Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1 Il presente capitolo, pur essendo il frutto di un lavoro congiunto tra gli Autori, è idealmente
attribuibile a Pierantonio Piana, ad eccezione del par. 1.2.4 che è stato redatto da Flavio
Servato.
In altre parole, un buon sistema di controllo interno non può prescindere dalla
presenza organizzata di componenti “soft” (uno stile di direzione positivo verso un
approccio etico al business che deve permeare il modo di essere in azienda sia del
Vertice Aziendale e del Management e sia del personale operativo interno e del
personale esterno che svolge compiti per conto della società) e di componenti
“hard” (organizzazione operativa e di controllo, procedure, strumenti di previsione
e di valutazione, mezzi informatici ecc.).
Viene sottolineato, altresì, che la qualità del sistema di controllo interno migliora se
viene svolta una periodica e strutturata risk analysis in grado di mettere in luce or-
ganicamente e fronteggiare preventivamente le minacce di natura strategica, opera-
tiva e di compliance legislativa che incombono sul cammino d’impresa e sulle sue di-
fese, minacce che lo stesso sistema di controllo interno non è in grado di contra-
stare. In senso lato, estendendo i principi del Codice, è auspicabile un’opera di
prevenzione (l’agire prima), piuttosto che rincorrere gli eventi negativi quando que-
sti si sono già manifestati (l’agire dopo).
Appare evidente che, oltre a quanto detto sinora, tra i vari output dell’analisi dei ri-
schi si può annoverare anche quello di fornire precise indicazioni circa l’ottimale
dimensionamento, organizzazione e costo del sistema di controllo interno: va ri-
cordato, infatti, che il sistema di controllo interno deve essere dimensionato in re-
lazione alle effettive minacce di business, di mercato, di contesto, legislative e giu-
slavoristiche ecc. e non può essere sproporzionato (per difetto o per ecces-
2 Per approfondimenti sul sistema di controllo interno si veda tra tutti: G. D’Onza, Il sistema di
controllo interno nella prospettiva del risk management, Giuffrè, 2008; Price Waterhouse Coopers (a
cura di), Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali,
Il Sole 24 Ore, 2006; L. Marchi, Revisione aziendale e sistemi di controllo interno, Giuffrè, 2008; F.
Massari, Corporate governance e sistema di controllo interno in realtà aziendali complesse, Cacucci, 2010; V.
Cantino, Corporate governance, misurazione della performance e compliance del sistema di controllo interno,
Giuffrè, 2007; M. Pierotti, Il sistema di controllo integrato. Esigenze strategiche delle moderne realtà
aziendali, Giuffrè, 2008; S. Beretta, N. Pecchiari, Analisi e valutazione del sistema di controllo interno.
Metodi e tecniche, Il Sole 24 Ore, 2007.
nonché della trasparenza verso gli stakeholders, e sia di quelli gestionali, affinché le
risultanze “tecniche, commerciali ecc.”, nonché quelle quantitative a supporto, rappresen-
tino correttamente l’andamento della gestione (es. tableau de bord) e consentano al
management di assumere le più corrette decisioni aziendali, i cambi di strategia,
le modificazioni tattiche sul mercato ecc.;
• efficienza ed efficacia delle operazioni; qui il sistema di controllo si deve porre
l’obiettivo di creare le condizioni affinché i processi aziendali, quali essi siano,
prevedano un’operatività mirata all’obiettivo assegnato, senza deviazioni di sor-
ta (efficacia), e ottimizzino le risorse impiegate, evitando sprechi, ridondanze,
sovrapposizioni ecc. (efficienza).
Tutto ciò premesso, appare evidente che un sistema di controllo mirato al conse-
guimento di tali aspettative, dovrebbe essere in grado di fornire trasparenza conta-
bile e gestionale, etica e correttezza dei comportamenti, ottimizzazione delle attivi-
tà, protezione delle risorse di ogni tipo ecc., fornendo all’impresa un’immagine di
sé che non può che generare ricadute positive dal mondo esterno che la circonda,
sulla soddisfazione e sulla serenità di chi opera, sulla valutazione economico-
finanziaria della stessa.
le). La presenza di policies costituisce una fondamentale chiave di lettura del Pia-
no strategico, in quanto interpreta in termini più dispositivi le “regole del gio-
co”, forzatamente sintetiche, contenute nel Piano stesso; inoltre, a livello di poli-
cies si possono assimilare il “Manuale della Qualità”, il “Modello di Organizza-
zione e gestione D.Lgs. 231/2001” ecc. È auspicabile poi la presenza della
mappatura dei processi aziendali, che consentono di definire puntualmente tutti i
passaggi logici, operativi, funzionali e di responsabilità delle varie attività (di-
sporre della mappatura dei processi, cui vanno abbinati i relativi process owners,
rappresenta un significativo elemento di controllo per molte attività di cui trat-
teremo in seguito, quali ad esempio la risk analysis, l’attività di audit, la compliance
legislativa ecc). Il quadro procedurale si articola a sua volta su due livelli, le procedure
gestionali, che, per ciascun processo aziendale evidenziano e rendono normaliz-
zate le varie fondamentali attività processive da svolgere, le responsabilità fun-
zionali correlate ecc.; mentre le istruzioni di lavoro – nell’ambito di ciascuna pro-
cedura gestionale – sono di norma l’ultimo livello analitico, atto a chiarire ulte-
riormente le modalità pratiche di lavoro. È molto dibattuto, a livello professio-
nale, il livello di profondità al quale si deve spingere il quadro procedurale for-
malizzato: ebbene, una delle soluzioni utili potrebbe essere quella di redigere sem-
pre una procedura scritta laddove si tratti di attività legate al rispetto delle leggi, alla tu-
tela del patrimonio, agli aspetti contabili e amministrativi, nonché alle istruzioni da forni-
re a realtà territoriali diverse e lontane che sono difficilmente controllabili, mentre
l’estensione delle procedure scritte per altri ambiti aziendali può essere di tipo
più facoltativo (ciò per non “ingessare” l’impresa, come normalmente si dice).
• Pianificazione, marketing, programmazione e budget, validazione e controllo degli investimen-
ti, contabilità industriale, pricing, controllo dei costi ecc. Ci si riferisce, in primis, a tutti
gli aspetti previsionali che rappresentano l’indispensabile base di riferimento
per i controlli di natura gestionale3. In effetti, solo chi programma è poi in grado di con-
trollare. Inoltre, fanno parte del controllo interno tutte le attività tipiche del Con-
trollo di gestione, dalle logiche budgetarie, alla validazione degli investimenti, alla
definizione del livello dei prezzi di vendita di prodotto/servizio in funzione dei
margini che l’impresa vuole ottenere e compatibilmente con il livello dei costi
correlati. Ad oggi, per le società quotate, le informazioni previsionali, strategi-
che e tattiche, di pianificazione e budget, vengono utilizzate non solo all’interno
per orientare e responsabilizzare l’attività aziendale, ma anche per fornire ade-
guata informativa al mondo esterno (ad es. analisti finanziari) circa l’appeal che
3Per approfondimenti si veda tra tutti L. Brusa, Sistemi manageriali di programmazione e controllo,
Giuffrè, 2000 e L. Brusa, Analisi e contabilità dei costi, Giuffrè, 2009.
4Per approfondimenti sulle funzioni del bilancio si veda tra tutti: G. Ferrero, F. Dezzani, P.
Pisoni, L. Puddu, M. Campra, Contabilita e bilancio d’esercizio, Giuffrè, 2004, da pag. 5.
5 Per approfondimenti si veda tra tutti I.E. Inghirami, Il sistema informativo amministrativo per la
governance aziendale, Franco Angeli, 2008.
6 Per approfondimenti si veda tra tutti P. F. Camussone, Il sistema informativo aziendale, Etas,
1998.
tutela dei dati “price sensitive” per le società quotate, a garanzia che le informa-
zioni che, se impropriamente (o dolosamente) diffuse possono incidere sul cor-
so del titolo della società di appartenenza e generare quindi benefici impropri al
management (o propri congiunti) dell’azienda stessa. In ultimo, il D.Lgs.
231/2001, acquisendo i dettami dello specifico D.Lgs. 81/2008 in tema di sicu-
rezza sui luoghi di lavoro, impone alle aziende un sistema di controllo idoneo a
prevenire eventuali incidenti che possono coinvolgere il personale interno o e-
sterno operante nelle stesse.
• Autocontrollo, controllo gerarchico, controllo direzionale, controlli istituzionali. Il sistema di
controllo interno, in questo caso, si rifà alle più antiche logiche: in effetti, la
prima fondamentale componente di ogni sistema di controllo può essere riferi-
ta all’individuo, al suo modo di porsi verso l’attività di cui è incaricato, il suo
senso di responsabilità, in altre parole il suo “autocontrollo”. Le imprese, infatti,
sono sistemi complessi7 nei quali l’elemento umano assume un peso fondamen-
tale ed essenziale8, tanto che gli stessi dipendenti e collaboratori possono con i
loro comportamenti contribuire attivamente al successo o all’insuccesso del si-
stema di controllo interno adottato. Inoltre, salendo di livello, se l’azienda si è
organizzata adeguatamente con organigrammi e job descriptions, con procedure e istru-
zioni di lavoro, con sistemi di reportistica “a salire” è possibile realizzare il cosiddetto
“controllo gerarchico”, che consente ai superiori gerarchici, appunto, di svolgere
quell’attività di governo delle strutture dipendenti tipica di chi assume respon-
sabilità via via superiori. Il controllo direzionale è invece assimilabile al “governo
dell’azienda svolto dal Top management”, che consiste nel diffondere adeguatamente
strategie, politiche ed obiettivi al management (e a “cascata” su tutta la struttura
organizzativa) e di verificare periodicamente le performances complessive
dell’impresa (utilizzando adeguati strumenti come ad esempio il tableau de bord).
Infine, i controlli istituzionali sono quelli svolti dai vari attori del sistema di
controllo, ovvero il Consiglio di Amministrazione, il Comitato di Controllo In-
terno, l’Organismo di Vigilanza ai sensi del D.Lgs. 231/2001, l’Internal Audit,
la Società di revisione legale ecc. Le caratteristiche dei vari Enti Istituzionali di
controllo, in termini di origine, di composizione e di finalità in tema di corpora-
te governance, saranno diffusamente analizzate nel paragrafo appositamente
dedicato.
L’insieme articolato di tutte le componenti sopra descritte, costituenti il sistema di
controllo interno, proprio perché è composto da più elementi complessi e note-
7 Per approfondimenti sull’approccio sistemico dell’impresa si veda tra tutti G.M. Golinelli,
L’approccio sistemico al governo dell’impresa, Cedam, 2005.
8 Per un’analisi delle caratteristiche del “sistema sociale” si veda tra tutti G. Ferrero, Impresa e
management, Giuffrè, 1987.
volmente diversi tra loro (si passa infatti da aspetti totalmente soft, quali ad esem-
pio l’autocontrollo, ad aspetti decisamente hard, quali il Sistema IT) che meritano,
proprio per la loro eterogeneità, una serie di attenzioni nella fase di implementa-
zione e di manutenzione nel tempo.
Non è pensabile realizzare un buon sistema di controllo interno con approssima-
zioni metodologiche o con modalità operative superficiali: il sistema va costruito
secondo regole ben precise e con modalità di verifica nel tempo puntuali e rigoro-
se. In questo senso, ci si può rifare alle best practice internazionali, che forniscono
idonei framework in materia, atti ad orientare le imprese nella progettazione, rea-
lizzazione, manutenzione e valutazione dei vari meccanismi di controllo di cui si è
detto. Tuttavia, la progettazione e il monitoraggio del sistema di controllo interno
devono essere effettuati pensando che ogni impresa costituisce un’entità diversa
dalle altre, con una propria storia, dei propri valori, degli autonomi principi ecc. Di
conseguenza le regole, le procedure, le verifiche, i controlli ecc. dovranno trovare
sempre una “perfetta coesione” con il sistema dei valori, con la cultura aziendale,
con la “visione” del controllo e soprattutto con lo stile del top management, pena
la creazione di un sistema di controllo efficace solo da un punto di vista teorico.