L ATTIVITÀ DI INTERNAL AUDIT IN UN GRUPPO INTERNAZIONALE IL CASO GUESS UNIVERSITÀ DEGLI STUDI DI FIRENZE FACOLTÀ DI ECONOMIA

Transcript

1 UNIVERSITÀ DEGLI STUDI DI FIRENZE FACOLTÀ DI ECONOMIA CORSO DI LAUREA SPECIALISTICA IN AMMINISTRAZIONE E CONTROLLO AVANZATO L ATTIVITÀ DI INTERNAL AUDIT IN UN GRUPPO INTERNAZIONALE IL CASO GUESS TESI DI LAUREA SPECIALISTICA IN REVISIONE AZIENDALE AVANZATA Relatore: Prof. Marco Mainardi Tutor: Prof. Fabrizio Rossi Tesi di laurea di: Alberto Lo Dico A.A. 2006/2007

2 Ai miei genitori

3 L attività di internal audit in un gruppo internazionale. Il caso Guess. INDICE Prefazione 5 Pag. CAPITOLO 1 L INTERNAL AUDIT NELLA GOVERNANCE AZIENDALE Pag. 1. Introduzione 7 2. La voglia dell internal auditing in Italia L evoluzione dell attività di internal auditing La definizione dell attività di internal auditing 15 CAPITOLO 2 IL CONTESTO NORMATIVO Pag. 1. Introduzione Il Foreign Corrupt Practice Act: brevi cenni Il Sarbanes-Oxley Act, il più grande cambiamento nella corporate governance Il piano d azione dell Unione Europea: brevi cenni L autoregolamentazione internazionale: il Committee of Sponsoring Organizations Il contesto normativo italiano La normativa societaria Il D. Lgs. 58/1998, Testo Unico della Finanza La Legge sulla tutela del risparmio (Legge 28 Dicembre 2005, n. 262) 52

4 L attività di internal audit in un gruppo internazionale. Il caso Guess. Pag. 6.4 Il D. Lgs. 231/2001: la responsabilità amministrativa delle persone giuridiche e la compatibilità con l attività di internal auditing L autoregolamentazione in Italia Il Codice di Autodisciplina di Borsa Italiana 63 CAPITOLO 3 IL RUOLO DELL INTERNAL AUDIT E LE RELAZIONI CON GLI ORGANI DI CONTROLLO Pag. 1. Introduzione I rapporti con il consiglio di amministrazione I rapporti con il Comitato per il controllo interno (Audit Committee) I rapporti con il Collegio sindacale, il Consiglio di Sorveglianza o il Comitato per il controllo sulla gestione I rapporti con il revisore esterno o la società di revisione I rapporti con l Organismo di vigilanza in materia di D. Lgs. 231/ I rapporti con il Dirigente preposto alla redazione dei documenti contabili societari 91 CAPITOLO 4 LE METODOLOGIE DI REVISIONE INTERNA Pag. 1. Introduzione 93

5 L attività di internal audit in un gruppo internazionale. Il caso Guess. Pag. 2. Il processo di internal auditing secondo la metodologia tradizionale L approccio risk based Il Control & Risk Self Assessment (CRSA) Il ruolo dell internal auditor nell approccio CRSA Le metodologie utilizzate nel CRSA 143 CAPITOLO 5 IL GRUPPO GUESS: UN PLAYER MONDIALE Pag. 1. Il gruppo Guess L Internal Audit Department nel gruppo Guess La definizione del piano di audit I criteri per la determinazione del piano di audit Le diverse tipologie di auditing in Guess Europe L operational auditing Il compliance auditing L IT auditing Il fraud auditing L audit finanziario e contabile Il progetto di implementazione del Control & Risk Self Assessment (CRSA) nel gruppo Guess 210 Pag. Conclusioni 221 Pag. Bibliografia 224

6 RINGRAZIAMENTI Si ringrazia il Prof. Fabrizio Rossi per avermi indirizzato verso una grande esperienza professionale nel mondo dell Internal Audit. Un ringraziamento particolare va all Internal Audit Manager Giulio Salgaro, il cui aiuto è stato fonte di molteplici riflessioni ed ha fornito un grande stimolo alla realizzazione dell opera. Si ringrazia, inoltre, per il sostegno, tutto l Internal Audit Department del gruppo Guess.

7 L attività di internal audit in un gruppo internazionale. Il caso Guess. PREFAZIONE Negli ultimi anni l evoluzione del sistema impresa ha subito un accelerazione determinata da forti pressioni competitive, da un frenetico cambiamento tecnologico, da una continua ricerca dell efficienza e da nuove regole di corporate governance che disciplinano il funzionamento del mercato. Come conseguenza delle mutate responsabilità aziendali e dell introduzione di nuovi soggetti interessati al controllo interno (tra cui, ad esempio, l Audit Committee e la Funzione di Internal Audit), è nata una forte aspettativa da parte degli stakeholders aziendali, rispetto alla capacità dell azienda, ed in particolare del suo sistema di gestione dei rischi, di recepire le mutate esigenze, rendendole non una sommatoria di vincoli parzialmente sovrapposti, ma un modo innovativo di amministrare l azienda che, privilegiando l integrazione tra sistemi, intraprenda la via della riconquista della fiducia del mercato. La Funzione di Internal Audit, nell ambito dell equilibrio complessivo del sistema di governance aziendale, deve essere in grado di sviluppare opportune sinergie con i diversi interlocutori aziendali coinvolti a vario titolo nelle tematiche del controllo e del Risk Management. L esperienza svolta nell Internal Audit Department del gruppo Guess ha determinato un inevitabile arricchimento del bagaglio di conoscenze acquisito durante la carriera universitaria, stimolando allo stesso tempo un forte interesse verso l approfondimento della materia. Il contatto diretto con professionisti impegnati, capaci di affrontare livelli di complessità elevati e di mettersi in gioco su molteplici piani professionali, mi ha fatto comprendere che la formazione diviene un elemento strategico per lo svolgimento del proprio ruolo in maniera pienamente responsabile. 5

8 L attività di internal audit in un gruppo internazionale. Il caso Guess. Tale trattazione, di concerto con l esperienza sul campo, ha permesso di far chiarezza sui temi concernenti lo svolgimento dell attività di auditing ponendo attenzione: sulle trasformazioni che hanno interessato le modalità di svolgimento della professione, sul complesso contesto di regolamentazione societaria nazionale ed internazionale, nonché sui diversi strumenti di autoregolamentazione ed sulle tecniche e gli approcci metodologici che possono essere implementati. L Internal Audit Department del gruppo Guess, in virtù della sua recente costituzione (Maggio 2006), si presenta una scommessa stimolante per percorrere un sentiero di sviluppo che fornisca all organizzazione un valore aggiunto sempre più elevato. Nell ultima parte di questo studio è stato delineato un quadro generale delle differenti tipologie di auditing svolte dalla Funzione di Revisione Interna del gruppo Guess, determinando un costante e vivace connubio tra la teoria e il ricorso a risvolti pratici di natura operativa. Preme sottolineare, inoltre, come sia forte, nel gruppo Guess, la voglia di approdare, nel corso dei prossimi anni, verso approcci metodologici sempre più all avanguardia, quali l implementazione della metodologia del Control & Risk Self Assessment (CRSA), che costituirebbe uno dei più ambiti traguardi dell Internal Audit Dept. (raggiunti ancora troppo sporadicamente nel nostro Paese), al fine di favorire un progressivo cambiamento della cultura organizzativa e fornire al management valore aggiunto nel processo di pianificazione strategica e operativa. Università degli Studi di Firenze, Marzo, 2008 ALBERTO LO DICO 6

9 1. L Internal Audit nella governance aziendale CAPITOLO 1 L INTERNAL AUDIT NELLA GOVERNANCE AZIENDALE 1. INTRODUZIONE Il nuovo millennio si è incentrato sullo sviluppo e sull impiego di sistemi produttivi e finanziari attraversati da un forte sentimento di richiamo alla legalità e all etica del business. La storia nordamericana ed europea, a partire dagli anni Ottanta, ha visto l avvicendarsi di una serie di indagini giudiziarie e di inchieste parlamentari, a cui sono seguiti alcuni dei più grandi fallimenti. Fenomeni di diffusa illegalità hanno messo in luce la debolezza delle strutture e dei processi di controllo interno di molte aziende, inadeguati per assicurare ai conferenti di capitale proprio e di capitale di prestito, ai prestatori di lavoro, ai clienti e ai fornitori e ad altri portatori di interessi una gestione sana, imparziale e trasparente delle stesse aziende. Le illegalità commesse hanno riguardato soprattutto situazioni di falso nel bilancio e nelle informazioni dirette agli stakeholders, la creazione di fondi neri, il riciclaggio di denaro sporco, la corruzione delle autorità pubbliche tramite le cosiddette tangenti, gli abusi degli amministratori, manifesti conflitti d interesse e via dicendo. Di fronte al dilagare di queste prassi illegali, il pubblico, le autorità governative, le autorità tutorie, le associazioni di categoria, hanno manifestato pressanti richieste per una radicale riforma dei sistemi di controllo interno e degli assetti societari delle imprese e specialmente di 7

10 1. L Internal Audit nella governance aziendale quelle di dimensioni rilevanti, soprattutto se quotate in mercati regolamentati. In effetti, l ultimo ventennio è stato caratterizzato dall esplosione dei controlli in tutti i settori di attività economica e sociale. I sistemi di controllo infatti, costituiscono prima di tutto una questione culturale rappresentando un prodotto delle comunità in cui viviamo e del modo in cui una società cerca di trovare un bilanciamento tra fiducia e accountability 1. Le imprese, soprattutto quelle di più ampie dimensioni, stanno sperimentando cambiamenti strutturali e di mercato molto rilevanti, così che managers ed internal auditors si trovano a dover affrontare criticità sempre più complesse, fra le quali, in particolare: - l incremento dei rischi e dei costi di compliance normativa e, nel contempo, di competitività industriale; - la necessità di coniugare ed integrare strutture organizzative e sistemi informativi ai fini di aumentare la velocità e la qualità del processo decisionale, oltre che il livello dei controlli rispetto ai rischi impliciti nelle decisioni prese; - l aumento delle aspettative degli stakeholders e degli investitori circa la capacità dell impresa di identificare e di monitorare sempre più ampie categorie di rischi (es. etici, ambientali, ecc.), continuando comunque nella ricerca di nuove opportunità di business per assicurare livelli di redditività adeguata 2. Tutte queste complesse condizioni ambientali richiedono che la Funzione di Internal Audit si evolva verso più elevati livelli di performance, e tale 1 M. Power (1997), The Audit Society. Rituals of Verification, Oxford University Press Inc., New York; trad. It. La società dei controlli, a cura di Fabrizio Panozzo, Edizioni Comunità, Torino, Cfr. FORTUNATO S., Il contributo della funzione di internal audit alla gestione di impresa, Rivista dei Dottori Commercialisti. Giu. 2006, p

11 1. L Internal Audit nella governance aziendale evoluzione non sembra più procrastinabile visto il ruolo, meglio definito e più impegnativo, che il Codice di Autodisciplina, statuito dal Comitato per la Corporate Governance di Borsa Italiana, assegna a questa Funzione. Viene infatti statuito dal Codice 3 che l emittente istituisca una Funzione di Internal Audit, il cui responsabile di regola, venga identificato quale Preposto al controllo interno di cui all art. 150 del Tuf (D. Lgs. 58/1998). Quest ultimo, come sarà approfondito nel corso della trattazione, si identifica come una figura chiave che supporta il vertice nella responsabilità di valutare e monitorare i sistemi di governance, risk management e controllo interno dell organizzazione. L Internal Audit, pertanto, si presenta come un potenziale strumento per rispondere in maniera efficace ai diversi attori, rappresentando nel suo ruolo di assurance un denominatore comune alle esigenze di valutazione dell andamento del sistema d impresa in termini di controllo e risk management. Le aziende, oggi, sono alla continua ricerca di modelli di gestione dei rischi che assicurino la conduzione del processo di creazione del valore entro l alveo del rispetto delle norme interne ed esterne, secondo i limiti accettabili di rischiosità del business 4. È in quest ottica che l Internal Audit costituisce un supporto per la corporate governance, offrendo un prezioso contributo alla valutazione del sistema di governo strategico e operativo dell impresa e assumendo un atteggiamento proattivo per il suo miglioramento continuo. Tutto ciò determina lo sviluppo di una cultura del controllo interno, inteso non come un mero proliferare di controllori rispetto agli esecutori, ma come un sistema integrato d azienda ove le attività di controllo si coniugano con quelle di gestione del business. 3 E interessante notare che la precedente edizione del Codice di Autodisciplina ne contemplava solamente la possibilità dell istituzione di tale Funzione. 4 Cfr. MINCATO V. (Presidente Assonime) nella Prefazione a Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo

12 1. L Internal Audit nella governance aziendale 2. LA VOGLIA DELL INTERNAL AUDITING IN ITALIA 5 La voglia di Internal Auditing in Italia è cresciuta notevolmente negli ultimi anni, tanto che due terzi delle Funzioni di Internal Auditing attualmente esistenti sono state create solo dopo il Il Dipartimento di Ingegneria Gestionale del Politecnico di Milano, con la collaborazione dell AIIA, ha condotto una survey tra 364 società italiane riscontrando l adesione di 230 imprese di grandi e medie dimensioni, attive in diversi settori economici: tra cui, in particolare, quello bancario e assicurativo, commerciale, industriale e quello dei servizi. L analisi ha permesso così di tracciare un quadro complessivo della realtà italiana, evidenziando un effettiva diffusione tra le società italiane delle strutture di Internal Audit, che sono state istituite in 170 imprese su 230 (74 per cento); inoltre, è stato rilevato che, circa il 30 per cento delle aziende in cui tali strutture non sono presenti, ne ha programmato l adozione nel giro di qualche anno. In generale le Funzioni di Internal Audit sono risultate essere piuttosto recenti ed in molti casi esse sono state istituite nel corso dell ultimo decennio, sulla scia della crescente attenzione dedicata ai temi citati nel paragrafo precedente: infatti, il 41 per cento delle società ha introdotto una Funzione di Internal Audit negli ultimi 5 anni, il 20 per cento l ha creata tra 5 e 10 anni fa, mentre circa il 39 per cento delle società l ha introdotta più di 10 anni fa (Figura 1). 5 Cfr. ARENA M., AZZONE G., CASATI P., L irresistibile ascesa dell Internal Auditing in Italia, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006, p Nel condurre l analisi sulla diffusione della funzione di Internal Auditing facciamo riferimento ad un indagine condotta dal Politecnico di Milano e AIIA su oltre 350 aziende della penisola, di medie e grandi dimensioni, operanti in vari settori. 10

13 1. L Internal Audit nella governance aziendale Adozione delle strutture di Internal Audit 39% 26% 74% 20% 41% IA introdotto negli ultimi 5 anni IA introdotto tra 5 e 10 anni fa IA introdotto oltre 10 anni fa NO strutture IA Fig. 1 Tra le realtà aziendali che hanno adottato tale Funzione, vista la rilevante diffusione in Italia dei gruppi industriali negli ultimi anni, è interessante soffermarci brevemente sul modello organizzativo adottato in questi casi, per capire come vengono strutturate le Funzioni di Internal Audit e quale sia il loro posizionamento. La maggior parte dei gruppi italiani (circa il 64%) ha adottato un modello centralizzato, istituendo in seno alla capogruppo una Funzione di Internal Audit che svolge attività di auditing per tutte le altre società. E risultata abbastanza comune (circa il 35%) anche la pratica di creare delle strutture di Internal Audit nelle diverse società del gruppo, il cui operato viene coordinato e verificato da una Funzione istituita nella capogruppo. Al contrario solo pochi gruppi di 11

14 1. L Internal Audit nella governance aziendale grandi dimensioni hanno creato delle società ad hoc per svolgere attività di auditing in tutte le aziende. (Figura 2 7 ). Modello Organizzativo 15% 49% 1% 35% Soluzione mista Diffuso Con delega Centralizzato Fig. 2 Considerando il dimensionamento delle strutture di Internal Audit, si rileva che spesso il numero di internal auditors presenti è piuttosto limitato. Prevalgono infatti le Funzioni composte solamente da due o tre persone: nel 60% delle società (96 su 160) e nel 50% dei gruppi (55 su 107) non ci sono più di 5 internal auditors (Tabella 1). Anche in questo caso, tuttavia, si sta registrando un trend in crescita: nell ultimo anno infatti il numero degli internal auditors è stato incrementato nel 40% delle aziende, mentre solo nel 9% dei casi si è registrata una riduzione dell organico. Infine, facendo riferimento al numero medio di internal auditors, a livello sia di società, sia di gruppo, non si rilevano differenze macroscopiche tra le 7 Modello centralizzato: le strutture di Internal Audit sono collocate nella capogruppo e svolgono attività di internal auditing anche per le altre società del gruppo; Modello con delega o consortile: viene costituita una società che svolge attività di internal auditing per l intero gruppo; Modello diffuso: vengono costituite Funzioni di IA, sostanzialmente autonome, in diverse società del gruppo; Soluzione mista: vengono costituite strutture di internal audit sia nella capogruppo sia nelle altre società del gruppo e il dipartimento di IA della società capogruppo dirige e coordina l attività delle altre Funzioni. 12

15 1. L Internal Audit nella governance aziendale aziende appartenenti alle classi di fatturato comprese tra i 100 e i milioni di euro: tale dato varia tra i 6 e 10 internal auditor per le società e 14 e 20 internal auditors per i gruppi, mentre cresce in modo significativo nelle società e nei gruppi di grandissime dimensioni (fatturato superiore a milioni di euro). Tale andamento suggerisce l esistenza di una soglia minima di risorse necessarie per svolgere attività di auditing indipendentemente dal volume complessivo di attività, almeno a determinati livelli di fatturato 8. Tabella 1: Internal Auditors (IAs) società e gruppi Fatturato (mln ) Media IAs (società) Media IAs (gruppo) N. società (S) - N. gruppi (G) 5 IAs 6 IAs IAs IAs IAs 100 IAs > 100 S G S G S G S G S G S G Meno di 100mln 2,93 16, Tra 101 e 300mln 10,00 20, Tra 301 e 500mln 5,80 13, Tra 501 e 1.000mln 6,60 19, Tra e 5.000mln 9,81 53, Tra e mln 91,62 60, Più di mln 57,43 123, Cfr. ARENA M., AZZONE G., CASATI P., L irresistibile ascesa dell Internal Auditing in Italia, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007, p

16 1. L Internal Audit nella governance aziendale 3. L EVOLUZIONE DELL ATTIVITÀ DI INTERNAL AUDITING La professione dell internal auditor è stata caratterizzata, nel corso degli anni, da un importante evoluzione storica, che ha determinato lo spostamento del suo raggio d azione da verifiche limitate principalmente ad aspetti di conformità normativa e procedurale ad attività di maggiore ampiezza nell ambito del controllo sistemico, della consulenza organizzativa e della governance aziendale. Questo processo evolutivo ha richiesto un incremento degli skills per lo svolgimento della professione e ha determinato una maggiore visibilità e credibilità della stessa Funzione aziendale. Il compito dell internal auditor oggi è quello di supportare il vertice e il management aziendale nell assicurare un efficace sistema di governo dei processi, con uno specifico focus sulla ricerca dell equilibrio tra il sistema di controllo interno e la mitigazione dei rischi in ambito di risk management 9. L attività, in un ampia accezione, si realizza attraverso la valutazione e il supporto al miglioramento dell efficacia ed efficienza dei processi aziendali a salvaguardia degli obiettivi di business e di governo dell organizzazione utilizzando i tradizionali presidi di audit per la prevenzione e il controllo delle frodi e per la verifica dei sistemi di reporting contabile. Naturalmente, occorre osservare che questa attività si svolge in contesti giuridici e culturali differenti, in organizzazioni guidate da visioni strategiche, dimensioni e strutture tipiche del caso. Essa, infatti, è una scienza che contiene in sé una dimensione flessibile ed evolutiva che le consente di adattarsi alle diverse situazioni delle differenti realtà aziendali escludendo l applicazione di schemi universali. Tuttavia, lo svolgimento 9 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

17 1. L Internal Audit nella governance aziendale della professione trova un comune denominatore nel rispetto di Standard e metodologie comuni LA DEFINIZIONE DELL ATTIVITÀ DI INTERNAL AUDITING Per una definizione dell attività di internal audit possiamo far riferimento a quanto rilasciato dall Associazione Italiana Internal Auditors (AIIA) che ci ha fornito una traduzione integrale della definizione elaborata dall Institute of Internal Auditors americano (IIA). Con l ultimo aggiornamento nel 1999 si sono definiti la missione, i contenuti e le caratteristiche di tale attività, sottolineando come il ruolo dell internal auditor sia oggi notevolmente evoluto rispetto alla precedente veste di revisore che ne enfatizzava il carattere prevalentemente ispettivo e l orientamento agli aspetti di conformità. L attuale definizione, infatti, individua l internal auditing come un attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell efficacia e dell efficienza dell organizzazione. Assiste l organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance 10. Per una migliore comprensione della definizione è utile fornire una spiegazione dettagliata delle sue diverse componenti. Un primo elemento che la caratterizza è quello dell indipendenza, ovvero la concreta possibilità per l internal auditor di esercitare la propria attività 10 La definizione di attività di internal audit riportata nel testo è ripresa integralmente da quanto fornito dall Associazione Italiana Internal Auditors (AIIA). La definizione originariamente era stata rilasciata dall Institute of Internal Auditors (IIA), la stessa associazione con sede in USA. 15

18 1. L Internal Audit nella governance aziendale senza nessuna interferenza, a partire dalla definizione dell ambito di copertura, all esecuzione del lavoro e la successiva comunicazione dei risultati ottenuti 11. Tale indipendenza è garantita tradizionalmente dal posizionamento organizzativo della Funzione di Internal Audit, di solito in staff all alta direzione, in modo da tutelarsi di fronte a possibili ingerenze e condizionamenti di altre strutture aziendali. Infatti, gli aspetti organizzativi di tale Funzione assumono una particolare rilevanza, in quanto sono in grado di influenzare l efficacia e l efficienza complessiva delle risorse dedicate all attività di audit. Si tratta di un indipendenza funzionale, diversa da quella richiesta al revisore esterno, in quanto l internal auditor rimane sempre e comunque un dipendente della società in cui opera. L Internal Audit Department è idealmente collocato in posizione di dipendenza funzionale dal Comitato per il controllo interno, detto anche Audit Committee, (come previsto per le società quotate), dal consiglio di amministrazione o da un organismo equivalente (a seconda del modello di amministrazione e controllo adottato), e in posizione di dipendenza gerarchica dal vertice manageriale dell organizzazione (amministratore delegato o direttore generale). L indipendenza è inoltre garantita con l esclusione dai compiti spettanti all internal auditor di attività di altra natura, quali ad esempio attività di controllo gestionale piuttosto che mansioni operative che lo coinvolgerebbero direttamente o indirettamente nelle decisioni operative dell azienda Secondo lo Standard IIA 1110 Indipendenza organizzativa, l indipendenza e l autonomia sono il presupposto per l obiettività, a sua volta condizione mentale chiave che conduce all affidabilità dei risultati dell attività di internal auditing. 12 Standard IIA 1130.A1 Valutazione di attività di cui gli internal auditor erano precedentemente responsabili e Standard IIA 1130.A2 Responsabilità dell Internal Audit in altri ruoli non di audit. Tali standard prevedono infatti che l internal audit eviti di effettuare un servizio di assurance su attività che, nell arco del precedente anno, rientravano nell ambito delle sue responsabilità gestionali in un precedente ruolo aziendale. 16

19 1. L Internal Audit nella governance aziendale La dimensione relativa all obiettività si lega dal punto di vista concettuale, come appena accennato sopra, all indipendenza dell attività di internal auditing; tale elemento va a configurare la figura professionale del revisore interno relativamente alla sua etica personale e alle sue competenze. L obiettività si realizza nell atteggiamento di totale imparzialità, senza preconcetti, in grado di evitare qualunque conflitto d interessi che si può manifestare durante lo svolgimento dell incarico 13. Tra le due dimensioni di indipendenza e obiettività sussiste inevitabilmente un rapporto dialettico, pertanto è evidente che l internal auditor, per essere indipendente, deve poter svolgere la propria attività senza vincoli e con obiettività; e allo stesso tempo, la valutazione del revisore interno potrà essere imparziale ed obiettiva soltanto se nello svolgimento di tale attività gli è garantita la necessaria indipendenza. Lavorare in piena autonomia e libertà mentale significa non sottomettere il proprio giudizio professionale a quello di altri, non cedere a consistenti compromessi, essere convinti della validità dei risultati emersi senza lasciarsi influenzare da condizionamenti esterni e astenersi dall intraprendere qualsiasi attività che possa ingenerare conflitto d interessi o possa pregiudicare la possibilità di svolgere il proprio lavoro con imparzialità 14. È necessario, quindi, un adeguata strutturazione organizzativa aziendale e l obiettività dell internal auditor, per garantire una sua imparzialità nella valutazione delle evidence e assicurare la produzione di un giudizio indipendente relativamente ad un sistema, ad un processo o ad una singola attività. Per completare il quadro relativo a queste due dimensioni, è opportuno sottolineare che anche la pratica professionale ha voluto fornire precise indicazioni sull argomento, disponendo che l internal auditor, a fronte di 13 Sull argomento vedi lo Standard IIA 1120 Obiettività individuale. 14 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

20 1. L Internal Audit nella governance aziendale una situazione di potenziale o reale condizionamento o conflitto d interessi pregiudizievole, deve riferire al proprio responsabile in modo da consentire una nuova assegnazione degli incarichi 15. Nella definizione si parla inoltre di...attività obiettiva e indipendente di assurance e di consulenza..., due tipologie di servizi offerti allo scopo di creare valore all interno dell organizzazione. In effetti, del termine assurance non esiste una fedele traduzione in italiano che sia al tempo stesso sintetica ed efficace. Comunque, i servizi di assurance, in un accezione ampia, comprendono tutte quelle attività utili al miglioramento della qualità dell informazione, in termini di attendibilità, tempestività, economicità e rilevanza, in modo da offrire un valido supporto al processo decisionale del management aziendale. Una caratteristica peculiare dei servizi di assurance è il coinvolgimento di tre soggetti: il soggetto sottoposto ad audit (detto auditee), quindi la persona direttamente coinvolta nel processo o nel sistema oggetto di analisi; l internal auditor, che effettua la rilevazione-valutazione indipendente; il destinatario che utilizzerà l output scaturito dall analisi per prendere le proprie decisioni. Si tratta tipicamente di un soggetto interno, quale il vertice aziendale, il management, il collegio sindacale o altri organi aziendali solitamente con compiti di vigilanza quali l Audit Committee. Per quanto riguarda i servizi di consulenza, questi sono da intendersi come un attività di supporto propositivo diversi dall assurance, prestati dal 15 Sull argomento vedi lo Standard IIA 1130 Condizionamenti pregiudizievoli all indipendenza o all obiettività. 18

21 1. L Internal Audit nella governance aziendale revisore interno a seguito di una specifica richiesta del cliente committente, senza che questo comporti l assunzione di responsabilità da parte dell auditor o decisioni operative in merito 16. Infatti, il revisore, nello svolgimento di tale servizio, non si assume alcuna responsabilità decisionale, che rimane di competenza esclusiva del management. In tal caso le parti coinvolte nell attività di consulenza sono due: l internal auditor e il cliente destinatario della consulenza. A differenza del servizio di assurance, in cui è il revisore interno a determinare autonomamente la natura e l ambito di copertura delle attività da svolgere, nei servizi di consulenza le attività sono tipicamente definite in accordo con il cliente. Tra le diverse attività di consulenza si annoverano: il supporto nel ridisegno dei processi dell organizzazione, con riferimento a principi di controllo e di risk management nell ambito di specifici progetti aziendali; il supporto nella definizione dei principi di controllo nell ambito di procedure interne aziendali; la attività di supporto e mediazione tipiche del ruolo di facilitatore nell ambito di progetti di autodiagnosi dei rischi ( quali il Control & Risk Self Assessment, o CRSA) 17 ; le attività di risk assessment 18. L elenco ci permette di comprendere, inoltre, come il bagaglio culturale richiesto nell ambito dell internal auditing s incrementi ulteriormente rispetto a quanto già richiesto per lo svolgimento dei più tradizionali servizi 16 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Per una trattazione più approfondita del Control & Risk Self Assessment (CRSA), cfr. Cap. 3 e Cap Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

22 1. L Internal Audit nella governance aziendale di assurance. Gli ambiti nei quali il revisore interno è chiamato a fornire il suo contributo professionale possono essere sconfinati, sarà responsabilità dell auditor accettare l incarico solo in quei casi in cui si sente effettivamente preparato. In genere, il campo in cui l internal auditor è maggiormente specializzato e quindi in grado di fornire il suo contributo è quello relativo alla strutturazione dei sistemi di controllo interno in risposta al sistema di risk management complessivo dell organizzazione. È opportuno precisare che molto spesso assurance e consulenza finiscono per coesistere in una stessa attività di audit. Infatti, l adozione di approcci misti, che prevedono entrambi gli elementi in un unico incarico è in forte crescita: è questo il caso tipicamente dell attività di operational auditing, che valuta il disegno del sistema di controllo interno di un determinato processo in modo trasversale e misura l impatto di eventuali carenze o rischi non sufficientemente presidiati. In altri casi, invece, la separazione tra i due ambiti sarà piuttosto netta, emblematico il caso dell attività di compliance auditing avviata a seguito di un attività consulenziale di supporto al management nell autodiagnosi dei rischi 19. L attività di internal auditing è volta al perseguimento dell efficacia e dell efficienza dell organizzazione. Con il termine efficacia si fa riferimento, in una concezione di ampio respiro, alla capacità di un organizzazione di raggiungere i propri obiettivi; questi possono riguardare finalità del business, come ad esempio, l incremento dei ricavi, il contenimento dei costi, il miglioramento della qualità, ecc. oppure ineriscono finalità di governo quali, l affidabilità dell informazioni, la sicurezza, il rispetto della normativa, ecc. 19 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

23 1. L Internal Audit nella governance aziendale Tale dimensione, se considerata unica nel contesto aziendale di riferimento, potrebbe condurre alla massimizzazione dei controlli. L efficienza invece, è definita dal rapporto tra il grado di raggiungimento degli obiettivi e la quantità di risorse impiegate; essa, pertanto, ci conduce verso un concetto di ottimizzazione del controllo e di valutazione professionale del punto di equilibrio tra costi e benefici di eventuali controlli aggiuntivi. Da qui ne consegue che, in antitesi alla massimizzazione dei controlli per il perseguimento dell efficacia aziendale, si colloca la promozione di sistemi di controllo ottimizzati e cost effective. Un ulteriore approfondimento della definizione di internal auditing riguarda l approccio professionale e sistematico utilizzato nella conduzione di tale attività a connotazione strategica. Più precisamente ci si riferisce all insieme strutturato delle conoscenze, capacità e competenze richieste all internal auditor nel condurre le proprie analisi che, nel concreto, riguardano, dal punto di vista tecnico: gli Standard professionali IIA, le procedure e le tecniche di internal auditing, i principi di management e delle materie economico-giuridiche, le tecniche statistiche e quantitative, i sistemi informativi. A tali competenze tradizionali si aggiungono le capacità relazionali e di comunicazione, sia verbali che scritte, che qualificano l attività di internal auditing come un arte che non può essere ricondotta esclusivamente a discipline formali. La chiave del successo per il raggiungimento dell obiettivo finale teso alla creazione di valore aggiunto, consiste, infatti, nella corretta individuazione e nell attenta gestione delle modalità e delle linee di comunicazione Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

24 1. L Internal Audit nella governance aziendale Negli Standard professionali IIA, il requisito della diligenza professionale prevede il rispetto dei principi del Codice Etico e delle regole di condotta alla base del comportamento degli internal auditor 21. È importante quindi offrire, un approccio conforme ad adeguati Standard e strumenti metodologici che garantiscono l applicazione di criteri omogenei e coerenti e una progressiva copertura dell universo di audit con l applicazione periodica e strutturata di adeguate procedure di risk assessment nell ambito della pianificazione dell auditing. Il concetto di valore aggiunto rappresenta un altro elemento su cui è opportuno soffermarsi. Più precisamente l attività crea valore aggiunto nel momento in cui, attraverso l analisi dei rischi e la valutazione del relativo sistema di controllo interno, soddisfa le esigenze degli organi di governo e del management aziendale. Per definire, oggi, la mission dell internal auditing non è più sufficiente la verifica del rispetto delle norme, così come non sono più sufficienti la verifica del sistema di controllo e la valutazione dei rischi correlati: oggi l orientamento di fondo dell attività va oltre, trasformando quelli che in precedenza erano gli obiettivi in strumenti per il perseguimento della finalità primaria, cioè la creazione di valore aggiunto. L internal auditor, quindi, deve secondo tale concezione, applicare schemi flessibili di analisi basati sulla consapevolezza della diversa rilevanza degli obiettivi e dei rischi aziendali, per focalizzarsi su quelli maggiormente significativi, in linea con le attese del top management, alla ricerca di punti di equilibrio nel complessivo sistema di risk management 22. Assumere un atteggiamento proattivo è uno dei fattori critici di successo per l internal auditor: è necessario infatti condividere con il management le 21 Sull argomento si vedano gli Standard IIA 1200; 1210; 1220 su Competenza e diligenza professionale. 22 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

25 1. L Internal Audit nella governance aziendale iniziative da intraprendere, tenendo conto delle politiche di risk management applicate dal vertice aziendale. L abilità di osservare e comprendere le reali esigenze di un organizzazione, le sue specificità strutturali e di processo, le caratteristiche dell ambiente in cui opera, gli obiettivi di governo e di business contribuiscono allo svolgimento di un attività i cui benefici generati devono essere nettamente superiori ai costi prodotti. Da ultimo, la definizione fa riferimento agli ambiti su cui si focalizza l attività dell internal auditing. In particolare: la corporate governance 23 ; i processi di gestione dei rischi; i processi di controllo. L internal auditing rappresenta una componente del complessivo sistema di corporate governance, che abbraccia sia gli aspetti di organizzazione aziendale, sia gli aspetti societari, in un ottica di presidio globale. Inoltre, il ruolo di tale attività si sta evolvendo in un mezzo da utilizzare per la revisione globale del sistema di control governance, inteso come l insieme dei processi, mezzi e risorse, presenti a tutti i livelli dell organizzazione, che danno ragionevole garanzia sul raggiungimento degli obiettivi aziendali. Tali aspetti saranno comunque oggetto di ulteriori approfondimenti nel corso della nostra trattazione. 23 Il concetto di corporate governance si traduce con l insieme delle regole alla base della gestione e del controllo delle società. Esso si comprende attraverso la definizione ed il funzionamento degli organi societari interni (Cda, Assemblee, Collegio Sindacale) ed esterni (CONSOB e società di revisione). La struttura della Corporate Governance definisce la distribuzione dei diritti e delle responsabilità tra i partecipanti alla vita di una società, in riferimento alla ripartizione dei compiti, all assunzione di responsabilità e al potere decisionale. 23

26 1. L Internal Audit nella governance aziendale In linea generale possiamo concludere che la Funzione di Internal Auditing svolge un attività di monitoraggio del complessivo sistema di controllo interno di risk management in modo coerente con gli obiettivi di business e di governo aziendale e dei singoli processi. Nel contribuire all implementazione della corporate governance, l Internal Audit effettua analisi e valutazioni: del grado di effettiva applicazione delle politiche, dei piani e delle procedure, fornendone un quadro complessivo; del sistema dei controlli interni in un ottica risk management, messi in atto per il raggiungimento degli obiettivi di business e di governo, tra i quali: o efficienza gestionale; o qualità; o obiettivi commerciali; o affidabilità delle informazioni e del sistema informatico; o rispetto della normativa; o responsabilità sociali ed etiche. Attraverso il suo ruolo di assurance e di consulenza, l internal auditing promuove il miglioramento continuo del sistema di controllo interno raccomandando miglioramenti incrementali ed innovazioni strutturali e gestionali, sulla base di ragionevoli relazioni costi/benefici al fine di promuovere l efficienza e l efficacia del sistema complessivo Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

27 2. Il contesto normativo CAPITOLO 2 IL CONTESTO NORMATIVO 1. INTRODUZIONE Con il susseguirsi delle diverse crisi aziendali, a livello nazionale ed internazionale, si è reso sempre più impellente il bisogno di porre maggiore attenzione sul tema della corporate governance. L intervento delle autorità governative, delle Authority e delle associazioni di categoria ha permesso un evoluzione della normativa internazionale e interna costruita su modelli e sistemi che assicurano meccanismi di governo aziendale a tutela degli shareholders e degli stakeholders tra cui banche ed altri finanziatori, clienti, mercati di riferimento, fornitori, personale e tutti gli altri soggetti che ripongono nella società interessi diretti o indiretti. Un buon governo di impresa che consenta il raggiungimento di obiettivi fondamentali, quali efficacia ed efficienza, trasparenza e legalità, porterebbe al recupero di una logica in base alla quale una migliore governance significa una migliore reputazione e, quindi, un maggiore sviluppo 49. Qui di seguito, pertanto, tenteremo di ripercorrere il processo evolutivo intrapreso dalla normativa internazionale, per poi proseguire nell analisi del contesto italiano. È in quest ottica che assume rilievo il concetto di sistema di controllo interno ed è in questo contesto che si sono sviluppati una serie di norme e di 49 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

28 2. Il contesto normativo Standard orientati alla definizione, alla valutazione e al rafforzamento dei sistemi di governance aziendale. 2. IL FOREIGN CORRUPT PRACTICE ACT: BREVI CENNI Nel corso dell ultimo trentennio, a livello internazionale, si è incrementato notevolmente l interesse verso i temi relativi al controllo interno. Nel 1977 negli Stati Uniti venne pubblicato il Foreign Corrupt Practice Act (FCPA) successivamente modificato nel , un atto legislativo che proibisce alle società statunitensi di corrompere funzionari stranieri con la finalità di ottenere o mantenere affari. Esso, dunque, ha come obiettivo l eliminazione di pratiche che avrebbero potuto influenzare in modo negativo l integrità finanziaria delle società americane, minando così il funzionamento efficiente dei mercati finanziari. Il provvedimento è rivolto alle società controllanti e controllate nazionali, controllate estere, joint venture, partnership e qualunque impresa associata. A questi si aggiungono inoltre tutti i dirigenti, amministratori, dipendenti o rappresentanti della società. Oltre a provvedimenti contro la corruzione, il FCPA contiene anche disposizioni in materia contabile e di controllo interno: esso infatti prevede che tutte le società attive sul mercato mobiliare statunitense mantengano registri contabili, in modo da permettere l individuazione di eventuali pagamenti sospetti, esso dispone inoltre, l istituzione di un sistema di controllo interno che vigili su eventuali irregolarità e differenze tra ciò che è riportato nelle scritture contabili e l effettivo flusso finanziario delle società. 50 A tale normativa, e a quella correlata descritta in seguito, si è ispirato il D. Lgs 231/2001 riguardante le responsabilità delle persone giuridiche. 26

29 2. Il contesto normativo L approvazione del FCPA fu fortemente condizionata dalla convinzione che un buon modello organizzativo di controllo interno avrebbe dovuto costituire un efficace deterrente contro i pagamenti illeciti. Si può ritenere, pertanto, che il FCPA sia stato il primo importante evento in termini di impatto sull internal auditing tanto che dopo la sua emanazione molte società ad azionariato diffuso hanno avviato numerose iniziative in materia di controllo interno, ampliando le dimensioni e i poteri delle proprie funzioni di Internal Auditing IL SARBANES-OXLEY ACT, IL PIÙ GRANDE CAMBIAMENTO NELLA CORPORATE GOVERNANCE Nel 1985, sempre negli Stati Uniti, è stata creata la National Commission on Fraudolent Financial Reporting, nota come Treadway Commission, con l obiettivo principale di individuare le cause dei falsi in bilancio e formulare raccomandazioni e suggerimenti al fine di evitare il verificarsi di questi eventi. Nel 1987 la Commissione ha emesso una relazione contenente alcune raccomandazioni in materia di controllo interno, sottolineando in particolare l importanza dei codici di comportamento, dei comitati di auditing esperti e attivi, di una Funzione di Internal Auditing efficace e obiettiva. La relazione raccomandava, inoltre, la formazione di un Comitato di Audit (Audit Committee), composto interamente da consiglieri indipendenti, tra i cui compiti era prevista la verifica annuale della capacità del management di monitorare l osservanza da parte della società del Codice Etico adottato. 51 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

30 2. Il contesto normativo Tale evoluzione normativa ha rappresentato un importante punto di riferimento per l emanazione del D.lgs. 231/2001 e la relativa istituzione di modelli organizzativi e di organismi di vigilanza. Il susseguirsi dei corporate scandals di grandi società statunitensi, quali il caso Enron e WorldCom avvenuti nel corso del 2001 e del 2002, fecero emergere i limiti della corporate governance statunitense, e generarono i presupposti per l approvazione, nel Luglio del 2002, del Sarbanes-Oxley Act. Tale atto rappresenta il più grande cambiamento nell ambito della corporate governance e reporting sin dalle prime security laws federali del 1933 e L obiettivo principale di questa legge è quello di riconquistare la fiducia degli investitori tramite un amministrazione aziendale più efficiente: esso fornisce infatti nuovi o più avanzati Standards per le Corporate Accountability e sanzioni per comportamenti non etici messi in atto dai funzionari dell azienda in caso di eventuali false dichiarazioni sui dati finanziari. La normativa riguarda tutte le aziende i cui titoli azionari sono registrati presso la Securities and Exchange Commission (SEC) degli Stati Uniti e la cui capitalizzazione di Borsa supera i 75 milioni di dollari. Gli elementi fondamentali del Sarbanes-Oxley Act sono: 1. l indipendenza delle società di revisione contabile e la vigilanza sul loro operato: il Sarbanes-Oxley Act dispone la creazione di un organismo pubblico di vigilanza denominato Public Company Accounting Oversight Board, affidando a questo il compito di regolamentare l attività svolta dai revisori contabili, nonché verificarne il rispetto, modificando così in modo sostanziale il precedente modo di operare basato sull autoregolamentazione. 28

31 2. Il contesto normativo Al fine di mitigare il rischio di potenziali conflitti di interesse, sono previste norme di rotazione delle figure chiave incaricate della revisione e il divieto di svolgimento di altri incarichi di consulenza da parte della medesima società di revisione ritenuti incompatibili ai fini della salvaguardia dell indipendenza; 2. una maggiore attendibilità delle informazioni finanziarie e dei processi di controllo interno contabile: l amministratore delegato e il direttore finanziario vengono individuati come i responsabili dell implementazione del sistema di controllo interno e delle procedure circa le informazioni che vengono divulgate al mercato. Il sistema di controllo interno deve garantire il corretto flusso delle informazioni e dei dati finanziari forniti, nonché la loro attendibilità. A tal riguardo tali figure aziendali rilasciano un attestazione circa la veridicità del bilancio annuale e delle relazioni finanziarie emesse 52. In particolare, l amministratore delegato e il direttore finanziario devono valutare l efficacia del sistema di controllo interno sul processo di redazione del bilancio, comunicandone i risultati e le conclusioni nei report prodotti (bilancio e relazioni periodiche) 53. La società di revisione deve quindi formulare le proprie valutazioni sulla conformità del sistema di controllo interno sul processo di redazione del bilancio in base agli Standard emessi dal Public Company Accounting Oversight Board; 3. un incremento dei poteri di regolamentazione e di vigilanza riconosciuti alla SEC: quest ultima infatti interviene sui due punti precedenti attraverso una supervisione dell organo di controllo delle società di revisione delle public companies (Public Company Accounting 52 Cfr. Sarbanes-Oxley Act (2002), Section 302: Corporate responsibility for financial report. 53 Cfr. Sarbanes-Oxley Act (2002), Section 404: Management assessment of internal control. 29

32 2. Il contesto normativo Oversight Board) ed attraverso l emanazione di norme di dettaglio volte a garantire che le informazioni finanziarie divulgate dalle società rappresentino la reale situazione economico-finanziaria, considerando eventualmente anche tutte quelle attività che, pur essendo fuori bilancio, possono incidere sugli equilibri finanziari delle public companies 54. In definitiva, lo scopo del Sarbanes-Oxley Act è quello di proteggere gli investitori attraverso: un informativa più accurata, tempestiva, completa e comprensibile; un miglioramento delle regole di corporate governance; un rafforzamento dei controlli tramite la creazione del PCAOB; un incremento dell efficacia e dell efficienza del sistema di controllo interno. 4. IL PIANO D AZIONE DELL UNIONE EUROPEA: BREVI CENNI Il varo del Sarbanes-Oxley Act ha avuto un impatto notevole sull apparato normativo europeo: le imprese dell unione europea che operano sul territorio americano, direttamente o tramite consociate, si sono trovate esposte ad una normativa penalizzante. Questo è uno dei motivi che ha spinto la Commissione Europea ad emanare un piano d azione (pubblicato il 21 maggio 2003) per la modernizzazione della normativa in materia di società quotate e il rafforzamento della corporate governance nell Unione Europea. 54 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

33 2. Il contesto normativo L intervento della Commissione è volto a migliorare l informazione e la trasparenza sulla struttura e sul funzionamento delle società, ad incrementare la tutela dei diritti degli azionisti e a fornire raccomandazioni sulla riforma dei consigli di amministrazione. Più dettagliatamente le linee evolutive percorse sono le seguenti: il rafforzamento dei diritti degli azionisti a tutela dei terzi nel tentativo di garantire l efficienza e la competitività delle imprese. A tal fine la Commissione Europea sottolinea la necessità di intraprendere alcune azioni tra cui: precisare la responsabilità dei dirigenti, migliorare le disposizioni relative alla tutela dei creditori, introdurre una regolamentazione più rigorosa in materia di pubblicità delle informazioni per le società quotate e che fanno ricorso al pubblico risparmio, giungere ad un quadro normativo più flessibile per le PMI coerente con le loro dimensioni e la loro forma giuridica; promuovere l efficienza e la competitività delle imprese. Per il perseguimento di tale linea evolutiva la Commissione ha fornito un contributo importante sottolineando la necessità di un armonizzazione della normativa in materia di operazioni transfrontaliere, quali trasferimenti e concentrazioni all interno dell UE, nonché l esercizio dei diritti degli azionisti. Il raggiungimento di questi obiettivi richiedeva l attuazione di una serie di iniziative comunitarie contenute nel piano d azione che possono essere sintetizzate qui di seguito: il piano suggerisce la coordinazione dei Codici dei vari Paesi comunitari al fine di promuovere una maggiore convergenza e lo scambio di migliori pratiche. 31

34 2. Il contesto normativo È necessario, pertanto, che le società garantiscano una maggiore trasparenza in materia di governo societario, un rafforzamento dei diritti degli azionisti, una modernizzazione nelle funzioni e nella composizione dei consigli di amministrazione. Infine la Commissione suggerisce la necessità di un maggiore sforzo da parte degli stati membri volto al coordinamento delle normative nazionali sul tema del diritto societario, della regolamentazione sui valori mobiliari, della quotazione in borsa, dei codici e degli altri strumenti; l adozione di interventi rivolti a semplificare il sistema normativo in materia di salvaguardia e modifiche del capitale introdotto con la II Direttiva CEE sul diritto delle società. Quest ultima, infatti, impone alle società per azioni un capitale sociale minimo e contiene molteplici disposizioni, volte a tutelare gli azionisti e i creditori, che si applicano ad esempio in caso di costituzione della società, di aumento o riduzione del capitale sociale, di acquisizioni e distribuzioni di azioni. La semplificazione della II Direttiva CEE, secondo il piano, dovrebbe avvenire con riferimento a: i pareri degli esperti in ordine alla valutazione dei conferimenti in natura, che in determinate circostanze dovrebbero essere aboliti, l introduzione di azioni emesse non alla pari, le norme sull acquisto di azioni proprie e quelle relative all esercizio del diritto di opzione; il piano inoltre prevede ulteriori interventi relativamente ai gruppi e alle piramidi societarie: infatti è previsto l obbligo di una maggiore completezza e trasparenza nelle informazioni societarie, finanziarie e non finanziarie, pubblicate sia dalle società quotate che dai gruppi, qualora l impresa madre non sia una società quotata. È previsto, inoltre, l adozione di una norma quadro per l attuazione, a livello di controllate, di una politica comune di gruppo che consenta ai responsabili della gestione di una società appartenente ad un gruppo, di 32

35 2. Il contesto normativo porre in essere una politica coordinata e che, allo stesso tempo, garantisca la salvaguardia degli interessi dei creditori. Per ultimo, l obbligo per le autorità nazionali di non ammettere alla quotazione società appartenenti a strutture piramidali abusive. Per concludere, tenendo conto delle esigenze e delle problematiche delle società operanti su scala transfrontaliera, il piano propone nuove forme societarie differenziate in base al fine sociale o alla dimensione dell azienda L AUTOREGOLAMENTAZIONE INTERNAZIONALE: IL COMMITTEE OF SPONSORING ORGANIZATIONS I principi di corporate governance e i meccanismi di governo societario sono ormai da diversi anni alla ricerca di modelli che garantiscano il raggiungimento di obiettivi di legalità in modo tale da assicurare al mercato la trasparenza e la correttezza necessarie per un suo valido funzionamento. Negli Stati Uniti questo orientamento emerge con la pubblicazione nel 1992 del CoSo Report da parte del Committee of Sponsoring Organisations della Treadway Commission 56. Tale Integrated Framework è divenuto uno schema di riferimento in tutto il mondo ed è stato elaborato al fine di promuovere un concetto comune di controllo interno e di sottolineare le responsabilità del management nella creazione di un sistema di controllo. 55 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Il CoSo Report viene pubblicato dopo un primo schema di controllo interno elaborato dall American Institute of Certified Public Accountant (AICPA) che nel 1988 procedette all emanazione del SAS N 55. L associazione che raggruppa gli esperti contabili statunitensi descrive il controllo interno in termini di tre principali componenti: control environment, accounting system, control procedures. 33

36 2. Il contesto normativo La versione del 1992 intitolata Internal Control Integrated Framework da avvio agli studi operativi sul sistema di controllo interno, precedentemente considerato come un elemento di programmazione e controllo, e la sua efficacia viene indicata come uno dei requisiti di base per raggiungere best practice. Nel 2004 viene pubblicato un secondo report, intitolato ERM - Integrated Framework che ne amplia la visione in termini di risk management e in tale ottica, il sistema di controllo interno si configura come tutto ciò che supporta la gestione del rischio aziendale. L ERM costituisce, infatti, un modello di riferimento che le aziende possono adottare per la gestione dei rischi aziendali, esso rappresenta una sorta di guida che fornisce indicazioni in materia e ne definisce le componenti essenziali 57. Si configura come un sistema finalizzato non solo all analisi dei fattori di rischio e alla valutazione del loro impatto sulla performance aziendale, ma anche alla creazione di valore e vantaggio competitivo, in quanto permette un assunzione consapevole dei rischi e una mitigazione degli eventuali effetti negativi degli stessi 58. Nel modello ERM viene proposto uno schema valido e comprensibile per capire e valutare i rischi all interno dell organizzazione. L attenzione del 57 Tuttavia, poche aziende hanno chiaro in mente come sviluppare un processo di questo tipo e ancora meno hanno già avviato il suo sviluppo. Come si può intendere nelle parole sotto riportate di John J. Flaherty (presidente CoSo), il nuovo framework ha ritenuto di raccogliere questo testimone e di sviluppare un sentire comune in proposito. Anche se molte persone parlano di rischio, non esiste una definizione comunemente accettata di risk management e nemmeno un modello che definisca come il processo debba funzionare, rendendo il dialogo sul rischio, tra membri del consiglio di amministrazione e management, difficile e frustrante. Il board del CoSo ha ritenuto che questa situazione fosse molto simile a quella esistente prima della pubblicazione dell Internal Control Integrated Framework. Così come quello studio ha reso omogeneo il parlare di controllo interno, così il nostro obiettivo è quello che l ERM Framework offra agli amministratori ed al management un modello comunemente accettato per discutere e valutare uno sforzo aziendale in tema di risk management (intervista a cura di C. Chapman, Internal Auditor, IIA, June 2003, pubblicata in CASANA G., Accettabilità del rischio e raggiungimento degli obiettivi, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p ). 58 Cfr. J.W. De Loach, Enterprise Wide Risk Management. Financial Time-Prentice Hall, Londra,

37 2. Il contesto normativo management viene catalizzata sulla gestione del rischio nelle sue relazioni con: la corporate governance, affinché i vertici aziendali ricevano le informazioni necessarie per una gestione dei rischi consapevole ed efficace; la misurazione delle performance, al fine di rendere disponibili misure di ritorno economico ponderate per tenere conto del rischio; il sistema di controllo interno, considerato parte integrante del sistema di enterprise risk management 59. L ERM consente al management di affrontare in maniera efficace le incertezze e i conseguenti rischi/opportunità, accrescendo la capacità dell impresa di generare valore attraverso il conseguimento dell equilibrio ottimale tra gli obiettivi di crescita e di redditività e i rischi conseguenti, mediante l impiego efficace ed efficiente delle risorse 60. Più precisamente, lo schema proposto è di valido ausilio al management nel conseguimento dei propri traguardi operativi di reporting e di compliance e supporta l azienda nell evitare danni alla propria immagine, in quanto consente ad essa: l allineamento della strategia alla propensione al rischio (risk appetite). Il management stabilisce il grado di accettabilità del rischio per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per gestire i rischi che ne derivano; il rafforzamento delle decisioni di risposta al rischio. 59 Cfr. S. Beretta, Valutazione dei rischi e controllo interno, Egea Edizioni, Milano, Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

38 2. Il contesto normativo L ERM fornisce una rigorosa metodologia per l identificazione e la selezione, tra più risposte al rischio alternative, di quella più adeguata (evitarlo, ridurlo, condividerlo o accettarlo); la riduzione degli imprevisti e delle perdite conseguenti. Accrescendo la propria capacità di identificare eventi potenziali, valutare i relativi rischi e formulare risposte adeguate, le aziende riducono la frequenza degli imprevisti, così come i costi e le relative perdite; l identificazione delle opportunità. Analizzando tutti gli eventi potenziali, il management è in grado di identificare e cogliere in maniera proattiva le opportunità che emergono; il miglioramento dell impiego di capitale. L acquisizione di affidabili informazioni sui rischi consente al management di valutare efficacemente il fabbisogno finanziario complessivo e di migliorare l allocazione di capitale 61. L ERM Integrated Framework ci fornisce la definizione di gestione del rischio aziendale da intendersi come un processo, posto in essere dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta l organizzazione, progettato per individuare eventi potenziali che possono influire sull attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali Committe of Sponsoring Organisations of the Treadway Commission (CoSo), Enterprise Risk Management. Integrated Framework, settembre 2004; ed. it. a cura di AIIA e PricewaterhouseCoopers, La gestione del rischio aziendale, Milano, Il Sole 24 ore, Committe of Sponsoring Organisations of the Treadway Commission (CoSo), Enterprise Risk Management. Integrated Framework, settembre 2004:...a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. 36

39 2. Il contesto normativo Dall analisi della definizione ne deriva che l enterprise risk management è: un processo continuo che coinvolge tutta l organizzazione e si compone di un insieme di attività che devono essere pervasive ed integrate all interno del sistema di management esistente, in modo da evitare ulteriori procedure parallele che comporterebbero un incremento dei costi; svolto da persone che a tutti i livelli della struttura organizzativa aziendale occupano posizioni che influenzano l efficacia del processo e che a loro volta ne sono condizionate. È importante, pertanto, una chiara definizione delle politiche e delle linee di responsabilità da parte del vertice aziendale, il quale deve inviare messaggi tone at the top che conferiscano validità all ERM e ne facciano comprendere l importanza a tutti i livelli organizzativi; utilizzato per la formulazione delle strategie: quindi oltre alla definizione del profilo di rischio desiderato il vertice aziendale deve modellare il contesto in cui si originano tali rischi e stabilire le politiche di gestione degli stessi attraverso piani finanziari, disegni industriali, attività di report, ecc.; applicato in tutta l organizzazione, quindi nelle singole attività, ad ogni livello e in ogni unità della struttura, coerentemente con una gestione del rischio integrata che tenga conto dell azienda nel suo complesso e che bilanci i singoli orientamenti entro il profilo di rischio desiderato per l intera impresa. Esso infatti investe l azienda a tutti i suoi livelli (Fig. 3): - a livello aziendale complessivo (entity level); - a livello di società controllate (subsidary); - divisioni aziendali (division); - unità operative (business unit); 37

40 2. Il contesto normativo progettato per l identificazione di eventi potenziali, ovvero quegli eventi che potrebbero influire sull attività aziendale. Uno dei concetti chiave dell ERM è quello di risk appetite, inteso come la quantità di rischio che un organizzazione accetta volontariamente e consapevolmente nella sua ricerca di creazione del valore; infatti, non è da ritenersi necessariamente sbagliata, per un impresa, la scelta di operare in un ambiente che sia a rischio elevato, anziché basso. È importante però, che vi sia la consapevolezza del vertice nell intraprendere tale scelta strategica e che questo predisponga controlli e procedure adatti a limitare l impatto dei potenziali rischi. Si tratta di un elemento che permea l intera organizzazione, dalla valutazione delle alternative strategiche, alla definizione di obiettivi allineati alle scelte fatte e che, infine, deve condizionare la definizione dei processi operativi di gestione dei rischi connessi a tali obiettivi 63 ; in grado di fornire una ragionevole sicurezza al consiglio di amministrazione e al management sul conseguimento degli obiettivi aziendali. Ragionevole sicurezza poiché è implicito il fatto che gli elementi di incertezza e di rischio si riferiscono ad un futuro impossibile da predire con sicurezza assoluta: nella realtà i giudizi umani all interno dei processi decisionali possono essere sbagliati, le decisioni di risposta ai rischi e di predisposizione dei controlli devono sempre tener conto del rapporto tra costi e benefici, possono inoltre verificarsi disfunzioni legate ad errori umani, possono manifestarsi collusioni tra due o più persone e via dicendo; in grado di conseguire obiettivi, qui il riferimento è a una o più categorie distinte. Gli obiettivi possono essere: 63 Cfr. CASANA G., Accettabilità del rischio e raggiungimento degli obiettivi, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p

41 2. Il contesto normativo - strategici (strategic): ovvero quelli allineati e a supporto della missione aziendale, sono di natura generale, vengono definiti ai livelli più elevati della struttura organizzativa in un ottica di lungo periodo; - operativi (operations): riguardano l impiego efficace ed efficiente delle risorse aziendali (possono essere dei più svariati ad esempio: mantenere determinati livelli di turnover del personale, garantirne la sua formazione, oppure obiettivi inerenti l approvvigionamento delle materie prime, ecc.); - di reporting: riguardano l affidabilità delle informazioni fornite dal reporting; - di conformità (compliance): riguardano il rispetto di leggi e regolamenti in vigore, è importante pertanto la diffusione a tutti i livelli della struttura aziendale di una cosiddetta cultura del controllo orientata all osservanza delle norme, delle direttive aziendali e delle policies interne. 39

42 2. Il contesto normativo Le dimensioni dell enterprise risk management Strategic Operational Reporting Compliance Internal Environment Objective Setting Event Identification Risk Assessment Risk Response Control Activities ENTITY-LEVEL SUBSIDIARY BUSINESS UNIT DIVISION Information & Comunications Monitoring Fig. 3 L ERM è costituito da otto componenti interconnesse che derivano dal modo in cui il management gestisce l azienda e sono integrate con i processi operativi. Le sue dimensioni di analisi e quindi il rapporto tra obiettivi e componenti, possono essere rappresentati graficamente in un cubo che mostra chiaramente l estrema flessibilità del modello. Esso infatti risulta applicabile sia all intero processo di gestione del rischio aziendale, sia ad ogni categoria di obiettivi separatamente, alle componenti, alle singole business unit, così come alle singole sub-unità di queste ultime (vedi Figura 3). L approccio ERM è quello di un modello olistico secondo il quale l efficacia del sistema dipende sia dal corretto funzionamento delle sue componenti, sia dalla qualità delle relazioni che si instaurano tra di esse. 40

43 2. Il contesto normativo Il modello illustrato in figura non sembrerebbe presentare diverse analogie con lo schema a cui fa riferimento l Internal Control Integrated Framework del 1992; in realtà, lo schema ERM di gestione del rischio aziendale incorpora il controllo interno, fornendo al management uno strumento più completo. È importante che il management e gli internal auditor comprendano che l ERM non è semplicemente una revisione dell Internal Control Integrated Framework : un organizzazione utilizzerà l ERM per identificare e gestire i rischi che la circondano e minacciano, mentre userà il modello Internal Control per comprendere e gestire i controlli interni quale parte integrante dell operatività aziendale 64. Più precisamente l ERM viene alimentato dal processo di pianificazione strategica, che definisce la missione e gli obiettivi aziendali (objective settings), e trova supporto nell ambiente interno, nelle attività di controllo, nei sistemi di informazione e comunicazione e nelle attività di monitoraggio continuo del sistema Risulta quindi possibile analizzare le componenti che costituiscono il processo di risk management che si articola nelle tre fasi di: - identificazione degli eventi (event identifications); - valutazione del rischio (risk assessment); - risposta al rischio (risk response) 65 ; scorporandole da quelle invece caratteristiche anche dei sistemi di controllo che rivestono un ruolo di supporto all interno del contesto: 64 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Nel caso in cui la risposta al rischio sia orientata ad evitare o ridurre il rischio occorrerà valutare l adeguatezza e l efficacia del sistema di controllo interno, che deve fornire ragionevole sicurezza sul raggiungimento degli obiettivi aziendali. 41

44 2. Il contesto normativo - ambiente interno (internal environment); - attività di controllo (control activities); - sistemi di informazione e comunicazione (informations & comunications); - monitoraggio (monitoring). La dinamica del sistema di enterprise risk management Definizione degli obiettivi Processo di gestione dei rischi Identificazione degli eventi Risk Assessment Risposta al rischio Ambiente interno Attività di controllo Informazione e comunicazione Monitoraggio Sistema di controllo del processo di risk management Strategie: evitare o ridurre Sistema di controllo interno per la risposta al rischio Ambiente interno Attività di controllo Informazione e comunicazione Monitoraggio Fig. 4 La figura 4 66 sintetizza la relazione tra sistema di controllo interno e gestione dei rischi nell ambito del più ampio processo di risk management. 66 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

45 2. Il contesto normativo Qui di seguito illustriamo più dettagliatamente le otto componenti dell ERM tenendo presente che il modello non si articola secondo un procedimento strettamente sequenziale ma si configura come un processo interattivo e multidirezionale in cui ciascuna componente può influire su un altra, indipendentemente dalla sequenza in cui queste sono collocate. 1. definizione degli obiettivi (objective setting): l ERM assicura che il management abbia attivato un adeguato processo di definizione degli obiettivi, di business e di governo, coerentemente con la mission aziendale e in linea con i livelli di rischio accettabile (risk appetite); 2. identificazione degli eventi interni ed esterni all organizzazione (event identification): è opportuno che questi siano identificati e distinti in opportunità (eventi con impatto positivo) e minacce (eventi con impatto negativo); le prime devono essere considerate nella determinazione del processo di pianificazione strategica che eventualmente andrà ridefinito, le seconde dovranno essere opportunamente analizzate al fine di formulare idonee strategie per un adeguata gestione delle stesse; 3. valutazione del rischio o risk assessment: dopo una sua identificazione i rischi devono essere valutati in termini di significatività in modo tale da far sì che il management riponga la propria attenzione sugli stessi secondo una scala di priorità a seconda della loro probabilità di futura manifestazione e del loro impatto. I rischi vengono valutati in termini di inerenza (rischio in assenza di qualsiasi intervento) e di residualità (rischio residuo dopo l attuazione di interventi per il suo ridimensionamento); 4. risposta al rischio (risk response): una volta che sono stati selezionati i rischi significativi, il management procede alla valutazione delle risposte alternative relative a ciascun rischio emerso. È possibile infatti avviare interventi per evitarlo oppure procedere ad una sua riduzione, a una sua accettazione o ad una sua condivisione, con l obiettivo di 43

46 2. Il contesto normativo allineare i rischi individuati con i livelli di risk tolerance e di risk appetite; 5. ambiente interno (internal environment): è rappresentato dall ambiente organizzativo, da cui si comprende la filosofia del vertice aziendale nella gestione del rischio e nella definizione dei suoi livelli di accettabilità, la cultura del rischio e il comportamento delle persone operanti a tutti i livelli della struttura organizzativa, lo stile manageriale, i valori etici, le competenze, la definizione di ambiti di autorità e di responsabilità, l esistenza di adeguate politiche e procedure; 6. attività di controllo (control activities): è necessaria la definizione e l implementazione di politiche e procedure che assicurano che le risposte al rischio siano fornite in maniera efficace attraverso la predisposizione di efficienti ed efficaci meccanismi di controllo, ovvero soluzioni organizzative volte al contenimento dei rischi operativi (ad esempio, il sistema autorizzativo) e all identificazione dei rischi effettivi (ad esempio, sistemi che individuano le anomalie); 7. sistemi di informazione e comunicazione (information & comunication): i sistemi informativi devono garantire l identificazione, la raccolta e la diffusione di informazioni e di una documentazione pertinenti in forme e tempi che consentano ai diversi operatori aziendali il pieno adempimento delle proprie responsabilità; per quanto riguarda le comunicazioni, queste devono essere efficaci e fluire attraverso la struttura organizzativa in tutte le direzioni, verso il basso, verso l alto e trasversalmente; 8. monitoraggio (monitoring) continuo dell intero processo dell ERM da parte del management, al fine di un suo efficace e corretto funzionamento e per garantirne l adeguatezza nel processo di gestione dei rischi aziendali, in relazione alle ripetute evoluzioni del contesto interno ed esterno all impresa. 44

47 2. Il contesto normativo Le otto componenti appena illustrate non possono funzionare tutte in maniera identica in qualsiasi organizzazione, è necessario, pertanto, tener conto della specifica realtà aziendale con le sue peculiarità interne e il contesto esterno in cui questa si colloca. A seconda della dimensione dell impresa potremo avere l applicazione di un modello ERM meno formale, questo accade tipicamente nelle imprese di piccola e media dimensione, è importante comunque ai fini dell efficacia del processo di risk management che ciascuna delle componenti sia presente e funzioni correttamente. Possiamo concludere precisando che la responsabilità primaria dell implementazione del processo ERM non spetta alla Funzione di Internal Audit, che comunque gioca un ruolo di primaria importanza in tale processo, bensì all alta direzione che ne ha la responsabilità ultima e ne assume la paternità. Il consiglio di amministrazione svolge un importante ruolo di supervisione del processo di gestione del rischio aziendale e contribuisce a determinare il livello di risk appetite, il management, infatti, promuove la filosofia di gestione del rischio e l osservanza del livello di rischio accettabile e gestisce i rischi relativamente alla sua sfera di responsabilità coerentemente con i livelli di rischio tollerato (risk tolerance) Il ruolo caratteristico dell internal auditing nell ambito del modello ERM consiste nello svolgimento per il Board, di attività di assurance sull efficacia del processo ERM nell organizzazione, allo scopo di garantire che i principali rischi aziendali vengano gestiti adeguatamente e che il sistema di controllo interno funzioni in maniera efficace. Nel determinare il ruolo dell internal auditing, il Preposto al controllo interno deve tener conto di due fattori essenziali: accertare se l attività comprometta l indipendenza e l obiettività degli internal auditor e verificare con quale grado di probabilità essa possa migliorare i processi di gestione dei rischi, di controllo e di governance dell organizzazione. Il Position Paper dell IIA specifica le funzioni che l internal auditor deve svolgere e quelle dalle quali, invece, deve astenersi nell ambito del processo di ERM. In particolare, le principali attività svolte sono: Attività di assurance sui processi di gestione dei rischi aziendali. Attività di assurance sul processo di valutazione dei rischi. Valutare i processi di gestione dei rischi aziendali. Valutare il sistema di reporting dei rischi principali. Attività di review sulla gestione dei principali rischi aziendali. 45

48 2. Il contesto normativo 6. IL CONTESTO NORMATIVO ITALIANO 6.1. LA NORMATIVA SOCIETARIA La riforma del diritto societario e i nuovi dettami del Codice Civile (D.Lgs. 6/2003 e successivi decreti correttivi) hanno previsto una riforma organica della disciplina concernente le società di capitali (e le società cooperative) tanto che oggi è possibile parlare di un disegno di corporate governance anche per tutte quelle società che, sebbene non quotate, adottino come forma giuridica quella di società per azioni 68. La Riforma organica della disciplina delle società di capitali e società cooperative ha ridisegnato il ruolo ed i compiti degli organi societari Tra le legittime attività dell internal auditing nell ERM che necessitano di maggiore cautela si annoverano: Facilitare l individuazione e la valutazione dei rischi. Assistere il management nell affrontare i rischi. Coordinare le attività nell ambito del processo ERM. Integrare il sistema di reporting dei rischi. Mantenere e sviluppare la struttura del modello ERM. Favorire l implementazione del modello ERM Sviluppare la strategia di gestione dei rischi per l approvazione del Board. Infine, tra le attività che l internal auditor non deve svolgere vi sono: Determinare il grado di propensione al rischio. Imporre l adozione di processi di gestione dei rischi. Svolgere attività di management assurance su singoli rischi. Prendere decisioni riguardo alle azioni da intraprendere per fronteggiare i rischi. Attuare misure di contenimento del rischio per conto del management. Assumere responsabilità nella gestione dei rischi. Le organizzazioni dovrebbero essere pienamente consapevoli del fatto che la gestione dei rischi resta di esclusiva responsabilità del management. Gli internal auditor dovrebbero fornire consigli e discutere criticamente o sostenere le decisioni assunte dal management riguardo ai rischi; non dovrebbero invece prendere decisioni sulla loro gestione. La natura della responsabilità dovrebbe essere precisata nel Mandato di audit e approvata dall Audit Committee. Cfr. IIA, Il ruolo dell Internal Auditing nell Enterprise-wide Risk Management, Settembre Negli anni precedenti la riforma degli aspetti in tema di corporate governance riguarda le imprese emittenti titoli quotati per cui veniva applicata la normativa disciplinata dal TUF e i relativi regolamenti attuativi. Tali imprese infatti hanno visto negli anni modificare e perfezionare il loro sistema di amministrazione e controllo. 46

49 2. Il contesto normativo amministrativi e di controllo, caratterizzandoli e differenziandoli in relazione alle quattro funzioni di base individuate dalla riforma stessa: l amministrazione, il controllo sulla gestione, l approvazione del bilancio ed il controllo contabile. Per quanto riguarda le società per azioni il legislatore ha ritenuto opportuno individuare elementi distintivi riconducibili alle modalità di circolazione del capitale, da cui deriva una suddivisione tra: - società che non fanno ricorso al mercato del capitale di rischio (cosiddette chiuse); - società che fanno ricorso al mercato del capitale di rischio, ulteriormente distinguibili in società emittenti azioni quotate in mercati regolamentati e società emittenti strumenti finanziari diffusi tra il pubblico in misura rilevante (art 2325 bis c.c.). Le disposizioni del Codice civile si riferiscono a tutte le società per azioni e per quelle facenti ricorso al mercato del capitale di rischio sono previste disposizioni legislative aggiuntive, giustificate dalla volontà di garantire una maggiore salvaguardia ai creditori, ai terzi e agli investitori (effettivi o potenziali), riconducibili con le disposizioni del TUF e le integrazioni fornite attraverso la normativa secondaria di settore. Con il TUF si è posta particolare attenzione sull effettiva tutela delle minoranze azionarie, rivitalizzando il loro ruolo e rafforzando le difese endosocietarie, attraverso una più marcata specializzazione dei ruoli dei soggetti deputati ai controlli societari. Le principali direttrici attraverso il quale il TUF è intervenuto riguardano 69 : - il rafforzamento delle minoranze azionarie; 69 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

50 2. Il contesto normativo - il rafforzamento dei poteri di vigilanza e di intervento della CONSOB anche nei confronti del collegio sindacale; - l introduzione di una netta separazione di ruoli tra collegio sindacale e società di revisione (in relazione a quest ultimo aspetto il TUF ha attribuito al collegio sindacale il controllo sull amministrazione, e alla società di revisione, in via esclusiva, il controllo contabile, puntando ad una riqualificazione del ruolo e a un rafforzamento dei poteri dell organo di controllo interno, con un aumento di efficacia e di efficienza del controllo stesso). I principi ispiratori della riforma del diritto societario che hanno avuto un rilevante impatto nella ridefinizione delle strutture di governance delle società per azioni e delle attività di controllo su di esse sono 70 : - la creazione di una netta distinzione tra soggetti gestori e soggetti controllori, mediante la puntuale individuazione dei ruoli e delle funzioni effettivamente svolte dai diversi soggetti coinvolti nelle strutture di governance; - il ruolo affidato all autoregolamentazione. Sono stati previsti ampi spazi per le forme di autoregolamentazione che investono l attività sociale, già a partire dalla scelta dei diversi modelli di amministrazione e controllo. In particolare, è stato previsto (artt octies e 2409 sexiesdecies c.c.) che le società possono scegliere, tramite previsione statutaria, il proprio modello organizzativo, optando quindi per il modello tradizionale (o ordinario) con un consiglio di amministrazione come organo di gestione e il collegio sindacale con funzioni di controllo di legalità e di corretta 70 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

51 2. Il contesto normativo amministrazione, o un modello dualistico con rispettivamente un consiglio di gestione ed un consiglio di sorveglianza oppure un modello monistico con un cda ed un comitato per il controllo sulla gestione (nominato stavolta nell ambito del cda anziché, come invece è previsto per gli organi di controllo degli altri due modelli, nominati dall assemblea dei soci) 71. Tale scelta si pone l obiettivo di favorire la competitività delle imprese, sia nel contesto nazionale che internazionale. Indipendentemente dal tipo di modello adottato la riforma ha delineato modelli di governance orientati a una ripartizione delle competenze tra gli organi di controllo e gli organi di amministrazione. Nelle società per azioni, quindi, saranno le scelte imprenditoriali a definire l architettura dei controlli e quindi i soggetti incaricati dello svolgimento di funzioni di controllo contabile (revisore esterno persona fisica, società di revisione oppure revisore interno alla società) e i soggetti cui competono funzioni di controllo sull attività amministrativa e gestionale (collegio sindacale, Comitato per il controllo sulla gestione, Consiglio di sorveglianza) 72. Va precisato che la riforma, pur trattando tematiche inerenti alle attività di controllo societario, non ha affrontato il tema del ruolo della Funzione di Internal Audit. Ciò era del resto prevedibile, visto che, nel contesto italiano, la scelta dell istituzione di tale Funzione non risulta ancora un obbligo di legge, ma è demandata alla volontà della singola società, pur essendo 71 La scelta del modello di amministrazione e controllo deve essere espressa nello statuto societario, che, se nulla dispone, rende automaticamente applicabile il modello tradizionale, affidando così i controlli sulla corretta gestione d impresa al collegio sindacale e i controlli contabili a un revisore esterno (sia esso persona fisica o società di revisione). Una previsione statutaria può prevedere che, per le società che non fanno ricorso al mercato del capitale di rischio e che non siano tenute alla redazione del bilancio consolidato, il controllo contabile può essere esercitato dal collegio sindacale, costituito in tal caso da revisori contabili (art 2409 bis c.c.). 72 Il controllo contabile sulla società è esercitato prevalentemente da un revisore esterno (persona fisica o società di revisione) che dovrà essere iscritta al Registro dei revisori contabili. Nelle società che fanno ricorso al mercato del capitale di rischio il controllo contabile è esercitato da una società di revisione iscritta nell Albo CONSOB e soggetta a vigilanza da parte della stessa. 49

52 2. Il contesto normativo comunque fortemente consigliata 73 (soprattutto per le società quotate, anche alla luce di quanto previsto dal Codice di Autodisciplina di Borsa Italiana Spa) IL D. LGS 58/1998, TESTO UNICO DELLA FINANZA Il Testo Unico delle disposizioni in materia di intermediazione finanziaria denominato anche Testo Unico della Finanza o Legge Draghi, affronta il tema del controllo interno in modo rilevante, relativamente ai soggetti italiani o esteri che emettono strumenti finanziari quotati nei mercati regolamentati italiani. L obiettivo è quello di garantire la tutela degli investitori e il buon funzionamento del sistema finanziario, attraverso il rispetto dei principi di trasparenza e correttezza dei comportamenti. All art. 21 il TUF dispone che nella prestazione di servizi di investimento e accessori i soggetti abilitati devono: [...] disporre di risorse e procedure, anche di controllo interno, idonee ad assicurare l efficiente svolgimento dei servizi. Il Testo Unico oltre a disciplinare la materia dell intermediazione finanziaria, la prestazione dei servizi di investimento e la disciplina dei mercati finanziari, dedica la Parte IV anche alla disciplina degli emittenti quotati, per i quali introduce importanti novità e principi in materia di corporate governance. In particolare, all art 150 il TUF prevede che il collegio sindacale e la società di revisione si scambino tempestivamente i dati e le informazioni rilevanti per l espletamento dei rispettivi compiti. Inoltre, coloro che sono 73 Cfr. DE ROSA S., Riforma Vietti: sistemi di governance a confronto, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p

53 2. Il contesto normativo preposti al controllo interno riferiscono anche al collegio sindacale di propria iniziativa o su richiesta anche di uno solo dei sindaci. Da qui si comprende come il D. Lgs. 58/1998, nella definizione del sistema di governance per i soggetti suddetti, attribuisca un importanza fondamentale al costante scambio di informazioni tra tutti gli organi sociali preposti al controllo, ovvero tra amministratori, collegio sindacale, società di revisione e Preposto al controllo interno. Con il TUF, inoltre, viene introdotto per la prima volta nella legislazione italiana l espressione sistema di controllo interno, pur in assenza di una definizione di tale concetto e di una disciplina dello stesso. Il concetto di controllo interno viene legato all attività del collegio sindacale, infatti l art. 149 dispone che spetta al collegio sindacale vigilare [...] sull adeguatezza della struttura organizzativa della società per gli aspetti di competenza del sistema di controllo interno e del sistema amministrativo contabile nonché sull affidabilità di quest ultimo nel rappresentare correttamente i fatti di gestione. Il legislatore attraverso il TUF pone le basi affinché la regolamentazione di settore e l autoregolamentazione dei singoli emittenti quotati fissino il quadro d insieme delle regole concernenti il buon governo societario. È quindi attraverso importanti disposizioni attuative (tra cui il Regolamento emittenti della CONSOB, il Codice di Autodisciplina di Borsa Italiana, che vedremo in seguito e le linee guida fornite dalle associazioni di categoria) che vengono introdotti e compiutamente disciplinati i capisaldi della governance degli emittenti quotati e del loro sistema di controllo interno. Il riferimento del D. Lgs. 58/1998 alla normazione secondaria risulta in generale molto ricorrente. In tale ambito molti dei principi che regolano il sistema di corporate governance trovano origine nella regolamentazione primaria da cui poi scaturisce una regolamentazione di settore deputata ad emanare norme puntuali e in linea con i sistemi di mercato, trovando, infine, concreta applicazione attraverso linee guida e codici di condotta, che 51

54 2. Il contesto normativo in via autoregolamentare, costituiscono lo scheletro su cui poggia l insieme delle regole di corporate governance LA LEGGE SULLA TUTELA DEL RISPARMIO (LEGGE 28 DICEMBRE 2005, N. 262) La legge 262/2005 Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari ha introdotto numerose novità che hanno comportato modifiche al Testo Unico sulla Finanza, al Testo Unico Bancario e al Codice Civile. Tale disposizione si configura come il frutto di un indagine conoscitiva avviata dal Parlamento che ha individuato ed analizzato gli elementi critici nei rapporti tra i vari soggetti pubblici e privati che interagiscono nel sistema economico-finanziario. In particolare, riguardo alla disciplina delle società per azioni, l indagine ha evidenziato i limiti di un assetto di governo societario troppo incentrato sulla regolamentazione dei rapporti tra azionisti e amministratori, che ha determinato un sistema non in grado di garantire un autentica dialettica interna tra il socio di controllo e gli altri detentori di interessi, quali azionisti di minoranza, investitori e risparmiatori, ritenuta indispensabile per il buon andamento dell impresa 75. La Legge sul Risparmio è stata considerata per molti aspetti la risposta italiana al Sarbanes Oxley Act americano, sia per i motivi che ne hanno ispirato la realizzazione (tra cui le crisi finanziarie di importanti emittenti quotati e il delicato rapporto tra questi, i risparmiatori e gli investitori 74 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. RINALDI A., Riforma del risparmio, analisi delle implicazioni e dell impatto sui sistemi di governo aziendale, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006 p

55 2. Il contesto normativo istituzionali), sia per le disposizioni contenute. Numerose sono le novità introdotte in tema di governance societaria che hanno avuto impatto sulle società rientranti nell ambito di applicazione del TUF, tra cui in particolare 76 : - l introduzione di particolari tutele delle minoranze all interno dei Consigli di Amministrazione delle società e dei Collegi Sindacali; - una maggiore trasparenza e controllo sulle società estere controllate, controllanti o collegate di società italiane quotate o con strumenti finanziari diffusi fra il pubblico, con sede in quei paesi dove non è sufficientemente tutelata la trasparenza societaria; - obblighi in materia di informativa annuale sull adesione a codici di comportamento 77 ; - nuovi obblighi in materia di informativa societaria, con particolare riguardo all istituzione di una nuova figura, il Dirigente preposto alla redazione dei documenti contabili e societari, deputata alla predisposizione di adeguate procedure amministrative e contabili per la redazione dei bilanci di esercizio e consolidato, se previsto, e con l obbligo di fornire nuove attestazioni sull adeguatezza e sull effettiva applicazione di tali procedure, da allegare ai bilanci 78 ; 76 Cfr. Notizie dall Italia. Informazione e novità, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2006 p In merito all adesione ai codici di comportamento redatti da società di gestione dei mercati regolamentati o da associazioni di categoria, le società sono chiamate a redigere annualmente una dichiarazione di adesione a tali codici. Nel redigere la dichiarazione le società devono anche motivare le ragioni di eventuali inosservanze o della mancata applicazione delle disposizioni contenute nei codici stessi. 78 L art. 154 bis 1 comma del TUF, dispone che lo statuto preveda i requisiti di professionalità e le modalità di nomina di un dirigente preposto alla redazione dei documenti contabili societari, previo parere obbligatorio dell organo di controllo. Le principali funzioni che gli sono state attribuite dalla normativa sono: - dichiarare per iscritto (con firma congiunta a quella del Direttore Generale) la veridicità dei documenti contabili societari obbligatori per legge o diffusi al mercato contenenti informazioni sulla situazione economica, finanziaria e patrimoniale della società (art 154 bis 2 c. del TUF); 53

56 2. Il contesto normativo - nuove disposizioni in materia di revisione dei conti e incompatibilità con altri servizi di consulenza resi dalla società di revisione e dalle entità appartenenti alla rete della medesima IL D. LGS. 231/2001: LA RESPONSABILITÀ AMMINISTRATIVA DELLE PERSONE GIURIDICHE E LA COMPATIBILITÀ CON L ATTIVITÀ DI INTERNAL AUDITING Come già anticipato nelle pagine precedenti, l impianto normativo del D. Lgs. 231/2001 va ricondotto al Foreign Corrupt Practices Act statunitense, di cui per certi versi rappresenta una trasposizione nazionale 79. Il decreto legislativo in questione riconosce una responsabilità amministrativa di tipo parapenale in capo all ente, persona giuridica, se in esso viene accertata la commissione di un reato nell interesse o a vantaggio dell ente stesso da parte di un soggetto che riveste funzioni di rappresentanza, di amministrazione o di direzione dell ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale 80, o da parte di un soggetto che eserciti di fatto funzioni di gestione e controllo per l ente stesso. Le tipologie di reato previste dal D. Lgs. 231/2001 e successive integrazioni possono essere sintetizzate nelle seguenti: - istituire adeguate procedure amministrative e contabili per la predisposizione del bilancio di esercizio e consolidato, nonché di ogni altra comunicazione di carattere finanziario (art 154 bis 3 c. del TUF); - attestare, con apposita relazione (da redigere unitamente all Organo Amministrativo) da allegare al bilancio di esercizio e consolidato l adeguatezza e l effettiva applicazione delle procedure, nonché la corrispondenza del bilancio alle scritture contabili (art 154 bis 4 c. del TUF). La sua istituzione è obbligatoria per le società quotate in mercati regolamentati italiani o dei Paesi membri dell UE, mentre rimane volontaria relativamente alle società non quotate. 79 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Art. 5 Responsabilità dell ente, D. Lgs. 231/

57 2. Il contesto normativo - delitti contro la pubblica amministrazione (artt ), ovvero corruzione di pubblico ufficiale, concussione, malversazione, truffa, frode informatica a danno dello Stato o di altro Ente pubblico; - delitti contro la fede pubblica (art. 25 bis), ovvero falsità in monete, in carte di pubblico credito e in valori di bollo; - reati societari (art. 25 ter), ovvero false comunicazioni sociali, false comunicazioni sociali in danno dei soci o dei creditori, falso in prospetto, impedito controllo, illecita influenza sull assemblea, aggiotaggio, ostacolo all esercizio delle funzioni delle autorità pubbliche di vigilanza, illecite operazioni sulle azioni o quote sociali o della società controllante, operazioni in pregiudizio dei creditori; - delitti in materia di terrorismo e di eversione dell ordine democratico (art. 25 quater); - delitti contro la personalità individuale (art. 25 quinques). Tale decreto ha radicalmente capovolto uno dei capisaldi del diritto penale nazionale, ovvero il principio secondo cui societas delinquere non potest 81, avviando, pertanto, una profonda rivisitazione in termini organizzativi e procedurali in tutti gli enti tenuti ad osservare le disposizioni in esso contenute. Affinché l impresa risulti immune dalla possibile applicazione di una misura cautelare (o di una delle sanzioni previste dal D. Lgs. 231/2001), essa deve adottare ed efficacemente attuare una serie di prescrizioni volte a prevenire il rischio della commissione dei reati precedentemente summenzionati. In particolare, ampia rilevanza è stata attribuita ai modelli organizzativi (cosiddetti salvaimprese ) che costituiscono un esimente nel caso in cui si manifestino i reati elencati dal decreto e che rappresentano, soprattutto, la 81 Cfr. SACRESTANO A., Dipendenti, reati da prevenire., Il sole 24 ore. Norme e tributi., Lun. 14 Maggio 2007 n

58 2. Il contesto normativo base di un sistema strutturato e organico volto a prevenire la commissione di tali reati 82. L attenzione verso tali modelli, condizionata anche da una rilevante disciplina sanzionatoria, ha chiaramente comportato una puntuale riorganizzazione e formalizzazione di prassi operative e consuetudini a beneficio dell intera organizzazione aziendale. Una volta messo in atto un modello di organizzazione e gestione idoneo a prevenire le fattispecie delittuose integrate e istituito un Organismo di vigilanza ex 231/2001, l ente sarà esente da responsabilità qualora provi che le persone responsabili abbiano commesso il fatto integrante il reato eludendo fraudolentemente i modelli predisposti e che l organismo deputato alla vigilanza su di essi non abbia omesso di vigilare o non abbia vigilato in maniera insufficiente. Questi modelli, la cui adozione va ricordato costituisce per la società non un obbligo, ma una mera facoltà 83, si presentano sotto molteplici aspetti affini ai sistemi di controllo interno; d altro canto, l attività di vigilanza a cui sono soggetti sembra poter essere ricompresa tra quelle di competenza della Funzione di Internal Audit che potrebbe rappresentare la figura ideale di organo di vigilanza o comunque esercitare un supporto alle attività inerenti. In particolare, ai sensi dell art 6 2 comma, sono specificate le singole funzioni che il modello in questione deve essere capace di espletare 84, 82 Dispone infatti il comma 1 dell art. 6, D. Lgs. 231/2001, che, l ente può essere esonerato dalla responsabilità qualora dimostri in primo luogo che, prima della commissione del fatto, l organo dirigente che ne è al vertice abbia adottato ed efficacemente attuato dei modelli di organizzazione e gestione idonei a prevenire le fattispecie delittuose integrate. Deve essere poi previsto sempre dall organo dirigente un organismo dotato di autonomi poteri di iniziativa e di controllo che abbia il compito di vigilare sull osservanza dei modelli adottati e di provvedere al loro aggiornamento. 83 Cfr. MAGNATE P., Modelli per la prevenzione della responsabilità delle imprese, Contabilità, finanza e controllo, n. 5/2005, p. 452, ove si rileva la natura premiale alla base della disciplina scaturente dagli artt. 6-7 del decreto in questione. 84 L art 6 2 c. dispone che i modelli di organizzazione e di gestione idonei a prevenire reati devono rispondere alle seguenti esigenze: a) individuare le attività nell ambito delle quali possono essere commessi i reati; b) prevedere protocolli in base ai quali programmare la formazione e l attuazione delle decisioni relative ai reati da prevenire; 56

59 2. Il contesto normativo queste devono essere poste in essere da una struttura che sia idonea, che abbia perciò una collocazione stabile nelle infrastrutture aziendali, che impieghi personale, che operi in maniera procedimentalizzata e continua 85. A tal riguardo la Funzione di Internal Audit potrebbe sembrare assolutamente idonea con quanto fin qui detto, poiché essa risponde ai requisiti richiesti dal legislatore di autonomia operativa, continuità di azione, competenza tecnica, integrazione nella struttura organizzativa, accesso alle informazioni ed indipendenza. In aggiunta, il modello prescritto sembra compatibile con il sistema di controllo interno descritto in economia aziendale e ripreso dalle normative regolamentari cui sono soggette le società operanti in veste di intermediari o in quanto emittenti nei mercati finanziari, rientrando quindi nel campo di applicazione della Funzione di Internal Audit. Inoltre, prendendo in considerazione la funzione precipua cui sono volti i modelli, ovvero l individuazione e la prevenzione di reati, è possibile constatare come essa, in sostanza si concretizzi in un attività di controllo volta ad assicurare il rispetto di alcune norme di carattere penale, in capo ai soggetti che sono parte integrante della struttura aziendale. Più precisamente, essa appare assimilabile ad un attività di individuazione e gestione del rischio, ove il rischio in questione è rappresentato dalla mancata compliance ad una normativa vincolante, che può tradursi in un costo rilevante per l impresa o addirittura nello stesso venir meno di alcune sue attività produttive (ad esempio sanzioni interdittive quali il divieto di contrattare con la Pubblica Amministrazione, oppure la revoca di una concessione, ecc.). c) individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; d) prevedere obblighi di informazione verso l organismo deputati a vigilare sul funzionamento e l osservanza dei modelli stessi; e) introdurre un sistema disciplinare tramite il quale sanzionare il mancato rispetto delle misure che sono indicate nel modello. 85 Cfr. CARNA A. R. La responsabilità amministrativa degli enti. Aspetti economico aziendali., Rivista italiana di ragioneria e di economia aziendale, Lug-Ago 2004, p

60 2. Il contesto normativo Se procediamo ad esaminare le singole attività che l art. 6 2 c. attribuisce al modello organizzativo, vediamo come esse corrispondono ai diversi momenti che scandiscono un ciclo di risk assessment, quindi di una delle principali attività di competenza del personale addetto al controllo interno 86 : - Innanzitutto è prevista, all art. 6, 2 c. lett. a, una fase in cui, esaminate le caratteristiche delle attività d impresa, sono identificate le aree di rischio, cioè quelle in cui i reati in questione hanno maggiore probabilità di prodursi. Nel formulare questo giudizio nella loro attività criminogena si dovrà tenere conto anche delle attività di controllo interno che sono operanti nelle singole aree. - In secondo luogo, all art. 6, 2 c. lett. b, è disposto che siano elaborate delle normative interne atte ad imprimere il carattere di continuità e regolarità a tale attività di monitoraggio ed alla progettazione di misure volte a contrastare i rischi emersi. È questa la fase in cui sono ideate e pianificate le contromisure volte a contenere i rischi preventivati, le quali dovranno facilitare la documentazione delle attività aziendali, apportare coerenza nei processi gestionali e nella ripartizione dei poteri e delle competenze, nonché disporre uno svolgimento dei controlli regolare e procedurale. - Questi interventi correttivi interesseranno per forza anche la gestione delle risorse, anche solo per assicurare all attività di individuazione e gestione del rischio gli strumenti necessari (art. 6, 2 c. lett.c). - Infine, ai sensi del comma 2 dell art. 6 lett. d, deve essere predisposto un apposito sistema disciplinare che consenta di intervenire sanzionando chi trasgredisca alle prescrizioni elaborate. A tal fine, devono essere adottai dei protocolli interni che, oltre a un sistema di sanzioni coerente e adeguato, contengano la disciplina delle procedure da seguire 86 Cfr. MAGNATE P. Modelli per la prevenzione della responsabilità delle imprese, Contabilità, finanza e controllo, n. 5/

61 2. Il contesto normativo nell esecuzione di determinate attività aziendali e prevedano una serie di indicatori di pericolo, la cui verificazione dia impulso ai controlli o alla diretta irrogazione delle sanzioni. Se i modelli da adottare possono essere fatti rientrare nel sistema di controllo interno, è parimenti possibile riscontrare evidenti affinità tra l organismo preposto alla vigilanza su tali modelli e la Funzione di Internal Audit. Tale corrispondenza è evidente con riferimento alle attività sottese alla funzione di cui l organismo è investito, queste consistono in un tipico monitoraggio sulla compliance, quale quelli di competenza dei revisori interni, che nel momento in cui investono tutto il sistema dei controlli interni, possono benissimo includere anche le unità di controllo predisposte al fine di escludere la responsabilità amministrativa della società. Inoltre, all organo di vigilanza spetta una valutazione periodica dei modelli adottati, al fine di saggiarne l efficienza e la reale capacità di prevenire i rischi derivanti dalla commissione dei reati. In seguito al riscontro di eventuali carenze funzionali, spetta sempre all organismo di vigilanza formulare delle proposte di modifica dei modelli organizzativi, volte ad implementare l efficienza e ristabilire così un livello di rischio accettabile. Anche in questo caso, l analogia con l internal auditing è palese: l attività monitoria in esame coincide in sostanza con l operational audit. In definitiva, l attività di vigilanza ex art. 6 sembra poter ricalcare un vero e proprio ciclo di audit: sia per quanto concerne l attività in esame, consistenti in azioni di monitoraggio sulla compliance o sull efficienza delle operazioni aziendali; sia in riferimento alle attribuzioni dell organo di vigilanza; sia infine per la necessità (non espressamente richiamata dalla norma) di trasmettere all organo di vertice della società il report contenente le conclusioni e le contromisure formulate per aggiornare i modelli organizzativi. 59

62 2. Il contesto normativo Se la società dispone di un comitato per il controllo interno, questo potrebbe essere l organo che, come vedremo nelle pagine successive, meglio di tutti sintetizza in se stesso le caratteristiche di collegialità, indipendenza e collocazione ai vertici della gerarchia societaria. Tale organo essendo eletto in via preferenziale a vertice della Funzione di Internal Audit potrebbe valersi dei revisori interni per effettuare un più penetrante monitoraggio sui modelli organizzativi, potrebbe ricevere i report dal team di Internal Audit in merito alla compliance e all efficienza degli stessi, potrebbe fare valere le risultanze della vigilanza direttamente presso il consiglio di amministrazione, nonché ivi proporre, discutere e deliberare le opportune azioni migliorative L AUTOREGOLAMENTAZIONE IN ITALIA Il mantenimento della fiducia degli investitori in presenza di mercati finanziari efficienti e dinamici dipende principalmente dalla qualità della gestione e dalla trasparenza e correttezza delle informazioni sull andamento economico-finanziario dell azienda, soprattutto per le società quotate nei mercati regolamentati. Ad oggi, infatti, uno degli elementi indispensabili per la competitività aziendale è rappresentato dal conseguimento di una piena trasparenza informativa, che di fatto può essere soltanto in parte ottenuta mediante un adeguata regolamentazione in materia contabile. Quest ultima, infatti, per la natura stessa del bilancio e la soggettività dei processi di valutazione che ne sono all origine, consente agli operatori di godere di un ampio margine di discrezionalità che può facilmente sfociare, 87 PARMEGGIANI F. I modelli di controllo prescritti dal D. Lgs. 231/01 in materia di responsabilità amministrativa delle società., Marzo

63 2. Il contesto normativo in assenza di un valido sistema di controllo interno, in una distorsione nella gestione dei dati, delle informazioni e dei risultati aziendali. Da ciò deriva che la durevole continuità dell azienda e il rafforzamento delle sue condizioni di equilibrio, possono essere garantiti unicamente da comportamenti etici posti in essere dalla stessa organizzazione. I valori etici appartengono soltanto alla persona e non possono essere alimentati attraverso nuove leggi: possono essere soltanto stimolati e incoraggiati dalle autorità, dagli operatori aziendali e dal mercato 88. È implicita, dunque, l affermazione all interno della struttura organizzativa, di una cultura volta all adozione di comportamenti virtuosi e al costante miglioramento dei flussi informativi, contemperando adeguatamente e simultaneamente regole e Codici di Autodisciplina. Gli investitori, anche internazionali, devono poter facilmente identificare le principali caratteristiche delle aziende e comprendere le legittime motivazioni di eventuali disallineamenti con le best practice. Si è affermato quindi, il principio secondo cui, in mercati caratterizzati da un elevata mobilità internazionale dei capitali, l introduzione di regole appropriate che accrescano la fiducia degli investitori, senza per questo costituire elementi di rigidità, rappresenta un fattore competitivo strategico per ogni Paese 89. Come già accennato in precedenza, il TUF ha segnato un primo importante passo verso un mutamento nell approccio alle tematiche della corporate governance; esso, infatti, contiene numerosi rinvii di legge, espliciti o impliciti 90, alla normativa secondaria e di autoregolamentazione, 88 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Per autoregolamentazione esplicita devono intendersi tutti gli spazi che espressamente individuati dalle norme primarie e secondarie, devono essere regolamentati attraverso forme di autodisciplina (ad esempio: artt c.c. e ss. in merito alla convocazione dell assemblea, la sua costituzione, la validità delle deliberazioni ecc.). 61

64 2. Il contesto normativo assegnando di volta in volta, alle Authority di settore compiti di vigilanza regolamentare e, all autonomia dei privati diverse possibilità di autoregolamentazione. Infatti, è a partire dalla riforma del TUF che nel nostro paese si è avviato tale processo di delegiferazione in materia di corporate governance, processo che ha riservato alla legge soltanto la determinazione dei principi, la disciplina delle regole più rilevanti e l allocazione dei poteri, lasciando conseguentemente ampi spazi all autonomia statutaria. La ratio di tale impostazione è la ricerca dal basso dell assetto normativo più adeguato alle diverse realtà operative, indirizzandosi verso forme di autoregolamentazione idonee a garantire una corretta ed efficiente gestione imprenditoriale, senza, però, entrare nel dettaglio delle diverse fattispecie socio-aziendali. La normativa concernente la corporate governance, non riveste unicamente forma di legge, ma individua come norme giuridiche vincolanti soltanto dei principi generali, rinviando poi agli enti di categoria il compito di determinare le norme attuative di comportamento e lasciando all autonomia privata la facoltà di strutturare al meglio la propria governance. Oltre alla trasparenza di cui abbiamo già accennato all inizio del paragrafo, i principi base su cui è improntato tale framework normativo sono costituiti dalla flessibilità, in quanto le norme di comportamento attuative risultano più facilmente e rapidamente adattabili, sia nel tempo (al variare delle esigenze), sia nello spazio (di settore in settore, di caso in caso) e dalla libertà di organizzazione, lasciando alle imprese la Per autoregolamentazione implicita debbono intendersi tutti quei rinvii a forme di autoregolamentazione che, ancorché non specificatamente contemplati da normativa primaria e secondaria, trovano comunque applicabilità nell ambito dell ordinamento. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

65 2. Il contesto normativo possibilità di personalizzare il proprio modello di governo societario in base alle proprie specifiche caratteristiche ed esigenze 91. Ad oggi, le disposizioni regolamentari in tema di corporate governance delle Autorità di vigilanza (Ministero dell Economia e delle Finanze, CONSOB, Banca d Italia, ISVAP) e di gestione dei mercati regolamentati (Borsa Italiana) sono molteplici. Tra i numerosi codici di autoregolamentazione e linee guida di origine varia emanati soprattutto da diverse associazioni di categoria, il Codice di Autodisciplina di Borsa Italiana delle società quotate rappresenta per la sua rilevanza e pervasività, un caso a sé, anche in relazione al peso economico delle realtà aziendali in cui trova applicazione. L adesione a tali forme di autoregolamentazione è volontaria, secondo il principio di freedom with accountability, anche se la mancata applicazione o l inosservanza delle regole stabilite al loro interno può comportare, tra l altro, danni in termini di immagine (soprattutto in quei settori in cui viene attribuito grande valore alla reputazione e alla condotta etica), oppure costituire un indicatore di rischio di una non corretta gestione o inosservanza di una condotta trasparente IL CODICE DI AUTODISCIPLINA DI BORSA ITALIANA Nel 1999, in un periodo in cui la capitalizzazione di borsa superava il 50 % del PIL e l internazionalizzazione degli scambi si avvicinava a percentuali di poco inferiori 92, la Consob ha dato avvio alla redazione del Codice di Autodisciplina, un insieme di disposizioni, suddivise in principi e criteri 91 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Baraldi M. Paletta A. Zanigni M., Corporate governance e sistema di controllo interno, Franco Angeli, 2004, p.4. 63

66 2. Il contesto normativo applicativi, che si configurano come un modello di best practice ritenute idonee a garantire un corretto rapporto tra il mercato e le società quotate. Sull onda del grande successo che era stato ottenuto negli Stati Uniti dal Committee of Sponsoring Organisations (CoSO) of the Treadway Commission con la redazione del CoSO Report, la Consob decise di pianificare un Progetto Corporate Governance per l Italia costituendo un Comitato operativo e non onorifico coordinato da Stefano Preda - allora Presidente di Borsa Italiana S.p.a. - a cui presero parte illustri appartenenti al sistema bancario, assicurativo e industriale, al mondo delle istituzioni, delle università e delle professioni, ad associazioni degli emittenti e degli investitori. Le finalità del progetto furono quelle di offrire alle imprese quotate italiane uno strumento capace di rendere ancora più conveniente il loro accesso al mercato dei capitali e fornire un modello di organizzazione societaria adeguato a gestire il corretto controllo dei rischi d impresa e i potenziali conflitti d interesse, che sempre possono interferire nei rapporti fra amministratori e azionisti, fra maggioranze e minoranze 93. Le esigenze delle aziende italiane convergono con gli obiettivi vitali di efficienza, efficacia, trasparenza e legalità che rappresentano le mete fondamentali dei sistemi di governo delle società in tutti i Paesi a mercato evoluto. Per l ottenimento di questo risultato globale il progetto si è posto l obiettivo di un adeguamento del CoSO Report statunitense al contesto italiano e di approfondire il tema dei ruoli, delle responsabilità e dei processi complessi di interrelazione che legano i diversi soggetti interni ed esterni all impresa (quali ad esempio, azionisti, consiglio di amministrazione, altri stakeholders, organi di controllo e di revisione esterna, Borsa). Il Comitato ha voluto realizzare un Codice allineato con la pratica internazionale, ma rispettoso della specificità italiana, basato sul principio 93 Cfr. Codice di Autodisciplina, 1 edizione, Ottobre

67 2. Il contesto normativo della libertà di organizzazione del governo d impresa coniugato con la corretta definizione delle responsabilità in un regime di perfetta trasparenza 94, trattandosi di fatto di disposizioni da adottare per un occasione di sviluppo, in modo facoltativo, quindi non obbligatorie. Il codice di Autodisciplina, dopo aver subito una prima rivisitazione nel Luglio del 2002 dal Comitato per la Corporate Governance delle società quotate, è stato ulteriormente sottoposto ad una profonda revisione conclusasi con la pubblicazione della 3 edizione, nel 2006 che, per quanto ci riguarda, amplia ed arricchisce l ambito di azione della Funzione di Internal Audit. Il Codice, che pure segue l ordine degli argomenti della versione del 2002, presenta una struttura sostanzialmente diversa: esso è suddiviso in tre distinte sezioni: principi, di carattere generale, criteri applicativi, con indicazioni di dettaglio sull attuazione dei principi; commenti, che chiariscono la portata dei principi e dei criteri, anche ricorrendo a diversi esempi opportuni. Alcuni tra i capisaldi e le novità del Codice riguardano 95 : - la composizione del consiglio di amministrazione. Viene migliorata la definizione della figura di amministratore non esecutivo e quella del suo ruolo; si introduce, inoltre, la figura del cosiddetto lead indipendent director, nel caso di concentrazione delle cariche di presidente e amministratore delegato; - il ruolo del consiglio di amministrazione. In particolare sono introdotte raccomandazioni che limitano il cumulo degli incarichi degli amministratori e intervengono sul self assessment annuale del consiglio sulle attività svolte; 94 Cfr. Codice di Autodisciplina, 1 edizione, Ottobre Riportiamo brevemente un elenco dei principali fondamenti su cui si basa il Codice di Autodisciplina e le sue novità introdotte con l ultima rivisitazione del 2006, soffermandoci successivamente sull art. 8 Sistema di Controllo Interno per un analisi dei principali interventi effettuati dal Comitato per la Corporate Governance in materia di controllo interno. 65

68 2. Il contesto normativo - gli amministratori indipendenti. Viene disciplinata la loro presenza in un numero adeguato all interno del consiglio di amministrazione. Si afferma inoltre, che nella valutazione di indipendenza prevale la sostanza sulla forma; vengono esemplificati i criteri in base ai quali il cda deve effettuare la valutazione; viene coinvolto il collegio sindacale in funzione di controllo della corretta applicazione dei criteri e sono previste riunioni di soli consiglieri indipendenti; - i Comitati interni al consiglio di amministrazione, (tra cui, Comitato per le nomine, Comitato per le remunerazioni, Comitato per il controllo interno detto anche Audit Committee) Per questi, è prevista una puntuale disciplina in riferimento alla composizione, ai poteri e alle modalità di svolgimento dell incarico; - il sistema di controllo interno. È stata aggiornata la nozione di sistema di controllo interno in linea con l evoluzione delle best practice internazionali, puntando ad una migliore definizione di ruoli e rapporti tra i diversi soggetti/organi coinvolti nella definizione, (in particolare tra collegio sindacale e comitato per il controllo interno). In ultima analisi, è prevista una valutazione periodica da parte del consiglio di amministrazione relativamente all adeguatezza, all efficacia ed all effettivo funzionamento del sistema di controllo interno; - il Preposto al controllo interno. Vengono disciplinati i criteri per la sua nomina e la puntuale definizione del ruolo e dei poteri attribuiti. Il Preposto al controllo interno si identifica normalmente con il responsabile della Funzione di Internal Audit; - i rapporti con gli azionisti. 66

69 2. Il contesto normativo È prevista la promozione di iniziative volte ad agevolare la conoscenza, da parte dell azionariato, delle informazioni societarie e favorire la partecipazione alle assemblee e l esercizio dei diritti sociali. Per la sua autorevolezza, il Codice di Autodisciplina è divenuto un vero e proprio modello di riferimento anche per le società non quotate 96. La sezione che più ci interessa ai fini di tale trattazione è quella dedicata al sistema di controllo interno (art. 8) in cui viene fornita la definizione di sistema di controllo interno. In particolare: il sistema di controllo interno è l insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell impresa sana, corretta e coerente con gli obiettivi prefissati. Si aggiunge, inoltre, che un efficace sistema di controllo interno contribuisce a garantire la salvaguardia del patrimonio sociale, l efficienza e l efficacia delle operazioni aziendali, l affidabilità dell informazione finanziaria, il rispetto di leggi e regolamenti 97. Il consiglio di amministrazione, con l assistenza del Comitato per il controllo interno, definisce le linee di indirizzo del sistema di controllo interno, attribuisce ad un amministratore esecutivo (di norma uno degli amministratori delegati) il compito di curarne la funzionalità, ne valuta con cadenza almeno annuale l adeguatezza, l efficacia e l effettivo funzionamento, riferendone nella relazione sulla corporate governance. L amministratore esecutivo identifica i principali rischi aziendali, sovrintende alla funzionalità del sistema di controllo interno, ne cura la sua progettazione, la realizzazione e la gestione, verificandone costantemente l adeguatezza, l efficacia, l efficienza e la rispondenza al mutare degli scenari operativi e di regolamentazione. 96 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 Sistema di controllo interno. 67

70 2. Il contesto normativo Il compito del Preposto al controllo interno, che come appena detto si identifica con il responsabile della Funzione di Internal Audit è quello di verificare l adeguatezza, l operatività e la funzionalità del sistema di controllo interno, riferendo al Comitato per il controllo interno, detto altrimenti Audit Committee, al collegio sindacale e, se richiesto, all amministratore esecutivo. La sua nomina, remunerazione e revoca sono decise dal consiglio di amministrazione, sentito il parere del Comitato per il controllo interno. Nell adempimento dei suoi doveri, il Preposto deve essere dotato di mezzi necessari e avere accesso a tutte le informazioni aziendali utili 98. Da qui si comprende che, il nuovo Codice di Autodisciplina richiede all Internal Audit di esprimersi anche sull adeguatezza del sistema di controllo interno e di gestione dei rischi nel suo complesso, ovvero con riferimento ad alcuni specifici aspetti. In particolare, il Preposto riferisce circa le modalità con cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento, ed esprime la propria valutazione sull idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo. Il Codice, sottolineando la rilevanza di una corretta gestione dei rischi per il perseguimento degli obiettivi aziendali, collega strettamente il sistema di controllo interno al risk management (ERM) 99 a cui abbiamo fatto riferimento nelle pagine precedenti. Per concludere, è opportuno evidenziare che al Preposto non deve essere attribuita la responsabilità di nessuna area operativa e, allo stesso tempo, esso non deve dipendere gerarchicamente da alcun responsabile di aree 98 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. MIRABELLI G. M., Affrontare la sfida del cambiamento, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p

71 2. Il contesto normativo operative, ivi inclusa l area amministrazione e finanza 100, conformemente con i principi di indipendenza e obiettività che qualificano l attività di internal auditing nella verifica dell efficacia dei meccanismi di governance implementati. Sulla base di queste considerazioni, appare evidente il ruolo di primo piano che l Internal Audit può rivestire nella corporate governance, i nuovi requisiti normativi e l evoluzione del business mettono tale professione di fronte alla necessità di riorientare l attività verso l obiettivo chiave di dare un giudizio 101 sull adeguatezza e l efficacia del sistema di controllo e di gestione dei rischi nel suo complesso Cfr Codice di Autodisciplina di Borsa Italiana (2006), art. 8 Sistema di controllo interno. 101 Al di là degli aspetti di natura meramente tecnica connessi all applicazione degli Standard e delle Guide Interpretative, potrebbe essere utile fornire alcune indicazioni pratiche per affrontare il problema della valutazione del sistema di controllo interno complessivo richiesta dal nuovo Codice di Autodisciplina. In particolare è opportuno: a) partire da un assessement generale dei rischi e dei controlli, ovvero esaminare e valutare le informazioni disponibili. Le check list di valutazione del CoSo (Internal Control Integrated Framework) possono essere un utile riferimento; b) definire i principi generali del sistema di controllo interno (ad esempio calando nella realtà aziendale i modelli di riferimento), portarli all approvazione del cda e diffonderli all interno dell organizzazione; c) definire un piano di audit basato su una valutazione dei principali rischi, sufficientemente flessibile per tenere conto dell evoluzione del business (nuove attività, nuovi processi); d) stabilire efficaci relazioni con i diversi fornitori di assurance all interno dell organizzazione (CFO, risk officer, legale, Organismo di vigilanza ex 231, revisori esterni ecc.) e utilizzarne adeguatamente le informazioni in modo da evitare duplicazioni di attività; e) promuovere lo sviluppo di processi di Control Self Assessment (CSA) all interno dell organizzazione, integrati in modo adeguato con i processi di risk management; f) valutare se istituire un sistema di reporting periodico dal management al board sull adeguatezza del sistema di controllo interno in relazione ai rischi di pertinenza; g) valutare con un approccio sistemico tutte le informazioni ricevute e ricavare da esse il giudizio finale; h) presentare al Comitato per il controllo interno (Audit Committee) le informazioni acquisite, in modo da consentire al Comitato stesso di valutarle, di esprimere a sua volta un giudizio e di presentare la relazione di valutazione al Consiglio; in tal modo si crea un circuito integrato tra i diversi soggetti che devono esprimere una valutazione senza duplicazioni e inefficienze. Cfr. MIRABELLI G. M., Affrontare la sfida del cambiamento, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p È più facile per un consiglio di amministrazione esprimere una positive assurance, ma per evitare che tale dichiarazione assuma i tratti di un attestazione meramente fiduciaria, è necessario che questi organi ricevano un adeguato supporto informativo. In tale ambito, il contributo dell Internal Audit può essere molto importante. Cfr. MIRABELLI G. M., Affrontare la sfida del cambiamento, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p

72 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo CAPITOLO 3 IL RUOLO DELL INTERNAL AUDIT E LE RELAZIONI CON GLI ORGANI DI CONTROLLO 1. INTRODUZIONE Alla luce del considerevole impatto delle novità introdotte, diviene lecito porsi alcuni quesiti sul ruolo della Funzione dell Internal Audit e sulle possibili relazioni e sinergie tra la Funzione stessa e tutti i diversi attori coinvolti nel sistema di corporate governance. Con riguardo al ruolo dell Internal Audit, va ribadito che la riforma del diritto societario pur trattando tematiche inerenti alle attività di controllo societario, non ha affrontato il ruolo di tale Funzione 103. Ciò era prevedibile, visto che, nel contesto italiano, la scelta dell istituzione dell Internal Auditing non risulta ancora un obbligo di legge, ma è demandata alla volontà della singola società, pur essendo comunque fortemente consigliata (soprattutto per le società quotate, anche alla luce di quanto prescritto dal Codice di Autodisciplina di Borsa Italiana) 104. Riguardo invece al secondo aspetto, ovvero alle relazioni tra la Funzione di Internal Audit e gli altri organi di controllo, la realtà degli emittenti quotati può considerarsi quella con profili di governance maggiormente complessi, anche se per le società non facenti ricorso al mercato del capitale di rischio 103 Cfr. Capitolo 2 Il contesto normativo, Par. 6.1 Il contesto normativo italiano: la normativa societaria. 104 Cfr. DE ROSA S., Riforma Vietti: sistemi di governance a confronto, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p

73 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo sono comunque previsti flussi informativi tra organi di amministrazione e organi di controllo e tra gli stessi organi di controllo (artt.2397 e ss. c.c.). Nel prosieguo della trattazione, per ampiezza di contenuto, svilupperemo la nostra analisi avendo come principale modello di riferimento quello degli emittenti quotati, analizzando i ruoli e le relazioni tra la Funzione di Internal Audit e i principali organi di controllo e di vigilanza (interni ed esterni alla struttura societaria) previsti dall ordinamento italiano. I soggetti coinvolti nell ambito della governance aziendale Assemblea dei soci Società di revisione Collegio Sindacale Consiglio di amministrazione Organismo di Vigilanza ex 231/2001 Comitato per il controllo interno Amministratore esecutivo Preposto al controllo interno Dirigente preposto alla redazione dei documenti contabili Staff di Internal Audit 71

74 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo 2. I RAPPORTI CON IL CONSIGLIO DI AMMINISTRAZIONE Un attività professionale di internal auditing rappresenta una preziosa fonte di informazioni per il consiglio di amministrazione e i comitati da questo costituiti. Essa infatti, fornisce assurance sull efficacia dei processi di governance, gestione dei rischi e controllo interno, prendendo in considerazione i rischi strategici, di reputazione, di mercato, creditizi, operativi e finanziari 105. I rapporti tra consiglio di amministrazione e Internal Audit possono essere di varia natura e frequenza a seconda, soprattutto, dei momenti di riporto stabiliti dal cda. Il primo momento di contatto tra il cda, o il Comitato per il controllo interno ove costituito, e la Funzione di Internal Audit assume particolare importanza poiché attiene alla definizione del ruolo e degli obiettivi che la Funzione stessa deve assolvere. Il ruolo dell Internal Audit viene formalizzato in un apposito Mandato 106, l Internal Audit Charter, approvato dal cda, all interno del quale devono essere riportate 107 : 105 Cfr. ECIIA, Position Paper L Internal Auditing in Europa, Ottobre 2005, pag L importanza attribuita al Mandato è notevole, in quanto esso assolve a due funzioni sostanziali (vedi Standard IIA 1000 Finalità, autorità e responsabilità.): 1. stabilisce gli obiettivi strategici della funzione e, pertanto, le aspettative del vertice aziendale nei confronti dell Internal Auditing; 2. delinea gli elementi essenziali dell attività in termini di finalità, autorità, responsabilità e natura dei servizi di consulenza e di assurance. In particolare lo scopo del Mandato è quello di: a) garantire l indipendenza e l autonomia della Funzione di Internal Auditing ai fini della propria obiettività; b) garantire il libero accesso alle informazioni necessarie per il pieno svolgimento delle attività di audit; c) delineare l ampiezza dell attività di internal auditing. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

75 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo - le finalità, quali ad esempio, promuovere il continuo miglioramento del sistema complessivo di risk management e di controllo interno attraverso la valutazione della sua funzionalità, la verifica della regolarità delle attività operative e l andamento dei rischi, al fine di portare all attenzione del vertice, dell alta direzione e del management i possibili miglioramenti alle politiche, alle procedure di gestione dei rischi e ai mezzi di monitoraggio e di controllo; - l autorità, formalizzando il fatto che i soggetti addetti all attività di internal auditing hanno libero accesso a tutti i documenti, persone, attività, operazioni, archivi e beni aziendali necessari per lo svolgimento delle loro operazioni, senza restrizione alcuna. Questo significa che il libero accesso può riguardare le funzioni operative, le norme e le procedure aziendali, i libri contabili e le relative evidenze di supporto, i dati gestionali e altri tipi di dati, i locali e le persone attraverso interviste e questionari. Infine, è importante che il Mandato indichi con chiarezza la collocazione organizzativa, funzionale e gerarchica dell attività, nonchè la possibilità per il responsabile dell Internal Audit di avere libero accesso e comunicazione con un organo prestabilito dal vertice (ad esempio consiglio di amministrazione o il Comitato per il controllo interno) a cui deve riportare almeno annualmente i risultati delle attività di audit; - la responsabilità dell attività, la quale si concretizza nella programmazione degli interventi e nella predisposizione di un piano di audit 108. Il Mandato dovrà indicare inoltre l organo a cui tale piano viene sottoposto per approvazione (se presente, il Comitato per il controllo interno). 108 È prassi, comunque, prevedere la possibilità di svolgere incarichi non previsti originariamente dal piano di audit, in base alle criticità che possono emergere di volta in volta e/o alle richieste specifiche del vertice aziendale o dell alta direzione. 73

76 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo Il rapporto che deve istaurarsi tra l Internal Audit e il cda è fondamentale ai fini dello svolgimento dell attività stessa, infatti, il supporto del vertice aziendale (tone at the top) favorisce la collaborazione delle funzioni soggette ad audit consentendo l espletamento dell incarico senza interferenze. Pertanto, se da un lato i Preposti al controllo interno e gli internal auditor non dipendono gerarchicamente da alcun responsabile di aree operative e riferiscono del loro operato agli amministratori delegati o al Comitato per il controllo interno, dall altro è auspicabile che essi godano del pieno appoggio del cda, al fine di favorire una cultura del controllo nel tessuto aziendale e di valorizzare e responsabilizzare l operato della Funzione stessa. La frequenza con cui il responsabile della Funzione deve riferire del proprio operato al consiglio di amministrazione non è espressamente definita da fonti normative, ma comunque è condiviso il principio che l informazione al cda debba essere tale da garantire un intervento tempestivo da parte dello stesso. Questo lascia intendere che, oltre ad un informativa periodica e sistematica (stabilita in via preventiva) è essenziale un informativa di natura episodica atta ad informare il cda di eventuali accadimenti per i quali potrebbe rendersi necessaria una repentina azione correttiva e/o migliorativa Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 88. Gli Standard IIA riportano che il responsabile della funzione di Internal Audit dovrebbe, almeno ogni anno: a) sottoporre al vertice aziendale per approvazione e al cda, per conoscenza, una sintesi del programma di internal auditing, il piano delle risorse e il budget di spesa; b) comunicare successivamente, per conoscenza e approvazione, tutte le variazioni di un certo rilievo apportate al programma, al piano o al budget; c) presentare un rapporto sull attività svolta. 74

77 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo 3. I RAPPORTI CON IL COMITATO PER IL CONTROLLO INTERNO (AUDIT COMMITTEE) Nei modelli di governance in linea con le best practice, la responsabilità del sistema di controllo interno viene affidata al consiglio di amministrazione, che deve fissarne le linee di indirizzo e verificarne periodicamente l adeguatezza e l effettivo funzionamento, assicurando altresì che i principali rischi aziendali siano identificati, misurati, gestiti e monitorati correttamente 110. Non sempre però, la scelta di instaurare un rapporto di dipendenza funzionale diretta dell Internal Audit dal cda risulta in linea con le logiche che dovrebbero guidare questa Funzione nella sua operatività 111. Il Comitato per il controllo interno, se costituito, rappresenta il principale punto di collegamento tra la Funzione di Internal Audit e il consiglio di amministrazione: questo secondo il presupposto che, nelle strutture complesse e maggiormente articolate, la costituzione di un filtro 112 tra l Internal Audit e il cda possa garantire maggiore trasparenza informativa e chiarezza sulle problematiche riscontrate e le aree di miglioramento individuate dagli internal auditor. Quindi, da un lato, tale Comitato è il referente diretto dell intera Funzione di Internal Audit, dall altro esso si configura come l organo deputato a 110 Cfr.. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 Sistema di controllo interno. 111 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Le norme di corporate governance prevedono che il cda, responsabile dell andamento della gestione verso gli azionisti e gli altri interlocutori aziendali, si organizzi in modo tale da autoregolare il proprio comportamento e sia al contempo responsabile del sistema dei controlli posti in essere. Ecco, quindi, come, nell esercizio delle funzioni in cui l interesse personale e quello della società possono maggiormente configgere, (per esempio, prendere decisioni riguardanti le nomine o le remunerazioni), il board è chiamato a delineare un processo di delega di funzioni a sottogruppi di amministratori, riuniti in comitati, particolarmente qualificati, spesso sotto il profilo dell indipendenza a garanzia di un comportamento fair nei riguardi degli stakeholders aziendali. Tra questi assume un ruolo rilevante il Comitato per il controllo interno incaricato di un compito primario del cda: il controllo, a bilanciamento delle responsabilità su di esso gravanti. Cfr. MILANI F., Il Comitato per il controllo interno nella corporate governance, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006 p

78 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo relazionarsi al cda in merito all operato della Funzione e alle criticità emerse 113. Il Preposto al controllo interno riconosce nel Comitato per il controllo interno l organo deputato a ricevere e valutare l operato del team di revisione interna attraverso i rapporti da questo emessi, assicurandone successivamente un adeguata informativa in seno al consiglio di amministrazione 114. Il Codice di Autodisciplina di Borsa Italiana richiede, a garanzia dell imparzialità del suo operato, che il Comitato per il controllo interno sia composto esclusivamente da amministratori non esecutivi, in maggioranza indipendenti 115, tendendo verso i dettami internazionali, che prevedono, tanto nell UK, quanto negli USA, il requisito in oggetto per tutti i suoi membri. Questi ultimi devono possedere le competenze necessarie per valutare i controlli finanziari e gestionali, oltre alla capacità, l esperienza e la volontà di agire per il bene dell organizzazione e dei suoi stakeholders Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 Sistema di controllo interno. Il Comitato per il controllo interno: a) valuta, con il dirigente preposto alla redazione dei documenti contabili ed ai revisori, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità alla redazione del bilancio consolidato; b) su richiesta dell amministratore esecutivo, esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali nonché alla progettazione, realizzazione e gestione del sistema di controllo interno; c) esamina il piano di lavoro preparato dai preposti al controllo interno; d) valuta le proposte formulate dalla società di revisione per ottenere l affidamento dell incarico, nonché il piano di lavoro predisposto per la revisione ed i risultati esposti nella relazione e nella lettera di suggerimenti; e) vigila sull efficacia del processo di revisione contabile; f) per ultimo riferisce al cda almeno semestralmente, sull attività svolta, nonché sull adeguatezza del sistema di controllo interno. 114 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Se l emittente è controllato da altra società quotata, il Comitato per il controllo interno è composto esclusivamente da amministratori indipendenti. 116 In un percorso di avvicinamento agli standard internazionali, il Codice di Autodisciplina del 2006 innova il testo del 2002 richiedendo, quanto a qualificazione professionale del Comitato, che almeno un membro presenti adeguata esperienza in materia contabile e finanziaria. Il Code inglese richiede che almeno uno di essi sia dotato di rilevanti, recenti e significative esperienze in campo contabile e accreditato dall appartenenza ad uno dei Professional Accountancy Bodies. In linea la regolamentazione statunitense, dispone che tutti i componenti siano financially literate e che vi sia almeno un esperto in materia di accounting o financial management. 76

79 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo Il cda, quindi, riconosce al suo interno l Audit Committee come l organo deputato a veicolare sulla Funzione di Internal Audit le esigenze e gli obiettivi fissati, tenendo presenti la struttura di audit, l ambiente di controllo, la cultura del controllo e, non da ultimo, le priorità di azione stabilite in consiglio 117. Il Codice di Autodisciplina dispone, inoltre, che il Preposto al controllo interno riferisca al Comitato per il controllo interno, così come anche al collegio sindacale e, se previsto, all amministratore esecutivo, in merito alla propria valutazione sull idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo. Al fine di garantire una relazione efficace tra il Comitato per il controllo interno e l Internal Auditing, è evidente che tra i due organi devono sussistere contatti frequenti in modo tale da rendere sufficientemente chiare le finalità e le esigenze delle attività di auditing svolte dalla Funzione ed attese dai vertici aziendali. È importante, pertanto, per una corretta valorizzazione del lavoro che il ruolo della Funzione di Internal Audit sia compreso con chiarezza dal Comitato e dal cda e che il Comitato abbia trasmesso a sua volta con altrettanta chiarezza le aspettative e le priorità che il vertice aziendale ha individuato. Risulta di fondamentale importanza delineare le modalità di cooperazione tra i diversi organi di controllo ricompresi nel sistema di control governance, al fine di non compromettere l efficienza e l efficacia dell attività svolta, evitando perciò pericolose sovrapposizioni di ruoli e non chiarezza di responsabilità sui controlli da effettuare Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. DE ROSA S., Riforma Vietti: sistemi di governance a confronto, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p

80 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo Affinché il Comitato per il controllo interno e l attività di internal auditing riescano a realizzare il potenziale che permetta loro di sostenersi a vicenda, devono essere presenti alcuni fattori. In primo luogo il Mandato del Comitato e quello dell Internal Auditing devono essere complementari. In secondo luogo, il responsabile della Funzione deve poter avere un contatto diretto con il presidente del Comitato. Tali contatti devono essere regolari per riuscire a sviluppare un rapporto di reciproca fiducia. Inoltre, il Preposto al controllo interno deve partecipare alle riunioni del Comitato per discutere questioni quali il Mandato dell internal auditing, la revisione del piano di audit, rilievi significativi emersi durante lo svolgimento dell attività di revisione interna e andamento del follow-up delle raccomandazioni 119. Occorre precisare che, pur avendo una propria specifica connotazione per ruolo (ispirato prevalentemente ad attività di controllo e supervisione) e per composizione (esso, infatti, si costituisce di amministratori non esecutivi, in maggioranza indipendenti), il Comitato è pur sempre un organo costituito, all interno del consiglio di amministrazione, da amministratori che partecipano fattivamente alle scelte aziendali e che condividono con gli altri amministratori le linee strategiche dell impresa 120. Indipendentemente da Codice di autoregolamentazione, che fa riferimento alle società quotate, la costituzione di un Comitato per il controllo interno nel sistema di governo delle imprese italiane rappresenterebbe, anche per le aziende non quotate, un forte catalizzatore a disposizione del consiglio di amministrazione per salvaguardare gli interessi dell azionista e rafforzare la natura del controllo interno, l immagine dell azienda nei confronti del mercato, nonché quella della Funzione di Internal Auditing con l obiettivo di valorizzarne l attività all interno dell organizzazione. 119 Cfr. ECIIA, Position Paper L Internal Auditing in Europa, ottobre 2005, pag Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

81 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo 4. I RAPPORTI CON IL COLLEGIO SINDACALE, IL CONSIGLIO DI SORVEGLIANZA O IL COMITATO PER IL CONTROLLO SULLA GESTIONE Con la riforma del TUF, e successivamente con quella del diritto societario, sono stati profondamente rivisti i compiti e le responsabilità del collegio sindacale, inizialmente nelle società quotate e in seguito anche nelle società per azioni non facenti ricorso al mercato del capitale di rischio. Tali riforme, pur se a distanza di anni, si sono ispirate ad una ricerca di meccanismi e procedure di coordinamento tra i vari soggetti (esosocietari ed endosocietari) che partecipano al sistema di controllo 121. Le funzioni affidate al collegio sindacale sono state oggetto di attenzione anche da parte degli organi di vigilanza (CONSOB, Banca d Italia, ISVAP) e delle associazioni di categoria (tra cui il Consiglio Nazionale dei Dottori Commercialisti CNDC, l Associazione tra le società italiane per azioni Assonime e l Associazione italiana revisori contabili Assirevi) nel tentativo di fornire dettagli relativamente alla sua attività e coordinarne l operatività con gli altri organi deputati a svolgere attività di controllo al fine di evitare duplicazioni e/o sovrapposizione di funzioni. Con l entrata in vigore del D. Lgs. 58/1998 (TUF), i compiti di controllo contabile per le società quotate sono stati interamente attribuiti alle società di revisione esterne nominate dall assemblea dei soci, pertanto, il collegio sindacale è stato sollevato, con l entrata in vigore della riforma, della funzione di controllo contabile indirizzando la sua attività verso un controllo di merito su fatti amministrativi e gestionali 122. Per quanto riguarda i rapporti tra collegio sindacale e la Funzione di Internal Audit è soprattutto nella sfera degli emittenti quotati, in particolare all art. 150 del TUF e nello stesso Codice di Autodisciplina, che si possono 121 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Le stesse considerazioni possono essere fatte analogamente per il Consiglio di sorveglianza del modello dualistico, e per il Comitato per il controllo sulla gestione del modello monistico. 79

82 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo trovare riferimenti ad un sistema informativo che prevede per i soggetti preposti al controllo interno il dovere di riferire (di loro iniziativa o su richiesta anche di uno solo dei sindaci o dei membri del Consiglio di sorveglianza o del Comitato per il controllo sulla gestione) su tutte le informazioni necessarie all adempimento delle funzioni di tali organi di controllo. Infatti, al 4 c. dell art 150, il TUF dispone che coloro che sono preposti al controllo interno hanno il compito di riferire all organo di controllo (quindi collegio sindacale, Consiglio di sorveglianza, Comitato per il controllo sulla gestione) di propria iniziativa o su richiesta anche di un solo membro di quest ultimo. All art del TUF, inoltre, è previsto che il collegio sindacale e il consiglio di sorveglianza devono vigilare anche sull adeguatezza del sistema di controllo interno 124. Il responsabile della Funzione di Internal Auditing diventa quindi una fonte di informazioni privilegiata circa il corretto funzionamento del sistema di controllo interno e, al tal proposito, il Codice di Autodisciplina 125 stabilisce che il collegio sindacale possa richiedere al Preposto al controllo interno lo svolgimento di verifiche su specifiche aree operative o operazioni aziendali. Specularmente, i sindaci e i membri degli organi di controllo vengono ad essere i principali destinatari dell attività svolta dalla Funzione di Internal Auditing. Ad essi il Preposto al controllo interno deve riferire in merito ai 123 Il disegno normativo italiano di corporate governance ed in particolare l art 149 del TUF attribuisce al collegio sindacale le seguenti categorie di funzioni: - vigilanza sull osservanza della legge e dell atto costitutivo; - vigilanza sul rispetto dei principi di corretta amministrazione; - vigilanza sull adeguatezza dell assetto organizzativo societario, del sistema di controllo interno e del sistema amministrativo-contabile, nonché sull affidabilità di quest ultimo nel rappresentare correttamente i fatti di gestione; - vigilanza sulla corretta attuazione delle regole di governo societario previste dai Codici di autodisciplina; - vigilanza sull adeguatezza delle disposizioni impartite dalla società alle controllate (ai sensi del art.114, 2 c. del TUF), che impone a queste ultime di fornire alla controllante le notizie necessarie per le comunicazioni al pubblico. 124 Una previsione analoga per il Comitato per il controllo sulla gestione è inserita nel Codice civile (art octiesdecies), in riferimento ai doveri spettanti a tale organo. 125 Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 Sistema di controllo interno. 80

83 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo compiti assegnati alla Funzione (in base al piano di audit preventivato), così come su alcune problematiche specifiche per le quali il management o l organo di controllo abbiano ravvisato l opportunità di avviare un attività di audit straordinaria. La legge non precisa, in termini di contenuto e modalità, in quale modo il responsabile della Funzione debba relazionare l attività svolta, limitandosi ad indicare che tale attività può derivare da una richiesta diretta da parte degli organi di controllo (o anche da uno solo dei membri), oppure su iniziativa dello stesso responsabile. È opportuno mettere in evidenza quanto sia determinante la tempestività con cui viene resa al collegio sindacale l informativa sugli esiti dell attività svolta dalla Funzione di Internal Auditing, in considerazione della possibilità di intraprendere urgenti azioni correttive. È ovvio che il responsabile di tale Funzione, in virtù della particolare posizione ricoperta all interno della struttura organizzativa, si trova nella condizione di fornire all organo di controllo un informativa completa e priva di eventuali filtri o condizionamenti; elementi, questi, che rischiano invece di trovare una potenziale riserva in un informativa fornita dai responsabili di Funzione o da personale operativo 126. Il Consiglio Nazionale dei Dottori Commercialisti ha puntualizzato che il collegio sindacale dovrebbe, almeno con cadenza trimestrale, tenere una riunione con il responsabile della Funzione di Internal Auditing 127 ; incontri con una tale cadenza temporale attestano l esigenza di fissare quei necessari scambi informativi atti a rendere edotti il collegio sindacale e il Preposto al controllo interno sull attività svolta, le problematiche emerse e le azioni da intraprendere. 126 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Principi di comportamento del collegio sindacale nelle società di capitali con azioni quotate nei mercati regolamentati, Ottobre

84 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo Gli incontri tra i due organi aziendali dovrebbero avere ad oggetto lo scambio di informazione utili per 128 : - l emergere di rischi (o aree di criticità) potenziali o effettivi; - il rilevamento di violazioni di leggi, atti costitutivi o statuti e norme interne; - la comparsa di fatti censurabili; - la valutazione del generale assetto del sistema di controllo interno; - la determinazione dei requisiti di professionalità e indipendenza necessari allo svolgimento degli incarichi di audit. Inoltre, in tali incontri, è auspicabile che sia: - illustrato il piano di audit; - presentata la sintesi dei lavori più significativi; - fornita indicazione sul grado di miglioramento del sistema di controllo interno. Tutto ciò per far sì che l organo di controllo abbia una corretta visione e percezione dell attività svolta dalla Funzione di Internal Auditing e sia in grado di potersi esprimere sulla sua efficacia ed efficienza e di consigliare l alta direzione su eventuali rafforzamenti di cui la Funzione potrebbe necessitare. 128 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

85 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo 5. I RAPPORTI CON IL REVISORE ESTERNO O LA SOCIETÀ DI REVISIONE Gli internal auditor e i revisori esterni hanno ambiti di responsabilità diversi. Al revisore contabile, così come alla società di revisione, è assegnato il compito di dichiarare, attraverso un parere (opinion) sul bilancio sottoposto a revisione, se i fatti di gestione sono correttamente rilevati nelle scritture contabili, se il bilancio corrisponde alle risultanze di tali scritture e se esso risulta conforme alle norme che ne disciplinano la redazione 129. Tuttavia, per adempiere a tale obbligo, devono poter avere buona comprensione dei controlli finanziari interni che sottendono la redazione del bilancio. A tal riguardo, le attività di revisione dei conti e di internal auditing sono complementari e sinergiche. Negli ultimi anni, l attività di controllo contabile è stata oggetto di grande attenzione da parte del legislatore italiano e di enti regolatori a livello nazionale (fra tutti CONSOB), comunitario ed internazionale (in particolare, IFAC, SEC), soprattutto sulla scia dei diversi scandali finanziari e sotto l impulso di rendere la revisione contabile come una funzione istituzionale a presidio e tutela degli interessi di terzi 130. A seguito della riforma del diritto societario, si sono ampliate le categorie di soggetti sottoposti a revisione contabile, ovvero, tutte le società per azioni devono avere un revisore esterno che eserciti la funzione di controllo contabile, con l eccezione di quanto previsto dalla deroga statutaria di cui all art bis, 3 comma, c.c. Anche le modalità operative dell attività di revisione contabile sono state riformulate con l estensione di un controllo trimestrale della contabilità a 129 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag La legge 262/2005 sulla tutela del risparmio, ha provveduto alla modifica degli artt. del TUF concernenti il conferimento e la revoca dell incarico di revisione contabile e le cause di incompatibilità. 83

86 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo tutte le società per azioni quotate e agli intermediari finanziari e la raccomandazione relativa all adozione dei nuovi principi di revisione IAS. Indipendentemente dal soggetto incaricato del controllo contabile 131 (società di revisione o revisore esterno), è opportuno evidenziare la diversa natura di tale attività rispetto a quella svolta dalla Funzione di Internal Auditing. Infatti, quest ultima deve orientare la propria attività verso l intero sistema dei controlli aziendali sulla base delle richieste dell alta direzione, concentrandosi, in particolare, sulla prevenzione e sull architettura di salvaguardia, piuttosto che sulla verifica a posteriori degli accadimenti e delle operazioni effettuate 132 ; il revisore contabile, invece, focalizza la propria attenzione sugli aspetti funzionali alla redazione del bilancio e alla loro corretta gestione. Tuttavia, per quanto riguarda le tecniche di analisi utilizzate e la modalità di svolgimento del lavoro (gestione del lavoro, tecniche di campionamento, check list, test di verifica, analisi di processo, ecc.) si presentano numerose analogie, tanto che, molto spesso, i due organi si trovano a condividere informazioni e coordinare assieme le proprie attività affinché non vi sia uno spreco di energie. Particolari tipologie di audit, fra tutte l audit contabile, svolto dall Internal Auditing, sono spesso di notevole ausilio per il lavoro del revisore esterno ai fini dello svolgimento dell incarico di revisione del bilancio e le due parti si scambiano informazioni in merito all ambito di copertura, all impostazione e ai rilievi di audit. Alcuni dei metodi di lavoro e analisi utilizzati dall Internal Auditing possono rivelarsi utili anche per il revisore esterno nel definire la natura, la tempistica e l ampiezza delle procedure di revisione da svolgere. Infatti, generalmente, il revisore esterno, in fase di pianificazione, procede ad una 131 Si ricorda che per tutti gli emittenti quotati e gli intermediari finanziari l attività di revisione contabile deve essere esercitata esclusivamente da una società di revisione iscritta all Albo CONSOB. 132 Cfr. G. C. Grossi, Internal Auditing. L inizio di una nuova avventura. Milano, AIIA, 2002, pag

87 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo valutazione del lavoro svolto dall Internal Audit considerandone l organizzazione, gli obiettivi, la competenza tecnica della Funzione e la diligenza professionale con la quale sono stati effettuati i lavori di audit. Occorre precisare che, la responsabilità sulla supervisione del lavoro svolto dal revisore esterno rimane un compito del consiglio di amministrazione 133, mentre, per quanto riguarda il coordinamento operativo delle attività, questo rientra nelle competenze del responsabile dell Internal Auditing e del revisore esterno. Lo svolgimento di alcuni incarichi per conto del revisore esterno e, più in generale, l assistenza fornita dall Internal Auditing al revisore stesso sono, comunque, aspetti ai quali si deve prestare la massima attenzione in quanto potenzialmente rischiosi 134. Infatti, l espressione di un giudizio professionale sul bilancio d esercizio e consolidato è di esclusiva responsabilità del revisore contabile esterno. Quest ultimo, quindi, deve svolgere il proprio incarico con la diligenza e la professionalità richieste dalla natura dell attività ed è responsabile dell intera opinion fornita, così come di tutte le evidenze che hanno fatto maturare il suo giudizio. Anche se il lavoro dell Internal Auditing può rivelarsi particolarmente utile, esso rimane unicamente responsabile del 133 L alta direzione, nell esercizio delle proprie funzioni di supervisione, potrebbe richiedere al Preposto al controllo interno una valutazione del lavoro svolto dai revisori esterni. Tale valutazione deve fondarsi su adeguate evidenze sostanziali, relative a elementi di qualificazione dell esperienza e della competenza professionale del revisore, dei profili di indipendenza e dello svolgimento delle attività secondo corretti principi etici. Concretamente potrebbero essere oggetto di valutazione: - la proattività e la rispondenza rispetto ai bisogni dell organizzazione; - la ragionevole continuità nell utilizzo di personale chiave per lo svolgimento dell incarico; - il mantenimento di appropriati rapporti di lavoro; - il rispetto degli impegni contrattuali. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Il Principio di revisione n. 610 L utilizzo del lavoro di revisione interna sottolinea che la funzione di revisione interna è parte integrante della società pertanto, qualunque sia il grado di autonomia ed obiettività di tale funzione, essa non potrà mai raggiungere lo stesso grado di indipendenza richiesto al revisore esterno nell espressione del proprio giudizio sul bilancio. 85

88 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo giudizio espresso, della scelta delle procedure da svolgere, delle tempistiche di audit, dell estensione dell analisi 135. Se il lavoro svolto dalla Funzione di Internal Auditing risulta efficace, questo potrebbe influire nella scelta della natura e nella tempistica delle procedure di revisione (in particolare, quando tale lavoro si concentra su alcune aree di pertinenza della revisione di bilancio) e consentire una riduzione dell ampiezza delle verifiche svolte dal revisore esterno 136. Ai fini di un efficace collaborazione tra i due soggetti è indispensabile la definizione di specifici aspetti del lavoro, fra cui 137 : - l ampiezza dell attività (i rispettivi programmi di audit devono essere discussi in modo tale da garantire il coordinamento e la minimizzazione delle duplicazioni; - le tempistiche; - il livello di dettaglio delle verifiche da svolgere; - la gestione delle carte di lavoro e il rispettivo accesso e utilizzo; - le modalità di controllo ed emissione dei rapporti sull attività svolta; - lo scambio di rapporti di audit e management letter Cfr. Principio di revisione n. 610 L utilizzo del lavoro di revisione interna 136 Le verifiche svolte dal revisore esterno, non possono, tuttavia, essere eliminate totalmente. In alcuni casi, il revisore esterno, dopo aver valutato le attività svolte dalla funzione di revisione interna, può addirittura decidere che quest ultima non abbia alcuna rilevanza sulle procedure di revisione da svolgere (Principio di revisione n. 610 L utilizzo del lavoro di revisione interna ). 137 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Lettera fornita con cadenza almeno annuale da parte del revisore esterno riguardante le osservazioni, emerse nel corso dell incarico, sul sistema di controllo interno. 86

89 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo 6. I RAPPORTI CON L ORGANISMO DI VIGILANZA IN MATERIA DI D. LGS. 231/2001 Come già visto precedentemente, con il D. Lgs. 231/ è stata introdotta nell ordinamento giuridico nazionale la responsabilità, nominalmente amministrativa, ma di fatto penale, degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito 140. L ampliamento di tale responsabilità punta ad estendere la sanzione di taluni illeciti penali al patrimonio delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, coinvolgendo quindi gli interessi economici dei soci che, fino all entrata in vigore del decreto, non subivano le conseguenze di tutte le azioni illecite commesse da amministratori e/o dipendenti, anche se perpetrate a vantaggio della società stessa 141. Tale decreto risponde all esigenza di porre sempre più attenzione verso il controllo della regolarità e della legalità dell operato sociale da parte dei soggetti che partecipano alle vicende patrimoniali dell ente, in virtù dell incremento dei profili di rischio dell operatività aziendale. L art. 6 del D. Lgs. 231/2001, prevede quale causa di esonero dalla responsabilità dell ente circa l illecito compiuto, l adozione e l efficace 139 D. Lgs 8 giugno 2001, n. 231, Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell art 11 della legge 29 settembre 2000, n Come sostenuto da più parti, la responsabilità di natura amministrativa è solo formale, poiché, di fatto si sostanzia in una vera e propria responsabilità penale, tenuto conto che l accertamento degli illeciti amministrativi della società è rimesso allo stesso giudice penale (chiamato a conoscere i reati dai quali gli illeciti dipendono), che procede secondo le regole proprie del processo penale. Cfr. AIIA, Position Paper D. Lgs. 231/2001. Responsabilità amministrativa delle società: modelli organizzativi di prevenzione e controllo. 141 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

90 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo funzionamento di un modello di organizzazione e di gestione idoneo a prevenire illeciti penali 142. Il modello ipotizzato poggia su un processo di costruzione che si articola nella preliminare identificazione dei rischi (attraverso una mappatura degli ambiti aziendali di un attività e un analisi circa i rischi potenziali che ne possono derivare in ambito del D. Lgs. 231/2001) e nella successiva progettazione dei sistemi di controllo, da effettuare attraverso un preciso disegno di procedure di controllo interno o, come dichiara lo stesso decreto, attraverso specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell ente in relazione ai reati da prevenire. Elementi costitutivi del modello organizzativo, cosiddetto salvaimpresa, sono 143 : - un Codice Etico atto a diffondere all interno dell azienda una cultura del controllo in grado di sensibilizzare i destinatari circa i reati richiamati dal decreto; - la mappatura delle aree di attività a rischio dell azienda; - un sistema organizzativo dove vengano gestite le attribuzioni di responsabilità, la definizione di chiare linee di dipendenza gerarchica e altrettanto chiare descrizioni dei compiti; - un insieme di procedure manuali e informatiche che regolino lo svolgimento delle attività con l inserimento di diversi punti di controllo (fra cui, separazione dei compiti segregation of duties, tracciatura di operazioni sensibili, ecc.); - un efficace sistema sanzionatorio aziendale; 142 Il decreto prevede l adozione facoltativa del modello di organizzazione, gestione e controllo. La mancata adozione non è soggetta evidentemente a sanzione, ma determina l esposizione dell ente alla responsabilità per gli illeciti realizzati da amministratori e dipendenti. L adozione del modello, nonostante sia facoltativa, è l unica soluzione che consente di esonerare l ente in caso di reati commessi nel suo interesse o a suo vantaggio da persone con funzioni di amministrazione, rappresentanza o direzione o da loro dipendenti (art. 5, D. Lgs. 231/2001). 143 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

91 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo - un corretto sistema di attribuzione dei potei autorizzativi e di responsabilità; - sistemi di comunicazione e di formazione del personale; - un sistema che consenta all impresa, grazie a un azione di monitoraggio sulle aree di diverse attività a rischio, di intervenire tempestivamente per prevenire o contrastare la commissione dei reati. Il decreto, per assicurare in via continuativa il corretto funzionamento del modello organizzativo, ha previsto l istituzione di un organismo interno all ente, dotato di autonomi poteri di iniziativa e di controllo, che vigili sull adeguatezza del modello in termini di mantenimento nel tempo dei requisiti di solidità e funzionalità, curandone gli opportuni aggiustamenti ed implementazioni. In conclusione, tale organo deve garantire un azione professionalmente qualificata (poiché ci troviamo di fronte ad una serie di attività specialistiche che richiedono tecniche e metodologie specifiche), continuativa ed indipendente (escludendo quindi organismi quali il consiglio di amministrazione e gli amministratori senza deleghe). Le linee guida fornite dalle associazioni di categoria 144 e l applicazione pratica del decreto hanno condotto gli operatori aziendali ad accostare (anche se, non ad identificare) l Organismo di vigilanza ex 231/2001 alla figura del Preposto al controllo interno in quanto soggetto ritenuto (più di altri) rispondente alle caratteristiche previste per tale organismo 145. Infatti, come già accennato in precedenza la Funzione di Internal Auditing appare più di altre quella che dal punto di vista deontologico ed istituzionale presenta i requisiti di indipendenza e autonomia prescritti dalla normativa. In aggiunta, la Funzione di Internal Auditing presenta una 144 Fra tutte si sottolineano quelle per la costruzione dei modelli di organizzazione, gestione e controllo ex D. Lgs. 231/2001 di Confindustria. 145 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

92 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo collocazione all interno della struttura organizzativa particolarmente favorevole a fungere da referente diretto del consiglio di amministrazione (o di un comitato interno a questo, tipicamente il Comitato per il controllo interno), cui spetta comunque il compito di una più generale supervisione e gestione dell assetto organizzativo e dei sistemi di controllo. È opportuno, comunque, precisare che l ente è assolutamente libero di scegliere la composizione dell Organo di vigilanza ex 231/2001. Esso può identificarsi con il Comitato per il controllo interno oppure, (e questo è quanto si rileva nel corso di questi anni dalle maggiori aziende), in un organismo specifico appositamente creato, spesso in forma collegiale, costituito da soggetti appartenenti all ente (fra cui il responsabile della Funzione di Internal Auditing, il responsabile della Funzione legale, amministratori indipendenti, sindaci o membri del Consiglio di sorveglianza o del Comitato per il controllo sulla gestione) e in alcuni casi soggetti esterni, quali consulenti esperti in materia. La Funzione di Internal Auditing si configura come il braccio operativo dell organismo di vigilanza e molto spesso, collabora nella realizzazione di un piano di analisi e verifiche di audit, approvato su delibera dello stesso Organismo ex 231/2001, con lo scopo di valutare l efficacia del sistema di controllo a presidio di processi e aree aziendali delicate. I risultati di tali analisi potrebbero fornire utili suggerimenti sull adeguatezza e sulle funzionalità delle procedure in atto in termini di presidio volto a prevenire la commissione dei reati ai sensi del D. Lgs. 231/2001 e all individuazione di aree di rischio su cui porre attenzione. Infine, la Funzione di Internal Auditing potrebbe essere indicata per la promozione di attività di sensibilizzazione nei confronti di tutto il personale ed in particolare delle funzioni maggiormente esposte a rischio di reato ex 231/2001. Essa, infatti, potrebbe contribuire in tale attività anche in collaborazione con altre funzioni, quali ad esempio, quella legale oppure con il supporto di consulenti esterni. 90

93 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo 7. I RAPPORTI CON IL DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI SOCIETARI Abbiamo visto nei paragrafi precedenti che, tra le novità introdotte dalla legge 262/ , si annovera l istituzione della figura del dirigente preposto alla redazione dei documenti contabili e societari. Le sue funzioni si manifestano agli stakeholders aziendali nel momento della relazione annuale al bilancio e nelle dichiarazioni periodiche in occasione del rilascio di informazioni economico, finanziarie e patrimoniali, ma di fatto queste ultime sono il risultato di un intensa attività interna di predisposizione, attuazione ed attestazione di adeguatezza del sistema procedurale riferito all impianto amministrativo-contabile aziendale. Sono interessanti la natura e la misura degli adeguati poteri e mezzi che la normativa prevede che siano conferiti al dirigente preposto per consentirgli il pieno assolvimento dei suoi compiti. A tal riguardo è evidente come possano generarsi sovrapposizioni o conflitti di competenze nella gestione di sistemi di controllo/verifica/audit nel momento in cui tali funzioni, che vanno oltre i controlli di linea e di monitoraggio, fossero alle dirette dipendenze del dirigente preposto. Ciò, infatti, costituirebbe non solo una diseconomia nella gestione aziendale, ma anche il presupposto per il generarsi di carenze di controllo in aree in cui si verificassero conflittualità tra sistemi concomitanti. Traendo insegnamento anche dall esperienza statunitense in materia di Sarbanes-Oxley Act, che precede temporalmente la legge 262/2005 e presenta alcuni aspetti in comune con i suoi articoli qui trattati, è importante notare come le caratteristiche di autonomia e di indipendenza dell Internal Auditing consentano a tale Funzione di contribuire a costituire basi 146 Legge 28 dicembre 2005, n. 262, Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari, artt. 14, 15 e 30; D. Lgs. 303/

94 3. Il ruolo dell Internal Audit e le relazioni con gli organi di controllo significative per le attestazioni che il dirigente preposto e l amministratore delegato sono tenuti ad emettere nell assunzione delle proprie responsabilità 147. Infatti, l Internal Audit nell esercizio dell attività consulenziale identifica e valuta i rischi aziendali, contribuisce in modo significativo all implementazione di un sistema per la loro gestione ed assiste nella formazione interna richiesta per diffondere le necessarie competenze metodologiche per il self assessment dello stato del sistema di controllo interno relativo a specifici rischi di natura contabile. Inoltre, anche su segnalazione del dirigente preposto, possono essere svolte attività di audit in aree caratterizzate da situazioni di rischiosità, al fine di fornire assurance sull adeguatezza e il funzionamento del sistema di controllo sui processi contabili indicati, evitando, tuttavia, che ciò conduca ad un piano di audit sbilanciato verso tali processi, in considerazione della rischiosità complessiva aziendale, o porti allo svolgimento di attività di audit che si sostituiscano ai controlli di linea 148. Nel compiere le attività suddette, l Internal Auditing da avvio, in generale, ad un flusso informativo verso il management (Comitato di controllo, amministratore delegato, alta dirigenza) e, in particolare, verso il dirigente preposto per gli ambiti di sua competenza. Esso, pertanto, potrà formulare le sue considerazioni finali in materia amministrativo-contabile sfruttando il contributo proveniente dalla Funzione di Internal Auditing, ed integrare tali indicazioni con quelle provenienti dall intero sistema di governo societario tra cui, per esempio, il revisore esterno, il collegio sindacale e il Comitato per il controllo interno. 147 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

95 4. Le metodologie di revisione interna CAPITOLO 4 LE METODOLOGIE DI REVISIONE INTERNA 1. INTRODUZIONE Il percorso di sviluppo che ha interessato negli ultimi anni l attività dell internal auditor è sicuramente collegato alla necessità, incomprimibile, di contribuire alla creazione di valore per l azienda al pari di altre funzioni aziendali, pena la marginalizzazione del suo ruolo. In precedenza, in un contesto aziendale e di mercato tendenzialmente stabile, il valore dell internal auditor si esprimeva prevalentemente nella veste di watch dog (ispettore) consistente in un controllo di terzo livello, che permetteva sostanzialmente di individuare la conseguenza di un rischio già manifestato e di imputarne le responsabilità. Il contesto evolutivo già presentato nelle prime pagine, insieme al miglioramento dei sistemi di controllo interno aziendali (sia sotto il profilo tecnologico che di processo), ha rapidamente sorpassato tale funzione, ponendo le premesse affinché la figura del controllore interno evolvesse da una vocazione meramente ispettiva verso un ruolo innovativo, caratterizzato da una mission orientata a supportare il governo dei rischi. L essere esperti di controllo ha permesso all Internal Audit di cogliere le opportunità offerte dal cambiamento, giocando un ruolo chiave nell azienda come supporto al raggiungimento degli obiettivi. Tale attività, come 93

96 4. Le metodologie di revisione interna abbiamo visto in precedenza, si concretizza in un duplice servizio, sia di assurance sulla qualità dei sistemi di controllo interno, sia di consulenza 149. L innovazione che, ad oggi, ha interessato l Internal Audit passa attraverso il rafforzamento delle competenze, delle metodologie e degli strumenti di lavoro che, parallelamente ad un cambiamento culturale della percezione del proprio ruolo e dei destinatari del proprio lavoro, consentano di valutare al meglio i rischi ed incrementare l efficacia dei controlli. Il processo di auditing, infatti, si svolge secondo una sequenza coordinata di azioni, orientata alla creazione di valore aggiunto ed al raggiungimento di un obiettivo finale. È possibile individuare tre diversi approcci nella conduzione dell audit: una metodologia tradizionale; un approccio basato sui rischi aziendali; il Control & Risk Self Assessment (CRSA). Il processo di auditing si sviluppa secondo un percorso logico suddivisibile in fasi, ciascuna delle quali si caratterizza per: - il compimento di determinate azioni; - l utilizzo di tecniche e strumenti particolari; - la predisposizione e il rilascio di documenti specifici (output). Di seguito, cercheremo di approfondire i contenuti tipici di ciascuna fase di tale processo, mettendone in evidenza le caratteristiche, le tecniche utilizzate e la documentazione prodotta, a partire dall avvio dell incarico fino all emissione del report definitivo. 149 Cfr. RUSSO R. FRATICELLI U., Si può misurare il valore dell audit?, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007 p

97 4. Le metodologie di revisione interna È opportuno sottolineare, comunque, che anche l incarico più compiutamente strutturato e standardizzato lascia ampi spazi non guidati da procedure, nei quali risulta determinante l esperienza, la professionalità e l abilità di ciascun auditor, che lo rendono una risorsa aziendale preziosa a supporto del management, per il miglioramento del sistema di controllo interno, costantemente impegnata in un processo dinamico che genera idee e si adatta alle circostanze specifiche. 2. IL PROCESSO DI INTERNAL AUDITING SECONDO LA METODOLOGIA TRADIZIONALE È possibile identificare, indipendentemente dalla metodologia di conduzione dell audit che si intende adottare, cinque macrofasi in cui si snoda tipicamente tale incarico. In particolare: 1. la pianificazione dell attività; 2. l indagine preliminare; 3. l esecuzione dell incarico; 4. il reporting; 5. il follow up. Una prima considerazione rilevante, prima di addentrarci nelle singole fasi del processo, riguarda il diverso grado di dettaglio o di analiticità che contraddistingue ogni stadio del percorso. Infatti, nella prima fase e, in particolare, nella seconda (analisi preliminare) l auditor deve acquisire familiarità con il processo o la struttura oggetto di verifica e deve accrescere, o talvolta costituire ex novo, le sue conoscenze 95

98 4. Le metodologie di revisione interna in merito, pertanto, come vedremo, la sua analisi presenterà un livello di approfondimento piuttosto basso. Nella fase di esecuzione dell incarico, invece, verrà effettuata un analisi dettagliata di processo e un attività di verifica che permette di raggiungere il livello più alto di analiticità, per poi, quindi, tornare a decrescere, in un processo di conclusione e di sintesi, con la predisposizione dell internal audit report (fase di reporting). In effetti l analisi dettagliata e la verifica (tipici dell esecuzione dell incarico) sono gli stadi prettamente più operativi del processo di auditing, cioè quelli di svolgimento del lavoro sul campo (fieldwork) 150. Queste costituiscono lo stadio di un vero e proprio svolgimento analitico dell incarico, il cui obiettivo consiste nel raccogliere, analizzare, approfondire, valutare e verificare anche a campione le informazioni, formulando una serie di evidenze di audit 151 necessarie per pervenire a conclusioni sintetizzate nell audit report. Supporto delle evidenze di audit deve essere tenuto nelle carte di lavoro 152 dell incarico, la cui finalità generale è quella di documentare la 150 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Per evidenza di audit si intende qualunque evento, fatto o circostanza che, nell ottica dell internal auditor, supporti e costituisca oggetto di un rilievo in quanto criticità significativa nell ambito dei sistemi di risk management e di controllo interno da porre all attenzione del vertice aziendale. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Le carte di lavoro rappresentano la documentazione di tutte le attività svolte dall internal auditor che deve registrare all interno di esse tutte le informazioni rilevanti allo scopo di supportare le conclusioni e i risultati del proprio incarico. Esse, inoltre, consentono la ricostruzione a posteriori delle attività e dei rilievi emersi. Diverse sono le finalità delle carte di lavoro: - fornire, attraverso la registrazione di tutte le attività dell internal auditor dall inizio alla fine dell audit, i dettagli necessari per la preparazione dell audit report finale; - aiutare a condurre l incarico in modo tale che esso sia sempre pertinente con il raggiungimento degli obiettivi prefissati; - registrare le osservazioni suggerite dalle evidenze riguardo all esistenza, all ampiezza e alla significatività di un esposizione al rischio e alle possibili azioni correttive; - facilitare la pianificazione dell incarico, documentandone il raggiungimento degli obiettivi, la natura e l estensione, contenendo al suo interno evidenze relativamente alle modalità/procedure seguite, test effettuati e conclusioni; - supportare l auditor nel concreto svolgimento dell attività, agevolando quindi una corretta ripartizione degli incarichi di audit e coordinando il lavoro da località diverse; 96

99 4. Le metodologie di revisione interna pianificazione, l esecuzione dell incarico e il raggiungimento degli obiettivi di audit. Qui di seguito, provvederemo a fornire un dettaglio delle diverse fasi che compongono il processo di internal auditing, in riferimento all adozione di una metodologia tradizionale di conduzione dell incarico. 1. La pianificazione dell attività. Al fine del successo di un attività di auditing, è importante un accurata preparazione iniziale del lavoro, in quanto una buona pianificazione consente 153 : - la condivisione e il supporto del progetto da parte del management della società; - la consapevolezza del preciso ambito o copertura di audit (ed eventuali limitazioni di ambito); - il miglior utilizzo delle risorse di audit; - il rispetto dei vincoli temporali. La pianificazione dell incarico consente una prima definizione a livello macro dei seguenti elementi 154 : - agevolare la revisione da parte di terzi autorizzati, tra cui ad esempio la società di revisione; - fornire una base per la valutazione dei programmi di qualità dell internal auditing; - procurare parte della documentazione di compliance richiesta per legge ad un organizzazione per il mantenimento di un efficace sistema di controllo interno. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Standard IIA 2200, Pianificazione dell incarico e successivi. 97

100 4. Le metodologie di revisione interna obiettivi di audit da conseguire, che riflettano la valutazione preliminare dei rischi dell attività oggetto di revisione; ambito dell audit, comprendente i confini materiali e/o temporali dell analisi; programmazione del lavoro (audit program), che stabilisca le procedure per identificare, analizzare, valutare e documentare le informazioni raccolte durante l attuazione dello stesso; risorse umane, finanziarie ed informatiche necessarie al suo svolgimento, inclusa la risorsa specifica che coordinerà l attività di auditing (team leader) e i nominativi degli altri componenti del team. Il responsabile dell internal audit, infatti, deve assicurare che le risorse a disposizione siano adeguate, sufficienti, ed efficacemente impiegate per l esecuzione del piano delle attività e quindi per assicurare il livello di coperture richiesto dal management. Gli Standard internazionali IIA per la pratica professionale, infatti, prevedono che per ciascun incarico gli internal auditor devono predisporre e documentare un piano, che comprenda, tra l altro, obiettivi, estensione ed impiego delle risorse. Nel pianificare lo svolgimento dell incarico, gli internal auditor devono considerare: gli obiettivi dell attività oggetto di revisione e i mezzi utilizzati per il controllo del suo andamento. i rischi significativi dell attività, i suoi obiettivi, le risorse, e le operazioni, nonché i mezzi con cui il potenziale impatto del rischio è mantenuto ad un livello accettabile. l adeguatezza e l efficacia del risk management e dei sistemi di controllo, facendo riferimento ad un adeguato modello (Coso, ecc.) 98

101 4. Le metodologie di revisione interna le possibilità esistenti di apportare significativi miglioramenti ai sistemi di risk management e di controllo dell attività. Infine, l internal auditor ha la responsabilità di pianificare e condurre l incarico, previa approvazione e supervisione. Il programma dell incarico (audit program) deve 155 : documentare le procedure che l internal auditor intende utilizzare durante l incarico per raccogliere, analizzare e interpretare le informazioni; esplicitare gli obiettivi dell incarico; prestabilire l ampiezza e la profondità delle verifiche richieste per raggiungere gli obiettivi stabiliti per ciascuna fase dell incarico; identificare gli aspetti tecnici, i rischi, i processi e le transazioni da esaminare; definire la natura e l estensione dei campionamenti; essere predisposto prima dell incarico e successivamente modificato se necessario. La pianificazione dell attività presuppone solitamente la predisposizione di più piani che fanno riferimento a differenti orizzonti temporali. Il piano strategico copre almeno un biennio ed ha ad oggetto l azienda nel suo complesso, con l insieme delle diverse procedure e con un analisi dei rischi legata all attività svolta nel mercato di riferimento. Il piano operativo (o annuale) si riferisce all esplosione annuale del precedente, laddove l oggetto delle valutazioni si focalizza sul singolo processo o un insieme di informazioni contabili o extracontabili da sottoporre a revisione. 155 Cfr. AIIA, Guida Interpretativa Pianificazione dell incarico. 99

102 4. Le metodologie di revisione interna I piani dell attività così formulati sono sottoposti all approvazione da parte del vertice aziendale e, laddove presente, del Comitato di controllo interno, soggetti questi che hanno compiti e priorità ben distinte in merito al funzionamento del sistema di controllo interno e al sistema di risk management. Come abbiamo accennato in precedenza, l internal auditor deve effettuare una valutazione preliminare dei rischi afferenti l attività oggetto di revisione, da condividere, da ultimo, con il vertice aziendale. L internal auditor deve, quindi, prendere in considerazione la valutazione effettuata dal management in merito ai rischi inerenti le attività da sottoporre ad analisi. In particolare, dovrà esaminare: l affidabilità di tale valutazione; i controllo svolti dal management in merito ai rischi, nonché il relativo reporting; le relazioni del management inerenti quegli eventi che hanno superato i limiti concordati di tolleranza del rischio; l eventuale presenza di rischi individuati dal management nell organizzazione in attività collegate o sistemi di supporto che potrebbero interessare l attività sotto esame; la valutazione fatta dal management stesso sui controlli inerenti i rischi 156. Quello che viene richiesto al revisore, prima di dare esecuzione all incarico, è di predisporre una mappa dei rischi aziendali sulla base di informazioni desunte da: risultanze di audit precedenti, segnalazioni del vertice e del management aziendale, analisi di indicatori qualitativi della gestione, 156 Cfr. AIIA, Guida Interpretativa 2210.A1-1. Valutazione del rischio per la pianificazione dell incarico. 100

103 4. Le metodologie di revisione interna analisi dei principali cambiamenti avvenuti nella struttura organizzativa e nelle politiche strategiche dell azienda. Una volta realizzata una prima definizione a livello macro dell audit program, si procede all invio dell informativa al responsabile della Funzione o del processo da sottoporre a verifica. L area interessata può essere un dipartimento, un unità o un attività di business sotto la competenza di un unico responsabile, così come può riguardare un processo che coinvolge più funzioni aziendali. In tal caso in assenza di un process owner l informativa può essere inviata ai vari responsabili. Eccetto che per gli incarichi di fraud investigation (che, per loro natura non possono essere preventivamene annunciati), l avvio dell attività di audit viene comunicato ai destinatari interessati tramite la cosiddetta lettera di notifica con adeguato anticipo. Lo schema di tale documento può variare da un organizzazione aziendale all altra e in relazione all incarico e alla tipologia di audit da effettuare, comunque, essa dovrebbe contenere le seguenti informazioni 157 : obiettivi e ambito di copertura dell audit: all auditee devono essere notificati lo scopo dell audit e le aree che questo andrà ad interessare; i contenuti generali previsti dell intervento; l anticipazione di eventuali necessità che potrebbero presentarsi prima dell analisi sul campo; la data prevista di inizio e i tempi stimati per il completamento dell audit; l indicazione del project manager ed eventualmente di altri team leader/team member o specialisti; l indicazione delle procedure che l auditor seguirà nel reporting e nella predisposizione del piano d azione. 157 Cfr. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

104 4. Le metodologie di revisione interna La lettera di notifica ha l obiettivo di informare i soggetti interessati dall intervento di internal audit predisposto nell audit program dell anno corrente, al fine di renderli consapevoli ed ottenerne la necessaria collaborazione, così da allineare le attese sugli obiettivi dell intervento 158. Molto spesso l invio della lettera di notifica è preceduto o accompagnato da un contatto diretto con il manager responsabile destinatario della lettera, infatti una telefonata informale effettuata qualche giorno prima dell inizio dell attività di audit potrebbe rivelarsi molto utile a condizionare positivamente l ambiente in cui si svolge la verifica 159. Quanto appena detto consente, in sostanza, di evitare eventuali problematiche che potrebbero non garantire l attenzione e il supporto necessari nei confronti dell auditor (momentanea indisponibilità o assenza di interlocutori rilevanti, inconvenienti tecnici non ancora risolti, picchi di lavoro in determinati periodi dell esercizio che impegnano le risorse più del normale, difficoltà logistiche, ecc.) e di creare un clima collaborativo fondamentale per lo svolgimento dell attività di audit. A seguito della notifica dell incarico il team di audit responsabile dello svolgimento del lavoro, può iniziare a prendere familiarità con l area oggetto di audit effettuando quindi una prima analisi preliminare. 2. L indagine preliminare. L indagine preliminare ha l obiettivo di orientare correttamente l intervento di audit, consentendo all auditor di acquisire familiarità con le principali caratteristiche dei processi e delle attività oggetto di analisi, formulando, 158 La comunicazione, pertanto, coinvolgendo il canale verbale e quello scritto, dovrà essere chiara nel linguaggio, esaustiva nelle informazioni e motivante nello stimolare la collaborazione indispensabile per un efficace gestione dell attività. 159 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

105 4. Le metodologie di revisione interna quindi, una valutazione preliminare circa la significatività dei vari ambiti, i potenziali rischi e le possibili aree di criticità. In tale fase, il revisore procede, attraverso l applicazione delle procedure standard di indagine, alla raccolta di tutte le informazioni necessarie alla piena comprensione dell area da sottoporre a verifica, tra cui ad esempio 160 : obiettivi di business e di governo ed eventuali traguardi; caratteristiche organizzative e strutturali; direttive, piani, procedure, leggi, regolamenti e contratti che possono impattare significativamente su operazioni e rapporti; budget, report gestionali di riferimento, risultati operativi e dati economico-finanziari; carte di lavoro relative a precedenti incarichi; risultati di altri incarichi, anche effettuati da revisori esterni; documentazione utile per determinare la presenza di problematiche significative per l incarico; materiale tecnico riguardante l attività da esaminare; dati indicativi di rischi potenziali e dei controlli in atto; valutazione, effettuata dal management, dei rischi che riguardano le attività da sottoporre ad analisi. L indagine preliminare si traduce, pertanto, in un processo di raccolta di dati e informazioni su attività/processi, senza che questi vengano sottoposti ad un esame approfondito, che caratterizza la fase successiva dell esecuzione dell incarico. La raccolta di queste macroinformazioni accresce la conoscenza dell auditor e rende possibile definire con maggior dettaglio, o apportare modifiche, agli elementi di pianificazione ed eventualmente ai contenuti della lettera di notifica. 160 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

106 4. Le metodologie di revisione interna Questo importante lavoro preliminare consente di 161 : creare la base per un efficace ed efficiente programma di audit, che si concentri su argomenti significativi e riduca il tempo dedicato ad aree dove il rischio appare minimo; contenere il tempo di permanenza presso l auditee e ogni altra forma di interferenza con la sua operatività; calibrare meglio gli obiettivi dell audit e il suo ambito di copertura; favorire un clima di cooperazione per la successiva attività sul campo. Il processo di analisi preliminare Macroanalisi dell area/processo e dei rischi potenziali Macroanalisi del sistema di controllo Valutazione preliminare dei rischi Predisposizione del planning memorandum e rilievi preliminari L approccio tradizionalmente seguito nello svolgimento dell indagine preliminare si avvale di strumenti e tecniche tipiche della revisione aziendale, in particolare l auditor: - procede all acquisizione e alla successiva lettura della documentazione inerente l organizzazione aziendale (organigrammi, normative interne, procedure formalizzate, ecc); - si avvale dell utilizzo di questionari (o check list) con risposte mirate a comprendere l assetto e la reale consistenza di meccanismi di controllo; 161 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

107 4. Le metodologie di revisione interna - provvede alla predisposizione o all acquisizione di flow chart esplicativi dei principali processi operativi e di controllo 162 ; - acquisisce conoscenze in merito ai sistemi informativi utilizzati; - può effettuare un osservazione diretta del funzionamento delle diverse fasi dei processi (o walkthrough); - acquisisce informazioni tramite interviste al personale chiave (o inquiry); - svolge procedure di analitical review. Inoltre, è utile evidenziare che alcune delle informazioni di contesto potrebbero derivare dalla documentazione raccolta in precedenti incarichi di audit, per cui durante l analisi preliminare sarebbe opportuno procedere a una revisione delle carte di lavoro, audit report e altro materiale inerente ad audit antecedenti, se disponibili 163. Un particolare accenno, per la sua importanza, lo merita la riunione di apertura, il cosidetto kick off meeting (termine mutuato dal linguaggio sportivo), la quale è rivolta al management dei livelli funzionali più alti e ai componenti dell area oggetto di audit che siano ritenuti direttamente interessati (per compiti e incarichi). La riunione consente di chiarire lo scopo e l ambito di copertura dell attività di auditing, di illustrare le metodologie che dovranno essere applicate e di ottenere indicazioni utili all indagine preliminare. 162 Per quanto riguarda l analisi preliminare del processo/attività con tecniche di flowchart, una mappatura dettagliata del processo costituisce parte integrante del momento successivo all indagine preliminare, la fase dell esecuzione dell incarico, in cui si procede ad un analisi dettagliata. L obiettivo dell analisi preliminare è fondamentalmente quello di arrivare a una pianificazione utile al project manager e al team leader per una chiara delimitazione dell attività da svolgere. 163 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

108 4. Le metodologie di revisione interna Questo contatto iniziale con gli auditee rappresenta per il team di audit un momento importante di comunicazione e spesso si rivela fondamentale per ottenere la collaborazione attiva dell interlocutore 164. È anche un momento in cui viene dato spazio alla percezione del rischio da parte del management, in cui vengono fornite indicazioni sulle criticità e sui controlli in essere. È quindi, un occasione privilegiata, utile per sottolineare la mission della Funzione: in particolar modo in una fase di riorganizzazione della Funzione di Internal Auditing, di start up aziendale o di mutamenti importanti negli assetti organizzativi aziendali, il primo incontro può servire ad illustrare gli obiettivi del lavoro dell Internal Audit secondo la prassi condivisa a livello internazionale, a richiamare alcuni concetti che non sempre sono prontamente acquisibili da parte del management e a chiarire compiti e ruoli della nostra Funzione all interno della realtà aziendale. A conclusione dell analisi preliminare, viene prodotto il planning memorandum, che sintetizza l oggetto, gli obiettivi e le modalità di svolgimento dell incarico. Il documento di pianificazione interna descrive in termini generali 165 : le attività e l organizzazione dell area aziendale soggetta ad audit; i rischi o le aree critiche identificate inizialmente; gli obiettivi specifici, nonché l approccio di revisione e la pianificazione delle procedure di revisione rispetto agli obiettivi. 164 La riunione di apertura rappresenta il biglietto da visita dell Internal Audit. Questo è senz altro un momento in cui si deve trasmettere la percezione che si sta creando un gruppo e che c è pertanto un obiettivo unico che necessita dell impegno e della collaborazione di tutti per poter essere raggiunto. Fondamentale è, quindi, creare coesione e generare motivazione, potenziando l efficacia della nostra comunicazione attraverso l applicazione di tecniche di ascolto attivo e, laddove sia necessario, di problem solving. Il management in questa fase avrà bisogno di riscontrare in noi credibilità, professionalità e apertura. Dobbiamo, pertanto, essere chiari e rassicuranti, stimolando chi ci ascolta a seguirci e concederci la massima collaborazione, mettendo in discussione convincimenti talvolta radicati nella cultura aziendale tra cui atteggiamenti prevenuti e diffidenti, se non apertamente ostili. 165 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

109 4. Le metodologie di revisione interna Se elaborato con cura, il planning memorandum costituisce già una parte essenziale dell internal audit report finale e una delle migliori modalità per documentare in sintesi e con chiarezza le logiche che hanno ispirato l approccio specifico di audit. Pertanto, esso costituisce un documento base, per il responsabile dell Internal Audit o per Internal Audit Manager, per evidenziare la propria supervisione e approvare l ambito e il programma gestionale di audit complessivi. 3. L esecuzione dell incarico. L esecuzione dell incarico si compone di due momenti distinti, che si susseguono secondo una logica temporale: a) la fase dell analisi dettagliata, che ha lo scopo di effettuare i necessari approfondimenti sulle informazioni ritenute significative in base all indagine preliminare e di raggiungere un livello adeguato di conoscenza per programmare le verifiche previste nella fase successiva 166 ; b) lo svolgimento dell attività di verifica, la quale consiste nell effettuare i test necessari alla raccolta di informazioni, o evidenze (evidence), che costituiscono il materiale di base raccolto dall auditor sul quale si fondano i giudizi, le critiche e le raccomandazioni dell auditor stesso 167. Per quanto riguarda l analisi dettagliata, essa comprende la mappatura del processo che si avvale dei seguenti strumenti: 166 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

110 4. Le metodologie di revisione interna macroanalisi del processo, già avviata durante l indagine preliminare e qui completata con informazioni di maggior dettaglio; flowchart delle attività, che consentono di analizzare il flusso procedurale e quello interfunzionale; matrici dei rischi e controlli, utili per mappare le attività in termini di rischio e controllo. Attraverso una macroanalisi del processo è possibile descrivere il flusso di informazioni o i passaggi significativi nelle varie operazioni relativi a determinate attività che compongono il processo. Essa ci consente di ottenere un analisi delle principali attività e delle relative Funzioni coinvolte, evidenziandone il grado di integrazione o il grado di coinvolgimento interfunzionale. I flowchart permettono, invece, di descrivere le attività che caratterizzano il processo, le responsabilità attribuite e la struttura dei controlli. Consentono, altresì, di comprendere i rischi operativi, tenendo conto degli obiettivi di business e di governo rilevati nella fase dell indagine preliminare. Il flowchart traccia l intero flusso caratteristico del processo includendo informazioni quali 168 : - soggetti che procedono all elaborazione, approvazione o integrazione del documento o dei dati; - utilizzo di più copie documentali o flussi informatici di dati per il trattamento separato ai fini contabili, gestionali o amministrativi. Nella figura 5, riportiamo un esempio di flowchart funzionale, denominato anche flowchart a corsie, che descrive il flusso di un documento o delle 168 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

111 4. Le metodologie di revisione interna fasi di un processo attraverso le diverse aree funzionali/dipartimentali di un organizzazione. Il flowchart permette un agevole lettura di un processo o attività complesse che si articolano in numerosi passaggi in termini di approvazioni e trattamento dei documenti. Esso, inoltre, fornisce una rappresentazione chiara e sintetica di procedure e operazioni che hanno natura interfunzionale, permette di far chiarezza sugli aspetti inerenti l accountability (principio che richiede che per qualsiasi attività, a prescindere dalla sua rilevanza, sia possibile identificare una persona responsabile all interno della struttura organizzativa) e consente di individuare eventuali problematiche relativamente alla separazione dei compiti (segregation of duties) 169. Risulta fondamentale, infatti, una responsabilizzazione diffusa all interno dell organizzazione e una distribuzione delle responsabilità all interno della stessa, in modo tale da garantire che ciascun processo sia opportunamente presidiato. 169 Con il principio della separazione dei compiti si fa riferimento alla suddivisione tra soggetti diversi delle operazioni che incidono sul patrimonio dell azienda. Tale accorgimento organizzativo, laddove giustificato da un favorevole rapporto costi/benefici, oltre a limitare il rischio di appropriazioni indebite, favorisce la distribuzione della conoscenza dei processi aziendali fra più operatori, consentendo di migliorare la trasparenza dello svolgimento dei singoli processi aziendali e la fiducia sui singoli operatori. Un esempio, in ambito amministrativo, di separazione dei compiti riguarda l emissione di ordini di acquisto e il pagamento degli stessi, oppure l effettuazione dei pagamenti ai fornitori e la registrazione ed archiviazione degli stessi o, ancora, la supervisione della produzione e il controllo di qualità, ecc. 109

112 4. Le metodologie di revisione interna Processo degli Acquisti Strutture richiedenti Acquisti Fornitori Magazzino Amministrazione Richiesta d acquisto Selezione fornitori Elaborazione proposta Accettazione merce Fattura Richiesta ordine Proposta Registrazione fattura Registrazione fattura Verifica avanzamento ordine Proposta Ordine Ordine Verifica avanzamento consegne Emissione ordine Consegna merce Verifiche amministrative Ordine Emissione ordine Registrazione fattura Fattura Fig. 5 Infine, la matrice dei rischi e controlli è lo strumento metodologico per l analisi dei rischi inerenti e per la valutazione preliminare dei controlli presenti e, quindi, del rischio residuale relativo al raggiungimento degli obiettivi propri dell area/processo oggetto di audit 170. L identificazione dei rischi e dei controlli può essere supportata dall analisi dei flowchart, che aiutano nell individuazione dei rischi operativi e dei controlli di linea che li presidiano Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag La realizzazione della matrice dei rischi e controlli si basa sull applicazione di modelli di rischio e di controllo che non saranno oggetto di trattazione in questa sede (per ulteriori approfondimenti, vedi Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, Cap. 5-6). Nel caso dell analisi dei rischi, si tratta concretamente di comprendere se un rischio teorico previsto dal modello di riferimento adottato risulta pertinente rispetto alle attività/obiettivi oggetto di analisi e di formulare una valutazione preliminare del livello di probabilità e impatto del rischio stesso. Analogamente, per quanto riguarda i controlli l applicazione pratica di un modello standard di riferimento consente di 110

113 4. Le metodologie di revisione interna L esecuzione dell incarico segue solitamente un programma di audit (audit program) che si basa sulle risultanze dell indagine preliminare e dell analisi dettagliata. Esso indica i contenuti delle procedure di verifica di audit da effettuare nel corso dell attività sul campo, tali procedure permetteranno di raccogliere la documentazione necessaria (audit evidence) per supportare le conclusioni dell internal auditor. Le principali finalità dell audit program sono 172 : sintetizzare i contenuti del lavoro da svolgere; specificare le modalità di attuazione del lavoro; lasciare traccia del lavoro svolto e degli auditor che lo hanno realizzato; agevolare la supervisione e il controllo sull attività di audit. Sulla base della mappa dei rischi e dei controlli definita precedentemente è possibile procedere all identificazione delle opportune attività di verifica e delle procedure di audit che devono essere applicate. Presentiamo qui di seguito quattro diverse situazioni inerenti il grado di rischio e il livello di controllo aziendale: - rischio basso/controllo aziendale basso: è tipicamente un area di esclusione per le attività di test. Salvo specifiche richieste da parte del management, infatti, non risulta giustificato l impegno di risorse; - rischio alto/controllo aziendale alto: è l area di test tradizionale; il test assume la forma della verifica dell esistenza e del funzionamento del sistema di controllo previsto. Nel caso di sistemi di controllo formalizzati (proceduralizzati-normati), la forma è invece quella della verifica di compliance; identificare e classificare i controlli esistenti, comprendendone le proprietà e consentendo la valutazione preliminare del grado di presidio dei rischi evidenziati. 172 Cfr. Gleim I.N., CIA Review, Gleim Publications Inc.,

114 4. Le metodologie di revisione interna - rischio alto/controllo aziendale basso: è una situazione anomala che può avere carattere transitorio o che, comunque, può essere il risultato di recenti evoluzioni. L eventuale transitorietà del rischio può, come nel primo caso, escludere l area dall attività di test; in caso contrario, questa situazione è generalmente orientata alla stima dell effettivo impatto/probabilità del rischio evidenziato al fine di fornire le informazioni indispensabili per determinare l investimento giustificabile, in termini di implementazione del sistema di controllo; - rischio basso/controllo aziendale alto: è una potenziale area di inefficienza riconducibile a evoluzioni del contesto che hanno condotto a riduzioni del rischio o all esistenza in azienda di un approccio non strutturato al disegno delle attività di controllo. Le attività di test in quest ambito sono legate a incarichi di audit di carattere consulenziale orientate alla valutazione dell economicità del sistema di controllo e alla sua ottimizzazione. L audit program è soggetto all approvazione da parte del responsabile dell Internal Auditing, in esso, quindi, sono stabilite tutte le attività di analisi e di verifica che devono essere effettuate, nonché le metodologie e le tecniche per esaminare e documentare lo svolgimento del lavoro. Le procedure stabilite nell audit program potranno subire ampliamenti o modiche a seconda delle circostanze che si presentano durante l incarico 173, tale documento si rivela, comunque, molto utile poiché consente di gestire le attività di test fornendo precise indicazioni operative ai membri del team di audit. L attività di verifica, come già accennato in precedenza, consiste nell effettuazione, da parte dell auditor, dei test necessari a raccogliere le evidence a supporto delle sue conclusioni. 173 Cfr. Standard IIA Programma di lavoro. 112

115 4. Le metodologie di revisione interna Uno degli aspetti fondamentali dell efficacia degli interventi di auditing è rappresentato dall esistenza di norme standard di svolgimento dell attività (inerenti ad esempio le carte di lavoro, le tecniche di campionamento, le modalità di indagine), che di fatto uniformano l attività di verifica e la rendono confrontabile nel tempo, garantendo una continuità che prescinde dalle persone in essa impiegate. Le tecniche tipicamente utilizzate consistono in interviste, analisi di dati e indicatori, osservazione visiva e varie tipologie di test e di verifica. Le attività di verifica che, in linea generale, sono effettuate dall internal auditor sono le seguenti 174 : verifica di coerenza tra quanto rilevato nell analisi di processo e quanto effettivamente praticato, attraverso interviste, osservazione diretta e altre verifiche documentali; verifica del rispetto delle procedure aziendali, che possono implicare un ampio spettro di controlli; riscontro di tempi e di altri indicatori di efficienza del processo di controllo; ricerca di eccezioni nell ambito di intere banche dati; analisi di dati e indicatori; tutte le altre attività tradizionali tipicamente utilizzate nella revisione aziendale che generano evidenze di audit a supporto della formulazione delle conclusioni Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Il riferimento è rivolto alle tipiche tecniche di raccolta delle evidenze di audit utilizzate in materia di revisione aziendale tra cui: - interviste; - ricalcolo dei dati quantitativi; - test di dettaglio: esame di documenti o dati, creati successivamente al controllo di attività e transazioni, i quali forniscono le migliori evidenze dell effettivo verificarsi di una transazione o dell avvenuta applicazione di una procedura di controllo; - osservazione e ispezione; 113

116 4. Le metodologie di revisione interna Conseguentemente allo svolgimento dell attività di audit, possono emergere carenze nel sistema di gestione dei rischi e di controllo che andranno a costituire i cosiddetti rilievi di audit. Tali rilievi, se emersi nel corso dello svolgimento dell attività di verifica, dovranno essere registrati come rilievi preliminari e dovranno essere discussi con il management interessato 176 per l identificazione di possibili azioni correttive ed integrazioni al sistema di controllo interno volte al contenimento dei rischi evidenziati 177. Tali rilievi, in base alla valutazione finale delle evidenze accumulate e alla significatività del rilievo, possono essere inclusi nell audit report finale 178. I rilievi significativi sono quelli concernenti le condizioni che, secondo il giudizio dell auditor, possono influenzare negativamente l organizzazione. Essi possono riguardare condizioni relative a irregolarità, atti illeciti, errori, - scansione: comporta la ricerca di eccezioni o anomalie all interno di una grande quantità di dati. Risulta efficace quando è possibile identificare con facilità elementi inusuali, (ad esempio per la verifica delle posizioni a credito sui conti debitori e posizioni debitorie sui conti creditori); - campionamento statistico; - richieste di conferma: vengono inviate dall internal auditor a terze parti esterne all ambito di audit. Le risposte, che tornano direttamente all internal auditor, costituiscono evidenze puramente esterne (spesso utilizzata per verificare l affidabilità dei crediti o posizioni in generale verso i clienti); - procedimenti analitici di auditing: forniscono uno strumento efficace ed efficiente per valutare i dati raccolti nel corso dell incarico, attraverso il loro confronto con quelli attesi o sviluppati dall auditor. Essi sono utili per identificare differenze che non dovrebbero sussistere, assenza di differenze che invece dovrebbero essere presenti, possibili errori, possibili irregolarità o atti illeciti, altri eventi o transazioni insolite o non ricorrenti. Cfr. Guida Interpretativa IIA (1). Analisi e valutazione. Per ulteriori approfondimenti cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Una relazione ben coltivata con il management aziendale agevola senza dubbio la condivisione dei risultati dell audit, facilitando l identificazione di adeguate azioni correttive. Risulta infatti di fondamentale importanza curare la condivisione delle criticità, emerse nel corso dell audit, con il management, al fine di renderlo partecipe di quanto emerso e prepararlo alla condivisione definitiva senza riservargli brutte sorprese alla fine. 177 L esistenza temporanea di una pur significativa carenza di controllo non porta necessariamente al giudizio che essa sia pervasiva e generi un rischio residuo inaccettabile. Per determinare se l efficacia dell intero sistema dei controlli sia in pericolo e ci si trovi in presenza di rischi inaccettabili, vanno considerati fattori quali la sistematicità delle anomalie e la gravità delle conseguenze o della vulnerabilità presenti. Cfr. Guida Interpretativa IIA 2120.A1-1. Valutazione e Reporting sul Processo di Controllo. 178 Cfr. Guida Interpretativa IIA Modalità di Comunicazione e Registrazione delle informazioni. 114

117 4. Le metodologie di revisione interna inefficienze, sprechi, inadeguatezze, conflitti d interesse, debolezze nel controllo Il reporting. Nella fase di reporting, l attività di audit si focalizza sull efficace comunicazione dei risultati, finalizzata alla ricerca di comprensione e condivisione delle criticità rilevate, nonché all identificazione di adeguati piani di azione per il rafforzamento del sistema di controllo interno a supporto degli obiettivi aziendali 180. Tale fase può essere scomposta in due momenti fondamentali: a) una riunione di presentazione dei risultati, detta exit meeting; b) lo sviluppo dell audit report. L exit meeting è una riunione che presenta molte caratteristiche simili a quelle della riunione di apertura, il kick off meeting, e assume una rilevanza tanto maggiore quanto maggiori sono le criticità evidenziate e gli sforzi necessari per l attivazione di adeguati piani d azione, in considerazione anche degli aspetti d interfunzionalità che spesso li contraddistinguono 181. Tale incontro, spesso, si svolge dopo l effettuazione di riunioni di condivisione dei risultati, tra il team di audit e il management sottoposto ad attività di auditing, che, in genere, hanno luogo nella fase di chiusura dell attività di verifica. Nel momento in cui si rilevano criticità che presentano caratteristiche che vanno al di là della semplice compliance a norme e procedure di area, 179 Cfr. Guida Interpretativa IIA (2). Reporting al board e al senior management. 180 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Guida Interpretativa IIA Divulgazione dei risultati. 115

118 4. Le metodologie di revisione interna richiedendo quindi il coinvolgimento di diverse strutture e ambiti di responsabilità, l exit meeting consente di coinvolgere non solo il management dell area auditata e gli eventuali superiori, ma anche quello di strutture che gestiscono processi complementari o di supporto. L internal auditor, infatti, tramite la formulazione di ipotesi sulle possibili azioni di mitigazione dei rischi, è in grado, solitamente, di individuare i soggetti aziendali preposti alla loro gestione. L obiettivo dell exit meeting è quello di presentare le stesse informazioni, rilievi e suggerimenti che dovrebbero essere esplicitati nell audit report, ma adottando una forma di comunicazione più fluida e meno formale che consenta di focalizzare l attenzione sui contenuti piuttosto che sulla forma. La condivisione dell audit report, da questo punto di vista, è frequentemente caratterizzata da un estrema attenzione alle parole, alla veste formale e alle implicazioni per l immagine del management. La condivisione anticipata, nel corso dell exit meeting, dei concetti che l internal auditor desidera portare alla luce consente successivamente un più disteso confronto con il management nella fase finale di revisione dell audit report, prima della sua emissione definitiva. L internal auditor dovrà essere in grado di fornire verbalmente tutte le informazioni che intende riportare nell audit report supportando eventualmente le sue conclusioni con il dettaglio risultante dalle carte di lavoro; il carattere collegiale del momento consentirà all auditor di sfruttare le conoscenze e le competenze dei diversi partecipanti per raccogliere soluzioni a valore aggiunto Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Un aspetto negativo, peraltro, è rappresentato dai potenziali conflitti che possono insorgere durante l exit meeting tra i manager stessi. L internal auditor ha, in questo caso, una responsabilità fondamentale nel prevenire e gestire il manifestarsi di situazioni di questo tipo, impedendo che l incontro scateni conflitti latenti tra le parti (vedi Guida Interpretativa IIA 1000.C1-1 Principi guida per lo svolgimento di attività di consulenza degli internal auditor). 116

119 4. Le metodologie di revisione interna L exit meeting dovrebbe concludersi con una definizione dei piani d azione, almeno nelle linee generali, e con un identificazione dei responsabili della realizzazione di ciascuna azione individuata. Qui di seguito sono elencati i principali contenuti che sono condivisi da tutte le comunicazioni di audit, sia che si tratti di un documento formale inviato ai vertici aziendali o di una presentazione informale alla conclusione dell attività sul campo 183 : - una sintesi direzionale, cioè una sintesi del rapporto di audit (executive summary) ad uso dell alta direzione dell organizzazione e delle altre sue posizioni chiave interessate. Questa sintesi dovrebbe illustrare le risultanze più importanti, positive e negative, e individuare le opportunità di miglioramento; - l obiettivo di audit e, ove opportuno, la spiegazione delle ragioni che hanno condotto alla sua effettuazione e ai risultati attesi; - il contesto generale del processo o dell oggetto di audit; - se possibile, una valutazione globale in merito a rilievi, conclusioni e raccomandazioni di precedenti rapporti; - la descrizione del lavoro svolto, comprensiva dell ambito di audit e degli eventuali limiti di tale ambito; - la descrizione dei rilievi, delle conclusioni e dei suggerimenti; - l identificazione del piano d azione, indicando nel modo più concreto possibile i responsabili e i tempi previsti per il completamento. Tale piano potrà prevedere azioni a breve e azioni a medio-lungo termine in quanto connesse a progetti aziendali di più ampio respiro 184. Relativamente all audit report, esso è il documento, che chiude formalmente l intervento di audit, con il quale l internal auditor riassume le 183 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Guida Interpretativa IIA Modalità di comunicazione. 117

120 4. Le metodologie di revisione interna attività svolte nel corso dell incarico, relaziona sui rilievi emersi e propone le proprie raccomandazioni. Tale documento costituisce una prova durevole dell attività di audit effettuata e ne consente la valutazione da parte di soggetti terzi. L audit report può presentare finalità diverse e differenti stili a seconda dei destinatari a cui si rivolge: - l audit report rivolto al vertice aziendale, solitamente si presenta in versione sintetica, focalizzandosi solo sui principali aspetti che possono essere ritenuti significativi a tale livello; - l audit report rivolto ai responsabili di processi o di Funzioni aziendali sono invece mirati a far comprendere i punti di debolezza del sistema di controllo interno dell attività o dei processi di riferimento. In generale, un audit report dovrebbe articolarsi secondo la seguente struttura titolo del report e oggetto dell intervento, utile per consentire ai destinatari un immediato inquadramento dei contenuti e degli obiettivi dell intervento di audit; - indicazione dei destinatari, quindi manager operativi dell area soggetta ad audit e/o responsabili dell esecuzione delle azioni correttive, nonché i superiori gerarchici di questi; - indicazione delle strutture aziendali coinvolte e periodo dell intervento; - indicazione dell ambito dell audit e periodo di tempo coperto dalle verifiche: consente una corretta valutazione di eventuali rilievi emersi 185 È opportuno precisare che non esiste una forma unica per la stesura dell audit report, che spesso risente della cultura e delle abitudini dell organizzazione. In ogni caso, l internal auditor dovrà cercare di bilanciare un adeguato contenuto informativo, che consenta a tutti i destinatari una piena comprensione dei fatti segnalati e una corretta valutazione delle criticità, con un livello di sintesi che garantisca la leggibilità complessiva del report stesso. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

121 4. Le metodologie di revisione interna fornendo utili parametri per valutare la specificità e/o generalizzabilità dei risultati; - indicazione dell attività di verifica effettuate: costituisce una sintesi dell audit program applicato nel corso dell attività di verifica ed è utile ai destinatari per valutare le modalità con cui l internal auditor è giunto alla formulazione dei rilievi e la gravità degli stessi; - una prima valutazione di sintesi basata sui risultati delle verifiche, che rimanda ai risultati dettagliati e alle raccomandazioni che sono riportate per esteso nel prosieguo dell audit report; - condizioni generali dell area: si tratta di una sintesi delle condizioni dell area critica oggetto di rilievo con evidenziazione delle divergenze tra quello che è stato riscontrato e quello che dovrebbe essere; - criticità rilevate: dovrebbe includere le verifiche effettuate e il risultato delle stesse; - cause dei rilievi: è opportuno identificare le cause dei rilievi evidenziati al fine di consentire al management la selezione di adeguate azioni correttive 186 ; - criteri di valutazione delle criticità: vengono esplicitati i criteri di valutazione sulla base dei quali l internal auditor decide di includere la criticità tra quelle segnalate nell audit report 187 ; - conseguenze dei fatti riportati: questo punto evidenzia gli impatti generati dalla criticità sull organizzazione. Gli impatti possono essere rappresentati da perdite o mancate opportunità, oppure essere soltanto potenziali, come ad esempio nel caso di un sistema di controllo che non 186 A tal riguardo occorre fare attenzione a non ricondurre le criticità a semplici anomalie di comportamento gestionale, cosa che tenderebbe a colpevolizzare i soggetti all interno dell organizzazione. Tale fattispecie, in particolare, tende ad essere enfatizzata negli approcci più tradizionali di carattere ispettivo: suscitando reazioni difensive, essa rende più difficile attivare nei soggetti coinvolti un atteggiamento positivo che porti al superamento dei problemi. 187 Ai fini di tale valutazione potrebbe essere utile, per l individuazione dei criteri da utilizzare, il ricorso a confronti tra diverse entità della stessa organizzazione (benchmarking interni) o tra realtà aziendali diverse (benchmarking esterni), così come all opinione professionale di esperti, preferibilmente esterni all organizzazione. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

122 4. Le metodologie di revisione interna è in grado di prevenire determinati eventi a prescindere dal fatto che l evento si sia realizzato nel corso della verifica; - raccomandazioni di audit: come già accennato, esse rappresentano uno degli elementi a valore aggiunto dell incarico e, se pertinenti e ben bilanciati sulla base di una valutazione costi/benefici, costituiscono un importante opportunità per l audit nel supportare in termini consulenziali le attività operative. Nell audit report possono essere inseriti anche aspetti positivi che apprezzano, con commenti favorevoli, l attività svolta dal management sottoposto ad attività di audit. Alcuni di questi elementi possono essere sintetizzati qui di seguito 188 : - evidenziare gli obiettivi raggiunti dal management; - mettere in luce le azioni già pianificate dal management; - evidenziare i limiti di contesto su cui il management ha scarsa o nulla capacità di influire; - includere sempre i piani di azione come parte integrante del report. Infine, è possibile che il management non concordi con i rilievi sollevati nell audit report. Tale fattispecie deve verificarsi soltanto in casi eccezionali, in quanto il processo di gestione dell incarico di audit, come abbiamo visto nelle pagine precedenti, prevede diversi momenti di condivisione dei risultati che consentono di evitare il manifestarsi di posizioni inconciliabili al momento dell emissione dell audit report. 188 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

123 4. Le metodologie di revisione interna Una tale situazione rappresenta un segnale di allarme sulla qualità del lavoro svolto e sull affidabilità del management aziendale Il follow up auditing. Una volta emesso l audit report, contenente i piani d azione da intraprendere con l individuazione del management responsabile, la Funzione di Internal Audit deve provvedere alla pianificazione dell attività di follow up 190 che garantisce un reale valore aggiunto dell attività di verifica con cui vengono monitorati l efficacia e il rispetto dei tempi d implementazione delle azioni correttive concordate nella fase precedente. La natura, l ampiezza e la tempificazione delle attività di follow up devono essere determinate dal responsabile dell Internal Auditing in funzione di specifiche circostanze, quali la significatività dei rilievi emersi e delle raccomandazioni effettuate, l impegno e i costi necessari per l attuazione delle azioni correttive, gli eventuali effetti che potrebbero manifestarsi in caso di fallimento dell azione correttiva, la complessità di tali azioni ed il tempo necessario per il follow up. Concretamente, le diverse attività che possono essere realizzate in tale fase sono riportate qui di seguito in ordine di economicità 191 : - richiesta di stato di avanzamento al management: si tratta di una richiesta formale a scadenza dello stato di avanzamento delle attività pianificate dal management responsabile. Tali richieste presentano il 189 In questo caso è necessario che l audit report preveda uno spazio adeguato per riportare le posizioni in disaccordo. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Lo Standard IIA 2500 Processo di monitoraggio, ci fornisce una definizione di follow up identificandolo come il processo tramite il quale l internal auditor determina l adeguatezza, l efficacia e la tempestività delle azioni correttive intraprese dal management in risposta ai rilievi e alle raccomandazioni presentate. 191 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

124 4. Le metodologie di revisione interna vantaggio di responsabilizzare il management senza compromettere significativamente l immagine consulenziale dell internal auditing e garantiscono comunque uno stimolo al completamento dei piani di azione previsti; - verifiche dei piani di azione nel corso di audit specifici: richiedono la pianificazione e l esecuzione a scadenza di appositi interventi di audit con un programma di lavoro specificatamente orientato alla verifica dell implementazione dei piani di azione; - verifiche dell effettivo miglioramento del sistema di controllo interno tramite audit successivi: prevedono la formulazione di specifici test legati alla realizzazione delle azioni correttive nell ambito dei programmi di audit, da realizzare in successivi interventi previsti per l area stessa. Tale approccio viene spesso utilizzato quando siamo in presenza di rischi significativi, il cui mancato presidio rappresenterebbe una minaccia grave al raggiungimento degli obiettivi aziendali. In tali casi, l assicurazione offerta da un soggetto indipendente quale l Internal Auditing viene privilegiata rispetto alla sola responsabilizzazione del management. Se non prestato con la necessaria attenzione, il coinvolgimento forte della Funzione di Internal Auditing nel processo di follow up può determinare una deresponsabilizzazione del management dell area oggetto dell intervento e, inoltre, potrebbe far emergere il ruolo ispettivo e poliziesco della funzione stessa, compromettendo la sua immagine consuleziale di attività a valore aggiunto, nonché i rapporti con le Funzioni auditate. Abbiamo già evidenziato che, nel processo di follow up, l internal auditor deve assicurarsi che siano state intraprese azioni correttive e che queste stiano ottenendo i risultati desiderati. Può verificarsi la fattispecie in cui il board o il senior management si siano assunti la responsabilità di non 122

125 4. Le metodologie di revisione interna intraprendere azioni correttive, accettando quindi, un livello di rischio giudicato potenzialmente eccessivo per l organizzazione da parte del responsabile dell Internal Auditing; in tal caso, sarà necessaria una discussione tra le due parti coinvolte e, in caso di persistenza del disaccordo, la comunicazione del problema al vertice manageriale 192. L accettazione del rischio e quindi la rinuncia da parte del management aziendale ad intraprendere azioni correttive non può essere tacita, ma deve sempre risultare da un documento formale di accettazione dello stesso da parte del vertice. Il rischio, infatti, può essere accettato soltanto in funzione di un assunzione di responsabilità esplicita e formalizzata. 3. L APPROCCIO RISK BASED Come descritto precedentemente, nel modello di Enterprise Risk Management (ERM) il risk assessment è parte integrante del sistema di gestione dei rischi, esso, infatti, permette di individuare e misurare i rischi pertinenti all organizzazione. L attività di internal auditing e il ruolo che il revisore interno è chiamato a svolgere, risultano essere propedeutici al buon funzionamento di tutto il sistema di risk management. Un buon sistema di governance fa affidamento sulla gestione dei rischi attraverso l utilizzo di sistemi di gestione e di strumenti che consentano di aumentare la consapevolezza di tutte le possibili incertezze e degli ostacoli che si frappongono al raggiungimento degli obiettivi aziendali Cfr. Standard IIA 2600 Accettazione del rischio da parte del management. Qualora il responsabile dell Internal Auditing ritenga che il senior management abbia accettato un livello di rischio residuo che potrebbe essere eccessivo per l organizzazione, ne deve discutere con il senior management. Se il disaccordo permane, il responsabile dell Internal Audit e il senior management devono riportare il problema al board. 193 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

126 4. Le metodologie di revisione interna Uno degli strumenti e delle metodologie più idonei ad identificare, selezionare, misurare e gestire i rischi esterni ed interni è il risk management che consente al management di focalizzare la propria attenzione sui rischi più significativi, tra cui anche i rischi strategici e quelli reputazionali. Rispetto all utilizzo di una metodologia tradizionale che si incentra principalmente sul sistema formale dei controlli, tale approccio consente di porre attenzione sulla gestione dei rischi aziendali e sugli effetti che importanti cambiamenti, già intervenuti o che interverranno nell ambiente interno o esterno all azienda avranno sul modello di business aziendale e sulla performance dell impresa. Il Risk based auditing identifica il controllo come una forma di attenuazione del rischio e pur rispettando i medesimi passi del processo di internal auditing descritto nelle pagine precedenti, adotta una nuova ottica di analisi delle problematiche, conducendo a 194 : - l individuazione di variabili interne ed esterne all organizzazione che possono incidere sulla realizzazione degli obiettivi da parte della stessa; - la quantificazione e la valutazione degli effetti in termini di probabilità di impatto, monetario o non monetario, di tali variabili sui risultati relativi ad un processo, ad una business unit o all azienda nel suo complesso. Entrando più nel dettaglio, l approccio basato sui rischi si articola nei seguenti momenti: 1) Identificazione degli obiettivi strategici dell azienda e delle attività/processi per la loro realizzazione. A tal fine possono essere 194 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

127 4. Le metodologie di revisione interna utilizzati diversi strumenti importanti per la governance aziendale, impiegati nell analisi degli scenari attuali e previsionali per l azienda tra cui, sistemi di monitoraggio dell ambiente esterno, strumenti quali la balance scorecard, l analisi del piano strategico e degli obiettivi di budget, interviste al management e ai responsabili operativi ed altri sistemi di pianificazione e di programmazione e controllo; 2) Identificazione delle maggiori criticità/opportunità relative al raggiungimento degli obiettivi strategici, dopo una preventiva valutazione dei punti di forza/debolezza dell azienda, in relazione al contesto competitivo di riferimento; 3) Identificazione delle aree di rischio significative. A tal riguardo risulta determinante l esperienza del revisore e può essere molto utile il riferimento a benchmarking settoriali; 4) Valutazione dell adeguatezza del sistema di controllo interno per ciascuna area di rischio, in relazione ai fattori determinanti il livello di rischio stesso; 5) Mappatura dei rischi aziendali, ovvero ordinamento delle aree da monitorare in funzione della loro vulnerabilità ; 6) Comunicazione delle opinioni e raccomandazioni in merito all adeguatezza del sistema di controllo interno ed ai principali rischi aziendali, ai responsabili operativi e, ove necessario, agli altri organi di controllo e al vertice aziendale. L approccio metodologico per l identificazione e valutazione dei rischi deve consentire un adeguato coinvolgimento dei soggetti interessati, pertanto, a seconda delle esigenze aziendali e del contesto di riferimento, si possono identificare tre metodi che si contraddistinguono per un diverso grado di complessità, dinamismo e turbolenza. 125

128 4. Le metodologie di revisione interna - Approccio top down, dove i manager vengono significativamente guidati dall alto nell identificazione e valutazione dei rischi. In alcuni casi, ad esempio, i process owner devono identificare i rischi rilevanti per il processo di cui sono responsabili, facendo riferimento a un preciso questionario sviluppato a livello di corporate ed effettuarne la valutazione in base a criteri specifici; - Approccio bottom up, i manager identificano autonomamente i propri obiettivi e segnalano i rischi che possono ostacolarne il raggiungimento. In tal modo, è possibile avere un feedback sul grado di comprensione degli obiettivi aziendali da parte dei manager, verificando la coerenza tra le loro percezioni e quanto definito a livello globale; - Approccio down-bottom up, si articola in una prima fase in cui vengono definiti gli obiettivi aziendali declinati a cascata a partire dagli obiettivi strategici (fase top down) e in un secondo momento in cui, una volta definiti gli obiettivi, si procede all identificazione dei rischi da parte delle diverse strutture aziendali (funzioni corporate, business unit, attività operative, etc.) e alla successiva valutazione per poi procedere ad un consolidamento 195 a livello globale (bottom up) 196. La fase di identificazione e classificazione dei rischi e valutazione e selezione degli stessi, come abbiamo appena visto, viene normalmente condotta dal management, ma tale attività di risk assessment viene condivisa con la Funzione di Internal Auditing che si trova, dunque, ad assistere attivamente nello sviluppo e nell attuazione concreta di un approccio improntato alla gestione del rischio aziendale. 195 Il consolidamento può essere effettuato dai responsabili del processo di risk assessment senza un ulteriore coinvolgimento dei soggetti che hanno svolto le attività di identificazione e valutazione dei rischi (consolidamento non iterativo), oppure può essere attuato sulla base di un confronto tra le persone coinvolte nel processo di risk assessment, che può realizzarsi con modalità differenti a seconda delle esigenze aziendali (consolidamento iterativo). A seguito di questo confronto, si verificherà un iterazione del processo finalizzata alla verifica e/o all aggiustamento dei valori disallineati in maniera significativa. 196 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

129 4. Le metodologie di revisione interna Secondo tale metodologia, l internal auditor non parte da obiettivi già definiti dal management aziendale, ma si pone come un interfaccia continua nei confronti dell alta direzione, esercitando per essa una vera e propria attività di consulenza in merito agli ostacoli che si frappongono nel conseguimento degli obiettivi aziendali, con un ottica di osservazione prospettica dell impatto degli stessi sugli equilibri dell organizzazione. L individuazione delle unità assoggettabili ad audit tipica della metodologia di auditing tradizionale colpisce soltanto indirettamente le diverse Funzioni, i processi e le business unit che sono soggette ad auditing in virtù di una valutazione del rischio per unità organizzativa. In graduatoria vengono posti i rischi aziendali, misurati in termini di impatto sugli obiettivi di business complessivi e per quanto concerne la tempificazione delle attività di audit, essa non è vincolata ad un audit program rigido, ma è soggetta ad una verifica continua sul valore dell informazione generata rispetto al tempo (e al costo) del suo ottenimento. In tale ottica, all internal auditor sarà richiesta una valutazione sulla validità delle azioni di contenimento dei rischi aziendali e sull efficacia dei controlli interni, pertanto, per la formulazione di ipotesi ritenute ragionevoli dovrà procedere ad una raccolta di informazioni sufficienti sull entità dei rischi. È opportuno precisare che, la gestione integrata delle macro-categorie di rischio (tra cui, ad esempio, le categorie di Market Risk, Credit Risk e Operational Risk), e la conseguente analisi delle stesse, non può essere effettuata con una visione radiale dei rischi, come esemplificato nella Figura 6. Il punto di vista radiale, infatti, consente all osservatore (che è posizionato al centro) di identificare e valutare solo i rischi che entrano direttamente nel proprio campo visivo: in questo modo, è possibile avere solo una conoscenza frammentaria dei rischi che possono impattare sull azienda, 127

130 4. Le metodologie di revisione interna escludendo la possibilità di avere una visione organica che tenga conto delle interdipendenze tra i diversi rischi. Nell approccio risk based la centralità dell auditor, nello sviluppo delle strategie di ERM, richiede l utilizzo di strumenti che consentano di identificare in maniera sistematica i rischi che possono impattare sull azienda e di fornire una corretta valutazione delle conseguenze che questi rischi possono comportare per l organizzazione stessa. È fondamentale scegliere un punto di vista strategico che consenta una gestione integrata dei rischi aziendali e, pertanto, l adozione di un modello piramidale dei rischi potrebbe essere un valido strumento per valutare la possibilità di intervenire sulla probabilità di accadimento degli eventi negativi o sulla gravità del loro impatto. LA VISIONE RADIALE DEL RISCHIO CREDIT RISK MARKET RISK IA OPERATIONAL RISK Fig

131 4. Le metodologie di revisione interna La piramide dei rischi (Figura 7) può essere utilizzata sia nello sviluppo dell attività di event identification, sia nella fase di risk assessment previste dal CoSO-ERM. L event identification è una fase delicata nella definizione di una strategia ERM: è in questo momento, infatti, che gli eventi a cui l azienda può andare incontro vengono classificati come rischi o come opportunità, in funzione del livello di risk appetite definito dal management. Una volta identificati gli eventi che possono comportare conseguenze indesiderate al raggiungimento degli obiettivi di business dell azienda, la piramide dei rischi consente all internal auditor di valutare gli eventi negativi in funzione della possibilità da parte del management di intervenire sulla probabilità di accadimento o sulla gravità dell impatto dello specifico evento. Questa sistematizzazione consente all internal auditor di monitorare costantemente i singoli eventi potenzialmente dannosi per la propria azienda. LA PIRAMIDE DEI RISCHI NELL EVENT IDENTIFICATION MARKET RISK CREDIT RISK OPERATIONAL RISK Fig. 7 IA 129

132 4. Le metodologie di revisione interna A differenza di quanto avviene con la visione radiale del rischio, in questo caso, la posizione di monitoraggio dell auditor è collocata alla base della piramide: in questo modo, i rischi immediatamente individuabili sono quelli operativi, cioè i rischi sui quali il management può decidere di intervenire direttamente, in funzione della loro criticità, utilizzando i diversi strumenti di risk management che ha a disposizione. Una volta superati i rischi operativi, è possibile individuare i rischi di credito e i rischi di mercato. Questa visione panoramica consente all auditor di intuire le event interdipendencies, cioè quelle relazioni pericolose tra i rischi individuati di cui è necessario tener conto nella fase successiva di risk assessment. A questo punto l internal auditor può contribuire alla valutazione delle criticità dei rischi che possono impattare sull azienda. L assessment del rischio è un attività particolarmente delicata, attraverso la quale il rischio in esame viene definito in funzione della relazione tra probabilità di accadimento dell evento indesiderato e dell impatto che questo può avere sul raggiungimento degli obiettivi aziendali. Questa operazione consente di etichettare il rischio in funzione della sua criticità e di collocarlo in una zona precisa della matrice del rischio (Figura 8). Tale matrice è solitamente rappresentata dallo spazio compreso tra gli assi cartesiani, con i valori di probabilità e di impatto, che si intersecano in un punto 0; lo spazio viene così diviso in quadranti (4 nel nostro caso) nei quali i rischi vengono collocati a seconda della loro criticità. 130

133 4. Le metodologie di revisione interna LA MATRICE DEL RISCHIO HIGH-LOW HIGH-HIGH IMPATTO LOW-LOW LOW-HIGH PROBABILITA Fig. 8 L auditor deve conoscere bene l importanza della matrice di rischio, sia come strumento operativo, sia come strumento di comunicazione al management delle criticità aziendali; criticità che nel processo di ERM devono essere stimate in funzione di quella che il CoSO-ERM definisce correlation of event, vale a dire il sistema di interrelazioni che si vengono a creare tra i rischi. Per questo sistema di relazioni l attività di risk assessment non può essere effettuata sul singolo rischio, ma necessariamente sulla valutazione degli effetti che il verificarsi di quel rischio può comportare, tenendo conto di come questi effetti possano innescare altri eventi dannosi. In questo senso, l utilizzo di un modello piramidale potrebbe essere utile nella creazione degli scenari di rischio e nell individuazione dei near misses, quegli eventi (negativi) che potrebbero avvenire se si verificassero determinate condizioni. Anche in questo caso, a differenza della visione radiale del rischio, la piramide dei rischi consente all auditor di stimare il valore del rischio in un contesto integrato, che metta in evidenza l interdipendenza tra gli eventi 131

134 4. Le metodologie di revisione interna negativi e che consenta quindi di definire con maggior precisione il collocamento dello specifico rischio all interno della matrice di rischio 197. L attenzione all interdipendenza tra i rischi consente di tarare con più precisione il peso specifico di ogni rischio in funzione degli scenari che possono derivare dal verificarsi dello stesso, definendo con maggior approssimazione il valore dell impatto complessivo che il rischio può avere sull azienda. Quanto appena detto è essenziale per l effettuazione di un corretto risk assessment e, inoltre, l utilizzo di tali modelli consente di dimostrare al management come una specifica interdipendenza tra rischi giustifichi la richiesta di intervenire con investimenti atti a ridurre il verificarsi di un potenziale trigger event 198. È necessario sottolineare che, l implementazione dell approccio risk based richiede all internal auditor una grande esperienza ed elevate competenze professionali, oltre che un continuo dialogo con i manager e il personale operativo di riferimento. Il rapporto di audit sarà incentrato, non tanto sulle non conformità di singole attività o processi da cui poi scaturiranno controlli di remediation tipici della fase di follow up, ma si concentrerà sui rischi individuati e sulla valutazione delle politiche di gestione dei rischi intraprese, tutto ciò con la collaborazione del management e dei responsabili operativi, i cui contatti formali o informali garantiranno lo sviluppo del processo di risk management. 197 Si pensi, ad esempio, alla distruzione accidentale dei disegni (rischio operativo): essa può impattare sulla capacità di produzione dell azienda, la quale si trova in difficoltà nella consegna del materiale ai clienti (rischio operativo) con conseguente perdita economica dovuta al pagamento delle penali previste dal contratto di fornitura del materiale (credit risk); le perdite economiche possono causare una crisi di liquidità all azienda, la cui reputazione, nel frattempo, ha subito un calo con conseguente perdita di quote di mercato (market risk). 198 Cfr. DAL NEGRO L., Il terremoto di Kobe, ovvero l interdipendenza tra i rischi., Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007 p

135 4. Le metodologie di revisione interna L approccio basato sui rischi, nonostante fornisca all organizzazione maggior valore aggiunto rispetto ad un approccio tradizionale, concentrandosi sulle aree a rischio più elevato, favorendo la condivisione delle analisi con il management operativo e presentando un alta capacità informativa per gli operatori aziendali sulla rilevanza di meccanismi di controllo come mezzi di raggiungimento degli obiettivi, richiede all internal auditor l acquisizione di una serie di competenze che vanno oltre l ambito della revisione. Sono necessari, fra le altre cose, una buona conoscenza del contesto di riferimento in cui opera l azienda e competenze manageriali nei diversi settori gestionali che non sempre il revisore interno possiede; in questi casi, c è il rischio che tale approccio non consenta di giungere ad una valutazione complessiva dei controlli interni. 4. IL CONTROL & RISK SELF ASSESSMENT (CRSA) Come già visto precedentemente, nell attuale contesto economico, il tema dell analisi dei rischi è diventato di fondamentale importanza. Lo stesso Codice di Autodisciplina, ispirandosi all ERM Integrated Framework del 2004, propone una definizione di sistema di controllo interno da intendersi come l insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell impresa sana, corretta e coerente con gli obiettivi prefissati. In particolare, l adozione di un approccio basato sui rischi acquista rilevanza in termini di comunicazione al mercato; infatti, gli emittenti sono chiamati a fornire un adeguata informativa sul livello di rischio e sui 133

136 4. Le metodologie di revisione interna meccanismi di risk management implementati e ciò consente di tutelare maggiormente gli investitori, che sono messi nelle condizioni di valutare i rischi del proprio investimento. Il processo di valutazione dei rischi rappresenta, quindi, sia una componente del sistema di controllo interno, sia una fase di svolgimento del risk management. Abbiamo avuto modo di osservare che il concetto di valutazione del rischio qualifica un insieme coordinato di attività inerenti l identificazione, la misurazione e la classificazione, in base alle priorità, dei rischi aziendali. La responsabilità di tale processo, pur coinvolgendo l intera struttura organizzativa, è comunque affidata al vertice aziendale, mentre all internal auditor, spesso, spetta il compito di un suo monitoraggio. Tale attività ha comportato la necessità di sviluppare nuovi canali di comunicazione, tra revisori interni e management, che favorissero l evoluzione di meccanismi operativi utili alla valutazione dei rischi. La metodologia di Control & Risk Self Assessment (CRSA) può costituire un utile ed efficiente strumento di collaborazione tra manager ed internal auditor nell analisi e nella valutazione dei processi di risk management e controllo dell organizzazione. Il CRSA può essere definito come una metodologia di autodiagnosi, caratterizzata da un attiva partecipazione del management, che consente ai manager e ad altri soggetti operativi di un unità organizzativa, funzione o processo, attraverso un processo strutturato e guidato, di 199 : - identificare gli obiettivi di business e di governo prioritari e i relativi rischi e vulnerabilità potenziali che costituiscono minacce al loro conseguimento; - valutare i processi di controllo finalizzati a mitigarli o gestirli; 199 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

137 4. Le metodologie di revisione interna - sviluppare iniziative per ridurre i rischi che emergono nel corso dell autodiagnosi; - determinare il livello di accettabilità dei rischi residui ai fini del conseguimento degli obiettivi 200. La grande novità del CRSA è rappresentata dal prefisso self, ovvero auto-valutazione. Nel parlare di valutazione dei controlli interni, viene chiamato in causa l intero management dell organizzazione e i suoi gruppi di lavoro, e non l Internal Auditing.; ed è proprio l aspetto auto-valutativo la vera innovazione rispetto all approccio risk based, in cui è l Internal Auditor a valutare l efficacia dei controlli posti in essere dall organizzazione per raggiungere gli obiettivi stabiliti, sulla base dei rischi aziendali 201. Le modalità di effettuazione del CRSA non seguono criteri predefiniti, ma si modificano per adattarsi ai continui cambiamenti dell organizzazione in funzione del settore di appartenenza, della struttura organizzativa, del livello di empowerment del personale, dello stile manageriale e dei sistemi di formulazione di strategie e politiche. Il processo di CRSA deve, pertanto, essere calibrato in modo che si adatti alle caratteristiche di ogni struttura organizzativa, oltre che dinamico e modificabile nel tempo a fronte del continuo evolversi della stessa. Al di là dell ampia varietà di approcci che si distinguono: per le tecniche adottate (workshop, interviste o questionari), supportate anche da varie analisi interne elaborate dal management; per il diverso grado di 200 Nel 1998, l Institute of Internal Auditor (IIA) ha definito il CSA (allora si chiamava così) un processo attraverso il quale si analizza e valuta l efficacia del controllo interno con lo scopo di fornire ragionevole certezza che tutti gli obiettivi dell organizzazione siano raggiunti. E descrivendone le varie fasi operative precisava che il CSA è un approccio di team, strutturato, analitico e facilitato, che utilizza le competenze degli esperti, usa l anonimato per far emergere la verità relativamente al conseguimento degli obiettivi, identifica le cause di fondo dei rischi, e delle debolezze di controllo e fornisce informazioni quantificate per la presa di decisioni e lo sviluppo dei miglioramenti. 201 Cfr. TORNEO M., Introduzione al Control and Risk Self Assessment., Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p

138 4. Le metodologie di revisione interna coinvolgimento del management dei livelli più elevati e per il ruolo assunto dall Internal Auditing; le caratteristiche distintive del CRSA consistono nel fatto che: la valutazione dei rischi e dei controlli interni spetta al management; vengono utilizzate metodologie di facilitazione, quali workshop e questionari; l internal auditor assume in tale approccio un ruolo di facilitatore e formatore sulle tematiche relative ai rischi e ai controlli. La presenza della Funzione di Internal Auditing nel CRSA non costituisce necessariamente un elemento distintivo del processo; infatti, anche se gli internal auditor risultano le figure maggiormente coinvolte, nella realtà, ai fini dell introduzione del CRSA nelle organizzazioni, lo stesso può essere supportato da altre figure professionali interne o esterne. L implementazione del Control & Risk Self Assessment può strutturarsi per tutte le dimensioni organizzative, quindi, per Funzioni, business unit, processi e progetti. Tale approccio consente una valorizzazione delle conoscenze e delle capacità di tutti coloro che ne sono direttamente responsabili e che conoscono a fondo le diverse problematiche di business e le procedure relative al proprio lavoro. Il CRSA, conformemente ai principi di miglioramento continuo e alla diffusione della cultura di risk management, rappresenta un valido strumento a disposizione del management aziendale per determinare un evoluzione nella cultura del controllo dell organizzazione ed incentivare l empowerment del personale. I vantaggi derivanti dall adozione del processo di CRSA possono essere così sintetizzati 202 : 202 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

139 4. Le metodologie di revisione interna - una maggiore consapevolezza del risk management e del controllo dell intera struttura organizzativa, derivante dall apprendimento, da parte dei partecipanti, delle modalità di analisi, nonché dall assunzione delle responsabilità in merito; - una focalizzazione dell attenzione sui rischi e sui controlli di maggior rilievo; - una maggiore efficacia delle azioni correttive, in virtù del fatto che i partecipanti al CRSA sono, di fatto, i proprietari dei risultati scaturiti; - un monitoraggio e un miglioramento continuo della filiera obiettivi rischi controlli; - un generale rafforzamento del ruolo del management nella gestione dei rischi e dei processi di controllo, che può comportare una minore propensione a delegare tali attività a specialisti, quali gli internal auditor 203. In aggiunta, il CRSA contribuisce a diffondere ed a migliorare i processi di enterprise risk management, tramite: - la sensibilizzazione del management verso il processo di risk management e il controllo interno; - la motivazione del personale nella progettazione e nell implementazione dei processi di controllo, nonché nel miglioramento continuo dei processi operativi; - la segnalazione di eventuali malfunzionamenti e blocchi nei processi di informazione e comunicazione; 203 Con il CRSA si invita l intera popolazione aziendale ad identificare e circoscrivere i problemi di cui è a conoscenza, in modo che ne risulti una consapevolezza condivisa e globale dei rischi, a fronte dei quali impostare con razionalità le necessarie azioni correttive. Questo è il CRSA: un ponte. Un ponte che collega chi sa dell esistenza di un problema ma non ha il potere di risolverlo, con chi avrebbe tutti i poteri necessari ma ignora l esistenza del problema. Ma il CRSA è anche di più: un sistema di mappatura che consente di eliminare gran parte dei territori oscuri dove si annidano i problemi irrisolti perché ignorati. Cfr. Conversazione con Giovanni Grossi, Presidente onorario dell AIIA, Una sfida insidiosa per l internal audit., Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p

140 4. Le metodologie di revisione interna - il miglioramento dei sistemi di reporting, in virtù della componente autovalutativa del management sull adeguatezza dei controlli a presidio dei rischi. È opportuno rilevare, inoltre, che le dinamiche organizzative del CRSA, basate su un attiva partecipazione del management e portatrici di un elevato livello di sensibilità diffusa all interno dell organizzazione relativamente alle interrelazioni sussistenti tra obiettivi, rischi e controlli, contribuiscono al miglioramento della qualità del processo di pianificazione strategica, se correttamente integrate all interno dello stesso 204. Per quanto riguarda, ad esempio, i rapporti con l ambiente competitivo, il CRSA può contribuire alla definizione degli obiettivi strategici dell organizzazione, offrendo importanti indicazioni di scenario; oppure, relativamente all allocazione delle risorse, può incrementare la qualità del processo di selezione delle diverse opportunità di investimento, offrendo un analisi sul rapporto tra redditività e profilo di rischio dello stesso; e non per ultimo, l aspetto della responsabilizzazione del management i cui piani di azione elaborati nei processi di CRSA e finalizzati all implementazione di strategie di risposta al rischio dovranno essere sottoposti a verifiche di compatibilità con altri programmi aziendali. D altro canto, il CRSA per poter avere successo, o anche solo poter essere avviato come progetto, deve essere sperimentato in una organizzazione la cui cultura sia già orientata all empowerment di tutti i livelli. Perché il CRSA possa effettivamente decollare è necessario, inoltre, che un clima di fiducia e di onestà abbia la meglio su una presunta ragion d impresa, e che non ci siano veti e condizionamenti del vertice e del senior management sulle problematiche da affrontare. Se questi presupposti non esistono o sono di difficile realizzazione, è meglio rinunciare. Ecco perché l applicazione del CRSA risulta 204 Cfr. S. Beretta, Valutazione dei rischi e controllo interno. Egea Edizioni, Milano,

141 4. Le metodologie di revisione interna sostanzialmente sconsigliata in quelle organizzazioni del tipo Comando e Controllo, in cui le decisioni e la creatività restano confinate a livello di top management, le attività di internal audit bruciano preziose energie in interventi principalmente di compliance, e l attenzione degli stessi auditor è più sulle procedure aziendali che sugli obiettivi di business 205. Alcune delle problematiche e degli ostacoli che si possono frapporre nell implementazione del Control & Risk Self Assessment sono 206 : - la resistenza al cambiamento, da parte del personale dell impresa di fronte all adozione di nuove metodologie; - la mancata assunzione di responsabilità o impegno da parte del management; - la scarsa attendibilità dei risultati del CRSA derivante da culture aziendali poco trasparenti; - la necessità di competenze in tema di gestione dei rischi e di controlli, gestione che richiede un elevato livello di addestramento del personale e di impegno temporale ai fini dell efficace funzionamento del processo di CRSA; - la mancanza, nell ambito della Funzione di Internal Auditing, delle competenze necessarie allo svolgimento del ruolo di facilitatore o di istruttore; - la non precisa definizione e comunicazione all interno dell azienda delle responsabilità e delle caratteristiche del processo di CRSA, che rischia di porre la Funzione Internal Auditing in competizione con le altre aree aziendali. 205 Cfr. TORNEO M., Introduzione al Control and Risk Self Assessment., Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

142 4. Le metodologie di revisione interna Da quanto fin qui detto, si comprende che prima di intraprendere il cammino dell adozione del processo di CRSA, è necessario effettuare un analisi dello stato in cui verte l azienda, in modo tale da valutare se sussistono una o più delle circostanze suddette, che potrebbero condizionare in maniera rilevante la sua implementazione IL RUOLO DELL INTERNAL AUDITOR NELL APPROCCIO CRSA Il grado di partecipazione della Funzione di Internal Auditing nei progetti di CRSA varia a seconda delle circostanze. Talvolta, è previsto un impegno rilevante che comporta la sponsorizzazione, la progettazione, l attuazione e la gestione del processo tramite la conduzione di sessioni formative, la messa a disposizione di facilitatori e di personale per la redazione di verbali e relazioni, nonché l organizzazione per il coinvolgimento di manager e gruppi di lavoro. In altri casi, invece, il coinvolgimento dell Internal Auditing si presenta più contenuto, limitandosi a fornire consulenza e assumendo il ruolo di parte interessata all intero processo di valutazione, effettuando opportune verifiche per convalidarne i risultati ed esprimendo un giudizio professionale sull adeguatezza e l efficacia complessiva dei sistemi di controllo e di gestione del rischio. In genere, l impegno della funzione di Internal Audit nei progetti di CRSA si posiziona all interno di questi due punti estremi; e sulle modalità di intervento di tale Funzione esistono differenti visioni relativamente ai seguenti punti 207 : 207 Cfr. L. Hubbard, Control Self Assessment:guida pratica, Milano, AIIA,

143 4. Le metodologie di revisione interna 1) Il ruolo dell internal auditing. Alcuni ritengono che la funzione non debba essere proprietaria finale del processo di CRSA e debba invece pianificare nel tempo il trasferimento del ruolo di facilitatore e di reporting interamente ai team di lavoro. Altri, invece, sostengono che l internal auditing debba continuare a svolgere il proprio ruolo di facilitatore ed essere il punto di riferimento per la pianificazione e il reporting sul CRSA. Nella realtà sono poche le funzioni di Internal Auditing che hanno trasferito completamente le proprietà del CRSA ai team di lavoro. 2) L attività di reporting dei risultati di CRSA. Dovrebbe essere l Internal Auditing a presentare un rapporto al management sui risultati di un progetto, oppure lo stesso dovrebbe essere emesso dal team di lavoro. Anche l emissione del rapporto di CRSA direttamente da parte del team di lavoro crea un ulteriore allineamento di responsabilità tra la valutazione dei controlli e il reporting, che può portare ad un maggiore impegno nell assessment di rischi e controlli rispetto al caso in cui la responsabilità e il reporting non fanno capo alla stessa entità. Gli internal auditor possono comunque emettere un rapporto sui risultati dell attività in generale, eventualmente poi corredati di verifiche integrative; si precisa inoltre che, dove il CRSA non è ancora prassi consolidata, svolgere attività di CRSA nell ambito di uno specifico intervento di audit, per esempio nella fase dell analisi preliminare, può avere effetti molto positivi. 3) La quality assurance. Alcuni sostengono che la funzione di Internal Auditing debba eseguire una valutazione globale per confermare l affidabilità delle attività di CRSA, altri ritengono, invece, che tutto ciò non sia necessario. In realtà, la revisione del processo risulta necessaria se un self assessment entra a far parte del piano di audit al fine di fornire una 141

144 4. Le metodologie di revisione interna visione complessiva dei controlli interni 208. Inoltre, se il CRSA sostituisce completamente un audit, dovranno essere effettuati test efficaci in varie fasi del processo. In sostanza, l internal auditor costituisce un ausilio per il management nell adempiere alle proprie responsabilità, in termini di mantenimento ed introduzione dei processi di controllo e di gestione dei rischi. Inoltre, è opportuno sottolineare che, il CRSA, oltre che a fornire valore aggiunto all organizzazione tramite l impiego di risorse specialistiche o a sostegno dell implementazione del progetto, consente alla Funzione di Internal Auditing di conseguire dei vantaggi, quali 209 : - diventare il diretto utilizzatore dell output derivante dal CRSA: i risultati prodotti nelle sue sessioni possono rivelarsi estremamente utili ai fini della definizione del piano di audit e nella fissazione delle priorità degli interventi; - migliorare l efficienza delle proprie attività, attraverso la riduzione delle risorse dedicate alla raccolta di informazioni sui rischi e controlli e l eventuale eliminazione di parte delle attività di test. In generale, un buon progetto di CRSA dovrebbe comportare un ampliamento dell ambito di copertura dei processi di controllo, un miglioramento della qualità delle azioni correttive introdotte dai responsabili di processo e una maggiore concentrazione delle risorse di internal auditing sulle unità aziendali meno presidiate dal sistema di controllo interno e che, allo stesso tempo, presentano elevati rischi residuali. 208 Cfr. Professional Practies Pamphlet Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

145 4. Le metodologie di revisione interna Nel momento in cui i responsabili della Funzione di Internal Audit non provvedono a preparare e controllare adeguatamente il proprio staff nell implementazione del CRSA, svolgendo, quindi, un ruolo di facilitatore e di istruttore con scarsa preparazione e senza dotarsi di staff con skills idonei, ecco che i danni provocati all immagine della Funzione Internal Auditing potrebbero essere considerevoli LE METODOLOGIE UTILIZZATE NEL CRSA I principali approcci che vengono utilizzati più di frequente per lo svolgimento del Control & Risk Self Assessment possono essere raccolti nelle seguenti tre categorie: a) Workshop approach. b) Survey approach. c) Management produced analyses. Qui di seguito forniremo alcuni approfondimenti sulle tecniche maggiormente utilizzate, in particolare il workshop e il questionario, fornendo per completezza brevi accenni anche relativamente alle analisi interne elaborate dal management. a) Il workshop approach. Il workshop, che nella realtà operativa risulta essere di gran lunga l approccio più diffuso e apprezzato, consiste in sessioni di analisi e di discussione, opportunamente strutturate, condotte da facilitatori. 143

146 4. Le metodologie di revisione interna Si tratta, in altri termini, di riunioni di gruppo che, normalmente durano da due a quattro ore e coinvolgono da sei a quindici partecipanti, progettate allo scopo di far emergere conoscenze, percezioni e giudizi dei partecipanti sui rischi, sulle loro cause e sulle possibili conseguenze, nonché sull adeguatezza dei controlli esistenti, in relazione a un determinato obiettivo o processo 210. Con il workshop, l identificazione degli eventi viene tracciata sulla base dell esperienza e delle conoscenze del management, staff ed altro personale coinvolto. Infatti, attraverso la partecipazione di persone appartenenti a livelli diversi delle unità o Funzioni coinvolte, con differenti backround di esperienze o conoscenze, è possibile identificare, con dinamiche di gruppo, importanti eventi che altrimenti rischierebbero di essere omessi. Le dinamiche che si innescano, favoriscono un incremento della sensibilità verso gli aspetti riguardanti la gestione dei rischi e la criticità dei controlli, promuovendo altresì, una migliore comunicazione tra le parti e migliorando la comprensione reciproca degli effetti che le decisioni e i comportamenti di ciascuna entità possono avere sulle altre, in termini di rischi. Il ruolo di facilitatore, che provvede alla pianificazione e conduzione del workshop, viene spesso assunto dall internal auditor a cui è richiesta un elevata professionalità in materia. Facilitare il workshop significa, pertanto, rendere più agevole al gruppo di lavoro la valutazione degli obiettivi, dei rischi e dei controlli, facendo emergere idee, esperienze e valori che possono fungere da base per prendere decisioni condivise e per assumerne la responsabilità Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

147 4. Le metodologie di revisione interna L internal auditor, pertanto, si trova nella posizione di moderatore 212 della discussione sugli eventi che possono influenzare il raggiungimento degli obiettivi aziendali, nel suo complesso o della singola unità organizzativa. Al facilitatore sono richieste, al di là delle caratteristiche generali necessarie per la gestione efficace di qualsiasi meeting 213, competenze specificatamente connaturate al processo di CRSA. Di seguito riportiamo alcuni momenti della gestione di un workshop su cui è opportuno porre attenzione. I. La preparazione preliminare del workshop Preliminarmente all effettuazione della riunione formalizzata, è opportuno che l internal auditor illustri al gruppo di lavoro, le finalità, i contenuti e i motivi per cui il progetto di CRSA viene implementato nell organizzazione, la correlazione con l attività di internal auditing e la destinazione dei suoi risultati; in tale introduzione sono necessari l utilizzo di una terminologia univoca e di strumenti adatti per la raccolta di informazioni. 212 È fondamentale per una buona conduzione del workshop, che l internal auditor sia dotato, oltre che di competenze tecniche in materia di rischi e controlli, anche di competenze socioorganizzative. Secondo una ricerca effettuata da un gruppo di studio, un facilitatore di CRSA dovrebbe essere: - dotato di caratteristiche quali prontezza, abilità, intelligenza, perspicacia; - generalista; - capace di costruire una struttura intorno ai concetti trattati; - in possesso di abilità comunicative; - capace di adattarsi in situazioni di ambiguità. (Per ulteriori approfondimenti cfr. R.P. Tritter, D.S. Zittnan, Control Self Assessment: Experience, Current Thinking and Best Practices, The IIA Research Foundation, 1996.) 213 È opportuno il riferimento a tutte quelle responsabilità relative a: - aspetti logistici del meeting, inerenti locali, materiali, dotazioni, break, pasti e quant altro connesso all allestimento e alla gestione di uno workshop; - gestione del processo, che implica la definizione della struttura, delle regole generali e delle finalità del meeting; - controllo della dinamica di gruppo, relativo alla gestione delle personalità, delle aspettative, dei conflitti e delle inefficienze che possono insorgere nei meeting. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

148 4. Le metodologie di revisione interna In particolare, ai fini di rendere efficiente ed efficace tale processo, si procede 214 : ad illustrare in anticipo ai partecipanti i contenuti e i metodi del workshop, compresi i modelli di rischio e controllo adottati; ad effettuare un incontro con il management del gruppo di lavoro che parteciperà al meeting, per acquisire informazioni sull attività e gli obiettivi di business ed illustrare il progetto di CRSA; a comprendere la cultura del gruppo di lavoro, in modo tale da avere la consapevolezza del clima che si presenterà durante lo svolgimento del workshop; a selezionare gli obiettivi e i processi da utilizzare nel workshop, per poi individuarne i partecipanti; ad acquisire informazioni relativamente alla terminologia utilizzata dal gruppo, quindi i nomi dei processi e dei sistemi informatici, nonché di eventuali precedenti audit o analisi; predisporre la logistica del meeting e comunicare, per tempo, la data della sua effettuazione; predisporre un agenda, che rappresenti una guida alle diverse sessioni di workshop. 214 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

149 4. Le metodologie di revisione interna II. La gestione del workshop Essa fa riferimento, soprattutto, ad aspetti inerenti la gestione delle dinamiche di gruppo, ovvero: l abilità nel comprendere quali domande provenienti dal gruppo devono ottenere un immediata risposta e quali, invece, possono essere girate al gruppo stesso per rafforzarne le competenze; la raccolta delle informazioni, con particolare riguardo alla capacità di ottenere risposte specifiche, di capire la situazione reale, di trovare l accordo nel registrare i risultati, di osservare i partecipanti per capire quando indagare ulteriormente, quando lasciare che qualcuno assuma la guida, quando, invece, coinvolgere qualcuno nella discussione e non imporre la propria visione al gruppo; le competenze specifiche per una presentazione efficace, quindi entusiasmo, sincerità, energia, capacità comunicative, rispetto della tempistica, utilizzo di supporti visivi, attrezzature e modalità espositive; la gestione delle differenti personalità che partecipano al workshop e la capacità di governare eventuali situazioni critiche; l utilizzo della tecnologia per effettuare le votazioni Normalmente la tecnologia impiegata si concretizza nel voto anonimo o nel sistema delle postazioni di lavoro. Il voto anonimo permette ai partecipanti di indicare preferenze, priorità, percezioni e opinioni su un determinato argomento; il sistema delle postazioni di lavoro consente ai partecipanti di scrivere le loro idee sui propri computer, collegati in rete per poter essere visualizzate su uno schermo. Molti dei risultati del workshop possono essere ottenuti mediante tecniche manuali, ma la visualizzazione e l analisi della votazione in tempo reale consentite dai sistemi elettronici possono massimizzare i risultati. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

150 4. Le metodologie di revisione interna III. Le possibili tipologie di workshop 216 Il workshop può strutturarsi secondo percorsi e focus diversi a seconda degli obiettivi che si intendono perseguire, qui di seguito riportiamo dei brevi accenni su alcuni degli approcci utilizzati per condurre un analisi CRSA. L approccio complessivo basato sugli obiettivi aziendali prefissati, si focalizza sull individuazione dei rischi che possono pregiudicare il raggiungimento di un determinato obiettivo aziendale, pertanto il workshop prende avvio con l identificazione di tutti i possibili ostacoli, barriere, minacce e vulnerabilità (rischi inerenti). Successivamente, si procede all analisi delle procedure di controllo in atto per verificarne l idoneità al contenimento dei rischi principali, per poi determinare l entità del rischio residuale e valutarne la tollerabilità, in funzione delle politiche aziendali. Essendo l obiettivo finale quello di identificare l esistenza dei rischi residuali rilevanti, questo approccio può produrre risultati più ampi rispetto alle altre metodologie, in quanto fornisce una completa identificazione dei rischi e dei controlli e si basa su un sistema di valutazione del rischio già ottimizzato. La sequenza del workshop basato sui rischi OBIETTIVO RISCHI INERENTI CONTROLLI RISCHI RESIDUI VALUTAZIONE Fig Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

151 4. Le metodologie di revisione interna L approccio basato sui processi, si basa sull analisi di un intero processo 217 e delle specifiche attività che si svolgono al suo interno. Tale approccio, in genere risulta molto più familiare per i revisori interni e per il management, in quanto ha come oggetto di analisi i processi a cui tipicamente si riferisce l attività di auditing tradizionale. Il workshop process-based, in genere include l identificazione degli obiettivi aziendali per l intero processo e per le varie attività che lo compongono; da qui i partecipanti al gruppo di lavoro procedono ad identificare i relativi rischi e i controlli che consentono il raggiungimento di tali obiettivi. Lo scopo dell analisi è quello di valutare, aggiornare, convalidare e migliorare ed eventualmente semplificare l intero processo e le singole attività che lo compongono, ottimizzandone quindi la sua gestione in un ottica di risk management. L approccio basato sui processi può avere una maggiore ampiezza di analisi in quanto focalizzato su una molteplicità di obiettivi all interno del processo e può essere utilizzato dal management in progetti di reengineering e di miglioramento della qualità e, in generale, in iniziative di miglioramento continuo. Esso, inoltre, nel caso di processi trasversali alle linee funzionali, favorisce la comunicazione tra gruppi appartenenti a diverse aree aziendali, offrendo ai partecipanti l opportunità di una maggiore comprensione delle attività del processo. 217 Per processo si intende una serie di attività a valore aggiunto, tra loro coordinate al fine di conseguire un determinato risultato. 149

152 4. Le metodologie di revisione interna La sequenza del workshop basato sui processi OBIETTIVI PROCESSO OBIETTIVI ATTIVITA RISCHI INERENTI OTTIMIZZA- ZIONE CONTROLLI VALUTAZIONE Fig. 10 L approccio focalizzato sui controlli si concentra sul metodo migliore per la realizzazione degli obiettivi prefissati ed inizia con l identificazione dei controlli in essere per il perseguimento di ciascun obiettivo aziendale, sulla base dei rischi inerenti già individuati prima dell effettuazione del workshop. Da qui si procede all identificazione dei relativi rischi residuali e alla conseguente valutazione delle procedure di controllo, in termini di adeguatezza, efficacia e idoneità a garantire livelli accettabili di rischio residuale. In tale approccio i principali rischi inerenti vengono identificati a seguito di analisi interne effettuate in una fase preliminare del progetto o, comunque, già disponibili. Dato che questo approccio presuppone una valida identificazione dei rischi, con il relativo disegno dei controlli per il raggiungimento degli obiettivi, esso può essere applicato in un organizzazione che abbia già implementato un modello di rischi e di controllo. 150

153 4. Le metodologie di revisione interna La sequenza del workshop basato sui controlli e sui rischi residui OBIETTIVO RISCHI INERENTI CONTROLLI RISCHI RESIDUI VALUTAZIONE Workshop Fig. 11 Infine, l approccio focalizzato sui rischi residui, è un approccio molto circoscritto, poiché si concentra sulla verifica del corretto funzionamento dei controlli in essere. I principali controlli e i rischi potenziali vengono identificati da analisi interne già disponibili o determinati durante il processo di pianificazione del progetto di CRSA. Tale identificazione preliminare può avvenire attraverso interviste con il management e i collaboratori, l utilizzo di flowcharting o altri modelli di supporto. Il suo scopo è valutare l efficacia dei controlli nel contenimento dei rischi e nel raggiungimento degli obiettivi fissati, dato che i controlli nel tempo sono soggetti ad un certo grado di volatilità, per cui anche quelli originariamente più efficaci possono deteriorarsi per negligenza o per effetto del contesto interno ed esterno in cui essi operano. In questi casi il rischio residuale che in passato veniva considerato accettabile per l organizzazione potrebbe tornare a riposizionarsi attorno al livello originale di rischio inerente. Tale approccio rappresenta un punto di partenza per quelle organizzazioni che, abituate ad un audit tradizionale, intendono avviare un workshop ai fini di una totale valutazione dei rischi di business. 151

154 4. Le metodologie di revisione interna b) Il survey approach. Tale metodologia si basa sull utilizzo di questionari, i quali rappresentano uno dei classici strumenti di indagine dell attività di revisione e vengono tradizionalmente utilizzati per la comprensione del sistema di controllo interno e dei principali processi aziendali. Tali strumenti sottopongono i partecipanti ad una serie di argomenti da discutere, focalizzandosi principalmente sull individuazione e la misurazione dei fattori di rischio e di controllo dell organizzazione. Essi sono costituiti da un elenco di domande, che possono essere aperte o chiuse, formulate attentamente in modo da essere comprensibili ai destinatari prescelti (una o più persone interne all organizzazione, oppure esterni, ad esempio clienti, fornitori, etc.). I questionari sono solitamente caratterizzati da domande a risposta chiusa (del tipo Sì/No, Attivato/Non Attivato), in modo tale da favorire il rapido esame delle risposte da parte dell internal auditor. Tale tecnica contribuisce all implementazione del CRSA, rappresentando, comunque, una forma di auto-valutazione, infatti, le domande proposte al management e ad altro personale operativo, ineriscono aspetti che contribuiscono ad una complessiva valutazione dei sistemi di controllo e di rischio. I questionari vengono solitamente utilizzati nei casi in cui la popolazione di riferimento è molto numerosa o geograficamente molto dispersa 218 per partecipare ad un workshop, oppure laddove non vi sia un adeguata cultura del controllo ed il personale risulta impreparato ad intraprendere una discussione aperta e sincera nell ambito di un workshop; in altre circostanze legate ad esigenze di riduzioni di tempi e/o costi della raccolta di 218 Talvolta quest ultima circostanza induce ad utilizzare il questionario come tecnica complementare allo svolgimento del workshop, soprattutto quando si necessitino delle informazioni che coprono un ampio numero di soggetti che difficilmente potrebbero essere coinvolti nel workshop. 152

155 4. Le metodologie di revisione interna informazioni e a difficoltà di carattere professionale, nel momento in cui non esistono le competenze necessarie alla gestione e alla conduzione di un meeting facilitato. D altro canto, l impiego dei questionari presenta alcuni svantaggi rispetto al workshop approach: talvolta può essere dubbia la veridicità e l attendibilità delle risposte date dai partecipanti, soprattutto, se non seguite da un aggiornamento periodico delle stesse, inoltre, si presenta il problema dell impossibilità di fornire chiarimenti immediati sulle risposte date, in virtù della rigidità di tale strumento ed, infine, la scarsa partecipazione potrebbe rendere la percentuale delle risposte decisamente bassa. Nella predisposizione del questionario è opportuno tener conto di alcune accortezze che potrebbero incrementarne l efficacia, tra queste, si segnalano l utilizzo di questionari corti e semplici, formulati con un linguaggio semplice e non condito di tecnicismi propri della revisione, lo sviluppo di un singolo argomento per ciascuna domanda, l inserimento delle domande più semplici nella parte iniziale, l invio personalizzato del questionario e la raccolta della modulistica personalmente da parte dello stesso internal auditor. c) Management produced analyses. Le analisi interne elaborate dal management più che descrivere un vero e proprio approccio, comprendono varie modalità con cui i gruppi di manager elaborano informazioni relative a specifici processi aziendali, attività di gestione del rischio e procedure di controllo 219. Tali analisi sono di vari tipi e, spesso, integrano le due metodologie viste precedentemente, tuttavia, per le finalità informative che le 219 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

156 4. Le metodologie di revisione interna contraddistinguono, possono essere ricondotte fra le tecniche proprie del CRSA. In tale categoria è possibile ricomprendere: - i questionari elaborati e gestiti dal management per approfondire particolari questioni inerenti le politiche gestionali; - i confronti tra i responsabili dell area finanziaria prima della presentazione dei risultati di periodo; - le indagini e gli approfondimenti condotti su particolari eventi dovuti a carenza di controlli o frodi; - etc. A conclusione di questa disamina sui diversi approcci metodologici applicabili nell implementazione del Control & Risk Self Assessment, è opportuno mettere in evidenza che l utilizzo di tale tecniche in un organizzazione è condizionato da molteplici fattori, tra i quali: la cultura aziendale, è forse lo scoglio più rilevante: infatti, se essa supporta un approccio di tipo partecipativo e trasparente, il workshop non è solo preferibile, ma anche raccomandabile rispetto alle altre alternative. A tal riguardo il supporto e la comprensione dello spirito di queste iniziative da parte del management assume, infatti, grande rilevanza, condizionando, talvolta, l applicazione dell uno o dell altro approccio; le dimensioni della popolazione da coinvolgere nel progetto di CRSA: come già accennato precedentemente, quanto maggiore è il numero dei partecipanti al gruppo di lavoro, tanto più la scelta dovrà essere orientata verso i questionari; la natura dell attività svolta dall azienda, anch essa incide, senza dubbio, sulla possibilità di utilizzo di strumenti avanzati di risk 154

157 4. Le metodologie di revisione interna assessment, per quanto riguarda, ad esempio, le imprese del settore finanziario-assicurativo, queste da sempre hanno orientato la propria gestione sull analisi dei rischi delle operazioni intraprese, comprendendo ben presto gli effetti devastanti provocati dal fallimento del sistema dei controlli; le risorse della Funzione di Internal Auditing, in termini di esperienza e competenze specifiche dei revisori interni, per i quali la posizione di facilitator nella conduzione di workshop, rappresenta decisamente il ruolo più innovativo e complesso da affrontare; e dal punto di vista dei costi d implementazione o attuazione da valutare in relazione ai benefici economici ottenibili; l atteggiamento assunto da parte dell Audit Committee nei confronti dell attuazione di nuove iniziative: questo, infatti, attraverso un opera di sensibilizzazione del vertice aziendale può costituire una fonte di stimolo per l implementazione di approcci innovativi di auditing. Inoltre, il passaggio dalla metodologia tradizionale, che potrebbe essere adottata in una prima fase ai fini del consolidamento della Funzione di Internal Audit, alla metodologia del CRSA, determina il rischio di un eccessiva ingerenza da parte dell internal auditor in un mondo spesso inesplorato con aspetti manageriali che esulano dalla professionalità del revisore interno. Tale metodologia potrebbe, infatti, generare delle condizioni sfavorevoli all interno dell organizzazione, nel momento in cui il management si irrigidisce di fronte alla percezione di essere valutato dall internal auditor su competenze manageriali specifiche. 155

158 5. Il gruppo Guess: un player mondiale CAPITOLO 5 IL GRUPPO GUESS: UN PLAYER MONDIALE 1. IL GRUPPO GUESS Ad oggi il gruppo Guess si presenta come un grande player mondiale, fondato e controllato dai fratelli Marciano, che vede correre il proprio business come una vera e propria locomotiva, rilevando risultati, in termini di fatturato, continuamente in crescita. Il gruppo Guess si configura con una struttura organizzativa piuttosto complessa e articolata, dal punto di vista dei legami partecipativi intercorrenti tra le diverse entità societarie, le quali, in ultima analisi, dipendono tutte dalla capogruppo Guess Inc. con sede a Los Angeles. Guess svolge la propria attività nell area geografica dell America, dell Europa e dell Asia, ognuna della quali si differenzia notevolmente dal punto di vista culturale e sociale. La struttura organizzativa del gruppo varia, pertanto, a seconda delle diverse aree di business in cui esso va ad operare, infatti, ognuno dei tre continenti si caratterizza per una struttura di business propria e per canali distributivi differenti. Guess ha deciso di adottare una strategy brand molto focalizzata sulla qualità in ognuno dei segmenti in cui è presente, con licenziatari che sono più partner che fornitori, comunque sempre all insegna del principio one Guess, one brand. Il mercato infatti, ha recepito questo focus strategico, che si accompagna a una segmentazione molto chiara e definita, determinando, negli ultimi due anni, un decollo del titolo quotato al New York Stock Exchange (NYSE) di 156

159 5. Il gruppo Guess: un player mondiale Wall Street, che ha registrato un incremento di circa il 124% 391 (vedi Fig.12). L obiettivo non è quello di essere il partner di tutti ed essere presenti ovunque, ma come dichiarato di recente in un intervista rilasciata da Paul Marciano: vogliamo semplicemente adattarci alle diverse esigenze, ecco la necessità di produzioni con caratteristiche specifiche e differenti per l America, l Asia e l Europa. Una strada diversa non esiste. Siamo molto consistent in questo e perciò abbiamo creato team eccellenti per ogni area coperta 392. GUESS SHARES LAST 2 YEARS TREND Fig Cfr il sito internet I valori di riferimento ai fini della determinazione della percentuale di crescita del titolo GES sono quelli relativi alla chiusura in data 01/03/2006 pari a $18,38 e quelli relativi alla chiusura in data 29/02/2008 pari a $41, Cfr. Intervista a Paul Marciano ho un sogno firmato Guess, Pambianco Week, Numero 17, Anno III, 1 Ott 2007, pag

160 5. Il gruppo Guess: un player mondiale GUESS FINANCIAL HIGHLIGHTS In thousand Dollars Period Ending 31-Dec Dec Dec-04 Total Revenue 1,185, , ,262 Cost of Revenue 665, , ,278 Gross Profit 519, , ,984 Operating Expenses Research Development Selling General and Administrative 326, , ,502 Non Recurring Others Total Operating Expenses Operating Income or Loss 193, ,810 55,482 Income from Continuing Operations Total Other Income/Expenses Net 10,424 2, Earnings Before Interest And Taxes 203, ,436 56,366 Interest Expense 7,450 6,741 5,653 Income Before Tax 195,997 97,695 50,713 Income Tax Expense 72,715 38,882 21,147 Minority Interest Net Income From Continuing Ops 123,168 58,813 29,566 Non-recurring Events Discontinued Operations Extraordinary Items Effect Of Accounting Changes Other Items Net Income 123,168 58,813 29,566 Preferred Stock And Other Adjustments Net Income Applicable To Common Shares $123,168 $58,813 $29,566 Fig 13 Nel continente americano il gruppo è organizzato in una serie di entità societarie deputate alla gestione del business property retail, rappresentato da negozi Guess monomarca free standing stores 393 e factory outlets partecipati al 100% dalle diverse società del gruppo. Il mercato del retail assume un peso estremamente rilevante per l area USA, rappresentando circa il 90% del fatturato del mercato statunitense. Alle diverse società operative specializzate nella conduzione del business retail si aggiungono, inoltre, società specificatamente deputate alla gestione delle licenze, nonché alla tutela del marchio e di altri diritti. Per quanto riguarda, invece, il mercato europeo, esso è costituito per l 80% circa dal business wholesale, il quale si compone del mercato costituito da 393 Con il termine free standing store si intedono i negozi di prima linea, ovvero tutti i negozi monomarca in cui viene esposta la collezione della stagione in corso venduta a prezzo pieno. 158

161 5. Il gruppo Guess: un player mondiale negozi multibrand (il cosiddetto pure wholesale) e del retail sub-licence ricompreso nel wholesale poiché, pur essendo rappresentato da negozi in franchising monomarca non di proprietà, esso viene trattato, dal punto di vista commerciale, alla stregua di un cliente distributore. In relazione al business e al canale distributivo che caratterizza il continente europeo, il gruppo si è organizzato con una società di direzione strategica Guess Europe e società operative dislocate nei diversi Paesi europei in charge per la conduzione della distribuzione e del business retail a livello locale. Infine, per quanto concerne il continente asiatico, esso è caratterizzato prevalentemente da un business di tipo sub-licence, costituito quindi da negozi in franchising, il quale viene gestito da due entità giuridiche di recente costituzione, dislocate a Shangai e Seul, che provvedono ad una direzione strategica e operativa dell area orientale. Il gruppo Guess offre al mercato Europa una vasta gamma di prodotti a marchio Guess Jeans, Guess by Marciano e Guess Kids, che possono essere sintetizzati qui di seguito: L apparel, che comprende il denim, quindi capi in jeans, e la maglieria in generale; Le handbags (borse); Le footwear (scarpe); Gli small leather goods, ovvero articoli in pelle, quali, ad esempio, portafogli, portachiavi, cinture, ecc. watches (orologi); eyewear (occhiali); perfumes (profumi). 159

162 5. Il gruppo Guess: un player mondiale Gli articoli summenzionati sono a loro volta scomponibili fra le diverse collezioni che caratterizzano la produzione del gruppo Guess a livello mondiale. In particolare i diversi Pattern Dept. con la collaborazione del Design, Sourcing & Development Dept. provvedono alla creazione di tre diverse collezioni: la linea Guess Jeans; la linea Guess by Marciano (una collezione più ricercata che rappresenta la prima linea del gruppo); la linea Guess Kids, dedicata ai più piccoli. La realizzazione di ciascuna delle tre collezioni segue un timing multiciclico tipico del fashion business che prevede la realizzazione di una collezione relativa alla stagione Fall-Winter (Autunno-Inverno) ed una relativa alla stagione Spring-Summer (Primavera-Estate); il timing sarà illustrato più dettagliatamente nelle pagine che seguono, durante la trattazione delle eventuali problematiche che potrebbero emergere in termini di approccio da utilizzare ai fini della pianificazione dell attività di audit. 2. L INTERNAL AUDIT DEPARTMENT NEL GRUPPO GUESS Per quanto riguarda l organizzazione di una Funzione di Internal Audit, il numero delle soluzioni che possono presentarsi al Responsabile della Funzione è strettamente legato alle caratteristiche del business, alla struttura geografica e logistica dell entità, ai rischi che devono essere gestiti e all articolazione del sistema di controllo interno strutturato per la loro gestione. 160

163 5. Il gruppo Guess: un player mondiale L Internal Audit Department nel gruppo Guess, si configura secondo una struttura piuttosto decentralizzata, con un dipartimento in Guess Inc. a Los Angeles che sovrintende gerarchicamente un dipartimento in Guess Europe dislocato a Lugano (Headquarter, da cui dipendono gli uffici periferici di Bologna e Firenze) ed altre due Funzioni in Asia, più precisamente a Hong Kong e Seul. Ad oggi, infatti, come la maggior parte delle strutture organizzative di dimensioni significative, è molto ricorrente la costituzione di strutture di Internal Audit dotate di vari gradi di autonomia. Infatti, analizzando l organigramma dei diversi organi endosocietari che compongono il top management del gruppo Guess, con specifico riferimento all area americana e all area europea, è possibile osservare, dalla struttura di corporate governance proposta nello schema sottostante (Fig. 14), come i due dipartimenti di Internal Audit in Guess Inc. e in Guess Europe si collochino in posizione di staff rispetto al Board of Directors ed assumano, al contempo, una posizione di dipendenza funzionale dal Comitato per il controllo interno, così come previsto per le società quotate. Per garantire una adeguata indipendenza e autonomia nello svolgimento dell attività di internal audit è necessario, come già ribadito nelle pagine precedenti, che tale Funzione riporti ad un livello dell organizzazione che consenta il pieno adempimento delle sue responsabilità: nel nostro caso il Comitato per il controllo interno di Guess Inc., il quale è costituito esclusivamente da amministratori non esecutivi ed indipendenti, totalmente avulsi dalla attività di direzione strategica del gruppo Guess. L Internal Audit Dept. di Guess Europe, pertanto, dovrà assicurare un adeguato flusso informativo direttamente verso l Internal Audit Dept. di Guess Inc., il quale, a sua volta dovrà riportare al Comitato per il controllo interno. Il tal modo è esclusa qualunque forma di riporto che comporti un condizionamento all indipendenza e all efficacia operativa nello 161

164 5. Il gruppo Guess: un player mondiale svolgimento dell attività di auditing, eliminando altresì eventuali limitazioni al proprio ambito di intervento ed ottimizzando la valutazione dei rischi ed il reporting dei risultati di tale attività. Corporate Governance Internal Audit AUDIT COMMITEE BOARD OF DIRECTORS GUESS INC U.S.A. INTERNAL AUDIT DEPT GUESS INC VICE PRESIDENT VICE PRESIDENT FINANCE VICE PRESIDENT... INTERNAL AUDIT DEPT GUESS EUROPE BOARD OF DIRECTOR GUESS EUROPE EUROPE OTHER FIRST LINES.. CFO OTHER FIRST LINES.. GUESS EUROPE BRANCHE GUESS EUROPE BRANCHE GUESS EUROPE BRANCHE GUESS EUROPE BRANCHE Fig 14 La logica che ha spinto l Internal Audit Dept. di Guess Inc. verso il conferimento all Internal Audit di Guess Europe, di un certo grado di autonomia, è strettamente legata alle complessità del business europeo. Guess Europe, infatti, come già accennato precedentemente è caratterizzata da un business totalmente diverso da quello americano: mentre essa si presenta tipicamente come una azienda wholesaler, il cui fatturato, per la maggior parte, deriva dalle vendite ai multibrand, ai distributori e ai negozi in franchising, Guess Inc. è un azienda retailer il cui business di riferimento 162

165 5. Il gruppo Guess: un player mondiale è principalmente costituito dal business property retail con negozi di proprietà. Tale scelta, pertanto, deriva da una mancanza di esperienza da parte dell Internal Audit Dept. di Guess Inc. ad operare in un entità con caratteristiche totalmente diverse dalla propria. Tra gli altri vantaggi individuabili, possono essere ricompresi la possibilità di promuovere con maggior efficacia la cultura del controllo locale, così come l opportunità di sfruttare la migliore comprensione dei diversi problemi locali di cui sono dotati gli internal auditor delle strutture decentralizzate. Il manager di riferimento potrà così assumere decisioni su questioni circoscritte al contesto dell entità in cui opera, incrementando l efficacia e l efficienza del sistema di governo della Funzione in modo da evitare eventuali ritardi legati alla gestione dei vari passaggi, a livello centrale, connessi all attuazione delle diverse azioni da implementare. È da sottolineare, che nonostante il riconoscimento di un centro grado di autonomia ai diversi dipartimenti di Internal Audit, il gruppo Guess ha optato, come spesso accade, per una soluzione intermedia. In particolare, i diversi responsabili di tali Funzioni sono comunque tenuti a garantire la complessiva efficacia del sistema di audit al di là degli interessi riconducibili alle singole entità societarie ed, inoltre, essi devono attenersi ad un piano di audit (Audit Plan), annualmente definito a livello di globale in Guess Inc., con la partecipazione degli stessi responsabili. Più precisamente, si tratta di riporti di carattere funzionale che sottolineano la capacità del Chief Audit Executive in Guess Inc. di orientare le attività dei diversi dipartimenti in Europa ed Asia e di monitorare a livello centrale, attraverso il riporto gerarchico, la conduzione dei diversi progetti del piano di audit definiti a livello di corporate. 163

166 5. Il gruppo Guess: un player mondiale 3. LA DEFINIZIONE DEL PIANO DI AUDIT La definizione del piano di audit rappresenta la sfida che periodicamente il Responsabile dell Internal Audit deve sostenere per conciliare le risorse disponibili con le esigenze di verifica dell organizzazione nel suo complesso 394. Accade spesso che le risorse di audit a disposizione risultano insufficienti a soddisfare i fabbisogni di controllo del complessivo universo dei processi, coerentemente con un criterio di completa copertura nell arco di un determinato periodo ed in conformità alle necessità evidenziate dal management. Secondo quanto stabilito dagli Standard Professionali, il Responsabile dell Internal Audit deve predisporre un piano delle attività basato sull analisi dei rischi, allo scopo di determinarne le priorità, in linea con il Mandato e con gli obiettivi dell organizzazione 395. Nel definire le priorità, gli Standard professionali suggeriscono di considerare i seguenti aspetti: data e risultati dell ultimo incarico; valutazione aggiornata dei rischi esistenti e dell efficacia dei processi di controllo e di gestione dei rischi; richieste del board e del vertice; attuali problematiche relative alla governance dell organizzazione; eventuali variazioni intervenute nell operatività aziendale; potenziali benefici ottenibili; variazioni avvenute nella consistenza e nella professionalità dello staff di audit rispetto al piano precedente. 394 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Guida Interpretativa IIA Pianificazione. 164

167 5. Il gruppo Guess: un player mondiale Dal punto di vista metodologico, al fine dell identificazione delle aree prioritarie da considerare nella definizione di un piano di audit, possono essere applicati diversi approcci, tutti caratterizzati dal fatto di essere risk based. Il primo tema che ci troviamo ad affrontare nell impostazione dell audit Plan è quello della definizione dell universo di audit, ovvero l insieme delle possibili alternative di attività di audit realizzabili nell organizzazione in cui si opera. L universo di audit può essere composto da vari raggruppamenti di attività operative aziendali che si prestano a divenire oggetto delle attività di verifica di un singolo intervento, e per questo sono denominati oggetti di audit 396. L Internal Audit Plan del gruppo Guess è articolato per area territoriale (America, Europa e Asia) e, all interno di queste, è a sua volta scomposto per entità giuridiche e quindi per processi aziendali. Non a caso una tale articolazione della pianificazione di audit è comunemente riscontrabile in quei contesti aziendali piuttosto complessi ed articolati in società giuridicamente separate. L attenzione sui processi come oggetto privilegiato della pianificazione di internal auditing deriva dal timing che caratterizza il fashion business, il quale non si articola secondo un trend ciclico, ma si sviluppa secondo un trend multiciclico (come rappresentato in Fig. 15), pertanto, un analisi per singolo Department non offrirebbe all Internal Audit una visione completa delle diverse attività aziendali su cui pianificare interventi di audit. In aggiunta, tale approccio di analisi si è dimostrato molto utile per fare fronte alle frequenti evoluzioni che hanno caratterizzato il gruppo Guess in questi ultimi anni. 396 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

168 5. Il gruppo Guess: un player mondiale Infatti, una pianificazione per processi aziendali ha consentito altresì di sopperire, in gran parte, ad eventuali processi di fusione o incorporazione, così come ad eventuali riorganizzazioni delle strutture aziendali guidate da esigenze di business, con la conseguente modifica delle aree di responsabilità ed una ridefinizione degli obiettivi gestiti. Usual fashion timing Agent/Customer Sales Dept Logistic Warehouse Administration Production Order Handling FW Order Handling SS Spedizioni FW Spedizioni SS Customer Service FW Customer Service SS Riassortimenti FW Riassortimenti SS Fatturazione FW Fatturazione SS Controllo qualità FW Controllo qualità SS Fig. 15 Come evidenziato dagli Standard professionali, l universo di audit può comprendere componenti ripresi dal piano strategico dell organizzazione. In tal modo, l universo di audit rifletterà gli obiettivi complessivi del piano di business. I piani strategici spesso riflettono in qualche modo la propensione al rischio propria dell organizzazione e il grado di difficoltà nel raggiungimento degli obiettivi stabiliti. L universo di audit può essere influenzato dai risultati del processo di risk management. Nel definire il 166

169 5. Il gruppo Guess: un player mondiale proprio piano strategico, l organizzazione deve considerare l ambiente in cui opera, poiché è molto probabile che i fattori ambientali influiscano sull universo di audit e sulla valutazione dei rischi ad essi connessi 397. L Internal Audit Plan del gruppo Guess, infatti, contiene al suo interno progetti di audit che, nel suo complesso, hanno un orizzonte temporale superiore all esercizio a cui lo stesso piano fa riferimento. Questi sono frutto di una scomposizione in un ottica annuale dei diversi interventi di audit in relazione ai progetti pluriennali contenuti nel Three Years Plan, il piano strategico definito dal top management in cui sono stati identificati gli obiettivi di business dell organizzazione e le strategie per il conseguimento degli stessi. In conclusione, la delimitazione degli ambiti di intervento è fondamentale per la gestione dei singoli incarichi di audit, i quali devono conciliare l esigenza di garantire un adeguata copertura dei rischi attraverso la verifica del sistema dei controlli, con tempi di intervento gestibili e con un ragionevole impatto sull operatività aziendale I CRITERI PER LA DETERMINAZIONE DEL PIANO DI AUDIT L attività di pianificazione di audit analizza gli oggetti di audit che compongono l universo di audit sulla base di un set definito di fattori la cui valorizzazione e sintesi conduce alla definizione delle priorità che consentono l allocazione delle risorse. 397 Cfr. Guida Interpretativa IIA Collegamento tra piano di audit e rischi aziendali. 398 Quando l universo definito dagli oggetti di audit assume una dimensione tale da non poter essere coperto dalle risorse disponibili nel lasso di tempo previsto dalla pianificazione, diventa necessario ripetere, allo scadere di ogni periodo, le analisi necessarie alla definizione delle nuove priorità per il periodo successivo, garantendo man mano la complessiva revisione di tutte le attività dell universo. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

170 5. Il gruppo Guess: un player mondiale Essendo le diverse attività di internal auditing finalizzate al controllo interno, è naturale che le regole per l allocazione delle stesse seguano logiche legate alla presenza di rischi inerenti o residuali; ne consegue che i criteri rispetto ai quali valorizzare i possibili oggetti di audit candidati alla verifica dovranno essere legati alla valutazione dei rischi e del sistema di controllo interno esistenti 399. Tali criteri possono essere di due tipi 400 : qualitativi, quando sono il risultato di una valutazione da parte degli auditor, dei manager o di altri esperti; quantitativi, quando derivano dalla misurazione di grandezze rilevabili. I primi che si caratterizzano per la più elevata possibilità di applicarli alle varie tipologie di oggetti, presentano il rischio di una maggiore imprecisione e della mancata condivisione tra valutatori differenti; richiedono, quindi, da parte dell internal auditor che desidera impiegarli, particolari cautele in termini di: formalizzazione delle scale di valutazione per l esplicitazione delle logiche sottostanti la valorizzazione del criterio; sintesi di valutazioni effettuate da soggetti diversi per mitigare i rischi di errore di un solo valutatore; verifica a posteriori della condivisibilità delle valutazioni da parte dei destinatari dei risultati. Nel caso di criteri quantitativi, il rischio di opinabilità può sembrare superato, ma in realtà non lo è mai completamente; è infatti raro disporre in 399 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

171 5. Il gruppo Guess: un player mondiale azienda di indicatori quantitativi (contabili, gestionali o operativi) specificatamente orientati alla rilevazione dei rischi, e risulta quindi necessario ricorrere all utilizzo dei cosiddetti approssimatori o proxy, che non misurano esattamente il rischio che si desidera analizzare ma in qualche modo forniscono grandezze ad esso connesse. La scelta di un proxy, comunque, in assenza di misure specifiche introduce un elemento valutativo che allontana dalla piena oggettività anche i criteri basati sulla misurazione. Il criterio utilizzato dall Internal Audit del gruppo Guess, per la definizione delle diverse attività da inserire nell Audit Plan, è prevalentemente di tipo qualitativo, ad eccezione delle attività di auditing pianificate nel rispetto del Sarbanes-Oxley Act, in cui la scala di valutazione che viene utilizzata per la determinazione delle priorità è generalmente di tipo quantitativo. In particolare un determinato controllo rientra nello scope della SOX nel momento in cui questo supera una soglia di materialità determinata dall incidenza, in percentuale, sul Net Operating Result pari a circa il 5% a livello di bilancio consolidato americano. L Audit Plan deriva, quindi, dalle diverse valutazioni effettuate dagli Internal Audit Manager, ciascuno per l area geografica di cui è responsabile, le quali vengono aggregate e sintetizzate a livello di corporate da parte del Chief Audit Executive di Guess Inc. che provvede, in ultima analisi, a predisporre un Piano di attività definitivo, basato sull analisi dei rischi ed in linea con gli obiettivi dell organizzazione, il quale viene discusso con l Audit Committee e presentato al Board of Director. Qui di seguito riportiamo un estratto dell Internal Audit Plan del gruppo Guess, relativo all area europea, per il Fiscal Year : 401 Con Fiscal Year 2009 si intende il periodo che va dal 03 Feb al 31 Gen 2009, corrispondente con l esercizio fiscale di Guess Inc. L esercizio fiscale americano presenta un timing diverso dall esercizio fiscale italiano, in quanto i mesi sono composti da 4 o 5 settimane e le chiusure dei Report mensili, trimestrali e del Financial Statement annuale avvengono sempre il giorno Sabato. Infatti, se prendiamo in considerazione, ad esempio, i valori del bilancio civilistico di Guess Italia relativo all esercizio 2007 (01/02/ /01/2008), esso contiene valori che differiscono dal corrispondente bilancio US GAAP inviato a Guess Inc. ai fini della redazione del bilancio 169

172 5. Il gruppo Guess: un player mondiale FY2009 PROPOSED Region Department Project Scope & Description Type Europe Legal / Retail Ops Sub-licensee audit Review of the reporting and financial requirements per the agreement/lease to actual activity currently occurring Europe Retail Ops Retail Store Construction Review Europe AR/Customer Service Wholesale Process Analysis Europe Inventory Control Inventory Processing Review Review the Retail Store Construction process including bidding, construction monitoring, and payment. Compare the Guess Europe model to Guess Corporate procedures. Review of the Customer Credit Limits, AR aging, collections, write-offs and related reserves Review the order processing, shipping and tracking for both wholesale and retail operations for the various product lines Europe Multiple SOX Complete all aspects of the Sarbanes Oxley compliance project including documentation, testing and evaluation of deficient controls. Europe Guess Service Co. Guess Service Company Contract Review Financial Operational Operational Operational Compliance Review the terms and conditions of the Guess Service Company Contract. Operational Europe Logistics Physical Inventory Observation of Physical Inventory counts at select retail and distribution center locations Europe Multiple Walk Throughs Complete walk through documentation and provide supporting information as needed to satisfy the walk through templates provided by EY. Financial Compliance ( omissis ) consolidato, in quanto quest ultimo fa riferimento al Fiscal Year 2008 americano che va dal 04/02/2007 al 02/02/

173 5. Il gruppo Guess: un player mondiale 4. LE DIVERSE TIPOLOGIE DI AUDITING IN GUESS EUROPE L attività di internal auditing costituisce uno tra i più importanti snodi del sistema informativo aziendale, che vede coinvolti diversi interlocutori, alcuni dei quali di natura esosocietaria. L ampiezza e la complessità degli incarichi assegnati ad una Funzione di Internal Audit comporta la necessità di disporre di adeguate risorse in termini sia quantitativi sia qualitativi, al fine di poter rispondere di volta in volta in maniera adeguata alle mutevoli richieste del management aziendale. Da quanto rilevato dall esperienza dell Internal Audit del gruppo Guess, i differenti obiettivi prefissati nel piano di audit comportano l esigenza di attivare diverse tipologie di auditing, che si differenziano tra loro sia per quanto riguarda l oggetto dell audit, sia per le diverse metodologie utilizzate. Tra le diverse tipologie di auditing, considerando il caso aziendale cui facciamo riferimento in questa sede, possiamo analizzare: 1. l operational auditing; 2. il compliance auditing; 3. l IT auditing; 4. il fraud auditing; 5. l audit finanziario e contabile. È opportuno precisare che tale distinzione tra le diverse tipologie di intervento non è così evidente nella realtà operativa e pertanto questo risulta possibile soltanto a livello teorico. Di fatto, questa schematizzazione delle diverse attività risulta agevole per condurre la nostra trattazione, nonostante 171

174 5. Il gruppo Guess: un player mondiale la consapevolezza che queste siano fortemente e necessariamente correlate tra loro. Molto spesso, nel concreto si verificano le diverse situazioni 402 : un intervento di operational auditing, finalizzato alla valutazione dell efficacia ed efficienza del sistema di controllo di un determinato processo aziendale, può, nell ambito della propria effettiva fase di test prevedere lo svolgimento di verifiche di conformità mediante l attività di compliance auditing; può verificarsi la fattispecie in cui, nel corso di un intervento di audit si presenta la necessità di attivare una tipologia di audit diversa: questo è il caso, ad esempio, di un intervento di compliance auditing che fa emergere sospetti di eventi illeciti che determinano l esigenza di svolgere, in aggiunta, un attività di fraud auditing, oppure un attività di operational auditing che rileva inefficienze del sistema informativo innescando un ulteriore attività di IT auditing, ecc.; possono essere affidati all Internal Audit incarichi di ampiezza e difficoltà tali da richiedere lo svolgimento di diverse tipologie di attività di auditing. È da precisare, inoltre, che nel gruppo Guess, sono richieste numerose attività di auditing, a supporto della valutazione complessiva del sistema di controllo interno e del relativo risk management e, pertanto, ampi spazi sono concessi ad incarichi di natura mista. Qui di seguito proponiamo un dettaglio relativo all impiego delle risorse nelle diverse attività di audit effettuate nel gruppo Guess (area Europa). È evidente come l attività di compliance auditing assuma un grande peso fra le diverse attività svolte dall Internal Audit Dept. di Lugano, Firenze e Bologna. 402 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

175 5. Il gruppo Guess: un player mondiale Il motivo è da ricercarsi nell importanza che ha assunto nel 2006 l implementazione dei controlli ai fini del Sarbanes Oxley Act in Guess Italia e in Focus (con sede a Bologna), implementazione che, nel 2008, dovrà essere effettuata anche in Guess Europe mantenendo alto il peso del compliance auditing tra le attività di audit pianificate. L impiego delle risorse nelle attività di auditing in Guess Europe % 2% 8% 15% Compliance Audit Financial Audit Operational Audit Other 403 L incremento dell impiego di risorse dedicate allo svolgimento dell operational auditing, nel 2008, è dovuto alla pianificazione di nuovi progetti, programmati con la collaborazione dell Internal Audit Dept. di Guess Inc. 173

176 5. Il gruppo Guess: un player mondiale % 2% 10% 19% Compliance Audit Financial Audit Operational Audit Other 4.1. L OPERATIONAL AUDITING Uno dei presupposti che sta dietro ad un buon sistema di governo delle attività aziendali è sicuramente l analisi dei processi e la valutazione dell efficacia e dell efficienza della loro funzionalità in termini di risk management, nonché le relative misure di controllo per mitigare i rischi ritenuti significativi. Tale tipologia di audit tende a produrre per l organizzazione un elevato valore aggiunto in quanto si traduce in un analisi dei diversi processi trasversali alle Funzioni aziendali, rilevando tipicamente problematiche di integrazione ed efficienza. L operational audit è una delle attività di audit a maggior contenuto consulenziale, in quanto valuta la strutturazione, ovvero il disegno del sistema di risk management/controllo interno del processo. A seconda dei 174

177 5. Il gruppo Guess: un player mondiale risultati conseguiti non è raro che da tale attività possa scaturire anche la reingegnerizzazione 404 del processo stesso 405. Secondo tale logica, nel gruppo Guess, ed in particolare in Guess Italia, l entità a cui spesso faremo riferimento in questa trattazione, l Internal Audit Department ha provveduto, inizialmente, all elaborazione di narrative e flow chart dei diversi processi aziendali, sia processi di business, sia processi di supporto, scomposti a sua volta nelle diverse attività che collegate tra loro determinano un risultato (output) sulla base di input definiti. Qui di seguito presentiamo l elenco dei processi 406 individuati dall Internal Audit Dept. per Guess Italia e un flow chart di dettaglio, a titolo di esempio, che potrebbe essere realizzato per sintetizzare in maniera schematica ed intuitiva lo svolgimento di alcune attività che ad una prima analisi potrebbero risultare complesse. Active Cycle: Order to Cash (O2C); Passive Cycle: Purchase to Pay (P2P); Inventory (INV) Human Resource (HR); Financial Statement Closing Process (FSCP); Fixed Asset; Retail Operations; IT Structure. 404 A tal riguardo è apprezzabile il contributo dell Internal Audit Dept di Guess Europe e Guess Italia relativamente allo svolgimento di attività di consulenza volta all ottimizzazione di una struttura aziendale caratterizzata da un forte overlapping di Funzioni dal punto di vista finanziario e commerciale. Senza entrare nel dettaglio, l attività in questione si è concentrata principalmente sulla ridefinizione di nuovi ruoli e responsabilità con l obiettivo di ottimizzare le diverse attività in base alle risorse a disposizione. 405 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag Per ciascuno di tali processi è stato elaborato un narrative descrittivo del flusso di attività che compongono il processo stesso. 175

178 5. Il gruppo Guess: un player mondiale Active Cycle Order Collection Agent Showroom (CS clerks) Commercial Dept Customer Service Credit Management Dept. NETORDER ORDER PROPOSAL ARCHIVING OF SIGNED ORDER PROPOSAL YES NEW CUSTOMER? NO ORDER PROPOSAL WITH JOLLY CODE ORDER PROPOSAL STEALTH NOTES NOTES ARCHIVING OF CUSTOMER EVALUATION FORM CUSTOMER EVALUATION FORM CUSTOMER CREDIT LIMIT FILE Fig. 15 L identificazione dei diversi processi aziendali che dovranno poi essere analizzati, potrebbe mostrarsi in alcuni casi difficile e laboriosa, soprattutto quando questi presentano elementi di sovrapposizione all interno della stessa entità aziendale, oppure quando questi si compongono di attività elementari di complessa individuazione o difficilmente separabili da altre attività collegate. Per far fronte a tali fattispecie, ostili ad una mappatura esplicita dei diversi processi, è necessario esaminare in maniera accurata le modalità di esecuzione delle attività e tutta la documentazione disponibile che le regolamenta. 176

179 5. Il gruppo Guess: un player mondiale L attività di operational auditing si focalizza sull analisi della capacità delle strutture aziendali di conseguire i propri obiettivi attraverso lo studio dei processi, già oggetto di mappatura nella fase iniziale, rilevandone eventualmente le potenziali aree di miglioramento in termini di efficienza ed efficacia. In tal modo l operational auditing tende a verificare se i risultati fissati dall alta direzione siano, in termini di fattibilità, perseguibili dalle diverse strutture interessate e compatibili con i processi aziendali che ne sono a supporto. Nel nostro caso, l Internal Audit in Guess Italia, oltre che sulla verifica dell effettiva possibilità di conseguire i risultati fissati, pone attenzione come già accennato precedentemente, alla valutazione del grado di economicità raggiunta dalle diverse strutture organizzative in termini di efficacia (grado di raggiungimento degli obiettivi) ed efficienza (costi, tempistiche, risorse utilizzate) nella realizzazione dei risultati stessi. In particolare, una volta effettuato uno studio del contesto generale del processo al fine di delineare gli obiettivi (di governo e di business) perseguiti in modo prioritario dal management, i rischi che potenzialmente possono minare il loro raggiungimento, le macrofasi del processo, le strutture aziendali coinvolte, gli attori principali, così come i sistemi informativi significativi ed il flusso informativo generale fino al top management, si procede ad un analisi dettagliata del processo nelle sue diverse fasi con la rilevazione di eventuali carenze o difetti di strutturazione. L attenzione si concentra, come già più volte ribadito, su quelle attività critiche, i cui rischi appaiono maggiormente rilevanti e che è opportuno misurare in termini di potenziale impatto negativo per l organizzazione. Senza entrare nel dettaglio, elenchiamo qui di seguito una serie di carenze o difetti che possono essere rilevati nella strutturazione del sistema di controllo interno e di risk management: 177

180 5. Il gruppo Guess: un player mondiale non chiarezza o coerenza tra strutture della comunicazione degli obiettivi 407 ; non adeguata attribuzione delle responsabilità, ricordando tra l altro anche il rispetto della separazione dei ruoli; inadeguata conoscenza, da parte degli attori coinvolti nel processo, delle modalità stabilite per raggiungere gli obiettivi; monitoraggio non adeguato per stabilire in modo sistematico e continuo il progressivo raggiungimento degli obiettivi 408 ; sistemi informativi non integrati o non adeguati ai controlli diretti che devono essere previsti; mancanza di idonei processi di pianificazione e di risk assessment; controlli diretti ripetitivi, ridondanti, inadeguati o inefficienti. In conclusione, l Internal Audit Dept., con la collaborazione del management e dei responsabili di processo, procede ad una valutazione puntuale dei diversi processi aziendali analizzati, ricercando le possibili soluzioni migliorative al fine di un ottimizzazione dei processi stessi. L obiettivo dell operational auditing è, quindi, la creazione di valore attraverso un continuo miglioramento dei processi aziendali 409. È evidente come una tale tipologia di auditing si configuri come un attività di natura consulenziale a servizio del management e dei vertici aziendali, i quali, in condivisione con l internal auditor, hanno la possibilità di intraprendere le azioni correttive e le linee risolutive ipotizzate. 407 A titolo esemplificativo: - il Customer Service può perseguire obiettivi di fatturato e non di margine; - il Purchasing Dept. al fine di ottenere condizioni economiche migliori, non pone attenzione alle dinamiche finanziarie (quali, ad esempio, i termini di pagamento); - una cannibalizzazione dei canali distributivi a causa di un carente coordinamento tra Funzioni diverse (questo è il caso in cui, ad esempio, il Direttore Commerciale wholesale decida di vendere merce all interno di un centro commerciale in un grande Department Store e al contempo il Direttore Commerciale sublicence, progetti l apertura di un negozio in sub-licence nello stesso centro). 408 A titolo di esempio, il buon funzionamento e l articolazione del sistema di budgeting. 409 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

181 5. Il gruppo Guess: un player mondiale Nello svolgimento di tale attività, oltre a competenze specifiche nei diversi settori di attività, uno dei fattori critici di successo, su cui l Internal Audit nel gruppo Guess pone molta attenzione, è quello della creazione di un canale informativo trasparente volto alla massimizzazione dei risultati ottenuti tramite l attività di auditing e di quelli ottenibili tramite il successivo piano d azione da intraprendere in caso di criticità. In generale, infatti, la Funzione di revisione interna deve possedere spiccate doti di comunicazione che tendano a valorizzare il lavoro svolto nei confronti dei vertici aziendali e dei Responsabili di processo IL COMPLIANCE AUDITNG Tra le diverse attività di auditing effettuate dall Internal Audit Department nel gruppo Guess, l attività di compliance auditing, ovvero audit di conformità, assume un peso particolarmente rilevante fra i compiti ad essa attribuiti. In generale, tale attività si traduce nella verifica dell osservanza delle regole relative ad un determinato processo o area di business; regole che possono essere costituite sia dalla normativa esterna, sia dalle norme interne che, in virtù del principio generale di autoregolamentazione, le organizzazioni aziendali emanano, per effetto di specifici rinvii di legge 410 o sulla base esclusivamente volontaria, al fine di meglio disciplinare le diverse attività 411. In Guess Italia, l Internal Audit, conformemente alle politiche stabilite a livello di corporate, ha provveduto all elaborazione di una serie di 410 In tal caso l azienda è tenuta a fornire comunicazione formale agli stakeholders su modalità, mezzi controlli e responsabilità adottati per il raggiungimento degli obiettivi. 411 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag

182 5. Il gruppo Guess: un player mondiale regolamenti interni che determinano le linee di comportamento da adottare all interno dell organizzazione. Compongono la normativa interna: a) Principi aziendali: Guess mission. Alla Guess il nostro obiettivo è quello di essere un marchio leader nell industria e nella moda. Offriamo prodotti e servizi di una qualità e con un rigore senza compromessi, coerenti con la filosofia del nostro marchio e della nostra immagine. Ci impegniamo ad ascoltare e a soddisfare le esigenze dei nostri clienti, dei nostri dipendenti e dei nostri partners ed a rispettarne i valori individuali. Ci impegniamo a favorire la crescita personale e professionale delle persone grazie ad un ambiente in cui si è liberi di comunicare, al lavoro di squadra, alla fiducia ed al rispetto. Non smettiamo mai di dare qualcosa in cambio alla comunità, a sostenere le persone e a proteggere l ambiente come parte delle nostre responsabilità. Restiamo fedeli ad uno spirito imprenditoriale che alimenta la nostra crescita della nostra azienda ed il valore dei nostri azionisti. Guidata da una leadership contraddistinta da sani principi morali, l azienda accoglie in sé la diversità e coltiva la forza, l orgoglio e la passione per far camminare una accanto all altra la nostra vita personale e quella professionale 412. b) Politiche e linee guida. A tal riguardo un esempio emblematico è rappresentato dal Code of Counduct che pone l accento su uno standard di condotta etica che deve permeare tutte le transazioni e le relazioni commerciali che 412 Cfr. il sito internet di Guess (sezione Italia): 180

183 5. Il gruppo Guess: un player mondiale amministratori, responsabili e dipendenti del gruppo Guess si trovano ad intraprendere 413 ; c) Procedure. Il Book of procedures di Guess Italia contiene una serie di regolamenti interni che disciplinano le attività che devono essere effettuate dai diversi dipartimenti aziendali (più precisamente, Amministration Dept., Commerciale, Logistic Dept., Purchasing Dept., Treasury e Credit Management, Human Resource e Finance Dept.). Qui di seguito presentiamo un estratto del Book of procedure di Guess Italia, che disciplina le diverse attività di supervisione che devono essere effettuate da parte del Chief Financial Officer. 413 Per ulteriori approfondimenti sui contenuti del Code of Conduct del gruppo Guess cfr. Paragrafo 4.4. Fraud Auditng. 181

184 5. Il gruppo Guess: un player mondiale 182

185 5. Il gruppo Guess: un player mondiale 183

186 5. Il gruppo Guess: un player mondiale 184

187 5. Il gruppo Guess: un player mondiale 185

188 5. Il gruppo Guess: un player mondiale 186