……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 1 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO, COMITATO CONTROLLO E RISCHI E COLLEGIO SINDACALE
ENRICO MARIA BIGNAMI
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 2 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
LA GOVERNANCE E IL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI
La Governance può essere sinteticamente definita come “il metodo attraverso il quale le aziende
sono dirette e controllate”.
Nella gestione dell’impresa, esiste un legame imprescindibile fra i seguenti tre elementi:
gli obiettivi, che l’organizzazione di prefigge di raggiungere;
i rischi, ovvero eventi che possano incidere negativamente sul perseguimento degli obiettivi,
valutati in termini di probabilità e impatto;
i controlli, ovvero le protezioni da mettere in atto per prevenire/mitigare/contenere gli
effetti negativi generati dal concretizzarsi di eventi rischiosi.
La teoria più avanzata1 sottolinea l’importanza del rischio nel sistema dei controlli: l’ultima
versione del Codice di Autodisciplina2 ne ha riconosciuto ed enfatizzato la centralità.
Il sistema di controllo interno e di gestione dei rischi (“SCI-GR”) è quindi uno snodo cruciale
della governance di una società. Il rischio è il filo conduttore del sistema dei controlli, il
quale ruota intorno all’identificazione, valutazione e monitoraggio dei rischi aziendali.
1 la più rilevente è il Modello ERM, Enterprise Risk Management, emesso nel 2004 dal Committee of Sponsoring Organizations, CoSO 2 Codice di Autodisciplina del Comitato per la Corporate Governance del dicembre 2011
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 3 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
La Definizione di SCI-GR del Codice di Autodisciplina
“Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito
dall'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire
l'identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi.”3
Obiettivi del SCI-GR
“Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una conduzione
dell'impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione,
favorendo l'assunzione di decisioni consapevoli. Esso concorre ad assicurare
la salvaguardia del patrimonio sociale,
l'efficienza e l'efficacia dei processi aziendali,
l'affidabilità dell'informazione finanziaria,
il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne.”4
3 Codice di Autodisciplina, art. 7.P.1. 4 Codice di Autodisciplina, art. 7.P.2.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 4 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
I concetti generali e i principi fondamentali di architettura del sistema di controllo e di gestione dei rischi
L’architettura del sistema di controllo interno e di gestione dei rischi va definita specificamente
per ogni singolo caso, in relazione al tipo di attività svolta, alla dimensione della società, alla
struttura del gruppo, al contesto regolamentare.
Il sistema dei controlli deve essere “integrato” nell’assetto organizzativo, amministrativo,
contabile e di governo societario e le sue componenti devono essere tra loro coordinate e
interdipendenti.
I principi di architettura sono:
la separazione di ruoli e compiti (segregation of duties), che ha quale obiettivo primario
quello di ridurre il rischio di frodi ed errori, e viene perseguita attraverso la suddivisione
delle attività/responsabilità, relative ad un determinato processo aziendale, tra differenti
funzioni/individui.
l’accountability di informazioni e processi, intesa quale attribuzione della responsabilità
incondizionata in capo a un soggetto (o a un gruppo di soggetti) del risultato conseguito da
un’organizzazione, sulla base delle proprie capacità, abilità ed etica.
la tracciabilità (e non ripudiabilità) dei dati e delle informazioni, in modo da rendere
attendibile, ricostruibile e valutabile un’attività o un processo.
L’Efficacia del Sistema di Controllo Interno e di gestione dei rischi
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 5 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Il SCI-GR è efficace – in un determinato momento - quando soddisfa i seguenti standard:
da comprensione della misura in cui si stanno conseguendo gli obiettivi operativi,
i bilanci pubblicati sono attendibili,
leggi e regolamenti vengono rispettati.
La valutazione di efficacia del SCI-GR è un giudizio soggettivo sulla sua presenza e funzionamento,
coerentemente con gli obiettivi aziendali: la determinazione degli obiettivi è quindi una
condizione irrinunciabile del controllo interno.
L’efficacia del SCI-GR ha intrinseche limitazioni date:
sia dal fatto che la gestione del rischio di impresa dipende giudizio umano e
sia che sono sempre possibili errori che possono portare a risposte inadeguate al rischio.
Inoltre, i controlli potrebbero essere aggirati con la collusione di due o più persone.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 6 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
I tre livelli di presidio al sistema di controllo interno e gestione dei rischi
Il presidio sul SCI-GR si articola normalmente su tre livelli a cui sono associati diverse
responsabilità e diversi strumenti, a complemento delle responsabilità di governo in capo agli
organi sociali di amministrazione e controllo.
CONTROLLI DI PRIMO LIVELLO
Sono i controlli insiti nei processi operativi predisposti e attuati dal management, nel rispetto
degli obiettivi e delle responsabilità del medesimo.
Consistono in controlli tipicamente di carattere procedurale, informatico, comportamentale,
amministrativo-contabile, ecc. diretti ad assicurare il corretto svolgimento delle operazioni, da
un punto di vista operativo e di business, di rischio e normativo.
Banca d’Italia5 suggerisce che siano, per quanto possibile, incorporati nelle procedure
informatiche.
Sono i controlli fondamentali, sui quali si basa il SCI-GR, e sono imprescindibili, per qualsiasi
dimensione aziendale ai fini della tenuta dell’intero sistema.
5 Banca d’Italia, “Nuove disposizioni di Vigilanza Prudenziale per le Banche”, edizione di Luglio 2013, pag- 7.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 7 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
CONTROLLI DI SECONDO LIVELLO
Sono controlli trasversali sui rischi e sulla conformità, svolti da funzioni di staff, che hanno
l'obiettivo di:
concorrere alla definizione delle metodologie di misurazione del rischio, verificare il
rispetto dei limiti assegnati alle varie funzioni operative e controllare la coerenza
dell'operatività delle singole aree produttive con gli obiettivi di rischio-rendimento
assegnati (Risk Management);
concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di
conformità, individuare idonee procedure per la prevenzione dei rischi rilevati e richiederne
l’adozione (Compliance);
attestare l’informativa contabile societaria secondo quanto previsto dalla legge (Dirigente
Preposto)
attestare l’efficienza e l’efficacia delle operazioni aziendali in relazione agli obiettivi
strategici, porre le basi per la pianificazione (Controllo di gestione)
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 8 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
CONTROLLI DI TERZO LIVELLO
Il terzo livello è l’Internal Audit, che fornisce l’assurance (la garanzia) sul disegno e sulla
funzionalità complessiva del sistema, attraverso valutazioni indipendenti.
Tale attività è condotta in via continuativa e sistematica, ma anche per eccezioni, da strutture
diverse e indipendenti da quelle produttive.
E’ considerata il facilitatore dei processi di risk assessment e allineamento a temi di compliance
in assenza di funzioni a ciò dedicate.
Elabora il piano di audit (ha autonomi poteri di iniziativa nella predisposizione del piano di
audit e nell’attivazione di singoli interventi) che deve tenere conto dei rischi rilevati e
analizzati da altre funzioni aziendali a ciò preposte, della percezione del management, delle
indicazioni degli organi di amministrazione e controllo.
Il piano di audit deve avere caratteristiche tali da coprire adeguatamente i principali rischi
aziendali e, in un arco di tempo ragionevole, tutto il perimetro aziendale rilevante.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 9 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
UN MODELLO DI RIFERIMENTO PER LA GESTIONE DEL SCI-GR: L’ENTERPRISE RISK MANAGEMENT (ERM)6
Nell’appendice “C” è esposta una sintesi del modello ERM. Nella trattazione odierna, approfondisco
solo alcune considerazioni sui componenti del sistema di controllo interno e di gestione dei rischi
come declinati nell’ERM.
Nel modello ERM, i componenti del sistema di controllo interno e di gestione dei rischi, tra loro
collegati, che servono come criteri per valutare l’efficacia del sistema sono:
Ambiente interno: rappresenta l’identità essenziale dell’organizzazione, contiene la filosofia
sul rischio, l’integrità, i valori etici e l’ambiente di lavoro. L’ambiente di controllo è un
elemento fondamentale della cultura di un’organizzazione, poiché determina il livello di
sensibilità del personale alla necessità di controllo. Parte dal commitment degli Organi
Sociali e del Vertice, costituisce il fondamento di tutti gli altri componenti del controllo
interno e fornisce disciplina e organizzazione. I fattori che influenzano l’ambiente di
controllo sono l’integrità, i valori etici e la competenza del personale; la filosofia e lo
stile del management; le modalità di delega delle responsabilità, la politica organizzativa e
di motivazione del personale; infine la dedizione del consiglio di amministrazione e la sua
capacità di indicare chiaramente gli obiettivi. In assenza di un adeguato Ambiente interno,
tutto il sistema vacilla.
6 il Modello ERM, Enterprise Risk Management, emesso nel 2004 dal Committee of Sponsoring Organizations, CoSO
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 10 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Definizione obiettivi: è necessario che il CdA definisca obiettivi compatibili e coerenti con
l’azienda e con le opportunità e i vincoli esterni ed interni.
Identificazione degli eventi: il management identifica gli eventi potenziali che, se si
verificano, incideranno sull’attività aziendale e determina se tali eventi rappresentano
opportunità oppure rischi.
Valutazione del rischio: la valutazione del rischio consente a un’azienda di misurare
l’incidenza di un evento potenziale sul conseguimento degli obiettivi. Gli eventi vanno
valutati da due prospettive diverse – probabilità e impatto – e normalmente viene impiegata
una combinazione di tecniche quantitative e qualitative.
Risposta al rischio: evitare il rischio, ridurre il rischio, accettare il rischio,
compartecipare al rischio. Devono essere valutati i costi e benefici delle varie strategie e
adottando quella che permette di ridurre il livello di rischio entro il termine di tolleranza
stabilito (dal CdA).
Attività di controllo: creare e applicare politiche e procedure di controllo per assicurare
efficace attivazione dei provvedimenti che il management ritiene necessari per ridurre i
rischi connessi alla realizzazione degli obiettivi.
Informazioni e comunicazione: i sistemi di informazione e comunicazione consentono la raccolta
e lo scambio (verso il basso, verso l’alto e trasversale) delle informazioni per indurre una
corretta gestione e controllo. Le informazioni devono essere pertinenti, raccolte e diffuse
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 11 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
nella forma e nei tempi (la tempestività è fondamentale!) che consentono a ciascuno di
adempiere le proprie responsabilità.
Monitoraggio: il sistema deve essere monitorato, ai vari livelli, per verificarne
l’adeguatezza e l’efficacia, e per apportarvi le modifiche necessarie.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 12 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
I PRINCIPALI ATTORI DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI
Premessa
Nella Governance di una società gli organi di riferimento, nel modello tradizionale, sono il
Consiglio di Amministrazione e il Collegio Sindacale.
Il Consiglio di Amministrazione è l’organo supremo
di indirizzo strategico,
di definizione degli obiettivi,
di valutazione del livello di rischio accettabile e
di indirizzo sull’impostazione del Sistema dei controllo interno e di gestione dei rischi.
Gli Amministratori esecutivi (compreso l’Amministratore incaricato di sovraintendere al sistema dei
controlli) sono emanazione del Consiglio. In sintesi,
curano l’attuazione degli obiettivi strategici,
la definizione dell’architettura e la conduzione della gestione operativa e del SCIGR.
Anche per norma di autodisciplina, al proprio interno il Consiglio nomina Comitati consultivi - nel
caso di specie, il riferimento è al Comitato Controllo e Rischi - che lo supportino nell’istruzione
e nell’approfondimento propedeutico alle proprie decisioni.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 13 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Il Collegio Sindacale è l’organo di controllo, è il vertice della vigilanza. La sua attività parte
dalla vigilanza sull’operato del Consiglio di Amministrazione, a scendere. Il Collegio Sindacale
non entra nel merito delle scelte di amministrazione (sono gli Amministratori che esercitano la cd.
“business judgment rule”), ma vigila – tra l’altro - sulla legittimità sostanziale dell’operato del
Consiglio, ha poteri pervasivi di ispezione controllo ed esercita attività di stimolo e denuncia,
con il fine di indurre una corretta gestione (“promuovere gli interventi di amministratori e
management”).
* * * * * * *
Da quanto sopra emerge la grande differenza tra l’attività del Consiglio di Amministrazione (e dei
suoi Comitati), che è essenzialmente di valutazione e decisione - principalmente di merito – sugli
obiettivi, sulle principali questioni strategiche e operative, sull’adeguatezza degli assetti e del
SCI-GR, e quella del Collegio Sindacale che svolge solo attività di vigilanza, senza entrare nel
merito e senza alcun potere operativo, ma che può esercitare un forte impulso: ha poteri/doveri di
attivarsi nei confronti degli organi sociali (amministratori esecutivi, consiglio e assemblea), ed
eventualmente accedendo all’esterno (Tribunale, Consob e organismi di vigilanza in generale) al
fine di interessare e “forzare” le valutazioni e i necessari interventi e misure correttive.
Questa impostazione è, a mio parere, migliore sia del modello anglosassone che degli altri modelli di Amministrazione e controllo (dualistico e monistico) perché separa l’indirizzo strategico dal controllo, riducendo significativamente il rischio di un conflitto di interessi tra controllore e controllato (migliorando quindi un elemento fondamentale dei sistemi di controllo, che è la segregation of duties).
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 14 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 15 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
L’articolo 7 del Codice di Autodisciplina 2011 indica in dettaglio gli attori del SCI-GR
specificando per ognuno i relativi compiti.
Consiglio di amministrazione (CdA)
In quanto organo di supervisione strategica, svolge un ruolo di indirizzo e di valutazione
dell’adeguatezza del SCI-GR. In particolare:
definisce la natura e il livello di rischio compatibile con gli obiettivi strategici
dell’emittente7;
definisce le linee di indirizzo del SCI-GR, in modo che i principali rischi risultino
correttamente identificati, misurati, gestiti e monitorati;
valuta l’adeguatezza e l’efficacia del SCI-GR8;
nomina e revoca il responsabile della funzione di internal audit9, che dipende gerarchicamente
dal medesimo CdA;
approva il piano di audit10.
Il Consiglio di amministrazione inoltre11 individua al suo interno:
7 Articolo 1, Criterio 1.C.1 b) del Codice di Autodisciplina 2011 8 valuta, con cadenza almeno annuale, l’adeguatezza e l’efficacia del SCI-GR rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto 9 su proposta dell’amministratore incaricato del SCI-GR e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio sindacale, nomina e revoca il responsabile della funzione di internal audit, assicura che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie responsabilità e ne definisce la remunerazione coerentemente con le politiche aziendali. 10 approva, con cadenza almeno annuale, il piano di audit predisposto dall’internal audit, sentiti il collegio sindacale e l’amministratore incaricato del SCI-GR.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 16 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
- Uno o più amministratori incaricati del sistema di controllo interno e di gestione dei rischi12;
- Un comitato controllo e rischi (CCR), composto da amministratori indipendenti.
Amministratore incaricato del SCI-GR
E’ un amministratore esecutivo, incaricato dell’istituzione e del mantenimento di un efficace SCI-
GR. In particolare:
cura l’identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche
delle attività svolte, e li sottopone periodicamente all’esame del CdA;
dà esecuzione alle linee di indirizzo definite dal CdA, curando la progettazione, realizzazione
e gestione del SCI-GR e verificandone costantemente l’adeguatezza e l’efficacia13.
11 il Codice di Autodisciplina prevede inoltre che (i) descrive, nella relazione sul governo societario, le principali caratteristiche del SCI-GR, esprimendo la propria valutazione sull’adeguatezza dello stesso; (ii) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale. 12 Il CdA, laddove una simile scelta risulti coerente con le caratteristiche dell’impresa, può decidere di disimpegnare tali attività istruttorie direttamente, senza cioè la costituzione di un apposito comitato, illustrando analiticamente le motivazioni di tale scelta nella relazione sul governo societario e sottoponendola a periodica revisione 13 Inoltre, sempre da Codice di Autodisciplina, (i) si occupa dell’adattamento di tale sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare; (ii) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell’esecuzione di operazioni aziendali, dandone contestuale comunicazione al presidente del CdA, al presidente del CCR e al presidente del collegio sindacale; (iii) riferisce tempestivamente al CCR (o al CdA) in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque notizia, affinché il comitato (o il consiglio) possa prendere le opportune iniziative.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 17 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Comitato controllo e rischi (CCR)
Ha il compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni
del CdA relative al SCI-GR14. In particolare:
esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi
aziendali;
esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo
interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione
internal audit;
monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal
audit15.
Responsabile della funzione di internal audit
Riveste una posizione centrale nel SCI-GR, in quanto – come detto - è investito dell’attività di
controllo “di terzo livello”16. Possiede autonomi poteri di iniziativa e dipende gerarchicamente
esclusivamente dal CdA. In particolare:
14 nonché quelle relative all’approvazione delle relazioni finanziarie periodiche 15 Inoltre, da Codice di Autodisciplina, (i) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato; (ii) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al presidente del collegio sindacale; (iii) riferisce al CdA, almeno semestralmente, in occasione dell’approvazione della relazione finanziaria annuale e semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno e di gestione dei rischi. 16 La funzione di internal audit, nel suo complesso o per segmenti di operatività, può essere affidata a un soggetto esterno all’impresa, purché dotato di adeguati requisiti di professionalità, indipendenza e organizzazione.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 18 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
verifica l’operatività e l’idoneità del SCI-GR, attraverso un piano di audit, approvato dal CdA,
basato su un processo strutturato di analisi e prioritizzazione dei principali rischi;
non è responsabile di alcuna area operativa;
ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico;
predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle
modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani definiti
per il loro contenimento. Nelle relazioni periodiche, l’audit esprime la propria valutazione
sull’idoneità del SCI-GR;
predispone tempestivamente relazioni su eventi di particolare rilevanza;
trasmette – di norma in modo contestuale - le relazioni predisposte ai presidenti del CdA, del
Collegio Sindacale, del CCR e nonché all’amministratore incaricato del SCI-GR;
verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i
sistemi di rilevazione contabile.
Collegio sindacale
Il Collegio Sindacale rappresenta il vertice del sistema di vigilanza.
Il Collegio Sindacale vigila sull’adeguatezza del SCI-GR, avendo assunto informazioni e flussi in
via sistematica dai responsabili dei controlli di secondo e terzo livello, e di ogni altra
informazione ritenuta rilevante. Più in dettaglio, il compito del Collegio Sindacale si estrinseca
mediante:
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 19 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
l’acquisizione della conoscenza e poi il monitoraggio dello stato del sistema dei controlli,
sempre da una posizione di sintesi e apicale;
vigilando sull’Ambiente interno, con particolare riferimento al commitment del CdA e del Vertice
dell’impresa;
mediante sessioni periodiche e flussi informativi dai principali attori del sistema: le funzioni
di internal audit, compliance, risk management, controllo di gestione, dirigente preposto alla
redazione dei documenti contabili, revisore legale, organismo di vigilanza ex d.lgs. n.
231/2001, ecc.;
prendendo conoscenza e approfondendo le criticità e le carenze, le modalità e i tempi di
risoluzione delle problematiche, il buon fine delle attività di follow-up, l’adeguatezza e il
funzionamento delle strutture di controllo; in generale “promuovendo gli interventi correttivi
delle carenze e delle irregolarità rilevate”17.
17 Banca d’Italia, op.cit. pagina 16.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 20 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Appendice “A” – Il SCI-GR nella Normativa e nell’Autodisciplina
Il Legislatore nazionale e l’Autodisciplina hanno introdotto obblighi di disclosure sul sistema di controllo interno e sulle modalità di gestione dei rischi aziendali. I riferimenti più rilevanti in tale ambito sono:
• Il Testo Unico della Finanza (D.Lgs. 58/1998) e successive modifiche e integrazioni richiede che nella relazione sulla gestione allegata al bilancio:
– sia data informativa dei principali rischi e incertezze (art. 154 ter);
– sia data informativa sulle principali caratteristiche dei sistemi di gestione dei rischi e di controllo interno esistenti in relazione al processo di informativa finanziaria (art. 123 bis).
• L’art. 2428 del Codice Civile: stabilisce che il bilancio debba “essere corredato da una relazione degli amministratori contenente [...] una descrizione dei principali rischi e incertezze cui la società è esposta”.
• Il D.Lgs. 39/2010, intervenuto sul Codice Civile, prevede che il collegio sindacale vigili sull'efficacia dei sistemi di controllo interno e di gestione del rischio.
• Il D.Lgs. 231/2001 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”), introducendo la responsabilità amministrativa e penale degli enti ha contribuito a promuovere processi di identificazione e valutazione del rischio di commissione di specifiche fattispecie di reato e soprattutto una cultura di risk management a tutti i livelli aziendali.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 21 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Il Codice di Autodisciplina (dicembre 2011) che sottolinea la centralità del rischio nel sistema di controllo. Numerosi aspetti costituiscono utili spunti di riflessione anche per aziende non quotate: 1. Centralità del rischio – 7.P.1, 7.P.2. Sottolinea la centralità del “rischio” nel sistema dei
controlli e rafforza l’attenzione al risk management quale strumento gestionale per contribuire a una conduzione sana dell’ impresa coerente con gli obiettivi strategici e all’assunzione di decisioni consapevoli
2. Sistema dei controlli unico e integrato – 7.P.3. Rafforza il principio di unicità del sistema, esplicitando l’opportunità di prevedere modalità di coordinamento tra i diversi soggetti al fine di massimizzare l’efficienza del sistema di controllo interno e di gestione dei rischi e di ridurre la duplicazione delle attività.
3. Politiche di gestione dei rischi riflesse nelle remunerazioni – 6.P.4, 6.C.1, 6.C.3. E stato introdotto il criterio secondo cui componenti fisse e variabili della remunerazione di amministratori e dirigenti debbano essere adeguatamente bilanciate anche in funzione della politica di gestione dei rischi.
4. Funzioni di controllo di secondo livello – 7.P.1, commento art. 7
Chiarimento dei ruoli – 7.C.1, 7.C.2, commento art. 8. Sono stati chiariti i ruoli di competenza tra il Comitato controllo e rischi (supporto alle decisioni e valutazioni gestionali del CdA sul sistema di controllo interno e di gestione dei rischi) e il Collegio Sindacale (vigilanza sull’efficacia del sistema di controllo interno e di gestione dei rischi)
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 22 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Appendice “B” - UN MODELLO DI RIFERIMENTO DI GESTIONE DEL SCI-GR: L’ENTERPRISE RISK MANAGEMENT (ERM)
Definizione del CoSO ERM Framework del 2004.
“L’ERM è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri
operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta
l’organizzazione e progettato per:
individuare eventi potenziali che possono influire sull’attività aziendale;
gestire il rischio entro i limiti del rischio accettabile;
fornire una ragionevole sicurezza sul perseguimento degli obiettivi aziendali.”
L’ERM consente al management un’efficace ed efficiente gestione delle condizioni di incertezza e
dei relativi rischi ed opportunità, con conseguente possibilità di salvaguardia o di creazione di
valore
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 23 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Le caratteristiche dei sistemi di ERM
L’ERM deve coinvolgere ogni area della società in un processo continuo e necessita di un forte
commitment dei vertici.
1. Inclusione di tutte le categorie di rischio (all risk categories included), strategici, finanziari, operativi, di conformità
2. Focalizzazione su un numero limitato di rischi (key risk focus), in particolare su quelli con il maggiore impatto potenziale sul valore e sulle attività dell’azienda;
3. Integrazione nella gestione dei rischi (integrated across risk types) 4. Gestione del rischio
L’ERM permette di:
allineare la strategia al rischio accettabile
migliorare la risposta ai rischi individuati
ridurre gli imprevisti e le perdite conseguenti
identificare e gestire i rischi correlati e multipli
identificare le opportunità
migliorare l’impiego del capitale
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 24 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Il COSO – ERM: un modello di Sistema di controllo interno
Strategici Obiettivi relativi alla mission aziendale
Operativi
Obiettivi relativi all’efficienza e efficacia delle attività operative aziendali
Reporting Obiettivi relativi all’attendibilità dei report interni ed esterni
Conformità Obiettivi relativi all’osservanza delle leggi e dei regolamenti
Ambiente interno Modalità in cui il rischio è considerato e affrontato (filosofia di risk management)
Definizione degli obiettivi
Gli obiettivi devono essere coerenti con la missione aziendale e allineati al rischio accettabile
Identificazione degli eventi
Identificazione degli eventi che originano rischi e opportunità
Valutazione del rischio
Metodologie per valutare l’impatto e la probabilità dei rischi
Risposta al rischio
Metodologia con cui è identificata la reazione da adottare in risposta ai rischi identificati
Attività di controllo
Politiche e procedure per assicurare che le risposte al rischio siano efficacemente eseguite
Informazioni e comunicazione
Le informazioni devono essere raccolte e diffuse affinché ciascuno possa adempiere alle proprie responsabilità
Monitoraggio Verifica l’adeguatezza del sistema di ERM
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 25 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
I componenti dell’ERM
I componenti del sistema di controllo interno (e di gestione dei rischi), tra loro collegati, che
servono come criteri per valutare l’efficacia del sistema sono:
Ambiente interno: rappresenta l’identità essenziale dell’organizzazione, contiene la filosofia
sul rischio, l’integrità, i valori etici e l’ambiente di lavoro. L’ambiente di controllo è un
elemento importantissimo della cultura di un’organizzazione, poiché determina il livello di
sensibilità del personale alla necessità di controllo. Esso costituisce le fondamenta di tutti
gli altri componenti del controllo interno e fornisce disciplina e organizzazione. I fattori che
influenzano l’ambiente di controllo sono l’integrità, i valori etici e la competenza del
personale; la filosofia e lo stile del management; le modalità di delega delle responsabilità,
la politica organizzativa e di motivazione del personale; infine la dedizione del consiglio di
amministrazione e la sua capacità di indicare chiaramente gli obiettivi.
Definizione obiettivi: la consapevolezza e la declinazione di questi elementi è la base sulla
quale si sviluppa il sistema di controllo. Ogni azienda deve affrontare una varietà di rischi,
di origine interna ed esterna, che devono essere valutati. Prima di procedere a questa
valutazione è necessario definire obiettivi compatibili e coerenti.
Identificazione degli eventi: Il management identifica gli eventi potenziali che, se si
verificano, incideranno sull’attività aziendale e determina se tali eventi rappresentano
opportunità oppure rischi, che possono pregiudicare la capacità dell’azienda di realizzare la
strategia e di conseguire gli obiettivi stabiliti. Eventi con impatto negativo rappresentano
rischi, eventi con impatto positivo rappresentano opportunità.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 26 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Valutazione del rischio: la valutazione del rischio consente a un’azienda di misurare
l’incidenza di un evento potenziale sul conseguimento degli obiettivi. Il management valuta gli
eventi da due prospettive diverse – probabilità e impatto – e normalmente impiega una
combinazione di tecniche quantitative e qualitative.
Risposta al rischio: Il management, dopo aver valutato i rischi, determina come rispondere a
essi. Le risposte includono:
- Evitare il rischio
- Ridurre il rischio
- Accettare il rischio
- Compartecipare al rischio
Per scegliere l’opzione migliore, il management valuta costi e benefici delle varie strategie e
adotta quella he permette di ridurre il livello di rischio entro il termine di tolleranza
stabilito.
Attività di controllo: creare e applicare politiche e procedure di controllo per assicurare
efficace attivazione dei provvedimenti che il management ritiene necessari per ridurre i rischi
connessi alla realizzazione degli obiettivi. le attività di controllo si possono definire come
l’applicazione delle politiche e delle procedure che garantiscono al management che le sue
direttive siano attuate. Esse assicurano l’adozione dei provvedimenti necessari per far fronte
ai rischi che potrebbero pregiudicarne la realizzazione degli obiettivi aziendali. Le attività
di controllo si attuano in tutti i livelli gerarchici e funzionali della struttura
organizzativa. Tali attività includono un insieme di attività diverse, come approvazioni,
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 27 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
autorizzazioni, verifiche, raffronti, esame della performance operativa, protezione dei beni
aziendali e separazione dei compiti. Le attività di controllo si basano su politiche (ciò che
serve fare) e procedure (realizzazione pratica delle politiche).
Informazioni e comunicazione: i sistemi di informazione e comunicazione consentono la raccolta e
lo scambio (verso il basso, verso l’alto e trasversale) delle informazioni per indurre una
corretta gestione e controllo. Le informazioni pertinenti devono essere identificate, raccolte e
diffuse nella forma e nei tempi che consentono a ciascuno di adempiere le proprie
responsabilità. I sistemi informativi producono rapporti contenenti dati operativi, contabili e
relativi al rispetto degli obblighi legali e regolamentari, che permettono di gestire e
controllare l’attività aziendale. Questi sistemi trattano non solo i dati prodotti internamente
dall’azienda, ma anche quelli relativi a eventi, attività e situazioni esterne, necessari per
prendere decisioni circostanziate e predisporre le informazioni di bilancio.
Monitoraggio: il sistema deve essere monitorato, ai vari livelli, per verificarne l’adeguatezza
e l’efficacia, e per apportarvi le modifiche necessarie. i sistemi di controllo interno e hanno
bisogno di essere “monitorati”: una funzione diretta a valutare nel tempo la qualità della loro
performance. Ciò si concretizza in attività di supervisione continua, in valutazioni periodiche
oppure in una combinazione dei due metodi. La supervisione continua si esplica nel quadro della
gestione corrente. Essa include normali attività di controllo effettuate dal management e da
quadri, nonché altre iniziative assunte dal personale nello svolgimento delle proprie mansioni.
La portata e la frequenza delle valutazioni periodiche dipenderà principalmente dalla
valutazione dei rischi e dall’efficacia delle procedure di supervisione. Le carenze del
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 28 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
controllo interno dovranno sempre essere segnalate ai superiori e, nei casi più gravi, ai
massimi vertici aziendali e al consiglio di amministrazione
L’implementazione del sistema di ERM FASE 1- CONDIVISIONE DEGLI OBBIETTIVI: Identificazione e rilevazione delle strategie e degli obiettivi definiti dal Management FASE 2 – IDENTIFICAZIONE DEI RISCHI Identificazione dei rischi possibili esistenti in relazione al raggiungimento delle strategie e degli obiettivi FASE 3 – VALUTAZIONE DEI RISCHI I rischi, così identificati, devono essere valutati secondo i parametri di:
Probabilità di accadimento Impatto in termini quali-quantitativi
FASE 4 – DEFINIZIONE DELLA STRATEGIA DI ERM In base alle valutazioni di rischio fatte precedentemente occorre predisporre la strategia di ERM, che consiste nell’identificare quali operazioni:
Accettare Trasferire Mitigare Evitare
FASE 5 - MONITORAGGIO E REPORTING Monitoraggio periodico del portafoglio rischi per valutarne la dinamica e per verificare l’efficacia delle risposte predisposte.
……………………………………………………………………………………………………………………………………………………................................
…………………………………………………………………………………………………………………………………………………… 29 │febbraio 2014 │ I l Sistema dei Controll i : Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale
grafica contenuti e layout di tutte le pagine sono di esclusiva proprietà dell'autore. salvo preventiva autorizzazione scritta, è vietata la riproduzione, anche parziale e con qualsiasi mezzo dei suddetti testi e materiale
Le principali motivazioni alla base dell’introduzione di modelli di ERM, sono:
• la salvaguardia della reputazione e dell’immagine aziendale;
• il rafforzamento dei processi di pianificazione strategica mediante l’utilizzo di informativa sui rischi (minacce ed opportunità) in grado di indirizzare meglio le scelte di business;
• la riduzione della volatilità dei risultati;
• lo sviluppo di processi decisionali “informati” in una logica “risk adjusted”;
• il contenimento delle perdite anche attraverso un processo strutturato di mappatura degli eventi che le hanno determinate;
• la valorizzazione delle opportunità di investimento attraverso un approccio di “risk opportunity” (finalizzato alla remunerazione del rischio) e non solo di “risk mitigation” (finalizzato alla riduzione del rischio);
• il miglioramento del merito di credito da parte delle agenzie di rating;
• la riduzione dei costi di assicurazione e di hedging attraverso una più chiara identificazione dell’esposizione al rischio e conseguente ottimizzazione delle coperture;
• l’ottimizzazione dei costi di compliance mediante la riduzione di sovrapposizioni e/o duplicazioni;
• la responsabilizzazione (“accountability”) a tutti i livelli aziendali sul governo dei rischi attraverso il rafforzamento della cultura di risk management e la creazione di maggiore consapevolezza del management e dei dipendenti sull’esposizione al rischio e sulle opportunità da cogliere.