Università degli Studi Roma Tre
Scuola di Economia e Studi Aziendali
Dipartimento di Studi Aziendali
Corso di Laurea Magistrale in Economia Aziendale
INTERNAL AUDIT, SISTEMA ICFR E CONTROLLO
INTEGRATO SULL’INFORMATIVA FINANZIARIA: IL
CASO ENEL S.P.A.
Laureando Relatore
GIANLUCA GALIZI Chiar.mo Prof. CARLO REGOLIOSI
Matricola 433440
Correlatore
Chiar.ma Prof.ssa LUCIA BIONDI
A.A. 2016/2017
INDICE
INTRODUZIONE
1) L’Internal audit nel quadro della Corporate Governance e del Sistema di
Controllo Interno
1.1) La definizione di internal auditing
1.2) Il contesto normativo nazionale e internazionale
1.2.1) Il Testo Unico della Finanza
1.2.2) Il Codice di Autodisciplina
1.2.3) Il d.lgs 231/01: la responsabilità amministrativa delle persone
giuridiche
1.2.4) USA: il Sarbanes Oxley Act
1.2.5) La legge 262/05
1.3) Il ruolo dell’Internal audit nel disegno di Corporate Governance
1.3.1) Le Three Lines of Defense
1.3.2) Il coordinamento delle Tre Linee ed il rischio overlapping
1.3.3) I rapporti tra Internal audit ed il Dirigente preposto
1.3.4) I rapporti con il Revisore esterno
1.4) L’Internal audit nella Gestione dei Rischi
1.4.1) Il modello ERM
2. Organizzazione, attività e risultati dell’Internal audit
2.1) Le tipologie di internal auditing
2.2) L’organizzazione della funzione Internal audit
2.3) Dal piano al processo di internal auditing
2.3.1) Il piano di internal auditing
2.3.2) Il processo di internal auditing
2.4) L’analisi dei processi
2.5) La valutazione dei sistemi integrati di controllo interno
2.5.1) Approccio risk based
2.5.2) Il modello di valutazione
2.5.3) Rilevazione e processo operativo di valutazione
3. L’azienda target: Enel S.p.A.
3.1) La storia di Enel S.p.A.
3.2) Enel oggi: attività, mission e organizzazione del Gruppo
3.3) Governance e Sistema di Controllo Interno in Enel
3.4) I pilastri del SCI in Enel
3.4.1) Il Codice Etico
3.4.2) Il Piano Tolleranza Zero alla Corruzione
3.4.3) L’Enel Global Compliance Program
3.5) L’organizzazione dell’Audit in Enel
4. Il caso aziendale: Internal audit, Sistema ICFR e controllo integrato
sull’informativa finanziaria in Enel S.p.A.
4.1) Il Sistema ICFR (Internal Control over Financial Reporting)
4.1.1) Gli attori coinvolti nel controllo sull’informativa finanziaria
4.2) Il processo di Internal Control over Financial Reporting in Enel
4.3) L’attività di audit sul Sistema ICFR
4.3.1) Il monitoraggio del processo di valutazione periodica
dell’ICFR
4.3.2) Il monitoraggio degli ITGC
4.3.3) L’esecuzione diretta di attività di audit secondo una logica
integrata
CONCLUSIONI
BIBLIOGRAFIA
SITOGRAFIA
4
INTRODUZIONE
In un contesto economico-aziendale concorrenziale ed in continua evoluzione, nel
quale aumenta la complessità del quadro normativo di riferimento e l’attenzione ai
temi legati alla corretta corporate governance (anche da parte degli stakeholders,
dopo le crisi e gli scandali finanziari del recente passato), diviene fondamentale per
le aziende sviluppare un efficace Sistema di Controllo Interno e Gestione dei Rischi,
integrato nell’organizzazione aziendale ed in linea con le best practice nazionali ed
internazionali. La crescente cultura del controllo ha, inoltre, contribuito a modificare
il ruolo e le responsabilità di una figura di cruciale importanza nell’architettura dei
controlli: quella dell’internal auditor. L’obiettivo dell’internal audit oggi è quello di
fornire un supporto proattivo ai vertici aziendali nella costruzione di un’efficace ed
efficiente governo dei processi, con particolare attenzione al raggiungimento di un
equilibrio tra SCI e mitigazione dei rischi, a salvaguardia degli obiettivi di business
e di governo dell’organizzazione.
Partendo da questi presupposti è semplice comprendere quanto alta sia la difficoltà
nella predisposizione e nella gestione di un adeguato modello di governance
aziendale e soprattutto di un efficace ed efficiente SCIGR: infatti, partendo dal
presupposto che non esiste un modello in grado di coprire alla perfezione la totalità
dei rischi che circondano una realtà aziendale, l’obiettivo principale di un buon
SCIGR è quello di ottimizzare il livello di assurance sulla mitigazione dei rischi,
assicurando il coordinamento tra tutti gli attori del controllo e la riduzione degli
overlapping.
5
Infatti il già citato moltiplicarsi delle normative vigenti in tema di corporate
governance e l’aumento delle figure aziendali preposte al controllo, fanno sorgere il
rischio di sovrapposizione degli sforzi (overlapping). Per evitare ciò, diviene sempre
più necessaria a tutti i livelli dell’organizzazione aziendale un’attenta divisione di
compiti e responsabilità, in grado di ottimizzare il contributo di ogni componente.
Il presente elaborato ha l’obiettivo di descrivere questa realtà e indagare possibili
modalità di approccio efficace al problema. Verranno esaminati dapprima il quadro
delle fonti normative a livello nazionale ed internazionale (dal TUF al Codice di
Autodisciplina in tema di società quotate, dal d.lgs. 231/01 allo statunitense
Sarabanes Oxley Act e alla relativa trasposizione italiana, ovvero la legge 262/05),
per poi andare a descrivere le best practice in tema di sistema di governance dei rischi
e di controllo interno (in particolare, il modello delle “Three lines of defense” ed il
modello “Enterprise Risk Management” per la gestione dei rischi) e
nell’individuazione dei soggetti coinvolti in un modello integrato di controllo
aziendale, e dei rapporti che tra essi intercorrono, con un particolare focus sull’attività
di internal auditing e sulla definizione della figura professionale dell’internal auditor,
secondo gli Standard professionali nazionali ed internazionali.
Percorrendo questa linea, il secondo capitolo, si addentra in un’analisi delle tipologie
di internal auditing ed affronta gli aspetti pratici della professione come
l’organizzazione della Funzione, la predisposizione del piano di audit e l’effettiva
realizzazione dello stesso mediante il processo di internal auditing. Lo stesso si
chiude con una riflessione su come, sia per l’internal auditor che per l’azienda nel suo
6
complesso, l’attenzione si sia spostata da un approccio per funzioni ad un approccio
integrato per processi di tipo risk based.
La seconda parte del lavoro si apre con un’ampia presentazione dell’azienda target:
Enel S.p.A., una delle maggiori realtà societarie italiane, nonché un gruppo
internazionale che opera in 30 paesi, con società quotate su diversi mercati
regolamentati nazionali. La complessità e l’ampiezza della realtà Enel risulta essere
congeniale per i temi trattati in questa tesi.
Tuttavia, per i motivi sopraelencati, sarebbe impossibile analizzare in poche pagine
un così articolato Sistema di Controllo Interno nella sua interezza, per cui il caso
aziendale che verrà affrontato nella parte finale del lavoro riguarderà i controlli interni
relativi all’informativa finanziaria. L’obiettivo sarà quello di dimostrare che il
controllo sui bilanci non è solo un affare “esterno”, ma che esso coinvolge anche
molti attori del controllo interno, tra i quali la funzione audit. Inoltre, si darà una
dimostrazione pratica di attuazione di un approccio integrato nei controlli.
Il nucleo del caso aziendale sarà pertanto rappresentato dalla presentazione e dalla
descrizione delle varie fasi di attuazione del Sistema Internal Control over Financial
Reporting (ICFR), il quale opera sotto la responsabilità del dirigente preposto, e
dall’integrazione dei controlli di seconda e terza linea (internal audit) nel controllo
del funzionamento e delle performance del Sistema stesso mediante attività di audit.
Verranno inoltre analizzati gli attori coinvolti nel complesso dei controlli
sull’informativa finanziaria messi in luce i rapporti delle due linee di difesa
sopracitate con la cosiddetta “terza linea esterna” (external audit) e con gli altri organi
7
di governo coinvolti (il Comitanto Controlli e Rischi, il Collegio Sindacale ed il
dirigente incaricato del SCIGR).
8
CAPITOLO 1 - L’internal audit nel quadro della Corporate Governance
e del Sistema di Controllo Interno
1.1) La definizione di internal auditing
La professione dell’internal auditor ha avuto un’importante evoluzione nel corso
degli anni1 ed il suo raggio d’azione si è gradualmente spostato da verifiche limitate
ad aspetti di conformità normativa e procedurale ad attività di maggiore ampiezza
rientranti in ambiti di controllo sistemico, consulenza organizzativa e governance nel
suo complesso2.
Ad oggi, il compito dell’internal audit è quello di fornire ai vertici aziendali ed al
management una valutazione e un supporto proattivo nella messa a punto di un
efficace ed efficiente sistema di governo dei processi focalizzato sulla ricerca di un
equilibrio tra il Sistema di Controllo Interno e la gestione dei rischi (risk
management) a salvaguardia degli obiettivi di business e di governo
dell’organizzazione. Questo ruolo, quindi, va ben oltre i tradizionali presidi di audit
finalizzati alla previsione delle frodi ed alla verifica del sistema contabile.
L’Institute of Internal Auditors (IIA) fornisce la definizione di internal audit che
individuando la missione, le caratteristiche e i contenuti dell’attività, rappresenta un
importante riferimento per la professione.
1 Gaetano Troina, Le revisioni azionedali, Prima edizione, 2005. 2 Carlo Regoliosi, Antonio Perno, L’esercizio dell’internal audit, Prima edizione, aprile 2010.
9
Tale definizione è stata integralmente tradotta dall’Associazione Italiana Internal
Auditors (AIIA):
“L’internal auditing è un’attività indipendente ed obiettiva di assurance e
consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza
dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi
tramite un approccio professionale sistematico, che genera valore aggiunto, in
quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di
controllo, e di governance”.
La suddetta definizione può essere scomposta ed analizzata nelle sue componenti
fondamentali.
L’indipendenza
Il primo elemento rilevante è il tema dell’indipendenza, intesa come la possibilità per
l’internal auditor di esercitare la propria attività senza interferenza alcuna e nel pieno
adempimento delle proprie responsabilità. Tale indipendenza è garantita anche
mediante un’adeguata collocazione organizzativa dell’attività: infatti, essa è
idealmente collocata in posizione di dipendenza funzionale dal Comitato Controlli e
Rischi (società quotate), dall’Organismo di Vigilanza (ex d.Lgs 231/01), dal
Consiglio di Amministrazione o in sede assembleare; e in posizione di dipendenza
gerarchica dal vertice manageriale dell’organizzazione (amministratore delegato o
direttore generale). Per quanto riguarda le società quotate, è il Codice di
10
Autodisciplina a fornire le linee guida per il reporting del preposto al controllo interno
nel quale si identifica tipicamente l’internal auditing. Un altro importante riferimento
in tema di indipendenza è fornito dalla “Guida Interpretativa 1101-1 – Indipendenza
organizzativa” pubblicata dall’Institute of Internal Auditors, all’interno della quale è
affermato che “il supporto del senior management e del board fornisce un aiuto
all’attività di internal audit nell’ottenere la collaborazione delle funzioni soggette ad
audit e nell’espletare il proprio lavoro senza interferenze”3 ed inoltre che “il riporto
funzionale del responsabile internal auditing dal board e quello amministrativo dal
senior management dell’organizzazione, facilitano l’indipendenza organizzativa. In
ogni caso, il responsabile internal auditing deve riportare ad un soggetto che sia
dotato, all’interno dell’organizzazione, dell’autorità necessaria a garantirne
l’indipendenza e ad assicurare un ampio ambito di copertura, una adeguata
considerazione alle relazioni di audit e un’appropriata risposta alle
raccomandazioni emesse”4. Nonostante ciò, gli internal auditor devono usare il
proprio giudizio professionale nell’applicazione dei suggerimenti relativi alle linee di
riporto in ogni specifica situazione e deve rimanere ben chiara la distinzione tra linea
di riporto funzionale e linea di riporto gerarchica (o amministrativa) e tra le relative
modalità di comunicazione, così da salvaguardare l’indipendenza e scindere gli
ambiti di copertura.
3 IIA, “Guida Interpretativa 1101-1 – Indipendenza organizzativa”, punto 1. 4 IIA, “Guida Interpretativa 1101-1 – Indipendenza organizzativa”, punto 2.
11
L’obiettività
Strettamente legato al principio dell’indipendenza è quello dell’obiettività della
figura professionale dell’internal auditor, la quale si traduce in un atteggiamento di
completa imparzialità, libero da preconcetti e volto ad evitare conflitti d’interesse che
potrebbero sorgere nello svolgimento dei propri compiti. Anche in questo campo,
come in quello dell’indipendenza, l’IIA con la Guida interpretativa 1120-1 sancisce
che “l’obiettività individuale implica che gli internal auditor eseguano il proprio
incarico con l’onesto convincimento della validità dei risultati ottenuti e senza
significativi compromessi e non devono essere messi in situazioni che possano
compromettere la propria capacità di esprimere un giudizio professionale
obiettivo”5, inoltre essa “include il fatto che il responsabile internal auditing debba
effettuare una ripartizione dei compiti tra le risorse della propria struttura, in modo
da prevenire potenziali o reali conflitti di interesse, richiedendo periodicamente ai
propri collaboratori informazioni in merito all’eventuale presenza di
condizionamenti o conflitti di interesse. Ove possibile, gli incarichi dovrebbero
essere assegnati a rotazione”6.
Assurance
I servizi di assurance consistono in rilevazioni e valutazioni dei fatti aziendali, che
permettono all’auditor di esprimere il proprio giudizio di affidabilità in merito ad
informazioni, processi, e sistemi, con l’obiettivo di fondo di raggiungere un
5 IIA, “Guida Interpretativa 1120-1 – Obiettività individuale”, punto 1. 6 IIA, “Guida Interpretativa 1120-1 – Obiettività individuale”, punto 2.
12
miglioramento della qualità delle decisioni procurando nuove informazioni oppure
ottimizzando la tempestività, l’affidabilità e la rilevanza di quelle già disponibili. In
questo tipo di servizi sono coinvolti tre soggetti: oltre all’auditor, infatti, sono
coinvolti il soggetto o i soggetti auditati (auditee), si tratta delle funzioni e delle
risorse coinvolte nel processo comprensive dei soggetti che ne sono responsabili; ed
il cliente che usufruirà dell’output dell’analisi stessa nel processo decisionale, in
questo caso ci si riferisce a soggetti interni (management, Collegio sindacale o altri
organi con compiti di vigilanza) oppure a stakeholder esterni all’azienda, nel caso di
specifiche attività.
Consulenza
I servizi di consulenza sono attività di supporto obiettivo diversi di quelli di assurance
e non comportano alcuna assunzione di responsabilità o decisione operativa da parte
dell’auditor. I soggetti coinvolti in questo caso sono soltanto l’auditor ed il cliente, in
quanto è proprio in accordo con il cliente che vengono pattuite la natura e la portata
dell’attività da svolgere. In tali attività di consulenza rientrano, ad esempio, il
supporto nel ridisegno di processi organizzativi o nella definizione di principi di
controllo, oppure attività di facilitazione nell’ambito dell’autodiagnosi dei rischi o
del risk assessment.
È importante sottolineare la crescita dell’adozione di approcci misti, nei quali
coesistono elementi di assurance e consulenza, soprattutto nell’ambito
dell’operational audit.
13
Efficacia ed efficienza
L’ obiettivo di fondo dell’internal audit è in assoluto il miglioramento dell’efficacia
e dell’efficienza dell’organizzazione aziendale, volto al raggiungimento degli
obiettivi di business e di governo. In generale, per efficacia si intende la capacità di
realizzare le proprie finalità; invece, per efficienza si intende il rapporto tra il grado
di raggiungimento degli obiettivi e la quantità di risorse impiegate (costi sostenuti per
l’implementazione di controlli aggiuntivi ed i benefici con essi ottenuti).
Approccio professionale sistematico e valore aggiunto
Tale approccio è una commistione di competenze professionali individuali, come le
capacità relazionali, di comunicazione e la diligenza; e di elementi chiave che offrono
una garanzia costante al professionista, quali gli Standard professionali IIA, le
consolidate tecniche e procedure di internal audit, i principi in materia economico-
giuridica, matematico-statistica e gli aggiornati sistemi informativi.
Mediante i mezzi sopracitati si punta alla creazione di valore aggiunto, inteso come
contributo all’effettivo miglioramento dell’organizzazione e delle prospettive di
raggiungimento degli obiettivi prefissati dai vertici aziendali7.
1.2) Il contesto normativo nazionale e internazionale
Oltre all’efficacia e all’efficienza, un buon governo d’impresa dovrebbe perseguire
obiettivi altrettanto fondamentali quali la legalità e la trasparenza. Negli ultimi anni,
7 Dittmeier Carolyn A., Internal Auditing - Chiave per la Corporate Governance, Marzo 2011, Seconda edizione, Egea.
14
a seguito delle numerose crisi aziendali esplose nel panorama economico mondiale,
le tematiche legate alla corporate governance hanno acquisito una considerazione
sempre maggiore da parte dei legislatori nazionali ed internazionali, da parte dei
mercati finanziari e dagli stakeholder nel loro complesso. Nel corso di questo
paragrafo illustrerò alcune dei maggiori interventi legislativi che oltre a modificare il
quadro della corporate governance, hanno inciso sulle responsabilità e sull’ambito di
operatività dell’Internal Audit.
1.2.1) Il Testo Unico della Finanza
Nell’ambito delle società quotate e degli istituti finanziari il tema del controllo interno
è affrontato in maniera approfondita dal Testo Unico della Finanza8, il quale si pone
come obiettivo la tutela degli investitori ed il buon funzionamento dell’intero sistema
finanziando mediante i principi della trasparenza e della correttezza. Analizzando il
testo, l’art. 21 al comma 1 (lettera d) sancisce che “nella prestazione dei servizi e
delle attività di investimento e accessori i soggetti abilitati” […] “devono disporre di
risorse e procedure, anche di controllo interno, idonee ad assicurare l’efficiente
svolgimento dei servizi e delle attività”9. Il Testo dedica ampio spazio (Parte IV10)
alla disciplina degli emittenti quotati in materia di governance. Scendendo
maggiormente nel dettaglio, all’art. 150 (intitolato “Informazione”) sono previsti
obblighi di disclosure nei confronti del Collegio Sindacale da parte degli
8 D.lgs n. 58 del 1998, detto anche “Riforma Draghi”. 9 Comma dapprima modificato dall'art. 14 della l. n. 262 del 28.12.2005 e dall'art. 10, comma 6 della l. n. 13 del 6.2.2007 (Legge comunitaria 2006) e poi così sostituito dall’art. 4 del d.lgs. n. 164 del 17.9.2007. 10 Parte IV intitolato “Disciplina degli emittenti” (artt. da 91 a 165septies).
15
amministratori11, del revisore legale o società di revisione12 e dei soggetti preposti al
controllo interno13. Emerge, da queste indicazioni normative, un’inedita rilevanza del
concetto di controllo interno, nonostante quest’ultimo non sia definito ne disciplinato
nel Testo in esame, il quale si limita esclusivamente a stabilire che spetta al collegio
sindacale vigilare “sull'adeguatezza della struttura organizzativa della società per gli
aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-
contabile nonché sull'affidabilità di quest'ultimo nel rappresentare correttamente i
fatti di gestione”14. L’obiettivo del legislatore è stato quello di promuovere il buon
governo d’impresa gettando le basi per la regolamentazione del settore e per
l’autoregolamentazione dei singoli emittenti quotati, in sinergia con l’introduzione di
disposizioni attuative (quali, ad esempio, il Codice di Autodisciplina).
1.2.2) Il Codice di Autodisciplina
Il quadro sempre più istituzionale ed internazionale creatosi in Italia a seguito
dell’entrata in vigore del Testo Unico della Finanza15, ha acceso la competizione per
l’accesso ai mercati finanziari e la minimizzazione del costo del capitale e reso di
fondamentale importanza l’efficienza e l’affidabilità del sistema di Corporate
Governance delle imprese. In quest’ottica, Borsa Italiana S.p.A., ha ritenuto
11 Art. 150, comma 1: “Gli amministratori riferiscono tempestivamente, secondo le modalità stabilite dallo
statuto e con periodicità almeno trimestrale, al collegio sindacale sull'attività svolta e sulle operazioni di maggior rilievo economico, finanziario e patrimoniale, effettuate dalla società o dalle società controllate; in particolare, riferiscono sulle operazioni nelle quali essi abbiano un interesse, per conto proprio o di terzi, o che siano influenzate dal soggetto che esercita l'attività di direzione e coordinamento.” 12 Art. 150, comma 3: “Il collegio sindacale e il revisore legale o la società di revisione legale si scambiano tempestivamente i dati e le informazioni rilevanti per l'espletamento dei rispettivi compiti.” 13 Art. 150, comma 4: “Coloro che sono preposti al controllo interno riferiscono anche al collegio sindacale di propria iniziativa o su richiesta anche di uno solo dei sindaci.” 14 Art. 149 – “Doveri”, comma 1, lettera c. 15 1° luglio 1998
16
necessaria la riunione di un Comitato con il compito di redigere un Rapporto sulla
Corporate Governance delle società quotate e di elaborare un Codice di
Autodisciplina in materia. Il suddetto codice vuole offrire alle imprese quotate
italiane uno strumento capace di rendere ancora più conveniente il loro accesso al
mercato dei capitali e rappresentare un modello di organizzazione societaria adeguato
a gestire il corretto controllo dei rischi d’impresa e i potenziali conflitti d’interesse
che posso interferire nei rapporti tra amministratori ed azionisti e tra maggioranze e
minoranze. Il Codice di Autodisciplina rappresenta uno strumento allineato con la
Best Practice internazionale, ma rispettoso della specificità italiana, il cui uso è
assolutamente volontario e non obbligatorio ed è dotato inoltre di elementi di
flessibilità e di adattamento alle diverse realtà economico-aziendali. Il Comitato per
la Corporate Governance raccomanda la costituzione di un sistema di controllo
interno organizzato e modulato sulla realtà aziendale di ogni singola società16. Per
avere mezzi idonei ad identificare, prevenire e gestire rischi e frodi di natura
finanziaria ed operativa, un buon sistema di controllo deve necessariamente essere
dotato di adeguate risorse umane e finanziarie, le quali devono essere garantite dagli
amministratori delegati ad assicurare funzionalità ed adeguatezza al sistema di
controllo interno. È raccomandata, inoltre, per tutte le società quotate l’istituzione di
un comitato per il controllo interno che abbia il compito di analizzare le
problematiche e di istruire le pratiche rilevanti per il controllo delle attività aziendali.
16 Codice di Autodisciplina, art. 7, principio 1: “Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale.”
17
In particolare, il comitato deve: essere formalmente costituito, essere formato da un
adeguato numero di amministratori non esecutivi17, avere funzioni consultive e
propositive, riferire al consiglio di amministrazione con regolarità, poter valutare
l’adeguatezza del sistema di controllo, le relazioni dei revisori e dei preposti al
controllo interno, la scelta ed il lavoro della società di revisione. Questa approfondita
analisi normativo-organizzativa mette in risalto la complessità di un sistema di
controllo interno e di gestione dei rischi e la molteplicità di attori in esso coinvolti.
Oltre agli amministratori ed al comitato controllo e rischi, il codice cita: il
responsabile della funzione internal audit “incaricato di verificare che il sistema di
controllo interno e di gestione dei rischi sia funzionante e adeguato”18, il collegio
sindacale, la revisione contabile e gli altri ruoli e funzioni aziendali con specifici
compiti in tema di controllo interno e gestione dei rischi. Inoltre, spetterà ad ogni
emittente quotata prevedere le modalità di coordinamento tra i soggetti coinvolti, in
un’ottica di massimizzazione dell’efficienza e di riduzione della duplicazione di
attività (la tematica dell’overlapping sarà analizzata in maniera più approfondita nei
capitoli successivi).
17 Codice di Autodisciplina, art. 7, principio 4: “Il comitato controllo e rischi è composto da amministratori indipendenti. In alternativa, il comitato può essere composto da amministratori non esecutivi, in maggioranza indipendenti; in tal caso, il presidente del comitato è scelto tra gli amministratori indipendenti. Se l’emittente è controllato da altra società quotata o è soggetto all’attività di direzione e coordinamento di un’altra società, il comitato è comunque composto esclusivamente da amministratori indipendenti. Almeno un componente del comitato possiede un’adeguata esperienza in materia contabile e finanziaria o di gestione dei rischi, da valutarsi da parte del consiglio di amministrazione al momento della nomina.” 18Codice di Autodisciplina, art. 7, principio 3, lettera b.
18
1.2.3) Il d.lgs. 231/01: la responsabilità amministrativa delle persone giuridiche
Il Decreto Legislativo 231 del 200119 trae ispirazione da una norma pubblicata per la
prima volta nel 197720 negli Stati Uniti, il Foreign Corrupt Practices Act (FCPA),
tanto da esserne considerato addirittura una trasposizione nazionale. Il FCPA è un
atto che proibisce alle società statunitensi di corrompere funzionari stranieri per
ottenere o mantenere affari. L’obiettivo quindi è quello di tutelare la stabilità
finanziaria delle società (controllanti, controlla nazionali ed estere, joint venture,
partnership, ecc.), ma anche dei mercati finanziari nel loro complesso. Oltre a
provvedimenti anti-corruzione, questo atto contiene disposizioni in materia di
contabilità e controllo interno: infatti, è previsto che le società statunitensi attive sul
mercato mobiliare mantengano registri contabili, in modo tale da individuare e
rintracciare pagamenti sospetti ove necessario; è poi richiesta l’istituzione ed il
mantenimento di un adeguato Sistema di Controllo Interno, che vigili su irregolarità
e mismatching tra scritture contabili e flussi finanziari effettivi e che possa costituire
un efficace deterrente contro pagamenti illeciti. Per tutte queste ragioni, il FCPA ha
avuto un grande impatto sul mondo dell’internal auditing e sulle iniziative
nell’ambito del controllo interno: molte società hanno ampliato e conferito maggiori
poteri alle proprie funzioni di internal auditing ed analizzato i propri sistemi di
controllo interno; diverse Authority hanno emesso regolamentazioni,
raccomandazioni e proposte inerenti al Controllo Interno (ad esempio, la relazione
emessa nel 1987 dalla Treadway Commission che raccomandava la creazione di
19 Emanato in esecuzione della delega di cui all’art. 11 della Legge n. 300 del 2000 20 Il Foreign Corrupt Practices Act è stato successivamente modificato nel 1988 e nel 1998.
19
tassativi codici di comportamento e la creazione di un Audit Committee col compito
di verificare annualmente l’operato del management, oltre a sottolineare l’importanza
di una funzione internal audit efficace ed obiettiva).
Come anticipato in precedenza, il d.Lgs. 231/01 trova una propria riconduzione nel
Foreign Corrupt Practices Act. Con tale decreto, emanato per adeguare la normativa
italiana ad alcune Convenzioni internazionali in materia di responsabilità delle
persone giuridiche, viene riconosciuta una responsabilità amministrativa di tipo para-
penale21 in capo agli enti forniti di personalità giuridica, alle società ed alle
associazioni (anche prive di personalità giuridica) per quanto riguarda reati commessi
nell’interesse o a vantaggio degli enti stessi. Tali reati devono essere commessi da
persone fisiche che ricoprono funzioni amministrative, direttive o rappresentative
nell’ente (o in una sua unità autonoma), da persone fisiche che esercitano il controllo
e la gestione dell’ente (anche solo di fatto) oppure da persone fisiche sottoposte alla
vigilanza ed alla direzione dei soggetti sopra indicati22. Le sanzioni amministrative
previste dal decreto in analisi sono sentenze di tipo pecuniario23 e di tipo
interdittivo24, la confisca e la pubblicazione della sentenza. Nel corso degli anni, il
novero dei reati sanzionabili è stato sensibilmente ampliato, andando a coprire ambiti
disciplinari eterogenei tra loro. Tra i più importanti individuiamo: reati contro la
Pubblica Amministrazione, reati societari; falsità in monete, in carte di pubblico
21 Responsabilità nominalmente amministrativa con accertamento in sede di procedimento penale. 22 Art. 5 – “Responsabilità dell’ente” 23 La sanzione pecuniaria è applicata per quote (tra cento e mille), il cui importo va da 258 a 1549 euro. 24 Art. 9 – 2. “Le sanzioni interdittive sono: a) l'interdizione dall'esercizio dell'attività; b) la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; c) il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; d) l'esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; e) il divieto di pubblicizzare beni o servizi.”
20
credito, in valori di bollo e in strumenti o segni di riconoscimento; market abuse25;
terrorismo ed eversione dell’ordine democratico; reati informatici; reati contro
l’industria e il commercio; reati contro la persona e la personalità individuale;
riciclaggio, ricettazione e impiego di denaro, beni o altre utilità di provenienza
illecita; omicidio colposo e lesioni colpose gravi o gravissime26; criminalità
organizzata; violazione dei diritti d’autore; induzione a non rendere dichiarazioni o
rendere dichiarazioni mendaci all’autorità giudiziaria. Il codice di autodisciplina27
riconosce i modelli di organizzazione, gestione e controllo addottati ai sensi del
231/01 quali modelli di best practice da tenere in considerazione in ogni Sistema di
Controllo Interno. L’adozione di tale tipologia di modello, nonostante essa non sia
resa obbligatoria ex lege, può costituire una sorta di scudo aziendale in grado di
esimere l’ente dalla responsabilità amministrativa in caso di un “evento illecito
231”28, a patto che: l’adozione del modello sia avvenuta prima del fatto; sia stato
nominato un Organismo di Vigilanza (OdV) per la verifica su funzionamento,
osservanza e aggiornamento del modello; il reato sia stato commesso aggirando
fraudolentemente il modello; l’OdV abbia adeguatamente vigilato. Il modello
organizzativo rappresenta, oltre a una prevenzione dal punto di vista penale, anche
un’opportunità di innovazione culturale per la realizzazione di un sistema aziendale
25 Condotte poste in essere sul mercato degli strumenti finanziari e consistenti nell'approfittare di informazioni confidenziali, nel falsare il meccanismo di determinazione dei prezzi o nel divulgare sul mercato informazioni false o ingannevoli. 26 Dall’agosto del 2007 vengono introdotti reati colposi, ossia eventi dannosi cagionati non volontariamente, provocati dall’inosservanza di regole cautelari legate alle tematiche di salute e sicurezza nei luoghi di lavoro. 27 Nella nuova edizione pubblicata da Borsa Italiana nel marzo 2006. 28 Se il fatto è commesso da soggetti apicali, l’onere della prova è a carico dell’ente (inversione dell’onere), che deve dimostrare la corretta attuazione del modello e le modalità con le quali tali soggetti lo hanno aggirato; se invece è commesso da soggetti posti sotto altrui vigilanza, l’onere della prova è a carico dell’accusa.
21
ispirato ad una gestione sana e culturalmente etica, tanto che oltre il 95% delle società
quotate ha dichiarato di aver adottato tale modello.
1.2.4) USA: il Sarbanes Oxley Act
Gli scandali finanziari emersi negli Stati Uniti agli inizi degli anni duemila (tra i quali
spicca il caso Enron29), hanno messo a nudo le debolezze della corporate governance.
Ciò ha spinto gli Stati Uniti all’approvazione, nel 2002, del Sarbanes Oxley Act con
l’obiettivo primario di riconquistare la fiducia degli investitori rendendo più
affidabile l’amministrazione aziendale ed investendo i funzionari aziendali di una
responsabilità personale per quanto riguarda false dichiarazioni sui dati finanziari.
Infatti, nelle Section 302 e 404 è stabilito che le organizzazioni devono migliorare la
responsabilità aziendale nei confronti degli stakeholder utilizzando criteri e procedure
contabili e sviluppando procedure di controllo interno. Tale normativa è applicabile
alle società quotate che superano un determinato livello di capitalizzazione. La
struttura della riforma poggia su alcune innovazioni fondamentali, tra le quali: la
concessione di maggiori poteri e finanziamenti alla Securities and Exchange
Commission (SEC)30; la creazione di un Board indipendente denominato “Public
Company Accounting Oversight Board” che vigila sulle società di revisione; il
divieto di svolgere alcune tipologie di servizi di consulenza da parte della società che
29 Nel 2001 la Enron improvvisamente fallì. L'avvenimento giunse del tutto inaspettato poiché ufficialmente l'azienda negli ultimi dieci anni aveva avuto una crescita molto rapida, decuplicando il proprio valore e raggiungendo il 7º posto nella classifica delle più importanti multinazionali degli USA. Tuttavia nel giro di pochissimo tempo le azioni Enron, da tutti considerate solidissime, persero tutto il loro valore, passando dalla quotazione di 86 dollari a 26 centesimi, bruciando così circa 60 miliardi di dollari nel giro di tre mesi. 30 La “Commissione per i titoli e gli scambi” è l’ente federale statunitense preposto alla vigilanza della borsa valori (analoga alla Consob in Italia), fu fondata nel 1934 dal Presidente Roosvelt all’indomani della crisi del 1929 nell’ambito del New Deal.
22
esercita contestualmente l’attività di revisione contabile; la trasparenza delle
transazioni cosiddette “off-balance sheet” (operazioni fuori bilancio).
Il “company principal executive and financial officer” deve attestare la veridicità del
bilancio annuale e delle relazioni finanziarie delle società quotate: sotto questo profilo
viene stabilito che il Chief Executive Officer e il Chief Financial Officer (o figura
equivalente) sono responsabili dell’adozione e implementazione di sistemi di
controllo interno e procedure sulle informazioni che vengono fornite al mercato e che
tale sistema di controllo interno deve essere idoneo a garantire che il flusso delle
informazioni/dati prodotti e attestati sia adeguato e corretto31.
Invece, con riferimento al sistema di controllo interno sul processo di redazione del
bilancio la riforma sancisce che il Chief Executive Officer e il Chief Financial Officer
devono valutare l’efficacia del sistema di controllo interno sul processo di redazione
del bilancio, comunicandone i risultati e le conclusioni nei report prodotti (bilancio e
relazioni periodiche)32 e che, inoltre, la società di revisione deve esprimere un
giudizio sul processo di valutazione del sistema di controllo interno, sul processo di
redazione del bilancio e sulla conformità di tale sistema al framework di riferimento
preventivamente definito dal Chief Executive Officer e dal Chief Financial Officer33.
31 Tematiche affrontate nella Sec. 302 32 Section 404 33 Per quest’ultimo punto, l’attività di reporting sul sistema di controllo interno è stata successivamente
rafforzata, nel quadro regolamentare statunitense, dalle prescrizioni dello standard n. 2 del PCAOB (Public Company Accounting Oversight Board) “An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements”.
23
Tabella 1.1 – Riassunto dei principali adempimenti in termini di attestazione (fonte AIIA)
Sono previste pesanti sanzioni amministrative e penali: per i falsi e le frodi che
incidono sull’acquisto o la vendita di strumenti finanziari (incluso il reato di falso in
bilancio) è prevista la reclusione fino a vent’anni e la multa fino a cinque milioni di
euro; per l’ostacolo alla giustizia mediante distruzione e/o alterazione di documenti è
prevista la reclusione fino a vent’anni. Un caso emblematico fu quello della società
di revisione coinvolta nello scandalo Enron, la Arthur Andersen34, la quale a causa
delle responsabilità accertate nella vicenda è stata posta immediatamente in
liquidazione.
34 La Arthur Andersen, fondata nel 1913, in seguito denominata Andersen, è stata per lungo tempo una delle principali società multinazionali di revisione di bilancio e consulenza a livello mondiale, parte delle "Big Five" (“Big Four” dopo il default della AA), gruppo delle principali società di revisione di bilancio e consulenza per grandi aziende.
24
Dopo circa un anno di applicazione delle norme SOA, l’Institute of Internal Auditors
ha osservato come uno dei primi risultati conseguiti è stato l’effettivo incremento del
livello dei controlli e un miglioramento generale dell’ambiente di controllo nelle
aziende, in connessione all’impulso dato dalla linea manageriale, dal comitato di
audit e dal vertice aziendale stesso. L’Institute ha anche fornito una serie di importanti
suggerimenti35, tra i quali risaltano: la necessità di adottare un approccio di tipo più
“enterprise-wide” ai controlli interni previsti dalla Section 404; per il lavoro delle
società di revisione in connessione con la Section 404, la necessità di tener maggior
conto del lavoro dei terzi tra cui quello dell’Internal Auditing che già svolge
un’attività di valutazione del sistema di controllo interno; l’esigenza che nella
pianificazione dell’attività di Internal Auditing sia assicurato un corretto
bilanciamento tra i diversi rischi al fine di evitare un’eccessiva incidenza dei controlli
di tipo finanziario.
Infine, l’IIA ha sottolineato come l’Internal Auditing, nell’esperienza statunitense,
si sia dimostrato un elemento rilevante di supporto al vertice aziendale. Il suo
coinvolgimento deve peraltro avvenire in osservanza degli Standard Internazionali
per la pratica professionale dell’Internal Auditing, con particolare riferimento ai
profili dell’indipendenza e dell’obiettività della sua azione.
1.2.5) La legge 262/05
La legge n. 262 del 28 Dicembre 2005, intitolata “Disposizioni per la tutela del
risparmio e la disciplina dei mercati finanziari”, ha innovato il panorama economico-
35 Mediante una lettera del 31 Marzo 2005 inviata alla Securities and Exchange Commission.
25
legislativo italiano a tal punto da comportare delle modifiche al Testo Unico della
Finanza, al Testo Unico Bancario ed al Codice Civile36. La legge trae ispirazione dal
Sarabanes Oxley Act, trattato nel paragrafo precedente, e condivide con esso sia le
origini (le crisi finanziare di importanti emittenti quotati) che gli obiettivi (rendere
trasparenti e corretti i rapporti tra emittenti e stakeholders). In tal senso la legge in
analisi tra i suoi capisaldi ricomprende: la responsabilità personale in capo a
determinati attori aziendali per quanto riguarda la veridicità dei documenti contabili
e delle informazioni fornite ai terzi e alle autorità37; l’introduzione di una nuova figura
societaria, il Dirigente preposto alla redazione dei documenti contabili societari
(“Dirigente Preposto”), con l’obbligo di istituire adeguate procedure amministrative
e contabili per la predisposizione del bilancio (di esercizio e, se previsto, consolidato)
e di ogni altra comunicazione in ambito finanziario; la maggior disciplina in tema di
revisione contabile, con una particolare attenzione ai conflitti d’interesse e
all’indipendenza. Un’ulteriore novità risiede nel fatto che le società sono vincolate a
pubblicare annualmente, nei termini imposti dalla Consob, una dichiarazione di
adesione ai codici di comportamento promossi da società di gestione di mercati
regolamentati o da associazioni di categoria degli operatori; le società dovranno
osservare gli impegni a ciò conseguenti, motivando le ragioni dell’eventuale
inadempimento. La formulazione di questo requisito fa sì che una società quotata non
potrà esimersi dallo specificare l’adesione ad un codice (ad esempio il Codice di
Autodisciplina di Borsa Italiana), e quindi del modello di controllo interno di
36 Sono state apportate modificazioni all’art. 2393 (“Azione sociale di responsabilità”); sono stati sostituiti gli artt. 2621 (“False comunicazioni sociali”) e 2622 (“False comunicazioni sociali in danno della società, dei soci o dei creditori”); è stato inserito l’art. 2629bis (“Omessa comunicazione del conflitto d’interessi”). 37 Artt. 14, 15 e 30 del testo di Legge.
26
riferimento, e di esplicitarne il grado di attuazione. Andando ad approfondire i profili
della norma legati ai documenti contabili societari, spicca la novità assoluta, come
anticipato in precedenza, dell’introduzione della figura del Dirigente preposto alla
redazione dei documenti contabili societari, il quale deve essere nominato dallo
statuto e al quale devono essere conferiti adeguati poteri e mezzi per l’esercizio dei
compiti e delle responsabilità attribuitegli. Tra gli aspetti operativi di questa
importante figura societaria rientrano: l’attestazione sottoscritta in sinergia con il
direttore generale della veridicità di tutti gli atti, comunicazioni e dati diffusi e forniti
sulla situazione economica, patrimoniale o finanziaria della società; l’impegno a
dotarsi di adeguate procedure amministrative e contabili per la predisposizione del
bilancio di esercizio (e laddove previsto del bilancio consolidato) e di tutte le altre
comunicazioni finanziarie diffuse al pubblico; l’attestazione, in unione agli organi
amministrativi delegati, tramite un’apposita relazione (sulla base di un modello
fornito dalla Consob), da allegare al bilancio di esercizio/consolidato, l’adeguatezza
e l’effettiva applicazione delle procedure amministrativo-contabili nonché la
corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili.
La base normativa sopra indicata è stata potenziata dall’inasprimento delle sanzioni
penali e amministrative38, sia nei confronti dei tradizionali organi amministrativi e di
controllo, sia a carico dei dirigenti preposti alla redazione dei documenti contabili
societari, che espongono fatti o forniscono relazioni/bilanci non rispondenti al vero
con l’intenzione di ingannare o indurre in errore i soci o il pubblico, e per conseguire
per sé o altri un ingiusto profitto.
38 Il Titolo V – “Modifiche alla disciplina in materia di sanzioni penali e amministrative” sancisce le modifiche e le novità in tema di reati societari e relative sanzioni.
27
Viene messa ancora in risalto, anche da questo punto di vista, la figura del Dirigente
Preposto, cui dovranno essere resi disponibili poteri, autonomia decisionale e mezzi
al fine di dotare la società di procedure contabili e amministrative che forniscano una
ragionevole garanzia che l’intero assetto organizzativo produca dati ed informazioni
di natura economica, patrimoniale e finanziaria veritiere, che il potenziale rischio di
informazioni false sia mantenuto ad un livello veramente contenuto, e che nel caso
ciò accadesse, il fatto possa essere prontamente individuato ed eliminato. Per
perseguire tali obiettivi, diventa assolutamente necessario dotarsi di adeguate
procedure contabili e amministrative. Queste procedure, per essere veramente efficaci
e ridurre i rischi a livelli accettabili, richiedono un’idonea progettazione, gestione e
monitoraggio del sistema di controllo interno con attività articolate su tutti i livelli
aziendali (dai controlli di base o primo livello al monitoraggio svolto dai diversi
livelli di responsabilità manageriale). Questi requisiti rappresentano strumenti di
garanzia per il vertice aziendale, per il dirigente stesso (nelle responsabilità che la
legge stessa gli attribuisce) e per gli organi amministrativi coinvolti.
Questa impostazione conferma il continuo interessamento del legislatore
all’organizzazione interna delle aziende che ormai prosegue da anni. La principale
implicazione che deriva dagli articoli di legge è rappresentata dalla necessità che le
aziende si dotino di un sistema di controlli interni inteso come processo manageriale
continuo (non solo quindi procedure, sistemi informativi e moduli) che nel caso
specifico, fornisca una ragionevole garanzia di raggiungimento dell’obiettivo di
controllo dell’affidabilità delle informazioni contabili e finanziarie
dell’organizzazione aziendale.
28
1.3) Il ruolo dell’internal audit nel disegno di Corporate Governance
I precedenti paragrafi hanno evidenziato come il vigente quadro normativo e
regolamentare abbia, in maniera crescente, rafforzato la responsabilità aziendale su
tematiche relative al Controllo Interno, richiedendo crescenti livelli di attenzione su
rischi specifici comuni alla vita aziendale (informativa societaria, corruzione PA,
salute e sicurezza, ambiente, ecc.). Tale paragrafo, invece, si pone l’obiettivo di
aiutare a chiarire questi aspetti inquadrando l’attività di internal auditing all’interno
del disegno di corporate governance e del Sistema di Controllo Interno, con un occhio
di riguardo al posizionamento strategico della funzione Internal Audit ed ai rapporti
di tale funzione con gli altri principali attori del Governo aziendale. Si cercherà,
inoltre, di capire come una funzione Audit possa affrontare efficacemente tutti gli
aspetti analizzati in precedenza cercando di perseguire, a livello aziendale, un giusto
equilibrio tra costi ed efficacia dei controlli.
1.3.1) Le three lines of defense
Il modello a tre linee di difesa (Three lines of defence, 3LoD), pubblicato in un
documento39 emesso dalla European Confederations of Institutes of Internal Audit
(ECIIA), si ispira alla normativa finanziaria ed in particolare ai principi di corporate
governance di Basilea40 con l’obiettivo di fornire uno schema di riferimento per il
legislatore. Tale modello divide in tre gruppi gli attori coinvolti in una efficace
39 European Confederations of Institutes of Internal Audit (ECIIA), Federation of European Risk Management Associations (FERMA), Guidance on the 8th EU Company Law Directive on Statutory Audit, Settembre 2010. 40 Comitato di Basilea, Principles for Enhancing Corporate Governance, 2010.
29
gestione dei rischi: funzioni che possiedono e gestiscono i rischi, funzioni che
controllano i rischi e funzioni che forniscono assurance indipendente.
Figura 1.1 – Il modello a Tre Linee di Difesa (fonte: ECIIA/FERMA)
La prima linea di difesa spetta al management operativo41, il quale è anche
responsabile dell'attuazione di azioni correttive per affrontare il processo e le carenze
di controllo. La gestione operativa è responsabile del mantenimento di un efficace
Sistema di Controlli e dell'esecuzione di procedure per la verifica di rischi e controlli
su base giornaliera. Inoltre, individua, valuta, controlla e mitiga i rischi, guidando lo
sviluppo e l'attuazione di politiche e procedure interne assicurando che le attività
41Il management operativo consiste nell’insieme di azioni messe in atto dal management e volte al raggiungimento di determinati obiettivi attraverso la cooperazione con il team. Si tratta di un’attività complessa, che richiede la gestione dei costi, del cambiamento, della qualità, delle risorse umane e dei flussi informativi che, solo se adeguati, possono aiutare i processi decisionali (Boutall, 1996).
30
siano coerenti con finalità e obiettivi prefissati. Attraverso una struttura di
responsabilità a cascata, i manager di livello intermedio progettano e implementano
procedure dettagliate di controllo e supervisionano l'esecuzione di tali procedure da
parte dei soggetti a loro subordinati. Il management operativo è naturalmente la prima
linea di difesa perché i sistemi e i processi di controllo sono progettati sotto la loro
guida. È necessaria, ovviamente, un’adeguata gestione e supervisione dei controlli in
atto per garantire la conformità e per evidenziare eventuali falle, processi inadeguati
o eventi imprevisti. In particolare, la seconda linea di controllo interviene in specifici
settori caratterizzati da rischi la cui mitigazione risulta particolarmente strategica o
complessa.
Il management dà origine a funzioni di risk management e compliance volte a
consolidare e controllare il lavoro svolto nella prima linea di difesa. La specificità di
suddette funzioni può variare a seconda del tipo di organizzazione e di azienda presa
in considerazione, ma tipicamente la seconda linea di difesa include: una funzione
risk management (e/o un risk management committee) che facilita e monitora
l’efficace implementazione delle pratiche di risk management della gestione
operativa e supporta i risk owners nel valutare l’esposizione al rischio e riportare
adeguatamente informazioni relative ai rischi a tutta l’organizzazione; una funzione
compliance che monitora la conformità alle leggi e ai regolamenti dei vari rischi
specifici e che riporta le informazioni ai senior manager o in alcuni casi direttamente
agli organi di governo (spesso in una singola organizzazione coesistono varie
31
funzioni di compliance con responsabilità legate a diversi settori di competenze42;
infine, una funzione di controllo riguardante rischi finanziari e questioni di bilancio.
Il management progetta le suddette funzioni per garantire una prima linea di difesa
correttamente progettata e funzionante, come pianificato. Ognuna di queste funzioni
vanta un certo grado di indipendenza rispetto alla prima linea, ma rimangono legate
per natura alla gestione operativa ed in quanto funzioni manageriali possono
intervenire direttamente nella modifica e nello sviluppo del Sistema di Controllo
Interno e Gestione dei Rischi. Pertanto, la seconda linea di difesa ha un’importanza
vitale, ma non può offrire un’analisi completamente indipendente dagli organi di
governo in termini di risk management e controllo interno. Le responsabilità di queste
funzioni variano a seconda della loro natura specifica, ma possono includere43:
sostegno alle politiche aziendali, definizione di ruoli e responsabilità, pianificazione
degli obiettivi; provvedimenti riguardanti la struttura del risk management;
identificazione di problematiche note ed emergenti; identificazione degli scostamenti
della propensione al rischio dell’organizzazione; assistenza al management nello
sviluppo di processi e controlli legati alla gestione dei rischi; fornire orientamento e
formazione sui processi di gestione dei rischi; facilitare e monitorare
l’implementazione di efficaci pratiche di gestione del rischio nella gestione operativa;
allertare il management riguardo nuove problematiche emergenti e cambiamenti della
regolamentazione e degli scenari di rischio; monitorare l’adeguatezza ed il
funzionamento del sistema di controllo interno, la correttezza e la completezza del
42 Salute e sicurezza, supply chain, ambiente, qualità, ecc. 43 IIA, Position Paper: The three lines of defence in effective risk management and control, The Second Line
of Defense: Risk Management and Compliance Functions, Gennaio 2013.
32
reporting, la compatibilità con leggi e regolamenti ed il tempestivo risanamento delle
carenze.
In ultimo, la terza linea di difesa è coperta dall’internal audit, che fornisce al governo
societario e al senior management una garanzia completa basata sul più alto livello di
indipendenza ed obiettività rintracciabile all’interno dell’organizzazione (a
differenza di quanto visto per la seconda linea). L’internal audit garantisce
sull’efficacia della governance, della gestione dei rischi e dei controlli interni, incluso
il controllo sulle precedenti due linee di difesa. L’obiettivo di questa tipologia di
assurance solitamente ricomprende44: una vasta gamma di obiettivi, tra cui l'efficacia
e l'efficienza delle operazioni, la salvaguardia del patrimonio, l’affidabilità e
l'integrità dei processi di reporting ed il rispetto di leggi, regolamenti, politiche,
procedure e contratti; tutti gli elementi della gestione dei rischi e del controllo interno
(ambiente di controllo interno, identificazione del rischio, valutazione del rischio e
risposta, informazione e comunicazione, monitoraggio); l'entità complessiva, le
divisioni, le controllate, le unità operative, i processi aziendali (vendite, produzione,
marketing, sicurezza, funzioni del cliente e operazioni), le funzioni di supporto (ad
esempio, entrate, contabilità delle spese, risorse umane, acquisti, libro paga,
budgeting, infrastrutture e asset management, inventario, information tecnology).
L'istituzione di un'attività di internal audit professionale dovrebbe essere un requisito
di governance per tutte le organizzazioni, non solo per le più grandi ed articolate, ma
anche per le organizzazioni di medie dimensioni e per le entità più piccole, in quanto
possono affrontare ambienti altrettanto complessi con una struttura meno formale e
44 IIA, Position Paper: The three lines of defence in effective risk management and control, The Third Line of Defense: Internal Audit, Gennaio 2013.
33
robusta nella gestione dei rischi. L’internal audit contribuisce attivamente ad
un'efficace governance organizzativa garantendo che determinate condizioni siano
soddisfatte mediante il loro approccio indipendente e professionale. La best practice
prevede di stabilire e mantenere un'attività indipendente, adeguatamente e
competentemente dotato di una funzione di internal audit, che debba: agire in
conformità con gli standard internazionali riconosciuti per la pratica dell’internal
audit, riportare ad un livello sufficientemente elevato nell'organizzazione per essere
in grado di svolgere le proprie funzioni indipendentemente, avere una linea di
reporting attiva ed efficace nei confronti degli organi direttivi.
Inoltre, come è possibile notare nella figura 1.1, al di fuori dello schema delle Three
Lines, spicca la presenza dell’External Audit, definibile come una sorta di “terza linea
esterna”. La revisione esterna è affidata, secondo previsioni legislative, ad un revisore
legale dei conti o ad una Società di Revisone (tale figura sarà esaminata in dettaglio
nei paragrafi a seguire).
1.3.2) Il coordinamento delle Tre Linee ed il rischio overlapping
Per quanto riguarda il coordinamento delle tre linee di difesa, non si può parlare in
assoluto di una maniera “corretta” di coordinare, in quanto ogni organizzazione è
unica e le singole circostanze variano. E nonostante il risk management nel suo
complesso debba risultare il più omogeneo possibile, è importante tenere ben a mente
i compiti di ogni singolo gruppo (vedi Tabella 1.2).
34
Tabella 1.2 – Caratteristiche delle Tre Linee di Difesa (fonte: IIA)
Le tre linee dovrebbero esistere, in qualche modo, in qualsiasi organizzazione, a
prescindere dalla grandezza o dalla complessità della stessa. La gestione dei rischi
risulta essere più solida quando risulta più netta la distinzione tra i tre gruppi.
Tuttavia, nello sviluppo di particolari situazioni, soprattutto nelle realtà di piccole
dimensioni, possono verificarsi delle sovrapposizioni tra più linee. Ad esempio, è
frequente in cui all’internal audit sia richiesto di intervenire nel campo del risk
management oppure di gestire attività a livello di compliance. In circostanze tali,
spetta alla funzione internal audit di riferire al governo societario ed ai senior manager
l’entità e i possibili risvolti di tali sovrapposizioni. Inoltre, nel caso in cui venissero
assegnate responsabilità “doppie” in capo ad una singola persona o ad una singola
funzione, sarebbe consigliabile procedere ad una riassegnazione delle responsabilità
così da rendere nuovamente chiaro lo schema delle Tre Linee. Indipendentemente
dalle modalità in cui il modello è applicato, è fondamentale che i vertici aziendali
chiariscano l’importanza della condivisione delle informazioni e del coordinamento
delle azioni tra tutti i gruppi implicati nel Sistema di Controllo Interno e Gestione dei
Rischi. In linea con quanto raccomandato dagli International Standards for the
35
Professional Practice of Internal Auditing45, i chief audit executive (CAE)46 hanno il
dovere di condividere informazioni e coordinare attività con coloro che forniscono
servizi di assurance e consulenza, che siano essi interni o esterni all’organizzazione,
in modo tale da garantire un’adeguata copertura delle attività e ridurre la duplicazione
degli sforzi (overlapping). La chiarezza intorno ai ruoli delle diverse funzioni, quindi,
risulta essere un punto cruciale nel modello 3LoD, in quanto permette la
minimizzazione dell’overlapping47 nel campo degli obiettivi e delle responsabilità ed
illustra come il lavoro di tutte le funzioni coinvolte possa confluire verso
l’individuazione dei rischi maggiormente rilevanti con un’elevata efficacia ed
efficienza. Inoltre, il modello dimostra come la separazione dell’internal audit dal
management possa permettere alla funzione IA una comunicazione imparziale e non
filtrata con il board riguardo i rischi dell’organizzazione e le argomentazioni di
controllo.
1.3.3) I rapporti tra Internal Audit e Dirigente Preposto
La figura del Dirigente preposto alla redazione dei documenti contabili societari
(analizzata nel paragrafo 1.2.5) si manifesta agli stakeholder solo nel momento della
relazione annuale al bilancio e nelle comunicazioni periodiche riguardanti il rilascio
di informazioni di tipo economico-finanziario-patrimoniale, ma presuppone una
intensa attività interna per la predisposizione, l’attuazione e l’attestazione
45 Pubblicati ed aggiornati (ultima versione dell’ottobre 2016) dall’Institute of Internal Auditors, contengono attribute standards e performance standards per la professione. 46 Questa figura professionale rappresenta il livello più alto all’interno della funzione internal audit (anche chiamato Direttore dell’Internal Audit). 47 IIA, Tone at the Top: Issue 60 - Providing senior management, boards of directors, and audit committees
with concise information on governance-related topics, Febbraio 2013.
36
dell’adeguatezza dell’impianto procedurale riferito al settore amministrativo-
contabile aziendale con gli adeguati poteri e mezzi garantitigli dalla normativa48 per
il pieno assolvimento dei suoi compiti.
Importante contributo in materia è stato fornito anche dai vari position paper
pubblicati dall’Associazione Italiana Internal Auditors, che hanno evidenziato come
potrebbero generarsi sovrapposizioni o conflitti di competenze nella gestione dei
sistemi di controllo/verifica/audit nel momento in cui tali funzioni fossero istituite
alle dirette dipendenze del dirigente preposto, generando inoltre una diseconomia
nella gestione aziendale ed una carenza di controllo nelle aree in cui si verifichino
conflittualità tra sistemi concomitanti. La recente dottrina49 ha definito il DP come
una “cerniera” tra gli organi e le funzioni dedicate al controllo contabile, importante
sia nella predisposizione delle procedure amministrative e contabili finalizzate alla
formazione del bilancio, sia nella trasmissione al Comitato per il Controllo Interno e
al CdA di tutte le informazioni utili e necessarie per l’espressione di una valutazione
di adeguatezza sull’assetto organizzativo complessivo. Il DP, in quanto garante su
attendibilità e trasparenza dei documenti e delle procedure contabili societarie, può
avvalersi in via diretta della funzione internal audit, la quale dovrà garantirgli un
costante flusso informativo volto a fornire le informazioni inerenti all’attuazione del
SCI in generale e del controllo contabile in particolare. Esso ha un ruolo più
gestionale che di controllo: partecipa all’architettura dell’assetto organizzativo e
contabile, ma non ha un vero e proprio peso specifico all’atto di valutazione e stima
48 Legge n. 262 del 28 Dicembre 2005, “Disposizioni per la Tutela del Risparmio e la disciplina dei Mercati Finanziari”, artt. 14, 15, 30 (vedi anche par. 1.2.5 della tesi). 49 Confindustria, Linee guida per lo svolgimento delle attività del dirigente preposto alla redazione dei documenti contabili societari ai sensi dell’art. 154-bis TUF, Dicembre 2007.
37
dei dati contabili50. Attribuendo al detto soggetto una funzione amministrativa di
controllo, potrebbe sorgere il dubbio circa una sovrapposizione di tale incarico con
quello dell’organo delegato per la predisposizione delle procedure contabili e con
quello del comitato per il controllo interno e degli amministratori non esecutivi. Tale
sovrapposizione svanisce nel momento in cui si analizza la vera funzione del
dirigente preposto, che è quella di garanzia dell’attendibilità e trasparenza delle
informazioni contabili della società. Vi è la convinzione, in Dottrina, che il dirigente
preposto debba essere considerato come un “nuovo organo societario”, qualificato
cioè come una nuova figura dirigenziale, la cui nomina deve essere riservata
all’organo amministrativo.
Il supporto autonomo ed indipendente fornito dall’internal audit può essere una
preziosa garanzia per il Dirigente Preposto e l’amministratore delegato nello
svolgimento delle attestazioni in capo alle proprie responsabilità. Ciò perché l’IA
nell’esercizio della sua attività di consulenza individua e verifica i rischi aziendali,
contribuisce all’implementazione di un sistema di risk management, assiste nella
formazione interna per diffondere le competenze necessarie per l’autodiagnosi51 del
Sistema di Controllo Interno riguardo a specifici rischi di natura finanziario-
contabile. Inoltre, la funzione di internal auditing può attivarsi anche su segnalazione
del DP per svolgere degli audit specifici in aree minacciate da situazioni di rischio,
in modo da poter fornire assurance su adeguatezza e funzionamento dei processi
contabili segnalati, pur sempre mantenendo un’ottica sull’organizzazione nel suo
50 Assonime, Circolare 44, Il dirigente preposto alla redazione dei documenti contabili nel sistema dei controlli societari, Novembre 2009. 51 Control Risk Self-Assessment (CRSA): si pone quindi come obiettivo quello di fornire al management uno strumento che consente l'effettuazione di analisi qualitative per la gestione del rischio.
38
complesso e sulla complessiva esposizione al rischio. Il flusso informativo generato
dai suddetti audit confluirà verso la linea manageriale e verso il dirigente preposto
per quanto riguarda gli ambiti di sua competenza. Le considerazioni finali in materia
amministrativo-contabile del dirigente preposto dovranno basarsi come visto sulle
indicazioni provenienti dall’intero governo societario, ivi incluso l’apporto fornito
dal revisore legale dei conti esterno (o società di revisione) e dal Collegio Sindacale.
1.3.4) I rapporti con il revisore esterno
Al revisore legale, o alla società di revisione, spetta il compito di esprimere, attraverso
una opinion sul bilancio sottoposto a revisione, se i fatti di gestione sono
correttamente rilevati nelle scritture contabili, se il bilancio corrisponde alle
risultanze di tali scritture e se risulta conforme alle norme che disciplinano la
redazione dei bilanci. Sul piano normativo, a livello comunitario, la revisione legale
dei bilanci d’esercizio e consolidati è disciplinata dalla direttiva 2006/43/CE52, nata
con l’obiettivo di rendere armonica quanto più possibile la disciplina del settore.
L’attenzione rivolta alla revisione legale dei conti nasce anch’essa dai numerosi
scandali finanziari e dalla consapevolezza che essa sia una funzione istituzionale a
presidio e tutela dei terzi. Sono state perciò riviste le modalità di esercizio della
funzione e sono state ampliate le categorie di soggetti che devono sottoporsi alla
revisione di bilancio: infatti, tutte le società per azioni devono avere un revisore
esterno che eserciti il controllo contabile, ad eccezione di quanto previsto dall’art.
52 Attuata in Italia con il d.lgs. 27 gennaio 2010, n.39.
39
2409-bis secondo comma53 del Codice Civile. Vi sono stati cambiamenti anche per
quanto riguarda l’assegnazione ed il mantenimento degli incarichi secondo criteri di
client acceptance e client continuance54, fondamentali per poter accertare e
mantenere gli elementi posti a tutela dell’indipendenza del revisore. È stato introdotto
inoltre un controllo trimestrale della contabilità in capo a tutte le società per azioni,
oltre alla raccomandazione relativa all’adozione dei nuovi principi contabili ISA.
È importante evidenziare le differenze tra l’attività della revisione esterna e quella
dell’internal audit (detta anche revisione interna): quest’ultima orienta la propria
attività verso l’intero sistema dei controlli aziendali (architettura e prevenzione);
invece, la revisione esterna focalizza la propria attenzione su tutti gli aspetti
funzionali alla redazione del bilancio e alla loro corretta gestione, verificando la
correttezza e la concordanza dei dati aziendali revisionando documenti
amministrativi e contabilità gestionale, l’affidabilità dei dati contabili analizzandoli
in maniera critica, il riscontro dei dati inseriti in bilancio per mezzo di tecniche di
analisi e revisione. Nonostante questa separazione sia piuttosto netta, rimangono
alcuni punti di contatto ed analogie tra le due funzioni: esse sono riscontrabili nelle
tecniche di analisi e nelle modalità di svolgimento del lavoro, oppure risiedono
nell’utilità che particolari tipologie di audit interno (financial audit55) hanno per il
lavoro del revisore esterno e nella circostanza che talvolta la funzione internal audit
53 “Lo statuto delle società che non siano tenute alla redazione del bilancio consolidato può prevedere che la revisione legale dei conti sia esercitata dal collegio sindacale. In tal caso il collegio sindacale é costituito da revisori legali iscritti nell'apposito registro.” 54 Le policy di Client Acceptance and Continuance definiscono i principi per decidere se accettare, o meno,
un nuovo cliente o un nuovo incarico, ovvero per continuare un rapporto con un cliente esistente o un
incarico in corso. Questi sono principi fondamentali per mantenere la qualità, gestire il rischio, proteggere il
personale e soddisfare gli obblighi regolamentari.
55 Audit di tipo contabile svolto dalla funzione Internal Audit.
40
assolve alcuni compiti in collaborazione con i revisori contabili nella revisione di
bilancio. Solitamente, nella fase di programmazione del lavoro il revisore esterno
analizza il lavoro dell’internal audit e valuta se questo possa essere funzionale al
lavoro di revisione considerandone l’organizzazione, le competenze tecniche e la
diligenza professionale. Il coordinamento tra le attività delle due funzioni deve essere
gestito in maniera efficace onde evitare situazioni di duplicazione degli sforzi, o al
contrario di omissione di controlli, o infine il venir meno dei requisiti di
professionalità ed indipendenza56. Anche se, come appena visto, il lavoro
dell’internal audit può rivelarsi estremamente prezioso per il revisore esterno,
quest’ultimo rimane il solo responsabile per quanto riguarda il giudizio espresso, la
scelta delle procedure di revisione da svolgere, scelta delle tempistiche di audit e della
vastità dell’analisi. Tanto più sarà efficace ed efficiente il lavoro già svolto
dall’internal audit, tanto più ridotta sarà la portata del lavoro da compiere dal revisore
esterno. Presupposto fondamentale per un’efficiente collaborazione tra i due soggetti
è lo scambio d’informazioni continuativo e puntuale su tutte le situazioni
problematiche, e non, che possono influenzare il reciproco operato ed a tal proposito
potrebbe essere opportuno fissare incontri periodici soprattutto all’avvicinarsi delle
fasi di reporting e di opinion.
1.4) L’Internal Audit nella Gestione dei Rischi
Nella definizione di internal auditing vista all’inizio del capitolo, si parla di
“valutazione e miglioramento dell’efficacia e dell’efficienza dei processi di risk
56 Guida interpretativa allo standard IIA 2050, Coordinamento.
41
management, di controllo e di corporate governance”57. Quindi attraverso una
valutazione dell’efficacia, intesa come realizzazione degli obiettivi
dell’organizzazione, e dell’efficienza (adeguatezza e tempestività nel
raggiungimento, minimizzazione delle risorse impiegate, mantenimento di un livello
di costo commisurato ai rischi e alle opportunità), l’internal audit fornisce ragionevoli
garanzie per il raggiungimento degli obiettivi di business e di governo. Tali obiettivi
sono periodicamente revisionati dal management, il quale è attento anche alle
modifiche dell’ambiente interno ed esterno all’azienda ed alla diffusione all’interno
della stessa di una cultura orientata al risk management. Nel contesto aziendale, il
rischio è considerato come la possibilità che si verifichi un evento che abbia impatto
negativo sul conseguimento degli obiettivi ed il controllo è il mezzo mediante il quale
il management aumenta la probabilità di raggiungere gli obiettivi e mitiga i rischi.
Non sempre, tuttavia, gli eventi hanno la valenza negativa di minacce, essi possono
essere anche considerati delle opportunità positive, in particolare per quelle aziende
in grado di anticiparli e gestirli in maniera opportuna. In questa fase, il ruolo chiave
dell’internal audit è quello di verificare l’idoneità e l’efficacia dei vari processi,
sistemi, operazioni, funzioni e attività dell’organizzazione tramite una valutazione
sistematica e professionale. Tutto ciò mediante attività volte a garantire l’efficacia e
l’efficienza del Sistema di Controllo Interno, del Risk Management e dell’intero
processo di governance mediante la definizione ed il mantenimento di principi
aziendali, la determinazione chiara degli obiettivi, il monitoraggio delle attività e
delle relative prestazioni, l’attribuzione e la misurazione di responsabilità e deleghe
57 Standard IIA 2100: Natura dell’attività.
42
e l’attenzione costante all’eventuale presenza di conflitti d’interesse. Tale attenzione
per le regole relative al governo d’impresa è indirizzata in primis alla tutela degli
interessi degli stakeholder, ma anche al rispetto delle norme relative all’ambiente
economico, politico e sociale.
Nel corso degli anni novanta, i contenuti di risk management e quelli di corporate
governance si sono intrecciati a tal punto da fondersi e da far pensare che una buona
gestione d’impresa coincida con un sistema dei rischi ampio e ben funzionante. Nel
frattempo, anche le tecniche di risk analysis si sono evolute divenendo processi
pervasivi, con una responsabilità largamente diffusa all’interno dell’organizzazione
e caratterizzati dall’utilizzo di modelli di controllo più complessi e specifici, che
hanno portato la responsabilità della funzione risk management ai massimi livelli
aziendali. Troviamo riscontri anche dal punto di vista normativo nel Codice di
Autodisciplina, nei regolamenti IVASS58 e nelle regole di risk management emanate
da Banca d’Italia ispirate a quanto sviluppato dal Comitato di Basilea.
La gestione dei rischi si configura come una componente essenziale del governo
d’impresa, avente una notevole dimensione organizzativa e legata allo sviluppo dei
sistemi di management. È quindi responsabilità dei vertici aziendali individuare i
rischi che possano compromettere il raggiungimento degli obiettivi e provvedere l
loro contenimento e alla loro gestione, presupponendo la conoscenza della natura dei
rischi che minacciano l’impresa, della probabilità che essi si manifestino, del loro
impatto e delle strategie di gestione di ciascuno di essi. Per fare ciò è necessaria la
presenza di affidabili sistemi di identificazione e assessment dei rischi, l’efficacia dei
58 Istituto per la Vigilanza sulle Assicurazioni (ex ISVAP), regolamento n. 20/2008.
43
sistemi di controllo e la prontezza nell’attuazione di piani alternativi a quelli previsti
in caso di fallimento degli stessi.
Un efficace governance d’impresa si basa sull’integrazione dei sistemi di gestione dei
rischi e di controllo interno e spetta all’internal audit il compito di valutare insieme
ai vertici la loro adeguatezza in un’ottica di creazione del valore.
Figura 1.2 – Integrazione tra sistemi di gestione dei rischi e controlli.
Il sistema complessivo di risk management comprende la gestione globale dei rischi
ed il Sistema di Controllo Interno e focalizza l’attenzione sui mezzi effettivamente a
disposizione del vertice aziendale per rendere operante l’impresa a tutti i livelli
operativi59.
59 KPMG, Corporate governance: guida pratica al controllo interno, 2001.
44
1.4.1) Il Modello ERM
Dopo la pubblicazione del modello di controllo “CoSo report I” del 1992, il
Committee of Sponsoring Organizations of the Treadway Commission ha avviato
agli inizi del 2000 una riflessione in tema di rischi aziendali, conclusasi nel 2004 con
la pubblicazione dell’Enterprise Risk Management Framework (ERM)60. L’appena
citato modello nasce per offrire alle aziende un riferimento da adottare per la gestione
dei rischi aziendali definendo le componenti essenziali dei rischi stessi, suggerendo
un linguaggio comune e fornendo precise indicazioni. Esso rappresenta uno
strumento complesso finalizzato sia alla analisi dei fattori di rischio e del loro impatto
sulle performance aziendali, sia alla creazione di valore e vantaggio competitivo, in
quanto consente di raggiungere una consapevole assunzione dei rischi ed una
mitigazione dei loro effetti negativi. Nel modello ERM si parla di uno schema valido
per gestire i fattori di rischio relazionando il risk management alla corporate
governance, alla misurazione delle performance ed al Sistema di Controllo Interno.
Ciò permette di affrontare in maniera pronta le eventuali incertezze e i conseguenti
rischi raggiungendo un equilibrio ottimale tra obiettivi di crescita, redditività e rischi
mediante l’allineamento della strategia alla propensione al rischio (risk appetite) ed
il rafforzamento delle decisioni di risposta al rischio. Identificare e gestire i rischi
principali, così come quelli correlati e multipli, e le opportunità, permette una
riduzione dei rischi e delle perdite ed un conseguente miglioramento nell’impiego del
capitale.
60 CoSo II
45
Nel framework del Committee of Sponsoring Organizations of the Treadway
Commission, è fornita una definizione di Enterprise Risk Management:
“La gestione del rischio aziendale è un processo, posto in essere dal consiglio di
amministrazione, dai dirigenti e da altri operatori della struttura aziendale, utilizzato
per la formulazione delle strategie in tutta l’organizzazione, progettato per
individuare eventi potenziali che possono influire sull’attività aziendale, per gestire
il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza
sul conseguimento degli obiettivi aziendali”61.
Il modello si delinea quindi come un processo continuo che coinvolge,
responsabilizzandoli (accountability62), tutti i livelli dell’organizzazione mediante
una sequenza di attività pervasive e integrate, che siano sufficienti a scongiurare la
necessità di ulteriori procedure che comporterebbero perdite in termini di tempo ed
economici. Esso risulta parte integrante della mission e della vision aziendale in
quanto contiene al suo interno obiettivi di natura strategica e si propone come un
61 CoSo Enterprise Risk Management – Integrated Framework 2004. 62 “Responsabilità incondizionata, formale o non, in capo a un soggetto o a un gruppo di soggetti (accountors), del risultato conseguito da un’organizzazione (privata o pubblica), sulla base delle proprie capacità, abilità ed etica. Tale responsabilità richiede giudizio e capacità decisionale, e si realizza nei confronti di uno o più portatori di interessi (account-holders o accountees) con conseguenze positive (premi) o negative (sanzioni), a seconda che i risultati desiderati siano raggiunti o disattesi. L’accento non è posto sulla responsabilità delle attività svolte per raggiungere un determinato risultato, ma sulla definizione specifica e trasparente dei risultati attesi che formano le aspettative, su cui la responsabilità stessa si basa e sarà valutata. La definizione degli obiettivi costituisce, dunque, un mezzo per assicurare l’accountability. Insieme al concetto di responsabilità, l’accountability presuppone quelli di trasparenza e di compliance. La prima è intesa come accesso alle informazioni concernenti ogni aspetto dell’organizzazione, fra cui gli indicatori gestionali e la predisposizione del bilancio e di strumenti di comunicazione volti a rendere visibili decisioni, attività e risultati. La seconda si riferisce al rispetto delle norme ed è intesa sia come garanzia della legittimità dell’azione sia come adeguamento dell’azione agli standard stabiliti da leggi, regolamenti, linee guida etiche o codici di condotta. Sotto questi aspetti, l’a. può anche essere definita come l’obbligo di spiegare e giustificare il proprio comportamento.”
46
modello di tipo olistico secondo cui l’efficacia dipende sia dal corretto funzionamento
delle singole componenti, sia dalla qualità delle relazioni che si creano tra le stesse.
Figura 1.3 – Enterprise Risk Management Framework o CoSo report II (fonte: coso.org)
L’ERM rappresenta uno strumento più completo rispetto al CoSo report I, ma non è
da intendere come un aggiornamento dello stesso: l’ERM è necessario ad identificare
e gestire i rischi che circondano e minacciano un’organizzazione, mentre il CoSo
report I è utilizzato per comprendere e gestire i controlli interni all’interno della
complessità aziendale.
47
Nelle sue otto componenti, il modello, una volta identificati gli obiettivi
dell’organizzazione, racchiude due gruppi di ambiti specifici: gli ambiti specifici
della gestione dei rischi (identificazione degli eventi, valutazione del rischio e
risposta al rischio) e gli ambiti specifici del Sistema di Controllo Interno quale
principale mezzo di risposta al rischio (ambiente interno, attività di controllo, sistemi
di informazione e comunicazione, monitoraggio). Tale modello, ovviamente, non ha
una modalità di utilizzo standard ma deve essere adattata alla singola realtà
organizzativa, anche in base alle sue dimensioni (le realtà medio-piccole ad esempio
non necessitano di un modello così complesso ed articolato).
L’internal auditing, in quanto attività di assurance e consulenza indipendente ed
obiettiva, nell’ambito applicativo dell’Enterprise Risk Management, assiste il
management e i massimi livelli aziendali fornendo valutazioni, analisi, rapporti e
raccomandazioni ed aiuta l’organizzazione ad identificare, valutare ed implementare
metodologie e controlli per affrontare i rischi. Gli internal auditor, oltre a ricoprire il
ruolo di assurance, possono fornire servizi di consulenza nell’ambito dei processi di
risk management ponendo la massima attenzione nel garantire la propria
indipendenza ed obiettività e quindi senza assumere responsabilità manageriale nella
gestione dei rischi63. Soffermandoci invece sull’attività di assurance, il contributo che
l’internal audit fornisce: assurance sui processi di gestione dei rischi aziendali
(verifica del processo di risk management complessivo); assurance sul processo di
valutazione dei rischi (verifica di attività specifiche rientranti nel risk assessment);
valutazione dei processi nell’ottica di un’adeguata gestione dei rischi; valutazione del
63 IIA, Guida interpretativa 2120-1: Valutazione dell’adeguatezza dei processi di Risk management.
48
sistema di reporting dei rischi; revisione della gestione effettiva dei principali rischi
aziendali64.
Il CoSO III per il financial reporting
Un’ulteriore novità arriva nel 2006, quando il Committee of Sponsoring Organization
ha emanato una guida per aiutare le imprese (soprattuto le medio-piccole) a recepire
il framework del CoSO Report I. La guida in questione, conosciuta come CoSO III65,
nasce per consentire al management l’adozione di un sistema di controllo (a costi
contenuti) particolarmente attento all’attendibilità del reporting finanziario.
64 IIA, Position statement: The role of Internal Audit in Enterprise-wide Risk Management, 29 settembre 2004. 65 Committee of Sponsoring Organizations of the Treadway Commission, Internal Control over Financial Reporting – Guidance for smaller companies, 2006.
49
CAPITOLO 2 - Organizzazione, attività e risultati dell’Internal Audit
2.1) Le tipologie di Internal Audit
Gli ingenti sviluppi nel campo della corporate governance e dei controlli interni,
hanno aumentato l’attenzione nei confronti dell’assurance fornita dall’internal audit
e questo ha portato ad un notevole sviluppo e ad una crescente specializzazione in
base agli incarichi assegnati, i quali si palesano in ruoli e funzioni sempre più
complessi che portano la funzione IA ad essere tra le componenti essenziali del
Sistema di Controllo Interno e a rappresentare uno snodo cruciale all’interno del
sistema informativo aziendale (come analizzato nel capitolo precedente della tesi).
Essa deve inoltre strutturarsi al meglio e rendersi il più duttile possibile dinanzi alle
mutevoli esigenze organizzative66, rimanendo comunque focalizzata sull’obiettivo di
ottimizzazione della gestione67.
La distinzione che faremo a breve tra le tipologie di internal audit è meramente
teorica, in quanto nella realtà aziendale è praticamente impossibile ricondurre ad uno
schema rigido e specifico attività che sono necessariamente correlate tra loro.
Analizziamo di seguito le principali tipologie di IA, tenendo sempre a mente la
distinzione tra attività di assurance e attività di consulenza viste in precedenza.
Operational auditing (audit di processo)
L’audit di processo è un’attività ad altissimo contenuto consulenziale, in quanto
consiste nella valutazione della struttura del disegno di risk management e controllo
66 IIA, Standard 2230, Assegnazione delle risorse. 67 IIA, Standard 2030, Gestione delle risorse.
50
interno del processo (di business o di supporto che sia), analizzandone la capacità di
raggiungere gli obiettivi e rilevando possibili aree migliorabili. Oltre al
raggiungimento degli obiettivi di business e di governo, viene misurato anche il
livello di economicità raggiunto dalle organizzazioni in termini di efficacia ed
efficienza nel perseguimento dei risultati.
L’operational audit può essere suddiviso in tre fasi: lo studio del contesto generale
del processo (identificazione di obiettivi e rischi collegati); l’analisi dettagliata delle
fasi del processo (rilevazione di difetti di strutturazione); la misurazione dei rischi
maggiormente rilevanti.
L’obiettivo comune ai vertici aziendali e all’internal audit (in veste consulenziale) è
quello di creare valore mediante il miglioramento continuo dei processi tramite
l’attuazione di azioni correttive.
Compliance auditing (audit di conformità)
Il compliance auditing è rivolto alla verifica dell’osservanza di regole relative ad un
determinato processo/area di business e può riguardare l’insieme di normative e
procedure oppure essere mirata ad alcuni aspetti critici. Il complesso normativo
racchiude la normativa interna (principi aziendali, politiche e linee guida, procedure,
prescrizioni contrattuali, disposizioni operative) e quella esterna.
Tale audit può essere considerato come un vero e proprio strumento di prevenzione
in grado di fornire assurance alle strutture aziendali che si occupano di regolamenti
interni e può assolvere, se svolto senza notifica ai soggetti interessati, il ruolo di
attività ispettiva. Nel caso in cui gli esiti delle verifiche sopra decritte fossero
51
negativi, spetterà all’operational auditing fornire valutazioni sulle esigenze di
completamento dell’impianto normativo interno.
La funzione internal audit deve disporre di ampie competenze in materia giuridica, in
quanto deve essere in grado di monitorare e segnalare le modifiche alla normativa
esterna che possono riflettersi sulla normativa interna (in caso di assenza di una
specifica funzione compliance, l’IA può rivestire la figura di compliance officer).
Infatti, è possibile il verificarsi di ingenti ripercussioni sull’organizzazione d’azienda
e la conseguente nascita di una necessaria rivisitazione dell’impianto normativo
aziendale e del suo monitoraggio.
IT auditing
Il rischio informatico, a fronte di una rapida ed esponenziale crescita e diffusione
delle tecnologie informatiche all’interno delle organizzazioni aziendali, è diventato
uno dei maggiori rischi che le aziende devono fronteggiare. Il crescente utilizzo di
tali tecnologie nelle realtà aziendali, deve essere bilanciato da un’altrettanta elevata
attenzione alle tematiche riguardanti la cyber security. Questo ha portato a forti
investimenti nel campo della tecnologia, da parte delle aziende maggiormente
all’avanguardia, sia dal punto di vista delle strutture a disposizione che dal punto di
vista della formazione capitale umano: la funzione internal audit è stata oggetto di
una mirata specializzazione, fino a giungere alla creazione del cosiddetto Information
Technology auditing. Questa innovativa tipologia di audit è rivolta ai processi, ai
52
sistemi e agli applicativi informatici, nonché alla loro sicurezza (il principale modello
di riferimento è il COBIT68).
In breve, le verifiche di IT auditing si focalizzano su: pianificazione e organizzazione
(valutazione dei rischi); acquisizione e realizzazione delle soluzioni IT; erogazione
del servizio e assistenza; monitoraggio. Queste verifiche possono essere mirate a
singoli processi IT oppure riguardare interventi per processi di business, ad esempio
con un inserimento in un operational audit (approccio integrato) o ancora essere
focalizzate sull’intero Sistema di Controllo Interno IT. Infine, gli IT auditors possono
fornire supporto nell’analisi di banche dati, nell’esame della sicurezza dei sistemi
utilizzati e nella verifica dell’affidabilità del funzionamento dell’interfaccia tra più
sistemi/banche dati.
Financial auditing (audit finanziario e contabile)
Per ogni azienda, l’attendibilità della propria informativa finanziaria poggia su
principi consolidati quali la trasparenza delle informazioni, la responsabilità per
quanto dichiarato e l’integrità di tutti coloro che sono coinvolti nei diversi livelli della
catena informativa dell’organizzazione. Nel settore finanziario, la principale fonte di
informazioni è ovviamente il bilancio, il quale fornisce periodicamente ed in maniera
68 Il Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association - ISACA), e dal IT Governance Institute (ITGI). COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore e da una serie di strumenti teorici e pratici collegati ai processi con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo.
53
attendibile informazioni a livello patrimoniale, finanziario ed economico
dell’impresa in funzionamento basandosi su solidi principi contabili. Questo
strumento è utilizzato dai vertici aziendali come strumento per il monitoraggio
gestionale dell’impresa e come base sulla quale poggiano le decisioni riguardanti la
gestione. Correlati al bilancio sono i sistemi di contabilità gestionale ed analitica, i
quali a loro volta devono essere integrati al sistema di contabilità generale che
produce il bilancio. Da ciò si può evincere come la produzione del bilancio sia un
processo complesso che richiede l’intervento di numerosi attori, di sistemi separati e
di diverse applicazioni informatiche. Per questo l’attività di verifica dell’internal
audit risulta un fondamentale collante al momento dell’integrazione dei sopracitati
sistemi. L’attendibilità dei flussi di informativa finanziaria è una qualità
imprescindibile per la stesura dei bilanci: essa deve essere garantita in ogni momento
a tutti gli stakeholder dell’azienda (che siano essi soci, creditori, dipendenti,
investitori, organi di vigilanza, fisco, ecc.).
Le considerazioni fatte finora rendono chiaro il motivo per cui alcune categorie di
società debbano delegare la revisione e la certificazione contabile a soggetti esterni
professionalmente riconosciuti e capaci di esprimere un giudizio indipendente.
Inoltre, i provvedimenti introdotti in tema di corporate governance delle emittenti
hanno portato ad una netta separazione tra controlli di natura contabile e controlli di
natura gestionale, fino a giungere all’individuazione dei soggetti tenuti a svolgere
l’auditing sul bilancio (revisione contabile o external audit), ossia il revisore legale,
la società di revisione o il collegio sindacale69.
69 Codice Civile, art. 2409bis (sostituito dall'art. 37 del DL n. 39 del 27/01/2010): “La revisione legale dei conti sulla società è esercitata da un revisore legale dei conti o da una società di revisione legale iscritti
54
Come previsto dagli Standard internazionali70 e dai principi di revisione, è di
fondamentale importanza il coordinamento tra le attività di internal ed external
audit71, con l’obiettivo comune di garantire una copertura efficiente dei rischi
provenienti dall’informativa di bilancio e di ottimizzare le sinergie tra le attività
svolte. Con il Sarbanes Oxley Act, negli Stati Uniti, e la legge n.262 in Italia, è
aumentata notevolmente la necessità dell’internal audit di focalizzare la propria
attenzione su sistemi e processi contabili per fornire una maggiore assurance al top
management e al dirigente preposto alla redazione dei documenti contabili societari.
Inoltre, secondo quanto suggerito anche dai Position Paper dell’AIIA, si punta ad
un’integrazione quasi totale tra auditing dei processi contabili e audit dei processi
operativi (operational). La base per le suddette valutazioni risiede nei dati forniti dalla
contabilità aziendale, dei quali deve essere accertata l’affidabilità, la ragionevolezza
e l’attendibilità.
L’internal auditing, in sinergia con la revisione esterna, può effettuare auditing di
natura finanziario-contabile fornendo assistenza specifica nella verifica di
determinate voci di bilancio (attività di circolarizzazione, verifica fisica dei valori,
analisi dei crediti, ecc.) oppure revisionando processi aziendali di matrice
amministrativo-contabile alla base del sistema di controllo del bilancio. La natura di
questi due tipi di attività è totalmente differente: la prima si concentra sulla verifica
della correttezza dei dati relativi ad una specifica data (dati patrimoniali) o ad un
nell'apposito registro. Lo statuto delle società che non siano tenute alla redazione del bilancio consolidato può prevedere che la revisione legale dei conti sia esercitata dal collegio sindacale. In tal caso il collegio sindacale è costituito da revisori legali iscritti nell'apposito registro.” 70 IIA, Standard 2050: Coordinamento dell’attività 71 Principio di revisione internazionale (ISA Italia) n. 610, Utilizzo del lavoro dei revisori interni
55
periodo specifico (dati economici), medianti una verifica a campione della
documentazione in esame (substantive testing, verifica sostanziale); la seconda
invece concentra i propri sforzi sull’adeguatezza generale del sistema dei controlli
interni ed in particolare su quelli di tipo amministrativo-contabile. Questa seconda
attività è senza dubbio quella dal contenuto più rilevante e che fornisce maggior
valore aggiunto, assumendo i lineamenti di compliance e operational audit dei
processi contabili, rispondendo anche alle esigenze legiferate dalla legge sulla Tutela
del Risparmio. L’IA può coadiuvare il revisore contabile nella predisposizione del
piano di revisione del bilancio nella sua totale ampiezza e complessità, fino a definire
le aree meritevoli di una maggiore e più dettagliata attenzione. L’attività di assurance
fornita al management fornisce un elevato valore aggiunto, sia in termini di revisione
dei processi che di reporting, e costituisce un fondamentale apporto al processo
decisionale dell’azienda. L’attività di auditing finanziario richiede agli internal
auditors approfondite competenze su principi contabili e di revisione, tecniche
ragionieristiche, disciplina giuridica del bilancio.
Inoltre, come sempre più spesso accade, per l’internal audit non è da escludere la
richiesta da parte dei vertici aziendali di audit mirati su aree di bilancio ritenute
maggiormente a rischio e sulle quali si intende ottenere maggiore chiarezza. Questa
tipologia di auditing specifici sull’area finanziaria (finance) è ormai molto diffusa e
necessita l’utilizzo di strumenti sempre più complessi ed un controllo approfondito e
puntuale sul lavoro delle risorse impiegate nella gestione finanziaria, oltre ad un
controllo su processi finanziari, strategie, deleghe, poteri, limiti e processi decisionali
ricompresi nella gestione del portafoglio aziendale.
56
Fraud auditing
Il fraud auditing è un particolare ambito di auditing che presenta sinergie con il
compliance auditing, con l’operational auditing e con il financial audit (per quanto
riguarda le frodi finanziarie) ed è finalizzato all’identificazione e all’analisi delle
eventuali frodi subite dall’azienda. Qualora tale fenomeno risulti un importante
canale di sottrazione del valore prodotto dall’impresa, l’attività di fraud auditing può
essere una delle priorità della funzione di internal audit. Negli Standard
professionali72 si afferma che per frode si intende “qualsiasi atto illegale
caratterizzato da raggiro, occultamento e abuso di fiducia” e che “le frodi sono
perpetrate da individui e organizzazioni per ottenere denaro, beni o servizi; per evitare
il pagamento o la perdita di servizi; o per procurarsi vantaggi personali o aziendali”.
Di fatto, pur essendo difficilmente individuabili i diversi tipi di frode perpetrabili, è
possibile affermare che l’azione fraudolenta è sempre determinata dalla volontà di
attentare all’integrità del patrimonio aziendale attraverso un aggiramento del sistema
dei controlli interni, oppure mediante lo sfruttamento di opportunità offerte da punti
deboli individuati nel tessuto del sistema stesso (ad esempio lo spionaggio industriale,
l’appropriazione indebita, la corruzione, la falsificazione ecc.).
Da più parti viene sottolineato che, non essendo ipotizzabile che l’internal auditing
possa scovare tutte le frodi poste in essere ai danni dell’azienda, l’attività primaria
dell’auditor è quella di prevenzione della frode attraverso una valutazione
dell’efficacia e dell’adeguatezza del Sistema di Controllo Interno.
72 ECIIA, Position Paper: Il ruolo dell’internal auditor nella prevenzione ed il controllo delle frodi, aprile
2000
57
Da qui nasce l’opportunità di integrare una valutazione di rischio frode nell’ambito
di attività di operational auditing.
Infatti il fraud auditing è di fatto costituito da tre tipologie di attività molto diverse
tra loro: il Fraud auditing ai fini del rafforzamento del sistema di controllo preventivo,
il quale si svolge mediante analisi di processo, nel rispetto delle modalità tipiche
dell’operational auditing, focalizzandosi in tutto o in parte sui rischi di frode
(l’internal auditing è pertanto in grado di individuare e valutare in via preventiva le
aree grigie aziendali dove con più facilità potrebbe annidarsi un rischio di attività
illecita e proporre soluzioni preventive); il Fraud auditing ai fini dell’identificazione
di atti sospetti, grazie al quale l’internal auditing è in grado di individuare casi sospetti
di illecito anche attraverso segnali conosciuti di allarme, cosiddetti red flag (sotto
questa luce l’attività di fraud auditing può essere considerata come un’attività volta a
prevenire e disincentivare il compimento di atti illeciti); ed infine, il Fraud auditing
in qualità di investigazione di gravi sospetti di atti illeciti, nell’abito del quale, una
volta individuato un evento di possibile frode, all’internal auditing viene richiesto di
svolgere un’indagine che permetta di accertare le effettive responsabilità interne, e
per quanto possibile esterne, quantificare i danni e determinare le azioni da proporre
alle funzioni preposte agli aspetti gestionali (legale, risorse umane ecc.).
Management auditing
È possibile inquadrare il management auditing come un’attività focalizzata sulle
azioni svolte dal management, al fine di accertare la coerenza tra gli obiettivi
aziendali prefissati e l’operato di tutti coloro che a diversi livelli gerarchici
presiedono ruoli direzionali e di supervisione.
58
Questa tipologia di audit costituisce un fondamentale strumento conoscitivo a
servizio dei vertici o della direzione aziendale, tanto più se effettuato in occasione di
significativi mutamenti strategici, a seguito di operazioni straordinarie o in occasione
dell’ingresso o dell’uscita da gruppi aziendali.
Il management audit troverà tipicamente applicazione in ambiti aziendali governati
prevalentemente da linee guida di alto livello (policy), determinate in sede di
autoregolamentazione dal top management, che si limitano a definire le linee generali
di comportamento, non potendo disciplinare diversamente le attività o non volendo
farlo per la natura del business e per le implicazioni che possono derivarne.
L’intervento di management audit può essere rivolto a qualsiasi fascia manageriale,
oppure può riguardare i manager di una o più funzioni aziendali. Fattore di successo
di tale attività è la sensibilità con cui l’auditor riesce a inquadrare le decisioni prese
dal management nel contesto dell’impostazione strategica delineata. Valutare il
livello di congruità delle decisioni assunte significa per l’auditor poter disporre
chiaramente di un parametro di riferimento costituito dall’insieme degli obiettivi
aziendali prefissati, dal contesto ambientale in cui maturano determinate scelte, dalle
risorse dedicate e dall’esistenza di processi più o meno adeguati. Infatti, per valutare
correttamente il grado di coerenza dell’operato del management rispetto alle strategie,
alle politiche o agli obiettivi aziendali prefissati, occorre saper calare la propria
verifica in un puntuale e veritiero contesto di riferimento.
A prescindere comunque dal soggetto a cui si rivolge, l’attività di management audit
è una tipologia di auditing di minore diffusione, alla quale però si riconosce un
elevato valore, a fronte di specifiche esigenze del top management.
59
Follow up auditing
Una volta finalizzato ed emesso l’audit report, comprensivo dei piani di azione da
intraprendere con l’evidenziazione del management responsabile, la funzione di
internal auditing dovrebbe pianificare un’attività di follow up finalizzata a verificare
che tutte le azioni correttive previste siano effettivamente realizzate oppure, ove non
fosse possibile determinare un piano di azione, finalizzata a verificare comunque in
quale misura i temi di controllo sollevati sono stati affrontati o risolti.
Nell’ambito del ruolo svolto dalla funzione di internal auditing, talvolta è richiesto
che essa assuma il compito di catalizzatore nella gestione del cambiamento; in fasi di
inerzia organizzativa rispetto a spinte evolutive, le attività di follow up possono
risultare uno stimolo per evitare che il processo di cambiamento stesso si interrompa.
La natura, l’ampiezza e la tempificazione delle attività di follow up devono essere
determinate dal responsabile internal auditing in funzione di specifiche circostanze,
quali la significatività dei rilievi e delle raccomandazioni effettuate, le difficoltà e i
costi da sostenere per l’applicazione delle necessarie azioni correttive, le conseguenze
di un eventuale insuccesso delle azioni correttive, la loro complessità e il tempo
necessario per il follow up.
Il follow up è definito dagli Standard professionali come il processo tramite il quale
l’internal auditor determina l’adeguatezza, l’efficacia e la tempestività delle azioni
intraprese dal management in risposta ai rilievi e alle raccomandazioni73.
Resta in capo all’internal auditor e all’intera funzione una responsabilità di supporto
73 Standard IIA 2500. A1-1 Processo di Follow-up.
60
continuo al management e all’organizzazione che va ben oltre il termine dell’incarico
stesso. Tale assistenza si concretizza nella capacità di fornire indicazioni utili
all’individuazione di soluzioni per il rafforzamento del Sistema di Controllo Interno
anche in presenza di evoluzioni del contesto e dei fabbisogni che possono rendere
velocemente obsoleti persino i migliori piani d’azione.
Audit a fini 231
L’approccio di audit in materia di D.Lgs. 231/01 si caratterizza per la particolare
focalizzazione sull’impianto procedurale aziendale, rivestendo quest’ultimo un ruolo
centrale nell’ambito del complessivo sistema di controllo preventivo, da
implementarsi ai fini di un efficace Modello Organizzativo.
Come noto, infatti, le procedure aziendali manuali o informatiche che assumono
rilevanza in ottica 231 rappresentano presidi di tipo specifico volti a regolamentare lo
svolgimento delle attività nell’ambito delle aree di rischio, prevedendo gli opportuni
punti di controllo e contribuendo, conseguentemente, all’idonea programmazione e
attuazione delle decisioni dell’ente in relazione ai reati da prevenire.
Premesso che tutte le diverse tipologie di audit descritte nei precedenti paragrafi
contribuiscono funzionalmente alla realizzazione di un efficace piano di verifiche ai
fini del D.Lgs. 231/01, si evidenzia in particolare come, in tale contesto, le attività
maggiormente significative per i profili di interesse della specifica normativa siano
rappresentate dagli interventi di operational audit e di compliance/fraud audit (seguite
dal follow up audit).
In ottica di D.Lgs. 231/01, tale tipologia di audit si rende necessaria soprattutto in
61
occasione di accertamenti a seguito di segnalazioni ad hoc o straordinarie nei
confronti dell’Organismo di Vigilanza, in ordine a presunte violazioni del Modello
Organizzativo.
Ulteriore elemento da rimarcare attiene all’opportunità che il piano annuale di
verifiche previsto ai fini 231 operi con un approccio di audit integrato e sia
riconducibile al più ampio piano di attività della funzione, definito in modo da coprire
con interventi unici, volti a rendere più efficiente l’operatività della funzione e a
minimizzare gli impatti sulle strutture organizzative coinvolte, le diverse finalità di
presidio aziendale (inclusi gli aspetti rilevanti in ottica D.Lgs. 231/01). I piani di audit
possono pertanto prefiggersi di assicurare in ottica risk based una copertura adeguata
e progressiva nel tempo, in termini di valutazione del SCI, dei processi aziendali
riferibili alle diverse aree specialistiche presenti in azienda, con finalità di supporto
al miglioramento continuo dei controlli previsti anche in ottica 231.
2.2) L’organizzazione della funzione internal audit
Non esiste un’unica o migliore modalità per organizzare una funzione internal audit.
Sia nel caso di una funzione di nuova costituzione sia nel caso di ristrutturazione di
una funzione già esistente, all’azienda si presentano un numero di opzioni
strettamente legato alle caratteristiche del business, alla sua struttura geografica e
logistica, alle strategie riguardanti le attività di assurance e consulenza e alle
caratteristiche generali del Sistema di Controllo Interno dell’organizzazione.
Un requisito fondamentale per qualsiasi struttura organizzativa efficace è la
disponibilità di un responsabile dell’internal auditing che abbia forti doti di leadership
62
e di skill manageriali, oltre che di competenze professionali di natura tecnica.
Nella realtà un’articolazione organizzativa complessa, soprattutto in termini di
distribuzione geografica e di numerosità delle entità societarie che possono comporne
il gruppo, porta spesso alla costituzione di nuclei di internal auditing caratterizzati da
un certo grado di autonomia per la gestione delle attività in loco. Un ulteriore fattore
che spinge alla moltiplicazione delle strutture dedicate ad attività di controllo interno
è costituito dalla numerosità e dalla tipologia dei rischi e dei controlli gestiti, che
spingono verso la costituzione di funzioni specializzate per ambiti specifici.
Per queste ragioni, nella pratica aziendale si è sviluppata una vasta gamma di
soluzioni organizzative.
La struttura centralizzata ha rappresentato la prima forma organizzativa adottata dalle
funzioni di IA. Essa si caratterizza tipicamente per una forte concentrazione al vertice
delle attività di pianificazione, decisione e controllo di tutte le attività realizzate
nell’ambito dell’azienda.
Questo genere di strutturazione, teoricamente molto efficace, ha nel tempo mostrato
i propri limiti, specialmente per i costi burocratici legati alla necessità di gestire
catene di autorizzazione che via via si dilatano al crescere delle dimensioni delle
organizzazioni a cui appartengono e conseguentemente delle funzioni di audit.
Oggi la maggior parte delle strutture organizzative di dimensioni significative
presenta almeno qualche elemento di decentralizzazione, con strutture dotate di vari
gradi di autonomia. Il problema principale consiste allora nel determinare quale
debba essere tale grado di autonomia, comprendendo quali decisioni possano essere
delegate a livelli organizzativi inferiori e quali, invece, debbano essere oggetto di
63
approvazione ai livelli più elevati.
È evidente come, oltre alle posizioni estreme (centralizzazione o decentralizzazione),
sia possibile immaginare numerose soluzioni intermedie, come quelle che possono
prevedere strutture specializzate mantenute a livello centrale, a diretto riporto del
responsabile dell’internal auditing, e strutture più operative articolate a livello
decentrato, all’interno di diverse società e/o strutture territoriali. Nella realtà, tale
scelta risulta influenzata dall’articolazione complessiva dell’azienda cui la struttura
appartiene e, nell’ambito dei gruppi, può essere il risultato di operazioni di cessione
e acquisizione che possono determinare il naturale insorgere di aree di autonomia. In
questi casi, il responsabile dell’internal auditing deve comunque garantire la
complessiva efficacia del sistema di audit al di là degli interessi riconducibili alle
singole entità societarie; si tratta di riporti di carattere funzionale che sottolineano la
capacità del responsabile IA di orientare le attività e le risorse delle unità più
indipendenti e di esercitare un controllo attraverso l’attivazione di specifici incarichi
coordinati a livello centrale.
Ogni qualvolta la dimensione della struttura di internal auditing raggiunge dimensioni
tali da non consentire un riporto diretto nei confronti del responsabile dell’internal
auditing, un problema ulteriore rispetto a quello del semplice
accentramento/decentramento della funzione è costituito dalle logiche di
articolazione delle strutture operative sottostanti. In generale, tale articolazione è
riconducibile a quattro tipologie principali che, quando le dimensioni lo richiedono,
possono trovare anche un’applicazione mista.
La prima è la struttura in base alla tipologia di audit, secondo la quale la funzione
64
può essere organizzata in base a principi di specializzazione delle attività svolte per
ottenere personale altamente qualificato ed efficiente nell’esecuzione delle attività
specialistiche da presidiare, garantendo risposte immediate in termini di diagnostica
dei rischi e valutazione dei controlli tipici dell’ambito di riferimento. Tale approccio
presenta dei limiti: uno può essere rappresentato dalla necessità di spostare gli
specialisti presso le strutture geografiche ove ne sia richiesta la presenza (con i relativi
costi di organizzazione delle trasferte); un ulteriore rischio consiste nell’eccessiva
specializzazione che gli internal auditor possono sviluppare, con la conseguente
perdita di prospettiva globale che consente di cogliere aspetti di rischio e di controllo
al di fuori dei confini tecnici di perfezionamento.
La seconda è la struttura basata sui settori di business, applicabile in aziende di
medie-grandi dimensioni che operano in più settori: il vantaggio principale di questa
soluzione è di assicurare le competenze specialistiche adeguate per ciascun ambito di
business. Essa può registrare difficoltà nel garantire un approccio comune all’attività
di audit, per quanto forti possano essere le politiche e le procedure sviluppate
centralmente.
Ulteriore tipologia è la struttura allineata all’organizzazione aziendale, che in
aziende di grandi dimensioni può risultare pratica in quanto allinea l’articolazione
organizzativa della funzione internal auditing a quella generale dell’entità in cui essa
risulta inserita. Il vantaggio principale di questa soluzione è da ricercarsi soprattutto
nella capacità delle strutture così costituite di creare solide interfacce con le funzioni
oggetto di audit, sviluppando in questo caso non solo un linguaggio comune, ma
anche un’esperienza condivisa che può significativamente elevare il grado di
65
accettazione delle attività e la loro efficienza complessiva (anche essa presenta elevati
neri di trasferta a suo svantaggio).
In ultimo, la struttura articolata per territorio, nella quale tutte le attività operative
realizzate in uno specifico ambito geografico sono affidate a gruppi predefiniti di
internal auditor e in alcuni casi, quando nell’area geografica di riferimento vengono
effettuate attività specialistiche particolari o è presente una sola struttura
organizzativa, possono assumere caratteristiche corrispondenti a quelle analizzate nei
punti precedenti. Gli aspetti puramente logistici presentano vantaggi in termini di
costo e di apprezzamento da parte del personale, tali da rendere questa soluzione tra
le favorite.
2.3) Dal piano al processo di Internal auditing
2.3.1) Il piano di Internal auditing
Il piano di internal auditing è un elemento fondamentale per il management della
funzione soprattutto con riferimento alla sua responsabilità di una valutazione
complessiva del Sistema di Controllo Interno, in quanto consente una copertura
dell’universo interno delle attività aziendali, con approccio risk based.
La definizione di un piano di audit rappresenta inoltre la sfida che periodicamente il
responsabile di internal auditing deve sostenere per conciliare le risorse disponibili
con le esigenze di verifica dell’organizzazione nel suo complesso. Per quanto
numerose possano essere, infatti, le risorse di audit difficilmente risultano sufficienti
a soddisfare i fabbisogni di controllo del complessivo universo dei processi.
66
Ferma restando la necessità di garantire il requisito di un numero adeguato di risorse
professionali, il responsabile dell’internal audit deve predisporre un piano delle
attività basato sull’analisi dei rischi, allo scopo di determinarne le priorità, in linea
con il Mandato e con gli obiettivi dell’organizzazione.
Le attività di pianificazione di internal auditing si traducono in un piano annuale o in
un piano strategico pluriennale e si concretizzano nell’applicazione di metodologie
finalizzate all’identificazione delle aree di priorità, tenendo conto delle risorse e delle
competenze professionali disponibili. Il piano viene condiviso o approvato dai
referenti interni (Comitato per il controllo interno, Consiglio di amministrazione, top
management) in base al mandato conferito.
L’universo di audit, ovvero l’insieme delle possibili alternative di attività di audit
realizzabili nell’organizzazione, può essere composto da vari raggruppamenti di
attività operative aziendali che si prestano a divenire oggetto delle attività di verifica
di un singolo intervento, e per questo sono denominati “oggetti” di audit (possono
essere oggetti di audit le società del gruppo, le strutture territoriali, le funzioni
organizzative, i processi aziendali, ecc.).
Gli standard IIA indicano che “l’universo di audit può comprendere componenti
ripresi dal piano strategico dell’organizzazione. In tal modo, l’universo di audit
rifletterà gli obiettivi complessivi del piano di business. I piani strategici spesso
riflettono in qualche modo la propensione al rischio propria dell’organizzazione e il
grado di difficoltà nel raggiungimento degli obiettivi stabiliti. L’universo di audit
sarà normalmente influenzato dai risultati del processo di risk management. Nel
definire il proprio piano strategico, l’organizzazione deve considerare l’ambiente in
67
cui opera, poiché è molto probabile che i fattori ambientali influiscano sull’universo
di audit e sulla valutazione dei rischi ad essi connessi”74.
La scelta della tipologia di oggetti di audit deve quindi tenere conto dell’aspetto
dimensionale per ottenere un universo di audit che possa essere coperto dalle risorse
disponibili in un orizzonte temporaneo ragionevole (generalmente di 2-3 anni)
considerate le esigenze di governance aziendali. È importante considerare
l’estensione che l’ambito del singolo intervento tende ad assumere nelle varie
tipologie di oggetto. Poiché gli oggetti sono raggruppamenti di attività sempre più
dettagliati (si passa dal livello societario a quello dei processi, fino al livello delle
singole attività/progetti), è possibile definire ambiti di verifica sempre meglio
delimitati. La crescente focalizzazione sugli obiettivi perseguiti consente di
individuare con maggiore precisione i rischi cogenti e le derivanti esigenze di
controllo interno. Un’altra importante considerazione relativa alla selezione degli
oggetti di audit riguarda la loro stabilità nel tempo. Quando l’universo definito dagli
oggetti di audit assume una dimensione tale da non poter essere coperto dalle risorse
disponibili nel lasso di tempo previsto dalla pianificazione, diventa necessario
ripetere, allo scadere di ogni periodo, le analisi necessarie alla definizione delle nuove
priorità per il periodo successivo, garantendo man mano la complessiva revisione di
tutte le attività dell’universo. Date le frequenti evoluzioni, in mercati dinamici e
concorrenziali, degli oggetti societari, territoriali e funzionali, l’attenzione della
pianificazione di internal auditing si sposta sui processi. I processi, infatti, sono
raggruppamenti di attività strettamente legati al business dell’organizzazione e
74 IIA, Guida interpretativa 2010-1, Collegamento tra Piano di Audit e rischi aziendali
68
risentono solo indirettamente delle evoluzioni organizzative delle strutture che li
gestiscono. Risulta importante quindi l’articolazione di processi e sottoprocessi in
modo che la numerosità degli oggetti sia ragionevole e comparabile. La mappatura
necessaria può infatti essere sviluppata dall’internal auditing in funzione della
complessità dell’organizzazione, contando sul fatto che l’investimento di tempo e
risorse indispensabile all’analisi e alla necessaria condivisione del risultato con il
management possa comunque essere controbilanciato dalla possibilità di riutilizzare
l’universo di audit derivante nei periodi successivi di pianificazione con
manutenzioni minime. La mappatura dei processi attraverso un business model,
inoltre, consente alla funzione internal auditing di correlare gli oggetti di audit al
business complessivo dell’organizzazione e di ottenere un elevato controllo sulla
numerosità degli oggetti che compongono l’universo.
Le attività che l’internal auditing deve svolgere nelle fasi di formulazione del piano
consistono, quindi, nell’identificazione e nella classificazione dei criteri disponibili
al fine di selezionarne un gruppo che risulti applicabile al maggior numero di oggetti
possibile al fine di garantire una reale significatività dei punteggi ottenibili dalla loro
elaborazione; che sia caratterizzato da una certa variabilità dei valori assunti dai
criteri tra gli oggetti che compongono l’universo di audit; che sia in grado di
bilanciare valutazioni soggettive e valutazioni oggettive; che possa bilanciare fattori
espressi dal management con fattori espressi dall’audit, al fine di equilibrare le
posizioni che lo scoring andrà a generare.
La selezione di un numero limitato di criteri rende agevole e ragionevole in termini
di complessità la successiva applicazione delle tecniche di risk scoring. Dopo aver
69
definito e condiviso i criteri da utilizzare, risulta possibile procedere con la loro
valorizzazione, che consiste nell’attribuzione al singolo oggetto del valore della
misura relativa, per i criteri quantitativi, o del valore numerico riconducibile a una
scala qualitativa, per i criteri qualitativi. Infine, sarà opportuno e utile elaborare i
punteggi che determinano le priorità sulla base di una formula di aggregazione
(l’algoritmo più comune utilizzato per l’elaborazione dei risk score consiste nella
semplice sommatoria dei criteri valorizzati per singolo oggetto e ponderati sulla base
dei pesi identificati per il singolo criterio)75.
2.3.2) Il processo di Internal auditing
Un intervento di internal auditing è un processo composto da una serie di attività
orientate al raggiungimento di un obiettivo finale predefinito. Indipendentemente
dalla tipologia di auditing (vedi paragrafo 2.1), ogni attività si sviluppa seguendo un
percorso logico suddivisibile in fasi, ciascuna delle quali si caratterizza per: lo
svolgimento di azioni, mirate a un determinato obiettivo del progetto; l’utilizzo di
tecniche e strumenti particolari; la predisposizione e il rilascio di documenti specifici
(output).
Il processo di internal auditing può essere idealmente suddiviso in quattro fasi
distinte: analisi preliminare; analisi dettagliata (valutazione del disegno dei controlli);
attività di verifica (test di funzionamento dei controlli); attività di reporting.
75S(o)= ∑ 𝑝𝑖𝑣𝑖(𝑜)𝑛𝑖=1
∑ 𝑝𝑖𝑛𝑖=1
Dove: 𝑣𝑖(o) = valore del criterio i-esimo per l’oggetto «o» n = numero dei criteri 𝑝𝑖 = peso del criterio i-esimo S(o) = punteggio (score) dell’oggetto «o»
70
Figura 2.3 – Le fasi del processo di Internal Audit
L’avvio dell’incarico è sancito dall’invio dell’informativa al responsabile della
funzione o del processo da sottoporre a verifica (un dipartimento, un’unità o
un’attività di business sotto la competenza di un unico responsabile) oppure ai vari
responsabili se si tratta di un processo che coinvolge più funzioni aziendali.
Eccetto che per gli incarichi di fraud investigation (che, per loro natura, non possono
essere preventivamente annunciati), l’avvio dell’attività di audit viene comunicato ai
destinatari interessati tramite una lettera di notifica con adeguato anticipo, alla quale
segue l’organizzazione di una riunione d’apertura, chiamata anche kick off meeting,
necessaria a chiarire lo scopo e l’ambito di copertura dell’audit, illustrare le
metodologie che verranno adottate e ottenere indicazioni utili all’analisi preliminare.
71
Analisi preliminare
L’analisi preliminare ha lo scopo di orientare correttamente l’intervento di audit,
acquisendo familiarità con le principali caratteristiche dell’attività in oggetto e
ottenendo una valutazione preliminare della significatività dei vari ambiti, dei
potenziali rischi e delle possibili aree di criticità.
L’analisi preliminare consiste, pertanto, in un processo di raccolta di dati e di
informazioni sulle attività da esaminare, senza peraltro sottoporle ancora a esame
approfondito, oggetto specifico della seconda e terza fase.
A conclusione della fase di analisi preliminare viene prodotto il planning
memorandum, che sintetizza l’oggetto, gli obiettivi e le modalità di svolgimento
dell’incarico. Il documento di pianificazione interna descrive in termini generali le
attività e l’organizzazione dell’area aziendale soggetta a audit, i rischi o le aree
critiche identificate inizialmente; gli obiettivi specifici, nonché l’approccio di
revisione e la pianificazione delle procedure di revisione rispetto agli obiettivi. Se
elaborato con cura, il planning memorandum costituisce già alcune parti essenziali
dell’internal audit report finale e una delle migliori modalità per documentare in
sintesi e con chiarezza le logiche che hanno ispirato l’approccio specifico di audit.
Pertanto, esso costituisce un documento base, per il responsabile dell’internal
auditing o per l’audit manager, che consente di effettuare con efficienza la
supervisione e approvare l’ambito e il programma gestionale di audit complessivi.
72
Analisi dettagliata
La fase di analisi dettagliata ha lo scopo di effettuare i necessari approfondimenti
sulle informazioni ritenute significative in base all’analisi preliminare e di
raggiungere un livello adeguato di conoscenza per programmare le verifiche previste
nella fase successiva. Tale approfondimento può essere costituito dalla mappatura dei
processi e sottoprocessi ritenuti più significativi, in modo analitico. Il team di audit
determina le maggiori aree critiche in modo da poter definire e indirizzare le verifiche
a campione dell’effettivo funzionamento, dettato dall’audit program appositamente
predisposto. In questa fase, infatti, si svolge anche l’attività di valutazione del disegno
dei controlli, che ha lo scopo di identificare i punti di forza e di debolezza funzionali
dei controlli mappati rispetto agli obiettivi di riferimento.
Il programma di audit si basa sulle risultanze dell’analisi preliminare e dell’analisi
dettagliata dei processi e consiste in un’articolazione delle procedure di verifica di
audit da effettuare; le procedure danno luogo alle evidenze di audit, che costituiscono
la base per le valutazioni per quanto concerne il funzionamento del Sistema di
Controllo Interno e per completare la valutazione complessiva del sistema tenendo
conto dei risultati dell’analisi del disegno del processo. Le principali finalità
dell’audit program sono: sintetizzare i contenuti e gli obiettivi delle verifiche da
svolgere, specificare le modalità di attuazione del lavoro, costituire una traccia del
lavoro svolto e degli auditor responsabili ed agevolare la supervisione e il controllo
sull’attività di audit. L’importanza e l’estensione del programma di audit sono
strettamente correlate alla natura della verifica da svolgere, che può essere
omnicomprensiva, cioè riguardare un intero settore o attività, oppure limitata a un
73
particolare aspetto degli stessi. L’audit program è assoggettato all’approvazione
iniziale da parte del responsabile dell’internal auditing o del project leader e, in caso
di modifiche significative, anche ad approvazione successiva. In caso di strutture di
internal auditing complesse, la sua approvazione può essere demandata al middle
management della funzione internal auditing. Esso stabilisce le attività di analisi e di
verifica, le metodologie e le tecniche per esaminare e documentare lo svolgimento
del lavoro. Le procedure stesse saranno successivamente ampliate o modificate a
seconda delle circostanze che si presentano durante l’incarico.
L’attività di verifica e i rilievi di audit
L’attività di verifica consiste sia nell’analisi dettagliata dei processi, che consente di
conoscere l’architettura del Sistema di Controllo Interno, sia nell’esecuzione di test,
anche a campione, necessari alla raccolta di evidenze che costituiscono le basi sulle
quali si fondano le valutazioni di eventuali criticità e le raccomandazioni dell’auditor
stesso. Il passaggio verso l’analisi dettagliata e l’attività di verifica comporta
normalmente il completamento dell’analisi dettagliata dei processi e sottoprocessi, la
verifica sui rischi residuali che appaiono significativi, l’effettuazione di test di
funzionamento.
Per poter costituire una solida base per rilievi e raccomandazioni, è necessario che le
evidenze raccolte siano sufficienti, affidabili, rilevanti e utili al conseguimento degli
obiettivi di audit.
Esse devono consentire a qualunque altro auditor informato di giungere alle stesse
conclusioni; devono, inoltre, essere fondate e le migliori ottenibili con l’uso di
74
tecniche adeguate all’incarico; infine, devono essere coerenti con gli obiettivi ed in
grado di aiutare l’organizzazione a raggiungere le sue finalità. Le evidenze di audit
possono essere costituite da documentazione significativa, elaborazioni e verifiche
dei dati effettuate dall’internal auditor, testimonianze dell’auditee e di terze parti,
interrelazioni tra dati, esistenze fisiche, conseguenze rilevate dalla mappatura del
processo, registrazioni di supporto. Le diverse tipologie di informazioni, o evidenze
di audit, possono essere classificate in funzione della natura e del carattere
dell’informazione, in funzione del modo in cui l’evidenza si è originata e dei soggetti
che vi hanno accesso oppure in base alla modalità di raccolta. La finalità principale
della raccolta di evidenze di audit è quella di fornire una base sufficientemente valida
alle successive osservazioni, conclusioni e raccomandazioni dell’internal auditor da
sintetizzare nell’audit report.
Nel caso in cui il numero di oggetti di audit sia estremamente elevato, la possibilità
di verificarle per intero risulta di fatto economicamente non perseguibile. Infatti, ogni
qualvolta l’internal auditor, nella fase di test, si trovi nella condizione di dover
esprimere una valutazione su uno specifico obiettivo di controllo sulla base di un set
limitato di informazioni disponibili, deve ricorrere a tecniche di campionamento
(statistico o non statistico) per comprendere il grado di generalizzabilità dei risultati.
L’emergere, nel corso dell’audit, di carenze nel sistema di gestione dei rischi e di
controllo interno dovrà essere registrato come rilievo preliminare. Anche per quanto
riguarda i rilievi di audit è necessario fare riferimento alle due dimensioni della
valutazione dei controlli del disegno e del funzionamento. Si avranno infatti rilievi
che scaturiscono da una valutazione del disegno dei controlli (tipici della fase di
75
analisi dettagliata) e rilievi che si registrano nella fase di verifica approfondita del
funzionamento del sistema dei controlli. In linea generale e in termini di
documentazione, risulta utile l’utilizzo delle schede di rilievo di audit che sintetizzano
le criticità rilevate, le valutazioni effettuate, le possibili integrazioni al sistema di
controllo e la successiva discussione con il management interessato per
l’identificazione di possibili azioni correttive volte al contenimento dei rischi
evidenziati. Tali rilievi, in base alla valutazione finale delle evidenze accumulate e
alla significatività del rilievo, possono essere inclusi nell’audit report finale. I rilievi
significativi sono quelle condizioni che, secondo il giudizio dell’auditor, possono
influenzare negativamente l’organizzazione. Essi possono riguardare condizioni
relative a irregolarità, atti illeciti, errori, inefficienze, sprechi, inadeguatezze, conflitti
di interesse, debolezze nel controllo.
Reporting e piano d’azione
Nella fase di reporting l’attività di audit si focalizza sull’efficace comunicazione dei
risultati, finalizzata alla ricerca di comprensione e condivisione delle criticità rilevate,
nonché all’identificazione di adeguati piani d’azione per il rafforzamento del Sistema
di Controllo Interno a supporto degli obiettivi aziendali. La fase può prevedere due
momenti fondamentali che si concretizzano nell’organizzazione di una presentazione
formale dei risultati (exit meeting), e nello sviluppo dell’audit report.
L’exit meeting non richiede necessariamente la stesura della bozza dell’audit report
definitivo; importante è la chiara presentazione dei risultati in modo coerente con i
criteri della relazione di audit nei modi e nel livello di dettaglio che favoriscano il
76
successo dell’incontro. Obiettivo dell’incontro è, infatti, quello di presentare le stesse
informazioni, rilievi e suggerimenti che dovranno essere esplicitati nell’audit report,
ma adottando una forma di comunicazione più fluida e meno formale che consenta di
focalizzare l’attenzione sui contenuti piuttosto che sulla forma.
Infine, è responsabilità dell’internal auditor cercare di concludere l’exit meeting con
una definizione dei piani d’azione, almeno nelle linee generali, e dei soggetti
responsabili della realizzazione di ciascuna azione identificata. Il grado di dettaglio
necessario alla presentazione delle azioni correttive nell’audit report potrà essere
fornito anche in seguito all’incontro dai responsabili individuati.
L’audit report è il documento formale con il quale l’internal auditor riassume le
attività svolte nel corso dell’incarico, relaziona sui rilievi emersi e propone le proprie
raccomandazioni. Il documento costituisce una prova durevole del carattere
professionale dell’attività di audit effettuata e consente la valutazione da parte di
soggetti terzi. La forma e il contenuto di un audit report possono variare
considerevolmente in funzione del tipo di lavoro svolto, come, per esempio, per una
review del Sistema di Controllo Interno o per un’investigazione di un caso di frode.
In ogni caso, la forma complessiva dei report redatti da una funzione di internal
auditing dovrebbe sempre garantire la formalizzazione degli obiettivi di audit, delle
modalità di verifica, dei risultati e dei relativi criteri di valutazione.
2.4) L’analisi dei processi
In una logica per processi l’azienda è vista come un insieme di catene orizzontali di
attività finalizzate a progettare, realizzare, promuovere e vendere il prodotto finito
77
per il cliente. Per l’internal auditor, saper effettuare un’analisi dei processi costituisce
una base indispensabile per svolgere con efficacia la propria attività e anche una
metodologia che offre utili indicazioni pratiche. I processi aziendali rappresentano un
oggetto privilegiato nella pratica di pianificazione, in quanto strettamente legati al
business dell’organizzazione e solo indirettamente influenzati dalle evoluzioni
organizzative delle strutture che li gestiscono. Infatti, indipendentemente dagli assetti
organizzativi secondo cui un’azienda viene progettata, gestita e quindi strutturata, il
suo funzionamento avviene per processi orizzontali: spesso questi attraversano le
varie funzioni e coinvolgono attività svolte da persone appartenenti anche a funzioni
diverse.
Il passaggio da un’organizzazione tradizionale parcellizzata e fondata sulle funzioni
e sulle competenze tecniche a una per processo, integrata e focalizzata sul cliente (sia
esso interno o esterno) è la conseguenza naturale del passaggio dal mercato del
produttore a quello del consumatore, espressione con la quale si indica il ribaltamento
dei rapporti di forza per cui, se in un primo momento le aziende spingevano verso un
consumo massificato, ora, con la maggiore presa di coscienza dei consumatori, sono
questi ultimi a chiedere prodotti e servizi sempre più personalizzati, influenzando la
produzione.
L’assunzione della centralità dei processi e del loro cambiamento ha influenzato
l’insieme delle modalità di cambiamento di un’organizzazione, indirizzando in
maniera coerente a questa visione le scelte su vari terreni.
78
Figura 2.4 – Dall’approccio per funzioni all’approccio per processi
La progettazione e la definizione dei modelli organizzativi non possono prescindere
dall’analisi dei processi aziendali: è tramite la loro individuazione e gerarchia infatti
che si può costruire o ripensare l’assetto organizzativo ottimale per la realizzazione
dei fini dell’impresa. L’analisi dei processi è l’insieme di tecniche e strumenti che
consentono di comprendere come si originano, sono strutturati e si sviluppano i flussi
di attività operative in modo trasversale all’interno di un’organizzazione. Uno dei
vantaggi conseguiti da un internal auditor che svolge con padronanza l’analisi dei
processi, integrata dall’analisi dei relativi rischi e dei controlli, è quello di poter
identificare i process owner responsabili delle funzioni che costituiscono il processo
oggetto di analisi (soprattutto quando non esplicitamente individuati dall’azienda,
come spesso accade) e di poter valutare ogni componente del processo con tale
responsabile. Per l’internal auditor questo significa poter valutare e condividere con
il management la coerenza tra gli obiettivi del singolo process owner e l’obiettivo
globale di processo (che potrebbero anche non essere allineati) e valutare la corretta
79
copertura dei rischi di tutte le aree che fanno parte del processo esaminato. Questo dà
modo di stabilire se ci sono aree non presidiate o che presentano duplicazioni e di
individuare quelle situazioni che, per esempio, possono favorire l’insorgere di frodi
o di illeciti di diversa natura, senza tralasciare gli aspetti di efficienza del SCI che in
questo modo può essere studiato nell’ambito del processo end-to-end. Un altro grande
vantaggio derivante dall’approccio per processi è quello di poter evidenziare i rischi
più rilevanti che molto spesso si trovano nelle interfacce tra le funzioni che
interagiscono in un processo. Nella rappresentazione sistemica, un’organizzazione
viene vista come un unico macroprocesso che per raggiungere i propri obiettivi
strategici deve attuare processi operativi che a loro volta devono raggiungere obiettivi
operativi. I cosiddetti processi primari e di supporto si caratterizzano da una parte per
essere identificati in funzioni aziendali e dall’altra per essere trasversali rispetto alle
funzioni destinatarie dei loro servizi. Molto spesso l’internal audit è l’unico che
basandosi su un’ottica diversa da quella verticale riesce a cogliere aspetti altrimenti
non percepibili. Questo è l’altro vantaggio dell’analisi condotta sui processi: la
misurazione dell’efficacia e dell’efficienza delle operazioni in un’ottica di controllo.
Un intervento limitato a una sola funzione non consente di cogliere aspetti di criticità
che impattano sugli obiettivi dell’intero processo, a meno che non compromettano gli
obiettivi di quella stessa funzione.
2.5) Valutazione dei sistemi integrati di controllo interno
Il Sistema di Controllo Interno inteso come “l’insieme delle regole, delle procedure
e delle strutture organizzative volte a consentire, attraverso un adeguato processo di
identificazione, misurazione, gestione e monitoraggio dei principali rischi, una
80
conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”76 è il
perno su cui si fonda la Corporate Governance e costituisce l’elemento catalizzatore
di tutti i soggetti e le funzioni che, ognuno per la propria parte, contribuiscono alla
conduzione dell’impresa in modo sano, corretto e coerente all’obiettivo di conferire
il massimo valore sostenibile ad ogni attività dell’organizzazione. In materia, è
intervenuto negli ultimi anni anche il Legislatore nazionale, spesso sulla scorta di
esigenze contingenti, ampliando il numero dei soggetti aziendali chiamati a fornire
contributi al disegno e alla gestione dei controlli e frazionando gli ambiti di
responsabilità di ciascuno. Ciò ha determinato un proliferare di approcci, di modelli
di valutazione e di gestione spesso non integrati e, di conseguenza, potenzialmente
conflittuali, inefficienti e non economici. La possibilità di realizzare una Governance
aziendale è pertanto subordinata alla capacità di integrare le valutazioni espresse
dall’insieme di tali soggetti, pena un’azione meno efficace ed una copertura parziale
dei rischi aziendali sia in termini quantitativi che qualitativi.Il Sistema di Controllo
Interno a presidio dei rischi aziendali è infatti unico e la possibilità di garantire
l’adeguatezza delle modalità di controllo rispetto alle esigenze poste dai rischi da
presidiare dipende dalla capacità di scegliere tra controlli alternativi in base a criteri
omogenei di rilevazione e di valutazione che ne consentono la confrontabilità e la
selezione. Il perseguimento di obiettivi di efficacia ed economicità del Sistema di
Controllo Interno nel suo complesso richiede una modalità che consenta una
omogenea identificazione e valutazione dei controlli nei diversi ambiti aziendali di
applicazione, utile non solo all’identificazione ex post di sistemi caratterizzati da
76 Definizione fornita dal Codice di Autodisciplina, Borsa Italiana SpA – Comitato per la Corporate Governance
81
lacune o inefficienze, ma anche alla progettazione ex ante di modalità di controllo
che presentino i requisiti minimi necessari. Tali considerazioni sono di particolare
rilevanza per l’Internal Auditing, che è tipicamente chiamato a fornire un’assurance
complessiva sul disegno ed il funzionamento del Sistema di Controllo Interno
attraverso valutazioni indipendenti e che sempre più spesso si trova a dover integrare
le attività e le valutazioni degli altri soggetti e funzioni che, direttamente coinvolti
nelle attività operative e di controllo a vari livelli, concorrono anche alla definizione
del Sistema sulla base degli specifici ruoli e mandati.
Un approccio alla Valutazione del Sistema Integrato di Controllo Interno in grado di
supportare le attività di Assurance e Consulenza sul disegno e il funzionamento dei
controlli da parte dell’Internal Auditing e di tutti i soggetti aziendali chiamati per
ruolo e responsabilità a svilupparne o valutarne l’architettura, si prefigge i seguenti
obiettivi: oggettività, ovvero possibilità da parte di qualsiasi soggetto deputato alla
governance e/o al controllo, interno od esterno all’organizzazione, di ripetere la
valutazione giungendo ad analoghe conclusioni attraverso strumenti e regole
codificati e condivisibili; scalabilità, ovvero applicabilità dell’approccio tanto a
singoli controlli, quanto ad aggregati complessi, che nella forma più completa sono
rappresentati dall’intero Sistema di Controllo Interno aziendale;generale
applicabilità, ovvero indipendenza da specifici contesti aziendali, quali il settore di
business di appartenenza, l’ambito specialistico di applicazione (es. Legge 262, d.lgs.
231, ecc.), o i rischi gestiti (es. normativi, operativi, ecc.);compatibilità e coerenza
con gli tutti standard e le pratiche comuni in tema di controllo interno a livello
internazionale (CoSo, Enterprise Risk Management, ecc.);integrabilità, intesa come
82
apertura a possibili evoluzioni ed affinamenti (es. identificazione di eventuali ulteriori
elementi di misurazione del disegno dei controlli, piuttosto che di strumenti di
misurazione).
L’approccio si presta a contesti di applicazione caratterizzati da finalità, oggetti di
indagine e grado di analiticità dell’applicazione differenti. Dal punto di vista delle
finalità si considerino, ad esempio, i già citati ambiti di Assurance e Consulenza che
si concretizzano nella necessità di formulare attestazioni sul disegno ed il
funzionamento dei controlli interni o di fornire al management supporto per la
progettazione o l’ottimizzazione del sistema di controllo a presidio di specifici rischi.
Sul fronte dei possibili oggetti di indagine si pensi, ad esempio, alla
opportunità/necessità di procedere per:processi, con forte enfasi ad aspetti di
integrazione, sinergia e interdipendenza dei controlli; strutture organizzative, con
particolare riferimento ad aspetti di responsabilizzazione dei soggetti preposti; rischi,
con il fine di presidiare temi particolarmente critici per il perseguimento degli
obiettivi aziendali e il rispetto delle normative. Infine, sul fronte dell’analiticità si
considerino le necessità di valutare l’adeguatezza di: un singolo controllo nell’ambito
di specifiche attività di audit; il complessivo sistema dei controlli interni, che nel caso
più estremo sono rappresentati dall’organizzazione nel suo complesso, a presidio dei
rischi aziendali. L’approccio si presta, quindi, a integrare le metodologie e a
soddisfare le esigenze di numerosi soggetti dell’organizzazione coinvolti sia nel
processo di progettazione/definizione, che in quello di valutazione del Sistema di
Controllo Interno aziendale.
83
Tabella 2.1 - Coinvolgimento dei diversi soggetti della Governance aziendale nei vari ambiti di applicazione
dell’approccio (fonte: IIA)
2.5.1) Approccio risk based
Il sistema di valutazione dei controlli è sviluppato sulla base di una logica risk based
consolidata che prevede l’identificazione e valutazione preliminare degli eventi,
esterni e interni, che possono potenzialmente pregiudicare il perseguimento degli
obiettivi aziendali, siano essi strategici, operativi, di reporting, di conformità.La
definizione dei rischi significativi e delle strategie di assunzione di tali rischi da parte
del management rappresentano requisito fondamentale per la formulazione della
valutazione sull’adeguatezza del Sistema di Controllo Interno. In particolare, risulta
di fondamentale importanza l’analisi dei rischi inerenti o potenziali, ossia della
probabilità di accadimento e del possibileimpatto a prescindere da qualsiasi
84
sistemadi controllo esistente, e la determinazione dei limiti di tollerabilità
(determinata dalle condizioni economiche, finanziarie e patrimoniali dell’azienda e il
cui superamento può compromettere la sopravvivenza dell’organizzazione) e di
accettabilità (definita dalla propensione al rischio del Management, che la determina
in base ad un bilanciamento con le opportunità strategiche di ricerca della redditività).
Questa soglia consente di individuare le priorità d’intervento e di decidere i criteri di
gestione del rischio.L’adeguatezza di un Sistema di Controllo Interno si manifesta,
quindi, nella capacità di garantire il contenimento dei rischi che minacciano il
raggiungimento degli obiettivi aziendali entro i suddetti limiti attraverso una corretta
allocazione delle risorse di controllo disponibili.
Il necessario collegamento al tema di identificazione e valutazione dei rischi si
realizza attraverso la formulazione degli obiettivi di controllo rilevanti per l’ambito
oggetto di analisi, sia esso un’attività, un processo, una funzione organizzativa o
un’entità aziendale complessa.La definizione degli obiettivi di controllo prevede la
determinazione di: obiettivi aziendali di business (es. la massimizzazione dei ricavi,
il contenimento dei costi, la qualità dei prodotti/servizi, ecc.) e di governo rilevanti
(es. l’affidabilità dell’informativa gestionale e contabile, il rispetto di vincoli
normativi, ecc.), al fine di garantire il disegno di controlli adeguati per tutti gli
obiettivi considerati; fonti di rischio che possono compromettere il raggiungimento
degli obiettivi di cui al punto precedente al fine di garantire l’architettura di controllo
più adatta ad errori, frodi, mancata sincronizzazione dei processi, indisponibilità
quali/quantitativa di risorse, limiti di tollerabilità e accettabilità definiti dai processi
di gestione del rischio, per consentire le opportune valutazioni di economicità e di
85
generale efficienza del sistema di controllo.
Gli obiettivi di controllo, espressione e sintesi degli obiettivi e dei rischi aziendali
rilevanti, sono presidiati da controlli che: rilevano una situazione (un dato, un
comportamento, uno stato, ecc.); riscontrano un’eventuale deviazione rispetto ad uno
standard desiderato/definito; attivano un’adeguata azione correttiva in grado di
ricondurre la situazione allo standard o, quanto meno, di limitare gli impatti entro i
limiti di desiderabilità e accettabilità.
Qualsiasi controllo, quindi, è analizzato sulla base di una visione standard ed univoca
riconducibile, per qualsiasi tipologia considerata (controllo operativo o manageriale,
di linea o di monitoraggio, di primo, secondo e terzo livello, manuale o automatizzato,
ecc.), ad un processo di controllo che vede coinvolte le seguenti componenti: input
significativi da sottoporre a confronto; standard di riferimento, ossia elementi di
raffronto dell’input; attività di rilevazione dell’input; attività di confronto tra input e
standard di riferimento; attività di correzione/retroazione, nel caso dall’attività di
confronto si rilevi un’anomalia; output del processo di controllo; sistema informativo
di interconnessione, che consente lo scambio di informazioni necessarie a garantire
il funzionamento di tutto il processo (es. sistema di comunicazione verbale, scritta,
scambio di dati informatizzati, ecc.). Esso riguarda il collegamento tra i sistemi di
diffusione dello standard e di rilevazione dell’input con l’attività di confronto nonché
quello per l’attivazione del sistema di correzione.
L’evidenziazione di tali elementi, coerente con i modelli di riferimento e le
classificazioni tradizionali dei controlli, consente di verificare la completezza di un
controllo rispetto ai suoi elementi costitutivi, di comprendere le relazioni
86
fondamentali esistenti tra le diverse componenti e di valutarne puntualmente
l’adeguatezza rispetto all’obiettivo di controllo presidiato.
2.5.2) Il modello di valutazione
Alla base della valutazione dei Sistemi integrati di Controllo Interno vi è il Modello,
ossia l’insieme degli elementi o caratteristiche dei controlli, rilevabili in modo diretto
o indiretto da chi chiamato a svolgere attività di analisi.La misurazione diretta
avviene attraverso strumenti, ossia differenti modalità con le quali si perviene ad una
rilevazione quali-quantitativa basata su caratteristiche osservabili dei controlli, così
come sistemi di misurazione strettamente quantitativi già esistenti in azienda o
sviluppati ad hoc.
Figura 2.1 – Ambiti di valutazione dei Sistemi Integrati (fonte: IIA)
87
Gli elementi del Modello misurabili in modo indiretto sono il risultato
dell’applicazione di regole di aggregazione delle valutazioni di componenti di livello
inferiore. L’applicazione delle regole consente quindi di giungere a indici sintetici, a
supporto del giudizio dell’auditor, per la valutazione dell’adeguatezza del singolo
controllo e di sistemi complessi composti da più controlli.
L’attività di analisi e valutazione, infine, si sviluppa in un processo operativo di
applicazione articolato in cinque macro fasi tipiche adattabili in base al contesto e
agli ambiti di utilizzo.
Il Modello è la componente dell’approccio che razionalizza l’insieme degli elementi
da considerare per la progettazione di nuovi controlli o la valutazione di controlli
esistenti.Si tratta di una rappresentazione statica di componenti che prescinde dal
livello di complessità dell’entità oggetto di analisi (singolo controllo o aggregati di
controlli) e dai vincoli, interni ed esterni (numero e tipologia di variabili ambientali,
normative, ecc.), che caratterizzano il contesto in cui il controllo opera.
La logica per la sua applicazione è di tipo bottom-up, partendo da elementi di
dettaglio per poi procedere ad aggregazione degli stessi secondo criteri
predeterminati e giungere alla sintesi finale della valutazione di adeguatezza rispetto
agli obiettivi di controllo.Il fine è quello di ridurre, in sede di analisi, il disegno ed
il funzionamento di SCI complessi all'interazione di sistemi più semplici e, viceversa,
la possibilità di progettare sistemi in maniera strutturata componendo unità
elementari.
Entrando nel merito del Modello, i suoi elementi sono raggruppabili in elementi di
misurazione diretta, i quali coincidono con le caratteristiche direttamente osservabili
88
dei controlli. Si tratta delle entità di massimo dettaglio, non ulteriormente
scomponibili, la cui rilevazione, qualitativa e/o quantitativa, avviene secondo
strumenti predefiniti; ed elementi di misurazione indiretta, ossia elementi non
misurabili direttamente, ma ottenuti mediante aggregazioni, secondo regole
predefinite, di elementi di valutazione diretta.
Il Modello si presta a possibili integrazioni relativamente al numero e alla tipologia
di elementi di base, ad esempio attraverso la scomposizione di elementi di
misurazione diretta in elementi di misurazione indiretta qualora si ravvisasse
l’opportunità di scendere ad un maggiore livello di dettaglio dell’analisi.
Figura 2.2 – Sintesi del Modello
In sintesi, l’adeguatezza di un controllo dipende dall’efficacia, ossia la capacità di
89
garantire il contenimento degli impatti/probabilità del verificarsi dell’evento
rischioso entro i limiti determinati e dall’economicità, ossia la capacità di garantire
un onere complessivo del controllo (costo fisso del controllo e costo variabile di
risoluzione) non superiore agli impatti da contenere. Laddove risultino soddisfatti
questi obiettivi, l’adeguatezza dipenderà dall’efficienza del controllo, intesa come la
combinazione ottimale dei due fattori, a partire dalla quale non è possibile migliorare
uno dei due senza pregiudizio per l’altro.In generale, la ricerca di adeguatezza
consiste nel garantire il più alto grado di efficacia, considerando il vincolo
dell’economicità.
L’efficacia del controllo è determinata dall’architettura del controllo, ovvero le
caratteristiche intrinseche del processo (attributi del controllo), l’eventuale
dipendenza/relazione con altri processi di controllo e dal funzionamento del sistema
del controllo, ovvero la parziale o non conforme esecuzione delle attività previste dal
disegno dei processi di controllo.
L’efficacia del disegno di un controllo dipende dalla copertura, in termini di rapporto
tra obiettivi di controllo da presidiare e controlli esistenti, a prescindere da
considerazioni circa la qualità del controlli stessi; dalla pertinenza, intesa come
capacità dei controlli di presidiare un certo obiettivo di controllo identificando in tutto
o in parte le potenziali anomalie e/o attivando le retroazioni solo nei casi anomali,
senza intervenire su situazioni non critiche; dalla robustezza, determinata dalle
caratteristiche intrinseche delle componenti di un processo di controllo e dalla loro
relativa compatibilità, che influisce sulla probabilità che il controllo si trovi
effettivamente ad operare in relazione alle caratteristiche dei rischi e del contesto
90
aziendale considerato; infine, dalla reattività, che misura capacità di un controllo di
rilevare e correggere un rischio in tempi utili all’eliminazione o limitazione dei suoi
impatti sugli obiettivi di controllo. In particolare, l’analisi di tale elemento, basata sul
confronto con i momenti in cui si manifesta l’evento rischioso e quello in cui si
consolidano le conseguenze, consente di delineare le situazioni tipiche che sono
rappresentate di seguito.
La valutazione del funzionamento tiene conto del grado disponibilità delle risorse
individuate per l’esecuzione dei controlli; del grado di conformità, ossia dell’effettiva
esistenza e della corretta esecuzione dei controlli previsti dal disegno; della presenza
di rischi non coperti, ovvero di impatti residuali significativi che identificano
l’esistenza di obiettivi di controllo non adeguatamente presidiati.
L’economicità del controllo è determinata da due fattori:il danno/penalità potenziali,
ossia gli impatti aziendali diretti, derivanti dal verificarsi del rischio non gestito (es.
sanzioni amministrative, perdite o mancati guadagni, costi non sostenuti); ed il costo
del controllo, costituito dal costo fisso di struttura per la rilevazione delle anomalie
(es. FTE77 delle risorse dedicate all’attività di rilevazione e riscontro) e dagli oneri
variabili delle azioni di gestione dell’evento critico (es. investimenti per recupero di
immagine, risarcimenti danni, ecc.).
2.5.3) Rilevazione e processo operativo di valutazione
Gli elementi del controllo oggetto di rilevazione diretta vengono misurati sulla base
77 Il Full Time Equivalent (Equivalente a Tempo Pieno) viene principalmente utilizzato per indicare lo sforzo erogato o pianificato per svolgere una attività o un progetto
91
di strumenti di identificazione che hanno il fine di garantire, a chiunque voglia
ripetere in modo indipendente la valutazione del controllo, un sistema di riferimento
omogeneo e definito. Gli strumenti di rilevazione possono essere di tipo quantitativo,
ossia fondati sull’utilizzo di variabili quantitative riconducibili a scale numeriche
continue, oppure di tipo quali-quantitativo, ovvero basati sull’evidenziazione della
presenza o meno di caratteristiche dei controlli che possono essere ricondotte a scale
quantitative discrete.
La formulazione degli strumenti quali-quantitativi richiede l’identificazione di
attributi dell’elemento oggetto di indagine osservabili e riscontrabili le cui
combinazioni contribuiscono alla definizione di una scala in cui i livelli più alti sono
caratterizzati dalla presenza di attributi migliori.
La sintesi delle informazioni raccolte grazie all’applicazione degli strumenti di
rilevazione agli elementi del modello avviene tramite regole che consentono la
valorizzazione di singoli elementi di misurazione indiretta, dell’adeguatezza di
singoli controlli, di sistemi di controllo propri di specifici processi e di aggregati di
processi che nella forma più complessa rappresentano l’azienda nella sua interezza.
La logica di valutazione nei tre differenti contesti (controllo-processo-azienda) è
peraltro la medesima passando da un livello all’altro di complessità. La formulazione
delle regole di valutazione prescinde, infatti, dalla tipologia dei controlli e dei
processi presi in considerazione.
La realizzazione delle attività di valutazione si esplica attraverso un processo
operativo che prevede le seguenti fasi fondamentali:individuazione degli obiettivi
di controllo aziendali;identificazione e misurazione dei controlli a presidio dei rischi
92
identificati; valutazione del disegno;valutazione del funzionamento; valutazione
dell’economicità.
L’attività di individuazione degli obiettivi di controllo è strettamente connessa ai
processi di risk management/risk assessment già presenti in azienda e finalizzati alla
identificazione e misurazione dei rischi potenziali riguardanti l’ambito oggetto di
analisi. È onere del valutatore formulare gli obiettivi di controllo secondo le modalità
già descritte, sollecitando o integrando direttamente eventuali carenze;
Le attività di identificazione dei controlli a presidio dei rischi può essere realizzata
nell’ambito di singoli progetti di internal audit o, in alternativa con apposite attività
di rilevazione dei processi e dei controlli basate su interviste e “walkthrough”78
realizzate dal valutatore oppure attraverso un’auto-rilevazione da parte del
management che, supportato dal valutatore, è chiamato a evidenziare e misurare con
gli strumenti predisposti il sistema di controllo in essere a presidio degli obiettivi
gestiti.
Considerazioni analoghe si applicano, inoltre, alla realizzazione delle successive fasi
di valutazione che si differenziano esclusivamente per gli elementi analizzati e le
regole di valutazione considerate.Le fasi di valutazione del disegno, del
funzionamento e dell’economicità dovrebbero essere idealmente attuate secondo
l’ordine precedentemente indicato. Tuttavia, è possibile esprimere valutazioni sul
Sistema di Controllo Interno anche nel caso di valutazioni del disegno assenti o
parziali, a condizione che i limiti esistenti siano correttamente evidenziati e che la
successiva fase di valutazione del funzionamento garantisca un’adeguata misurazione
78 Guide strategiche dettagliate (dall’inglese “attraversare”)
93
dei rischi non coperti.
Analogamente, la fase di valutazione dell’economicità del controllo può limitarsi ad
una verifica di massima del costo complessivo delle soluzioni di controllo
ogniqualvolta gli obiettivi di Controllo siano determinati da vincoli normativamente
cogenti. Solo nel caso in cui l’equilibrio tra efficacia ed economicità appaia
palesemente compromesso diventa necessario analizzare dettagliatamente gli aspetti
legati al costo del controllo per identificare soluzioni architetturali che presentino
oneri inferiori a parità di efficacia.
In caso di applicazione dell’approccio con finalità di assurance da parte dell’Internal
Auditing e modalità di rilevazione e valutazione effettuate direttamente dal
management aziendale, risulta di particolare importanza la definizione,
formalizzazione e condivisione a priori degli strumenti e delle regole di valutazione
da applicare. In tali situazioni il ruolo dell’Internal Auditing nel processo di
applicazione viene a corrispondere a quello di un terzo indipendente che verifica la
corretta applicazione (conformità) del processo di valutazione adottato.
Il processo di valutazione, se realizzato nell’ambito di progetti di assurance
dell’adeguatezza del Sistema di Controllo Interno aziendale, richiede un
aggiornamento continuo la cui cadenza è strettamente connessa alle dinamiche del
contesto in cui l’azienda opera ed ai relativi adattamenti organizzativi e di controllo.
Elementi scatenanti tipici sono: la ridefinizione degli obiettivi di controllo a seguito
di modifiche nelle strategie aziendali e nei vincoli normativi di riferimento; la
ridefinizione delle responsabilità organizzative di presidio ai rischi; l’introduzione o
la modifica di sistemi informativi che alterano l’architettura dei controlli esistenti;
94
l’evidenziazione di rischi non coperti che superano le soglie di accettabilità o
tollerabilità; la necessità di ridurre il costo complessivo del sistema di controllo
interno.
In ogni caso, il processo di applicazione qui descritto non subisce modificazioni
significative passando da applicazioni in ambiti limitati, quali una valutazione dei
controlli per un ambito specifico (rischio, funzione, processo, ecc.) realizzabile nel
contesto di un incarico di Internal Auditing, rispetto all’applicazione nel contesto di
progetti complessi finalizzati alla valutazione del Sistema di Controllo Interno per
organizzazioni complesse e articolate che devono garantire in modo coerente ed
integrato il presidio di obiettivi di controllo diversi e potenzialmente in contrasto tra
loro.
95
CAPITOLO 3 - L’azienda target: Enel S.p.A.
3.1) La storia di Enel S.p.A.
Enel rappresenta il pilastro fondante della produzione di energia elettrica in Italia ed
inevitabilmente la sua storia e le sue radici sono strettamente legate alla storia del
settore energetico italiano.
È il 27 novembre 1962 quando la Camera dei Deputati approva in via definitiva, dopo
un lungo dibattito parlamentare, il provvedimento di nazionalizzazione del sistema
elettrico, con l’obiettivo di utilizzare in modo ottimale le risorse, di soddisfare la
crescente domanda di energia e di consentire condizioni uniformi di trattamento. Il 6
dicembre dello stesso anno il provvedimento diventa legge: nasce così Enel, Ente
Nazionale per l’Energia Elettrica, al quale la legge riserva il compito di esercitare le
attività di produzione, importazione ed esportazione, trasporto, trasformazione,
distribuzione e vendita dell’energia elettrica. È la più grossa riforma economica
approvata dal dopoguerra. In quel momento l’Italia si trova nel mezzo del cosiddetto
“miracolo economico”. Il Paese è nel pieno di un’espansione quale non ha mai
conosciuto prima, ma è anche alle prese con i problemi suscitati da uno sviluppo tanto
veloce quanto disomogeneo. Ciononostante, nel 1962 i consumi elettrici pro capite
italiani sono ancora notevolmente inferiori a quelli dei principali Paesi europei. Il
divario nei consumi elettrici è particolarmente accentuato tra nord e sud, segno del
grande malessere che affligge il Meridione. Il servizio elettrico inoltre non raggiunge
tutti gli italiani: il censimento generale della popolazione del 1961 rileva che più di
700.000 abitazioni, pari al 5,1 per cento di quelle censite, sono prive di elettricità.
96
Enel inizia di fatto la sua attività nel 1963 con il graduale assorbimento delle imprese
elettriche allora esistenti. Il processo di assorbimento è andato avanti nel tempo: alla
fine del ‘95 le imprese elettriche assorbite saranno 1270. Le reti che vengono via via
acquisite sono parcellizzate e disomogenee: nasce quindi la necessità di un grande
progetto di elettrificazione, che preveda il riordino, l’ammodernamento e lo sviluppo
della rete di distribuzione, i collegamenti elettrici con le isole e l’inizio della
realizzazione delle dorsali che dovranno trasportare l’energia lungo tutta la penisola
e connetterla con l’estero. Tra le prime unità operative costituite dall’Enel è da
segnalare il Centro Nazionale di Dispacciamento di Roma, che ha il compito di gestire
gli impianti di produzione, la rete di trasmissione e l’interconnessione con l’estero:
in pratica, il “cervello” dell’intero sistema elettrico italiano.
Figura 3.1 – Il marchio Enel dal 1963 al 1975
Per finanziare l’espansione dei suoi impianti, nel 1965 l’Enel emette sul mercato i
primi due prestiti obbligazionari. Una prima emissione sul mercato italiano per un
97
importo di 75 miliardi di lire. Una seconda di 100 miliardi di lire in Italia e 37 miliardi
di lire negli altri paesi della Comunità Europea.
Il 1966 segna invece una svolta nella storia dell’energia elettrica in Italia: è il primo
anno in cui la produzione idroelettrica copre meno del 50 per cento della produzione
complessiva. L’avvenimento è conseguenza da un lato del progressivo esaurimento
delle risorse idroelettriche e dall’altro del continuo e sostenuto aumento della
richiesta di energia elettrica, che rendono sempre più necessario il ricorso alla
produzione termoelettrica.
Sono gli anni della crescita di Enel che nel frattempo è diventata, secondo un’indagine
di Mediobanca, la seconda industria italiana per fatturato dopo la Fiat.
Il disegno di una rete di trasmissione adeguata alle necessità del Paese si va
completando con il varo della linea 380 kV Firenze-Roma, che sarà il primo
collegamento tra le reti della stessa tensione realizzate, negli anni precedenti, nel nord
e nel sud del Paese. Vengono inoltre realizzate interconnessioni a 380 kV con la
Francia e la Svizzera. Nel 1971 il consumo di energia elettrica per abitante in Italia
raggiunge 2.035 kWh. Lo squilibrio tra il nord e il sud del Paese è ancora molto forte.
Per confronto, il consumo medio per abitante della CEE è, nello stesso anno, di 3.133
kWh.
La guerra arabo-israeliana dello Yom Kippur innesca la prima grande crisi energetica.
Il petrolio viene usato come arma economica dai paesi arabi che ne riducono la
produzione. I continui rincari del greggio costringono i paesi consumatori a varare
misure di emergenza per fronteggiare la crisi adottando una politica di “austerity”.
Per fronteggiare la crisi petrolifera, Enel programma la realizzazione sia di nuovi
98
impianti nucleari, per ridurre la dipendenza dal petrolio, sia di impianti idroelettrici
di pompaggio per coprire il fabbisogno elettrico nelle ore di maggiore consumo.
Contro l’aumento dei prezzi petroliferi vengono introdotte limitazioni ai consumi di
elettricità. Il 20 dicembre 1973 la Camera dei Deputati approva un ordine del giorno
che, “considerata la grave crisi che ha colpito il Paese nel settore energetico”
impegna il Governo «allo sviluppo di una decisa politica di ricerca e di realizzazione
di fonti alternative al petrolio, particolarmente nucleari». Il Piano Energetico
Nazionale (PEN) presentato nel luglio 1975 dal Ministro dell’Industria si articola in
5 punti: idrocarburi; fonti energetiche alternative; programma Enel; ciclo del
combustibile nucleare; programmi CNEN. Per quanto riguarda l’Enel, il Piano
prevede che l’Ente indichi «simultaneamente gare per l’assegnazione di otto centrali
elettronucleari da 1.000 MW del tipo ad acqua leggera, pressurizzata e bollente» e
definisca «in linea con le indicazioni del Piano Energetico, un piano di commesse
aggiuntive, attualmente previsto in 8.000 MW, da approvare da parte del CIPE entro
il 1977». Tenuto conto delle unità nucleari già ordinate dall’Enel, per 4.000 MW, il
PEN prevede quindi un apporto di centrali nucleari per una potenza complessiva di
20.000 MW entro il 1985. Nel 1975, per la prima volta dal 1949, la produzione
italiana di energia elettrica registra un decremento rispetto all’anno precedente: -1,1
per cento. La battuta d’arresto è collegata al calo della domanda del settore
industriale, conseguente all’accentuarsi della fase di recessione dell’economia che
vede una diminuzione del prodotto interno lordo. La Legge n° 373 del 30 aprile 1976,
detta “Norme per il contenimento del consumo energetico per usi termici negli
edifici”, è il primo intervento legislativo in tema di politica di risparmio energetico.
99
L’Enel predispone un volantino, dal titolo “Per una migliore e più economica
utilizzazione dell’energia”, che viene stampato in 21 milioni di copie e inviato a tutti
gli utenti domestici (vedi figura 3.3).
Figura 3.2 – Pubblicità Enel negli anni della crisi energetica del 1976-77 (nuovo logo adottato nel 1975)
100
Alla fine degli anni ‘70 la situazione del Paese è estremamente difficile: il tasso
d’inflazione è intorno al 20 per cento e una caduta della domanda sul mercato
internazionale dell’automobile colpisce la principale industria nazionale, la Fiat. Sul
fronte energetico, la fine degli anni ‘70 è un momento di riscoperta del sole e del
vento. La crescita nel Paese di una coscienza ambientale e l’obiettivo di assicurare la
massima compatibilità tra impianti di produzione elettrica e ambiente determinano
l’avvio di una serie di iniziative energetiche ecocompatibili. Prosegue quindi la
politica di sensibilizzazione al contenimento dei consumi energetici. Viene messa in
servizio la centrale di Porto Tolle, la più potente in Europa. Il 1979, in particolare,
registra notevoli aumenti dei prezzi del petrolio, dopo alcuni anni di relativa stabilità.
Alla fine dell’anno i prezzi del greggio risultano più che raddoppiati rispetto all’anno
precedente.
Nel 1981 la produzione italiana di energia elettrica, con 181,6 miliardi di kWh,
registra una flessione del 2,2 per cento rispetto al 1980. I consumi globali di energia
elettrica, con 162,8 miliardi di kWh, registrano una flessione dello 0,5 per cento
rispetto al 1980, che sale a -3,0 nei consumi industriali. La flessione dei consumi di
energia elettrica è una chiara indicazione della fase di recessione dell’economia
italiana (definita “crisi da petrolio”) che registra una contrazione del prodotto interno
lordo dello 0,2 per cento, un tasso di inflazione del 18,7 per cento (quasi doppio
rispetto alla media degli altri Paesi industrializzati) e un forte deficit della bilancia
dei pagamenti. Allarmante anche il confronto con l’Europa. Nel 1982 la quota di
energia elettrica prodotta da idrocarburi in Italia è del 54 per cento, contro il 14 della
Repubblica Federale Tedesca, il 13 dell’Inghilterra e l’11 della Francia.
101
Nel 1984 si inaugurano due centrali dimostrative dell’Enel alimentate da fonti
energetiche rinnovabili: la centrale eolica dell’Alta Nurra e la centrale fotovoltaica
dell’isola di Vulcano. Nel 1984 Enel raggiunge il sostanziale equilibrio del conto
economico, con una perdita di 1,5 miliardi contro i 1.823 miliardi dell’anno
precedente. Era questo l’obiettivo del Piano di risanamento della situazione
economico-finanziaria, reso possibile, da un lato, dagli aumenti del Fondo di
dotazione, delle tariffe e del sovrapprezzo termico e, dall’altro, dal contenimento dei
costi di gestione e dall’aumento di produttività. Nel 1985 entra in funzione il nuovo
sistema di controllo della produzione e trasmissione di Enel. Sempre nel 1985 la
dipendenza dai prodotti petroliferi nella copertura del consumo energetico italiano
scende al 58,5 per cento dal 75,3 del 1973; ma, tenuto conto delle altre fonti
energetiche d’importazione, la dipendenza dall’estero (81,3 per cento) rimane
sostanzialmente la stessa del 1973 (81,8 per cento). Agli inizi del 1986 viene
deliberato l’aggiornamento del nuovo Piano Energetico Nazionale che era stato
approvato nel 1981. La novità consiste in uno specifico paragrafo per l’ambiente e la
sicurezza. Oltre alla costruzione di impianti idroelettrici, geotermici e termoelettrici
a carbone, il programma prevede anche la costruzione di impianti nucleari per 12.000
MW.
Tuttavia, disastro di Chernobyl blocca di fatto l’attuazione del Piano Energetico
Nazionale e l’apertura dei nuovi cantieri, non solo per le centrali nucleari, ma anche
per quelle a carbone. Il Parlamento discute della politica energetica e con due
risoluzioni impegna il Governo a convocare una Conferenza Nazionale sull’Energia,
con il compito di fornire contributi informativi e di approfondimento per una verifica
102
delle scelte di politica energetica, con particolare riguardo allo sviluppo della
componente nucleare. Nel 1986 Enel chiude per la prima volta il bilancio in attivo,
con un utile di 14 miliardi di lire. L’8 novembre 1987 si svolgono tre referendum
sulle centrali elettriche nucleari e due sulla giustizia. La maggioranza dei votanti si
esprime per la rinuncia all’energia nucleare. Considerati i risultati del referendum, il
Governo procederà alla sospensione dei lavori della centrale di Trino 2, alla chiusura
della centrale di Latina, alla verifica della sicurezza delle centrali di Caorso e di Trino
1 e alla verifica della fattibilità di riconversione della centrale di Montalto di Castro.
Figura 3.3 – Il nuovo marchio Enel (1988- 1998)
L’interesse crescente, a partire da inizio anni ’90, verso i temi ambientali determina
l’inizio della collaborazione tra Enel e le associazioni per la difesa della natura.
Seguiranno altre iniziative per la tutela della natura e dell’ambiente fino ad arrivare,
nel 2000, all’accordo volontario con il Ministero dell’Ambiente per la riduzione delle
emissioni dei gas serra. Il 5 luglio 1990 è inaugurato l’impianto idroelettrico di
pompaggio di Presenzano, tra le province di Isernia e Caserta. All’inizio del ‘91 il
103
Parlamento emana la legge n. 9 e la legge n. 10 del gennaio 1991. La legge 9/91, in
particolare, dà avvio alla liberalizzazione del settore della produzione di energia
elettrica e consente all’Enel di promuovere, in Italia e all’estero, la costituzione di
Società per Azioni o di assumere partecipazioni per attività riconducibili ai fini
dell’Ente. Il 1992 vede un cambiamento radicale dell’assetto giuridico-istituzionale
del settore elettrico nazionale. Infatti, a quasi trent’anni dall’istituzione, con il decreto
legge n. 333 dell’11 luglio 1992, convertito nella Legge n. 359 dell’8 agosto, Enel
diventa Società per Azioni, primo passo verso la privatizzazione. Lo stesso decreto
attribuisce alla nuova Società, a titolo di concessione, le attività che prima erano
riservate all’Ente per legge. Azionista unico della Società è il Ministero del Tesoro.
Nello stesso anno, in un’indagine condotta da Mediobanca, Enel risulta essere la
prima società italiana per fatturato.
Gli anni ‘90 vedono mutare Enel: al cambiamento di ragione sociale fanno seguito la
liberalizzazione del settore elettrico e la quotazione in Borsa. La liberalizzazione
ridimensiona Enel nel suo core business: viene attuata perciò una strategia di
diversificazione per lo sviluppo di nuovi business.
Nel maggio ‘93 si svolge a Firenze il summit degli E7, il gruppo che riunisce le sette
maggiori imprese elettriche mondiali, di cui fa parte Enel. L’incontro ha l’obiettivo
di elaborare strategie comuni per garantire l’uso più razionale dell’elettricità e
migliorare il sistema produttivo e distributivo in modo da minimizzare l’impatto
sull’ambiente. Nel 1994 e 1995 vengono inaugurati nuovi impianti da fonti
rinnovabili: una centrale solare fotovoltaica da 3 MW, la più grande in esercizio nel
mondo, viene realizzata a Serre Persano; nell’Alta Nurra viene messo in opera
104
l’aerogeneratore Gamma 60 da 1 MW, mentre centrali eoliche vengono messe in
esercizio a Frosolone e Collarmele. Il 14 novembre 1985 la Camera dei deputati
approva in via definitiva la Legge n. 481, che stabilisce le norme per la concorrenza
e la regolazione dei servizi di pubblica utilità e istituisce la relativa autorità di
regolazione. È un provvedimento propedeutico alla privatizzazione dell’Enel, con il
collocamento delle azioni sul mercato, e definisce in modo organico le norme per la
regolamentazione del servizio elettrico. Tra le varie disposizioni la legge conferma
l’uniformità delle tariffe elettriche su tutto il territorio nazionale, nonché il reintegro
all’Enel e alle imprese appaltatrici degli oneri connessi con l’abbandono del nucleare.
Il 1995 si chiude con un avvenimento di particolare importanza per i futuri sviluppi
dell’Enel: la firma della Convenzione tra il Ministero dell’Industria e l’Enel per la
disciplina della concessione delle attività elettriche. La Convenzione ha una validità
di 40 anni a partire dall’11 luglio 1992 (data della trasformazione dell’Ente in S.p.A.)
e conferma il ruolo dell’Enel nella trasmissione e distribuzione dell’energia elettrica,
con l’obbligo della sua diffusione “universale”.
Figura 3.4 – Logo Enel debuttato nel 1997
105
Alla fine degli anni ‘90 il settore elettrico nazionale viene liberalizzato. Il 1999, in
particolare, è l’anno della privatizzazione, con il collocamento sul mercato di oltre
3,8 miliardi di azioni, diventati, a luglio 2001, 1,9 in seguito ad un reverse stock split.
In linea con il processo di liberalizzazione e con gli obiettivi di decentramento delle
attività viene completato il processo di “societarizzazione”. Enel si trasforma in
holding industriale: dal Gruppo nascono nuove società per lo sviluppo di diverse
opportunità di business. Alla fine di giugno 1998 Wind, società di telecomunicazioni
di proprietà di Enel, France Telecom e Deutsche Telekom, vince la gara per ottenere
la concessione di telefonia mobile, diventando così il terzo gestore nazionale. Nel
luglio 2000 la compagine azionaria si modifica con l’uscita di Deutsche Telekom da
Wind. La quota azionaria viene ripartita tra Enel e France Telecom. Il 19 febbraio
1999 il Consiglio dei Ministri approva il decreto di liberalizzazione del mercato
elettrico, il cosiddetto “Decreto Bersani”. La normativa, entrata in vigore il 1° aprile
‘99, definisce e regola il nuovo assetto del settore elettrico, in cui le attività di
produzione, importazione, esportazione, acquisto e vendita di energia elettrica sono
libere (nel rispetto degli obblighi di servizio pubblico). Queste attività possono anche
essere svolte da un unico soggetto, purché sia garantita almeno la separazione
contabile e gestionale. Nel caso dell’Enel, il decreto prevede la separazione societaria
per le attività di produzione, trasmissione, distribuzione e vendita ai clienti “idonei”,
nonché l’obbligo di ridurre la propria capacità produttiva cedendo entro il 2002 “non
meno di 15.000 MW”. L’attività di trasmissione, il dispacciamento dell’energia
elettrica e la gestione unificata della rete di trasmissione nazionale sono dati in
concessione al “Gestore della Rete di Trasmissione”, costituito da una società
106
scorporata dall’Enel, le cui azioni sono assegnate a titolo gratuito al Ministero del
Tesoro. Il Gestore stipula con le società proprietarie delle reti (Enel, Municipalizzate
e altre) convenzioni che disciplinano gli interventi di manutenzione e sviluppo della
rete e delle interconnessioni. Nascono nello stesso anno Enel Produzione, Terna ed
Enel Distribuzione. Parallelamente alla societarizzazione delle attività tipiche di
produzione, trasmissione e distribuzione, si provvede allo sviluppo di nuove aree di
business. Viene infine avviata la privatizzazione dell’Enel, collocando sul mercato
oltre 3,8 miliardi di azioni ordinarie (diventati 1,9 in seguito al reverse stock split del
9 luglio 2001), pari al 31,74 per cento del capitale sociale, per un controvalore di
16,55 miliardi di euro (corrispondenti a 32.045 miliardi di lire). È la più grande offerta
pubblica in Europa e la seconda al mondo sia per valore che per numero di
sottoscrittori. L’11 ottobre 2000 Enel conclude un accordo con Vodafone (finalizzato
poi nel corso del 2001) per l’acquisto del 100 per cento di Infostrada. La fusione tra
Wind e Infostrada dà vita a un nuovo gruppo che, con oltre 17 milioni di clienti di
telefonia fissa, mobile e Internet, è il primo operatore convergente al mondo e il
secondo operatore di telecomunicazioni del nostro Paese (la società fu venduta poi
nel 2005 al gruppo Weather Investments S.A.R.L.). Con la cessione di Interpower,
nel novembre 2002, Enel completa le dismissioni di capacità produttiva previste dal
decreto Bersani. Le tre Genco cedute (Interpower, Elettrogen ed Eurogen) hanno
infatti una capacità produttiva rispettivamente di 2.611 MW, 5.438 MW e 7.008 MW.
Il Gruppo intraprende attività internazionali. Nel settembre 2001 Enel si aggiudica
per 1.870 milioni di euro (2.140 milioni di euro con il debito assunto) l’intero capitale
della spagnola Viesgo, una società che opera nella generazione e distribuzione di
107
energia elettrica controllata da Endesa con una capacità di circa 2.400 MW. Nel
dicembre dello stesso anno CHI Energy (società acquisita dal Gruppo Enel nel 2000)
completa la realizzazione di una centrale eolica negli Stati Uniti e di una a biomasse
in Canada. La capacità installata è di 30 MW per la prima e di 23 MW per la seconda.
Sempre nel 2001 il Gruppo Enel avvia la costruzione di una linea di trasmissione ad
alta tensione in Brasile. Nel marzo 2002 viene siglato un nuovo accordo per la
costruzione di un tratto di linea ad alta tensione lungo 1.278 km che collegherà il
Nord al Sud del Brasile. Nel 1992 viene avviato un progetto per il collegamento in
corrente continua tra Italia e Grecia. Il progetto, che favorisce l’interconnessione
elettrica di tutto il bacino mediterraneo, viene finanziato al 40 per cento dall’Unione
Europea. Enel partecipa al progetto attraverso Terna per il 75 per cento; il restante 25
per cento è a carico di PPC, azienda elettrica greca.
Tra le altre principali attività del primo decennio degli anni duemila risaltano: nel
2007 l'operazione di acquisizione della utility iberica Endesa79 dove raggiunge in un
primo momento una quota del 67% del capitale, arrivando nel 2009 al pieno controllo
del capitale; nel 2008 la costituzione di Enel Green Power, società dedicata allo
sviluppo e alla gestione della produzione elettrica da fonti rinnovabili.
Insomma, il nuovo millennio vede Enel sempre più concentrata su politiche di
internazionalizzazione e di sensibilizzazione su tematiche ambientali a tal punto da
essere anche inserita a partire dal 2004 nel Dow Jones Sustainability, indice borsistico
che valuta le performance finanziarie delle compagnie mondiali in base a principi di
eccellenza economico-finanziaria e di sostenibilità ambientale.
79 Operazione di fondamentale importanza, che gettò le basi per l’approdo del Gruppo Enel in Sud America.
108
Figura 3.5 – Il marchio Enel oggi (2016)
3.2) Enel oggi: attività, mission e organizzazione del gruppo
Oggi Enel opera in oltre 30 Paesi, con una capacità netta installata di circa 83 GW,
1,9 milioni di chilometri di reti e oltre 61 milioni di clienti.
Figura 3.6 – I numeri del gruppo Enel (fonte: enel.com)
109
Enel produce energia in Europa, Russia, America, Sudafrica e India attraverso un mix
bilanciato di fonti, in cui quelle rinnovabili giocano un ruolo di primo piano
(idroelettrico, eolico, solare, geotermia, biomassa) e in cui le fonti fossili vengono
diversificate tra gas naturale, carbone e olio combustibile. Quasi la metà dell’energia
elettrica prodotta da Enel è priva di emissioni di anidride carbonica, rendendo il
Gruppo uno dei principali produttori di energia pulita.
Figura 3.7 – La produzione di Enel
Il Gruppo, attraverso le sue società di distribuzione, trasporta l’energia in Italia, in
Romania, in Iberia e in America Latina grazie a 1.875.107 km di linee elettriche e
426.000 GWh di energia distribuita in due continenti.
110
Il Gruppo Enel opera attraverso le sue società commerciali sia sul mercato di maggior
tutela, a tariffe vincolate, sia sul mercato libero. Con oltre 61 milioni di utenze finali
nel mondo, di cui 56.039.735 sul mercato dell’energia elettrica (corrispondenti ad un
valore energetico di 263.054 GWh) e 5.511.005 sul mercato del gas (pari a 10,6
miliardi di metri cubi di gas), Enel ha la più ampia base di clienti rispetto ai suoi
competitor europei.
Figura 3.8 – L’attività del Gruppo Enel nel mondo (fonte: enel.com)
Enel Open Power: apertura, innovazione e sostenibilità
Il 26 Gennaio 2016 a Madrid, presso la sede della controllata spagnola Endesa, la
Presidente, Patrizia Grieco, e l’Amministratore Delegato, Francesco Starace, hanno
111
svelato la nuova identità societaria globale del Gruppo, il nuovo sito web (enel.com),
la nuova identità visiva ed il nuovo logo (vedi figura 3.6). Il nuovo brand si inscrive
nella strategia di Enel che definisce il Gruppo come innovativo, sostenibile e
all’avanguardia, un gruppo attivo lungo tutta la filiera dell’energia che pone
l’apertura al centro del suo approccio strategico e operativo. Il nuovo sistema visivo
del Gruppo e il logo segnano una nuova era per l’azienda e rappresentano i principi
di flessibilità e dinamicità di Open Power (sono stati contestualmente svelati anche i
nuovi loghi di Endesa ed Enel Green Power, in linea con gli stessi principi).
Figura 3.9 - I nuovi loghi Enel presentati a Madrid
Con il rinnovo del brand l’obiettivo è quello di allineare l’immagine di Enel ai
cambiamenti in corso all’interno del Gruppo e alla rapida evoluzione del settore
energetico, evoluzione che vede Enel tra i protagonisti assoluti. Il concetto di
apertura, sintetizzato con l’espressione inglese Open Power regala l’immagine di un
Gruppo innovativo e sostenibile che lavora per diffondere ed espandere il contenuto
tecnologico delle sue attività, per garantire la sicurezza energetica e migliorare i
propri servizi a livello globale. Open Power vuol dire anche valorizzare le
infrastrutture condividendo le conoscenze per ampliarne gli usi, così come
collaborare con i clienti, i partner e gli altri stakeholder, creando così un ambiente
112
favorevole per tutti, che assicuri e tuteli gli investimenti. Open Power richiede molto
più che essere semplici generatori e distributori di energia elettrica, il nuovo brand
incarna pienamente la natura innovativa, sostenibile, multidimensionale e aperta del
Gruppo Enel.
La strategia Open Power, già precedentemente annunciata nel novembre del 2015 a
Londra in occasione del Capital Markets Day di Enel, si fonda sull’apertura come
chiave di volta dell’approccio strategico e operativo del Gruppo. Gli obiettivi
principali di questa strategia sono: aprire l’accesso all’energia a più persone; aprire
il mondo dell’energia a nuove tecnologie; aprire la gestione dell’energia alle persone;
aprire l’energia a nuovi utilizzi; aprirsi a più partnership.
La nuova strategia di brand trasmette l’immagine di Enel come una moderna utility
aperta, flessibile, reattiva e in grado di guidare la transizione energetica. Il Gruppo
introduce un nuovo sistema visivo (loghi inclusi) attraente e colorato che riprende i
principi flessibili e dinamici di Open Power. La nuova identità visiva e il nuovo logo
sono composti da molti colori per riflettere la varietà dello spettro energetico, la
natura poliedrica di un Gruppo presente in oltre 30 Paesi e la crescente
diversificazione dei servizi offerti dall’azienda nell’ambito del sistema energetico
globale. Nell’ambito del rinnovo del brand è stato svelato anche il nuovo sito internet
enel.com, un sito che pone al centro l’utente e l’utilizzo tramite applicazioni mobili.
Inoltre, come azienda leader nel settore energetico, Enel svolge un ruolo
fondamentale nella lotta ai cambiamenti climatici e impatta sulla vita delle
persone. Entro il 2030, l'energia verde soddisferà circa il 30% del fabbisogno
energetico del pianeta. Come visto, Enel è impegnata nelle fonti di energia
113
rinnovabili (idroelettrico, eolico, solare, geotermia, biomassa e impianti di
cogenerazione) e insieme ai suoi partner sviluppa tecnologie rispettose
dell'ambiente. L’obiettivo a lungo termine è quello di diventare entro il 2050
una società interamente carbon-neutral: Enel sta lavorando a stretto contatto con
il Global Compact delle Nazioni Unite, la Clinton Global Initiatives e altri
partner per raggiungere insieme questo risultato.
Altro obiettivo consiste nella creazione di modalità più intelligenti, e basate su
dati, per analizzare i consumi in tempo reale, distribuire l'energia in modo più
efficiente e abilitare servizi totalmente nuovi per le persone (come costruire una
sorta di “internet dell'energia”). Le smart grid di Enel, ad esempio, forniscono
elettricità soltanto dove necessario, riducendo costi e sprechi e aiutando nello
stesso tempo a proteggere l'ambiente.
In linea con il posizionamento strategico Open Power, Enel ha posto la
sostenibilità ambientale, sociale ed economica al centro della propria cultura
aziendale e sta implementando un sistema di sviluppo sostenibile basato sulla
condivisione della creazione di valore, sia all’interno che all’esterno
dell’azienda. La sostenibilità, da raggiungere attraverso processi di innovazione,
è al centro del posizionamento strategico Open Power scelto da Enel. Una
strategia che ha portato Enel a far parte del Global Compact delle Nazioni
Unite con l’impegno a contribuire in maniera concreta a quattro dei 17 Obiettivi
di Sviluppo Sostenibile: l’accesso all’energia, l’incremento dell’educazione
scolastica, il contributo allo sviluppo socio-economico delle comunità in cui il
Gruppo opera e la lotta al cambiamento climatico.
114
Come ulteriore passo in avanti nella strategia di crescita del Gruppo, Enel ha istituito
una nuova linea di business globale denominata “E-Solutions”80. La nuova unità è
stata lanciata per capitalizzare la trasformazione dell'industria energetica e mira a
comprendere e soddisfare le esigenze dei clienti globali di Enel, esplorando le
opportunità nelle aree delle nuove tecnologie, per sviluppare prodotti innovativi
centrati sui bisogni dei consumatori e soluzioni digitali e non commodity. La nuova
Business Line di Enel si concentrerà sulle aree di mobilità elettrica, progetti legati al
vehicle to grid81, infrastrutture di ricarica, gestione dell'efficienza energetica, batterie
e piattaforme di ottimizzazione dell'energia, illuminazione pubblica e sistemi di
generazione distribuita82. La nuova divisione sarà strutturata inizialmente in quattro
aree primarie: “Soluzioni E-Home & Consumer”, con focus sulle soluzioni
intelligenti per la casa; “E-City”, che svilupperà soluzioni legate alla fibra ottica,
illuminazione, segnalazione e sicurezza; “E-Industries”, che svilupperà sistemi "off
grid", "limited grid" e sistemi di generazione distribuita; “E-Mobility”, che
comprenderà anche le infrastrutture di ricarica e il riutilizzo delle batterie. Tutte
queste aree rappresentano significative opportunità di business, sfruttando
80 Con un comunicato stampa del 17 maggio 2017. 81 Con la tecnologia “vehicle to grid” (V2G) le auto elettriche sono in grado di diventare delle vere e proprie
produttrici di energia. Questo è possibile grazie ad una gestione bidirezionale della carica. Le batterie delle
auto infatti, quando i veicoli sono fermi, immettono energia in rete, contribuendo a stabilizzarla e offrendo
così servizi di bilanciamento di rete al fornitore del servizio. Se in Italia l'attuale normativa non permette
l'utilizzo di caricatori V2G in modalità bidirezionale, quindi con possibilità di generare energia dalle vetture,
all'estero la situazione è notevolmente differente. In Gran Bretagna Enel e Nissan hanno avviato il primo
hub V2G al mondo interamente commerciale, presso la sede della utility danese Frederiksberg Forsyning,
che ha anche acquistato 10 Nissan e-NV200 van a zero emissioni e dove sono stati installati 10 caricatori
V2G. Recentemente, inoltre, sono stati installati ulteriori 17 caricatori in Danimarca. Grazie alla tecnologia
V2G. Stesse attività anche in Gran Bretagna, dove sono state già installate presso il Nissan Technical Centre
Europe di Cranfield i primi 9 caricatori V2G e 1 unità presso l'Università di Newcastle.
82 La Business Line E-Solutions sarà guidata da Francesco Venturini, che negli ultimi tre anni ha gestito con successo Enel Green Power.
115
l'evoluzione dirompente della tecnologia per creare valore in un'epoca di
cambiamenti profondi e trasformazioni nei vari settori industriali. E-Solutions
opererà globalmente in tutti i mercati in cui Enel ha già una presenza operativa, oltre
a cercare nuove opportunità per portare il Gruppo in nuove aree geografiche.
Figura 3.10 – Il Gruppo Enel nei quattro continenti (fonte: enel.com)
L’organizzazione del Gruppo
L’organigramma societario è sviluppato secondo il modello organizzativo a matrice.
Spiccano le figure maggiormente rilevanti all’interno del board, il Presidente (P.
Grieco) e l’AD del Gruppo (F. Starace).
Addentraci nella struttura operativa poi vengono riportate le principali funzioni
aziendali (holding functions e global service functions) e le divisioni sia a livello
territoriale (countries and regions) che a livello globale (global business functions).
116
Importante sottolineare come la funzione Audit (diretta da S. Fiori) riporti, mediante
l’intermediazione del Presidente, al Consiglio di Amministrazione e mantenga una
linea di reporting diretta con l’AD, il quale in Enel è anche amministratore incaricato
SCIGR.
Figura 3.11 – L’organigramma di Enel S.p.A. (fonte: Enel)
L’ampia introduzione sulla storia e sull’organizzazione attuale di Enel S.p.A. serve
per fornire un indispensabile inquadramento generale sulla complessità del Gruppo e
quindi sulla numerosità e sulla varietà dei rischi che il Gruppo stesso deve affrontare,
con le conseguenti difficoltà nell’ambito della progettazione e della gestione di un
adeguato Sistema di Controllo Interno e Gestione dei Rischi. Tutte queste
117
argomentazioni riconducono ad uno dei temi fondamentali di questo elaborato,
ovvero la gestione efficace ed efficiente di un SCIGR in una realtà complessa come
quella del Gruppo Enel, con lo scopo di massimizzare l’assurance sull’adeguatezza
e sull’effettiva operatività dello SCIGR minimizzando gli overlapping tra le diverse
componenti del controllo interno attraverso l’ottimale utilizzo delle risorse aziendali.
3.3) Governance e Sistema di Controllo Interno in Enel
Come visto in precedenza, Enel S.p.A. è a capo di un gruppo multinazionale tra i
principali operatori integrati globali dell’elettricità e del gas, con un particolare focus
in Europa e America Latina. Il Gruppo opera in più di 30 Paesi (su 4 continenti),
producendo energia attraverso una capacità installata netta di circa 83 GW e
distribuendo elettricità su una rete di circa 1,9 milioni di chilometri. Il Gruppo, con
circa 62 milioni di clienti nel mondo, ha la più ampia base di clienti tra gli operatori
europei del settore.
La società è quotata sul Mercato Telematico Azionario organizzato e gestito da Borsa
Italiana S.p.A. dal 1999 e registra il più elevato numero di azionisti tra le società
italiane (oltre 950.000 tra investitori retail e istituzionali). Nella compagine sociale
di Enel figurano i principali fondi d’investimento internazionali, compagnie di
assicurazione, fondi pensione e fondi etici, anche grazie all’adozione da parte della
Società e del Gruppo delle migliori pratiche internazionali in materia di trasparenza
e di corporate governance. Inoltre, all’interno del Gruppo Enel vi sono altre 13 società
118
emittenti azioni quotate sulle Borse valori argentina, brasiliana, cilena, peruviana,
russa, spagnola e statunitense83.
Il sistema di corporate governance di Enel è conforme ai principi contenuti nel
Codice di Autodisciplina delle società quotate, nella edizione da ultimo modificata
nel mese di luglio 2015, cui la Società aderisce. L’indicato sistema di corporate
governance è inoltre ispirato alle raccomandazioni formulate dalla CONSOB in
materia e, più in generale, alle best practice internazionali. Il sistema di governo
societario adottato da parte di Enel e del Gruppo risulta essenzialmente orientato
all’obiettivo della creazione di valore per gli azionisti in un orizzonte di medio-lungo
periodo, nella consapevolezza della rilevanza sociale delle attività in cui il Gruppo è
impegnato e della conseguente necessità di considerare adeguatamente, nel relativo
svolgimento, tutti gli interessi coinvolti. In conformità a quanto previsto dalla
legislazione italiana in materia di società con azioni quotate, l’organizzazione della
Società si caratterizza per la presenza: di un consiglio di amministrazione, incaricato
di provvedere in ordine alla gestione aziendale; di un collegio sindacale, chiamato a
vigilare circa l’osservanza della legge e dello statuto, nonché sul rispetto dei principi
di corretta amministrazione nello svolgimento delle attività sociali, sul processo di
informativa finanziaria, nonché sull’adeguatezza della struttura organizzativa, del
sistema di controllo interno e del sistema amministrativo-contabile della Società,
sulla revisione legale dei conti annuali e dei conti consolidati, nonché circa
l’indipendenza della società di revisione legale dei conti ed, infine, sulle modalità di
concreta attuazione delle regole di governo societario previste dal Codice di
83 Dati aggiornati al 16 marzo 2017, data di approvazione della “Relazione sul Governo Societario e gli Assetti Proprietari” da parte del Consiglio di Amministrazione di Enel S.p.A.
119
Autodisciplina; dell’assemblea dei soci, competente a deliberare tra l’altro (in sede
ordinaria o straordinaria) in merito alla nomina e alla revoca dei componenti il
consiglio di amministrazione e il collegio sindacale e circa i relativi compensi ed
eventuali azioni di responsabilità, all’approvazione del bilancio e alla destinazione
degli utili, all’acquisto e all’alienazione di azioni proprie, ai piani di azionariato, alle
modificazioni dello statuto sociale e all’emissione di obbligazioni convertibili.
L’attività di revisione legale dei conti risulta affidata a una società specializzata
iscritta nell’apposito registro, nominata dall’assemblea dei soci su proposta motivata
del collegio sindacale (nello specifico, Enel S.p.a. si affida ad Ernst & Young).
Figura 3.12 – Il governo societario di Enel S.p.A. (fonte: Enel.com)
120
In occasione del workshop annuale sul governo societario organizzato da The
European House – Ambrosetti, svoltosi a Milano nel mese di novembre 2016, sono
stati pubblicati i risultati dell’indice di eccellenza della corporate governance delle
società quotate italiane (“EG Index”) per il 2016. L’EG Index intende misurare, con
cadenza annuale e sulla base di documenti di pubblico dominio, lo stato di salute dei
sistemi di governo societario delle società quotate italiane. In particolare l’indice
analizza cinque aree chiave: struttura e rappresentanza dell’azionariato;
composizione del Consiglio di Amministrazione; funzionamento del Consiglio di
Amministrazione; meccanismi di remunerazione e incentivazione; sistema dei
controlli e di gestione dei rischi. Enel si è classificata al primo posto nell’ambito delle
società industriali del segmento FTSE-MIB (come già avvenuto nel 2015) e, con il
punteggio di 8,62/10, si è collocata nettamente al di sopra di tutte le altre società,
industriali e finanziarie dei vari segmenti del listino.
Il Sistema di Controllo Interno e Gestione dei Rischi
Il sistema di controllo interno e di gestione dei rischi (“SCIGR”) di Enel e del Gruppo
è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative
volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei
principali rischi aziendali nell’ambito del Gruppo.
Il SCIGR è integrato nei più generali assetti organizzativi e di governo societario
adottati dalla Società e dal Gruppo ed è ispirato alle best practice esistenti in ambito
nazionale e internazionale. In particolare, tale sistema tiene conto delle
raccomandazioni del Codice di Autodisciplina ed è definito coerentemente al modello
121
“Internal Controls – Integrated Framework” emesso dal Committee of Sponsoring
Organizations of the Treadway Commission (c.d. COSO Report), che rappresenta il
modello di riferimento, internazionalmente riconosciuto, per l’analisi e la valutazione
integrata dell’efficacia del SCIGR.
Un efficace SCIGR contribuisce a una conduzione dell’impresa coerente con gli
obiettivi aziendali definiti dal consiglio di amministrazione, in quanto consente di
individuare, valutare, gestire e monitorare i principali rischi in relazione alla loro
capacità di influenzare il raggiungimento degli obiettivi medesimi. Il SCIGR, in
particolare, concorre ad assicurare la salvaguardia del patrimonio sociale, l’efficienza
e l’efficacia dei processi aziendali, l’affidabilità delle informazioni fornite agli organi
sociali e al mercato, il rispetto di leggi e regolamenti nonché dello statuto sociale e
delle procedure interne.
Il SCIGR riveste, dunque, un ruolo centrale nell’organizzazione aziendale,
contribuendo all’adozione di decisioni consapevoli e coerenti con la propensione al
rischio, nonché alla diffusione di una corretta conoscenza dei rischi, della legalità e
dei valori aziendali. La cultura del controllo ha, infatti, una posizione di rilievo nella
scala dei valori del Gruppo, coinvolgendo tutta l’organizzazione aziendale nello
sviluppo e nell’applicazione di metodi per identificare, misurare, gestire e monitorare
i rischi.
Il SCIGR, in particolare:
• prevede attività di controllo ad ogni livello operativo e individua con chiarezza
compiti e responsabilità, in modo da evitare eventuali duplicazioni di attività
122
e assicurare il coordinamento tra i principali soggetti coinvolti nel medesimo
SCIGR;
• prevede la segregazione di compiti e responsabilità tra unità organizzative
distinte o all’interno delle stesse, al fine di evitare che attività incompatibili
risultino concentrate sotto responsabilità comuni: in particolare, assicura la
necessaria segregazione delle attività operative e di controllo in modo da
prevenire o, ove ciò non sia possibile, attenuare i conflitti di interesse;
• è integrato, prevedendo la diffusione di un linguaggio comune, l’adozione di
metodi e strumenti di misurazione e valutazione dei rischi tra loro
complementari, nonché flussi informativi tra le diverse funzioni in relazione
ai risultati delle attività di rispettiva competenza;
• intende assicurare sistemi informativi affidabili e idonei ai processi di
reporting ai diversi livelli ai quali sono attribuite funzioni di controllo;
• garantisce la tracciabilità delle attività di individuazione, valutazione, gestione
e monitoraggio dei rischi, assicurando nel tempo la ricostruzione delle fonti e
degli elementi informativi che supportano tali attività;
• è dotato di procedure (c.d. di “whistleblowing”) allineate alle best practice
esistenti in ambito nazionale ed internazionale, che disciplinano la possibilità
per i dipendenti (nonché i terzi in generale) di segnalare eventuali irregolarità
o violazioni della normativa applicabile e/o delle procedure interne. Tali
procedure di whistleblowing sono caratterizzate dalla presenza di appositi
canali informativi che garantiscono l’anonimato del segnalante;
123
• evidenzia situazioni di anomalia che possano costituire indicatori di
inefficienza dei sistemi di misurazione e controllo dei rischi;
• garantisce che le anomalie riscontrate siano tempestivamente portate a
conoscenza di adeguati livelli di responsabilità nell’ambito dell’azienda, in
grado di attivare efficacemente gli opportuni interventi correttivi.
Il SCIGR si articola in tre distinte tipologie di attività: il “controllo di linea” o di
“primo livello”, costituito dall’insieme delle attività di controllo che le singole unità
operative o società del Gruppo svolgono sui propri processi al fine di assicurare il
corretto svolgimento delle operazioni. Tali attività di controllo sono demandate alla
responsabilità primaria del management operativo e sono considerate parte integrante
di ogni processo aziendale; i controlli di “secondo livello”, affidati a specifiche
funzioni aziendali e volti a gestire e monitorare categorie tipiche di rischi, tra cui, a
titolo meramente esemplificativo, i rischi operativi, i rischi di mercato (quali il rischio
commodity e i rischi finanziari), i rischi di credito, i rischi strategici, il rischio legale
e il rischio di (non) conformità; l’attività di internal audit (controlli di “terzo livello”),
avente ad oggetto la verifica della struttura e della funzionalità del SCIGR nel suo
complesso, anche mediante un’azione di monitoraggio dei controlli di linea nonché
delle attività di controllo di secondo livello.
Il SCIGR è soggetto a esame e verifica periodici, tenendo conto dell’evoluzione
dell’operatività aziendale e del contesto di riferimento, nonché delle best practice
esistenti in ambito nazionale e internazionale.
124
Sono coinvolti nel Sistema in esame tutti i livelli dell’organizzazione aziendale,
infatti vi prendono parte: il Consiglio di Amministrazione, il Comitato Controllo e
rischi, il presidente del CdA, l’amministratore incaricato del SCIGR, il Collegio
Sindacale, il responsabile della funzione Audit, il sistema dei controlli di secondo
livello, il Dirigente Preposto, l’Organismo di Vigilanza e, in ultimo, i dipendenti del
Gruppo Enel.
Al fine di consentire ai diversi soggetti coinvolti nel SCIGR di svolgere
adeguatamente il ruolo loro affidato nell’ambito di tale sistema sono definiti appositi
flussi informativi tra i diversi livelli di controllo e i competenti organi di gestione e
controllo, opportunamente coordinati in termini di contenuti e tempistiche. Oltre alle
linee di riporto dirette ai vertici societari, sono istituiti appositi flussi informativi tra
le funzioni aziendali deputate ai controlli di secondo e terzo livello. In particolare, i
responsabili delle funzioni di controllo di secondo livello informano il Responsabile
della Funzione Audit delle criticità rilevate nello svolgimento delle proprie attività
che possono risultare d’interesse per le verifiche di competenza della Funzione Audit.
A sua volta, il Responsabile della Funzione Audit informa i responsabili delle altre
funzioni di controllo circa eventuali inefficienze, punti di debolezza o irregolarità
riscontrate nel corso delle verifiche compiute e riguardanti specifiche aree o materia
di competenza di tali funzioni.
125
Figura 3.13 – I flussi informativi tra la funzione Audit e gli Organi di Governo societari (fonte: Enel.com)
3.4) I pilastri del SCI in Enel
Alla base delle proprie attività il Gruppo Enel dispone di un solido sistema etico. Tale
sistema è un insieme di regole dinamico e costantemente orientato a recepire le
migliori pratiche a livello internazionale che tutte le persone che lavorano in Enel o
per Enel devono rispettare e applicare nella loro attività quotidiana.
3.4.1) Il Codice Etico
Questo codice esprime gli impegni e le responsabilità etiche nella conduzione
degli affari e delle attività aziendali assunti dai collaboratori di Enel S.p.A. e
delle Società da essa controllate, siano essi amministratori o dipendenti in ogni
126
accezione di tali imprese. Enel aspira a mantenere e sviluppare il rapporto di
fiducia con i suoi stakeholder, cioè con quelle categorie di individui, gruppi o
istituzioni il cui apporto è richiesto per realizzare la missione di Enel o che
hanno comunque un interesse in gioco nel suo perseguimento. Sono stakeholder
coloro che compiono investimenti connessi alle attività di Enel, in primo luogo
gli azionisti e, quindi, i collaboratori, i clienti, i fornitori e i partner d'affari. In
senso allargato sono inoltre stakeholder tutti quei singoli o gruppi, nonché le
organizzazioni e istituzioni che li rappresentano, i cui interessi sono influenzati
dagli effetti diretti e indiretti delle attività di Enel (rientrano in quest'ambito le
comunità locali e nazionali in cui Enel opera, le associazioni ambientaliste, le
generazioni future, ecc.).
Nella condotta degli affari i comportamenti non etici compromettono il rapporto
di fiducia tra Enel e i suoi stakeholder. Non sono etici, e favoriscono
l'assunzione di atteggiamenti ostili nei confronti dell'impresa, i comportamenti
di chiunque, singolo o organizzazione, cerchi di appropriarsi dei benefici della
collaborazione altrui, sfruttando posizioni di forza.
La buona reputazione è una risorsa immateriale essenziale. La buona
reputazione all'esterno favorisce gli investimenti degli azionisti, la fedeltà dei
clienti, l'attrazione delle migliori risorse umane, la serenità dei fornitori,
l'affidabilità verso i creditori. All'interno, essa contribuisce a prendere e attuare
le decisioni senza frizioni e di organizzare il lavoro senza controlli burocratici
ed esercizi eccessivi dell'autorità. Dato che il codice etico chiarisce i particolari
doveri di Enel nei confronti degli stakeholder (doveri fiduciari), si propone la
127
sua effettiva osservanza come termine di paragone in base al quale giudicare la
reputazione di Enel. Il codice etico è pertanto costituito: dai principi generali
sulle relazioni con gli stakeholder, che definiscono in modo astratto i valori di
riferimento nelle attività di Enel; dai criteri di condotta verso ciascuna classe di
stakeholder, che forniscono nello specifico le linee guida e le norme alle quali i
collaboratori di Enel sono tenuti ad attenersi per il rispetto dei principi generali
e per prevenire il rischio di comportamenti non etici; dai meccanismi di
attuazione, che descrivono il sistema di controllo per l'osservanza del codice
etico e per il suo continuo miglioramento.
Il codice etico di Enel è improntato ad un ideale di cooperazione in vista di un
reciproco vantaggio delle parti coinvolte, nel rispetto del ruolo di ciascuno. Enel
richiede perciò che ciascun stakeholder agisca nei suoi confronti secondo
principi e regole ispirate ad un'analoga idea di condotta etica.
Il codice etico si applica a Enel S.p.A. e alle Società da essa controllate, ed è
conseguentemente vincolante per i comportamenti di tutti i suoi collaboratori.
Inoltre, Enel richiede a tutte le imprese collegate o partecipate e ai principali
fornitori una condotta in linea con i principi generali del presente codice. Il
codice etico ha validità sia in Italia che all'estero, pur in considerazione della
diversità culturale, sociale e economica dei vari Paesi in cui Enel opera.
Entrando nello specifico, nella parte del codice relativa alle tematiche di
Corporate Governance, si legge che: “in materia di sistema di controllo interno e
di gestione dei rischi Enel adotta un apposito sistema volto a consentire
l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi
128
aziendali. Un efficace sistema contribuisce a una conduzione dell’impresa coerente
con gli obiettivi aziendali definiti dal Consiglio di Amministrazione, favorendo
l’assunzione di decisioni consapevoli; esso concorre ad assicurare la salvaguardia
del patrimonio sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità
dell’informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto
sociale e delle procedure interne”. Inoltre, nella sezione dedicata al controllo esterno,
è riportato che: “l’affidamento da parte di Enel dell’incarico di revisione del Bilancio
di esercizio e del Bilancio Consolidato avviene in piena trasparenza e nel rigoroso
rispetto della normativa vigente. L’affidamento da parte di Enel al revisore ovvero a
entità appartenenti al relativo network di incarichi aggiuntivi rispetto alla revisione
contabile è da considerarsi un fatto eccezionale ed è consentito solo in condizioni di
comprovata necessità (sotto il profilo legale, economico o della qualità del servizio),
limitatamente alle tipologie di servizi la cui fornitura da parte del revisore ovvero di
soggetti a esso collegati non sia vietata dalla normativa di riferimento. Per garantire
l’indipendenza del revisore e la trasparenza e correttezza del procedimento, le
modalità di affidamento degli incarichi aggiuntivi al revisore stesso e al relativo
network sono regolate da apposite procedure”84.
Nell’ambito di applicazione del Codice etico, al responsabile della Funzione Audit di
Enel S.p.A. sono attribuiti i seguenti compiti: verificare l’applicazione e il rispetto
del Codice Etico attraverso specifiche attività volte ad accertare e promuovere il
miglioramento continuo dell’etica nell’ambito Enel attraverso un’analisi e una
valutazione dei processi di controllo dei rischi etici; monitorare le iniziative per la
84 Enel S.p.A., Codice etico, capitolo 3, sezione I: “Criteri di condotta nelle relazioni con gli azionisti”, 2002.
129
diffusione della conoscenza e della comprensione del Codice Etico; in particolare,
garantire lo sviluppo delle attività di comunicazione e formazione etica, analizzare le
proposte di revisione delle politiche e delle procedure aziendali con significativi
impatti sull’etica aziendale e predisporre le ipotesi di soluzione da sottoporre alla
valutazione del Comitato Controllo e Rischi; ricevere e analizzare le segnalazioni di
violazione del Codice Etico; proporre al Comitato Controllo e Rischi le modifiche e
le integrazioni da apportare al Codice Etico.
Tali attività sono effettuate con il supporto delle Funzioni Audit delle società
controllate e delle Funzioni aziendali interessate e, inoltre, disponendo del libero
accesso a tutta la documentazione ritenuta utile.
3.4.2) Il Piano Tolleranza zero alla Corruzione
Il piano industriale di Enel è integrato da specifici obiettivi di responsabilità
d'impresa pubblicati sul Bilancio di sostenibilità. Aderisce al Global
Compact delle Nazioni Unite e assieme a circa 60 società internazionali, attive
nei settori dell'energia della costruzione e dell'industria mineraria, Enel ha
firmato l'adesione alla "Partnership contro la corruzione"; un'iniziativa
promossa dal World Economic Forum a Davos nel gennaio 2005 che ha voluto
introdurre “regole del gioco” uguali per tutti. In conseguenza di ciò, il Gruppo
Enel si è dotato di un piano di lotta alla corruzione: il Piano Tolleranza Zero
alla Corruzione (“TZC”) che, oltre a ribadire la necessità di rispettare i principi
di onestà, trasparenza e correttezza nello svolgimento delle attività lavorative,
formula anche precise misure anti-corruzione da adottare nei rapporti di lavoro
130
con i diversi interlocutori: partner e società controllate, fornitori e consulenti,
tra colleghi. Per la stesura del Piano TZC il gruppo di studio si è avvalso delle
competenze di Transparency International, facendo propri e includendo nel
Piano i criteri di trasparenza messi a punto da Transparency in tema di tangenti
e facilitazioni, contributi e sponsorizzazioni, omaggi e processi di acquisto.
L'impegno di lotta alla corruzione è assunto da tutte le risorse Enel. Più in particolare,
ciascuna struttura organizzativa è responsabile, per le parti di sua competenza, della
predisposizione di adeguati sistemi di controllo utili all'attuazione del piano TZC.
L'attività di monitoraggio dei controlli realizzati dalle diverse unità operative per
l'implementazione del piano è affidata alla funzione Audit, che svolge la propria
attività presso tutte le società Enel e ha l'obiettivo di fornire i suggerimenti eventuali
volti a migliorare il sistema di controllo interno.
Il Comitato Controlli e Rischi valuta l'adeguatezza del piano di audit periodico, anche
verificando la previsione di interventi atti a garantire la vigilanza sul piano TZC. Le
iniziative realizzate per l'implementazione del piano TZC sono riportate nel “Bilancio
di sostenibilità”, rendiconto chiaro, veritiero e corretto dei risultati ottenuti da Enel
in tutte le aree di rapporto con gli stakeholder. Il Bilancio di sostenibilità è sottoposto
a verifica esterna da parte di una Società indipendente accreditata.
3.4.3) L’Enel Global Compliance Program
L’Enel Global Compliance Program, rivolto alle società estere del Gruppo,
integra, ove esistenti, i compliance programs eventualmente adottati dalle
medesime società in conformità alla normativa locale.
131
Ispirato al principale quadro normativo internazionale in materia, si qualifica
come generale strumento di governance volto a rafforzare l’impegno etico e
professionale del Gruppo a prevenire la commissione all’estero di illeciti da cui
possa derivare responsabilità penale d’impresa e i connessi rischi reputazionali.
La tipologia di fattispecie trattate nell’Enel Global Compliance Program, cui si
associa la previsione di standard comportamentali e di aree da monitorare in
funzione preventiva, si basa su condotte illecite generalmente considerate tali
nella maggior parte dei Paesi (quali ad esempio i reati di corruzione, delitti
contro la pubblica amministrazione, falso in bilancio, riciclaggio, reati
commessi in violazione delle norme sulla sicurezza sul lavoro, reati ambientali,
ecc.).
3.5) Organizzazione dell’Audit di Enel
La funzione Audit del Gruppo Enel ha il compito di valutare in modo sistematico
e indipendente l’efficacia e l’adeguatezza del Sistema di Controllo Interno del
Gruppo e inoltre fornisce un supporto nel monitoraggio dei rischi e
nell’individuazione di azioni volte alla mitigazione degli stessi.
L’organizzazione a matrice della funzione Audit del gruppo nasce con
l’obiettivo di favorire un sistema informativo integrato volto a facilitare i flussi
informativi relativi ad avanzamento e performance dei progetti aziendali85 (vedi
Figura seguente).
85 Silvia Fiori, direttore Funzione Audit di Enel, in un’intervista presente sul sito web enel.it: “Come in tutte
le organizzazioni a matrice, c’è un’aspettativa esplicita e questa aspettativa è che le persone, a questo
punto, possano essere di reciproco aiuto, possano essere collaborative piuttosto che competitive. È ovvio
132
Figura 3.14 – Organizzazione della Funzione Audit del Gruppo Enel
Le singole componenti della struttura coprono ruoli e sono investite di
responsabilità differenti.
Audit Holding, Italy and Global Procurement
Questa unità ha il compito di: definire la metodologia di valutazione dei rischi,
consolidare i risultati della valutazione dei rischi, sviluppare e mantenere un insieme
di KPI (Key Performance Indicator) per monitorare le prestazioni della funzione
Audit; supportare il capo della funzione Audit (“Head of Audit”) nella valutazione
che, in questo contesto, l’effettiva implementazione della matrice può avere successo basandosi su
un’ampia condivisione delle informazioni, che siano buone o cattive notizie, e soprattutto sull’obiettivo
comune di trovare delle soluzioni obiettive ad ogni tipo di problema che potesse sorgere in fase di
implementazione nell’interesse del gruppo, prima di tutto. In questo contesto, l’Audit, il nostro ruolo è quello
di dare un esempio di perfetta organizzazione a matrice: noi vogliamo aiutare nella veloce diffusione delle
informazioni tra tutte le parti, aiutare a comprendere quali sono gli obiettivi comuni, quindi gli obiettivi del
gruppo, e aiutare, soprattutto, ad arricchire la motivazione e a raggiungere questi obiettivi tutti insieme”.
133
del funzionamento complessivo del sistema di controllo interno del Gruppo Enel;
valutare in modo sistematico e indipendente l'efficacia e l'adeguatezza del sistema di
controllo interno sul perimetro della capogruppo; preparare un piano di Audit basato
sui rischi a livello di Gruppo e proporre attività di audit speciali, anche monitorando
l'implementazione dei piani d'azione condivisi con il management; garantire la
conformità alla politica di whistleblowing di Enel all'interno del Gruppo e la vigilanza
sui programmi di conformità Enel o documenti equivalenti adottati da Enel S.p.A.;
informare periodicamente il top management sui risultati dell'audit e sui temi
rilevanti.
Audit Global ICT
A questa unità spetta il compito di: definire la valutazione dei rischi IT a livello di
Gruppo; eseguire il pertinente piano di IT audit; svolgere il piano di monitoraggio
indipendente delle attività relative al Sistema ICFR (Internal Control over Financial
Reporting) a livello di Gruppo limitatamente ai controlli di natura IT; informare
periodicamente il Capo della funzione Global ICT sui risultati del piano di audit e su
altri temi rilevanti.
Audit Iberia, Audit Latin America, Audit Europe and North Africa
Queste unità, nell’ambito della rispettiva area di competenza si occupano, sia per
quanto riguarda i processi globali, sia per quanto riguarda i processi locali, di eseguire
una valutazione dei rischi a livello regionale/nazionale, di proporre un piano di audit
basato su rischi e verifiche speciali e di svolgere attività di audit anche monitorando
134
l'attuazione dei piani d'azione, coordinata dalla pertinente unità di audit globale.
Inoltre, hanno il compito di informare periodicamente il top management competente
sui risultati dell'audit e sulle questioni rilevanti e sostenere gli organi di controllo
esterni nella loro funzione e di garantire la vigilanza sui programmi di conformità
Enel o documenti equivalenti adottati nel Paese.
Audit Global Renewable Energies, Audit Global Thermal Generation, Audit Global
Infrastructure and Networks, Audit Global Trading, Audit Global E-Solutions
Nell'ambito della rispettiva area di competenza e in relazione ai processi globali,
queste unità devono: convalidare i risultati del risk assessment e i piani annuali di
Audit risk based elaborati dalle unità di Audit della regione/paese e consolidarli a
livello di Business Line globale; coordinare i team di lavoro incaricati a svolgere le
attività di audit a livello regionale/nazionale, monitorarne l'esecuzione e approvare le
relazioni finali di audit per individuare le questioni rilevanti a livello globale;
informare periodicamente il capo della linea di business sui risultati dell'audit e su
altri temi rilevanti.
Entrando nello specifico della prima unità analizzata, la “Audit Holding, Italy and
Global Procurement”, essa è a sua volta organizzata come segue (vedi figura
3.15).
135
Figura 3.15 - Audit Holding, Italy and Global Procurement (struttura organizzativa)
Ogni unità ha specifici compiti e responsabilità.
Audit Holding and PMO
Questa unità ha tra i suoi compiti quelli di: definire la metodologia di valutazione dei
rischi, consolidare i risultati del risk assessment, i piani annuali di Audit e il loro
follow-up periodico a livello di Gruppo; sviluppare e mantenere un insieme di KPI
per monitorare le prestazioni della funzione di Audit; definire e aggiornare la
metodologia e i processi di Audit del Gruppo in linea con gli standard professionali
e garantire periodicamente programmi di revisione e miglioramento della qualità;
garantire la conformità alla politica di Enel nell’ambito del Gruppo, monitorando la
gestione del processo in tutti i paesi in cui Enel opera e supervisionare
l'implementazione di adeguati canali di comunicazione.
Per quanto riguarda le funzioni di Holding e per le società finanziarie di Enel S.p.A.,
invece, deve: effettuare il risk assessment, preparare un piano di audit risk based e
136
proporre attività di audit speciali, svolgere attività di audit, monitorando anche
l'implementazione dei piani d'azione concordati con il management; informare il top
management competente sui risultati delle attività di audit e sulle questioni rilevanti;
garantire la vigilanza sui programmi di conformità di Enel o documenti equivalenti
adottati da Enel S.p.A.; più specificamente, riferendosi al Programma di conformità
231, deve supportare l’Organismo di Vigilanza 231, svolgendo e aggiornando
periodicamente la valutazione dei rischi legati ai reati 231 e garantendo l'esecuzione
del piano annuale di monitoraggio 231.
Audit ICT Italy
Per effettuare una valutazione dei rischi a livello nazionale, tale unità deve proporre
un piano di audit risk based e controlli speciali, svolgere attività di audit anche
monitorando l'attuazione dei piani d'azione, coordinati dalla pertinente unità di audit
globale ICT; inoltre, deve informare periodicamente il management competente sui
risultati dell’audit e su relative questioni rilevanti.
Le altre unità
Spetta a queste unità, nell’ambito della propria competenza, il ruolo di: (per quanto
riguarda i processi locali) effettuare valutazioni dei rischi a livello nazionale,
preparare il piano di audit basato sui rischi e proporre audit speciali, svolgere attività
di audit, monitorando anche l'implementazione dei piani d'azione; (per quanto
riguarda i processi globali) di effettuare la valutazione dei rischi a livello nazionale,
di proporre il piano di audit basato sui rischi e le verifiche speciali, di svolgere attività
137
di audit, monitorando anche l'implementazione dei piani d'azione, con il
coordinamento della pertinente unità di audit globale; informare periodicamente il
top management competente sui risultati dell'audit e sulle questioni rilevanti e
sostenere gli organi di controllo esterni nella loro funzione; garantire la vigilanza sui
programmi di conformità Enel o documenti equivalenti, adottati nel Paese.
Inoltre, in relazione al Global Procurement, deve: convalidare i risultati della
valutazione dei rischi e i piani annuali di Audit basati sul rischio preparati dalle unità
di audit nazionali e consolidarli a livello globale; coordinare i gruppi di lavoro
incaricati di svolgere le attività di audit per paesi diversi dall'Italia per monitorare la
loro esecuzione e le relazioni di controllo finali per individuare le questioni rilevanti
a livello globale; informare periodicamente il capo Global Procurement sui risultati
dell'audit e su altri temi rilevanti.
138
CAPITOLO 4 - Il caso aziendale: Internal audit, Sistema ICFR e controllo
integrato sull’informativa finanziaria in Enel S.p.A.
4.1) Il Sistema ICFR (Internal Control over Financial Reporting)
In questo capitolo verrà effettuata un’analisi su come Enel abbia deciso di strutturare
il proprio sistema di controllo interno integrato relativamente all’informativa
finanziaria e alla copertura dei rischi di external financial reporting con un focus su
come i diversi attori del controllo si coordinino con l’obiettivo di garantire una
adeguata assurance sul sistema ICFR (Internal Control over Financial Reporting).
Tale sistema presiede la redazione del bilancio di esercizio della Società, del bilancio
consolidato di Gruppo e della relazione finanziaria semestrale consolidata di Gruppo
ed ha l’obiettivo di assicurare l’attendibilità dell’informativa finanziaria e l’idoneità
del processo di redazione dei documenti contabili in questione a produrre
l’informativa in coerenza con i principi contabili internazionali riconosciuti nella
Comunità Europea.
I rischi di external financial reporting
Il Sistema ICFR è definito come l’insieme delle attività volte a identificare e a
valutare le azioni o gli eventi il cui verificarsi o la cui assenza possa compromettere,
parzialmente o totalmente, il raggiungimento degli obiettivi di attendibilità,
accuratezza, affidabilità e tempestività dell’informativa finanziaria.
L’attendibilità della informativa si riferisce a parametri di correttezza e conformità ai
principi contabili ed alla presenza dei requisiti richiesti dalle leggi e dai regolamenti
139
applicati. L’accuratezza risiede nelle caratteristiche di neutralità e precisione:
l’informazione è considerata neutrale se è priva di distorsioni preconcette tese a
influenzare il processo decisionale dei suoi utilizzatori al fine di ottenere un
predeterminato risultato. L’affidabilità è presente se l’informativa ha le
caratteristiche di chiarezza e di completezza tali da indurre decisioni di investimento
consapevoli da parte degli investitori: l’informativa è considerata chiara se facilita la
comprensione di aspetti complessi della realtà aziendale, senza tuttavia divenire
eccessiva e superflua. Infine, la tempestività riguarda la puntualità nell’emissione
dell’informativa.
I suddetti rischi non risiedono esclusivamente nei processi contabili in senso stretto,
i cosiddetti processi di closing-the-books (come ad esempio la predisposizione dei
bilanci societari, l’alimentazione e la predisposizione del bilancio consolidato, ecc.),
ma anche in tutti gli altri processi aziendali: dai processi amministrativi (fatturazione,
pagamenti, ecc.), ai processi operativi (operations & manteinance, engineering &
construction, ecc.), fino ai processi IT, i quali rappresentano un fondamentale veicolo
per le informazione che poi finiranno in bilancio (plan & organise, acquire &
implement, deliver & support, monitor & evaluate86).
Questa analisi, aiuta a comprendere quanto tali rischi siano insiti nella stragrande
maggioranza dei processi dell’organizzazione e, quindi, quanto il Sistema ICFR
debba essere pervasivo nella fitta rete dei processi aziendali, dal più elementare al più
86 I quattro domini fanno riferimento al modello COBIT (Control Objectives for Information and related
Technology).
140
complesso, in quanto ognuno di essi è in grado di generare degli input che in maniera
diretta o indiretta finiranno per impattare sull’informativa di bilancio.
Gli adempimenti normativi del Gruppo Enel
Enel S.p.A., oltre ad adempiere agli obblighi imposti alle società quotate dal TUF e
dalla Consob, deve garantire una compliance rispetto alla legge 262/05 (analizzata
nel corso del primo capitolo) che prevede oltre all’introduzione del Dirigente
preposto, l’obbligo di istituire adeguate procedure amministrative e contabili per la
predisposizione del bilancio (di esercizio e consolidato) e di ogni altra comunicazione
in ambito finanziario.
Inoltre, presso alcune società latinoamericane del Gruppo, aventi American
Depositary Shares (“ADS”) quotate presso il New York Stock Exchange, trovano
applicazione i controlli interni relativi alla corretta tenuta delle scritture contabili
previsti dalla Sezione 404 del Sarbanes-Oxley Act.
Il Sistema ICFR del Gruppo Enel è stato progettato con l’obiettivo di garantire un
processo di controllo interno sull’informativa finanziaria omogeneo che rispetti le
disposizioni normative di tutti i mercati regolamentati nei quali le società del Gruppo
sono quotate.
4.1.1) Gli attori coinvolti nel controllo sull’informativa finanziaria
Data la sua complessa articolazione, il controllo sull’informativa finanziaria
coinvolge ed integra, con funzioni e responsabilità differenti, le più rilevanti figure
141
presenti nel quadro dei controlli aziendali. Anche se già citati in precedenza, è
importante in questa fase ricapitolarne i ruoli e le responsabilità.
Figura 4.1 - Gli attori coinvolti nel controllo sull’informativa finanziaria
Dirigente preposto
Le funzioni di dirigente preposto alla redazione dei documenti contabili societari di
Enel sono svolte dal responsabile della funzione “Amministrazione, Finanza e
Controllo” della Società (CFO)87. Tale concentrazione di incarichi è motivata dalla
vicinanza ai processi amministrativo contabile e dalla disponibilità di strutture e
mezzi da destinare al presidio del sistema ICFR. Il dirigente in questione viene
87 Nella persona di Alberto De Paoli.
142
nominato dal consiglio di amministrazione, sentito il parere del collegio sindacale, ed
è in possesso dei requisiti di professionalità contemplati nello statuto sociale.
Internal audit
L’attività di internal audit (controlli di “terzo livello”) ha ad oggetto la verifica della
struttura e della funzionalità del SCIGR nel suo complesso, anche mediante un’azione
di monitoraggio dei controlli di linea nonché delle attività di controllo di secondo
livello. Tra gli obiettivi di controllo della funzione sono pertanto compresi anche
quelli di external financial reporting.
L’IA nell’esercizio della sua attività di assurance e advisory individua e verifica i
rischi aziendali, contribuisce all’implementazione di un sistema di risk management,
assiste nella formazione interna per diffondere le competenze necessarie per
l’autodiagnosi88 del Sistema di Controllo Interno riguardo a specifici rischi di natura
finanziario-contabile. Inoltre, la funzione di internal auditing può attivarsi anche su
segnalazione del management, quindi anche del DP, per svolgere degli audit specifici
in aree minacciate da situazioni di rischio, in modo da poter fornire assurance su
adeguatezza e funzionamento dei processi segnalati, pur sempre mantenendo
un’ottica sull’organizzazione nel suo complesso e sulla complessiva esposizione al
rischio.
Come visto in precedenza, l’attività di internal audit può essere preziosa anche nella
fase di programmazione del lavoro il revisore esterno, il quale ne analizza il lavoro e
valuta se questo possa essere funzionale al lavoro di revisione considerandone
88 Control Risk Self-Assessment (CRSA): si pone quindi come obiettivo quello di fornire al management uno strumento che consente l'effettuazione di analisi qualitative per la gestione del rischio.
143
l’organizzazione, le competenze tecniche e la diligenza professionale. Il
coordinamento tra le attività delle due funzioni deve essere gestito in maniera efficace
onde evitare situazioni di duplicazione degli sforzi, o al contrario di omissione di
controlli, o infine il venir meno dei requisiti di professionalità ed indipendenza.
Società di revisione
Come visto nel capitolo primo, alla società di revisione89 (considerata la terza linea
di difesa “esterna”) spetta il compito di esprimere, attraverso una opinion sul bilancio
sottoposto a revisione, se i fatti di gestione sono correttamente rilevati nelle scritture
contabili, se il bilancio corrisponde alle risultanze di tali scritture e se risulta conforme
alle norme che disciplinano la redazione dei bilanci.
Comitato Controlli e Rischi
Il Comitato Controlli e Rischi ha il compito di supportare, con un’adeguata attività
istruttoria, di natura propositiva e consultiva, le valutazioni e le decisioni del
Consiglio di Amministrazione relative al sistema di controllo interno e di gestione
dei rischi, nonché quelle relative all’approvazione delle relazioni finanziarie
periodiche. Il CCR di Enel S.p.A. è composto da almeno tre Amministratori non
esecutivi, di cui uno con funzioni di Presidente. La maggioranza dei componenti il
Comitato, tra cui il Presidente, è dotata dei requisiti di indipendenza indicati dal
Codice di Autodisciplina delle società quotate. Almeno un componente del Comitato
89 La revisione legale del bilancio di Enel e del bilancio consolidato di Gruppo risulta affidata a Ernst & Young S.p.A. L’incarico a tale società di revisione è stato conferito dall’assemblea ordinaria del 29 aprile 2011, su proposta del collegio sindacale, con riferimento agli esercizi dal 2011 al 2019 e per un corrispettivo complessivo di circa 3,5 milioni di euro.
144
possiede un’adeguata esperienza in materia contabile e finanziaria o di gestione dei
rischi, da valutarsi dal Consiglio di Amministrazione al momento della nomina.
L’amministratore incaricato SCIGR
L’amministratore incaricato SCIGR (che nel caso di Enel S.p.A., coincide con
l’amministratore delegato), è nominato (e revocato) dal Consiglio di
Amministrazione ed ha il compito di: provvedere all’individuazione dei principali
rischi aziendali; eseguire le linee di indirizzo definite dal CdA, sulla progettazione,
realizzazione e gestione del SCIGR, del quale verifica costantemente adeguatezza ed
efficacia; formulare al CdA, in accordo col presidente, proposte in merito a nomina,
revoca e remunerazione del responsabile della funzione Audit, adoperandosi affinché
quest’ultimo disponga delle risorse necessarie all’espletamento dei propri doveri.
Inoltre, può richiedere al responsabile della funzione Audit verifiche su specifiche
aree operative e riceve dallo stesso relazioni periodiche su eventi di particolare
rilevanza. In caso di problematiche e criticità emerse, deve tempestivamente riferire
in merito all’organo collegiale.
Collegio sindacale
Il Collegio Sindacale è chiamato a: vigilare circa l'osservanza della legge e dello
statuto sociale, nonché sul rispetto dei principi di corretta amministrazione nello
svolgimento delle attività sociali; controllare il processo di informativa
finanziaria, nonché l'adeguatezza della struttura organizzativa, del sistema di
controllo interno e del sistema amministrativo-contabile della Società, nonché
145
l'affidabilità di quest'ultimo nel rappresentare correttamente i fatti di gestione;
vigilare sulla revisione legale dei conti annuali e dei conti consolidati, nonché
circa l'indipendenza della società di revisione legale dei conti; verificare le
modalità di attuazione delle regole di governo societario previste dal Codice di
Autodisciplina delle società quotate, cui la Società aderisce; vigilare
sull'adeguatezza delle disposizioni impartite dalla Società alle proprie
controllate per garantire il corretto adempimento degli obblighi informativi
previsti dalla legge.
4.2) Il processo di Internal Control over Financial Reporting in Enel
Il processo di definizione, implementazione e gestione del Sistema ICFR, che viene
progressivamente esteso alle società di significativa rilevanza che entrano a fare parte
del Gruppo, viene realizzato sotto la responsabilità del dirigente preposto alla
redazione dei documenti contabili societari e si articola nelle seguenti fasi:
• definizione del perimetro delle società e dei processi con impatto sul financial
reporting, oggetto di valutazione periodica, e comunicazione al management
delle metodologie e delle istruzioni per adempiere al suddetto processo di
valutazione (nell’anno 2016, il perimetro delle società ha raggiunto quota 56,
mentre i processi in perimetro sono stati 65190);
90 Fonte: Enel S.p.A.
146
Figura 4.2 – Società e processi in perimetro nell’anno 2016 (fonte: Enel)
• mappatura e aggiornamento dei processi rilevanti a cura dei process owner
con la supervisione del DP (supportato da un’unità in Amministrazione ICFR),
risk assessment e definizione dei controlli, quality assurance e identificazione
e aggiornamento dei Primary Key Controls utilizzando l’approccio Top Down
Risk Based91 (nell’anno 2016 i Key control/Primary Key Control identificati
sono stati 10.90592);
• valutazione del disegno e dell’operatività dei controlli (c.d. monitoraggio “di
linea”), realizzata dal management interessato (process owner) ed effettuata
attraverso self-assessment periodico;
• realizzazione dell’attività di testing indipendente a cura di una società di
consulenza esterna (nell’anno 2016 Deloitte ha testato 1694 PKC sui 4339
testabili, con un coverage ratio del 39%), ad esclusione dei controlli di natura
91 L’approccio “TDRB” consente di razionalizzare le attività di compliance, ponendo particolare enfasi sulle aree a maggiore rischio, con una diversa modulazione della strategia di testing e del supporto documentale in base al livello di rischio da esaminare. 92 Fonte: Enel S.p.A...
147
informatica, gli Information Techonology General Controls, oggetto di
monitoraggio indipendente a cura della funzione Audit Global ICT della
Società (nell’anno 2016 sono stati testati 37 PKC dei 112 testabili, con un
coverage ratio del 33%)93;
• valutazione delle carenze da parte del DP e monitoraggio delle azioni di
rimedio;
• consolidamento dei risultati e valutazione complessiva del Sistema ICFR, al
fine di procedere alla definizione delle lettere di attestazione finali
dell’amministratore delegato e del dirigente preposto alla redazione dei
documenti contabili societari in merito al bilancio di esercizio, al bilancio
consolidato e alla relazione finanziaria semestrale, supportate da un flusso di
reporting di attestazioni interne;
• pubblicazione (annuale) delle procedure amministrative e contabili.
Il perimetro delle società del Gruppo da includere nella valutazione viene determinato
in relazione allo specifico livello di rischio sia in termini quantitativi per il livello di
significatività del potenziale impatto sul bilancio consolidato (società che
contribuiscono per almeno il 5% di uno o più dei seguenti parametri, al netto delle
transazioni inter company: Attivo, Indebitamento Finanziario, Reddito ante imposte,
Ricavi) che in termini qualitativi (tenuto conto dei rischi specifici legati al business o
al processo). Per le Società considerate rilevanti (quantitativamente o
93 Fonte: Enel S.p.A.
148
qualitativamente) si procede ad analizzare i singoli processi aziendali che superano
la soglia definita di materialità94.
Figura 4.3 – Copertura dei parametri significativi (fonte: Enel)
Per la definizione del sistema è stato quindi condotto anzitutto un risk assessment a
livello di Gruppo, per individuare e valutare le azioni o gli eventi il cui verificarsi o
la cui assenza potrebbero compromettere il raggiungimento degli obiettivi del sistema
di controllo (ad esempio, asserzioni di bilancio e altri obiettivi di controllo collegati
all’informativa finanziaria). Il risk assessment è stato condotto anche con riferimento
ai rischi di frode. I rischi sono identificati sia a livello di società o gruppi di società
(“entity level”) sia a livello di processo (“process level”). Nel primo caso, i rischi
individuati sono considerati comunque ad impatto rilevante sull’informativa
finanziaria, a prescindere dalla loro probabilità di accadimento. I rischi a livello di
processo sono invece valutati, a prescindere dai relativi controlli (valutazione a livello
94 Il valore della materialità è definito a partire dal risultato ante imposte consolidato, depurato dalle
componenti straordinarie così da giungere ad un valore “normalizzato”. A tale valore viene applicato una
percentuale (che è solitamente tra il 5% e il 6%); al fine di adottare un approccio prudenziale, si applica
un’ulteriore percentuale di riduzione con la quale si determina la soglia finale di materialità. Il valore così
calcolato della materialità (per ciascuna società capofila ed alle relative subsidiaries) rappresenta il
parametro quantitativo di riferimento per l’individuazione dei processi aziendali rilevanti.
149
inerente), in termini di potenziale impatto e probabilità di accadimento, sulla base di
elementi sia qualitativi che quantitativi.
In seguito alla individuazione e valutazione dei rischi, si è proceduto con
l’individuazione di controlli finalizzati a ridurre a un livello accettabile la possibilità
di accadimento dei rischi sia a livello di entity che di processo.
In particolare, la struttura dei controlli a livello di società o gruppi di società prevede
“Entity/Company Level Controls”, intesi come strumenti di controllo definiti
centralmente e di comune applicazione nell'ambito del Gruppo o di uno specifico
settore, che consentono all’impresa controllante di indirizzare, definire e monitorare
il disegno e l’operatività del Sistema ICFR delle imprese controllate, oppure quali
strumenti di controllo che operano in modo trasversale rispetto ad una singola società
o linea di business.
I controlli a livello di entity sono catalogati in coerenza con le indicate cinque
componenti del COSO Report (ambiente di controllo, risk assessment, attività di
controllo, sistemi informativi e flussi di comunicazione, attività di monitoraggio. Il
COSO Report è integrato per gli aspetti informatici dal modello “Control Objectives
for Information and related Technology” (COBIT).
La struttura dei controlli a livello di processo prevede invece controlli specifici o di
monitoraggio, intesi come l’insieme delle attività, manuali o automatizzate, volte a
prevenire, individuare e correggere errori o irregolarità che si verificano nel corso
dello svolgimento delle attività operative.
Al fine di migliorare l’efficienza del Sistema ICFR e la sua sostenibilità nel tempo, i
controlli sono stati distinti in controlli standard e controlli chiave (key control), intesi
150
questi ultimi come controlli decisivi ai fini della prevenzione da false
rappresentazioni nei documenti contabili. Sono stati individuati anche i controlli
pervasivi, intesi come elementi strutturali del Sistema ICFR volti a definire un
contesto generale che promuova la corretta esecuzione e controllo delle attività
operative. In particolare, sono controlli pervasivi quelli relativi alla segregazione
delle attività e responsabilità incompatibili (Segregation of Duties), che mira ad
assicurare che non vi sia nella stessa persona una concentrazione di compiti e
responsabilità che possa facilitare la realizzazione e/o l’occultamento di frodi/errori.
Laddove le attività siano svolte con il supporto dei sistemi informativi, la corretta
segregazione è verificata anche con riguardo ai profili e alle utenze assegnate.
Nell’ambito delle società identificate come rilevanti si è proceduto alla definizione e
valutazione dei processi a maggior rischio e all’applicazione del cosiddetto “Top-
Down Risk-Based Approach”. L’approccio TDRB è una metodologia di analisi che
consente di modulare la natura e l’ampiezza del processo di definizione e valutazione
del sistema ICFR, focalizzando l’attenzione del management sulla documentazione
dei processi nei quali risiedono i maggiori rischi per l’attendibilità del bilancio e sulla
verifica dei controlli più efficaci a mitigarli. Il TDRB costituisce un’opportunità per
l’azienda in quanto supporta il disegno del sistema ICFR e del relativo processo di
valutazione, assicurandone i requisiti dell’efficacia e dell’efficienza attraverso la
modulazione di tutti gli elementi che contribuiscono a definirne: l’architettura
(documentazione ICFR, tipologie di rischio, tipologie di controllo, etc.); lo scoping
(sia per il self assessment che per il monitoraggio indipendente); la strategia e le
modalità di monitoraggio indipendente.
151
In coerenza con tale approccio, sono stati quindi identificati e valutati i rischi di
maggior impatto e i correlati controlli (primary key control), sia di generale
monitoraggio che specifici, volti a ridurre a un livello accettabile la possibilità di
accadimento dei suddetti rischi.
Al fine di valutare l’adeguatezza dei processi, dei rischi e dei controlli
sull’informativa finanziaria è prevista, con cadenza semestrale, una specifica attività
di monitoraggio a cura dei gestori dei processi (ovvero dei responsabili delle attività,
dei rischi e dei controlli) volta a verificare il disegno e l’operatività dei processi e
controlli di competenza.
Per ciascun processo aziendale oggetto di valutazione è mantenuta adeguata
documentazione (procedure amministrative e contabili) finalizzata a descrivere i ruoli
e le responsabilità, i flussi dei dati e delle informazioni, nonché i controlli chiave.
I risultati delle valutazioni effettuate sono comunicati al dirigente preposto alla
redazione dei documenti contabili societari attraverso specifici flussi informativi
periodici di sintesi (reporting), che classificano le eventuali carenze di operatività e/o
disegno dei controlli (in relazione al loro potenziale impatto sull’informativa
finanziaria) in semplici carenze, debolezze significative o carenze materiali.
Nel caso in cui dalle valutazioni effettuate emergano delle carenze, i flussi informativi
da ultimo indicati riportano anche le eventuali azioni correttive, intraprese o da
intraprendere, volte a consentire il raggiungimento degli obiettivi di attendibilità,
accuratezza, affidabilità e tempestività dell’informativa finanziaria.
Tali flussi vengono altresì utilizzati per la periodica informativa circa l’adeguatezza
del Sistema ICFR fornita dal dirigente preposto alla redazione dei documenti
152
contabili societari nei riguardi del collegio sindacale, del comitato controllo e rischi
e della società di revisione.
Sulla base della reportistica sopra indicata, e tenuto conto delle attestazioni rilasciate
dai responsabili di ciascuna struttura aziendale interessata, il dirigente preposto alla
redazione dei documenti contabili societari rilascia a sua volta, unitamente
all’amministratore delegato, apposita attestazione circa l’adeguatezza e l’effettiva
applicazione delle procedure amministrative e contabili predisposte per la formazione
del bilancio di esercizio, del bilancio consolidato ovvero della relazione finanziaria
semestrale (a seconda del documento contabile di volta in volta interessato).
A seguito dell’attività di monitoraggio, svolta a cura dei gestori dei processi e intesa
a verificare il disegno e l’operatività dei processi/sub-processi affidati alla loro
responsabilità, nonché dei relativi controlli individuati, vengono estratti dal sistema
di supporto i documenti che compongono le procedure amministrative e contabili
(narrative, flow chart ed elenco dei controlli), per poter procedere alla relativa
formalizzazione.
Le procedure amministrative e contabili vengono quindi emesse a cura del dirigente
preposto alla redazione dei documenti contabili societari e sono pubblicate nella
intranet aziendale.
Al fine di assicurare la corretta applicazione della metodologia sopra descritta, sono
periodicamente realizzate specifiche sessioni di formazione rivolte sia alle strutture
locali di controllo interno sull’informativa finanziaria del Gruppo, sia ai gestori dei
processi coinvolti nelle attività di monitoraggio di linea.
153
4.3) L’attività di audit sul Sistema ICFR
A partire dal primo anno di implementazione del sistema ICFR (2005)
l’organizzazione delle attività di controlli interno di III livello ha subito modifiche
funzionali all’efficienza e all’efficacia generale del sistema.
Fino al 2015 Audit ha realizzato le attività di monitoraggio indipendente dei controlli
ICFR (testing), prima attraverso il coordinamento di loan staff esterno (fino al 2009)
e successivamente attraverso un team interno di risorse, mediamente 30.
Il coinvolgimento diretto della funzione Audit nel testing dei controlli ICFR è
risultato funzionale ad incrementare il livello di maturità generale del sistema, anche
attraverso attività di consulting nella predisposizione delle procedure amministrativo
contabili, diffondendo una rinnovata cultura del controllo in ambito finanziario.
Inoltre, la funzione Audit partecipava a progetti interfunzionali volti a omogeneizzare
il modello ICFR in tutto il Gruppo (le società del Sud America e della Spagna si erano
sviluppate autonomamente negli anni precedenti e adottavano metodologie distinte),
in ottica di diffusione delle best practice interne ed esterne.
A partire dal 2016, in una situazione ormai di elevata maturità del Sistema ICFR, il
testing campionario dei controlli ICFR è stato assunto dall’unità “Amministrazione
ICFR”, attraverso la collaborazione di un fornitore esterno (ad eccezione degli IT
General Control, che continuano ad essere testati da Audit Global ICT).
Attualmente la Funzione Audit svolge le attività di controllo di terzo livello sul ICFR
che le sono proprie secondo due modalità distinte, che consentono di mantenere un
adeguato presidio dei rischi riducendo gli overlapping con le altre funzioni di
controllo (in particolare Amministrazione ICFR e revisore esterno): la prima consiste
154
nel monitoraggio del processo di valutazione periodica dell’ICFR, secondo un
modello di collaborazione tra funzioni di controllo di secondo e terzo livello; la
seconda, in una esecuzione diretta di attività di audit secondo una logica integrata,
che attraverso l’analisi di processi o di attività assicuri contemporaneamente, ove
possibile, la copertura di obiettivi operativi, di conformità, IT e di external financial
reporting.
4.3.1) Il monitoraggio del processo di valutazione periodica dell’ICFR
In questa fase di monitoraggio la funzione Audit ha mantenuto uno stretto
coordinamento con l’unità Amministrazione ICFR al fine di monitorare la
metodologia e i risultati del processo di valutazione periodica del sistema ICFR a
copertura dei rischi di errore nella predisposizione della relazione finanziaria
consolidata di Enel. Tale obiettivo è stato perseguito attraverso incontri con
Amministrazione ICFR e con Deloitte (incaricata del testing dei controlli) e flussi
informativi ad hoc. L’insieme dei suddetti flussi informativi in questione è costituito:
• dallo “scope of work” costituito da società e processi rilevanti (flusso annuale)
e relative variazioni (ad hoc);
• dal piano di testing dei controlli chiave (flusso semestrale) e relative variazioni
(ad hoc) con la Funzione Audit che mantiene la facoltà di richiedere
integrazioni o modifiche in relazione ai profili di rischio rilevati nel corso della
propria attività;
• dai fatti rilevanti ai fini della valutazione del sistema ICFR, come deficiency
che emergono dall’attività di testing (ad hoc);
155
• dai risultati sia del testing periodico, sia del self assessment (periodico).
In questa fase il controllo di terzo livello della funzione Audit ha l’obiettivo di
valutare in termini di adeguatezza:
• la metodologia utilizzata per definire le soglie di materialità;
• la metodologia di scoping e quindi lo scope of work a livello di società e di
processi;
• la metodologia adottata per la mappatura dei processi, dei rischi e dei controlli;
• la metodologia delle procedure di testing periodico: selezione dei controlli da
testare e dei rispettivi livelli di coverage; predisposizione delle carte di lavoro
e della fase di formalizzazione; modalità di implementazione dei flussi
informativi tra tester e process owner; procedure di testing e individuazione
delle soglie di tolleranza degli errori adottate; tipologia di risultati dell’attività
di testing (“ok”, “ok con eccezione operativa”, “ok con eccezione sul disegno”,
“ko”).
• i test effettuati, attraverso incontri con il fornitore esterno incaricato del testing
allo scopo di analizzare le procedure di test adottate per un campione di
controlli; in tale fase la funzione Audit può richiedere integrazioni e
supplementi di analisi.
4.3.1) Il monitoraggio degli ITGC
Gli Information Technology General Controls sono costituiti dall’insieme dei
156
controlli finalizzati a ridurre ad un livello accettabile il rischio di non corretto
funzionamento dei sistemi informatici; riguardano in generale l’operatività dei CED,
le procedure di sviluppo e manutenzione dei programmi applicativi e le politiche
generali di accesso alle applicazioni e ai dati. Con riferimento all’area ITGC viene
effettuato un controllo di coerenza, volto a garantire che ogni singolo processo abbia
un adeguato grado di copertura in sede di verifica, considerando come riferimento il
documento “IT Control Objectives for Sarbanes-Oxley” emanato dall’IT Governance
Institute, al fine di valutare e condividere con l’unità ICT Governance eventuali
modifiche/integrazioni al perimetro dei controlli.
L’unità Audit Global ICT valuta l’operatività dei controlli ITGC (Information
Technology General Control) disegnati al fine di ridurre ad un livello accettabile il
rischio di non corretto funzionamento dei sistemi informatici a supporto dei processi
di business rilevanti per il financial reporting.
Nell’anno 2016, a valle dell’attività di self assessment effettuata dai process owner,
sono stati individuati 112 controlli, operativi a livello di Gruppo e per tutte le
applicazioni rilevanti, valutati come rilevanti nel mitigare i rischi di errore nel
financial reporting (controlli operativi Primary Key Control – PKC).
Con l’obiettivo di garantire un’adeguata assurance sui processi IT, Audit Global ICT
ha verificato il 33% dei PKC operativi (37 attività), utilizzando come oggetto della
verifica un campione rappresentativo delle applicazioni maggiormente rilevanti nei
processi ICFR. Il campione di controlli da testare è stato definito sulla base dei
seguenti criteri qualitativi: copertura di tutti gli owner dei controlli (almeno un
controllo per ogni unità responsabile della Global ICT); valutazione dei risultati
157
storici inerenti il testing; modifiche avvenute su elementi organizzativi/operativi (ad
esempio nuovi controlli, modello di servizio in cloud, ecc.); rotazione triennale dei
controlli sottoposti a monitoraggio.
Il monitoraggio è stato effettuato sia attraverso test specifici sui controlli selezionati
sia attraverso sinergie con le azioni di audit del piano 2016. Nel corso delle attività
di testing svolte è stata posta particolare attenzione alla sicurezza informatica, alla
realizzazione delle soluzioni informatiche, alla gestione delle infrastrutture e ai
servizi basati su cloud.
4.3.3) L’esecuzione diretta di attività di audit secondo una logica integrata
In questa fase dell’attività viene promossa l’integrazione degli obiettivi Compliance
e Operational con obiettivi di tipo Financial individuando, tra i processi oggetto di
audit, quelli che presentano aspetti operativi potenzialmente in grado di influenzare
la predisposizione del financial reporting a livello stand alone o di Gruppo. In tali casi
i programmi di lavoro prevedono valutazioni di adeguatezza del disegno del sistema
ICFR e, ove presenti, delle procedure amministrative contabili.
Tale approccio è stato supportato attraverso la progettazione e l’erogazione di
specifiche attività formative dirette a tutta la famiglia professionale audit e volte a
consolidare una base comune di conoscenze ed un approccio metodologico
omogeneo al financial audit.
Nel 2016, circa un terzo delle azioni di audit eseguite hanno incluso verifiche
sull’adeguatezza e/o sull’operatività dei controlli interni che, nei processi,
contribuiscono a ridurre i rischi di errore nell’informativa finanziaria.
158
Figura 4.4 – Sintesi dei risultati dell’audit integrato (fonte: Enel)
Tale approccio ha consentito di identificare azioni di miglioramento correlate sia al
disegno di processi e, ove presenti, delle procedure amministrativo contabili, sia
all’operatività dei controlli disegnati nell’ambito delle procedure stesse.
159
CONCLUSIONI
Il caso Enel, trattato nel corso dell’elaborato, ha reso possibile descrivere la
complessità e l’ampiezza del Sistema di Controllo Interno e Gestione dei Rischi di
un Gruppo che opera in quattro continenti, con oltre 60mila dipendenti e con aziende
quotate in diversi mercati regolamentati ed in linea con le normative vigenti e le best
practice italiane ed internazionali.
L’obiettivo è stato quello di dimostrare come, nonostante l’ambiente economico-
aziendale estremamente turbolento che circonda un’organizzazione aziendale, sia
possibile creare un Sistema di Controllo Interno con un alto grado di efficacia ed
efficienza, sviluppando il concetto di integrazione (sia a livello operativo che a livello
di flussi informativi) tra il Sistema stesso e l’intera organizzazione.
La trattazione del caso è stata improntata su una specifica categoria di controlli: i
controlli relativi all’informativa finanziaria.
Tale scelta, ha chiarito, innanzitutto, che il controllo sul bilancio (di esercizio e
consolidato) non è solo un affare “esterno”, ma che esso coinvolge anche, seppur con
modalità differenti, vari componenti del controllo interno, tra i quali l’internal audit.
Inoltre, ha permesso di dare una dimostrazione pratica di attuazione di un approccio
integrato nei controlli mediante la presentazione e la descrizione delle varie fasi di
attuazione di un sistema di recente implementazione: il Sistema di Internal Control
over Financial Reporting (ICFR).
È stata analizzata la capacità del Sistema ICFR e dei controlli su di esso effettuati di
mitigare i rischi di external financial reporting con un focus specifico sugli attori
160
coinvolti nel Sistema stesso e nelle attività di audit messe in atto per verificarne il
disegno ed i risultati.
I risultati messi in luce dall’analisi effettuata hanno mostrato come per un Sistema di
Controllo sia possibile raggiungere un elevato livello di assurance grazie
all’ottimizzazione delle risorse a propria disposizione e ad un’attenta divisione dei
compiti e delle responsabilità, volta a ridurre i casi di duplicazione degli sforzi
(overlapping).
161
BIBLIOGRAFIA
Dittmeier Carolyn A., Internal Auditing - Chiave per la Corporate Governance,
Marzo 2011, Seconda edizione, Egea.
Troina Gaetano, Le revisioni aziendali, Prima Edizione, 2005, Franco Angeli.
Regoliosi Carlo, Perno Antonio, L’esercizio dell’internal audit, Aprile 2010,
Maggioli Editore.
Associazione Italiana Internal Auditors, Position Paper: Legge sulla Tutela del
Risparmio - artt. 14, 15 e 30 della L. n. 262 del 28 Dicembre 2005, Marzo 2006.
The Institute of Internal Auditors, Position Paper: The three lines of defense model
in effective risk management and control, Gennaio 2013.
The Institute of Internal Auditors, Tone at the Top: Issue 60 - Providing senior
management, boards of directors, and audit committees with concise information on
governance-related topics, Febbraio 2013.
The Institute of Internal Auditors, Standard internazionali per la pratica
professionale dell'internal auditing (Standard), ottobre 2016.
162
Confindustria, Linee guida per lo svolgimento delle attività del dirigente preposto
alla redazione dei documenti contabili societari ai sensi dell’art. 154-bis TUF,
Dicembre 2007.
Borsa Italiana S.p.A. – Comitato per la Corporate Governance, Codice di
Autodisciplina, luglio 2015.
CONSOB (a cura di Gasparri G.), Quaderno giuridico n.4, I controlli interni nelle
società quotate - Gli assetti della disciplina italiana e i problemi aperti, settembre
2013
CONSOB (a cura della Divisione Tutela del Consumatore Ufficio Relazioni con il
Pubblico), Testo Unico della Finanza - Decreto legislativo 24 febbraio 1998, n. 58,
Aggiornato con le modifiche apportate dalla D.Lgs. n. 254 del 30.12.2016, gennaio
2017
Basel Commitee on Banking Supervision, Principles for enhancing Corporate
Governance, ottobre 2014.
Enel S.p.A., Relazione sul governo societario e gli assetti proprietari, esercizio
2016.
Enel S.p.A., Codice Etico, 2002.
163
Enel S.p.A., Bilancio di Sostenibilità 2016 – Seeding Energies, aprile 2017
Enel S.p.A., Piano Tolleranza Zero alla Corruzione, 2006.
Enel S.p.A, Enel Global Compliance Program, 2016
Enel S.p.A., Capital Markets Day – Strategic Plan 2017/2019, novembre 2016.
164
SITOGRAFIA
www.aiiaweb.it
www.theiia.org
www.pcaobus.org
www.consob.it
www.camera.it
www.coso.org
www.borsaitaliana.it
www.eciia.eu
www.bis.org
www.ilsole24ore.com
www.assonime.it
165
www.borsaitaliana.it
www.enel.com
www.enelgreenpower.com
www.corporate.enel.it