Il sistema di controllo interno 1.

1.1. INTRODUZIONE: IL SISTEMA DI CONTROLLO INTERNO PER LE IMPRESE

QUOTATE E LA CORPORATE GOVERNANCE1

Il presente capitolo intende analizzare le caratteristiche e le finalità del sistema di

controllo interno delle imprese, prendendo in esame in particolare quelle quotate.
Esse, infatti, presentano normalmente una serie di specifiche caratteristiche orga-
nizzativo-strutturali interne e sono soggette ad un “impianto normativo” molto
più articolato, che richiede il rispetto di determinati requisiti formali e sostanziali.
Ciò non vuol dire, tuttavia, che i riferimenti metodologici e regolatori più appresso
specificati - e rilevati da quanto di più aggiornato esiste in materia di controlli in-
terni - non debbano costituire un indirizzo e un momento di meditazione anche
per le società non quotate.
Le norme di legge introdotte nel tempo (si vedano ad esempio il codice civile e le
riforme sul diritto societario, il Testo Unico della Finanza, il D.Lgs. 231/2001,
nonché le norme in materia di revisione legale dei conti, il codice di autodisciplina
per le società quotate, i regolamenti delle autorità di vigilanza, ecc.) hanno posto
una grande attenzione sugli organi aziendali di gestione e controllo ed hanno con-
tribuito ad allineare il quadro normativo italiano alle best practices internazionali in
materia.
A questo proposito, nel dicembre del 2011 il comitato per la corporate governance
ha emanato la nuova versione del codice di autodisciplina, il quale ha inserito di-
verse novità soprattutto in materia di governance e sistemi di controllo.
Diversi sono pertanto gli “enti istituzionali” che si inseriscono nella governance a-
ziendale, quali ad esempio il consiglio di amministrazione, il comitato controllo e
rischi, il dirigente preposto alla redazione dei documenti contabili societari, il col-
legio sindacale, la società di revisione legale, l’organismo di vigilanza, il responsabi-
le della funzione di Internal Audit, la stessa funzione di Internal Audit ecc., che
pur avendo naturalmente compiti, ruoli e funzioni profondamente diversi, sono
tutti intimamente connessi con il disegno, la progettazione, la verifica e il monito-
raggio del sistema di controllo interno.
Come si vedrà nei successivi paragrafi, il sistema di controllo interno è lo strumen-
to indispensabile per raggiungere gli obiettivi aziendali (operando costantemente in
condizioni di efficacia ed efficienza) ed evitare contestualmente sprechi di risorse,
salvaguardare il patrimonio aziendale (considerando ad esempio la sottrazione o la
distruzione di beni aziendali, anche intangible), produrre informazioni contabili e

1 Il presente capitolo, pur essendo il frutto di un lavoro congiunto tra gli Autori, è idealmente
attribuibile a Pierantonio Piana, ad eccezione del par. 1.2.4 che è stato redatto da Flavio
Servato.

IPSOA – La valutazione del sistema di controllo interno 3

1. Il sistema di controllo interno

gestionali affidabili, rispettare le strategie, le politiche e le procedure aziendali e so-

prattutto garantire al conformità alle norme di legge e regolamentari.
Specialmente nell’attuale contesto economico, caratterizzato da instabilità e crisi, le
imprese devono adottare dei sistemi di controllo in grado di garantire la “buona ge-
stione aziendale”, operando sempre nel rispetto dei principi di etica e trasparenza e
provvedendo costantemente all’analisi e alla gestione dei principali rischi aziendali.
Bisogna ricordare, infatti, che le imprese sono dei sistemi per loro natura “com-
plessi” in cui i valori aziendali devono essere chiaramente identificati e trasmessi
dal top management a tutta la struttura aziendale: sarà proprio il Vertice Aziendale
(a cominciare dal consiglio di amministrazione e dall’amministratore delegato) che
con il suo comportamento potrà creare (oppure non creare) una vera e propria cul-
tura dell’etica, della trasparenza e del controllo, che se correttamente recepita ed assimila-
ta da tutta la struttura aziendale consentirà il reale successo del sistema di controllo
interno adottato.
Solo in questo modo l’impresa sarà in grado di contribuire attivamente al suo mi-
glioramento e potrà generare una vera e propria “creazione di valore”, orientata
non solo agli shareholders, ma anche a tutti gli stakeholders aziendali.
Nel corso del presente capitolo verranno analizzate le principali caratteristiche del
sistema di controllo interno, approfondendo in particolare i contenuti e le metodo-
logie per la sua realizzazione, oltre agli obiettivi e alle componenti del sistema. In
seguito saranno illustrati i vari “attori” della governance (anche alla luce delle re-
centi novità in merito) che sono coinvolti nella progettazione, verifica e monito-
raggio del sistema di controllo interno e di gestione dei rischi, per poi affrontare il
ruolo della funzione di Internal Audit, che è di fatto il “garante” dell’affidabilità del
sistema ed agisce come un vero e proprio “cardine” nei confronti dei diversi attori
aziendali.

1.2. IL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI,

CONTENUTI E METODOLOGIE PER LA SUA “COSTRUZIONE”

1.2.1 L’approccio Governance, Risk & Control (GRC) quale presupposto

fondamentale del sistema di controllo interno e di gestione dei rischi
Riprendendo la definizione riportata nel codice di autodisciplina delle società quo-
tate emanato nel dicembre 2011 (art. 7.P.1), il sistema di controllo interno è definito
come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire
l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi”. Sempre nel-
lo stesso articolo, il codice inoltre sottolinea rispetto alle versioni precedenti che
“tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati
dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices in am-
bito nazionale ed internazionale”.

4 IPSOA – La valutazione del sistema di controllo interno

 Il sistema di controllo interno 1.

Appare pertanto di fondamentale importanza analizzare le varie componenti del

sistema; si evince infatti che, al fine di pervenire all’aurea aspettativa di una condu-
zione dell’impresa funzionale agli obiettivi di business e rispettosa delle regole in-
terne ed esterne all’azienda (quali ad esempio le leggi dello Stato), i fondamentali
concetti introdotti e sottolineati da Borsa Italiana in tema di controllo interno sono
sostanzialmente:
• la presenza di un sistema organico che detti le regole dei comportamenti di chi opera
in azienda;
• l’esigenza di svolgere una pervasiva e strutturata analisi dei rischi di controllo, così
come chiaramente ribadito anche dal nuovo codice di autodisciplina;
• l’esistenza di una struttura organizzativa aziendale che svolga adeguati controlli affinché
tali regole siano rispettate.
• la progettazione – come emerge anche dal nuovo codice di autodisciplina – di
sistemi di controllo interni sempre più integrati.
La suddetta sequenza di passi logici è denominato, dalla dottrina e dalle metodolo-
gie applicate nell’impresa, Governance, Risk & Control, dove per GRC (Tavola 1.1) si
può intendere:
• un’idea di governo d’impresa, in quanto l’approccio del GRC può essere realizzato
solo se il Vertice Aziendale ed il management hanno ben chiara e condividono
l’impostazione fondamentale che l’impresa va gestita passando attraverso un
buon sistema di controllo interno, dove devono essere presenti regole, mezzi
ed organizzazione, dove vanno prefigurate, valutate e gestite per tempo le mi-
nacce e dove esistono enti e strutture dedicate a verificare con piena autonomia
e professionalità il rispetto delle suddette regole (es. Internal Audit);
• un percorso logico e strutturato, in quanto l’azienda deve porre in essere le singole
componenti del GRC secondo una sequenza che sia compatibile con le aspetta-
tive e con l’ottimizzazione del risultato finale (definizione delle regole “del buon
governo”, analisi dei rischi ed impostazione dei meccanismi di controllo periodi-
co);
• un framework informatizzato, in quanto, per dare concretezza al GRC, è utile, se
non indispensabile, disporre di uno strumento integrato in grado di gestire tut-
to il processo logico che sarà descritto nel corso del presente volume.

IPSOA – La valutazione del sistema di controllo interno 5

1. Il sistema di controllo interno

Tavola 1.1 - Il circuito virtuoso dell’approccio governance, risk and control

(GRC)

In altre parole, un buon sistema di controllo interno non può prescindere dalla
presenza organizzata di componenti “soft” (uno stile di direzione positivo verso un
approccio etico al business che deve permeare il modo di essere in azienda sia del
Vertice Aziendale e del Management e sia del personale operativo interno e del
personale esterno che svolge compiti per conto della società) e di componenti
“hard” (organizzazione operativa e di controllo, procedure, strumenti di previsione
e di valutazione, mezzi informatici ecc.).
Viene sottolineato, altresì, che la qualità del sistema di controllo interno migliora se
viene svolta una periodica e strutturata risk analysis in grado di mettere in luce or-
ganicamente e fronteggiare preventivamente le minacce di natura strategica, opera-
tiva e di compliance legislativa che incombono sul cammino d’impresa e sulle sue di-
fese, minacce che lo stesso sistema di controllo interno non è in grado di contra-
stare. In senso lato, estendendo i principi del Codice, è auspicabile un’opera di
prevenzione (l’agire prima), piuttosto che rincorrere gli eventi negativi quando que-
sti si sono già manifestati (l’agire dopo).
Appare evidente che, oltre a quanto detto sinora, tra i vari output dell’analisi dei ri-
schi si può annoverare anche quello di fornire precise indicazioni circa l’ottimale
dimensionamento, organizzazione e costo del sistema di controllo interno: va ri-
cordato, infatti, che il sistema di controllo interno deve essere dimensionato in re-
lazione alle effettive minacce di business, di mercato, di contesto, legislative e giu-
slavoristiche ecc. e non può essere sproporzionato (per difetto o per ecces-

6 IPSOA – La valutazione del sistema di controllo interno

 Il sistema di controllo interno 1.

so)rispetto all’impatto negativo che le minacce stesse potrebbero comportare per

gli obiettivi d’impresa.
Ciò premesso, si può concludere che l’approccio GRC (Tavola 1.2) rappresenta il
“cuore” del buon governo d’impresa, in quanto è in grado di supportare e “compatibiliz-
zare” le seguenti variabili fondamentali:
• definizione degli obiettivi d’impresa (es.: meccanismi di definizione, valutazione e
convalida degli obiettivi economico, finanziari e patrimoniali, di mercato, di
qualità del servizio/prodotto, di customer satisfaction, di clima interno ecc);
• elaborazione di un modello strategico di business, correlato alle strategie definite, in
termini di organizzazione, tecnologie ecc.;
• elaborazione di un modello di controllo, compatibile con il modello di business, in
termini di strumenti di previsione e controllo, policy, procedure, mezzi infor-
matici ecc.
Tavola 1.2 - GRC compatibilizza le variabili fondamentali dell’impresa

1.2.2 Gli obiettivi e le componenti del sistema di controllo interno e di gestione

dei rischi
Riprendendo i concetti del punto precedente a proposito del GRC, l’elaborazione
di un sistema di controllo, compatibile con le regole del buon governo e con il
modello di business aziendale, deve essere costruito tenendo conto degli obiettivi
fondamentali del sistema stesso, da cui derivano le sue componenti.

IPSOA – La valutazione del sistema di controllo interno 7

1. Il sistema di controllo interno

Gli obiettivi del sistema di controllo interno

Quali sono le aspettative che il board, il management e gli enti istituzionali si at-
tendono dal Sistema di controllo interno? Ebbene, gli obiettivi che il sistema di
controllo interno comporta sono sostanzialmente legati alla garanzia di condizioni
di economicità, con prospettive di duraturo sviluppo dell’impresa nel tempo. In
particolare, ci si riferisce alle aspettative qui appresso delineate2:
• rispetto delle Leggi dello Stato; la primaria esigenza del sistema di controllo mira ad
evitare che l’impresa ed il management risentano di comportamenti non corret-
ti da parte di quei soggetti, apicali e non, che per vari motivi, personali o azien-
dali, commettano dei reati previsti dalle ormai numerose disposizioni in tema di
corporate governance (ad es.: D.Lgs. 231/2001, Legge 262/2005 ecc.);
• rispetto delle strategie, delle politiche e delle procedure, qui il sistema di controllo, oltre a
prevedere un’adeguata presenza e diffusione del quadro dispositivo aziendale,
deve ricomprendere quelle attività atte a verificare il rispetto dei disposti strate-
gici, delle deleghe assegnate e delle regole operativo/tattiche. Ciò con la finalità
di garantire sia la comunicazione ed il rispetto delle indicazioni vitali per
l’impresa (ad evitare che la struttura non rispetti le decisioni di Vertice con pe-
santi impatti sui risultati) e sia la conoscenza ed il rispetto delle regole gestionali
ed operative che indicano il “modus operandi” nelle varie attività aziendali (ad
evitare che chi opera, per ignoranza, o per volontà adotti modalità di lavoro di-
verse da quelle indicate, con possibili pesanti impatti sulla redditività della ge-
stione);
• tutela del patrimonio; il sistema di controllo, nella fattispecie, deve garantire la tu-
tela di tutti beni aziendali e di ogni tipologia e caratteristica. In particolare ci si
riferisce alla protezione del patrimonio materiale (beni materiali, attrezzature, da-
naro, strumenti ecc.), del patrimonio immateriale (dati, know-how, brevetti, studi e
ricerche, informazioni riservate ecc.) e del patrimonio umano (con riferimento ad
esempio alla sicurezza nei luoghi di lavoro);
• affidabilità delle informazioni contabili e gestionali, ovvero la presenza dei controlli le-
gati alla bontà e qualità sia dei dati contabili, ai fini della certificazione del bilancio,

2 Per approfondimenti sul sistema di controllo interno si veda tra tutti: G. D’Onza, Il sistema di
controllo interno nella prospettiva del risk management, Giuffrè, 2008; Price Waterhouse Coopers (a
cura di), Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali,
Il Sole 24 Ore, 2006; L. Marchi, Revisione aziendale e sistemi di controllo interno, Giuffrè, 2008; F.
Massari, Corporate governance e sistema di controllo interno in realtà aziendali complesse, Cacucci, 2010; V.
Cantino, Corporate governance, misurazione della performance e compliance del sistema di controllo interno,
Giuffrè, 2007; M. Pierotti, Il sistema di controllo integrato. Esigenze strategiche delle moderne realtà
aziendali, Giuffrè, 2008; S. Beretta, N. Pecchiari, Analisi e valutazione del sistema di controllo interno.
Metodi e tecniche, Il Sole 24 Ore, 2007.

8 IPSOA – La valutazione del sistema di controllo interno

 Il sistema di controllo interno 1.

nonché della trasparenza verso gli stakeholders, e sia di quelli gestionali, affinché le
risultanze “tecniche, commerciali ecc.”, nonché quelle quantitative a supporto, rappresen-
tino correttamente l’andamento della gestione (es. tableau de bord) e consentano al
management di assumere le più corrette decisioni aziendali, i cambi di strategia,
le modificazioni tattiche sul mercato ecc.;
• efficienza ed efficacia delle operazioni; qui il sistema di controllo si deve porre
l’obiettivo di creare le condizioni affinché i processi aziendali, quali essi siano,
prevedano un’operatività mirata all’obiettivo assegnato, senza deviazioni di sor-
ta (efficacia), e ottimizzino le risorse impiegate, evitando sprechi, ridondanze,
sovrapposizioni ecc. (efficienza).
Tutto ciò premesso, appare evidente che un sistema di controllo mirato al conse-
guimento di tali aspettative, dovrebbe essere in grado di fornire trasparenza conta-
bile e gestionale, etica e correttezza dei comportamenti, ottimizzazione delle attivi-
tà, protezione delle risorse di ogni tipo ecc., fornendo all’impresa un’immagine di
sé che non può che generare ricadute positive dal mondo esterno che la circonda,
sulla soddisfazione e sulla serenità di chi opera, sulla valutazione economico-
finanziaria della stessa.

Le componenti del sistema di controllo interno

Dovendo conseguire gli obiettivi citati nel paragrafo precedente, come riportato
nella Tavola 1.3, il sistema di controllo interno è un’entità articolata e complessa,
assimilabile ad una “galassia” di componenti tra loro strettamente interrelati ed or-
ganizzati, che tende al conseguimento degli obiettivi enunciati in precedenza.

IPSOA – La valutazione del sistema di controllo interno 9

1. Il sistema di controllo interno

Tavola 1.3 - Le componenti operative dei sistema di controllo interno e di

gestione dei rischi

Analizzando ogni componente della galassia, si possono trarre le seguenti conside-

razioni:
• Organizzazione, procure e deleghe, è la componente fondamentale di ogni sistema di
controllo; solo se sono ben chiari i compiti, le dipendenze organizzative, le re-
sponsabilità ed i livelli di autonomia (in sostanza “chi fa che cosa”)
l’organizzazione può funzionare adeguatamente, con precisione circa gli ambiti
di attività, senza sovrapposizioni, ridondanze e, magari, vuoti di responsabilità.
Altrettanto importante è la presenza di un idoneo sistema delle procure a svolgere
operazioni che impattano finanziariamente sui conti dell’azienda (ci si riferisce a
quelle formali assegnate con atto pubblico ai Vertici dell’azienda, ovvero ai
procuratori) e, di conseguenza, al correlato sistema delle deleghe interne, ovvero
l’assegnazione di autonomie decisionali – da parte dei citati procuratori, ai diri-
genti e funzionari aziendali – in relazione ai compiti loro assegnati. Da tale or-
ganizzazione discende la possibilità di legare le prestazioni agli aspetti retributi-
vi, con ovvi benefici nel conseguimento degli obiettivi aziendali.
• Strategie, policies e processi, procedure e istruzioni di lavoro, ovvero il quadro dispositivo
aziendale indispensabile per abbinare il “chi fa che cosa” al “come fare”. Il quadro
dispositivo aziendale si articola su più livelli, tra loro interrelati e conseguenti,
che via via rendono più analitico e più profondo l’aspetto normativo interno; in
particolare, la presenza e la comunicazione di strategie formalizzate alla struttura
comporta un maggiore coinvolgimento e partecipazione della stessa nel mirare
consapevolmente verso gli obiettivi vitali dell’azienda (es. Piano strategico azienda-

10 IPSOA – La valutazione del sistema di controllo interno

 Il sistema di controllo interno 1.

le). La presenza di policies costituisce una fondamentale chiave di lettura del Pia-
no strategico, in quanto interpreta in termini più dispositivi le “regole del gio-
co”, forzatamente sintetiche, contenute nel Piano stesso; inoltre, a livello di poli-
cies si possono assimilare il “Manuale della Qualità”, il “Modello di Organizza-
zione e gestione D.Lgs. 231/2001” ecc. È auspicabile poi la presenza della
mappatura dei processi aziendali, che consentono di definire puntualmente tutti i
passaggi logici, operativi, funzionali e di responsabilità delle varie attività (di-
sporre della mappatura dei processi, cui vanno abbinati i relativi process owners,
rappresenta un significativo elemento di controllo per molte attività di cui trat-
teremo in seguito, quali ad esempio la risk analysis, l’attività di audit, la compliance
legislativa ecc). Il quadro procedurale si articola a sua volta su due livelli, le procedure
gestionali, che, per ciascun processo aziendale evidenziano e rendono normaliz-
zate le varie fondamentali attività processive da svolgere, le responsabilità fun-
zionali correlate ecc.; mentre le istruzioni di lavoro – nell’ambito di ciascuna pro-
cedura gestionale – sono di norma l’ultimo livello analitico, atto a chiarire ulte-
riormente le modalità pratiche di lavoro. È molto dibattuto, a livello professio-
nale, il livello di profondità al quale si deve spingere il quadro procedurale for-
malizzato: ebbene, una delle soluzioni utili potrebbe essere quella di redigere sem-
pre una procedura scritta laddove si tratti di attività legate al rispetto delle leggi, alla tu-
tela del patrimonio, agli aspetti contabili e amministrativi, nonché alle istruzioni da forni-
re a realtà territoriali diverse e lontane che sono difficilmente controllabili, mentre
l’estensione delle procedure scritte per altri ambiti aziendali può essere di tipo
più facoltativo (ciò per non “ingessare” l’impresa, come normalmente si dice).
• Pianificazione, marketing, programmazione e budget, validazione e controllo degli investimen-
ti, contabilità industriale, pricing, controllo dei costi ecc. Ci si riferisce, in primis, a tutti
gli aspetti previsionali che rappresentano l’indispensabile base di riferimento
per i controlli di natura gestionale3. In effetti, solo chi programma è poi in grado di con-
trollare. Inoltre, fanno parte del controllo interno tutte le attività tipiche del Con-
trollo di gestione, dalle logiche budgetarie, alla validazione degli investimenti, alla
definizione del livello dei prezzi di vendita di prodotto/servizio in funzione dei
margini che l’impresa vuole ottenere e compatibilmente con il livello dei costi
correlati. Ad oggi, per le società quotate, le informazioni previsionali, strategi-
che e tattiche, di pianificazione e budget, vengono utilizzate non solo all’interno
per orientare e responsabilizzare l’attività aziendale, ma anche per fornire ade-
guata informativa al mondo esterno (ad es. analisti finanziari) circa l’appeal che

3Per approfondimenti si veda tra tutti L. Brusa, Sistemi manageriali di programmazione e controllo,
Giuffrè, 2000 e L. Brusa, Analisi e contabilità dei costi, Giuffrè, 2009.

IPSOA – La valutazione del sistema di controllo interno 11

1. Il sistema di controllo interno

l’impresa genera in tema di mercato borsistico, di acquisizione di pacchetti a-

zionari e quant’altro può generare interesse nei terzi.
• Bilancio e contabilità. Stiamo parlando della più antica componente del sistema di
controllo interno: in effetti, nel passato, prima dell’avvento delle tecniche di
controllo di gestione e budget, il bilancio rappresentava l’unico strumento di
controllo aziendale4. Oggi al bilancio – oltre a tale compito istituzionale – ven-
gono assegnate responsabilità ulteriori, quali lo strumento di segnalazione al
mondo esterno delle situazioni formali ed ufficiali circa le varie situazioni con-
tabili infrannuali (situazioni trimestrali), che rappresentano, ovviamente per le
quotate, dei fondamentali momenti di comunicazione all’esterno dello stato di
avanzamento della gestione d’impresa, rispetto agli obiettivi strategici e tattici
elaborati in sede previsionale. Come detto, unitamente ai dati previsionali, gli
analisti finanziari ed i terzi interessati utilizzano tali informazioni in corso
d’anno (e non solo a fine esercizio), per assumere le decisioni in merito alla va-
lutazione del titolo in Borsa ed alla eventuale negoziazione di pacchetti azionari.
• Sistema informativo aziendale (IT) e sistema comunicazionale: l’informatica rappresenta
ormai l’”ossatura hard e soft” su cui poggia l’operatività ed il sistema di controllo
di ogni impresa, ossatura dalla quale non si può più prescindere, se non a prez-
zo di maggiori costi di personale, di possibili imprecisioni, ritardi e di
quant’altro può accadere se i processi vengono gestiti con strumenti totalmente
o parzialmente manuali. Il Sistema IT è, infatti, in grado di sostituire l’uomo in
numerosissime attività, specie quelle ripetitive e quelle “di massa”, garantendo,
se ben costruito e controllato, precisione e correttezza. Per addivenire alla ga-
ranzia che l’azienda possa contare su uno strumento IT di gestione e controllo
affidabile, è, tuttavia, indispensabile che lo stesso sistema sia assoggettato (spe-
cie nella messa in campo di prodotti SW elaborati all’interno o acquisiti
dall’esterno) ad idonee verifiche e periodici test da parte degli enti dedicati (ad.
esempio: Internal Audit, il Dirigente preposto alla redazione dei documenti con-
tabili societari, la società di revisione legale ecc.). Non a caso il legislatore, per le
società quotate, richiede, in nesso con il disposto della Legge 262/2005, che il
Sistema IT dedicato alla gestione dei fatti amministrativi e di bilancio sia perio-
dicamente sottoposto ad esame di affidabilità in tema di sicurezza elaborativa,
di protezione dei dati al fine di evitare manomissioni dei dati contabili
dall’esterno o dall’interno dell’impresa. Inoltre, nel contesto del D.Lgs.
231/2001, il legislatore ha previsto le fattispecie di reati che impattano nel
mondo dell’informatica e ha richiesto lo svolgimento di accurati assessment sui

4Per approfondimenti sulle funzioni del bilancio si veda tra tutti: G. Ferrero, F. Dezzani, P.
Pisoni, L. Puddu, M. Campra, Contabilita e bilancio d’esercizio, Giuffrè, 2004, da pag. 5.

12 IPSOA – La valutazione del sistema di controllo interno

 Il sistema di controllo interno 1.

sistemi informativi aziendali per accertare la validità del correlato sistema di

controllo e di difesa. A questo riguardo anche il codice di autodisciplina preve-
de che il responsabile della funzione di Internal Audit si occupi della verifica,
nell’ambito del proprio piano di audit, dell’affidabilità dei sistemi informativi,
inclusi quelli di rilevazione contabile. Nella componente del sistema di control-
lo che abbiamo trattato finora si può far rientrare anche il Sistema comunicazionale
dell’impresa, in quanto il governo d’impresa non può prescindere dagli aspetti
legati alla conoscenza dei fatti e delle situazioni numeriche della gestione: in al-
tre parole, il mondo della comunicazione interna ed esterna ha assunto un ruo-
lo di fondamentale importanza nell’ottica del governo d’impresa5. Per quanto
concerne la comunicazione interna, appare evidente che l’azienda non deve essere
un sistema rinchiuso in sé stesso, ma deve essere permeabile, in senso verticale
e orizzontale, affinché le informazioni utili a diffondere strategie, obiettivi, in-
formazioni e quant’altro possa essere utile ad orientare chi opera verso gli o-
biettivi d’impresa, discendano agevolmente per “rami” della struttura (ovviamente, le
informazioni che è giusto diffondere); come pure, è altrettanto importante la
“risalita” delle informazioni di consuntivo o di “proiezione a fine esercizio” (es. re-
portistica), affinché il Top Aziendale sia costantemente informato circa
l’andamento della gestione verso gli obiettivi aziendali e, soprattutto, sia messo
nelle condizioni di assumere le decisioni strategiche o tattiche necessarie a ri-
condurre l’azienda sulla rotta prefissata6.
• Sicurezza, fisica, logica e safety. I sistemi di sicurezza dei beni materiali ed immate-
riali, nonché delle risorse umane che operano nell’azienda costituiscono
anch’essi una imprescindibile componente del controllo interno d’impresa. Ol-
tre alla protezione dei beni materiali dell’impresa (quindi tutti dispositivi messi in
campo per garantire la sicurezza degli impianti, delle apparecchiature, dei beni
informatici, del danaro ecc.), sta assumendo sempre più rilevanza la protezione
dei beni immateriali. In effetti, oltre all’esigenza di garantire ampia tutela ai dati, ai
documenti ed alle informazioni legate al business aziendale (es. lista dei clienti
dei dati gestionali interni, dei documenti per la partecipazione a gare, dei docu-
menti per la formulazione di offerte, dei listini prezzi e la scontistica ecc.), va
ricordato che il legislatore ha posto dei seri picchetti e significative sanzioni alla
“non adeguata tutela dei dati sensibili” - custoditi dai sistemi informativi e dagli ar-
chivi manuali - da azioni di hackeraggio e di intrusione da parte di soggetti interni
ed esterni all’impresa (cfr. quanto richiesto dal D.Lgs. 196/2003), si pensi alla

5 Per approfondimenti si veda tra tutti I.E. Inghirami, Il sistema informativo amministrativo per la
governance aziendale, Franco Angeli, 2008.
6 Per approfondimenti si veda tra tutti P. F. Camussone, Il sistema informativo aziendale, Etas,
1998.

IPSOA – La valutazione del sistema di controllo interno 13

1. Il sistema di controllo interno

tutela dei dati “price sensitive” per le società quotate, a garanzia che le informa-
zioni che, se impropriamente (o dolosamente) diffuse possono incidere sul cor-
so del titolo della società di appartenenza e generare quindi benefici impropri al
management (o propri congiunti) dell’azienda stessa. In ultimo, il D.Lgs.
231/2001, acquisendo i dettami dello specifico D.Lgs. 81/2008 in tema di sicu-
rezza sui luoghi di lavoro, impone alle aziende un sistema di controllo idoneo a
prevenire eventuali incidenti che possono coinvolgere il personale interno o e-
sterno operante nelle stesse.
• Autocontrollo, controllo gerarchico, controllo direzionale, controlli istituzionali. Il sistema di
controllo interno, in questo caso, si rifà alle più antiche logiche: in effetti, la
prima fondamentale componente di ogni sistema di controllo può essere riferi-
ta all’individuo, al suo modo di porsi verso l’attività di cui è incaricato, il suo
senso di responsabilità, in altre parole il suo “autocontrollo”. Le imprese, infatti,
sono sistemi complessi7 nei quali l’elemento umano assume un peso fondamen-
tale ed essenziale8, tanto che gli stessi dipendenti e collaboratori possono con i
loro comportamenti contribuire attivamente al successo o all’insuccesso del si-
stema di controllo interno adottato. Inoltre, salendo di livello, se l’azienda si è
organizzata adeguatamente con organigrammi e job descriptions, con procedure e istru-
zioni di lavoro, con sistemi di reportistica “a salire” è possibile realizzare il cosiddetto
“controllo gerarchico”, che consente ai superiori gerarchici, appunto, di svolgere
quell’attività di governo delle strutture dipendenti tipica di chi assume respon-
sabilità via via superiori. Il controllo direzionale è invece assimilabile al “governo
dell’azienda svolto dal Top management”, che consiste nel diffondere adeguatamente
strategie, politiche ed obiettivi al management (e a “cascata” su tutta la struttura
organizzativa) e di verificare periodicamente le performances complessive
dell’impresa (utilizzando adeguati strumenti come ad esempio il tableau de bord).
Infine, i controlli istituzionali sono quelli svolti dai vari attori del sistema di
controllo, ovvero il Consiglio di Amministrazione, il Comitato di Controllo In-
terno, l’Organismo di Vigilanza ai sensi del D.Lgs. 231/2001, l’Internal Audit,
la Società di revisione legale ecc. Le caratteristiche dei vari Enti Istituzionali di
controllo, in termini di origine, di composizione e di finalità in tema di corpora-
te governance, saranno diffusamente analizzate nel paragrafo appositamente
dedicato.
L’insieme articolato di tutte le componenti sopra descritte, costituenti il sistema di
controllo interno, proprio perché è composto da più elementi complessi e note-

7 Per approfondimenti sull’approccio sistemico dell’impresa si veda tra tutti G.M. Golinelli,
L’approccio sistemico al governo dell’impresa, Cedam, 2005.
8 Per un’analisi delle caratteristiche del “sistema sociale” si veda tra tutti G. Ferrero, Impresa e
management, Giuffrè, 1987.

14 IPSOA – La valutazione del sistema di controllo interno

 Il sistema di controllo interno 1.

volmente diversi tra loro (si passa infatti da aspetti totalmente soft, quali ad esem-
pio l’autocontrollo, ad aspetti decisamente hard, quali il Sistema IT) che meritano,
proprio per la loro eterogeneità, una serie di attenzioni nella fase di implementa-
zione e di manutenzione nel tempo.
Non è pensabile realizzare un buon sistema di controllo interno con approssima-
zioni metodologiche o con modalità operative superficiali: il sistema va costruito
secondo regole ben precise e con modalità di verifica nel tempo puntuali e rigoro-
se. In questo senso, ci si può rifare alle best practice internazionali, che forniscono
idonei framework in materia, atti ad orientare le imprese nella progettazione, rea-
lizzazione, manutenzione e valutazione dei vari meccanismi di controllo di cui si è
detto. Tuttavia, la progettazione e il monitoraggio del sistema di controllo interno
devono essere effettuati pensando che ogni impresa costituisce un’entità diversa
dalle altre, con una propria storia, dei propri valori, degli autonomi principi ecc. Di
conseguenza le regole, le procedure, le verifiche, i controlli ecc. dovranno trovare
sempre una “perfetta coesione” con il sistema dei valori, con la cultura aziendale,
con la “visione” del controllo e soprattutto con lo stile del top management, pena
la creazione di un sistema di controllo efficace solo da un punto di vista teorico.

1.2.3 La progettazione del sistema di controllo interno e di gestione dei rischi

Il sistema di controllo interno così come è stato descritto nel paragrafo precedente
va costruito secondo metodologie e framework ben precisi. I necessari riferimenti
metodologici sono rappresentati dal CoSO Report e dall’Enterprise Risk Management,
che, come sarà ampiamente descritto nel prosieguo della trattazione, forniscono le
più idonee garanzie al management delle imprese affinché il sistema messo in
campo risponda ai requisiti di affidabilità, di efficacia ed efficienza operativa.

Il modello CoSO Report

A seguito di alcuni notissimi scandali finanziari di portata internazionale, che ave-
vano minato all’epoca la credibilità dell’economia e della finanza delle grandi a-
ziende, e non solo, il governo USA (poi seguito da altre nazioni con altrettanti
output in materia) ha promosso l’attività del Committee of Sponsoring Organization in
seno alla Treadway Commission che ha prodotto, nel 1992, un framework di controllo (il
CoSO Report). Tale riferimento metodologico ha lo scopo di delineare una radicale
riforma dei sistemi di controllo aziendale e degli assetti societari e, se osservato ed
applicato (specie dalle società quotate), permette di garantire trasparenza e corret-
tezza dei dati di bilancio e finanziari dell’impresa, a beneficio degli stakeholders, ov-
vero di tutti i portatori di interesse circa le vicende della stessa (si citano ad esem-

IPSOA – La valutazione del sistema di controllo interno 15