Sei sulla pagina 1di 4

IL SISTEMA DI CONTROLLO INTERNO

Il controllo interno è un processo continuo svolto dal cda, dai dirigenti e da altri operatori della
struttura aziendale con l’obiettivo di fornire una ragionevole garanzia circa l’efficacia e l’efficienza
delle operazioni aziendali, l’attendibilità delle informazioni contabili e gestionali, la salvaguardia
del patrimonio aziendale e il rispetto delle leggi e dei regolamenti.

Viene definito un “processo continuo” in quanto è un elemento che viene implementato all’interno
dei processi aziendali ed è esso stesso a sua volta un processo. I controlli sono inseriti in tutti i
processi, in quello di acquisto, piuttosto che in quello di vendita per ridurre il rischi di credito ecc.
Inoltre è importante che questo processo parta dall’alto, dal cda, il quale deve dimostrare sensibilità
verso questo argomento favorendo la presa di tale “buon esempio” da parte di tutti i collaboratori
aziendali. L’obiettivo ultimo del sistema di controllo interno è quello di fornire, circa il
raggiungimento degli obiettivi aziendali, una garanzia non assoluta perché non tutti i rischi sono del
tutto eliminabili, ma ragionevole, limitando al minimo i rischi con i dovuti controlli.
Tra gli obiettivi e i risultati dell’impresa si pongono, quindi, dei rischi ed è compito del sistema di
controlli interno quello di monitorarli, eliminarli o ridurli. L’impresa non può eliminare del tutto la
maggior parte dei rischi che corre, è però fondamentale che ne sia a conoscenza e che li sappia
gestire. Implementando un sistema di controlli, l’impresa può ridurre i rischi aziendali e portarli ad
un livello di rischio accettabile, ossia un rischio residuo che permane dopo aver posto in essere gli
adeguati controlli, non eliminabile perché per definizione l’impresa è un’attività rischiosa.
Un esempio di rischio che ogni impresa corre è il rischio di credito ossia il rischio che i creditori
non assolvano anche solo in parte il proprio obbligo di pagamento. Questo rischio è eliminabile nel
mercato b2c in cui i clienti effettuano il pagamento prima di ottenere il bene/servizio acquistato, nel
mercato b2b, al contrario, il rischio di credito non è del tutto eliminabile in quanto le prassi
commerciali non prevedono un pagamento immediato o anticipato ma dilazionato a 30-60-90
giorni. Il rischio di credito può, però, essere ridotto applicando qualche passaggio prima di accettare
l’ordine, ovvero: verificare l’esistenza del cliente in camera di commercio evitando così frodi e
analizzare il bilancio per capire l’andamento e l’eventuale loro capacità di ripagare i debiti contratti
e decidere, successivamente in base a queste fasi preliminari, se evadere l’ordine o meno.

• Uno degli obiettivi del sistema di controlli interno è quello, attraverso l’implementazione di
controlli, di ridurre il più possibile i rischi aziendali al fine di raggiungere una combinazione
ottimale tra efficacia ed efficienza. Il perseguimento di uno solo dei due non basterebbe all’impresa
per sopravvivere, si ritroverebbe o a non raggiungere gli obiettivi prefissati, o ad impiegare una
spropositata quantità di risorse ed in entrambe i casi si rivelerebbe improduttivo operare sul
mercato. Per un’attività d’impresa è vitale riuscire a raggiungere gli obiettivi perseguendo il
principio dell’efficacia ma senza mai perdere di vista anche il principio dell’efficienza, ossia il
rapporto input/output, il quale prevede la minimizzazione delle risorse impiegate, degli sprechi, la
riduzione dei costi.
• Il secondo obiettivo è quello di assicurare che i processi amministrativi siano svolti correttamente
e permettano di redigere un bilancio e altri documenti societari affidabili al fine di produrre ed
esternalizzare informazioni veritiere e corrette. I revisori, prima di procedere alla valutazione del
bilancio, si accertano che il sistema di controllo interno funzioni in tutte le sue fasi in modo da
prevedere il grado di attendibilità delle informazioni dai processi amministrativi prodotte.
• Un ulteriore obiettivo riguarda la salvaguardia del patrimonio aziendale: il sistema di controllo
interno deve prevedere misure in grado di contrastare ed evitare comportamenti illeciti quali frodi,
furti o danni di qualunque genere che possano recare danno all’impresa. E’ necessario che le misure
adottate non comportino costi che superino i benefici.
• In ultimo, i controlli verificano che vengano rispettate le norme e i regolamenti emenati da
soggetti esterni l’impresa quali per esempio lo Stato, gli enti locali.
LE COMPONENTI DEL SISTEMA DI CONTROLLO INTERNO
secondo IL COSO REPORT

Il Coso Report è un documento redatto da una commissione


indipendente degli Stati Uniti la quale ha identificato gli
elementi componenti il sistema di controllo interno, in
particolare i principi per redigerlo in maniera corretta, efficace
ed efficiente. Il Coso Report è diventato il riferimento
internazionale assoluto per verificare la corretta
implementazione di un sistema di controllo.
Le cinque componenti si articolano in: ambiente di controllo,
identificazione e valutazione dei rischi, attività di controllo,
informazione e comunicazione, monitoraggio.

1) Per ambiente di controllo, alla base della piramide dei componenti, si intende la cultura circa il
controllo che si sviluppa all’interno dell’organizzazione e dipende sia dalla tipologia di attività che
dai valori etici che vengono seguiti dall’impresa. È’ di basilare importanza che ogni impresa adotti
un codice etico atto a ispirare tutti i collaboratori al rispetto delle norme etiche adottate.
Inoltre, l’impresa si deve adoperare di una struttura organizzativa adeguata, provvista sia di
sistema informativo atto a verificare che i processi si svolgano nella maniera corretta e
che i rischi aziendali siano riportati ad un livello di rischio accettabile, sia di una precisa
attribuzione dei ruoli il più possibile ripartiti. Il sistema informativo è quindi un processo operativo
che svolge un ruolo essenziale nell’ambiente di controllo.

2) Il secondo componente consiste nella valutazione dei rischi. I rischi devono essere attentamente
individuati e valutati attraverso operazioni di risk assessment per poi essere successivamente gestiti
con operazioni di risk management. Partendo dal presupposto che non sia possibile eliminare tutti i
rischi potenziali, l’obiettivo dell’impresa dev’essere quello di ridurli ad un livello di rischio residuo
ritenuto accettabile inserendo controlli previsti dal sistema di controlli interno. I rischi possono
essere interni come quelli derivanti dai comportamenti umani, dalla comunicazione, dal
monitoraggio oppure esterni come la concorrenza, gli eventi naturali, i fattori politico-sociali. Non
tutti i rischi hanno la stessa probabilità di accadere ma è comunque importante che siano tutti
valutati e che l’impresa abbia un piano da seguire nel caso in cui si verificassero.
Per quanto riguarda la gestione del rischio vi sono due opzioni da seguire: si può optare per il
trasferimento del rischio a terzi con le relative conseguenze economiche oppure si può scegliere di
agire sulle sue origini. In quest’ultimo caso, l’impresa può adottare una tra le diverse strategie
attuabili: se possibile, può cercare di eliminare la causa del rischio, altrimenti qualora non sia
possibile, può operarsi per ridurre la probabilità che il rischio si verifichi, piuttosto che contenere
l’entità del danno o neutralizzarlo. Le ultime tre opzioni sono le più applicabili rispetto alla prima al
contrario raramente effettuabile. Il trasferimento ai terzi del rischio, invece, permette di renderne
l’impresa del tutto esente ma comporta un costo coincidente con il minor beneficio che ne trarrebbe
se il rischio non lo esternalizzasse e se non si verificasse: per esempio, il costo che l’impresa
dovrebbe supportare se esternalizzasse un credito tramite factoring pro soluto, sarebbe pari alla
differenza tra il credito eventualmente incassato dal factor e l’importo ottenuto dal cedente,per la
sua cessione.
Ne è un esempio la gestione del rischio di credito: i controlli che l’impresa può porre in essere per
ridurlo sono la verifica dell’esistenza dei clienti in camera di commercio e la verifica della loro
reale capacità di saldare i debiti analizzando i loro bilanci. Così il rischio di credito sarebbe
notevolmente ridotto, eliminarlo comporterebbe in aggiunta la richiesta di un anticipo o del
pagamento totale anticipato ma in questi casi gli ulteriori controlli sarebbero inopportuni in quanto
il loro costo, coincidente con il mancato guadagno derivante dal calo degli ordini, sarebbe superiore
al beneficio da loro portato e la continuità aziendale verrebbe compromessa.

3) Il terzo componente è l’attività di controllo ovvero il tassello attuativo del sistema di controllo
interno. L’attività di controllo è l’insieme delle politiche e delle procedure che devono essere attuate
per consentire l’applicazione delle direttive del management finalizzate alla riduzione dei rischi
connessi al raggiungimento, con una ragionevole sicurezza, degli obiettivi prefissati.

4) Il quarto componente è rappresentato dalla informazioni e comunicazioni. Le caratteristiche che


devono adottare secondo il coso report sono la tempestiva disponibilità e la trasversalità. Ciò
significa che le informazioni devono essere disponibili in maniera rapida a chi le necessità per
assolvere le proprie responsabilità in tema di controllo interno. Inoltre devono essere trasversali,
ovvero efficaci sia verso il basso che verso l’alto ma anche trasversalmente nei confronti di tutti gli
stakeholders aziendali.

5) La quinta componente è il monitoraggio, ovvero un controllo sul sistema di controllo stesso il


quale per poter correttamente funzionare, nel corso del tempo deve essere sottoposto a forme di
controllo. Attraverso il suo monitoraggio è possibile verificare la qualità delle performance nel
tempo mettendo in condizione il management di introdurre gli eventuali aggiustamenti e modifiche
in funzione dei cambiamenti richiesti dal contesto competitivo. Questo compito è solitamente
affidato, nelle società quotate, all’internal auditing.

IL RAPPORTO COSTI/BENEFICI

La relazione che unisce il rischio, il controllo e il costo


del controllo è la seguente: ad un elevato livello di
controllo il rischio scende ma il relativo costo sale. Da
questo rapporto si evince come l’implementazione di
controlli riduca il livello di rischio e rechi benefici fino
ad un punto definito “punto di ottimo” in cui le curve
del rischio e del costo si intersecano. Nelle parte
antecedente il punto di ottimo ogni aumento di
controllo arreca benefici superiori ai costi, ma nella
parte successiva ogni ulteriore aumento di controllo
comporterebbe dei costi più che proporzionali ai
benefici ottenuti. L’impresa deve quindi cercare di
raggiungere tale punto senza mai oltrepassarlo in
quanto gli eccedenti controlli risulterebbero
antieconomici. Per esempio l’internal auditing, organo
societario che svolge i controlli sui processi, sarebbe utile a qualunque tipo di impresa ma sarebbe
antieconomico per quelle di piccola/media dimensione in quanto il suo costo supererebbe di gran
lunga i benefici da lui portati.
I PROCESSI AZIENDALI

I processi aziendali consistono in un’insieme di attività che trasformano gli input iniziali in output
destinati o al mercato o all’interno dell’organizzazione. In base all’input e alle attività del processo
si distinguono diverse tipologie di cicli aziendali: il ciclo attivo che parte con la ricezione di un
ordine e si conclude con l’invio della merce o la prestazione del servizio, il ciclo passivo che al
contrario riguarda l’acquisto delle materie prime necessarie per l’attività dell’impresa, il ciclo del
personale per reclutare collaboratori, il ciclo finanziamenti e il ciclo investimenti.
Tra le attività centrali nei processi si inseriscono i controlli, come quello svolti nel ciclo attivo per
verificare la solvibilità dei clienti, piuttosto che la verifica di disponibilità di prodotti in magazzino.
I processi attraversano i confini organizzativi quindi sono trasversali rispetto alle aree funzionali.
In rapporto ai diversi livelli aziendali si distinguono i processi operativi, gestionali e direzionali.
I processi operativi sono quelli che riguardano direttamente la creazione dei prodotti o dei servizi e
che, più di altri, forniscono direttamente valore aggiunto al prodotto/servizio. Nei processi
gestionali sono prevalenti le decisioni strategiche e semi-strutturate, assunte in base a regole solo in
parte predeterminate. I processi direzionali sono tipicamente caratterizzati da decisioni non
strutturate, monitorano le performances, gestiscono le informazioni e decidono le sorti dell’impresa.

Per rilevare i processi aziendali è necessario effettuare una serie di passaggi. Innanzitutto si verifica
l’esistenza di mansionari di processo, ovvero manuali che indicano dettagliatamente come svolgere
le attività per ottenere un determinato risultato. Nel caso in cui vi siano mansionari, si procede alla
verifica della loro effettiva applicazione in quanto talvolta capita che non siano rispettati dagli
addetti ai processi. Al contrario, in caso di assenza di mansionari, i processi devono essere
ricostruiti tramite interviste ai diversi addetti al fine di comporre le diverse attività costituenti. In
ultimo, dalle interviste e dai questionari predisposti si conclude con la sintetizzazione del processo,
una descrizione analitica di tutte le sue fasi principali, in cui si indica come si svolge il processo,
quali siano i controlli da implementarvi per monitorare il suo corretto svolgimento e la divisione
delle mansioni.
E’ fondamentale provvedere alla rappresentazione grafica dei processi predisponendo dei flow-chart
i quali consentono di metterli in luce in maniera più immediata, efficace e di semplice
comprensione. I grafici dei flow-chart pongono in evidenza numerosi elementi fondamentali: gli
uffici che partecipano al processo, le persone coinvolte, le attività che lo compongono, il numero
dei documenti da creare e la sequenza dettagliata delle singole operazioni.
Al termine della predisposizione dei mansionari e dei flow-chart si procede all’individuazione degli
eventuali controlli da implementare su tali processi ne caso in cui quelli già presenti non siano
sufficienti a ridurre i rischi ad un livello accettabile.

Potrebbero piacerti anche