home / Archivio / Fascicolo / Il sistema di controllo interno tra compliance normativa e attività gestionale
indietro stampa articolo indice fascicolo leggi articolo leggi fascicolo
Il sistema di controllo interno tra compliance normativa e attività gestionale
Francesco Chiappetta
Articoli Correlati: sistemi di controllo interno - riorganizzazione attività di impresa - valutazione - gestione - rischio - amministratore/i
Sommario:
1. Premessa: l’approccio culturale al tema del controllo interno. - 2. Il sistema di controllo interno come momento dell’organizzazione d’impresa. - 3. Il sistema di controllo interno alla prova dei fatti: l’esperienza del Gruppo Pirelli. - 4. Il sistema di controllo interno: mappatura, valutazione e “gestione” dei rischi. - 5. Un concreto modello di governo dei rischi: il “modello” Pirelli. - 6. Il sistema di controllo interno: gli organi e gli organismi deputati alla verifica. - 7. Il sistema di controllo interno e l’Amministratore Esecutivo addetto. - 8. Il sistema di controllo interno: alcune brevi considerazioni finali.
1. Premessa: l’approccio culturale al tema del controllo interno.
Il controllo interno – e ancor più precisamente il c.d. “sistema di controllo interno” – costituisce argomento delicato ma soprattutto insidioso, perché confuso tra prospettiva aziendalistica e prospettiva giuridica, perché di moda anche se non propriamente attraente e fors’anche noioso, perché estremamente tecnico e quindi un po’ da iniziati o “chierici”. Quindi argomento che suscita dibattito, si colora di slogan, talora suscita invettive, spesso è pieno di luoghi comuni. Invero, al vertice, c’è un approccio al tema, direi di tipo culturale, a mio avviso nient’affatto condivisibile. Cerco di spiegarmi partendo dal documento “Analisi dello stato di attuazione del Codice di autodisciplina delle società quotate 2012” di Assonime ed Emittenti Titoli. Si tratta invero, pure nella ricchezza di contenuti, di un’analisi con riferimento ai controlli interni tutta incentrata su temi esclusivamente strutturali. Ad esempio, vengono riportate le percentuali delle società che hanno individuato un Amministratore incaricato di sovrintendere al sistema di controllo interno; ancora, è rappresentata: la percentuale di società che hanno indicato nelle loro relazioni sul governo societario di aver istituito una funzione Internal Audit; informazioni numeriche sulla composizione del Comitato per il controllo interno [continua ..]
» Per l'intero contenuto effettuare il login inizio
2. Il sistema di controllo interno come momento dell’organizzazione d’impresa.
È stato rilevato da più parti, che il sistema di controllo interno non ha una propria definizione legislativa, né risulta regolato, a livello di normativa primaria, da una disciplina di carattere generale. Vero è però che il sistema di controllo interno è un’architettura organizzativa composita e, per definizione, in itinere, rispetto alla quale qualsivoglia disciplina con ambizioni di generalità, organicità e completezza, rischia di essere vuoi “in ritardo” vuoi (sempre) incompleta. Il primo punto da sottolineare ad ogni modo, a mio giudizio, è che il sistema di controllo interno è primariamente momento e strumento “gestionale”; momento, perché è parte precipua dei doveri degli amministratori di predisporre l’organizzazione e che la stessa sia adeguata; strumento, perché è il modo per avere completa visibilità prima e intervenire poi sull’organizzazione. Per questa ragione, il “sistema di controllo interno” non può esaurirsi in un fenomeno di “compliance” a prescrizioni normative (siano esse di legge o di autodisciplina), configurandosi piuttosto come attività organizzativa vero e propria; un modo, quindi, con cui viene conformata l’attività di impresa: nel suo momento statico – strutturale, dunque – ma anche dinamico. [continua ..]
» Per l'intero contenuto effettuare il login inizio
3. Il sistema di controllo interno alla prova dei fatti: l’esperienza del Gruppo Pirelli.
Ebbene, qual è l’esperienza sul campo, ex latere azienda? E si tratta di dato fondamentale, se è corretto, come profondamente credo, l’insegnamento vivantiano circa l’essere il diritto una scienza dell’osservazione. Non esito a dire, sotto questo punto di vista, che in Pirelli il sistema di controllo interno permea tutta l’attività di impresa – dal momento “iniziale” dell’acquisto delle materie prime a quello “finale” della vendita del prodotto finito, passando per il momento della trasformazione delle materie prime stesse. In concreto, questo ha voluto dire, e continua a voler dire, in primo luogo, formalizzare in uno specifico documento valori e principi ai quali tutti coloro che operano nella (o comunque per l’)impresa sono tenuti a uniformarsi nello svolgimento della loro attività (in Pirelli, tutto ciò è compendiato nei documenti chiamati “Codice Etico” e “Linee di Condotta”). Ancora, ha voluto – e vuol dire – predisporre procedure e implementare processi che scandiscono le attività correnti (di business) alla luce di alcuni principi base, segnatamente quelli di a) separazione dei ruoli nei singoli processi gestionali; b) tracciabilità delle scelte; c) effettuazione delle scelte stesse in base a criteri oggettivi (quanto più possibile, almeno). Tipico esempio, in [continua ..]
» Per l'intero contenuto effettuare il login inizio
4. Il sistema di controllo interno: mappatura, valutazione e “gestione” dei rischi.
In secondo luogo, la definizione di un adeguato (e direi effettivamente, non solo dichiaratamente, adeguato) sistema di controllo interno (inteso quale insieme strutturato di principi, regole, procedure e processi aziendali) passa attraverso un’accurata valutazione dei rischi (lo dico subito: non solo i rischi di violazione di prescrizioni normative – c.d. “rischi di compliance” – bensì tutti i rischi che riguardano l’impresa e il modo di condurla). E ciò perché fondamentale metro valutativo della efficacia del sistema di controllo interno è proprio la capacità di “prevenire” (anche evitandoli), “mitigare” e, in generale, “governare” i rischi. La categoria dei rischi aziendali – è cosa risaputa – è quanto mai ampia e variegata, e non certo limitata (pure naturalmente includendoli) ai rischi appunto di “compliance” (quali: il rischio di non conformità dei comportamenti dell’azienda alla normativa in materia di antitrust; a quella sulla privacy; a quella sulla salute e sicurezza sui luoghi di lavoro; alla c.d. “231”), riguardando più in generale: a) l’efficacia e l’efficienza delle operazioni (rischio operativo); b) l’attendibilità dei dati contenuti nell’informazione al mercato; c) le strategie adottate (c.d. rischio strategico); d) il [continua ..]
» Per l'intero contenuto effettuare il login inizio
5. Un concreto modello di governo dei rischi: il “modello” Pirelli.
Tutte le sovraesposte considerazioni sono alla base del “modello” Pirelli di governo dei rischi, da ultimo rivisto e aggiornato lo scorso anno. Un modello le cui caratteristiche portanti risiedono nell’essere: a) “value driven”, in quanto i rischi sono qualificati come significativi, e pertanto oggetto di analisi e intervento, in relazione alla loro capacità di pregiudicare il raggiungimento degli obiettivi strategici di Gruppo delineati nel Piano Strategico ovvero di intaccare gli asset aziendali “critici” (c.d. key value driver); b) “top-down”, in quanto è il top management che svolge un’azione di indirizzo nella identificazione delle aree di rischio prioritarie e degli eventi di rischio a maggior impatto per il business; c) soprattutto, di tipo quantitativo, fondato, in altri termini, su una misurazione puntuale degli impatti dei rischi sul risultato economico e finanziario atteso. I rischi, cioè, vengono misurati e valutati in relazione ai loro possibili (e pre-determinati) effetti su alcuni specifici indicatori economico-finanziari (PBIT, Cash Flow; andamento in borsa del titolo Pirelli). Un modello, peraltro, pienamente inserito nella governance Pirelli, posto che vede il coinvolgimento diretto degli organi sociali così come del Top e del senior management e dei dipendenti tutti più in generale. Un ruolo centrale è attribuito invero al Consiglio di [continua ..]
» Per l'intero contenuto effettuare il login inizio
6. Il sistema di controllo interno: gli organi e gli organismi deputati alla verifica.
L’ultimo aspetto saliente del sistema di controllo interno di un’azienda – ultimo beninteso in termini logici e funzionali, non di importanza – è costituito dall’attività (con i correlativi strumenti) di verifica. L’attività di verifica è realizzata, innanzitutto, istituendo ai diversi livelli organizzativi controlli specifici nell’ambito delle attività operative al fine di prevenire, individuare e correggere eventuali irregolarità o inadempienze. In Pirelli, ad esempio, è stato adottato uno specifico sistema di “attestazione” informatica dei processi, al fine di verificare che siano state correttamente eseguite di volta in volta le operazioni di rilevazione e iscrizione di un ricavo, di un costo, di una nota di credito, ecc. In secondo luogo, un ruolo significativo in materia è svolto dall’Internal Audit, che ha il compito principale di valutare adeguatezza e funzionalità dei processi di controllo nell’ambito dell’intera Pirelli. L’attività dell’Internal Audit si sviluppa attraverso un apposito piano, che peraltro è definito proprio partendo dall’attività di risk assessment innanzi ilustrata. Ma l’attività di internal audit non si concreta tuttavia – è opportuno sottolinearlo – in attività ispettive, per giunta di tipo [continua ..]
» Per l'intero contenuto effettuare il login inizio
7. Il sistema di controllo interno e l’Amministratore Esecutivo addetto.
Alcune considerazioni finali vanno a questo punto dedicate all’amministratore delegato dal Consiglio di Amministrazione a definire gli strumenti e le modalità di attuazione del sistema di controllo interno, in esecuzione degli indirizzi stabiliti dal Consiglio stesso. All’Amministratore “addetto” al controllo interno non è – né può anche solo astrattamente essere – rimesso un controllo sulle singole operazioni, posto che deve occuparsi della funzionalità complessiva del sistema e cioè che: le procedure siano in essere, l’architettura degli schemi di controllo sia impostata, i controlli siano effettuati e infine siano posti in essere rimedi là dove siano verificate criticità o debolezze, per evitare che tali criticità e debolezze possano pregiudicare (o incidere comunque in modo negativo su) gli obiettivi strategici e gli asset critici dell’impresa.
» Per l'intero contenuto effettuare il login inizio
8. Il sistema di controllo interno: alcune brevi considerazioni finali.
Ventuno