
12
L’importanza di questo codice è data dal fatto che:

1. c’è un allineamento circa le regole di buongoverno per tutte le società quotate
2. ciascuno di questi codici contiene la definizione di ciò che si intende per Corporate Governance → anche il
nostro codice di autodisciplina da una definizione
CORPORATE GOVERNANCE ED AGENCY PROBLEM
Per Corporate Governance si intende:
«Corporate governance involves a set of relationships between a company’s management, its
board, its shareholders and other stakeholders. Corporate governance also provides the structure
through which the objectives of the company are set, and the means of attaining those objectives
and monitoring performance are determined»
Definita quindi come “quel sistema di regole secondo le quali le imprese devono essere gestite e controllate e la
gestione e il controllo deve esser finalizzata al raggiungimento di alcuni obiettivi, al mantenimento di un
comportamento coerente alle aspettative, ed essere in grado di garantire la trasparenza nei confronti di azionisti e
stakeholder”.
Una volta definito questo primo modus operandi comune a livello internazionale, ossia la definizione di regole di
buon governo, a livello internazionale il dibattito continua ad essere acceso circa le crisi finanziarie. La maggior parte
condividevano che le cause erano da additare ad una assenza o inefficienza dei sistemi di controllo interno. Altri
invece attribuivano la causa dei malgoverni e crisi finanziarie a quello che era noto come il problema dell’agenzia (→
problema tipico del mondo anglosassone dove è molto diffusa la public company ovvero grande ricorso al mercato
borsistico porrtando ad una separazione tra potere e controllo). Ovvero i proprietari affidano la gestione
dell’impresa al management che ha obiettivi di breve periodo perché sa che la sua attività è a scandenza e ha
certezza di rinnovarsi per quella società solo se è in grado di garantire buone performance.
Agency Problem → separazione tra proprietà e controllo

L’Agency Problem, o problema di agenzia, è una situazione in cui la separazione tra proprietà e
controllo determina una piena autonomia del management, sfruttata al fine di ottenere maggiori
performance e quindi maggiori bonus, in tutti i modi: leciti ed illeciti.
Per questo motivo, il Sarbanes-Oxley Act e la Legge sul Risparmio definiscono il Sistema di Controllo
Interno imprescindibile
Il manager si focalizza su obiettivi di breve periodo e hanno come obiettivo la massimizzazione dei profitti di
breve periodo così ottengono:
1. bonus
2. possono essere riconfermati
alcuni sostengono che alcune delle cause delle crisi finanziarie sia da riconnettersi a questo problema
dell’agenzia. A livello Statunitense si decide di dar luogo ad una riforma per nuove regole di buon governo.
Per risolvere i problemi di agenzia:
- Sarbanes Oxley Act (SOX) per le società quotate alla borsa di NT (2002) → è una legge importante
che molte nazioni a livello internazionale pubblicano leggi simili.
- Legge sul risparmio in Italia (2005) su imitazione della SOX e si allinea, per molti aspetti alla SOX
Sarbanes-Oxley Act (2002)

Sarbanes- Oxley Act (SOX), dal nome di due politici che hanno definito il progetto di legge: Paul Sarbanes e
Mike Oxley
La SOX è stata la riforma più stringente e più importante dopo il Securities Exchange Act del 1934,
finalizzata a:
- Riconquistare la fiducia degli investitori tramite miglioramento della Corporate Governance; (delle
nuove regole di buon governo)
13
- Garantire la trasparenza delle scritture contabili;

- Incrementare le pene per i reati societari.
Normativa molto dettagliata e specifica formata da 11 Titoli suddivisi in sezioni di cui le più importanti sono
302 (certificazione dell’informativa finanziaria) e 404 (responsabilità del management)
Tra le principali novità introdotte vi sono: → importanti anche per gli sviluppi futuri.
1. L’istituzione di un organismo preposto al monitoraggio e al miglioramento degli standard in tema
di accounting and auditing;
2. La definizione di regole più chiare in merito ai rapporti tra audit committee e società di revisione
(organo controllo interno e organo controllo esterno);
3. L’incremento di sanzioni penali nel caso di reati riguardanti l’audit del bilancio;
4. L’introduzione di meccanismi di protezione giuridica per coloro che denunciano reati aventi a
oggetto la predisposizione e il controllo del bilancio.
5. L’introduzione di nuovi standard e procedure per l’accounting e l’auditing;
6. L’introduzione di nuovi meccanismi di monitoraggio delle professioni contabili. → verificare se i
contabili e auditors nello svolgere la loro professione fossero in linea con le norme di deontologia
professionale.
Sarbanes-Oxley Act: Sec. 302 – CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS

“(a) CERTIFICATION OF PERIODIC REPORTS —Each periodic report containing financial statements filed by an
issuer with the Commission pursuant to section 13(a) or 15(d) of the Securities Exchange Act of 1934, shall be
accompanied by a written statement by the chief executive officer and chief financial officer of the issuer.
(b) CONTENT —The statement required by sub section (a) shall certify the appropriateness of the financial
statements and disclosures contained in the periodic report, and that those financial statements and disclosures
fairly present, in all material respects, the operations and financial condition of the issuer.” [testo della sezione]
Con la Sec302 si impone la certificazione dell’informativa finanziaria da parte del direttore finanziario (CFO)
ed amministrativo (CEO). È stata, quindi, introdotta una responsabilità “penale” indiretta in capo a queste
figure, qualora l’informativa da loro sottoscritta non sia veritiera e corretta.
Sarbanes-Oxley Act Sec. 404 – MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS (doveri del
management)
“(a) RULES REQUIRED —The Commission shall prescribe rules requiring each annual report required by section
13 of the Securities Exchange Act of 1934 (15 U.S.C. 78m) to contain an internal control report, which shall:
1. state the responsibility of management for establishing and maintaining an adequate internal control
structure and procedures for financial reporting; and
2. contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the
internal control structure and procedures of the issuer for financial reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING —With respect to the internal control assessment
required by subsection (a), each registered public accounting firm that prepares or issues the audit report for
the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation
made under this subsection shall be made in accordance with standards for attestation engagements issued
or adopted by the Board.
14
Any such attestation shall not be the subject of a separate engagement.”
La Sec404 sintetizza i doveri in capo al management:

• Responsabilità relativa alla valutazione dell’efficacia dei controlli interni.
• Valutazione effettuata sulla base di un modello riconosciuto e supportata da idonee evidenze. →
il modello riconosciuto consiste nel fare un riferimento preciso alle disposizioni contenute nel
CoSO report
L’AUTOREVOLEZZA DEL CoSO REPORT È DATA ANCHE DA QUESTA SECTION.
Ovvero con questa legge viene riconosciuta l’autorevolezza alle disposizioni contenute nel CoSO report in
quanto la responsabilità del management è quella di andare ad implementare i sistemi di controllo interno
che devono esser costituiti rispettando la presenza dei 5 elementi.
Fasi tipiche SOX

Per esser rispettosi delle disposizioni contenute nella SOX (molto precisa e dettagliata) è necessario seguire
questi tre step della tabella. Ovvero le imprese devono:
1. Fare una mappatura dei processi
2. Per ogni processo mettere in atto la valutazione dei rischi connessi a quello specifico processo
3. Report informativa → per ogni processo mappato, una volta valutati i rischi connessi a quel
processo si procede poi alla valutazione dell’adeguatezza del sistema di controllo. Ovvero mappare
e verificare se il sistema di controllo interno è stato in grado di mappare in modo adeguato il
processo.
Mappatura Processi Risk Assessment Report & Informativa

Definizione dello schema Identificazione dei rischi e degli Valutazione dell’adeguatezza del
generale di classificazione obiettivi di controllo sistema dei controlli nel
dei processi complesso
Collegamento dei processi alle Rilevazione dei controlli Identificazione delle azioni
voci di bilancio correttive
Classificazione dei processi in base Valutazione dei controlli di alto Definizione di un sistema di
alla rilevanza e rischiosità livello monitoraggio
Centralità del processo di financial Valutazione dei controlli Attestazione del
reporting operativi management
Definizione della Valutazione dei controlli-testing
documentazione in base alla
criticità del processo
Differenze CoSO report 1992 e SOX

Confronto tra primo framework del 1992 e SOX. Infatti la SOX riprende alcuni punti del CoSO report ma va
sottolineato che i focus di riferimento di questi due standard diventati importantissimi, sono diversi. Infatti
mentre il CoSO è molto focalizzato sugli obiettivi attribuiti al sistema di controllo interno (economicità,
attendibilità e conformità) e se facciamo riferimento al cubo significa attenzione e focus sugli obiettivi della
facciata superiore del cubo. Viceversa le attenzioni della SOX è proprio quello di sottolineare gli obblighi e
CoSO REPORT 1992 SOX
Focus su Obiettivi del SCI: Focus su:
- economicità; - Obblighi e responsabilità a carico del management in
- attendibilità merito all’efficacia del Sistema Controllo Interno e in
- conformità relazione all’attendibilità dell’info
responsabilità posti a carico del managaement in merito all’implementazione di un sistema di controllo
interno efficace e la loro responsabilità nel garantire l’attendibilità delle informazioni finanziarie.
15
Internal Auditing Sara Inzillo
CoSO ERM REPORT (versione 2004)

La Commissione Treadway a distanza di dodici anni ha ritenuto opportuno emettere un aggiornamento del
Framework, pubblicando nel 2004 → considerando che, alla luce delle crisi finanziarie, degli scandali,
questo significava che forse alcune componenti del CoSO report andavano riviste perché non ritenute più
idonee per fronteggiare le situazioni critiche degli attuali contesti. Infatti dalla pubblicazione del primo
framework sono passati 15 anni.
CoSO Report II, intitolato Enterprise Risk Management-Integrated Framework, noto come CoSO ERM-2004
→ERM sempre acronimo.
I motivi dell’aggiornamento del Framework:

1) Cercare nuovi strumenti per Maggior tutela per gli stakeholders a seguito delle crisi finanziarie;
2) Per recepire i rilevanti cambiamenti che hanno coinvolto l’economia globale: tecnologia, globalizzazione,
nuovi modelli di organizzazione (outsourcing, joint-venture) → i sistemi economici nel 2000 sono cambianti
in modo rilevante. L’economia non è più settoriale riferita alle singole nazioni ma l’economia diventa
sempre più globale. I nuovi approcci tecnologici ha supportato i nuovi modelli di business e il diffondersi di
nuovi modelli organizzativi basati su operazioni/decisioni di esternalizzare/delocalizzare parte di attività
aziendali e quello di intraprendere nuove operazioni di internalizzazione.
3) Cambiamento della prospettiva nell’approccio al rischio non più interpretato come unicamente una
minaccia ma anche come potenziale componente del Sistema di Controllo Interno in grado di generare
valore. Tale evoluzione si ritiene sia transitata attraverso tre differenti modelli di Business Corporate Model
→ il rischio non viene più visto come una minaccia. Infatti il nuovo mondo sempre più globalizzato richiede alle
nuove organizzazioni di iniziare ad interpretare nuovamente il concetto di rischio. Questo non viene più
interpretato come una minaccia ma una potenziale componente del controllo interno in grado di generare
valore.
Se le società sono in grado di mappare il rischio allora sono anche in grado di risolverli senza problemi e sono
in grado di generare valore per le stesse organizzazioni. E chi lo deve fare sono i sistemi di controllo interno?
Come si è arrivati alla sperimentazione di questi nuovi paradigmi? Si è arrivati perché si è assistito
all’evoluzione dei modelli di business corporate modern risk. La società si è resa conto di dover convivere con
le situazioni rischiosi e hanno valutato di definire modelli di business nuovi basati a dover gestire e
fronteggiare il rischio. Questi nuovi modelli organizzativi si sono evoluti secondo diverse strutture e
metodologie.
4) Risk:
- il Risk Management; → modelli in cui i manager dovevano identificare, pianificare e valutare strategia
per fronteggiare i rischi.
- il Business Risk Management; → modello più evoluto che enfatizza il fatto che le figure apicali (il
management) deve mappare i rischi ma il concetto di rischio diventa un concetto più integrato a livello
di intera organizzazione
- l’Enterprise-Wide Risk Management → tutta l’intera realtà a livello ampio deve esser
organizzata/gestita/valutata avendo come riferimento la gestione del rischio con tutto ciò che
comporta.
Approcci al rischio: tradizionale e secondo ERM
Traditional Risk Management Enterprise Risk Management (Introdotti dal nuovo framework)
Rischio come azzardo individuale Rischio contestualizzato nella strategia di business →rischio
Identificazione e valutazione del rischio integrato nella strategia
Focus sul rischio separato Sviluppo del risk portfolio → mappatura del rischio
Mitigazione del rischio Focus sul rischio critico
Limiti dei rischi Ottimizzazione del rischio Strategia dei rischi
Rischi senza un titolare → non si era in grado di Definizione delle responsabilità sui rischi
individuare il soggetto responsabile di alcuni rischi Monitoraggio e misurazione dei rischi
Quantificazione confusa dei rischi
“ Il rischio è responsabilità di tutti”
“ Il rischio non è mia responsabilità”
16
CoSo ERM Report versione del2004
Il cubo viene pubblicato nella versione del CoSO nel 2004. È

stata mantenuta la medesima struttura cubica ma si possono
individuare delle differenze e delle novità rispetto
all’edizione del 1992.
➔ Facciata superiore → obiettivi nella versione del 1992
erano 3 ma in questa nuova edizione viene introdotto un
quarto obiettivo (strategic)
➔ Facciata frontale → diventano ora 8 nella versione del
Coso del 2004. Sono presenti le 5 che abbiamo visto
prima. A queste 5 si aggiungono 3 specificatamente
dedicate alla gestione dei rischi:
▪ Objective setting
▪ Event Identification
▪ Risk response
OBIETTIVI: Diventano 4
1) STRATEGIC: Gli obiettivi strategici sono quelli che, attraverso un’ottica di lungo periodo, permettono
di raggiungere fini aziendali ed in particolare la creazione di valore per i vari soggetti che si relazionano
con l’impresa; di conseguenza, nell’elaborazione delle strategie aziendali, il management dovrà trovare
“un equilibrio ottimale tra target di crescita, di redditività e rischi conseguenti. In una visione
fortemente focalizzata sulla valutazione del rischio e nella definizione delle strategie per fronteggiarli
e risolverli. Quindi la strategia diventa a tutti gli effetti il quarto obiettivo.
Questa nuova attenzione al rischio diventa anche una componente.
2) OPERATIONS
3) REPORTING
4) COMPLIANCE
LE COMPONENTI: Diventano 8
Dallo schema del CoSO-ERM si può notare come i tre nuovi componenti siano:
1. Definizione degli obiettivi (Objective Setting): gli obiettivi devono essere adeguatamente definiti,
coerentemente con la mission aziendale e con il rischio accettabile. →non è possibile escludere la
definizione di un livello di rischio accettabile già in fase di definizione del livello degli obiettivi. Questo
significa che ogni società ogni volta che definisce gli obiettivi, nella definizione degli obiettivi deve
comunque recepire il livello di rischio accettabile.
2. Identificazione degli eventi (Event Identification) consiste nella metodologia con cui vengono
identificati eventi che influiscono sul raggiungimento degli obietti aziendali, distinguendoli tra rischi
ed opportunità.
3. Risposta al rischio (Risk Response): consiste negli interventi che il management pone in essere per
mantenere i rischi emersi (una volta che sono stati mappati, valutati …) al di sotto del livello
accettabile. Le azioni da intraprenderesono:
a. Evitarlo: eliminando un prodotto o un’attività;
b. Accettarlo: decidendo di non intraprendere alcuna azione per contenere il rischio;
c. Ridurlo: implementando azioni in grado di diminuire l’incidenza della probabilità e o dell’impatto;
d. Condividerlo: attuando azioni come il trasferimento del rischio, vale a dire una polizza
assicurativa. (spesso avviene mediante sottoscrizione di polizze negative)
17
LE ALTRE COMPONENTI pur riprendendo gli stessi contenuti previsti dalla precedente versione,
enfatizzano l’approccio alla gestione del rischio:
• Ambiente di controllo: è statuito che comprende la filosofia della gestione del rischio nonché
i livelli di accettabilità del rischio;
• Valutazione del rischio: è sottolineato che trattasi di un procedimento di analisi strutturata
dei rischi per determinare la probabilità che si verifichino ed il loro impatto, allo scopo di
definirne la loro gestione.
• Attività di controllo: viene sottolineata l’importanza che le attività di controllo
devono assicurare che le risposte al rischio siano efficacemente eseguite;
• Informazione e Comunicazione: rispetto al CoSO Report I, il nuovo framework ricomprende
anche i dati previsionali importanti per la valutazione e mappatura dei rischi;
• Monitoraggio: deve avvenire in modo continuo per il tutto il processo dell’ERM;
Le altre componenti, sebbene vengano riportate così come erano nel CoSO report, vengono riviste
enfatizzando l’approccio alla gestione del rischio.
Novità CoSo ERM-2004→ Sintesi delle novità

IlCoSO ERM non vuole essere uno stravolgimento del CoSO IC-IF ma una sua integrazione ai fini di una
rinnovata prospettiva attribuita al rischio. La prima edizione viene quindi aggiornata e integrata prendendo
tutta la nuova parte dedicata al rischio. Per questo L’ERM viene definito come un processo
l’ERM sia un processo che deve coinvolgere l’intero sistema aziendale, le cui caratteristiche sono:
1) L’allineamento della strategia al rischio accettabile
2) Il miglioramento alla risposta del rischio individuato
3) La riduzione degli imprevisti e delle perdite conseguenti
4) L’identificazione e la gestione dei rischi correlati e multipli.
5) Identificazione delle opportunità
6) Il miglioramento dell’impiego di capitale.
Nuova crisi Finanziaria- Nuovi standard per i controlli

Nuovo Aggiornamento del CoSo Report nel 2013, la Commissione interviene ogni volta che c’è una crisi
finanziaria. Infatti nel 2004 è iniziata una crisi negli USA che è arrivata nel resto del mondo nel 2008. Ogni
volta che c’è una crisi finanziaria si sente la necessità di aggiornare e intervenire per implementare i sistemi
di controllo perché crisi finanziaria significa che i sistemi di controllo (interno) hanno perso la loro efficienza.
Questa nuova crisi finanziaria si origina negli USA e l’origine in primis è relativo al settore immobiliare.
Dal 2006 nuova crisi. Origine negli USA, settore immobiliare.
In Usa agli inizi del 2000 si assiste ad una forte crescita del mercato immobiliare, grazie soprattutto alla
politica monetaria della Federal Reserve di riduzione dei tassi di interesse. Il basso costo del denaro risultava
appetibile per le famiglie che alimentarono la domanda di case, e quindi il loro prezzo, creando una vera bolla
immobiliare.
Le banche erano anche propense ad accordare mutui in quanto se il mutuatario non era stato in grado di
rimborsare avrebbero potuto procedere con il pignoramento e rivendita dell’abitazione.
Nel frattempo, si era anche diffusa da parte delle banche la cartolarizzazione, per cui si originava una lunga
catena dove i prestiti ipotecati originari passavano di cessione in cessione. Tale lunga catena di negoziazione
di strumenti finanziari disincentivava il monitoraggio del credito originario.
Nel 2004 la FED, a seguito di una crescita eccessiva dell’economia, ha optato per un aumento dei tassi con
un ovvio effetto di incremento del costo dei mutui per il rimborso delle rate, divenuto insostenibile da parte
delle famiglie fino al punto di arrivare ai casi di insolvenza provocando un drastico calo della domanda degli
immobili e lo scoppio della bolla immobiliare.
Negli anni successivi, soprattutto a partire dalla metà del 2007 molti istituti bancari iniziarono a
18
rilevare perdite elevate (alcune sono fallite) e ciò ha impattato sui sistemi finanziari globali determinando la
pesante Crisi finanziaria del 2008
Questa immagine mostra le grandi società che sono fallite a seguito di questa crisi finanziaria. Ma anche
molte banche sono state impattate. Il caso più importante è stato il fallimento della Lehman Brothers.
Avvio Progetto di nuovo aggiornamento del CoSO Report

Nel novembre 2010, il CoSO annuncia di aver avviato un progetto per aggiornare il Framework del 1992. A
tal fine ha chiesto il supporto della PriceWaterhouseCoopers ed ha anche istituito un Consiglio Consultivo.
MOTIVI A SUPPORTO DELL’AGGIORNAMENTO:

1. Complessità e globalizzazione che caratterizza l’ambiente aziendale in ambito sia nazionale che
internazionale
2. Nuovo ruolo della tecnologia
3. Adozione da parte delle imprese di modelli di business sempre più innovativi
4. Nella complessa articolazione della normativa relativa al SCI ravvisabile a livello internazionale
5. Nella richiesta di maggior responsabilità e competenza da parte delle imprese per il management
interno
6. Nelle esigenze, specialmente espresse dagli stakeholders di efficienza ed efficacia dei sistemi di
controllo interno.
Obiettivo dell’aggiornamento
scopi del nuovo framework possiamo considerare:
1. la salvaguardia dei cinque elementi costituenti il Sistema di Controllo Interno, già presenti nel
framework del 1992 che, come affermato da David L. Landsittel, presidente del CoSO fino al 2013,
sono concetti “senza tempo”;
2. la costante promozione di un approccio “risk-based” anziché “check-the-box-approach” finalizzato
alla riduzione dei costi. Esso permette l’eliminazione dei controlli ritenuti inefficaci, inefficienti o
superflui rispetto al modesto valore aggiunto da essi forniti nella riduzione dei rischi e/o mancato
raggiungimento degli obiettivi aziendali → è importante il contenimento dei costi ma il contenimento
dei costi si deve ridurre, secondo questo approccio, all’eliminazione dei costi relativo ai controlli
inefficienti/inefficaci e inefficienti.
19
La commissione il 14 maggio 2013 pubblica la versione aggiornata del CoSO IC-IF, da recepire entro il 15
dicembre 2014, composto da 4 framework:
1) Internal Control - Integrated Framework Executive Summary;
2) Internal Control - Integrated Framework and Appendices;
3) Internal Control – Integrated Framework Illustrative Tools for Assessing Effectiveness of a System of
Internal Control.
4) Internal Control Over External Financial Reporting: A Compendium of Approach and Examples
CoSO REPORT-2013
La struttura cubica sintetizza il contenuto nel nuovo CoSO report. La
prima caratteristica è che vi è un ritorno alla struttura del 1992 e le
componenti tornano ad essere le 5 componenti già previste nel 1992. Poi
per quel che riguarda gli obiettivi sono i 3 noti del 1992. Per quanto
riguarda la definizione di sistemi di controllo interno il CoSO del 1992
definisce il SCI avendo come riferimento i tre obiettivi, stessa cosa
prodotta dal framework del 2013 infatti sono riportate le definizione di
SCI presenti nel CoSO report del 1992 e poi quelle nel CoSO report 2013.
In giallo sono evidenziate le differenze: quella principale risiede negli
obeittivi:
➢ Nel 1992 l’obiettivo del reporting era definito financial reporting a
sottolineare proprio l’importanza del focus su informativa finanziaria.
➢ Nel 2013 invece l’obiettivo (il secondo) non è più riconducibile al financial
reporting ma diventa solo “reporting” a sottolineare che la
reportistica/affidabilità e obiettivo della rendicontazione deve esser
totalitario e non con specifico riferimento all’informativa finanziaria.
La novità importante è che la Treadway Commission, con supporto della PriceWaterhouseCooper’s,
pubblica per la prima volta gli standard di riferimento, ossia i principi, del sistema di controllo interno.
Questa è la novità più significativa perché dal 2013 l’internal auditing diventa a tutti gli effetti una specifica
disciplina corredata di specifici principi standard di riferimento
CoSO Report 1992 CoSO Report 2013

Internal Control is a process affected by an entity’s Internal Control is a process affected by an entity’s
board of directors, management and other board of directors, management and other personnel,
personnel, designed to provide reasonable designed to provide reasonable assuVre
arnsio
cene
re2
g0
a1
rd3ing the
assurance regarding the achievement of objectives achievement of objectives relating the operations,
in effectiveness and efficiency of operations; reporting and compliance.
reliability of financial reporting and compliance
with applicable laws and regulations
Dati i nuovi modelli di business e le nuove caratteristiche del mercato (es: globalizzazione), si è deciso di
semplificare la struttura del CoSO, ritornando alla struttura del 1992. Di contro una maggiore specificazione
è data dall’introduzione di 17 principi standardizzati
20
Novità Rilevante: I 17Principi
I primi 17 costituiscono le regole di funzionamento, e contengono le specifiche disposizioni relative alle 5

componenti del sistema di controllo interno.
ci sono 5 prinicpi a supporto della definizione e relativa alle caratteristiche dell’ambiente di controllo.
4 a supporto della definizione del risk assestement
3 per la terza componente (attività di controllo) e per la quarta (comunicazione e informazione) e 2 per le
attività di monitoraggio. Ciascuno dei 17 principi contiene standard/definizione/caratteristiche di
funzionamento tutto dedicato a far si che le società abbiano riferimenti per progettare un sistema di
controllo interno.
Questa è la prima pagine del ICIF prima versione con la copertina del framework del 2013. Anche da un
punto di vista grafico è evidente il rinnovamento/aggiornamento. La versione del 1992 è molto più
schematica e fredda, anche l’immagine mostra un aggiornamento dinamico.
21
qui è schematizzato il project line table, infatti il percorso di aggiornamento è partito nel 2010 ed è stato
pubblicato nel 2013. Quindi un periodo di 3 anni in cui ci sono state delle consultazioni pubbliche, perché il
dato di partenza è stato anche un monitoraggio delle richieste che man mano venivano formulate dagli
stakeholder per le caratteristiche che doveva avere un buon SCI.
Vediamo il supporto esterno della società di revisione e qui è schematizzato come era articolato il gruppo
dei lavori e a capo di tutto troviamo il Board of Directors costituita dai rappresentati delle principali
organizzazioni che nel frattempo rispetto a quelle viste all’inizio del 1992 si sono evolute però sono
aumentate anche di numero e sono riportate tutte le principale sigle che rappresentano le più importanti
organizzazioni in materia di accounting che hanno partecipato alla formulazione del framework
22
17 PRINCIPI DEL CoSo REPORT

CARATTERITICHE CoSo REPORT 2013
I principi per definire e implementare e recepire i 5 elementi costituenti il SCI. Infatti la aprticolarità del
CoSo report 2013 è un ritorno al passato perché l’edizione riprende come base di riferimento i 5 elementi
costituenti:
➢ Ambiente di controllo
➢ Valutazione dei rischi
➢ Attività di controllo
➢ Informazione e comunicazione
➢ Monitoraggio delle attività
I primi 17 principi pubblicati sono ripartiti come schematizzati sopra.
- 5 principi di riferimento per l’ambiente di controllo
- 4 principi per il risk assessment → valutazione dei rischi
- 3 le control activities
- 3 informazioni e comunicazione
- 2 per attività di monitoraggio
In questa slide riportiamo sia il nome dei 5 componenti che i 17 principi in inglese perché è la lingua
ufficiale in cui sono stati introdotti.
23
AMBIENTE DI CONTROLLO (CONTROL ENVIROMENT)
Esprime la cultura e i valori di fondo dell’organizzazione. Determina il livello di sensibilità̀ del personale alla
necessità di controllo ed è influenzato da fattori quali:
A. modelli di assegnazione di autorità e responsabilità; → per implementare i 5 principi i modelli
organizzativi devono prevedere la definizione chiara di chi sono i soggetti dotati di responsabilità e
autorità oer aver chiari i ruoli e le funzioni.
B. stili di direzione del management (integrità, valori etici); → stile di direzione fortemente focalizzato
sui valori etici e la deontologia professionale.
C. presenza di organi amministrativi indipendenti dalle direzioni esecutive; → è importante che i
soggetti membri del board siano indipendenti dai membri che si occupano di mansioni esecutive
perché l’indipendenza permette di avere ruoli chiari e non commistione di interessi
D. competenza degli operatori; → è importante avere risorse umane competenti cioè dotati delle
adeguate skills
E. chiara indicazione degli obiettivi → che si traducono nella mission di società (obiettivo che la
società intende perseguire)
è fondamentale che tutta la società concepisca e condivida l’importanza del controllo e tutte le risorse
umane coinvolte siano sensibili a tale approccio → questo significa esprimere la cultura
5 Principi:
1. Integrità e valori etici
2. Attività di supervisione del Board e indipendenza del management
3. Struttura organizzativa, linee di riporto, deleghe, poteri e responsabilità
4. Attrarre e mantenere risorse competenti
5. Responsabilizzazione delle risorse
VALUTAZIONE DEI RISCHI (RISK ASSESSMENT)

Il nuovo approccio statuito è il seguente:
L’obiettivo del risk assessment è individuare il rischio e mitigarlo fino ad un “livello accettabile”
Il livello accettabile è un livello soggettivo in quanto varia in base alla propensione al rischio dell’ente (Risk
Appettite) → calcolato con una formula anche se piuttosto forzato
Rischio Lordo
Presidi di Controllo
Rischio Accettabile
I presidi di controllo sono strumenti che le società decidono di mettere in atto per poter mitigare e
fronteggiare il livello di rischio. Il livello di rischio accettabile è un rischio soggettivo che varia da società a
società correlato ai modelli organizzativi e alle caratteristiche delle risorse umane in quanto ciascuno degli
enti/organi hanno una propensione al rischio diversa e quindi è proprio il diverso livello di propensione al
rischio che influenza il livello accettabile del rischio. Il risk appettite è il livello di rischio.
Questa matrice, a disposizione degli operatori, è stata testata e consolidata a livello internazionale e
nazionale è di supporto per valutare il rischio accettabile Precisamente in questa matrice mettiamo in
correlazione due variabili:
➢ La probabilità che si verifichi la situazione rischio
➢ L’impatto che deriva dal verificarsi o meno di questa situazione rischiosa
(Trasferire il rischio vuol dire equipaggiarsi di paracaduti per tutelarsi dal rischio) → il tipico strumento che
mitiga i rischi è la copertura assicurativa.
24
Rischio Medio Rischio Elevato
TRASFERIRE EVITARE
Impatto
Rischio Modesto Rischio Medio
ACCETTARE RIDURRE
Probabilità
Riguarda la capacità della direzione di identificare situazioni di rischio che hanno delle ripercussioni sul
mancato/parziale raggiungimento degli obiettivi aziendali e di progettare controlli ad hoc che consentano di
fronteggiare tali situazioni di rischio.
4 Principi:
1. Chiara esplicitazione degli obiettivi da perseguire;
2. Identificazione dei rischi connessi al conseguimento degli obiettivi e determinazione delle
modalità di gestione degli stessi;
3. Considerazione dei rischi di frode (incentivi/pressioni/opportunità)
4. Valutazione dei cambiamenti che potrebbero avere impatti sul sistema di controllo interno
Si evince subito come ci sia stata una forte attenzione da parte del CoSo Report 2013 al rischio di frode al
punto tale che la treadway commission ha deciso di introdurre uno specifico principio alla definizione di
rischio di frode. Infatti negli anni si è preso atto che molte crisi finanziarie sono state causate da
comportamenti fraudolenti.
Le disposizioni contenute in questi 4 principi supportano la direzione nel cercar di identificare le situazioni
di rischio che possono impattare sul raggiungimento degli obiettivi aziendali. Soprattutto se si vanno ad
individuare delle situazioni rischiose.
ATTIVITA’ DI CONTROLLO (CONTROL ACTIVITIES)

3 Principi:
1. Identificazione e sviluppo di adeguate attività di controllo
2. Identificazione e sviluppo di adeguate attività di controllo IT
3. Sviluppare policy e procedure aziendali di controllo
Dalla lettura dei titoli dei 3 principi di riferimento è evidente l’attenzione del CoSo report di porre
attenzione su monitoraggio (mettere in atto specifiche attività di controllo) per le attività di information
tecnology. Tutte le società sono fortemente digitalizzate e la tecnologia è di aiuto ma l’utilizzo improprio
può portare a rischi di frode.
I tre principi devono essere attuati in ogni livello gerarchico.
Sono attuate a tutti i livelli gerarchici e funzionali della struttura organizzativa

Anche le attività di controllo Devono rispettare i principi di:
A. adeguata separazione dei compiti;
B. corretta autorizzazione per tutte le operazioni;
C. adeguata documentazione e registrazione delle operazioni;
D. controllo fisico su beni e registrazioni.
Perché le attività di controllo siano efficienti e possano compiere correttamente le loro attività è necessario
che le società siano organizzate nel rispetto di questi principi. Perché se le organizzazioni hanno recepito la
25
separazione dei compiti con un mansionario preciso è più facile implementare controlli adeguati perché so
come il controllo è suddiviso.
Non solo, i tre principi prevedono che in base al timing del controllo noi possiamo avere.
In base al timing i controlli possono essere distinti in:
1. controlli preventivi;
2. controlli concomitanti;
3. controlli successivi.
TIPOLOGIE di Control Activities

➢ Manual: Controllato dalle persone Es Management Review, Analisi indicatori, Riconciliazioni
Mensili. Calcolo di accantonamenti → Attività di controllo riferiti ai controlli contabili
➢ Automatic: Configurato Direttamente nel sistema che supporta il Business Es controlli Automatici
nelle Procedure IT
➢ Preventive: Autorizzazioni, Approvazioni Es controllo dell’approvvigionamento, ordine prima
dell’invio al fornitore, Approvazione Ore di straordinari, Approvazione dei limiti del Fido a nuovi
clienti
➢ Detective: Sono disegnati per catturare (evidenziare) le eccezioni all’interno del processo es
Riconciliazione delle banche su base mensile, Analisi di varianza Budget-actual→ individuare le
eccezioni che caratterizzano il processo produttivo.
INFORMAZIONE E COMUNICAZIONE (INFORMATION & COMUNICATION)

I principi di riferimento sono 3:
➢ Utilizzo di informazioni affidabili e rilevanti
➢ Adeguate comunicazioni interne
➢ Adeguate informazioni esterne
Anche in questo caso i titoli sono significativi in quanto fanno capire subito cosa vogliono definire questi
principi. In particolare quindi:
• Tempestiva individuazione, rilevazione e diffusione delle informazioni utili alle persone per
adempiere alle proprie responsabilità. → importante che vengano diffuse solo le informazioni
utili. Quindi bisogna fare un’attenta analisi per diffondere solo le informazioni utili ed affidabili.
• Per informazioni utili si intendono informazioni significative, affidabili, tempestive e accessibili.
Quello che i principi vogliono sottolineare è che negli attuali contesti, dove si abbonda con informazioni, è
necessario in primis saper scegliere in modo preciso e accurato solo le informazioni utili.
MONITORAGGIO DEI CONTROLLI (MNITORING ACTIVITIES)
• Consiste nella verifica continuativa o periodica dell’efficacia del disegno dei controlli interni e
dell’effettiva operatività degli stessi, resa necessaria dalla dinamicità del contesto all’interno del quale
è inserito il sistema dei controlli
I due principi sono:
1. Definizione e sviluppo di valutazioni continuative e ad hoc per accertare che le componenti del
controllo interno siano presenti e funzionanti
2. Valutazione, comunicazione e correzione tempestiva delle carenze individuate nel sistema di
controllo interno
Possiamo leggere questi due principi in modo sequenziale in quanto dal primo si evidenza che l’attività di
monitoraggio consiste nella verifica continuativa e periodica del funzionamento del SCI e poi il secondo che
dice che dal monitoraggio continuo puoi evidenziare eventuali carenze in tempo reale e puoi quindi
comunicarle e poi correggerle in modo adeguato.
26
SINTESI PRINCIPALI INNOVAZIONI – BENEFICI DEL COSO REPORT 2013
Questo schema sintetizza le principali innovazioni apportate dall’aggiornamento del framework. Ciascuna di
esse è inserita in un riquadro e sono strettamente correlate le une con le altre a sottolineare come sono
intrecciate e come sono a supporto di una e dell’altra.
Come va letto lo schema?
1. I principi forniscono il più alto grado di adattabilità [..] → se il Coso report ha fornito 17 principi a
supporto della definizione di 5 elementi che costituiscono il Coso report vuol dire che le società non
possono dire che non sanno in cosa consistono i 5 elementi perché viene detto cosa sono, in cosa
consistono e come recepirle. Prevedono anche delle adattabilità perché le società recepiscano un
SCI sulla base dei 5 elementi e quindi il Coso report prevede una certa adattabilità e quindi
flessibilità
2. Una più chiara definizione […] → in tutti i 17 principi viene sottolineata l’importanza della
responsabilità in capo ai soggetti recependo un principio segregation of duty cioè la segregazione
delle responsabilità quindi l’attribuzione a ciascuno delle proprie responsabilità per evitare le
duplicazione e ridurre i costi
3. Il combinato [..] → visto che son stati disciplinati 17 principi vuol dire che tutto è finalizzato perché
il SCI funzioni al meglio possibile per aver più probabilità di raggiungere i tre obiettivi della faccia
superiore del cubo
4. È fortemente improntato al rischio […] → il risk assesstement è una componente molto significativa
e strategica infatti è sottolineata l’importanza per ogni società di definire il proprio livello di rischio
accettabile
5. Il framework essendo aggiornato […] → infatti abbiamo visto che è dedicato un apposito prinicpio
alla valutazione del rischio di frode e information tecnologies.
6. Il processo è facilmente malleabile […] → un aspetto innovativo di questo aggiornamento è la sua
adattabilità e flessibilità che fa si che il coso report possa esser recepito da qualsiasi tipo di società
indipendentemente dalla sua dimensione il che vuol dire che le disposizioni si applicano sia alla
piccola-media impresa che a quella di grandi dimensioni. Questo a sottolineare come tutte le
27
società indipendentemente dalle dimensioni devono esser dotate di un adeguato (allineato alle
dimensioni) sistema di controllo interno.
7. La nuova nomenclatura degli obiettivi permette […]→ quando abbiamo analizzato gli obiettivi
(faccia sopra del cubo) abbiamo visto come l’edizione del 2013 (per quanto riguarda il secondo
obiettivo) cambia di denominazione. Non è più financial reporting ma solo reporting a sottolineare
che l’obiettivo di un’adeguata rendicontazione dei dati non deve esser solo riferito ai dati di natura
finanziaria ma diventa sostanzialmente una rendicontazione delle informazioni in senso ampio.
8. L’aggiornamento degli ambiti applicativi […] → in cosa consiste questo beneficio? Che come
sappiamo, la faccia laterale del cubo è dedicata ai modelli organizzativi, essendo la versione del
cubo molto adattabile, va da sé che può esser recepita da qualsiasi struttura organizzativa,
indipendentemente se la società ha deciso un modello organizzativo gerarchico, funzionale, per
aree strategiche di affari. È indipendente il modello organizzativo scelto dalla società con il sistema
di controllo interno.
Quindi il SCI così definito dall’aggiornamento del 2013 essendo flessibile e prevedendo 17 principi da la
possibilità per esser recepito da ogni tipologia di società.
28
8. TUF Code
Dopo aver visto il framework di riferimento e gli aggiornamenti del Coso Report per il momento ci
fermiamo a quella del 2013 anche se non è l’ultima perché ve n’è una del 2017. Ora riprendiamo
l’evoluzione del sistema di controllo interno nell’ordinamento italiano. Ossia come il SCI con le sue
caratteristiche e le definizioni che nel tempo si consolidano come vengono recepite nell’ordinamento
italiano e quali sono le normative di riferimento.
Il recepimento del Sistema di Controllo Interno nell’ordinamento Italiano
Normative che si sono evolute dal ’98 al 2020 con l’aggiornamento del codice di autodisciplina quindi in 20
anni e in questi 20 anni alle normative sono state apportate modifiche per quanto riguarda il sistema di
controllo interno. Ogni novità e cambiamento nell’ordinamento italiano prende come riferimento un norma
introdotta nel mondo americano e a sottolineare come nell’ordinamento italiano step by step il SCI viene
recepito secondo standard internazionale quindi allineato. Noi analizzeremo le prime novità recepite nel
sistema italiano quindi le disposizioni contenute del D.lgs 58/98 noto come TUF e tutte le altre seguenti a
seguire:
➢ D.lgs 58/98 TUF
➢ Codice di Autodisciplina 1999 → in questi 20 anni abbiamo avuto diversi aggiornamenti fino al
2020
➢ D.lgs 231/2001
➢ Legge 262/2005
➢ Riforma del diritto societario 2003 → meglio definisce i sistemi di Governance
➢ D.lgs 39/2010 → ha decretato la prima riforma legale dei conti nel nostro ordinamento (CORSO
DI REVISIONE TRIENNALE)
➢ D.lgs 14/2019 → introdotto il codice di crisi e insolvenza
D.Lgs n. 58/1998 –Testo Unico delle disposizioniin materia di Intermediazione Finanziaria (TUF)
La novità rilevante è che per la prima volta viene introdotto il concetto di SCI. Perché è importante?
a) Prima normativa italiana che recepisce l’espressine Sistema di controllo Interno. Il TUF è noto anche
come Legge Draghi.
b) Oltre ad aver introdotto l’espressione SCI il decreto è importante per avere chiarito le attività di
controllo svolte dal collegio sindacale quelle svolte dalle società di revisione. Il TUF chiarisce,
creando nel nostro ordinamento una linea di demarcazione tra il controllo esterno e internal
auditing, definendo che
a. Alla società di revisione compete il controllo sulla contabilità e bilancio (controllo contabile)
b. Mentre al collegio sindacale compete il controllo del governo dell’impresa
Il termine “Sistema di Controllo Interno” appare per la prima volta in Italia nel 1998 con il Testo Unico delle
disposizioni in materia di intermediazione finanziaria (TUF), D.lgs. 24 febbraio 1998 n. 58, ai sensi degli art.
8 e 21 della Legge 6 febbraio 1996 n. 52, conosciuto anche come “Legge Draghi”.
Al TUF va riconosciuto il merito di aver chiarito il rapporto fra il Collegio Sindacale e le funzioni di controllo
svolte dalle società di revisione, statuendo che alla società di revisione compete il controllo della contabilità
e del bilancio (controllo esterno) mentre al Collegio Sindacale, quale organo di supervisione e di indirizzo
della gestione aziendale, compete il controllo del governo dell’impresa (attività di vigilanza-controllo
interno)
L’espressione Sistema di Controllo Interno (art. 149, c.1, lettera c) seppur limitata alle società quotate
prevedendo che sia il Collegio Sindacale a vigilarne l’adeguatezza, tuttavia non ne viene fornita una
definizione evidenziando una lacuna in termini di poteri e responsabilità. Il TUF attribuisce al Collegio
Sindacale un ruolo di primaria importanza qualificandola come “organo di controllo sull’amministrazione,
collocato al centro del sistema dei controlli endosocietari.
29
Ai sensi art. 149: “Il Collego Sindacale vigila […] sull’adeguatezza della struttura organizzativa della società
per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile
nonché sull’affidabilità di quest’ultimo a rappresentare correttamente i fatti di gestione”
Al TUF dobbiamo riconoscere l’introduzione nel nostro ordinamento dell’espressione sistema di controllo
interno ma non lo ha definito. Cioè il tutto io TUF non troviamo definizione del SCI. Come affermano il TUF
riconosce al collegio sindacale il ruolo di primaria importanza del controllo endosocietari.
Struttura della Governance secondoTUF
Questo schema mostra la struttura della governance secondo il TUF. Il TUF ha infatti avuto il merito di (noi
ci limitiamo ad art. 149), essendo un testo unico quindi con disciplina in molti ambiti, aver introdotto una
serie di articoli relativi alla revisione legale dei conti.
Questo schema mostra il ruolo centrale che il TUF affida al collegio sindacale. Infatti questa mappatura
mostra come il collegio sindacale è al centro dei sistemi endosocietari perché il collegio sindacale
interagisce con
- Soggetti esterni (Consob [Commissione Nazionale per la società e per la borsa], società di revisione,
tribunale)
- Assemblea (è eletto da assemblea)
- CdA
- Internal auditor (dove è presente)
- Nella parte bassa sono collocati altri organi di riferimento in base ai quali le società si devono
strutturare secondo le linee guida statuite dal TUF:
o Il CdA che occupa una posizione centrale interagisce con
▪ Internal autidor
▪ Comitato esecutivo
▪ Amministratore delegato
▪ Direttore generale sotto il quale troviamo i direttori di funzioni (responsabili)
▪ Figure presenti nelle società quotate che sono comitati diventati sempre più
importanti
30
• Figure preposte al controllo

• Comitato controllo interno
• Comitato per proposte di nomina
• Comitato per remunerazioni
• Investor Rethor ovvero ufficio che tiene le relazioni con tutti gli stakeholder
in particolari con investitori e azionisti
Questa è stata una novità dal punto di vista normativo nell’ordinamento italiano. Quel che serve nel nostro
corso relativo al TUF è quel che abbiamo visto fino ad ora. Per cui proseguiamo con codice di autodisciplina
Il Codice di Autodisciplina
Codice che viene introdotto per avere anche nel nostro ordinamento un codice che indicasse le linee guida
di buona governance delle società quotate.
1) Corpo di raccomandazioni per le società quotate. Emanato in prima versione nel 1999 con il nome di Codice
Preda (risultato dei lavori del Comitato per la Corporate Governance, Borsa Italiana spa, presieduta
dall’allora presidente della Borsa Italiana, Stefano Preda e composto dai rappresentanti delle società
quotate, dagli intermediari, dagli investitori, delle banche e delle assicurazioni) e più volte aggiornato.
2) L’autorevolezza di tale codice è data dalla chiara ispirazione al CoSO Report.
3) Secondo lo schema proposto dal Codice Cadbury, anche il documento proposto dal Comitato si articola in
due parti: il “Rapporto” e il “Codice diAutodisciplina”.
4) Adesione al Codice è facoltativa. Non vi è imposizione.
5) L’obiettivo principale del codice è quello di assicurare agli investitori internazionali l’esistenza, nelle società
quotate italiane, di un modello organizzativo basato su adeguate ripartizioni delle responsabilità per un
corretto equilibrio fra la gestione ed il controllo. → se decretiamo e discipliniamo appositi standard
finalizzati al buon governo le società in primis quelle quotate sono in grado di garantire un equilibrio tra
attività gestionale e le attività di controllo. Per cui la pubblicazione ci allinea alla prassi internazionale.
La procedura seguita dal codice italiano per arrivare alla pubblicazione del codice di autodisciplina è una
fotocopia di quello già visto in altre nazioni. Tutto il percorso per arrivare alla pubblicazione è partito dal
codice Cadbury dal quale tutte le nazioni europee e non solo hanno pubblicato il proprio Codice di
Autodisciplina. In ogni caso prendono come riferimento il CoSO report.
In sintesi il Codice di Autodisciplina durante il suo

percorso evolutivo, attraverso le proprie
raccomandazioni, ha di fatto dapprima potenziato la
centralità del ruolo del Sistema di Controllo Interno
divenuto poi di Sistema di Controllo Interno e
Gestione dei Rischi nei moderni sistemi di governance.
A tal fine due sono state le direttrici di riferimento:
a) L’ampliamento del coinvolgimento a vario titolo di

tutti gli attori coinvolti nella vita societaria;
b) La centralità del rischio nei sistemi di controlli quale
base di riferimento per la definizione di un sistema di
controllo unico ed integrato anche al fine di massimizzare l’efficienza dei controlli e di ridurre la
sovrapposizione delle attività; → da qui SCI e gestione dei rischi ma questo diventa un sistema di
controllo unico e integrato. Questa integrazione è finalizzata alla massimizzazione dell’efficienza
dei controllo contenendo le duplicazioni.
31
l’esigenza degli aggiornamenti sono dovuti al fatto che ci siamo sempre allineati all’evoluzione della
normativa internazionale, quindi ogni volta che veniva formulato un aggiornamento anche il nostro codice
di autodisciplina è stato costretto a recepire gli aggiornamenti. In tutto questo percorso evolutivo
l’importanza del SCI è diventata sempre più rilevante. Infatti il SCI ha assunto un ruolo sempre più centrale
nella governance. E il governo aziendale ha assunto una visione sempre più volta alla gestione dei rischi
tanto che ad un certo punto non si parla più solo di SCI ma SCI e gestione dei rischi. Questa è stata
l’evoluzione ultima. Per arrivare a questo ci abbiamo impiegato 20 anni (dal 2002 al 2020) e durante le fasi
di aggiornamento sono state seguiti le due direttrici di riferimento sopra indicate.
Nello schema vediamo il sistema unico integrato basato sulle due direttrici.
Edizione 2002 → è stato riformulato l’art. 9.1 al fine di recepire i contenuti del CoSO Report. Il Sistema di
Controllo Interno si configura come “un processo volto a monitorare l’efficienza delle operazioni aziendali,
l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni
aziendali”. Responsabile di stabilirne le linee d’indirizzo e di verificare il corretto funzionamento, così come
l’adeguatezza, è il consiglio di amministrazione che viene supportato nell’espletamento di questi compiti
del comitato per il controllo interno e dal preposto al controllo interno; quest’ultimo si identifica con il
responsabile della funzione di revisione interna nelle società che ne sono dotate (art. 9.2). Al tempo stesso
gli amministratori delegati si occupano di identificare i principali rischi aziendali e di rendere operativi gli
orientamenti definiti dal Consiglio di Amministrazione (art. 9.3). Il comitato per il controllo interno non
provvede più alla valutazione dell’adeguatezza del sistema ma si occupa di assistere il Consiglio
nell’esecuzione dei suoi compiti.
L’edizione del 2002 rispetto a quella del ’99 ha riformulato art. 9.1 ed è la prima edizione in cui troviamo
definizione totalmente allineata con il Coso Report.
Edizione 2006 → Il sistema di controllo interno è trattato all’art. 8 e definito come “l’insieme delle regole,
delle procedure e delle strutture organizzative volte a conservare, attraverso un adeguato processo di
identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa
sana, corretta e coerente con gli obiettivi prefissati”. Al Consiglio di Amministrazione vengono affidati
ulteriori responsabilità a sottolineare la sua centralità nella gestione del controllo interno. Il comitato di
controllo interno oltre all’attività istruttoria già attribuitagli dalla precedente versione del Codice, deve
svolgere un ruolo consultivo e propositivo, distinto però dalle attuazioni che la legge assegna al Collegio
Sindacale, che si occupa principalmente di verifiche ex post (art. 8)
Ad ogni edizione del codice spesso segue una rielencazione della struttura interna. Nel 2004 abbiamo avuto
un aggiornamento del Coso report focalizzata al monitoraggio dei rischi infatti la definizione del 2006
sottolinea l’importanza del SCI per gestione e monitoraggio dei principali rischi.
Edizione 2010 → nessuna Modifica per il SCI
Edizione 2011 → Maggiore focus sulla gestione del rischio e, contestualmente, introduzione dell’art. 7:
Sistema di Controllo Interno e Gestione dei Rischi.
CdA e CCIGR sono deputati all’individuazione della natura e del livello dei rischi
Edizione 2014 → nessuna modifica per il SCI
Edizione 2015 → Per quanto riguarda il Sistema di Controllo Interno e di Gestione dei Rischi all’art. 7 è
stata prevista una variazione degli obiettivi perseguiti dal sistema prevedendo che l’affidabilità non
interessa più esclusivamente le informazioni finanziarie ma comprende anche i flussi endosocietari così
come quelli rivolti al mercato ( 7.P.2). Sono stati estesi anche i compiti del comitato controllo e rischi (
7.C.2.g), viene evidenziata l’importanza nell’ambito dei controlli interni, delle funzioni legali e di
compliance.
32
Nel Coso report abbiamo visto che l’obiettivo centrale non è più financial reporting ma solo reporting e
questo è ciò che vediamo nell’aggiornamento dell’art. 7 (dopo aggiornamento del 2013 del Coso report).
Edizione 2018 → Attenzione alle «Gender Diversity» visto che vi è l’obbligo di queste Gender DIversity il SCI
deve tenere in considerazione che le società abbiano recepito le quote di gender
Edizione 2020 → Pubblicata nel gennaio 2020 riforma il codice di autodisciplina secondo Quattro
direttrici:
1. Sostenibilità;
2. Engagement;
3. Proporzionalità;
4. Semplificazione
Queste sono le 4 direttrici introdotte da ultimo aggiornamento. Noi ci riferiremo all’edizione del 2015
perché le disposizioni relative al SCI sono quelle che troviamo negli articoli 7 e a seguire dell’edizione 2015.
Ovvero l’edizione che ha recepito gli aggiornamenti contenute nel Coso Report 2013.
33
Riprendendo l’elenco delle principali normative che hanno portato al recepimento del SCI nell’ordinamento
italiano. Abbiamo analizzato il D.lgs 58 e abbiamo iniziato il codice di Autodisciplina (prima edizione 1999)
ma il codice di autodisciplina è stato più volte aggiornato e l’ultimo risale a Gennaio 2020 noi facciamo
riferimento all’aggiornamento del 2015 in riferimento all’aggiornamento del Coso report 2013 grazie al
quale il SCI si evolve e assume la definizione di SCI e controllo dei rischi a sottolineare la sua funzione
principale di gestione e monitoraggio dei rischi.
Ora analizziamo il Codice di Autodisciplina relativamente all’implementazione di un adeguato SCI nelle
società in primis quotate visto che si rivolge alle società quotate. Il riferimento è all’art. 7
Art 7 – Il Sistema di Controllo Interno e Gestione dei Rischi – Principi (titolo dell’art.)
I principi sono definiti al 7 p.1 e 7 p.2 dove sono definiti i principi fondamentali per ogni società quotata da
rispettare per implementare un adeguato sistema di controllo interno e gestione dei rischi secondo
l’ordinamento internazionale. In questi infatti troviamo una definizione più articolata di sistema di controllo
interno. Nel 7.1 troviamo una definizione più ampia in cui sono incluse anche regole e procedure.
7.P.1. Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall’insieme
delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la
misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti
organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di
riferimento e le best practices esistenti in ambito nazionale e internazionale.
La definizione più ampia di SCI è un sistema integrato che interagisce con tutti gli organi della governance e
interlocutori.
Il principio n.2 del codice di autodisciplina sottolinea come possono esser efficaci i sistemi di controllo
interno.
7.P.2. Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una conduzione
dell’impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione, favorendo
l’assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio
sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità delle informazioni fornite agli organi sociali
ed al mercato, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne.
Il sistema di controllo interno e gestione dei rischi è a disposizione del CdA dando contributo e supporto per
conseguire gli obiettivi aziendali. Quindi il CdA deve definire in modo chiaro gli obiettivi che la governance
intende conseguire. Il codice di autodisciplina poi sottolinea gli obiettivi fondamentali per una società
quotato ovvero da cui non si può prescindere:
• Assicurare la salvaguardia del patrimonio sociale
• Efficienza ed efficacia dei processi aziendali
• Affidabilità delle informazioni
• Il rispetto […]
Il codice di autodisciplina fa specifico riferimento agli obiettivi statuiti da Coso report 2013. Ovvero quelli
relativi ad efficacia/efficienza operations aziendali, reporting e la compliance. I tre statuiti da Coso report
sono completamente recepiti dal principio 7 2 del codice di autodisciplina, in aggiunta questo prevede la
necessità dell’assicurare la salvaguardia (unica aggiunta agli obiettivi del Coso report 2013)
Il codice di autodisciplina: GLI ATTORI DEL SISTEMA

A partire dal 7.p. 3 il codice di autodisciplina va ad individuare gli attori del sistema ovvero tutti i soggetti
che direttamente o indirettamente partecipano e contribuiscono alla buona efficacia del sistema di
controllo interno e gestione dei rischi. Questa mappatura è molto chiara e ben definita in quanto il principio
prevede che il SCI e gestione dei rischi coinvolge ciascuno per le proprie competenze. Coinvolge si intende
34
gli attori del sistema ciascuno per le proprie competenze perché ciascuno contribuisce per il buon
funzionamento del sistema di controllo interno.
7.P.3. Il sistema di controllo interno e di gestione dei rischi coinvolge, ciascuno per le proprie competenze:
a) il consiglio di amministrazione, che svolge un ruolo di indirizzo e di valutazione dell’adeguatezza del
sistema e individua al suo interno. Supportato da altri soggetti:
(i) uno o più amministratori, incaricati dell’istituzione e del mantenimento di un efficace sistema di
controllo interno e di gestione dei rischi (nel seguito dell’articolo 7, l’“amministratore incaricato del
sistema di controllo interno e di gestione dei rischi”), [il CdA al suo interno decide e delibera in
merito ad uno o più amministratori a cui attribuire la delega di esser il responsabile per istituzione e
mantenimento di efficace controllo interno questo amministratore prende il nome di
amministratore incaricato…] nonché
(ii) un comitato controllo e rischi, avente le caratteristiche indicate nel principio 7.P.4, con il compito di
supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di
amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle
relative all’approvazione delle relazioni finanziarie periodiche; sostanzialmente il comitato di
controllo rischi costituito all’interno del CdA ha il compito di svolgere un’attività di supporto sia
nella definizione del SCI che nelle decisioni successive.
b) il responsabile della funzione di internal audit, incaricato di verificare che il sistema di controllo interno e
di gestione dei rischi sia funzionante e adeguato;
oltre a queste figure molto precise ci sono altre figure:
c) gli altri ruoli e funzioni aziendali con specifici compiti in tema di controllo interno e gestione dei rischi,
articolati in relazione a dimensioni, complessità e profilo di rischio dell’impresa; → a seconda delle
dimensioni della società saranno previste funzioni aziendali in base alla complessità.
d) il collegio sindacale, anche in quanto comitato per il controllo interno e la revisione contabile, che vigila
sull’efficacia del sistema di controllo interno e di gestione dei rischi. → importanza del collegio sindacale
già visto nel TUF dove viene definita per la prima volta l’espressione SCI. Per quanto riguarda il collegio
sindacale vedremo specificatamente delle lezioni.
L’emittente prevede modalità di coordinamento tra i soggetti sopra elencati al fine di massimizzare
l’efficienza del sistema di controllo interno e di gestione dei rischi e di ridurre le duplicazioni di attività. Il
codice di Autodisciplina ha sottolineato come, essendo un sistema integrato, i soggetti che vi partecipano
sono molti e si parla di attori del sistema tutti coinvolti ciascuno con le proprie competenze ma è la società
che deve definire delle regole di coordinamento che devono esser chiare e precise. Solo così la governance è
in grado di massimizzare efficienza del SCI e gestione dei rischi e per poterlo massimizzare deve definire per
ciascuno di questi attori coinvolti, delle proprie funzioni chiare e precise e delle proprie responsabilità in
merito. Altrimenti c’è il rischio che le attività vengano duplicate e la duplicazione crea caos e inefficienza.
Quindi le ultime due righe del principio 3 sono fondamentali perché dice che ci sono molti soggetti ed è
chiaro che ognuno deve dare il contributo ma le società stesse devono definire regole chiare e precise per
evitare duplicazioni.
La schematizzazione sotto è riportata la struttura di riferimento di tutti quei soggetti definiti interlocutori di
un sistema integrato e ampliato.
35
Struttura di riferimento ai sensi de Codice diAutodisciplina
Al centro abbiamo il SCI centrale perché è una struttura che catalizza e tutti gli altri ruotano intorno. E
possiamo vedere da destra che troviamo l’altro organo direttamente impattante sul SCI ossia il CdA che
definisce le linee guida ed è l’organo responsabile in toto delle linee guida e la valutazione.
All’interno del CdA viene definito un comitato specifico per il controllo interno che svolge una serie di
funzioni consultive a disposizione del CdA e all’interno del CdA vi è l’amministratore delegato preposto al
controllo interno. Quindi l CdA e il comitato peril controllo interno riferiscono ad altri preposti per il
controllo interno.
Dopo abbiamo il ruolo importante dell’AD che progetta, gestisce e monitora direttamente il SCI perché l’AD
è l’amministratore con la delega da parte del CdA di esser supervisore con pieni poteri relativo a
progettazione e gestione del SCI.
È lo stesso AD, se ritiene indispensabile, definire altri preposti al controllo interno con cui interagisce
direttamente. Tutto questo dipende dalle dimensioni della società.
Poi abbiamo, a sinistra, i sindaci (membri del collegio sindacali che sono soggetti esterni alla società perché
nominati da assemblea ma non vincolati da rapporti coordinai e continuativi con la società perché svolgono
la loro funzione in autonomia e hanno il compito di vigilare sull’adeguatezza del SCI e di interagire con
internal auditing).
Internal auditing è in giallo perché a differenza degli altri organi di diretta derivazione del CdA, l’internal
auditing può esser un manager esterno assunto per svolgere le sue funzioni di internal auditing.
Anche il CdA come organo è fuori il perimetro di demarcazione della governance come il collegio sindacale
perché anche i membri del CdA sono nominati dall’assemblea degli azionisti e sono soggetti indipendenti
(alcuni no) ma non sono vincolati alla governance stessa.
Questo schema sintetizza l’architettura del sistema di controllo interno e identifica i soggetti che operano e
danno il contributo al codice di autodisciplina per il buon funzionamento del SCI.
36
7.P.4. Il comitato controllo e rischi è composto da amministratori indipendenti (titolo). In alternativa, il
comitato può essere composto da amministratori non esecutivi, in maggioranza indipendenti; in tal caso, il
presidente del comitato è scelto tra gli amministratori indipendenti. Se l’emittente è controllato da altra
società quotata o è soggetto all’attività di direzione e coordinamento di un’altra società, il comitato è
comunque composto esclusivamente da amministratori indipendenti. Almeno un componente del comitato
possiede un’adeguata esperienza in materia contabile e finanziaria o di gestione dei rischi, da valutarsi da
parte del consiglio di amministrazione al momento della nomina. → quindi è all’interno del CdA. Gli
amministratori sono di due tipi
• Dipendenti →rappresentano chi ha la maggioranza del capitale sociale. Cioè nominati dagli azionisti
di maggioranza pescati nella listi dalle liste di maggioranza.
• Indipendenti → pescati dalle liste di minoranza.
Il comitato può esser composto da amministratori non esecutivi, se sono dipendenti è importante che non
siano esecutivi ovvero non dotati di deleghe e di poteri decisionali. Per far si che il comitato sia espressione
di tutti gli stakeholders e tutti investitori anche di minoranza il presidente deve esser tra amministratori
indipendenti. Se abbiamo a che fare con una società controllata da società quotata è necessario che questo
comitato sia costituito da amministratori indipendenti. All’interno del comitato controllo rischi ci deve esser
un amministratore con esperienza in materia contabile (dottore commercialista, esperto contabile, revisore
o che abbia maturato un’esperienza in merito).
7.C.2. Il comitato controllo e rischi, nell’assistere il consiglio di amministrazione:

a) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari e
sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili e, nel caso
di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato; → la prima funzione
del comitato di controllo e rischi è quella di esprimere la sua opinione circa l’utilizzo dei corretti
principi contabili.
b) esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali;
funzione consultiva
c) esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo
interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione
internal audit; funzione di esaminatore deve legger le relazioni fatte da internal auditi o altro
soggetto relativo al buon funzionamento del SCI.
d) monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal audit;
e) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree
operative, dandone contestuale comunicazione al presidente del collegio sindacale;
f) riferisce al consiglio, almeno semestralmente, in occasione dell’approvazione della relazione
finanziaria annuale e semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di
controllo interno e di gestione dei rischi; → il comitato controllo rischi, sia in previsione della
fine dell’esercizio con redazione del bilancio o a metà anno, deve fornire una sua relazione in
cui rendiconta il suo giudizio in merito all’adeguatezza del sistema di controllo interno e
gestione dei rischi.
g) supporta, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di
amministrazione relative alla gestione di rischi derivanti da fatti pregiudizievoli di cui il consiglio
di amministrazione sia venuto a conoscenza.
7.C.3. Ai lavori del comitato controllo e rischi partecipa il presidente del collegio sindacale o altro sindaco
da lui designato; possono comunque partecipare anche gli altri sindaci. → sottolinea come a tutte le
riunioni del comitato controllo rischi è necessaria la presenza del collegio sindacale o almeno un
rappresentante.
37
Comitato Controllo e Rischi

Schema da un punto di vista pratico/operativo sono le funzioni del comitato controllo e rischi.
Funzione di supporto a CDA
1) esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali
2) esamina le relazioni periodiche (di qualsiasi genere e da chiunque fatte), aventi per oggetto la
valutazione del sistema di controllo interno e di gestione dei rischi e quelle predisposte dall’internal
audit
3) Riferisce al Cda, almeno semestralmente su attività svolta e adeguatezze Sistema di Controllo Interno
e di Gestione dei Rischi (SCIGR)
4) Supporta tramite adeguata attività istruttoria, le valutazioni e le decisioni del Cda relative alla gestione
dei rischi derivanti da fatti pregiudizievoli di cui il Cda sia venuto a conoscenza
Sintesi delle 4 attività che deve mettere in atto tra tutte quelle previste dal codice di autodisciplina.
7.C.1. Il consiglio di amministrazione, previo parere del comitato controllo e rischi: → il Cda, previo parere
del comitato controllo e rischi. Perché il comitato controllo e rischi, ogni volta che il Cda si esprime circa
questi punti, deve avere il benestare o un confronto con comitato controllo rischi.
a) definisce le linee di indirizzo del sistema di controllo interno e di gestione dei rischi, in modo che i
principali rischi afferenti all’emittente e alle sue controllate risultino correttamente identificati, nonché
adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi
con una gestione dell’impresa coerente con gli obiettivi strategici individuati; funzione di definire le
linee di indirizzo che deve svolgere il sistema integrato finalizzato alla mappatura dei principiali rischi.
Nonché bisogna esser capace di utilizzare degli strumenti per fronteggiarli. Il tutto deve esser coerente
con gli obiettivi individuati dalla governance stessa e con le strategie individuate.
b) valuta, con cadenza almeno annuale, l’adeguatezza del sistema di controllo interno e di gestione dei
rischi rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto, nonché la sua efficacia;
rendicontazione annuale. Nel caso vengano evidenziate carente deve individuare cause, motivarle e
prevedere strategie per superare le carenze.
c) approva, con cadenza almeno annuale, il piano di lavoro predisposto dal responsabile della funzione di
internal audit, sentiti il collegio sindacale e l’amministratore incaricato del sistema di controllo interno
e di gestione dei rischi; definisce il piano di lavoro annuale delle funzioni di internal auditing prima di
approvare il piano dei lavori servono il parere del collegio sindacale e amministratore. Questo piano è
redatto dal management con l’incarico di internal auditor di riferimento.
d) descrive, nella relazione sul governo societario, le principali caratteristiche del sistema di controllo
interno e di gestione dei rischi e le modalità di coordinamento tra i soggetti in esso coinvolti, esprimendo
la propria valutazione sull’adeguatezza dello stesso; A fine anno, quando le società quotate sono
obbligate a presentare la relazione sul governo societario, il Cda predispone una relazione ad hoc con
riferimento alle caratteristiche del SCIGR e le modalità di coordinamento messe in atto tra i vari soggetti.
In questa relazione esprime una sua valutazione sull’adeguatezza dello stesso sistema.
e) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di
suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale. → il
revisore legale dei conti è soggetto esterno che si occupa del controllo contabile è tenuto ad esprimere
un giudizio sull’adeguatezza del sistema di controllo interno. Relativamente alle comunicazioni che il cda
ricede da società di revisione si confronta con il collegio sindacale e valuta i risultati in merito al
funzionamento del sistema di controllo interno eventualmente suggerimenti e carenze che la società di
revisione fornisce in merito e chiede un confronto con collegio sindacale e valuta la fondatezza e se
recepire o meno ed eventualmente le correzioni da mettere in atto.
Il consiglio di amministrazione, su proposta dell’amministratore incaricato del sistema di controllo interno e
di gestione dei rischi e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio
38
sindacale:
- nomina e revoca il responsabile della funzione di internal audit;
- assicura che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie responsabilità;
→ ovvero solitamente la funzione di internal audit è supportata da un minimo di staff. L’internal audit
definisce un vero e proprio dipartimento al capo del quale vi è un responsabile ma è supportato da una
serie di collaboratori. È lo stesso Cda che quando nomina il responsabile, sentite le esigenze del
responsabile, verifica le risorse umane e non che devono esser date in dote per svolgere al meglio la
funzione per espletare al meglio la sua funzione.
- ne definisce la remunerazione coerentemente con le politiche aziendali. → i manager che si occupano
di internal audit sono anche soggetti apicali che rivestono una funzione complessa per cui ci vogliono
conoscenze e preparazione tecnica quindi sono funzioni ben remunerazioni. Questa remunerazione
viene concordata e definita dallo stesso Cda che procede alla nomina.
Consiglio di Amministrazione
qui sotto vi è una sintesi delle attività operative del Cda, ovvero le più importanti/significative.
• Definisce la natura ed il livello di rischio compatibile con gli obiettivi strategici dell’impresa→ dopo
aver mappato i rischi e dopo che la società ha definito il livello di rischio accettabile, ovvero
compatibile con gli obiettivi e la struttura/dimensione dell’impresa. Ogni Cda sa perfettamente il
profilo di rischio e questo è il punto di lettura per la corretta implementazione del SCIGR.
• Valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabilecon particolare riferimento
al sistema di controllo e gestione dei rischi:
1. almeno una volta all’anno
2. rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto
3. anche valutazione di efficacia
il Cda ha un ruolo importante nel definire e implementare il SCI e il SCIGR è un sistema integrato con cui
interagiscono tutti i soggetti direttamente o indirettamente coinvolti, il Cda deve valutare attentamente
l’adeguatezza di un sistema che deve interagire con il SCIGR.
Per questo ogni anno è obbligato a valutare adeguatezza nel rispetto delle caratteristiche di impresa e
profilo di rischio assunto con attenta valutazione nella corrispondenza tra SCI e l’efficienza del sistema di
controllo interno.
39
Vediamo i ruoli e le funzioni svolte da altri due attori coinvolti nel sistema SCIGR ovvero
amministratore incaricato del sistema di controllo interno e gestione dei rischi (principio di
riferimento 7.C.4) e l’internal auditor.
7.C.4. L’amministratore incaricato del sistema di controllo interno e di gestione dei rischi:
a) cura l’identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche
delle attività svolte dall’emittente e dalle sue controllate, e li sottopone periodicamente
all’esame del consiglio di amministrazione; → il preposto al SCIGR tra le sue attività spicca
quella di focalizzarsi su mappatura, identificazione dei principali rischi aziendali. Infatti il
primo compito è identificare i principali rischi aziendali e sottoporli al Cda.
b) dà esecuzione alle linee di indirizzo definite dal consiglio di amministrazione, curando la
progettazione, realizzazione e gestione del sistema di controllo interno e di gestione dei
rischi e verificandone costantemente l’adeguatezza e l’efficacia; → questa seconda
funzione avviene dopo una stretta interazione con Cda in quanto è il Cda che ha il compito
di definire e di implementare il SCIGR. L’amministratore incaricato è colui che da
esecuzione alle linee di indirizzo e ha anche il compito di verificare costantemente
adeguatezza ed efficacia.
c) si occupa dell’adattamento di tale sistema alla dinamica delle condizioni operative e del
panorama legislativo e regolamentare; → nel momento in cui il contesto economico o
legislativo varia l’Amministratore incaricato SCIGR verifica se il SCIGR è allineato o meno
con le modifiche e si occupa di procedere alla messa a punto di idonei adattamenti.
d) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree
operative e sul rispetto delle regole e procedure interne nell’esecuzione di operazioni
aziendali, dandone contestuale comunicazione al presidente del consiglio di
amministrazione, al presidente del comitato controllo e rischi e al presidente del collegio
sindacale; → quando amministratore incaricato SCIGR (da qui in poi chiamato
amministratore)ritiene che ci siano aree critiche (circa mappatura e identificazione dei
principali rischi aziendali) può chiedere, interagendo con la funzione di internal auditing di
implementare delle specifiche verifiche finalizzate a capire le carenze, limiti etc… ovvio
sempre interagendo con il Cda, con il comitato di controllo e rischi e con il Collegio
sindacale.
e) riferisce tempestivamente al comitato controllo e rischi (o al consiglio di amministrazione)
in merito a problematiche e criticità emerse nello svolgimento della propria attività o di
cui abbia avuto comunque notizia, affinché il comitato (o il consiglio) possa prendere le
opportune iniziative per superare i limiti e criticità evidenziate. → l’amministratore per
svolgere in modo completo e adeguato le sue funzioni deve interagire con gli altri
principali attori del sistema.
Amministratore Incaricato del SCIGR

Principali responsabilità (slide di sintesi e schematizzata):
1) identificare i principali rischi aziendali
2) da esecuzione alle linee di indirizzo definite da Cda, curando la progettazione,
realizzazione e gestione del SCIGR, verificandone costantemente l’adeguatezza ed
efficacia
3) adatta il SCIGR alla dinamica delle condizioni operative e del panorama legislativo e
regolamentare
4) può chiedere all’internal audit verifiche su specifiche aree operativa
5) riferisce a CCR (o al Cda) in merito a problematiche emerse
7.C.5. Il responsabile della funzione di internal audit:
a) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli
standard internazionali, l’operatività e l’idoneità del sistema di controllo interno e di
gestione dei rischi, attraverso un piano di audit, approvato dal consiglio di
amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei
principali rischi; → vedremo il riferimento al piano di audit che è il documento più
importante di programmazione per la mappatura e gestione dei rischi che mette in atto
l’internal audit che ha il compito di definire il piano di audit e per farlo deve conoscere le
40
caratteristiche del SCIGR perché il piano deve esser allineato con le operatività, l’efficacia
e l’efficienza dello stesso sistema di controllo interno e di gestione dei rischi. Quindi deve
1) dedicarsi ad un’analisi dei principali rischi
2) deve definire il piano di audit allineato al SCIGR
b) non è responsabile di alcuna area operativa e dipende gerarchicamente dal consiglio di
amministrazione; → questa è a tutti gli effetti il suo ruolo, ovvero è una funzione di staff
in quanto non è a capo di una specifica area operativa in quanto è di supporto al Cda.
Anche da un punto di vista gerarchico dipende dal Cda.
c) ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico; → per
definire il piano di audit e che tutto sia allineato a operatività e idoneità al SCIGR deve
avere accesso a 360 gradi a tutte le informazioni per svolgere al meglio il suo incarico.
d) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività,
sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani
definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione
sull’idoneità del sistema di controllo interno e di gestione dei rischi; → durante la normale
operatività è obbligato a produrre diverse relazioni. Secondo una tempistica e una
periodicità stabilita con il Cda (bimestrale, semestrale etc.) dove rendiconta l’attività
svolta nel periodo di riferimento avendo come principale riferimento la sua attività la
gestione dei rischi e la realizzazione del piano di audit definito e approvato. In queste sue
relazioni esprime l’idoneità del SCIGR e se ritiene limiti o carenze le evidenzia nelle
relazioni periodiche per provvedere alle rettifiche riportate.
e) predispone tempestivamente relazioni su eventi di particolare rilevanza; → oltre alle
relazioni periodiche obbligatorie, in caso di eventi di straordinaria importanza per cui è
necessario un suo intervento lo fa predisponendo apposite relazioni di dettaglio.
f) trasmette le relazioni di cui ai punti d) ed e) ai presidenti del collegio sindacale, del
comitato controllo e rischi e del consiglio di amministrazione nonché all’amministratore
incaricato del sistema di controllo interno e di gestione dei rischi; → internal audit quando
definisce queste relazioni è obbligato a trasmetterne copie ai presidenti dei vari organi.
g) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi
di rilevazione contabile. → compito importante perché dopo aver definito il piano di audit
e durante la fase di realizzazione delle disposizioni contenute nel piano di audit va a
verificare se i sistemi informativi son adeguati e affidabili per realizzare il piano di audit.
Il Codice di Autodisciplina (altro principio relativo ad internal audit)

7.C.6 La funzione di internal audit, nel suo complesso o per segmenti di operatività, può essere
affidata a un soggetto esterno all’emittente, purché dotato di adeguati requisiti di
professionalità, indipendenza e organizzazione. L’adozione di tali scelte organizzative,
adeguatamente motivata, è comunicata agli azionisti e al mercato nell’ambito della relazione sul
governo societario. → questa è la possibilità decretata, da parte del codice di autodisciplina, di
assegnare la funzione di internal audit ad un soggetto esterno alla società quotata e il più delle
volte il responsabile dell’internal audit sia proprio un soggetto esterno (soprattutto nelle
quotate). Il cda deve scegliere questa persona dopo aver vagliato tante candidature perché è
importante che si tratti di una figura professionale:
• dotata di professionalità
• in grado di garantire il requisito di indipendenza
• dotata di capacità organizzative
e la società e Cda deve comuniccare agli azionisti, e motivare, la scelta di questa funzione. Sia
per il fatto di averla assegnata ad un soggetto esterno che per la scelta della persona stessa
analizzando attentamente che abbia i requisiti richiesti.
Internal Auditor (slide di sintesi in cui si riportano dal punto di vista pratico le
attività svolte)
Svolge un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al
miglioramento dell'efficacia e dell’efficienza dell'organizzazione. → quali sono gli aggettivi
importanti?
41
➢ Indipendente
➢ Obbiettiva
➢ Di assurance → di garanzia e sicurezza
➢ Attività di consulenza → soprattutto se assegnata a soggetto esterno è una vera e
propria attività di consulenza.
Assiste la Direzione nel perseguimento dei propri obiettivi tramite un approccio professionale
sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi
di controllo, di gestione dei rischi e di corporate governance. →è di supporto totale della
direzione. Contribuisce e condivide con direzione il perseguimento degli obiettivi.
un approccio professionale sistematico → deve esser dotato di un suo modus operandi (un suo
approccio organizzativo) che deve esser professionale e poi secondo dei piani sistematici precisi.
Compliance (pronuncia complaians)

Compliance → espressione che ha assunto un ruolo rilevante. Questa funzione l’abbiamo
recepita dal mondo anglosassone (da quello statunitense). Questa funzione è stata interpretata
come un’evoluzione dell’attività di internal audit. Infatti inizialmente questa attività è stata
svolta dall’internal audit che nello svolgere il suo ruolo si dedica anche a garantire quello che
sono tutti i compiti connessi alla compliance. Siccome queste funzioni sono diventate
importanti e rilevanti che in molte società quotate (soprattutto le medio-grandi) hanno
introdotto una specifica funzione di compliance creando al proprio interno la funzione di
internal audit e accanto quella di compliance. A sottolineare come inizialmente l’attività di
compliance veniva svolta dall’internal audit mentre oggi le realità italiane (sono molte, come
succede nelle public company di matrice anglosassone) troviamo due specifiche funzioni:
➢ Quella di internal audit
➢ Quella di compliance
Svolge i seguenti compiti:
1) prevenire i disallineamenti tra le procedure aziendali e l’insieme delle regole interne ed
esterne all’azienda;
2) assistere le strutture aziendali nell’applicazione delle Norme;
3) predisporre interventi formativi per adeguare le procedure interne dei dipendenti e dei
collaboratori alle Norme;
4) coordinare e garantire l’attuazione degli adempimenti richiesti dalle Norme;
5) segnalare le più recenti novità normative al fine di aggiornare periodicamente la
documentazione in essere presso l’azienda;
6) risolvere situazioni di discordanza tra le Norme in vigore e le specifiche realtà operative
dell’azienda;
7) assicurare le relazioni con le Autorità ed Organi di Controllo interni ed esterni
questa elencazione mostra che il riferimento è alle norme a sottolineare che la funzione di
compliance è una funzione (per questo spesso è attuata da dei giuristi) volta ad andare a
verificare la conformità dell’operatività della società con la normativa di riferimento. Per
questo assume un ruolo fondamentale il riferimento alle norme. Infatti in questi 7 punti il
riferimento a norme, adeguamenti e procedure, assicurazione, discordanza tra norme in vigore
e operatività è molto forte. Questo sottolinea che per una società oggi essere compliance
(compliàns) vuol dire rispettare la compliance che vuol dire conformità dell’attività alle
norme e regolamenti e agli statuti. Secondo un approccio giuridico.
Abbiamo fin qui analizzato i principi di riferimento che disciplinano gli attori del SCI. Si tratta di
principi molto precisi e dettagliati e quindi vanno studiati con specifico di riferimento con le
disposizioni stesse al codice di autodisciplina.
(documento originale stesso su pagine e-learning ma anche un documento importante scritto

in lingua inglese che è un paper di presentazione del Coso report del 2013. Ovvero quello più
importante che ha portato ai 17 principi e che è stato fonte ispiratrice dell’aggiornamento più
importante del codice di autodisciplina.
42
Riprendendo l’elenco di tutte le principali normative chedal ’98 sono state recepite
nell’ordinamento italiano e contengono disposizioni che hanno impattato sull’evoluzione del
SCI. Abbiamo già visto il TUF (legge Draghi), abbiamo visto il codice di autodisciplina. Oggi
vediamo D.lgs 231/2001 che ha arrecato degli impatti sul sistema di controllo interno
significativi. Anche questa normativa ha preso riferimento dalle principali normative
internazionali (soprattutto americane) degli anni precedenti.
L’Organismo di Vigilanza – d.lgs. 231/2001
Il D.Lgs 231/2001, ha statuito una responsabilità “quasi penale”, ovvero amministrativa, in capo
agli enti collettivi colpevoli di aver commesso un reato tra quelli esplicitamente previsti dal citato
decreto nell’interesse o vantaggio dell’ente.
Questo decreto recepisce alcune normative internazionali:

Tale provvedimento recepisce quanto previsto dalla “convenzione OCSE sulla lotta alla
corruzione di pubblici ufficiali nelle operazioni economiche internazionali”, sottoscritta da
molti paesi fra cui l’Italia nel 1977.
Questa normativa si è ispirato a sua volta al Foreign Corrupt Practices Act del 1977(USA che
abbiamo visto inizialmente)
L’Organismo di Vigilanza – d.lgs. 231/2001

articolo più importante è art. 6 – ESIMENTE ad indicare le società esenti.
Art 6 – ESIMENTE
«Se il reato è stato commesso dalle persone indicate nell’articolo 5, comma 1, lettera a), l’ente
non risponde se prova che:
a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del
fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di
quello verificatosi;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro
aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di
iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di
organizzazione e di gestione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera
b).»
Commento all’articolo 6:
a) La società deve dimostrare di esser in possesso di un modello di organizzazione idoneo
a prevenire i reati. Che vedremo poi esser un buon SCIGR.
b) Con questa disposizione il decreto introduce l’esigenza di costruire un oganismo con
autonomi potere di controllo e iniziativa che ha il compito di osservare e vigilare del
corretto funzionamento del modello organizzazione del comma precedente e di cui la
società deve dotarsi
c) La società sarà esentata solo se in grado di dimostrare che le persone che hanno
commesso il reato lo hanno fatto eludendo, anche in modo fraudolento, il modello di
organizzazione e gestione che la società ha implementato.
d) Questo nuovo organo di controllo deve esser anche di dimostrare che ha vigilato in
modo adeguato.
L’esimente prevede uno sgravio di responsabilità per l’ente che, commesso il fatto, dimostra di
aver adottato ed attuato un modello organizzativo idoneo a prevenire la commissione dei reati
espressamente previsti dallo stesso decreto.
Se la società è in grado di dimostrare di aver rispettato tutte queste fattispecie allora non sarà
condannata, viceversa sarà sottoposta alle condanne e sanzioni previste dal decreto stesso.
Infatti il decreto 231/2001 prevede delle sanzioni.
Le tipologie di sanzioni sono 4 ovvero:
SANZIONI
❑ Sanzioni Pecuniarie: calcolate in base ad un sistema a quote. Ovvero, viene determinato,
sulla base della gravità del fatto commesso, dei criteri soggettivi del colpevole, ecc… il
numero di quote e il valore unitario che moltiplicati determinano la sanzione pecuniaria
applicata. → bisogna determinare la gravità del fatto commesso, i criteri soggetivi del
colpevole, determinando il valore delle quote si fa una moltiplicazione e poi la sanzione
pecuniaria viene calcolata.
43
❑ Sanzioni Interdittive: vanno dalla sospensione/revoca di autorizzazioni o licenze, divieto di
contrattare con la PA, esclusione di agevolazioni, finanziamenti, contributi o sussidi, divieto
di pubblicizzazione di beni e servizi, fino all’interdizione perpetua dall’attività svolta
dall’ente. → L’elencazione delle sanzioni interdittive sono molte e di varia entità in base
alla gravità del reato.
❑
❑ Confisca: del prezzo o profitto del reato commesso.
❑ Pubblicazione della sentenza di condanna: che genera un danno d’immagine all’ente. →

rendere noto che la soceità è stata condannata per quei reati del D.lgs 231/2001 crea un
danno di immagine con ripercussioni non indifferenti.
ELENCO REATI
L’elenco dei reati, dal 2001 ad oggi, è evoluto ed è modificato più volte perché a determinate
scadenze il nostro ordinamento ritiene opportuno intervenire aggiornando reati e
aggiungendone degli altri. La situazione dei reati aggiornata a novembre 2019 (ultimo
aggiornamento) prevede 23 reati che sono variegati e vanno da un’indebita percezione fino a
delitti informatici etc..
1. Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per
il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un
ente;
2. Delitti informatici e trattamento illecito di dati;
3. Delitti di criminalità organizzata;
4. Concussione, induzione indebita a dare o promettere altra utilità e corruzione;
5. Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di
riconoscimento;
6. Delitti contro l’industria e il commercio;
7. Reati societari;
8. Reati con finalità di terrorismo o di eversione dell’ordine democratico previsti dal Codice
penale e dalle leggi speciali;
9. Pratiche di mutilazione degli organi genitali femminili;
10. Delitti contro la personalità individuale;
11. Reati di abuso di mercato;
12. Altre fattispecie in materia di abusi di mercato;
13. Reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione
delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro;
14. Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita,
nonché autoriciclaggio;
15. Delitti in materia di violazione del diritto d’autore;
16. Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità
giudiziaria;
17. Reati ambientali; → è verso la fine proprio perché rispecchiano la recente attenzione
agli aspetti ambientali.
18. Impiego di cittadini di paesi terzi il cui soggiorno è irregolare;
19. Razzismo e xenofobia;
20. Frode in competizioni sportive, esercizio abusivo di gioco o di scommessa e giochi
d'azzardo esercitati a mezzo di apparecchi vietati;
21. Reati Tributari;
22. Responsabilità degli enti per gli illeciti amministrativi dipendenti da reato;
23. Reati transnazionali.
Questo è un elenco aggiornato, chiaro ed esplicito. Se la società non dimostra di aver posto in
esser gli strumenti per fronteggiare questi reati viene condannata secondo le sanzioni viste.
Dotarsi di un modello di organizzazione gestione e controllo idoneo a prevenire reati

Ai fini dell’evoluzione dei sistemi di controllo, è significativa la previsione contenuta nell’art. 6
del Decreto secondo cui la responsabilità non è attribuibile all’azienda nel caso in cui questa sia
dotata (già prima del verificarsi del reato) di un “modello di organizzazione, gestione e
controllo idoneo a prevenire reati della specie di quello verificatosi e l’abbia concretamente
realizzato”.
44
Inoltre, è richiesta l’introduzione di un organo interno dell’azienda, che si occupi di vigilare
sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento, avendo
autonomi poteri di iniziativa e di controllo: questo è l’Organismo di Vigilanza (OdV) → ha la
funzione di vigilare su funzionamento e osservanza del modello da parte della società.
Dall’analisi delle disposizioni contenute nel Decreto si evince chiaramente che l’OdV non può
essere identificato con un organo sociale già previsto, quale per esempio il Collegio Sindacale o
il Comitato di un Audit, in quanto il legislatore utilizza l’espressione “organismo dell’ente” a
sottolineare un’entità distinta e separata» Infatti se il legislatore non avesse ritenuto
importante attribuire questa specifica funzione di vigilanza ad un nuovo organismo ad hoc
preposto poteva affidare questa funzione ad uno dei tanti organi di controllo presenti nella
società stessa quali il collegio sindacale o comitato per il controllo interno. Ma proprio per
sottolineare che deve essere una attività di vigilanza svolta da un nuovo ente autonomo e la sua
attività di monitoraggio deve esser totalmente distinta e separata che il decreto ha ritenuto
introdurre e costituire un nuovo organo di controllo.
Questa decisione non è piaciuta alle società che, l’introduzione di un nuovo organo, devono
sostenere ulteriori costi. Soprattutto per le società di piccole dimensioni, infatti il decreto
sottolinea che questo decreto deve esser recepito da parte di tutte le società e non solo le medio
grandi. Soprattutto infatti da parte delle piccole ed è sempre stata sottolineata l’importanza di
rispetto di tale decreto per le società di piccole dimensioni.
Negli anni, siccome l’attività di controllo, è diventata più elevata si sono fatte strada più ipotesi
da parte degli imprenditori per cercare di contenere i costi e per applicare delle forme di
semplificazione. Così sono state avanzate tante richieste per richiedere di attribuire le specifiche
funzioni svolte dall’organismo di vigilanza ad uno degli organi già in essere (es collegio sindacale
o comitato controllo interno). Al momento se ne discute ancora ma l’organismo di vigilanza
continua ad esistere.
Per quanto riguarda le attività che competono all’organismo (attività specifiche dell’OdV),
esse sono molte fra cui le principali:
1) il controllo e la verifica dell’effettività del modello di vigilanza adottato e della sua
osservanza;
2) il controllo e la verifica dell’idoneità del modello adottato a prevenire il verificarsi dei
reati- presupposto;
3) predisporre le proposte di intervento sul modello adottato al fine di aggiornare lostesso;
4) l’adozione di iniziative finalizzate a diffondere, in ambito societario, la conoscenza del
modello e la formazione del personale; → importante soprattutto nel 2001 e a seguire
soprattutto nei primi anni di costituzione perché una volta costituiti i primi organismi di
vigilanza tra le varie funzioni c’è stato quello di divulgare la novità normativa tra il
personale: la conoscenza del modello organizzativo e l’osservanza del modello stesso. A
tal fine è stata molto importante il supporto e attività svolta da membri organismi
vigilanza per formare personale in merito.
5) l’accertamento delle segnalazioni relative alla violazione del modello e l’eventuale
segnalazione dell’organo dirigente; → OdV è obbligato a recepire, da parte di tutte le
risorse della società, eventuali segnalazioni ad attestare che il modello non viene
rispettato o non funziona correttamente.
6) la predisposizione di relazioni informative tanto di quelle programmate quanto di quelle
che si dovessero rendere necessarie nello svolgimento dell’incarico. → anche l’OdV è
obbligato a predisporre relazioni informativi in relazione alla loro attività ma soprattutto
con riferimento alle considerazioni che l’organo fa e recepisce della bontà o meno
dell’organismo adottato dalla società questo anche per eventualmente condividere
aggiornamenti e modifiche che si rendono necessarie.
Per l’elaborazione di tale modello è necessario seguire quanto stabilito dal Decreto, ovvero
(art.6):
a) analisi delle attività in cui possono essere commessi reati (mappatura dei rischi);
b) stabilire precisi protocolli con lo scopo di pianificare le modalità con cui vengono
prese e attuate le decisioni dell’ente in relazione ai reati da prevenire.
Queste sono le due linee guida dell’art 6 per definire al meglio il modello di
organizzazione e gestione finalizzato alla gestione dei rischi.
45
Nelle varie normative consideriamo solo gli aspetti riguardanti gli impatti nel SCI
Riforma del diritto societario 2003
Nel percorso evolutivo della normativa italiana dei controlli societari, un ruolo importante è stato
ricoperto anche dalla riforma del diritto societario, di cui al D.lgs. 17 gennaio 2003 in vigore dal
1° gennaio 2004. Detta riforma rappresenta un importante momento evolutivo della disciplina
dei sistemi di controllo.
Fino al 2003, infatti, l’unico riferimento testuale all’attività di controllo era contenuto nell’art.
2403 cod. civ. ove si disponeva che il Collegio Sindacale doveva controllare l’amministrazione
della società
1. Questa riforma si verifica subito dopo quel periodo di gravi crisi finanziari causate da
frodi e mal gestione o mal governo. Ad esempio il caso Parmalat quindi anche il nostro
legislatore ha pensato di provvedere a redigere delle regole di governance per prevedere
e sottolineare l’importanza delle responsabilità e i ruoli di ciascun organo nei sistemi di
corporate governance.
2. Un altro aspetto importante è il dover allineare il diritto societario alle normative degli
altri paesi. Infatti una novità è il fatto di aver previsto, in aggiunta al modello di
governance italiano, nel nostro ordinamento altri due modelli di corporate governance:
a. Monistico
b. Dualistico
Dando la facoltà alle società di scegliere il modello di governance opportuno.
Sotto vi sono le altre novità
NOVITA’
1) un’estensione anche alle società non quotate dei “problemi di definizione ed
implementazione del Sistema di Controllo Interno;
2) la riforma ha assegnato al “Consiglio di Amministrazione di tutte le imprese azionarie, ivi
incluse quelle quotate, un ruolo di monitoring sull’attività gestoria curata dagli
amministratori esecutivi”, aumentando in tal modo il numero dei membri dell’organizzazione
che possono essere considerati parte del Sistema di Controllo Interno;
3) il processo di riforma e armonizzazione del diritto societario sia stato avviato nel momento
in cui le notizie degli scandali societari americani si diffondevano nel vecchio continente e
per superare nuove crisi finanziarie (in Italia, caso Parmalat, Vivendi, Adecco, Cirio)
Ma non è stata prevista nessuna chiara definizione né obblighi per le società non quotate.
Come a sottolineare che, ancora nel 2003, la definizione di sistema di controllo interno fosse
una faccenda riguardante le società medio-grandi e quotate.
La riforma si è anche caratterizzata per l’introduzione di una maggior flessibilità

per la scelta del modello di governo societario;
I controlli sono svolti da organi diversi a seconda del modello che la società decide di
implementare.
1) MODELLO TRADIZIONALE (ITALIANO)
2) MODELLO DUALISTICO
3) MODELLO MONISTICO
46
Modello Tradizionale (o modello italiano)
Il modello tradizionale si caratterizza per la presenza di tre organi:

➢ Assemblea dei soci che nomina il CdA
➢ Organo di controllo che è collegio sindacale
Si chiama sistema italiano perché il collegio sindacale come organo si trova solo in Italia e non
trova confronti simili in nessuna parte del mondo, ed è un organo importante, per molti è
considerato un sistema di controllo interno importante.
Nel modello tradizionale, l’art. 2403 affida il compito di “vigilare sull’osservanza della legge e
dello statuto, sul rispetto dei principi di corretta amministrazione ed in particolare
sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società
sul suo concreto funzionamento».
Si denota che il Collegio Sindacale nasce come controllo in ogni ambito e totalitario. La riforma
del diritto societario chiarisce e dettaglia le due tipologie di controllo che esistono:
1) Il controllo contabile (controllo sui documenti contabili), che viene attribuito ad un revisore
contabile o ad una società di revisione iscritta nell’apposito registro ai sensi art. 2409-bis,
tranne nel caso in cui la società non faccia ricorso al mercato dei capitali di rischio e non
debba predisporre il bilancio consolidato, per cui lo statuto può affidare tale controllo al
Collegio Sindacale
Quindi, ai sensi della riforma societaria del 2003, nelle imprese minori il collegio sindacale
svolge due tipi di controllo: contabile e di legalità.
2) Il controllo di legalità, che compete al Collegio Sindacale che deve essere svolto secondo le
disposizioni dell’art. 2403 c.c., nonché in particolare per le società quotate ai sensi dell’art.
149 del TUF. Questo articolo afferma che: “Il Collegio Sindacale dovrà anche nell’ambito
dell’attività di controllo procedere alla verifica della corrispondenza tra il bilancio di esercizio
(o consolidato) e le risultanze delle scritture contabili, degli accertamenti eseguiti e della
conformità alle norme che lo disciplinano. Dovrà inoltre esprimere, con apposita relazione, un
giudizio sul bilancio di esercizio e sul bilancio consolidato.”
Questo sottolinea che appartiene alla funzione del controllo di legalità svolto dal collegio
sindacale anche quelle attività di controllo di tipo contabile. Anche se non entra nel merito
della revisione legale dei conti. Il controllo contabile consiste nel fare un controllo se i dati di
bilancio sono allineati con i dati risultanti dalle scritture contabili e se il bilancio è fatto con le
corrette norme. A tal fine deve esser redatta dal collegio sindacale una relazione che rientra
nei documenti del bilancio.
Modello Monistico
47
L’organo più importante di questo modello è il Cda. Infatti noi abbiamo assemblea di azionisti
che nomina Cda che al suo interno costituisce un comitato per il controllo sulla gestione.
Questo modello viene criticato perché il Comitato per il controllo sulla gestione, che svolge un
controllo interno sulla gestione, non è in grado di dimostrare l’indipendenza. Cioè i membri del
comitato sono membri designati dal Cda e presi dal suo interno. Quindi l’organo di controllo
interno è costituito e formato dagli stessi amministratori che definiscono le politiche gestorie
ed è come se si autocontrollassero.
Nel modello monistico, di origine statunitense, l’assemblea degli azionisti nomina il Consiglio di
Amministrazione a cui compete l’attività gestoria.
Il Consiglio di Amministrazione a sua volta costituisce al suo interno un Comitato per il

Controllo sulla Gestione a cui competono le attività di controllo sui principi di corretta
amministrazione, similmente ai doveri che competono al Collegio Sindacale
Modello Dualistico
si caratterizza per la presenza di due organi. Ha avuto origine in Germania e Giappone.
La particolarità è che noi abbiamo assemblea dei soci che nomina il consiglio di sorveglianza
che è un organo di controllo e l’assemblea dei soci nomina l’organo di controllo. A sua volta il
consiglio di sorveglianza nomina il comitato di gestione che è l’organo gestorio. Quindi
paradossalmente questo modello si caratterizza per questa stranezza. L’assemblea nomina
prima l’organo di controllo e poi quello di gestione. Anche in questo modello il controllo
contabile è affidato ad un soggetto esterno solitamente la società di revisione.
Il modello dualistico, di derivazione tedesca e diffuso a livello europeo, si caratterizza per la

presenza di un doppio consiglio: il Consiglio di Gestione ed il Consiglio di Sorveglianza.
L’assemblea degli azionisti provvede alla nomina del Consiglio di Sorveglianza che svolge
funzioni simili a quelle svolte dal Collegio Sindacale.
Al Consiglio di Sorveglianza spetta la nomina di un Consiglio di Gestione deputato
all’amministrazione societaria, che svolge funzioni simili al Consiglio diAmministrazione.
In pratica il consiglio di sorveglianza nel modello dualistico svolge le stesse funzioni che svolge
48
(in modello tradizionale) il collegio sindacale. Viceversa il consiglio di sorveglianza nomina il
comitato di gestione (organo gestorio in quanto ha le funzioni di amministrazioni della società).
Quest’ultimo è paragonabile al consiglio di amministrazione.
Quando nel 2003 questi modelli alternativi sono stati introdotti sin da subito le società
quotate, seppur potessero scegliere, quasi tutte ha riconfermato il modello tradizionale
italiano perché quello monistico e quello dualistico erano lontane dalla cultura e dalla
impostazione di una regolamentazione italiana. Ma ci sono state alcune eccezioni, alcune
banche hanno optato per il modello dualistico, ma poi si son riconvertite al modello
tradizionale. Anche al momento la quasi totalità delle società italiane ha implementato un
modello organizzativo basato sul modello tradizionale italiano.
Considerazioni Conclusive
Questa riforma ha detto poco, non ha definito o istituzionalizzato uno specifico organo
denominato di sistema di controllo interno. Da questo punto di vista riconosciamo che
sicuramente nel 1998 il TUF ha dato maggior contributo nel nostro ordinamento relativamente
al sistema di controllo interno in quanto ha istituzionalizzato il SCI pur riservando tutto ciò per
le società quotate in quanto il TUF si rivolge alle quotate.
1) Il D.lgs. 58/1998 ha istituzionalizzato, soprattutto nelle strutture societarie di grandi
dimensioni, la funzione dell’Internal Audit.
2) Ciò ha comportato la diffusione a livello societario della costituzione di un organo diretto a
sovraintendere il Sistema di Controllo Interno: il Comitato per il Controllo Interno. Trattasi
di un’articolazione organizzata del Consiglio di Amministrazione, nominato dal Consiglio
stesso e composto da un certo numero di amministratori non esecutivi che non rivestano
funzioni direttive. È regolato dal Codice di Autodisciplina di Borsa Italiana spa. → definendo
che il Comitato per il controllo interno è un’articolazione del CdA ha introdotto una vera e
propria novità. Ed è una delle poche grandi novità introdotte da questa riforma del diritto
societario. Il fatto che il Comitato è regolato dal codice di autodisciplina sottolinea come il
legislatore con riforma del 2003 nulla ha disciplinato in merito. Si è limitato a dire che si
tratta di un organo designato dal Cda ma nulla di specifico a tale comitato.
L’unico riferimento al Comitato per il controllo interno è quello del 2409 octiesdecies:
3) La riforma del diritto societario nulla ha disposto riguardo alla istituzione e
regolamentazione del comitato per il controllo interno, lasciata di fatto alla discrezionalità
della società. L’unico riferimento al comitato per il controllo interno previsto dalla riforma
è contenuto nell’art. 2409 octiesdecies, c. 5, c.c. che recita: “tra le competenze del
comitato del controllo per la gestione è inclusa la vigilanza sull’adeguatezza di tale
sistema”. → tra le competenze che la riforma del diritto societario attribuisce al comitato
per il controllo della gestione vi è anche quello di vigilare sull’adeguatezza del sistema di
controllo interno. Paradossalmente sembra che il nostro legislatore ha meglio disciplinato
il sistema di controllo interno dando maggior enfasi nel modello monistico.
4) Secondo la normativa, il Sistema di Controllo Interno assume rilievo esclusivamente nel
modello monistico. → perché il comitato interno è designato all’interno del Cda e se
leggiamo articoli del codice che chiariscono le funzioni del comitato per il controllo interno
nel sistema monistico ci sono chiari riferimenti al sistema di controllo interno.
In conclusione possiamo dire : è importante la riforma del diritto societario e significativa in un

contesto di armonizzazione internazionale per recepimento di altri modello di governance. Ma i
contributi che ha portato al SCI non sono stati un granché infatti la maggior parte degli addetti
ai lavori ha considerato carente la riforma del diritto societario per quanto riguarda definizione
e istituzionalizzazione del SCI.
49
Completiamo analisi delle normative che hanno contribuito all’evoluzione del SCI. Restano da
vedere:
➢ Legge 262/2005
➢ D.lgs 39/2010
➢ D.lgs 14/2019 CCI che ha introdotto il codice della crisi e dell’insolvenza.
Legge 262/2005-Legge sul Risparmio

La Legge 28 dicembre 2005, n. 262, Disposizioni per la tutela del risparmio e la disciplina dei
mercati finanziari, (c.d. Legge sul risparmio) ha introdotto diverse novità a livello di corporate
governance e di sistema di controllo interno. [nota come SOX italiana perché prende spunto
dalla SOX].
La nuova normativa è stata interpretata come «la risposta italiana al Sarbanes Oxley Act» sia
per le ragioni che hanno portato alla sua promulgazione sia per i suoi contenuti.
Sia per le motivazioni che per i contenuti possiamo affermare che sono gli stessi della SOX:
1) Motivazioni: La legge 262/05 finalizzata al «rafforzamento dell’attendibilità
dell’informazione al pubblico di natura finanziaria»; i risparmiatori, investitori istituzionali,
erano infatti sfiduciati dopo i numerosi crolli finanziari (tra gli altri, Parmalat e Cirio) e che
avevano messo in evidenza le carenze dei sistemi di controllo interno delle emittenti; → In
Italia nel 2005 siamo in quel periodo di nuova ondata di scandali finanziari (Parmalat e Cirio)
quindi i risparmiatori erano sfiduciati quindi il nostro ordinamento decide di produrre una
nuova normativa per riacquistare la fiducia di risparmiatori e investitori.
2) Contenuti: il riferimento è alle disposizioni contenute nella section 302 della SoX dedicata
alla “Corporate responsibility for financial reports”, che aveva introdotto obblighi ben definiti
a carico del Chief Executive Officer (CEO) e del Chief Financial Officer (CFO) riguardo
l’attestazione della veridicità dei dati contenuti nei bilanci e nelle relazioni finanziarie
Introduzione di una nuova figura all’interno delle società quotate responsabile personalmente
dell’autenticità della documentazione contabile e dei dati.
DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI

Solitamente denominato anche dirigente contabile, coincide nella realtà operativa con la figura
del direttore amministrativo o finanziario della società oppure con il CFO (che è una figura
superiori al direttore amministrativo o finanziario) nelle aziende di maggiori dimensioni
L’art. 14 della Legge sul risparmio ha infatti determinato l’introduzione nel TUF di una nuova
sezione dedicata alla redazione dell’informativa societaria, comprendente un articolo, il 154-
bis, intitolato al “Dirigente preposto alla redazione dei documenti contabili societari”» tutto
l’articolo disciplina funzioni, responsabilità e ruoli.
La nuova normativa è stata certamente prevista con il fine di allinearsi sempre più agli
orientamenti internazionali- anglosassoni
Il Dirigente Preposto alla Redazione dei Documenti Contabili o CFO

art. 154 TUF
1. Lo statuto degli emittenti quotati aventi l'Italia come Stato membro d'origine prevede i
requisiti di professionalità e le modalità di nomina di un dirigente preposto alla
redazione dei documenti contabili societari, previo parere obbligatorio dell'organo di
controllo.
2. Gli atti e le comunicazioni della società diffusi al mercato, e relativi all’informativa contabile
anche infrannuale della stessa società, sono accompagnati da una dichiarazione scritta del
dirigente preposto alla redazione dei documenti contabili societari, che ne attestano la
corrispondenza alle risultanze documentali, ai libri e alle scritture contabili.
3. Il dirigente preposto alla redazione dei documenti contabili societari predispone adeguate
procedure amministrative e contabili per la formazione del bilancio di esercizio e, ove
previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere
50
finanziario.
4. Il consiglio di amministrazione vigila affinché il dirigente preposto alla redazione dei
documenti contabili societari disponga di adeguati poteri e mezzi per l'esercizio dei compiti
a lui attribuiti ai sensi del presente articolo, nonché sul rispetto effettivo delle procedure
amministrative e contabili.
5. Gli organi amministrativi delegati e il dirigente preposto alla redazione dei documenti
contabili societari attestano con apposita relazione sul bilancio di esercizio, sul
bilancio semestrale abbreviato e, ove redatto, sul bilancio consolidato:
a) l'adeguatezza e l'effettiva applicazione delle procedure di cui al comma 3 nel corso del
periodo cui si riferiscono i documenti;
b) che i documenti sono redatti in conformità ai principi contabili internazionali
applicabili riconosciuti nella Comunità europea ai sensi del regolamento (CE) n.
1606/2002 del Parlamento europeo e del Consiglio, del 19 luglio 2002;
c) la corrispondenza dei documenti alle risultanze dei libri e delle scritture contabili;
d) l'idoneità dei documenti a fornire una rappresentazione veritiera e corretta della
situazione patrimoniale, economica e finanziaria dell'emittente e dell'insieme delle
imprese incluse nel consolidamento;
e) per il bilancio d'esercizio e per quello consolidato, che la relazione sulla gestione
comprende un'analisi attendibile dell'andamento e del risultato della gestione, nonché
della situazione dell'emittente e dell'insieme delle imprese incluse nel consolidamento,
unitamente alla descrizione dei principali rischi e incertezze cui sono esposti;
f) per il bilancio semestrale abbreviato, che la relazione intermedia sulla gestione
contiene un'analisi attendibile delle informazioni di cui al comma 4 dell'articolo 154-ter.
5-bis. L'attestazione di cui al comma 5 è resa secondo il modello stabilito con
regolamento dalla Consob.
6. Le disposizioni che regolano la responsabilità degli amministratori si applicano
anche ai dirigenti preposti alla redazione dei documenti contabili societari, in
relazione ai compiti loro spettanti, salve le azioni esercitabili in base al rapporto di
lavoro con la società.
Questo articolo disciplina funzioni, ruoli e responsabilità-
Il Dirigente Preposto alla Redazione dei Documenti Contabili o CFO (parte importante
dell’art. 154-bis)
Al dirigente preposto sono attribuite numerose responsabilità, tra cui quella di certificare,
mediante una dichiarazione scritta, la corrispondenza dei dati indicati nei documenti e nelle
relazioni societarie rivolte al mercato con le risultanze documentali, i libri e le scritture contabili
nonché di predisporre adeguate procedure amministrative e contabili per la predisposizione del
bilancio d’esercizio ed eventualmente di quello consolidato (art. 154-bis, co. 2-3, TUF). → oltre
a certificare deve definire le procedure amministrative e contabili che la società deve seguire
per predisporre il bilancio e il consolidato. Molte di queste funzioni le svolge non da solo ma con
il consiglio di amministrazione.
Unitamente al consiglio di amministrazione, si occupa di stilare una relazione in cui attesti:
1) l'adeguatezza e l'effettiva applicazione delle procedure implementate;
2) la conformità dei documenti ai principi contabili internazionali;
3) la corrispondenza dei documenti alle risultanze dei libri e delle scritture contabili;
4) l'idoneità dei documenti a fornire una rappresentazione veritiera e corretta della
situazione patrimoniale, economica e finanziaria della società e delle imprese incluse
nell’area di consolidamento;
5) la presenza, nell’ambito della relazione sulla gestione, di un'analisi attendibile
dell'andamento e del risultato della gestione, nonché della situazione dell'emittente e
dell'insieme delle imprese incluse nel consolidamento, unitamente alla descrizione dei
principali rischi e incertezze cui sono esposti;
tante attività e la particolarità è che sono tutte in capo ad una persona fisica perché il dirigente
51
preposto è un attore del sistema di controllo delle società italiane ma tutto in capo ad una
persona fisica perché non è un organo collegiale. Tutto ciò è stato recepito in completo ossequio
delle disposizioni della SOX tale che gli addetti ai lavoro la definiscono SOX italiana.
La novità più rilevante è stata l’introduzione del dirigente preposto ma ha fornito anche altre
novità che impattano su organi di amministrazione e controllo. Quindi quella del dirigente è la
novità fondamentale ma anche queste novità hanno impattato:
La nuova normativa è intervenuta anche prevedendo altre novità che impattano sugli organi di
amministrazione e controllo.
1) Lo Statuto delle società può autonomamente stabilire le caratteristiche che devono
possedere i soggetti dedicati alla gestione e al controllo per garantire i requisiti di onorabilità
e indipendenza. → le caratteristiche fanno riferimento ai requisiti di onorabilità e
indipendenza. In tutto questo le società lo possono fare se lo Statuto lo recepisce però lo han
previsto tutti che ogni società detti delle regole proprie per scegliere amministratori e
controllori.
2) Per i soggetti adibiti al controllo sono previsti nuovi compiti fra cui il dovere di cooperare con
gli altri organi sociali ed effettuare specifici controlli al fine di verificare la concreta adozione
all’interno della società dei Codici di comportamento. → quindi la legge sul risparmio va a
sottolineare un aspetto importante. Visto che l’introduzione di un nuovo soggetto nelle
società italiane gli organi di controllo son numerosi. Quindi per evitare sovrapposizioni e
duplicazioni di ruoli di responsabilità diventa importante una certa cooperazione tra tutti i
soggetti. Il fatto che siano aumentati non significa che deve esserci duplicazione ma che
ognuno deve svolgere al meglio le proprie funzioni con un ottica di cooperazione.
Vi è un’altra novità importante: la legge sul risparmio ha valorizzato la figura di controllo per
eccellenza di corporate governance ovvero il collegio sindacale:
Con riguardo al collegio sindacale, la legge sul risparmio conferma il suo ruolo di «organo di alta
vigilanza sull’adeguatezza dell’organizzazione imprenditoriale della società nel suo
complesso» anche introducendo la previsione di un nuovo dovere a carico dei sindaci. Essi sono
tenuti a vigilare sulla concreta applicazione delle regole di governance raccomandate nei
codici di comportamento adottati dalle emittenti (art. 149, co. 1, lett. c-bis, TUF), per cui «il
rispetto del codice di autodisciplina diviene a pieno titolo oggetto della vigilanza del collegio
sindacale».
{“di alta vigilanza” → a sottolineare il ruolo apicale che svolge il collegio sindacale tra gli organi
di controllo. Lo ha fatto introducendo un nuovo dovere. }
Altra normativa che impatta sul sistema di controllo interno:

Il D.lgs 27 gennaio 2010, n. 39, Testo Unico della Revisione
(già visto nel corso di revisione legale dei conti perché ha riformato la revisione legale dei conti)
Il Decreto Legislativo 27 gennaio 2010, n. 39, (anche conosciuto come Testo Unico della
Revisione) recepisce nel nostro ordinamento la Direttiva 2006/43/CE (VIII Direttiva), in materia
di revisione legale dei conti annuali e consolidati. Lo stesso, al fine di recepire il Regolamento
(UE) n. 537/2014 e le disposizioni contenute nella Direttiva 2014/56/UE è stato aggiornato per il
tramite del D. Lgs. 17 luglio 2016, n. 135.
NOVITA’ PER I CONTROLLI

1. Viene stabilita una distinzione tra revisione legale dei conti negli enti di interesse
pubblico (EIP) e negli enti a regime intermedio (ERI) da quella svolta nelle altre società di
capitali.
A fronte di questa demarcazione, le società quotate, così come gli EIP e gli ERI, sono
vincolati ad assegnare ad un revisore esterno l’incarico di svolgere la revisione legale,
mentre le restanti società per azioni, allorché non siano tenute alla redazione del bilancio
consolidato, possono affidare tale funzione al collegio sindacale, come disposto dall’art.
2409-bis c.c.
52
Riconferma di una statuizione del diritto societario del 2003 che per le società quotate la
revisione legale dei conti deve esser esterna.
2. Le disposizioni previste dall’art. 19 che, in linea con le Disposizioni della Banca d’Italia sulla
governance delle società bancarie emanate nel 2008, assegnano al collegio sindacale (e ai
corrispondenti organi di controllo nei sistemi alternativi) il compito di occuparsi, in qualità
di “comitato per il controllo interno e la revisione contabile” (CCIRC), di alcune questioni
fondamentali della governance degli enti di interesse pubblico consolidato.
Possono affidare tale funzione al collegio sindacale, come disposto dall’art. 2409-bis c.c.
Questo secondo punto è un ulteriore conferma dell’importanza che il collegio sindacale riveste
nell’ordinamento italiano. Perché voler attribuire al CS anche questo ruolo che potrebbe esser
svolto da un apposito comitato, significa rafforzare il ruolo del CS. Infatti nel testo unico della
revisione il CS è un supervisore e coordinatore:
Tali modifiche sono state dettate dall’intento sia di rafforzare il ruolo del collegio, quale
«supervisore e coordinatore del complessivo e “policentrico” sistema dei controlli societari»
sia per assicurare una maggiore razionalizzazione dei controllori della società, assegnando ad
un organo già presente all’interno della società delle funzioni che altrimenti dovrebbero essere
affidate ad un nuovo attore.
Questo perché siamo nel 2010 e sono tanti gli organi che si occupano di controllo ma ciò non
toglie che ci vuole un po’ di coordinamento e razionalizzazione tra questi organi. E questo ruolo
e compito spetta al CS. → rafforza il ruolo del CS.
Codice della crisi e dell’insolvenza (D.lgs 14/2019)

Il decreto legislativo 12 gennaio 2019, n.14 – Codice della crisi d’impresa e dell’insolvenza,
emanato in esercizio della delega prevista dalla legge 19 ottobre 2017, n. 155 e pubblicato sulla
Gazzetta Ufficiale n. 38 del 14.02.2019 – Supp. Ordinario n. 6, contiene numerose disposizioni
che immetteranno in maniera significativa sulla governance delle imprese.
È famoso perché dopo molti anni in Italia viene riformato il diritto fallimentare. Non si parla più
di diritto fallimentare ma si parla oggigiorno (come si parla nel resto del mondo) di crisi di
impresa e di insolvenza e non più di diritto fallimentare.
NOVITA’ PER I CONTROLLI
(i cambiamenti sono molti ma quelli che a noi importano sono questi):
1. ADEGUATI ASSETTI ORGANIZZATIVI
Per quanto concerne gli assetti organizzativi con il Codice il Legislatore introduce una
serie di obblighi diretti a impattare e modificare la governance delle imprese, al fine di
allineare la gestione e gli assetti organizzativi alle indicazioni consolidate della dottrina
economica aziendale, i principali dei quali sono riassumibili in determinati obblighi
organizzativi e alcuni strumenti di allerta e in altre misure premiali dirette a
incoraggiare comportamenti virtuosi dell’imprenditore. → vuol dire che gli assetti
organizzativi siano tali per cui vi siano degli strumenti in grado di monitorare i rischi e
gli eventuali stati di crisi perché solo quelle soceità che si dotano di questi adeguati
assetti organizzativi sono capaci di cogliere per tempo quegli elementi di rischi che
possono impattare e portarla al default. Ma se sono capaci di mappare e prevenire
possono evitare di arrivare al default. È chiaro che per le società dotarsi di adeguati
assetti organizzativi vuol dire definire strumenti volti a captare per tempo eventuali
sintomi di rischio e una parte importante di questo ruolo deve esser svolta dal SCI.
Infatti per il codice di crisi e insolvenza l’implementazione del SCI è conditio sine qua
non per fare questo monitoraggio preliminare dello stato di eventuali segnali di crisi.
Questo compete non solo alle imprese quotate ma anche per le società piccole
2. AMPLIAMENTO ORGANI DI CONTROLLO
Relativamente all’ampliamento degli organi di controllo il riferimento è al novellato art.
2477 del c.c. che viene integrato e riscritto dall’art. 379 del Codice allo scopo di ampliare
53
notevolmente la platea delle S.r.l. che saranno obbligate a dotarsi di un organo di
controllo o del revisore. Ai sensi del nuovo 2477 del c.c. i parametri per la costituzione
dell’organo di controllo risultano così modificati:
«La nomina dell'organo di controllo o del revisore è obbligatoria se la società:

a) è tenuta alla redazione del bilancio consolidato;
b) controlla una società obbligata alla revisione legale dei conti;
c) ha superato per due esercizi consecutivi almeno uno dei seguenti limiti:
1) totale dell'attivo dello stato patrimoniale: 4 milioni €;
2) ricavi delle vendite e delle prestazioni: 4 milioni €;
3) dipendenti occupati in media durante l'esercizio: 20 unità.»
Quindi viene sottolineato come anche per le piccole società diventa importante dotarsi di
organi di controllo perché il codice di crisi insolvenza all’art. 13 è intervenuto a modificare
dell’art. 2477 c.c. (art. che definisce i parametri a decorrere dal quale scatta l’organo di
costituire organo di controllo). Questi parametri sono stati abbassati quindi andando ad a
abbassare i parametri aumenta il numero di piccole società che devono costituire l’organo di
controllo → ci si riferisce principalmente alle srl.
In realtà i punti a e b non sono cambiati ma sono cambiati i parametri del c. Sottolineiamo che
si parla di aver superato almeno uno dei limiti. Quindi c’è stata una restrizione. Se una società
supera, per due esercizi consecutivi, supera anche solo uno di questi parametri ed è obbligata
ad istituire l’organo di controllo. Quindi questo sottolinea l’importanza degli organi di controllo
al punto che ne viene ampliato il numero di società che sono obbligati a costituirli.
Con questo abbiamo concluso l’analisi le principali normative introdotte nel nostro
ordinamento negli ultimi 20 anni. Ora ci occuperemo delle regole di funzionamento il collegio
sindacale.
54
Il collegio sindacale assume un ruolo fondamentale per i modelli di corporate governance.
Inoltre è un organo che esiste solo in Italia quindi solo nel nostro ordinamento e non ha
confronti con nessun altro paese. Quindi svolge un ruolo peculiare.
Poi il collegio sindacale così come esiste oggi con le sue funzionalità, caratteristiche e con la
sua funzione tipica di esser il controllore della legalità della società che si traduce in uno
svolgimento di attività di vigilanza sull’intera amministrazione della società era già presente più
di un secolo fa. Le origini di questo organo risalgono a ben prima del 1882 ovvero la
pubblicazione in Italia del primo Codice Civile di riferimento. Infatti nel 1882 è stato l’anno del
recepimento dei codici napoleonici. Esisteva prima del 1882 ma non era formalizzato in quanto
il codice precedente era quello del 1865 dove non vi è riferimento all’istituto del collegio
Sindacale ma vi sono testimonianze che in alcune società del tempo (compagnie) vi era un
organo che svolgeva un’attività di vigilanza al pari di quella svolta dal CS.
Collegio Sindacale - ante 1882 -
Codice di Commercio del 1865
Istituto del Collegio Sindacale non era ancora stato istituzionalizzato, di fatto era già molto
diffuso nella pratica degli Statuti delle principali compagnie forme dell’attività di vigilanza
sindacale:
- nella compagnia della Camera Imperiale di Comacchio del 1709;
- nell’Imperiale Privilegiata Compagnia Orientale del 1719;
- nella Compagnia Reale del Piemonte per le opere e i negozi in seta del 1752. Trattasi per
lo più di organi interni svolgenti a volte la funzione di vigilanza interna oltre a quella di
revisione del bilancio → attività prettamente contabile.
siamo già dopo l’unità di Italia in riferimento al Codice di commercio.
Collegio Sindacale - 1882-

Codice di Commercio del 1882
Il Codice del 1882 statuisce l’introduzione del Collegio Sindacale nell’ordinamento giuridico
italiano al fine di attribuire ai sindaci scelti dall’assemblea il ruolo di supervisori sulla gestione
sociale.
Nuove disposizioni contenute negli art. 183- 184-185 del codice di Commercio 1882
Anche se il codice è del 1882 si tratta di disposizioni molto attuali in quanto le disposizioni
relative al funzionamento del CS non sono molto cambiate.
Collegio Sindacale – 1882- art. 183-

Codice di Commercio del 1882- art: 183
«In ogni assemblea ordinaria e in quella indicata nell’art. 14 si devono nominare tre o cinque
sindaci e due supplenti per la sorveglianza delle operazioni sociali e per la revisione del bilancio.
I sindaci possono essere soci e non soci e sono rieleggibili. Non sono eleggibili o decadono
dall’ufficio i parenti e gli affini degli amministratori sino al quarto grado di consanguineità od
affinità. In caso di morte, di rinuncia, di fallimento o di decadenza d’alcuno dei sindaci,
subentrano i supplenti in ordine d’età. Se ciò non basta a renderne completo il numero, i sindaci
rimasti chiamano a sostituire i mancanti altre persone che stanno in carica sino alla prossima
assemblea generale».
Il linguaggio è arcaico ma le disposizioni sono molto attuali:

➢ i sindaci possono essere ineleggibili
➢ non sono eleggibili e cadono di ufficio se non sussiste l’indipendenza. L’indipendenza
deve sussistere anche nei confronti di parenti (oggi la disposizione parla di affini fino al
4^ grado mentre quella del tempo parla di consaguineità ed affinità)
➢ se muore, decade, rinuncia uno subentrano i supplenti previsti e il supplente che
subentra è in ordine di età
➢ se anche questi vengono meno bisogna nominarne degli altri che si chiamano sostituti
e rimangono in carica fino a nuova assemblea che li conferma o ne nomina nuovi.
Quindi le disposizioni sono simili alle attuali.
55
«I sindaci devono:
1. stabilire d’accordo cogli amministratori della società, la forma dei bilanci e della situazione
delle azioni;
2. esaminare almeno ogni trimestre i libri della società per conoscere le operazionisociali e
accertare la bontà di metodo e di scrittura: (anche oggi devono riunirsi ogni trimestre)
3. Fare frequenti ed improvvisi riscontri di cassa non mai più lontani di un trimestre uno
dall’altro; (anche oggi devono verificare il saldo di cassa ogni trimestre)
4. riconoscere almeno una volta ogni mese colla scorta dei libri sociali, l’esistenza dei titoli o
dei valori di qualunque specie depositati in pegno, cauzione o custodia presso la società; (ai
tempi questa disposizione era più rigida)
5. Verificare l’adempimento delle disposizioni dell’atto costitutivo e dello statuto, riguardanti
le condizioni stabilite per l’intervento dei soci nell’assemblea; (anche oggi i sindaci devono
verificare il rispetto della società sullo statuto)
6. rivedere il bilancio e farne relazione nel termine assegnato negli articoli 154 e 179;
7. sorvegliare le operazioni di liquidazione;
8. convocare, colle norme stabilite nell’art. 175, l’assemblea straordinaria ed anche
l’assemblea ordinaria in caso di omissione da parte degli amministratori; (oggi se
amministratori non convocano assemblea devono farlo i sindaci)
9. intervenire a tutte le assemblee generali; (anche oggi)
10. e in genere sorvegliare che le disposizioni della legge, dell’atto costitutivo e dello statuto
siano adempiute dagli amministratori. I sindaci delle società non soggette alle disposizioni
dell’art. 177 hanno diritto di ottenere ogni mese dagli amministratori uno stato delle
operazioni sociali. I sindaci possono assistere alle adunanze degli amministratori, e far
inserire negli ordini del giorno di queste adunanze e in quelli delle assemblee ordinarie e
straordinarie le proposte che credono opportune».(esattamente come oggi)

Le regole del mandato erano un po’ diverse rispetto ad oggi. Anche se durante il mandato
bisogna comportarsi come buon padre di famiglia è sempre esistita ed esiste anche oggi.
«L’estensione e gli effetti della responsabilità dei sindaci si determinano con le regole del
mandato».
Le nuove disposizioni in merito, contenute negli artt. 183-184 e 185, da subito vennero criticate
dalla dottrina e dai professionisti del tempo sia per l’estrema sinteticità della normativa, in
particolare con riferimento alla mancanza di una nozione condivisa del requisito di
indipendenza richiesto ai controllori e relativo meccanismo di selezione e nomina dei membri
del Collegio, nonché per l’estrema lacunosità della normativa. Per questo furono subito molte
le proposte di riforma o perfino di abolizione dell’istituto dei sindaci.
Oggi il problema di indipendenza degli organi di controllo è un problema importante, sono molte
le normative che negli anni si sono susseguite per definire e chiarire i requisiti da rispettare per
esser indipendenti. Ma il problema di indipendenza era già sentito nel 1882 infatti molti ne
hanno sottolineato la carenza di normativa. Ma anche la mancanza di criterio da seguire per la
nomina del Collegio sindacale, è un po’ anche il limite che esiste adesso perché non è ben chiaro
come le società scelgono i membri del collegio sindacale. Molti criticano la mancanza di linee
guida e chiare, spesso i membri del CS vengono nominate per conoscenza di o per passaparola.
Quindi a fronte di questo alcuni sostenevano la necessità di abrogare la riforma e introdurne

una nuova.
Per un po’ di anni tutto rimane fermo anche per via delle due guerre mondiali. Così dopo la
ricostruzione dopo la I guerra mondiale si rimette mano alla questione.
Collegio Sindacale – anni 30’- Riforma-
In occasione del primo raduno nazionale dei dottori in Economia e Commercio, tenutosi a Torino
il 6 e 7 ottobre 1935, fu fatta la proposta di riforma del Collegio Sindacale che si inserì come
risposta ad un’altra proposta di riforma avanzata dalla commissione parlamentare presieduta
56
da Vivante (Presidente della Commissione Parlamentare).
I dottori elaborarono una proposta volta in primis a rivedere i criteri di scelta dei sindaci nonché
le loro funzioni;
Quella di Vivante si fondava sull’abolizione del Collegio Sindacale e istituzione di un Ufficio
Statale costituito da 50 revisori centrali e di diversi Uffici provinciali composti in numero variabile
da 8 a 20 membri.
A seguire, il 24 luglio 1936, con l’emanazione del RD (regio decreto perché vi era ancora la
monarchia) n. 1548 convertito dalla L. 3 aprile 1937 n. 517 e con il RD n. 228 del 10 febbraio
1937, venne istituita la disciplina speciale: ossia il Ruolo dei Revisori Legali dei Conti. Per le
attività di controllo effettuate dal Collegio Sindacale il RD ha statuito che alcuni dei componenti
del Collegio dovessero possedere una adeguata competenza tecnica ed esperienza in materia
contabile.
La data del 1937 è importante perché per la prima volta viene sancita in Italia la figura del
revisore legale dei conti.
Si delinea la situazione attuale: il CS svolge funzione di vigilanza ma svolge anche il controllo
contabile, ma per farlo è necessario che i membri del CS è necessario che almeno uno o due
siano revisori legali dei conti. Molto simili alle disposizioni attuali.
Collegio Sindacale – 1942

Codice civile del 1942:
Recepisce l’impianto normativo del tempo senza apportare significative modifiche. Ciò in quanto
il RD n. 1548 del 1936 aveva già previsto delle modifiche per le attività di controllo effettuate
dal Collegio Sindacale.
1) sono state delineate le condizioni di “giusta causa” e quella di “giusti motivi” per poter
procedere alla revoca, decadenza e sostituzione dello stesso Collegio o dei suoi membri;
2) Il codice si limitava a disciplinare essenzialmente un controllo di tipo contabile.
Nel frattempo decade la monarchia e viene istituita la repubblica così viene introdotto il codice
civile. Per quanto riguarda il CS le modifiche sono davvero poche in realtà.
Tutto questo per recepire i regi decreti del ’36 e ‘37
Collegio Sindacale – anni 70

1) A partire dagli 50’ si avvia nel contesto Europeo il percorso per la costituzione della CE che
si conclude con il trattato firmato a Roma il 25 marzo 1957 ed entrato in vigore il
1°gennaio 1958;
2) Si consolida in Europa la presenza di revisori e di società di revisione di matrice
anglosassone (Big Eight); → erano otto le società di revisione ma oggi sono solo 4 per via
di alcune ristrutturazioni con operazioni di fusioni e altro.
3) In Italia nel 1972 viene costituita l’Associazione Italiana Internal Auditors (AIIA); →
associazione che si occupa (ancora oggi) della diffusione e potenziamento delle attività di
controllo interno.
4) Nel 1974, con la Legge n. 216 venne istituita la Commissione Nazionale per le Società e la
Borsa (Consob); → inizia ad intervenire in modo rilevante nelle società quotate quindi si
occupa di controllare anche le società di revisione che controllano le società quotate e i
sindaci.
Poi l’Italia mette in atto una serie di riforme
5) Con il DPR del 31 marzo 1975 n. 136, in attuazione della legge delega del 7 giugno 1974 n.
216, in Italia si dà avvio ad una nuova stagione di riforme, la più importante fa riferimento
alla statuizione dell’obbligo del controllo contabile e relativa certificazione dei bilanci per
le società quotate in borsa;
6) Il 7 ottobre 1977 viene costituita IFAC (International Federation of Accountants) anche con
il fine di armonizzare le regole contabili grazie alle direttive comunitarie. Da qui l’avvio del
processo di standardizzazione delle regole di accounting and auditing. → per introdurre
principi contabili condivisi a livello europeo che porterà alla pubblicazione delle prime
direttive a livello europeo. La prima è la IV Direttiva del 1992 che da avvio alla riforma
contabile e poi tutto quel che si è verificato.
Questo è un excursus storico sul collegio sindacale. Una cosa importante è vedere come già
esistesse prima del 1882 e poi come, nonostante il tempo intercorso, tantissime regole di
funzionamento del CS sono le stesse prodotte tanti anni fa.
57
Noi dobbiamo conoscere bene il ruolo del CS perché è l’organo di controllo interno nel nostro
ordinamento e soprattutto è unico, esiste solo nel nostro ordinamento. Qui vediamo articoli
del codice che riguardano questo istituto e vedremo che molte sono molto simili a quelle viste
fino ad ora relative a diversi anni fa.
Collegio Sindacale- DISPOSIZIONI CIVILISTICA
- art. 2397- Composizione
Art. 2397- Composizione del Collegio
1) Il collegio sindacale si compone di tre o cinque membri effettivi, soci o non soci. Devono
inoltre essere nominati due sindaci supplenti. (già esisteva nel 1882)
2) Almeno un membro effettivo ed uno supplente devono essere scelti tra gli iscritti tra i
revisori legali iscritti nell’apposito registro. I restanti membri, se non iscritti in tale registro,
devono essere scelti fra gli iscritti negli albi professionali individuati con decreto del Ministro
della giustizia, o fra i professori universitari di ruolo, in materie economiche o giuridiche.
Quindi uno per esser membro del CS deve esser revisore iscritto all’albo o un professore o un
professionista iscritto all’albo
3) … abrogato …
Collegio Sindacale- art. 2398- Presidente

Art. 2398- Presidente del Collegio
1) Il presidente del collegio sindacale è nominato dall'assemblea
Collegio Sindacale- art. 2399- Cause Ineleggibilità e decadenza

Art. 2399 – Cause di Ineleggibilità e decadenza
1. Non possono essere eletti alla carica di sindaco e, se eletti, decadono dall'ufficio:
a) coloro che si trovano nelle condizioni previste dall'articolo 2382; il coniuge, i parenti
e gli affini entro il quarto grado degli amministratori delle società da questa
controllate, delle società che la controllano e di quelle sottoposte a comune controllo;
→ sottolinea l’indipendenza già presente nel 1882
b) coloro che sono legati alla società o alle società da questa controllate o alle società che
la controllano o a quelle sottoposte a comune controllo da un rapporto di lavoro o da
un rapporto continuativo di consulenza o di prestazione d'opera retribuita, ovvero da
altri rapporti di natura patrimoniale che ne compromettano l'indipendenza. → non
può esser sindaco chi lavora in una delle società con cui essa trattiene dei rapporti (es
controllate, collegate o altri tipi di rapporti).
2. La cancellazione o la sospensione dal registro dei revisori legali e delle società di revisione
legale e la perdita dei requisiti previsti dall'ultimo comma dell'articolo 2397 sono causa di
decadenza dall'ufficio di sindaco. → statuisce che se uno, per vari motivi, perde l’iscrizione
al registro dei revisori perde anche l’incarico di sindaco. Inoltre rinvia al 2397 perché ci
sono le cause di decadenza d’ufficio più quelle previste dallo statuto e altre norme
specifiche per la nomina dei revisori.
3. Lo statuto può prevedere altre cause di ineleggibilità o decadenza, nonché cause di
incompatibilità e limiti e criteri per il cumulo degli incarichi
Possiamo vedere che alcune sono uguali a quelle già viste precedentemente nel 1882 e anni
seguenti.
Collegio Sindacale- art. 2401- Sostituzione

Art. 2401– Sostituzione regole per la sostituzione dei sindaci
1. In caso di morte, di rinunzia o di decadenza di un sindaco, subentrano i supplenti in ordine di
età, nel rispetto dell'articolo 2397, secondo comma. I nuovi sindaci restano in carica fino alla
prossima assemblea, la quale deve provvedere alla nomina dei sindaci effettivi e supplenti
necessari per l'integrazione del collegio, nel rispetto dell'articolo 2397, secondo comma. I
nuovi nominati scadono insieme con quelli incarica.
2. In caso di sostituzione del presidente, la presidenza è assunta fino alla prossima assemblea
dal sindaco anziano.
Se con i sindaci supplenti non si completa il collegio sindacale, deve essere convocata
l'assemblea perché provveda all'integrazione del collegio medesimo
58
Collegio Sindacale- art. 2402- Retribuzione
Art. 2402– Retribuzione
1. La retribuzione annuale dei sindaci, se non è stabilita nello statuto, deve esser
determinata dall’assemblea all’atto della nomina per l’intero periodo di durata del loro ufficio
→ ogni società elabora delle regole precise per la retribuzione. L’assemblea che nomina il
sindaco definisce la retribuzione che è la medesima per tutti e tre gli anni del mandato.
essere determinata dalla assemblea all'atto della nomina per l'intero periodo di durata del loro
ufficio
Collegio Sindacale- art. 2403- Doveri del Collegio Sindacale

Art. 2403– Doveri del Collegio Sindacale (uno dei più importanti)
a. Il collegio sindacale vigila sull'osservanza della legge e dello statuto, sul rispetto dei principi
di corretta amministrazione ed in particolare sull'adeguatezza dell'assetto organizzativo,
amministrativo e contabile adottato dalla società sul suo concreto funzionamento. Attività
di vigilanza che è la principale attività del CS nel comma dopo viene definita l’attività di
controllo contabile
b. Esercita inoltre il controllo contabile (ora revisione legale dei conti) nel caso previsto
dall'articolo 2409-bis, terzo comma.(ora secondo.. ) che dalla riforma del 2003 bib su chiama
più controllo contabile ma revisione legale dei conti. O meglio è meglio dire revisione legale
dei conti a far data dalla recezione della direttiva europea ossia con D.lgs 39/2010. La
funzione di revisione legale dei conti è secondaria perché la principale è quella di vigilanza.
Collegio Sindacale- art. 2404- Riunioni del Collegio Sindacale

Art. 2404– Riunioni del Collegio Sindacale
1. Il collegio sindacale deve riunirsi almeno ogni novanta giorni. La riunione può svolgersi, se lo
statuto lo consente indicandone le modalità, anche con mezzi di telecomunicazione. → il
codice 1882 prevedeva almeno ogni trimestre quindi praticamente uguale.
2. Il sindaco che, senza giustificato motivo, non partecipa durante un esercizio sociale a due
riunioni del collegio decade dall'ufficio. → se il sindaco non si presenta due volte senza
motivo decade d’ufficio
3. Delle riunioni del collegio deve redigersi verbale, che viene trascritto nel libro previsto
dall'articolo 2421, primo comma, n. 5), e sottoscritto dagli intervenuti. → ogni volta che CS
si riunisce prepara un verbale che deve esser sottoscritto da tutti i sindaci e viene trascritto su
un apposito libro detto libro dei sindaci
4. Il collegio sindacale è regolarmente costituito con la presenza della maggioranza dei sindaci
e delibera a maggioranza assoluta dei presenti. Il sindaco dissenziente ha diritto di fare
iscrivere a verbale i motivi del proprio dissenso. → su 3 che costituiscono il CS devono esser
presenti almeno 2 su 3 perché ci deve esser la maggioranza.
Collegio Sindacale- art. 2405 –

Intervento alle adunanze del Consiglio di Amministrazione e alle Assemblee
Art. 2405– Intervento alle adunanze del Consiglio di Amministrazione e alle Assemblee
1. I sindaci devono assistere alle adunanze del consiglio di amministrazione, alle assemblee e
alle riunioni del comitato esecutivo. → possono stare li ed ascoltare perché hanno bisogno
di percepire tutte le info che servono per svolgere l’attività di vigilanza.
2. I sindaci, che non assistono senza giustificato motivo alle assemblee o, durante un esercizio
sociale, a due adunanze consecutive del consiglio d'amministrazione o del comitato
esecutivo, decadono dall'ufficio. → verrebbe meno uno dei loro compiti più importanti
Collegio Sindacale- art. 2407 –Responsabilità
Art. 2407– Responsabilità
1) I sindaci devono adempiere i loro doveri con la professionalità e la diligenza richieste dalla
natura dell'incarico; sono responsabili della verità delle loro attestazioni e devono
conservare il segreto sui fatti e sui documenti di cui hanno conoscenza per ragione del loro
ufficio. → queste sono norme di deontologia professionale, norme etiche, quindi segretezza,
professionalità e diligenza.
2) Essi sono responsabili solidalmente con gli amministratori per i fatti o le omissioni di questi,
59
quando il danno non si sarebbe prodotto se essi avessero vigilato in conformità degli
obblighi della loro carica. → il sindaco è obbligato a vigilare attentamente sull’attività degli
amministratori perché ne sono coinvolti quando gli amministratori compiono atti illeciti e
viene provato che hanno potuto comportarsi in mala fede perché è venuta meno l’attività
di vigilanza dei sindaci che sono quindi solidamente responsabili.
3) All'azione di responsabilità contro i sindaci si applicano, in quanto compatibili, le
disposizioni degli articoli 2393, 2393-bis, 2394, 2394-bis e 2395.
Collegio Sindacale- art. 2408 –Denunzia al Collegio Sindacale

Art. 2408– Denunzia al Collegio Sindacale
1) Ogni socio può denunziare i fatti che ritiene censurabili al collegio sindacale, il quale
deve tener conto della denunzia nella relazione all'assemblea → qualsiasi socio che viene
a conoscenza di un fatto censurabile deve riportarlo al CS.
2) Se la denunzia è fatta da tanti soci che rappresentino un ventesimo del capitale sociale o
un cinquantesimo nelle società che fanno ricorso al mercato del capitale di rischio, il
collegio sindacale deve indagare senza ritardo sui fatti denunziati e presentare le sue
conclusioni ed eventuali proposte all'assemblea; deve altresì, nelle ipotesi previste dal
secondo comma dell'articolo 2406, convocare l'assemblea. Lo statuto può prevedere per
la denunzia percentuali minori di partecipazione.
Collegio Sindacale- art. 2409 –Denunzia al Tribunale

Art. 2409– Denunzia al Tribunale
1) Se vi è fondato sospetto che gli amministratori, in violazione dei loro doveri, abbiano
compiuto gravi irregolarità nella gestione che possono arrecare danno alla società o a una
o più società controllate, i soci che rappresentano il decimo del capitale sociale o, nelle
società che fanno ricorso al mercato del capitale di rischio, il ventesimo del capitale sociale
possono denunziare i fatti al tribunale con ricorso notificato anche alla società. Lo statuto
può prevedere percentuali minori di partecipazione.
2) Il tribunale, sentiti in camera di consiglio gli amministratori e i sindaci, può ordinare
l'ispezione dell'amministrazione della società a spese dei soci richiedenti, subordinandola,
se del caso, alla prestazione di una cauzione. Il provvedimento è reclamabile.
3) Il tribunale non ordina l'ispezione e sospende per un periodo determinato il procedimento
se l'assemblea sostituisce gli amministratori e i sindaci con soggetti di adeguata
professionalità, che si attivano senza indugio per accertare se le violazioni sussistono e, in
caso positivo, per eliminarle, riferendo al tribunale sugli accertamenti e le attività compiute.
4) Se le violazioni denunziate sussistono ovvero se gli accertamenti e le attività compiute ai
sensi del terzo comma risultano insufficienti alla loro eliminazione, il tribunale può disporre
gli opportuni provvedimenti provvisori e convocare l'assemblea per le conseguenti
deliberazioni. Nei casi più gravi può revocare gli amministratori ed eventualmente anche i
sindaci e nominare un amministratore giudiziario, determinandone i poteri e la durata.
Tutti questi 4 commi per dire quando vi è un sospetto che ci sia la malafede i soci possono fare
denunzia al tribuale e se si arriva a questo vuol dire che i sindaci:
1. Non hanno svolto adeguatamente l’attività di vigilanza
2. Probabilmente, se i soci non han fatto denunzia ai sindaci, li hanno ritenuti coinvolti in
questa mala gesta o ne hanno già fatto denunzia ma non è stata data opportuna
risposta.
A questo punto interviene il tribunale che deve
1. Convocare l’assemblea
2. Fare ispezioni
3. Se ritiene può anche sostituire amministratori e sindaci con altri ritenuti
professionalmente adeguati
4. Se il tribunale ritiene che vi sia fondatezza in tutto ciò procede con sanzioni e anche
revoche.
60
Collegio Sindacale- art. 2409 –Denunzia al Tribunale
Art. 2409– Denunzia al Tribunale
5. L'amministratore giudiziario può proporre l'azione di responsabilità contro gli
amministratori e i sindaci. Si applica l'ultimo comma dell'articolo 2393;
6. Prima della scadenza del suo incarico l'amministratore giudiziario rende conto al
tribunale che lo ha nominato; convoca e presiede l'assemblea per la nomina dei nuovi
amministratori e sindaci o per proporre, se del caso, la messa in liquidazione della
società o la sua ammissione ad una procedura concorsuale;
7. I provvedimenti previsti da questo articolo possono essere adottati anche su richiesta
del collegio sindacale, del consiglio di sorveglianza o del comitato per il controllo sulla
gestione, nonché, nelle società che fanno ricorso al mercato del capitale di rischio, del
pubblico ministero; in questi casi le spese per l'ispezione sono a carico della società.
Il 2409 si conclude dicendo che, quando il tribunale lo ritiene necessario, può nominare un
amministratore giudiziario che sostanzialmente è un amministratore nominato per legge che si
occupa di mettere in atto tutte le azioni di responsabilità contro gli amministratori e i sindaci e
poi dovrà presiedere l’assemblea per nominare i componenti di organi sia del Cda che dei
sindaci.
Ciò che è importante però sono le disposizioni contenute nel comma 7 del 2409 che viene a
completamente, sottolineato che tutta la procedura di denunzia al tribunale che era partita
dai soci quando questi ritengono che vi sono fondate ragioni di mala gestio da parte di
amministratori. Questa denuncia può esser fatta dallo stesso collegio sindacale o dallo stesso
consiglio di sorveglianza o dal comitato per il controllo sulla gestione (questi due organi sono
presenti se le società hanno deciso di avvalersi degli altri due modelli di corporate governance)
e, se sono società quotate, dal pubblico ministero.
Fin qui abbiamo letto gli articoli del C.c. che regolano ex lege le caratteristiche (composizione,
ruoli, doveri, responsabilità …) del collegio sindacale. Non sono da sapere tutti a memoria ma
almeno le disposizioni importanti.
Domande possibili.
Da chi è composto collegio sindacale, quali sono i suoi doveri, quali le sue responsabilità
rimanda alle disposizioni del c.c. senza conoscere a memoria commi e sotto-commi ma almeno
le regole e le disposizioni principali.
61
Collegio Sindacale- Attore del SCI
Abbiamo analizzato l’origine storica del CS e tutti gli articoli del codice che definiscono le regole di
funzionamento del CS. Il CS è l’organo di controllo interno più importante nell’ordinamento italiano ed è
unico nell’ordinamento italiano.
Questa immagine mostra i rapporti che si instaurano tra gli attori del SCI. Abbiamo già visto questo schema
ma riprendiamolo in occasione dell’analisi del CS per comprendere come il CS si posiziona all’interno di
questo reticolo di organi di controllo. Il CS ha il ruolo di collettore e supervisore.
Il CS interagisce direttamente con internal Auditing, il CdA, il comitato per il controllo intero (creato
all’interno del CdA). Interagisce indirettamente con Amministratore delegato e altri preposti al controllo. Il
collegio sindacale quindi i sindaci hanno la possibilità di interagire e chiedere e svolgere al meglio la loro
attività che è un’attività di vigilanza interagendo in modo appropriato e opportuno con tutti i membri e i
soggetti del controllo interno.
Nel fare questo il CS può fare questo perché titolato, oltre che dalle disposizioni civilistiche, anche dallo
stesso TUF che dedica l’art. 149 dove si possono ravvisare delle similutidine in quanto molte disposizioni
sono le stesse del codice civile. Unica differenza è che gli articoli del codice sono molti e dettagliati invece il
TUF ha dedicato un solo articolo riassumendo il ruolo del CS.
Collegio Sindacale- Attori del SCI

Art. 149 TUF (D.Lgs 58/98
1. Il collegio sindacale vigila:
a) sull'osservanza della legge e dell'attocostitutivo;
b) sul rispetto dei principi di correttaamministrazione;
c) sull'adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di
controllo interno e del sistema amministrativo-contabile nonché sull'affidabilità di quest'ultimo nel
rappresentare correttamente i fatti di gestione;
c-bis) sulle modalità di concreta attuazione delle regole di governo societario previste da codici di
comportamento redatti da società di gestione di mercati regolamentati o da associazioni di categoria, cui
la società, mediante informativa al pubblico, dichiara diattenersi526;
d) sull'adeguatezza delle disposizioni impartite dalla società alle società controllate ai sensi dell’art.114,
comma2
2. I membri del collegio sindacale assistono alle assemblee ed alle riunioni del consiglio di amministrazione
62
e del comitato esecutivo. I sindaci, che non assistono senza giustificato motivo alle assemblee o,
durante un esercizio sociale, a due adunanze del consiglio d'amministrazione o del comitato esecutivo,
decadono dall'ufficio. → visto uguale nel CC circa la decadenza dei sindaci
3. Il collegio sindacale comunica senza indugio alla Consob le irregolarità riscontrate nell'attività di
vigilanza e trasmette i relativi verbali delle riunioni e degli accertamenti svolti e ogni altra utile
documentazione.
…omisissis…
Cosa evidenziamo di differenze?
1. Punto 1 dedicato alla funzione, dedicato all’attività di vigilanza, il tuf è sicuramente più preciso
perché la definizione di espletamento dell’attività di vigilanza da parte del CS è meglio definito e
meglio chiara nell’art. 149 del TUF al punto 1 perché sono ben dettagliati i singoli passaggi e le
osservazioni di riferimento. L’attività di vigilanza consiste nell’osservanza di leggi, atto
costitutivo, principi di corretta amministrazione, adeguatezza della struttura amministrativa,
sistema di controllo interno, sistema amminstrativo contabile.
2. il Collegio Sindacale deve vigilare attentamente sulla modalità concreta attuazione delle regole di
governo societario contenute nei codici → il CS è delegato all’attività di vigilanza che consiste
anche nella verifica del concreto e corretto recepimento delle disposizioni contenute nel codice
etico e di autodisciplina da parte delle quotate.
3. Art. 149 al terzo punto statuisce che in qualsiasi momento lo ritenga opportuno è tenuto a
comunicare le irregolarità, soprattutto gravi, che il CS ha riscontrato durante la sua attività di
vigilanza alla consob e quando comunica alla Consob può anche consegnare la documentazione
che ritiene idonea e i verbali delle riunioni che ha messo in atto
Non vi è dubbio che la definizione di ruoli e funzioni del CS statuite dal 149 sono sicuramente meno
giuridiche, più pratiche e più incentrate sulla definizione di cosa significa svolgere una concreta e corretta
attività di vigilanza.
Collegio Sindacale- Attore del SCI
1. Dovere di partecipare alle riunioni del CdA, invitato
a partecipare riunioni comitato esecutivo (e
Comitati), se esistenti;
2. Richiedere notizie agli amministratori sulle
operazioni sociali;
3. Procedere direttamente alla convocazione degli
organi societari (CdA, comitato esecutivo);
4. Supervisionare e coordinamento l’operato della
società di revisione;
5. Effettuare attività ispettive
Qui vediamo schematizzato il rapporto tra Cda, CS e AD. Le frecce vanno a sottolineare un rapporto
circolare. Infatti è un rapporto circolare e biunivoco in quanto il Cda interagisce interagisce riferendo o
chiedendo al Cs, viceversa il Cs nei confronti del Cda. Idem il rapporto tra Cs e AD. Ossia il CS può richiedere
informazioni all’AD ma viceversa AD può richiedere al CS. Poi questa diretta relazione biunivoca tra Cda e
AD. Ricordiamo che AD è un amministratore cioè un membro del Cda investito di poteri di esser colui che
ha la delega e funzione di tutto quel che riguarda il controllo interno. Da qui il motivo per cui è colui che
interagisce in primis con il collegio sindacale.
63
Collegio Sindacale- Ruolo Vigilanza sulla Gestione
Abbiamo cercato di capire, tramite il TUF, in cosa consiste questa attività di vigilanza e abbiamo visto che il
TUF è dettagliato, ma per meglio chiarire questo ruolo bisogna tener conto di alcune disposizioni giuridiche
che vanno a statuire che l’attività di vigilanza comunque non è un controllo di merito sulle scelte
gestionali.
Ruolo attivo di vigilanza sulla gestione

non è un controllo di merito sulle scelte gestionali – opportunità, convenienza – bensì un controllo di
legittimità sulle scelte: conformità ai criteri di razionalità economica, valutazione del rischio). → non può
non condividere delle scelte del Cda perché il merito delle scelte gestionali compete al Cda. Il suo è un
controllo di legittimità sulle scelte. L’unica cosa che può dire è che le scelte del Cda devono esser conforme ai
criteri etici, razionalità economica e valutazione del rischio.
Si realizza
—
Soprattutto:
dall’attiva collaborazione della direzione nel fornire informazioni adeguate esercitando anche, quando
necessario, moral suasion nell’esigere un continuo flusso delle info e chiedendo quando necessario il
miglioramento della qualità delle info stesse.[ business plan, budget, valutazione scostamenti, operazioni
rilevanti, andamento gestionale (continuità) , conflitti interesse, … ]
il ruolo proattivo del CS perché deve sollecitare il Cda, nei tempi utili, le informazioni che vengono
richieste e deve esser proattivo a sensibilizzare il Cda a fornire informazioni sempre migliori → sostenere
il miglioramento della qualità delle informazioni stesse. Quali sono queste informazioni?
- La documentazione che riguarda la programmazione di attività aziendale (BP, budget, valutazione

scostamenti, eventuali giustificazioni ..) il cda non può esimersi e deve consegnare tutta la
documentazione che il CS ritiene opportuno
Collegio Sindacale- Ruolo Vigilanza sulla Gestione

L’attività del CS non è improvvisata ma è tutta programmata e pianificata, come l’attività di revisione
esterna.
COMPRENSIONE IMPRESA
Pianificazione del ➢ SETTORE, NORMATIVA,
Lavoro e suddivisione dei compiti ➢ CARATTERISTICHE E QUADRO NORMATIVI
nell’ambito del CS ➢ OBIETTIVI, STRATEGIE, RISCHI
Valutazione del Sistema VALUTAZIONE ADEGUATEZZA STRUTTURA
Amministrativo e contabile
IL SISTEMA E’AFFIDABILE?
Test sulla sostanza Individuazione punti di forza e punti secondo
approccio risk based
Verbali Periodici, Suggerimenti SCAMBIO CONTINUO DI INFORMAZIONI TRA

Colloqui con direzione, Relazioni DIREZIONE E ORGANO DI VIGILANZA
La valutazione dell’adeguatezza della struttura vuol dire fare il test sulla sostanza che si concretizza con
valutazione dell’affidabilità o meno della struttura. Cioè relativamente alla struttura il CS va ad individuare i
punti di forza e debolezza sempre nel rispetto dell’approccio risk-based (stesso per i revisori legali dei
conti). Tutto questo da luogo a verbalizzazioni: i verbali sono periodici e in questi verbali vengono riportarti
tutti gli scambi di info con la direzione perche il CS interagisce con frequenza con tutti gli organi del board e
gli scambi di info vengono riportati nei verbali periodici. Il CS spesso è anche tenuto a produrre delle
relazioni:
64
- Dove esprime adeguatezza della struttura ma non solo. Anche questa è un’attività tipica del CS cioè
fare report e relazioni
Ora vediamo dal punto di vista aziendale, per ora ci siamo focalizzati sull’aspetto legale ma da un punto di
vista pratico cosa significa che il CS va a vigilare sull’assetto organizzativo? Significa suddividere in due sotto
sistemi.
Vigilanza sull’assetto organizzativo: che si divide in due sotto sistemi distinti ma contigui:
a) Assetto organizzativo generale

Assetto organizzativo generale: per poterlo monitorare al meglio il CS deve prima di tutto acquisire delle
conoscenze che sono in merito al:
1. Tipo di organizzazione (funzionale, divisionale etc..)

2. Esistenza di gerarchie di ruoli e funzioni
3. Comunicazione interna tra i vari soggetti dell’organizzazione è efficace o meno
4. Chi ha i poteri decisionali
5. Chi ha le deleghe e se tutto questo è efficace o meno
6. Obietittivi del Cda o figure apicali hanno deciso
7. Questi obiettivi sono stati condivisi e divulgati
8. Dal punto di vista pratico la vigilanza sull’assetto organizzativo di traduce in un presidio da parte del
CS sulla:
Presidia
• Redditività
• Valutazione del rischio
• Quote di mercato
• Compliance alle norme di Legge e regolamenti
• Qualità
• Soddisfazione del management – dipendenti
• Correttezza dell’informativa (in genere)
Il tutto avviene di solito facendo il Monitoraggio e valutazione delle variabili
- Struttura produttiva/operativa
- Valutazione e gestione del rischio management
- Sistema di compliance, sistemi di IT
- Risorse umane
- Capacità di adattamento, flessibilità
Capiamo perfettamente che tutti questi indicatori e ambiti di cui il CS deve conoscere molto bene servono
per esprimere un giudizio su assetto organizzativo generale
b) Assetto amministrativo contabile: per far si che il CS possa svolgere al meglio al sua attività di
vigilanza è necessario che conosca
Conoscenza e miglioramento struttura decisionale:
1. Procedure amministrative (conoscenza, valutazione affidabilità)
2. Organizzazione dei controlli interni
3. Analisi continua dei risultati
4. Processo di formazione del bilancio → stiamo valutando assetto amm-cont e tutto il processo
di formazione del bilancio è l’output più importante di tutto l’assetto organizzativo
Nel fare questo: il CS presidia
• Redditività
• Valutazione del rischio
65
• Compliance alle norme di Legge e regolamenti
• Correttezza dell’informativa interna ma in particolare esterna
• Veridicità e completezza dell’informativa economica e finanziaria (interna – esterna),
processo di bilancio
Il tutto avviene di solito facendo il Monitoraggio e valutazione delle variabili
- Definizione dei poteri autorizzativi ed operativi. Definizione ruoli, separazione delle funzioni
- Valutazione e gestione del rischio management
- Sistema di compliance, sistemi di IT
- Risorse umane
In questa lezione abbiamo visto in cosa consiste l’attività di vigilanza secondo il TUF e poi in cosa consiste
una vigilanza su assetto organizzativo da un punto di vista operativo. Da cui la divisione nei due sotto
sistemi:
- Assetto organizzativo in senso generale

- Assetto amministrativo di tipo contabile
66
Lezione su CS e Società di revisione. Infatti Cs e SR interagiscono e se siamo in questa situazione vuol dire
che ci troviamo in una società in cui il CS svolge solo la funzione di vigilanza e il controllo contabile è
lasciato in mano alla società di revisione. Nel definire i loro rapporti i due organi sono soliti definire tempi e
modalità: è sufficiente uno scambio per telefono, per iscritto servono meeting?
Rapporti tra Collegio Sindacale e Società di Revisione

Collegio Sindacale e società di revisione fissano i tempi e le modalità per lo scambio di informazioni
Solitamente incontri trimestrali verbalizzati aventi per oggetto:
1. Tutti quelli ritenuti rilevanti opportuni e utili per lo svolgimento dell’attività di vigilanza
2. Tutti quelli derivanti dalle specifiche verifiche della società di revisione in ordine:
a. all’osservanza della legge e dell’atto costitutivo;
b. alla struttura organizzativa e al controllo interno;
c. alla continuità aziendale;
d. al sistema amministrativo contabile;
e. alla regolare tenuta della contabilità e corretta rilevazione dei fatti di gestione
3. Tutte le comunicazioni e richieste scritte e verbali della società di revisione agli amministratori e
dirigenti → info che il CS può considerar utile e può chiedere informazioni a SR
4. L’esistenza di fatti censurabili rilevati dalla società di revisione → i fatti censurabili sono quelli per
cui il CS è titolato a farne comunicazione alla Consob
5. Le verifiche effettuate su operazioni con parti correlate e le considerazioni al riguardo → parti
correlati sono società con cui si intrattengono rapporti partecipativi (collegate, controllate…)
In occasione delle fasi conclusive di verifica del bilancio e della relazione semestrale la società di revisione
fornisce al collegio Sindacale:
1) Comunicazione del piano di revisione applicato alle procedure svolte;
2) Notizie riguardanti problematiche relative al bilancio e alla relazione semestrale
3) Informazioni sulle relazioni che intende emettere → sul giudizio che la SR prevede di emettere in
relazione alla relazione semestrale o al bilancio.
Al momento del rilascio delle relazioni la società di revisione deve rilasciare copia al collegio sindacale
NOMINA E REVOCA DELLA SOCIETA’ DIREVISIONE

Il Collegio Sindacale deve acquisire delle informazioni necessarie per esprimere il proprio parere
all’assemblea sul conferimento o sulla revoca dell’incarico alla società di revisione, verificando
l’indipendenza della società di revisione, l’idoneità tecnica all’espletamento dell’incarico. → il CS prima di
esprimere un giudizio deve aver acquisito tutte le informazioni idonee sulle competenza ma soprattutto
sull’indipendenza perché il compito del CS è proprio quello di verificare questa indipendenza. Cioè nessuna
figura apicale deve avere rapporti con la società di revisione.
SCAMBIO DI DATI E DI INFORMAZIONI
Collegio Sindacale e società di revisione si scambiano dati e informazioni rilevanti per
l’espletamento dei rispettivi compiti (art. 150 TUF)
Comunicazione CONSOB 1574 del 20 febbraio 1997 dove raccomanda che il Collegio Sindacale richieda alla
società di revisione tutte le informazioni utili per il controllo di propria competenza, con particolare
riferimento a quelle relative al funzionamento del SCI e amministrativo-contabile.
Il Collegio Sindacale comunica senza indugio alla Consob le irregolarità riscontrate nell’attività di vigilanza
(art. 149 TUF)
67
La società di revisione informa senza indugio la CONSOB ed il Collegio Sindacale dei fatti ritenuti censurabili
(art. 155 TUF)
Sono tre gli art. del TUF che disciplinano i rapporti tra CS e SR nello scambio di dati e informazioni:
- 149
- 150
- 155
Qui è il collegio sindacale che si rivolge alla società di revisione per chiedere le carte da lavoro: le carte da
lavoro cosa sono? La società di revisione per svolgere la revisione legale dei conti deve utilizzare le carte da
lavoro che sono sostanzialmente i documenti che attestano che sono state svolte le procedure da cui la
società di revisione ha rilevato gli elementi probativi di supporto alla revisione.
Il CS può chiederlo ma deve spiegare le motivazioni per cui sta chiedendo le carte da lavoro.
Richiesta carte di lavoro
COLLEGIO SINDACALE SOCIETA’ REVISIONE
La richiesta del Collegio Sindacale deve essere motivata
Il revisore informa per iscritto il Collegio Sindacale delle caratteristiche e dei limiti della revisione contabile
e di alcune richieste in merito alle modalità di acquisizione delle informazioni delle carte di lavoro.
➔ Risposta per iscritto quando la SR rileva dei limiti ovvero che non tutte le procedure di revisione non
possono esser svolte perché ci sono limiti o criticità
Il Collegio sindacale aderisce alle richieste del revisore
L’esame delle carte di lavoro del revisore da parte dei sindaci non sostituisce i controlli attribuiti al Collegio
Sindacale e non lo sollevano dalla sua responsabilità
SOCIETA’ DI REVISIONE CHIEDE AL COLLEGIO SINDACALE
Richiesta Informazioni
COLLEGIO SINDACALE SOCIETA’ REVISIONE
la richiesta di informazioni può riguardare:
1) Il piano delle attività ai fini della vigilanza prevista dall’art. 2409-sexies c.c.
2) I risultati delle verifiche sull’adeguatezza della struttura organizzativa, amministrativa, contabile e
del SCI
3) I risultati delle operazioni con parti correlate e alle transazioni rilevanti
4) Le eventuali denunce dei soci
5) I suggerimenti inoltrati alla Direzione e/o al Consiglio di Amministrazione
6) I risultati delle altre attività di controllo assegnate ai sindaci da leggi speciali
Gli incontri con il Collegio Sindacale vanno annotati nel libro della revisione con indicazione degli argomenti
trattati
Il CS e SR si possono incontrare, di solito si incontrano ogni 3 mesi, e il meeting viene annotto nel libro della
revisione e con un verbale dell’odg dove vengono riportati anche tutti gli argomenti trattati.
68
A completamento delle lezioni circa l’attività del collegio sindacale riportiamo questo schema
Obiettivi CoSO Report ed Organi Controllo
Più volte abbiamo sottolineato che, nel sistema italiano, esistono tanti attori cosiddetti attori del sistema di
controllo interno a sottolineare che sono molti gli organi che si occupano del SCI e sono elencati
nell’immagine. Tutti questi organi sono persone, risorse umane molto di qualità specializzata ovvero costi
rilevanti per la società.
Sappiamo che tutti questi sono soggetti del SCI e sappiamo che il SCI è regolamentato dal Coso framework
il quale, nonstante le varie edizioni, tutte condividono il riconoscimento dei tre obiettivi statuiti dal Coso
report che sono:
➢ Operation
➢ Reporting
➢ Compliance
Supponiamo di fare uno schema di sintesi di tutti gli attori del sistema di controllo interno e di vedere tutti
questi attori come partecipano e copartecipano alla realizzazione e conseguitmento degli obiettivi statuiti
dal Coso report. Come si legge questa immagine?
I colori definiscono i tipi di controllo:
➢ Nera abbiamo un controllo diretto→ cioè viene svolto direttamente dall’organo

➢ In bianco è un organo di supervisione che svolge quel tipo di controllo
➢ In verde attività di supporto
➢ In grigio attività di monitoraggio dei controlli in essere
69
Il Cda svolge un controllo diretto sia per l’economicità, che per il reporting che la compliance perché il Cda
nonostante la definizione del SCI è l’organo che riveste il ruolo più determinante perché è al Cda che
compete la funzione e il ruolo di definire e implementare il SCI.
Poi abbiamo il comitato per il controllo interno che con riferimento a tutti e 3 gli obiettivi svolge un’attività
di supporto al Cda, perché il Comitato è un organo designato internamente al Cda.
Il preposto al controllo svolge un’attività di controllo ma in termini di supervisione, quindi non

direttamente coinvolto ma è un supervisore con riferimento a tutti e tre gli obiettivi.
Il management è paragonabile allo stesso ruolo in termini di conseguimento degli obiettivi del Cda. Insieme
al Cda il management è l’unico di questi attori ad esser coinvolto direttamente per il conseguimento dei tre
obiettivi.
Il Collegio sindacale è un organo che svolge una funzione di supervisione per quanto riguarda l’obiettivo di
economicità e attendibilità. Invece per quanto riguarda il terzo obiettivo della compliace (conformità alla
legge) il CS svolge un controllo di tipo diretto perché l’attività del CS presuppone proprio l’osservazione e il
rispetto da parte della società dello Statuto e delle norme e quindi questo significa un’attività diretta sulla
compliance.
Il dirigente preposto svolge un’attività di supervisione (di controllo indiretto) per l’economicità ma svolge
con riferimento a reporting e compliance un’attività diretta.
La società di revisione il cui compito è il controllo contabile quindi svolge due controlli indiretto come
supervisore per economicità e compliance ma svolge un ruolo di controllo diretto per l’attendibilità che è
dedicata al reporting finanziario
Il controllo di gestione, che noi sappiamo esser un organo interno, si occupa di analisi costi, budget,
scostamenti quindi svolge un controllo diretto su economicità e indiretto su altri due
Risk officer da un contributo totalmente indiretto perché svolge per tutti e tre obiettivi solo attività di
revisione
Organismo di vilanza (vi è un doppione tra ruolo del CS e organismo di vigilanza 231/2001) perché
entrambi sono organi di supervisione per economicità e attendibilità, ma sono direttamente coinvolti per
obiettivo di compliance
Internal audit fa lavoro di monitoraggio di tutti i controlli in essere ed è l’unico ruolo che svolge questa
attività di monitoraggio in senso ampio su tutte le attività svolte da tutti gli altri organi di controllo.
L’immagine da una sintesi di tutti gli attori del SCI in riferimento agli obiettivi del Coso Report. Ora abbiamo
concluso di parlare del CS e la parte dedicata ai ruoli degli attori del controllo interno.
70
Il Ruolo del Revisore dei Conti nel SCIGR
ITALIA 315:
Dispone che il revisore comprenda l’impresa e il contesto in cui opera, incluso il suo controllo interno, in
misura sufficiente a identificare e valutare i rischi di errori significativi nel bilancio e per stabilire e svolgere
le procedure di revisione in risposta ai rischi identificati e valutati.
ISA Italia 315 riguarda l’attività preliminare del revisore dei conti, cioè quando si accinge a predisporre il piano
di revisione che deve contenere strategia e procedure di revisione.
Il revisore prima della stesura del piano di revisore deve comprendere caratteristiche di impesa e il contesto
in cui opera e per fare questo il revisore deve comprendere il SCI della società perché già in questa fase
preliminare delle imprese si fa già un’idea se una società è dotata di un buon SCI (deve trattarsi di un sistema
di controllo interno efficiente ed efficace inteso in senso pratico vuol dire capace di mappare, monitorare i
rischi ed errori significativi di bilancio).
il revisore deve conoscere le regole per l’informativa finanziaria. Deve capire caratteristiche di impresa per
quanto riguarda utilizzo principi contabili (redige bilancio OIC o IAS?). il primo riferimento che troviamo è il
riferimento al principio di revisione ISA Italia 315
Per definire il Rischio di Controllo, il revisore dovrà analizzare il SCI SENZA darne un giudizio ma
valutandone l’efficacia e l’efficienza al fine di determinare l’approccio di revisione (CONTROL o
SUBSTANTIVE) → Quindi saranno analizzate tutte le componenti
Il rischio di revisione è il rischio che il revisore arrivi a formulare un bilancio positivo relativamente ad un
bilancio di esercizio in cui ci sono errori. Il rischio di revisione è un rischio quindi molto delicato e tutti i
revisori cercano di analizzarlo al meglio. Il rischio di revisione si scompone in due sottorischi:
➢ Rischio di errori significativi
o Rischio intrinseco
o Rischio di controllo → altro riferimento al SCI. Il rischio di controllo è strettamente
connesso al SCI in quanto il revisore per quantificare il rischio di controllo deve analizzare il
SCI, non ne deve dare un giudizio ma solo valutare efficacia ed efficienza. Infatti una volta
che il revisore ha mappato il rischio di controllo deve fare un altro step: definire che
71
approccio dare alla revisione legale dei conti. Gli approcci sono due
▪ Control approach
▪ Substantive approach
Per stabilire che approccio utilizzare lo decide solo dopo aver valutato efficacia ed
efficienza del SCI che permette al revisore di valutare il rischio di controllo. → altro
riferimento per il revisore legale dei conti per il SCI:
➢ Rischio di individuazione
Le componenti del Coso Report sono fondamentali e ora le rivediamo: le componenti del Coso report le
abbiamo trovati in tutte le edizioni del coso report perché come ha detto uno dei più importanti studiosi
del SCI le componenti del Coso report sono componenti senza tempo a sottolineare che sono importanti e
lo saranno sempre.
AMBIENTE DI CONTROLLO
riguarda l’atteggiamento, la consapevolezza e le azioni della direzione e dei responsabili delle attività di
amministrazione in relazione al controllo interno dell’azienda
AZIONI:
Il revisore deve comprendere e valutare se la direzione abbia istaurato una cultura aziendale ispirata a
valori etici.
Quindi altro aspetto importante è il rapporto tra il revisore legale dei conti (RLC) e il SCI per quanto riguarda
le componenti del Coso report.
VALUTAZIONE DEL RISCHIO

Riguarda le modalità con cui la direzione identifica i rischi attinenti alla preparazione di un bilancio idoneo a
fornire una rappresentazione veritiera e corretta, in conformità al quadro normativo di riferimento
AZIONI:
IL REVISORE DEVE comprendere e valutare se l’impresa disponga di un processo finalizzato a:
(i) identificare i rischi connessi alle attività rilevanti per gli obiettivi di informativafinanziaria;
(ii) stimare la significatività dei rischi;
(iii) valutare la probabilità che si verifichino tali rischi;
(iv) decidere le azioni da intraprendere per fronteggiare tali rischi.
Nel caso in cui l’impresa NON abbia predisposto tale processo il revisore deve valutare se tale
situazione sia una carenza significativa.
Il ruolo del revisore anche qui è molto delicato
INFORMAZIONE E COMUNICAZIONE
riguarda il complesso delle componenti fisiche, software, persone, procedure e dati utilizzati per la
redazione del bilancio
AZIONI:
IL REVISORE DEVE comprendere le seguenti aree:
(i) le classi di operazioni rilevanti (nella gestione rispetto al bilancio)e quelle non rilevanti;
(ii) le procedure IT mediante le quali dette operazioni sono rilevate, registrate, elaborate, corrette e
trasferite in bilancio; → il processo informativo è sempre più digitalizzato quindi si parla di information
tecnlogies
(iii) il processo di predisposizione dell’informativa finanziaria;
(iv)i controlli su scritture contabili
quando ci si riferisce a questa componente del coso report il ruolo del revisore legale dei conti sarà
fortemente focalizzato sull’informativa contabile.
72
ATTIVITA’ DI CONTROLLO
Riguardano le direttive e le procedure istituite dall’impresa per garantire che le strategie definite della
direzione siano eseguite.
AZIONI:
IL REVISORE DEVE comprendere le attività di controllo al fine di valutare i rischi di errori significativi a livello
di asserzioni e per definire procedure di revisione conseguenti in risposta ai rischi identificati.
Vuol dire che la società ha implementato le attività di controllo, le attività di controllo hanno evidenziato
dei rischi e la società ha individuato la risposta dei rischi. Queste sono attività che il RLC deve mettere in
atto.
MONITORAGGIO
(è un controllo continuo che viene day by day cioè giorno dopo giorno)
riguarda la valutazione periodica dei controlli al fine di verificare il loro operato e il funzionamento di
eventuali modifiche introdotte a causa di variazioni nelle condizioni operative
per quanto riguarda il monitoraggio, poiché l’attività del RLC è un’attività di controllo contabile, con
specifico riferimento al monitoraggio il revisore sarà molto attento a vedere se l’attività ha implementato
un’attività di monitoraggio anche sul sistema di controllo interno per verificare se il tutto, relativamente
all’attività di informativa finanziaria, avvenga in modo preciso e corretto senza errori o altro.
AZIONI:
IL REVISORE DEVE comprendere le principali attività utilizzate dall’impresa per monitorare il controllo
interno sulla redazione dell’informativa finanziaria
Il revisore deve
1. capire se la società ha implementato questa componente del Coso report
2. cercare di capire le attività che la società ha definito e messo in atto per effettuare il monitoraggio
e fare un adeguato monitoraggio
3. sempre per il fatto che l’attività principale del RLC è esser focalizzato sul Controllo Contabile con
riferimento al monitoraggio il revisore sarà attento a vedere se la società ha implementato
un’attività di monitoraggio anche sul SCI per verificare che il tutto relativamente all’informativa
finanziaria avvenga in modo corretto senza errori.
Il ruolo che il revisore legale dei conti ha nel SCIGR sono

1. Ai sensi dell’ISA Italia 315 andare, in fase iniziale, a verificare se la società è dotata di SCI e se
questo è efficiente ed efficace.
2. Mappatura e rischio di revisione e l’analisi delle varie componenti del rischio deve prestare
controllo al rischio di controllo per cui vedere se la società ha SCI che funziona bene o no. A
seconda del giudizio sul SCI per il revisore vorrà dire che il rischio di controllo è alto o basso e quindi
decidere che approccio utilizzare nella revisione.
3. Analisi attenta dell’esistenza nella società delle 5 componenti del Coso report. Perché se verifica
esistenza delle 5 componenti vuol dire che la società ha recepito la struttura del SCI
73
Quando il revisore ritiene che dopo aver svolto tutte le sue analisi, indagini relative al SCI ed evince che ci
sono delle carenze (riferimento ad ISA italia 265) il revisore deve comportarsi in un certo modo.
Dall’esame del Sistema di Controllo Interno possono emergere CARENZE quando (rif. ISA Italia 265):
❑ un controllo è messo in atto, tuttavia non consente la prevenzione, l’individuazione e la correzione in

modo tempestivo di errori nel bilancio;
oppure
❑ non esiste un controllo atto a prevenire, individuare o correggere, in modo tempestivo, errori di
bilancio.
Una CARENZA sullo SCI risulta SIGNIFICATIVA quando, secondo il giudizio professionale del revisore, è
sufficientemente importante da essere portato all’attenzione dei responsabili dell’attività di Governance.

Il REVISORE DEVE comunicare in modo appropriato e tempestivo alla Governance aziendale le carenze sul
Sistema di Controllo Interno della società (rif. ISA Italia 265).
Quindi una volta che il revisore ha effettuato le sue analisi si possono evidenziare queste due situazioni
(vedi sopra):
1. Situazione di carenza del SCI. Vuol dire che comunque è carente ma il SCI c’è infatti l’ISA Italia dice
che il controllo è messo in atto ma non funziona in modo adeguato soprattutto nel prevenire,
individuare ed intervenire in modo veloce sugli errori di bilancio
2. La seconda carenza statuita dall’ISA Italia è peggiore perché in questo secondo caso la carenza è
molto grave in quanto il controllo non c’è
Noi abbiamo quindi due gradi di carenza una stop e una significativa. Sarà lo stesso revisore a cercare di
capire ed esprimere un giudizio in merito alla gravità della carenza in quanto una carenza sul sistema risulta
significativa quando secondo il giudizio professionale del revisore è sufficientemente importate da esser
portata all’attenzione del responsabile dell’attività di governance.
secondo il giudizio professionale → sottointende che è il revisore che a parere suo si prende la
responsabilità di definire se il SCI è carente e se è carente in modo significativo. Quindi al responsabilità e il
giudizio è solo suo personale. Anche perché se ritiene che sia una carenza significativa è obbligato a riferirlo
alla governance infatti il revisore deve comunicare in modo appropriato e tempestivo le carenze sul SCI, il
revisore è obbligato sempre ai sensi delle disposizioni statuite dall’ISA Italia 265.
Per cui per concludere sottolineiamo il ruolo importante che il RLC ha nei confronti del SCIGR in quando
deve valutarlo in tutti i modi:
➢ In fase iniziale
➢ In un secondo momento quando valuta il rischio di revisione e il rischio di controllo
➢ Valutare l’esistenza o meno dei 5 componenti del SCI ai sensi del Coso report
E una volta che ha completato queste tre aree di intervento del Revisore legale dei conti nei confronti del
SCI deve tirare le somme cioè prendersi la responsabilità di esprimere un giudizio e se un giudizio si orienta
verso un giudizio negativo vuol dire che ha riscontrato delle carenze allora è obbligato ad un passo
successivo ossia capire e definire se è una carenza significativa o meno. Se propende per carenza
significativa deve quanto prima comunicarlo alla governance.
74
CoSO ERM REPORT – Integrating with Strategy and Performance Versione 2017
Ultimo aggiornamento del Coso report. Nel 2017 la nostra commission ha deciso di produrre
una nuova versione che è stata pubblicata nel 2017 ma comunque i lavori erano iniziati tempo
prima. Ha deciso per una nuova versione perché i contesti e sistemi economici sono cambiati. Di
solito quando al commission decideva di aggiornare il Coso era a fronte di scandali perché gli sci
non erano più efficienti. Questa volta l’aggiornamento non è stato reso necessario dal voler
evitare nuove crisi ma piuttosto da esigenza di recepire un cambiamento culturale dei contesti
aziendali.
Il titolo del Coso report 2017 è significativo in quanto c’è l’essenza del nuovo aggiornamento.
1. La Treadway commission vuole portare avanti l’edizione del 2004 che è stata la prima
edizione del Coso report che ha introdotto e declinato l’enterprice risk management
(ERM). La commissione ha ritenuto che l’ERM era rimasta isolata al 2004 quindi sente
l’esigenza di aggiornare questa pratica. → per questo nel titolo si indica il ritorno
all’ERM.
2. Altra caratteristica è integrated cioè in questa edizione si va a delineare un SCI
integrato. Cioè il SCI è qualcosa di più evoluto perché è talmente evoluto secondo una
forma di sistema integrato con le strategie e le performance. L’integrazione con
strategia è come se fosse preliminare cioè ex ante. Ma questo nuovo Coso report è
integrato anche con la performance che è il risultato. È un’integrazione ex ante ed ex
post.
Con questa nuova edizione il Coso report ha voluto migliorare l’approccio alla gestione del
rischio. Quindi sostanzialmente con Coso report 2017 c’è un potenziamento dell’approccio alla
gestione del rischio per un’esigenza voluta dagli stakeholder che chiedono alle aziende di esser
brave a mappare i rischi e a definire le risposte ai rischi. Questo perché viviamo in contesti
globalizzati ma anche rischiosi. Vediamo anche come si sono evoluti i rischi infatti ci sono rischi
nuovi che prima non c’erano.
3. Un altro aspetto importante è che l’obiettivo non è quello di rincorrere il rischio ma di
prevenire il rischio perché c’è un integrazione con strategia e performance.
Nel 2017 il Committee of Sponsoring Organizations of the Treadway Commission ha pubblicato

un aggiornamento dell’ERM.
Con un nuovo titolo:
Enterprise Risk Management - Integrating with Strategy and Performance.
Il documento risponde all’evoluzione dell’ERM e alla necessità delle organizzazioni di migliorare

il proprio approccio alla gestione del rischio per rispondere adeguatamente alle richieste
sempre più impegnative degli stakeholders.
OBIETTIVO: prevenire, e non più «rincorrere», il rischio grazie alla considerazione della
Strategia (mission, vision e core values) in fase di individuazione del rischio.
l’ERM «non è una funzione o un dipartimento. È la cultura, le capacità e le politiche che

l’organizzazione integra nel processo di definizione e realizzazione della strategia, con lo scopo
di gestire il rischio creando, preservando e ricavando valore»
in queste quattro righe contenute nella pagine introduttiva del Coso report 2017 mostra come
la commission ha definito il Coso non come funzione o dipartimento ma qualcosa di più
evoluto: cultura e capacità che si integra con la strategia e il fine è arrivare a creare valore.
L’obiettivo finale dell’erm è supportare la società a creare valore
Non si limita ad un processo di semplice elencazione dei rischi che l’azienda incontra nello
svolgimento della sua attività. → evoluzione rispetto all’edizione del 2004 che è stato
interpretato come mappatura dei rischi che vuol dire in prims come un’elencazione dei rischi.
Rilevante è integrazione: «un processo di gestione del rischio integrato con i processi di business
aiuta le organizzazioni a prevedere i rischi o affrontarli in maniera più consona, identificare
opportunità nuove o perseguire in modo migliore quelle esistenti, rispondere a scostamenti
delle performance più velocemente e consistentemente, ottimizzare le risorse, migliorare la
collaborazione e condivisione delle informazioni, rafforzare la resilienza dell’impresa».
75
Queste sono tutte espressioni tradotte dal summary exevutive della pagine introduttiva del
framework. Già qui si respira un nuovo approccio, visione e considerazioni più allineate agli
attuali contesti.
L’aggiornamento del 2017
impone un cambio di filosofia
relativo ai controlli interni. Si
configura un ritorno al
concetto di ERM del 2004
(che altrimenti sarebbe
divenuta una versione a sé
stante)
Questa immagine è una freccia

all’interno di un anello. Che è
l’immagine che sintetizza
l’evoluzione del Coso report
2017. La freccia rivolta verso
destra sottolinea che si guarda
al futuro. Questa freccia
composta in tre parti:
➢ Mission visione e core
values
➢ Strategy and business Objectives
➢ Enhanced performance
Questi sono i 3 nuovi pilastri su cui si costruisce il nuovo ERM 2017.

L’anello è l’enterprice risk managemnt secondo la nuova versione che è formato da 5 anelli i
colori diversi ciascuno dei quali rappresenta le nuove componenti dell’ERM che riprendono la
base del Coso report. Ma sono tutte state riviste in base ai nuovi contesti. Queste sono:
➢ Risk Governance and Cultures
➢ Risk, Strategy an Objective-setting
➢ Risk in Execution
➢ Risk information, Communication and reporting
➢ Monitoring Enterprise Risk management perforance
Innanzitutto in ciascuna di queste 5 componenti troviamo il termine risk e altri termini che ci
ricorda che si tratta di un’evoluzione delle5 componenti basiche. Questo sottolinea che le 5
componenti del Coso report sono componenti senza tempo che si evolveranno e acquisiranno
nuove caratteristiche.
CoSO ERM 2004 vs. CoSO ERM 2017

Il nuovo paradigma: nel 1992
quando è apparso il primo Coso
report si parlava di SCI e basta. Con
Coso report (che ha introdotto per la
prima volta l’ERM) SCI evolve a
spporto della gestione del rischio
(SCIG). Secondo questa nuova
versione del 2017 siamo oltre e il
sistema è evoluto ed è integrato che
ha integrato la governance stesso.
Quindi il modo migliore per definirlo è l’acronimo GRC (Governance, Risk and Compliance)
Principali Novità:
➢ Adozione di una struttura di componenti e principi → ci sarà sempre perché le 5
componenti ci saranno sempre e i principi sono stati introdotti per la prima volta
nell’edizione del 2013 che ha portato all’introduzione del 17 principi. Il Coso 2017
riprende i 17 principi e li amplia (ne aggiunge nuovi) e li adatta.
➢ Semplificazione della definizione di ERM
➢ Enfasi sulla relazione tra rischio e valore
➢ Rinnovo focus sull’integrazione di ERM
➢ Miglioramento dell’allineamento tra performance ed ERM
➢ Chiarisce le aspettative in termini di governance e oversight
➢ Stimola un migliore reporting verso il board
76
Queste sono novità significative.
CoSO ERM 2017
Questa freccia è molto importante perché ci fa
capire l’evoluzione e l’aggiornamento apportato
dal Coso report ed ERM 2017.
Si tratta sempre di una freccia verso destra
(guardiamo al futuro) si tratta anche di tante
componenti che si intrecciano tra loro
(importante perché le componenti che si intrecciano mostrano che si tratta di un sistema
integrato). Poi abbiamo l 5 componenti che sono i pilastri del Coso report evolute in contesti
nuovi. Questo modo di integrarsi, (queste componenti che si integrano e si muovono) danno
l’impressione che ci sia qualcosa che si muove verso destra. Quindi ci deve esser maggior
flessibilità della struttura dei controlli.
Cioè superare la rigidità che troviamo nelle versioni precedenti per muoversi sempre più verso
una forma di flessibilità dei controlli.
Per poter comprendere le innovazioni apportate è fondamentale il riferimento alla struttura

ideata dalla commissione, come da figura seguente:
La nuova versione si caratterizza rispetto alla precedente versione per:
UNA MAGGIOR FLESSIBILITA’ DELLA STRUTTURA DEI CONTROLLI
Infatti, si può notare, anche solo graficamente, come la struttura del cubo sia stata sostituita con
una linea direzionale orientata al futuro composta da flussi decisionali che intersecano le varie
componenti al fine di perseguire il raggiungimento degli obiettivi che sono rimasti gli stessi.
Questa è una novità significativa. Dopo anni abbiamo lasciato il cubo che era l’immagine famosa
in tutto il mondo valida al 1992 al 2017 ha rappresentato la struttura del SCI. Sostituire il cubo
con questa freccia direzionale significa un momento di rottura importante. Questo significa che
il segnale da parte della commissione è importante perché i sistemi hanno imposto un certo
cambiamento.
CoSO ERM 2017- NOVITA’

L’Executive Summary del 2017 evidenzia i seguenti aspetti (items) caratterizzanti
l’aggiornamento
1) Fornisce una visione più approfondita del contributo dell’ERM nei processi di
definizione ed attuazione della strategia.
2) Coadiuva l'allineamento tra performance e ERM al fine di migliorare la definizione
degli obiettivi e la comprensione dell'impatto del rischio sulla performance.
3) Chiarisce le aspettative in termini di governance e supervisione: viene confermata
la tendenza verso l’integrazione in ottica di Governance, Risk & Culture (GRC) con
un controllo accentuato da parte della Governance. → GRC è il punto di arrivo di
questa edizione. Quella in grassetto è una novità importante perché in tutte le altre
edizioni il ruolo centrale come attore del SCI competeva al board. In questa nuove
edizioni invece l’attore principale è la governance nel suo complesso. Questa è una
logica conseguenza del fato che si tratta di un sistema integrato.
4) Riconosce la globalizzazione e la necessità di applicare un approccio comune.
5) Presenta nuove modalità di individuazione del rischio e di raggiungimento degli
obiettivi in un contesto di business sempre più complesso.
6) Incrementa l’attività di reporting con lo scopo di raggiungere le aspettative degli
stakeholder, anche con riguardo alla trasparenza.
7) Tiene conto dell’evoluzione tecnologica e della proliferazione dei dati a supporto
del processo decisionale.
8) Ricomprende definizioni, componenti e principi fondamentali per tutti i livelli di
gestione coinvolti nella
progettazione, implementazione e conduzione di pratiche previste dall’ERM.
77
L’Executive Summary → introduzione al framework che riporta i cambiamenti apportati.
Paper su e-learning in cui la Treadway commission ha pubblicato questa nuova versione.
In questa elencazione ci sono concetti molto importanti e di attualità. Ad esempio i

termini
➢ Glob

Lingua

Internal Audit Corso Completo

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Internal Audit Corso Completo

Caricato da

Copyright:

Formati disponibili

Internal Audit Sara Inzillo

«revisore», come la conosciamo oggi.

L’aspetto più importante per il controllo contabile si hanno negli USA

Gli anni a seguire comportano un’evoluzione dell’attività di controllo finalizzate a consolidare

IL CROLLO DI WALL STREET

SECURITIES EXCHANGE ACT (1934)

Nascita del doppio bianario: CONTROLLI ESTERNI + INTERNI

Nello stesso anno sarà istituita la SEC (securities Exchange Commission)

FCPA – Foreign Corrupt Practices Act (1977)

Posizionato lungo i lati della piramide l’altra componente denominata informazione e

Per cercare di implementare al meglio il sistema di controllo

IL CoSO REPORT (versione 1992)

ASPETTI SALIENI DEL COSO REPORT

3 obiettivi del sistema di controllo interno

CoSO REPORT: LA NOVITA’

- Incremento dell’economicità delle operazioni

fanno espresso richiamo ai contenuti del CoSO.

Il CoSO Report ha rappresentato un modello di riferimento di “AUTODISCIPLINA” su scala

L’importanza di questo codice è data dal fatto che:

Agency Problem → separazione tra proprietà e controllo

Sarbanes-Oxley Act (2002)

- Garantire la trasparenza delle scritture contabili;

Sarbanes-Oxley Act: Sec. 302 – CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS

Any such attestation shall not be the subject of a separate engagement.”

La Sec404 sintetizza i doveri in capo al management:

Fasi tipiche SOX

Mappatura Processi Risk Assessment Report & Informativa

Differenze CoSO report 1992 e SOX

CoSO ERM REPORT (versione 2004)

I motivi dell’aggiornamento del Framework:

CoSo ERM Report versione del2004

Il cubo viene pubblicato nella versione del CoSO nel 2004. È

Novità CoSo ERM-2004→ Sintesi delle novità

Nuova crisi Finanziaria- Nuovi standard per i controlli

Avvio Progetto di nuovo aggiornamento del CoSO Report

MOTIVI A SUPPORTO DELL’AGGIORNAMENTO:

CoSO Report 1992 CoSO Report 2013

Novità Rilevante: I 17Principi

I primi 17 costituiscono le regole di funzionamento, e contengono le specifiche disposizioni relative alle 5

17 PRINCIPI DEL CoSo REPORT

VALUTAZIONE DEI RISCHI (RISK ASSESSMENT)

Rischio Medio Rischio Elevato

ATTIVITA’ DI CONTROLLO (CONTROL ACTIVITIES)

I tre principi devono essere attuati in ogni livello gerarchico.

Sono attuate a tutti i livelli gerarchici e funzionali della struttura organizzativa

TIPOLOGIE di Control Activities

INFORMAZIONE E COMUNICAZIONE (INFORMATION & COMUNICATION)

MONITORAGGIO DEI CONTROLLI (MNITORING ACTIVITIES)

Come va letto lo schema?

Struttura della Governance secondoTUF

• Figure preposte al controllo

In sintesi il Codice di Autodisciplina durante il suo

a) L’ampliamento del coinvolgimento a vario titolo di

Edizione 2010 → nessuna Modifica per il SCI

Edizione 2014 → nessuna modifica per il SCI

Il codice di autodisciplina: GLI ATTORI DEL SISTEMA

7.C.2. Il comitato controllo e rischi, nell’assistere il consiglio di amministrazione:

Comitato Controllo e Rischi

Amministratore Incaricato del SCIGR

Il Codice di Autodisciplina (altro principio relativo ad internal audit)

Compliance (pronuncia complaians)

(documento originale stesso su pagine e-learning ma anche un documento importante scritto

Questo decreto recepisce alcune normative internazionali: