UNIVERSITÀ DEGLI STUDI DI FIRENZE
FACOLTÀ DI ECONOMIA
CORSO DI LAUREA SPECIALISTICA IN AMMINISTRAZIONE E CONTROLLO AVANZATO
L’ATTIVITÀ DI INTERNAL AUDIT IN UN GRUPPO
INTERNAZIONALE
IL CASO GUESS
TESI DI LAUREA SPECIALISTICA IN REVISIONE AZIENDALE AVANZATA
Relatore: Prof. Marco Mainardi
Tutor: Prof. Fabrizio Rossi
Tesi di laurea di:
Alberto Lo Dico
A.A. 2006/2007
Ai miei genitori
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
INDICE
Pag.
5
Prefazione
CAPITOLO 1
L’INTERNAL AUDIT NELLA GOVERNANCE AZIENDALE
Pag.
1. Introduzione
7
2. La “voglia” dell’internal auditing in Italia
10
3. L’evoluzione dell’attività di internal auditing
14
3.1 La definizione dell’attività di internal auditing
15
CAPITOLO 2
IL CONTESTO NORMATIVO
Pag.
1. Introduzione
25
2. Il Foreign Corrupt Practice Act: brevi cenni
26
3. Il Sarbanes-Oxley Act, il più grande cambiamento nella
27
corporate governance
4. Il piano d’azione dell’Unione Europea: brevi cenni
5. L’autoregolamentazione
internazionale:
il
Committee
30
of
Sponsoring Organizations
33
6. Il contesto normativo italiano
46
6.1 La normativa societaria
46
6.2 Il D. Lgs. 58/1998, Testo Unico della Finanza
50
6.3 La Legge sulla tutela del risparmio (Legge 28 Dicembre
2005, n. 262)
52
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
Pag.
6.4 Il D. Lgs. 231/2001: la responsabilità amministrativa delle
persone giuridiche e la compatibilità con l’attività di
internal auditing
54
6.5 L’autoregolamentazione in Italia
6.5.1 Il Codice di Autodisciplina di Borsa Italiana
60
63
CAPITOLO 3
IL RUOLO DELL’INTERNAL AUDIT E LE RELAZIONI CON
GLI ORGANI DI CONTROLLO
Pag.
1. Introduzione
70
2. I rapporti con il consiglio di amministrazione
72
3. I rapporti con il Comitato per il controllo interno (Audit
75
Committee)
4. I rapporti con il Collegio sindacale, il Consiglio di Sorveglianza
o il Comitato per il controllo sulla gestione
5. I rapporti con il revisore esterno o la società di revisione
79
83
6. I rapporti con l’Organismo di vigilanza in materia di D. Lgs.
231/2001
87
7. I rapporti con il Dirigente preposto alla redazione dei
documenti contabili societari
91
CAPITOLO 4
LE METODOLOGIE DI REVISIONE INTERNA
Pag.
1. Introduzione
93
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
Pag.
2. Il processo di internal auditing secondo la metodologia
tradizionale
95
3. L’approccio risk based
123
4. Il Control & Risk Self Assessment (CRSA)
133
4.1 Il ruolo dell’internal auditor nell’approccio CRSA
140
4.2 Le metodologie utilizzate nel CRSA
143
CAPITOLO 5
IL GRUPPO GUESS: UN PLAYER MONDIALE
Pag.
1. Il gruppo Guess
156
2. L’Internal Audit Department nel gruppo Guess
160
3. La definizione del piano di audit
164
3.1. I criteri per la determinazione del piano di audit
4. Le diverse tipologie di auditing in Guess Europe
167
171
4.1. L’operational auditing
174
4.2. Il compliance auditing
179
4.3. L’IT auditing
198
4.4. Il fraud auditing
202
4.5. L’audit finanziario e contabile
207
5. Il progetto di implementazione del Control & Risk Self
Assessment (CRSA) nel gruppo Guess
210
Pag.
Conclusioni
221
Pag.
Bibliografia
224
RINGRAZIAMENTI
Si ringrazia il Prof. Fabrizio Rossi per avermi indirizzato verso una grande
esperienza professionale nel mondo dell’Internal Audit.
Un ringraziamento particolare va all’Internal Audit Manager Giulio
Salgaro, il cui aiuto è stato fonte di molteplici riflessioni ed ha fornito un
grande stimolo alla realizzazione dell’opera.
Si ringrazia, inoltre, per il sostegno, tutto l’Internal Audit Department del
gruppo Guess.
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
PREFAZIONE
Negli
ultimi
anni
l’evoluzione
del
sistema
impresa
ha
subito
un’accelerazione determinata da forti pressioni competitive, da un frenetico
cambiamento tecnologico, da una continua ricerca dell’efficienza e da
nuove regole di corporate governance che disciplinano il funzionamento
del mercato.
Come
conseguenza
delle
mutate
responsabilità
aziendali
e
dell’introduzione di nuovi soggetti interessati al controllo interno (tra cui,
ad esempio, l’Audit Committee e la Funzione di Internal Audit), è nata una
forte aspettativa da parte degli stakeholders aziendali, rispetto alla
capacità dell’azienda, ed in particolare del suo sistema di gestione dei
rischi, di recepire le mutate esigenze, rendendole non una sommatoria di
vincoli parzialmente sovrapposti, ma un modo innovativo di amministrare
l’azienda che, privilegiando l’integrazione tra sistemi, intraprenda la via
della riconquista della fiducia del mercato.
La Funzione di Internal Audit, nell’ambito dell’equilibrio complessivo del
sistema di governance aziendale, deve essere in grado di sviluppare
opportune sinergie con i diversi interlocutori aziendali coinvolti a vario
titolo nelle tematiche del controllo e del Risk Management.
L’esperienza svolta nell’Internal Audit Department del gruppo Guess ha
determinato un inevitabile arricchimento del bagaglio di conoscenze
acquisito durante la carriera universitaria, stimolando allo stesso tempo un
forte interesse verso l’approfondimento della materia.
Il contatto diretto con professionisti impegnati, capaci di affrontare livelli
di complessità elevati e di mettersi in gioco su molteplici piani
professionali, mi ha fatto comprendere che la formazione diviene un
elemento strategico per lo svolgimento del proprio ruolo in maniera
pienamente responsabile.
5
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
Tale trattazione, di concerto con l’esperienza sul campo, ha permesso di far
chiarezza sui temi concernenti lo svolgimento dell’attività di auditing
ponendo attenzione: sulle trasformazioni che hanno interessato le modalità
di
svolgimento
della
professione,
sul
complesso
contesto
di
regolamentazione societaria nazionale ed internazionale, nonché sui
diversi strumenti di autoregolamentazione ed sulle tecniche e gli approcci
metodologici che possono essere implementati.
L’Internal Audit Department del gruppo Guess, in virtù della sua recente
costituzione (Maggio 2006), si presenta una scommessa stimolante per
percorrere un sentiero di sviluppo che fornisca all’organizzazione un
valore aggiunto sempre più elevato.
Nell’ultima parte di questo studio è stato delineato un quadro generale
delle differenti tipologie di auditing svolte dalla Funzione di Revisione
Interna del gruppo Guess, determinando un costante e vivace connubio tra
la teoria e il ricorso a risvolti pratici di natura operativa.
Preme sottolineare, inoltre, come sia forte, nel gruppo Guess, la voglia di
approdare, nel corso dei prossimi anni, verso approcci metodologici
sempre più all’avanguardia, quali l’implementazione della metodologia del
Control & Risk Self Assessment (CRSA), che costituirebbe uno dei più
ambiti traguardi dell’Internal Audit Dept. (raggiunti ancora troppo
sporadicamente nel nostro Paese), al fine di favorire un progressivo
cambiamento della cultura organizzativa e fornire al management valore
aggiunto nel processo di pianificazione strategica e operativa.
Università degli Studi di Firenze,
Marzo, 2008
ALBERTO LO DICO
6
1. L’Internal Audit nella governance aziendale
CAPITOLO 1
L’INTERNAL AUDIT NELLA GOVERNANCE
AZIENDALE
1. INTRODUZIONE
Il nuovo millennio si è incentrato sullo sviluppo e sull’impiego di sistemi
produttivi e finanziari attraversati da un forte sentimento di richiamo alla
legalità e all’etica del business.
La storia nordamericana ed europea, a partire dagli anni Ottanta, ha visto
l’avvicendarsi di una serie di indagini giudiziarie e di inchieste
parlamentari, a cui sono seguiti alcuni dei più grandi fallimenti.
Fenomeni di diffusa illegalità hanno messo in luce la debolezza delle
strutture e dei processi di controllo interno di molte aziende, inadeguati per
assicurare ai conferenti di capitale proprio e di capitale di prestito, ai
prestatori di lavoro, ai clienti e ai fornitori e ad altri portatori di interessi
una gestione sana, imparziale e trasparente delle stesse aziende.
Le illegalità commesse hanno riguardato soprattutto situazioni di falso nel
bilancio e nelle informazioni dirette agli stakeholders, la creazione di fondi
neri, il riciclaggio di denaro sporco, la corruzione delle autorità pubbliche
tramite le cosiddette tangenti, gli abusi degli amministratori, manifesti
conflitti d’interesse e via dicendo.
Di fronte al dilagare di queste prassi illegali, il pubblico, le autorità
governative, le autorità tutorie, le associazioni di categoria, hanno
manifestato pressanti richieste per una radicale riforma dei sistemi di
controllo interno e degli assetti societari delle imprese e specialmente di
7
1. L’Internal Audit nella governance aziendale
quelle di dimensioni rilevanti, soprattutto se quotate in mercati
regolamentati.
In effetti, l’ultimo ventennio è stato caratterizzato dall’esplosione dei
controlli in tutti i settori di attività economica e sociale. I sistemi di
controllo infatti, costituiscono prima di tutto una questione culturale
rappresentando un prodotto delle comunità in cui viviamo e del modo in
cui una società cerca di trovare un bilanciamento tra fiducia e
accountability1.
Le imprese, soprattutto quelle di più ampie dimensioni, stanno
sperimentando cambiamenti strutturali e di mercato molto rilevanti, così
che managers ed internal auditors si trovano a dover affrontare criticità
sempre più complesse, fra le quali, in particolare:
-
l’incremento dei rischi e dei costi di compliance normativa e, nel
contempo, di competitività industriale;
-
la necessità di coniugare ed integrare strutture organizzative e
sistemi informativi ai fini di aumentare la velocità e la qualità del
processo decisionale, oltre che il livello dei controlli rispetto ai rischi
impliciti nelle decisioni prese;
-
l’aumento delle aspettative degli stakeholders e degli investitori
circa la capacità dell’impresa di identificare e di monitorare sempre
più ampie categorie di rischi (es. etici, ambientali, ecc.), continuando
comunque nella ricerca di nuove opportunità di business per
assicurare livelli di redditività adeguata2.
Tutte queste complesse condizioni ambientali richiedono che la Funzione di
Internal Audit si evolva verso più elevati livelli di performance, e tale
1
M. Power (1997), The Audit Society. Rituals of Verification, Oxford University Press Inc., New
York; trad. It. La società dei controlli, a cura di Fabrizio Panozzo, Edizioni Comunità, Torino,
2002.
2
Cfr. FORTUNATO S., “Il contributo della funzione di internal audit alla gestione di impresa”,
Rivista dei Dottori Commercialisti. Giu. 2006, p. 1295.
8
1. L’Internal Audit nella governance aziendale
evoluzione non sembra più procrastinabile visto il ruolo, meglio definito e
più impegnativo, che il Codice di Autodisciplina, statuito dal Comitato per
la Corporate Governance di Borsa Italiana, assegna a questa Funzione.
Viene infatti statuito dal Codice3 che l’emittente istituisca una Funzione di
Internal Audit, il cui responsabile di regola, venga identificato quale
Preposto al controllo interno di cui all’art. 150 del Tuf (D. Lgs. 58/1998).
Quest’ultimo, come sarà approfondito nel corso della trattazione, si
identifica come una figura chiave che supporta il vertice nella responsabilità
di valutare e monitorare i sistemi di governance, risk management e
controllo interno dell’organizzazione.
L’Internal Audit, pertanto, si presenta come un potenziale strumento per
rispondere in maniera efficace ai diversi attori, rappresentando nel suo ruolo
di assurance un denominatore comune alle esigenze di valutazione
dell’andamento del sistema d’impresa in termini di controllo e risk
management.
Le aziende, oggi, sono alla continua ricerca di modelli di gestione dei rischi
che assicurino la conduzione del processo di creazione del valore entro
l’alveo del rispetto delle norme interne ed esterne, secondo i limiti
accettabili di rischiosità del business4.
È in quest’ottica che l’Internal Audit costituisce un supporto per la
corporate governance, offrendo un prezioso contributo alla valutazione del
sistema di governo strategico e operativo dell’impresa e assumendo un
atteggiamento proattivo per il suo miglioramento continuo.
Tutto ciò determina lo sviluppo di una cultura del controllo interno, inteso
non come un mero proliferare di controllori rispetto agli esecutori, ma come
un sistema integrato d’azienda ove le attività di controllo si coniugano con
quelle di gestione del business.
3
E’ interessante notare che la precedente edizione del Codice di Autodisciplina ne contemplava
solamente la possibilità dell’istituzione di tale Funzione.
4
Cfr. MINCATO V. (Presidente Assonime) nella Prefazione a Carolyn A. Dittmeier, Internal
Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007
9
1. L’Internal Audit nella governance aziendale
2. LA “VOGLIA” DELL’INTERNAL AUDITING IN ITALIA5
La “voglia” di Internal Auditing in Italia è cresciuta notevolmente negli
ultimi anni, tanto che due terzi delle Funzioni di Internal Auditing
attualmente esistenti sono state create solo dopo il 19956.
Il Dipartimento di Ingegneria Gestionale del Politecnico di Milano, con la
collaborazione dell’AIIA, ha condotto una survey tra 364 società italiane
riscontrando l’adesione di 230 imprese di grandi e medie dimensioni, attive
in diversi settori economici: tra cui, in particolare, quello bancario e
assicurativo, commerciale, industriale e quello dei servizi.
L’analisi ha permesso così di tracciare un quadro complessivo della realtà
italiana, evidenziando un’effettiva diffusione tra le società italiane delle
strutture di Internal Audit, che sono state istituite in 170 imprese su 230 (74
per cento); inoltre, è stato rilevato che, circa il 30 per cento delle aziende in
cui tali strutture non sono presenti, ne ha programmato l’adozione nel giro
di qualche anno.
In generale le Funzioni di Internal Audit sono risultate essere piuttosto
recenti ed in
molti casi esse sono state istituite nel corso dell’ultimo
decennio, sulla scia della crescente attenzione dedicata ai temi citati nel
paragrafo precedente: infatti, il 41 per cento delle società ha introdotto una
Funzione di Internal Audit negli ultimi 5 anni, il 20 per cento l’ha creata tra
5 e 10 anni fa, mentre circa il 39 per cento delle società l’ha introdotta più
di 10 anni fa (Figura 1).
5
Cfr. ARENA M., AZZONE G., CASATI P., “L’irresistibile ascesa dell’Internal Auditing in
Italia”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago
2006, p.41-44.
6
Nel condurre l’analisi sulla diffusione della funzione di Internal Auditing facciamo riferimento
ad un indagine condotta dal Politecnico di Milano e AIIA su oltre 350 aziende della penisola, di
medie e grandi dimensioni, operanti in vari settori.
10
1. L’Internal Audit nella governance aziendale
Adozione delle strutture di Internal Audit
39%
26%
74%
20%
41%
IA introdotto negli ultimi 5 anni
IA introdotto tra 5 e 10 anni fa
IA introdotto oltre 10 anni fa
NO strutture IA
Fig. 1
Tra le realtà aziendali che hanno adottato tale Funzione, vista la rilevante
diffusione in Italia dei gruppi industriali negli ultimi anni, è interessante
soffermarci brevemente sul modello organizzativo adottato in questi casi,
per capire come vengono strutturate le Funzioni di Internal Audit e quale
sia il loro posizionamento. La maggior parte dei gruppi italiani (circa il
64%) ha adottato un modello centralizzato, istituendo in seno alla
capogruppo una Funzione di Internal Audit che svolge attività di auditing
per tutte le altre società. E’ risultata abbastanza comune (circa il 35%)
anche la pratica di creare delle strutture di Internal Audit nelle diverse
società del gruppo, il cui operato viene coordinato e verificato da una
Funzione istituita nella capogruppo. Al contrario solo pochi gruppi di
11
1. L’Internal Audit nella governance aziendale
grandi dimensioni hanno creato delle società ad hoc per svolgere attività di
auditing in tutte le aziende. (Figura 27).
Modello Organizzativo
15%
Soluzione mista
Diffuso
Con delega
Centralizzato
49%
35%
1%
Fig. 2
Considerando il dimensionamento delle strutture di Internal Audit, si rileva
che spesso il numero di internal auditors presenti è piuttosto limitato.
Prevalgono infatti le Funzioni composte solamente da due o tre persone: nel
60% delle società (96 su 160) e nel 50% dei gruppi (55 su 107) non ci sono
più di 5 internal auditors (Tabella 1). Anche in questo caso, tuttavia, si sta
registrando un trend in crescita: nell’ultimo anno infatti il numero degli
internal auditors è stato incrementato nel 40% delle aziende, mentre solo
nel 9% dei casi si è registrata una riduzione dell’organico.
Infine, facendo riferimento al numero medio di internal auditors, a livello
sia di società, sia di gruppo, non si rilevano differenze macroscopiche tra le
7
Modello centralizzato: le strutture di Internal Audit sono collocate nella capogruppo e svolgono
attività di internal auditing anche per le altre società del gruppo; Modello con delega o consortile:
viene costituita una società che svolge attività di internal auditing per l’intero gruppo; Modello
diffuso: vengono costituite Funzioni di IA, sostanzialmente autonome, in diverse società del
gruppo; Soluzione mista: vengono costituite strutture di internal audit sia nella capogruppo sia
nelle altre società del gruppo e il dipartimento di IA della società capogruppo dirige e coordina
l’attività delle altre Funzioni.
12
1. L’Internal Audit nella governance aziendale
aziende appartenenti alle classi di fatturato comprese tra i 100 e i 1.000
milioni di euro: tale dato varia tra i 6 e 10 internal auditor per le società e 14
e 20 internal auditors per i gruppi, mentre cresce in modo significativo nelle
società e nei gruppi di grandissime dimensioni (fatturato superiore a 1.000
milioni di euro).
Tale andamento suggerisce l’esistenza di una soglia minima di risorse
necessarie per svolgere attività di auditing indipendentemente dal volume
complessivo di attività, almeno a determinati livelli di fatturato8.
Tabella 1: Internal Auditors (IAs) – società e gruppi
Fatturato (mln €)
Meno di 100mln€
Tra 101 e 300mln€
Tra 301 e 500mln€
Tra 501 e
1.000mln€
Tra 1.001 e
5.000mln€
Tra 5.001 e
10.000mln€
Più di 10.000mln€
N. società (S) - N. gruppi (G)
11 ≤ IAs ≤ 20 21 ≤ IAs ≤ 50 51 ≤ IAs ≤ 100
S
G
S
G
S
G
1
2
0
0
0
1
4
2
0
1
1
2
1
2
1
2
0
1
Media IAs
(società)
Media IAs
(gruppo)
2,93
10,00
5,80
16,71
20,82
13,79
≤ 5 IAs
S
G
14
4
10
6
13
9
6,60
19,57
24
17
3
2
0
2
2
6
1
2
0
1
9,81
53,66
30
18
22
12
5
7
4
4
2
8
0
10
91,62
60,25
5
1
3
3
1
1
1
4
0
2
3
1
57,43
123,43
0
0
0
0
1
1
3
1
2
2
1
3
6 ≤ IAs ≤ 10
S
G
0
0
2
0
0
0
IAs > 100
S
G
0
0
0
0
0
0
8
Cfr. ARENA M., AZZONE G., CASATI P., “L’irresistibile ascesa dell’Internal Auditing in
Italia”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago
2007, p.43.
13
1. L’Internal Audit nella governance aziendale
3. L’EVOLUZIONE DELL’ATTIVITÀ DI INTERNAL AUDITING
La professione dell’internal auditor è stata caratterizzata, nel corso degli
anni, da un’importante evoluzione storica, che ha determinato lo
spostamento del suo raggio d’azione da verifiche limitate principalmente ad
aspetti di conformità normativa e procedurale ad attività di maggiore
ampiezza
nell’ambito
del
controllo
sistemico,
della
consulenza
organizzativa e della governance aziendale.
Questo processo evolutivo ha richiesto un incremento degli skills per lo
svolgimento della professione e ha determinato una maggiore visibilità e
credibilità della stessa Funzione aziendale.
Il compito dell’internal auditor oggi è quello di supportare il vertice e il
management aziendale nell’assicurare un efficace sistema di governo dei
processi, con uno specifico focus sulla ricerca dell’equilibrio tra il sistema
di controllo interno e la mitigazione dei rischi in ambito di risk
management9.
L’attività, in un’ampia accezione, si realizza attraverso la valutazione e il
supporto al miglioramento dell’efficacia ed efficienza dei processi aziendali
a salvaguardia degli obiettivi di business e di governo dell’organizzazione
utilizzando i tradizionali presidi di audit per la prevenzione e il controllo
delle frodi e per la verifica dei sistemi di reporting contabile.
Naturalmente, occorre osservare che questa attività si svolge in contesti
giuridici e culturali differenti, in organizzazioni guidate da visioni
strategiche, dimensioni e strutture tipiche del caso. Essa, infatti, è una
“scienza” che contiene in sé una dimensione flessibile ed evolutiva che le
consente di adattarsi alle diverse situazioni delle differenti realtà aziendali
escludendo l’applicazione di schemi universali. Tuttavia, lo svolgimento
9
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 9.
14
1. L’Internal Audit nella governance aziendale
della professione trova un comune denominatore nel rispetto di Standard e
metodologie comuni.
3.1. LA DEFINIZIONE DELL’ATTIVITÀ DI INTERNAL AUDITING
Per una definizione dell’attività di internal audit possiamo far riferimento a
quanto rilasciato dall’Associazione Italiana Internal Auditors (AIIA) che ci
ha fornito una traduzione integrale della definizione elaborata dall’Institute
of Internal Auditors americano (IIA).
Con l’ultimo aggiornamento nel 1999 si sono definiti la missione, i
contenuti e le caratteristiche di tale attività, sottolineando come il ruolo
dell’internal auditor sia oggi notevolmente evoluto rispetto alla precedente
veste di revisore che ne enfatizzava il carattere prevalentemente “ispettivo”
e l’orientamento agli aspetti di conformità.
L’attuale definizione, infatti, individua l’internal auditing come “un’attività
indipendente e obiettiva di assurance e consulenza, finalizzata al
miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste
l’organizzazione nel perseguimento dei propri obiettivi tramite un
approccio professionale sistematico, che genera valore aggiunto, in quanto
finalizzato a valutare e migliorare i processi di controllo, di gestione dei
rischi e di corporate governance10”.
Per una migliore comprensione della definizione è utile fornire una
spiegazione dettagliata delle sue diverse componenti.
Un primo elemento che la caratterizza è quello dell’indipendenza, ovvero la
concreta possibilità per l’internal auditor di esercitare la propria attività
10
La definizione di attività di internal audit riportata nel testo è ripresa integralmente da quanto
fornito dall’ “Associazione Italiana Internal Auditors” (AIIA). La definizione originariamente era
stata rilasciata dall’ “Institute of Internal Auditors” (IIA), la stessa associazione con sede in USA.
15
1. L’Internal Audit nella governance aziendale
senza nessuna interferenza, a partire dalla definizione dell’ambito di
copertura, all’esecuzione del lavoro e la successiva comunicazione dei
risultati ottenuti11.
Tale indipendenza è garantita tradizionalmente dal posizionamento
organizzativo della Funzione di Internal Audit, di solito in staff all’alta
direzione, in modo da tutelarsi di fronte a possibili ingerenze e
condizionamenti di altre strutture aziendali.
Infatti, gli aspetti organizzativi di tale Funzione assumono una particolare
rilevanza, in quanto sono in grado di influenzare l’efficacia e l’efficienza
complessiva delle risorse dedicate all’attività di audit.
Si tratta di un’indipendenza funzionale, diversa da quella richiesta al
revisore esterno, in quanto l’internal auditor rimane sempre e comunque un
dipendente della società in cui opera.
L’Internal Audit Department è idealmente collocato in posizione di
dipendenza funzionale dal Comitato per il controllo interno, detto anche
Audit Committee, (come previsto per le società quotate), dal consiglio di
amministrazione o da un organismo equivalente (a seconda del modello di
amministrazione e controllo adottato), e in posizione di dipendenza
gerarchica dal vertice manageriale dell’organizzazione (amministratore
delegato o direttore generale).
L’indipendenza è inoltre garantita con l’esclusione dai compiti spettanti
all’internal auditor di attività di altra natura, quali ad esempio attività di
controllo
gestionale
piuttosto
che
mansioni
operative
che
lo
coinvolgerebbero direttamente o indirettamente nelle decisioni operative
dell’azienda12.
11
Secondo lo Standard IIA 1110 “Indipendenza organizzativa”, l’indipendenza e l’autonomia
sono il presupposto per l’obiettività, a sua volta condizione mentale chiave che conduce
all’affidabilità dei risultati dell’attività di internal auditing.
12
Standard IIA 1130.A1 Valutazione di attività di cui gli internal auditor erano precedentemente
responsabili e Standard IIA 1130.A2 Responsabilità dell’Internal Audit in altri ruoli non di audit.
Tali standard prevedono infatti che l’internal audit eviti di effettuare un servizio di assurance su
attività che, nell’arco del precedente anno, rientravano nell’ambito delle sue responsabilità
gestionali in un precedente ruolo aziendale.
16
1. L’Internal Audit nella governance aziendale
La dimensione relativa all’obiettività si lega dal punto di vista concettuale,
come appena accennato sopra, all’indipendenza dell’attività di internal
auditing; tale elemento va a configurare la figura professionale del revisore
interno relativamente alla sua etica personale e alle sue competenze.
L’obiettività si realizza nell’atteggiamento di totale imparzialità, senza
preconcetti, in grado di evitare qualunque conflitto d’interessi che si può
manifestare durante lo svolgimento dell’incarico13.
Tra le due dimensioni di indipendenza e obiettività sussiste inevitabilmente
un rapporto dialettico, pertanto è evidente che l’internal auditor, per essere
indipendente, deve poter svolgere la propria attività senza vincoli e con
obiettività; e allo stesso tempo, la valutazione del revisore interno potrà
essere imparziale ed obiettiva soltanto se nello svolgimento di tale attività
gli è garantita la necessaria indipendenza.
Lavorare in piena autonomia e libertà mentale significa non sottomettere il
proprio giudizio professionale a quello di altri, non cedere a consistenti
compromessi, essere convinti della validità dei risultati emersi senza
lasciarsi
influenzare
da
condizionamenti
esterni
e
astenersi
dall’intraprendere qualsiasi attività che possa ingenerare conflitto
d’interessi o possa pregiudicare la possibilità di svolgere il proprio lavoro
con imparzialità14.
È necessario, quindi, un’adeguata strutturazione organizzativa aziendale e
l’obiettività dell’internal auditor, per garantire una sua imparzialità nella
valutazione delle evidence e assicurare la produzione di un giudizio
indipendente relativamente ad un sistema, ad un processo o ad una singola
attività.
Per completare il quadro relativo a queste due dimensioni, è opportuno
sottolineare che anche la pratica professionale ha voluto fornire precise
indicazioni sull’argomento, disponendo che l’internal auditor, a fronte di
13
Sull’argomento vedi lo Standard IIA 1120 Obiettività individuale.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 11.
14
17
1. L’Internal Audit nella governance aziendale
una situazione di potenziale o reale condizionamento o conflitto d’interessi
pregiudizievole, deve riferire al proprio responsabile in modo da consentire
una nuova assegnazione degli incarichi15.
Nella definizione si parla inoltre di “...attività obiettiva e indipendente di
assurance e di consulenza...”, due tipologie di servizi offerti allo scopo di
creare valore all’interno dell’organizzazione.
In effetti, del termine assurance non esiste una fedele traduzione in italiano
che sia al tempo stesso sintetica ed efficace. Comunque, i servizi di
assurance, in un’accezione ampia, comprendono tutte quelle attività utili al
miglioramento della qualità dell’informazione, in termini di attendibilità,
tempestività, economicità e rilevanza, in modo da offrire un valido supporto
al processo decisionale del management aziendale.
Una caratteristica peculiare dei servizi di assurance è il coinvolgimento di
tre soggetti:
• il soggetto sottoposto ad audit (detto auditee), quindi la persona
direttamente coinvolta nel processo o nel sistema oggetto di analisi;
• l’internal
auditor,
che
effettua
la
rilevazione-valutazione
indipendente;
• il destinatario che utilizzerà l’output scaturito dall’analisi per
prendere le proprie decisioni. Si tratta tipicamente di un soggetto
interno, quale il vertice aziendale, il management, il collegio
sindacale o altri organi aziendali solitamente con compiti di
vigilanza quali l’Audit Committee.
Per quanto riguarda i servizi di consulenza, questi sono da intendersi come
un’attività di supporto propositivo diversi dall’assurance, prestati dal
15
Sull’argomento vedi lo Standard IIA 1130 Condizionamenti pregiudizievoli all’indipendenza o
all’obiettività.
18
1. L’Internal Audit nella governance aziendale
revisore interno a seguito di una specifica richiesta del cliente committente,
senza che questo comporti l’assunzione di responsabilità da parte
dell’auditor o decisioni operative in merito16.
Infatti, il revisore, nello svolgimento di tale servizio, non si assume alcuna
responsabilità decisionale, che rimane di competenza esclusiva del
management.
In tal caso le parti coinvolte nell’attività di consulenza sono due: l’internal
auditor e il cliente destinatario della consulenza. A differenza del servizio
di assurance, in cui è il revisore interno a determinare autonomamente la
natura e l’ambito di copertura delle attività da svolgere, nei servizi di
consulenza le attività sono tipicamente definite in accordo con il cliente.
Tra le diverse attività di consulenza si annoverano:
• il supporto nel ridisegno dei processi dell’organizzazione, con
riferimento a principi di controllo e di risk management nell’ambito
di specifici progetti aziendali;
• il supporto nella definizione dei principi di controllo nell’ambito di
procedure interne aziendali;
• la attività di supporto e mediazione tipiche del ruolo di “facilitatore”
nell’ambito di progetti di autodiagnosi dei rischi ( quali il Control &
Risk Self Assessment, o CRSA)17;
• le attività di risk assessment18.
L’elenco ci permette di comprendere, inoltre, come il bagaglio culturale
richiesto nell’ambito dell’internal auditing s’incrementi ulteriormente
rispetto a quanto già richiesto per lo svolgimento dei più tradizionali servizi
16
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 12-13.
17
Per una trattazione più approfondita del Control & Risk Self Assessment (CRSA), cfr. Cap. 3 e
Cap. 5.
18
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 13.
19
1. L’Internal Audit nella governance aziendale
di assurance. Gli ambiti nei quali il revisore interno è chiamato a fornire il
suo contributo professionale possono essere sconfinati, sarà responsabilità
dell’auditor accettare l’incarico solo in quei casi in cui si sente
effettivamente preparato. In genere, il campo in cui l’internal auditor è
maggiormente specializzato e quindi in grado di fornire il suo contributo è
quello relativo alla strutturazione dei sistemi di controllo interno in risposta
al sistema di risk management complessivo dell’organizzazione.
È opportuno precisare che molto spesso assurance e consulenza finiscono
per coesistere in una stessa attività di audit. Infatti, l’adozione di approcci
“misti”, che prevedono entrambi gli elementi in un unico incarico è in forte
crescita: è questo il caso tipicamente dell’attività di operational auditing,
che valuta il disegno del sistema di controllo interno di un determinato
processo in modo trasversale e misura l’impatto di eventuali carenze o
rischi non sufficientemente presidiati.
In altri casi, invece, la separazione tra i due ambiti sarà piuttosto netta,
emblematico il caso dell’attività di compliance auditing avviata a seguito di
un’attività consulenziale di supporto al management nell’autodiagnosi dei
rischi19.
L’attività di internal auditing è volta al perseguimento dell’efficacia e
dell’efficienza dell’organizzazione.
Con il termine efficacia si fa riferimento, in una concezione di ampio
respiro, alla capacità di un’organizzazione di raggiungere i propri obiettivi;
questi possono riguardare finalità del business, come ad esempio,
l’incremento dei ricavi, il contenimento dei costi, il miglioramento della
qualità, ecc. oppure ineriscono finalità di governo quali, l’affidabilità
dell’informazioni, la sicurezza, il rispetto della normativa, ecc.
19
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 13-14.
20
1. L’Internal Audit nella governance aziendale
Tale dimensione, se considerata unica nel contesto aziendale di riferimento,
potrebbe condurre alla massimizzazione dei controlli.
L’efficienza invece, è definita dal rapporto tra il grado di raggiungimento
degli obiettivi e la quantità di risorse impiegate; essa, pertanto, ci conduce
verso un concetto di ottimizzazione del controllo e di valutazione
professionale del punto di equilibrio tra costi e benefici di eventuali
controlli aggiuntivi.
Da qui ne consegue che, in antitesi alla massimizzazione dei controlli per il
perseguimento dell’efficacia aziendale, si colloca la promozione di sistemi
di controllo ottimizzati e cost effective.
Un ulteriore approfondimento della definizione di internal auditing
riguarda l’approccio professionale e sistematico utilizzato
nella
conduzione di tale attività a connotazione strategica.
Più precisamente ci si riferisce all’insieme strutturato delle conoscenze,
capacità e competenze richieste all’internal auditor nel condurre le proprie
analisi che, nel concreto, riguardano, dal punto di vista tecnico: gli Standard
professionali IIA, le procedure e le tecniche di internal auditing, i principi
di management e delle materie economico-giuridiche, le tecniche statistiche
e quantitative, i sistemi informativi.
A tali competenze tradizionali si aggiungono le capacità relazionali e di
comunicazione, sia verbali che scritte, che qualificano l’attività di internal
auditing come un’arte che non può essere ricondotta esclusivamente a
discipline formali. La chiave del successo per il raggiungimento
dell’obiettivo finale teso alla creazione di valore aggiunto, consiste, infatti,
nella corretta individuazione e nell’attenta gestione delle modalità e delle
linee di comunicazione20.
20
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 15.
21
1. L’Internal Audit nella governance aziendale
Negli Standard professionali IIA, il requisito della diligenza professionale
prevede il rispetto dei principi del Codice Etico e delle regole di condotta
alla base del comportamento degli internal auditor21.
È importante quindi offrire, un approccio conforme ad adeguati Standard e
strumenti metodologici che garantiscono l’applicazione di criteri omogenei
e coerenti e una progressiva copertura dell’universo di audit con
l’applicazione periodica e strutturata di adeguate procedure di risk
assessment nell’ambito della pianificazione dell’auditing.
Il concetto di valore aggiunto rappresenta un altro elemento su cui è
opportuno soffermarsi. Più precisamente l’attività crea valore aggiunto nel
momento in cui, attraverso l’analisi dei rischi e la valutazione del relativo
sistema di controllo interno, soddisfa le esigenze degli organi di governo e
del management aziendale.
Per definire, oggi, la mission dell’internal auditing non è più sufficiente la
verifica del rispetto delle norme, così come non sono più sufficienti la
verifica del sistema di controllo e la valutazione dei rischi correlati: oggi
l’orientamento di fondo dell’attività va oltre, trasformando quelli che in
precedenza erano gli obiettivi in strumenti per il perseguimento della
finalità primaria, cioè la creazione di valore aggiunto.
L’internal auditor, quindi, deve secondo tale concezione, applicare schemi
flessibili di analisi basati sulla consapevolezza della diversa rilevanza degli
obiettivi e dei rischi aziendali, per focalizzarsi su quelli maggiormente
significativi, in linea con le attese del top management, alla ricerca di punti
di equilibrio nel complessivo sistema di risk management22.
Assumere un atteggiamento proattivo è uno dei fattori critici di successo
per l’internal auditor: è necessario infatti condividere con il management le
21
Sull’argomento si vedano gli Standard IIA 1200; 1210; 1220 su Competenza e diligenza
professionale.
22
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 16.
22
1. L’Internal Audit nella governance aziendale
iniziative da intraprendere, tenendo conto delle politiche di risk
management applicate dal vertice aziendale. L’abilità di osservare e
comprendere le reali esigenze di un’organizzazione, le sue specificità
strutturali e di processo, le caratteristiche dell’ambiente in cui opera, gli
obiettivi di governo e di business contribuiscono allo svolgimento di
un’attività i cui benefici generati devono essere nettamente superiori ai costi
prodotti.
Da ultimo, la definizione fa riferimento agli ambiti su cui si focalizza
l’attività dell’internal auditing. In particolare:
• la corporate governance23;
• i processi di gestione dei rischi;
• i processi di controllo.
L’internal auditing rappresenta una componente del complessivo sistema di
corporate governance, che abbraccia sia gli aspetti di organizzazione
aziendale, sia gli aspetti societari, in un’ottica di presidio globale.
Inoltre, il ruolo di tale attività si sta evolvendo in un mezzo da utilizzare per
la revisione globale del sistema di control governance, inteso come
l’insieme dei processi, mezzi e risorse, presenti a tutti i livelli
dell’organizzazione, che danno ragionevole garanzia sul raggiungimento
degli obiettivi aziendali.
Tali aspetti saranno comunque oggetto di ulteriori approfondimenti nel
corso della nostra trattazione.
23
Il concetto di corporate governance si traduce con l’insieme delle regole alla base della gestione
e del controllo delle società. Esso si comprende attraverso la definizione ed il funzionamento degli
organi societari interni (Cda, Assemblee, Collegio Sindacale) ed esterni (CONSOB e società di
revisione). La struttura della Corporate Governance definisce la distribuzione dei diritti e delle
responsabilità tra i partecipanti alla vita di una società, in riferimento alla ripartizione dei compiti,
all’assunzione di responsabilità e al potere decisionale.
23
1. L’Internal Audit nella governance aziendale
In linea generale possiamo concludere che la Funzione di Internal Auditing
svolge un’attività di monitoraggio del complessivo sistema di controllo
interno di risk management in modo coerente con gli obiettivi di business e
di
governo
aziendale
e
dei
singoli
processi.
Nel
contribuire
all’implementazione della corporate governance, l’Internal Audit effettua
analisi e valutazioni:
• del grado di effettiva applicazione delle politiche, dei piani e delle
procedure, fornendone un quadro complessivo;
• del sistema dei controlli interni in un ottica risk management, messi
in atto per il raggiungimento degli obiettivi di business e di governo,
tra i quali:
o efficienza gestionale;
o qualità;
o obiettivi commerciali;
o affidabilità delle informazioni e del sistema informatico;
o rispetto della normativa;
o responsabilità sociali ed etiche.
Attraverso il suo ruolo di assurance e di consulenza, l’internal auditing
promuove il miglioramento continuo del sistema di controllo interno
raccomandando miglioramenti incrementali ed innovazioni strutturali e
gestionali, sulla base di ragionevoli relazioni costi/benefici al fine di
promuovere l’efficienza e l’efficacia del sistema complessivo24.
24
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 17-18.
24
2. Il contesto normativo
CAPITOLO 2
IL CONTESTO NORMATIVO
1. INTRODUZIONE
Con il susseguirsi delle diverse crisi aziendali, a livello nazionale ed
internazionale, si è reso sempre più impellente il bisogno di porre maggiore
attenzione sul tema della corporate governance.
L’intervento delle autorità governative, delle Authority e delle associazioni
di categoria ha permesso un’evoluzione della normativa internazionale e
interna costruita su modelli e sistemi che assicurano meccanismi di governo
aziendale a tutela degli shareholders e degli stakeholders tra cui banche ed
altri finanziatori, clienti, mercati di riferimento, fornitori, personale e tutti
gli altri soggetti che ripongono nella società interessi diretti o indiretti.
Un buon governo di impresa che consenta il raggiungimento di obiettivi
fondamentali, quali efficacia ed efficienza, trasparenza e legalità,
porterebbe al recupero di una logica in base alla quale una migliore
governance significa una migliore reputazione e, quindi, un maggiore
sviluppo49.
Qui di seguito, pertanto, tenteremo di ripercorrere il processo evolutivo
intrapreso dalla normativa internazionale, per poi proseguire nell’analisi del
contesto italiano.
È in quest’ottica che assume rilievo il concetto di sistema di controllo
interno ed è in questo contesto che si sono sviluppati una serie di norme e di
49
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 41.
25
2. Il contesto normativo
Standard orientati alla definizione, alla valutazione e al rafforzamento dei
sistemi di governance aziendale.
2. IL FOREIGN CORRUPT PRACTICE ACT: BREVI CENNI
Nel corso dell’ultimo trentennio, a livello internazionale, si è incrementato
notevolmente l’interesse verso i temi relativi al controllo interno.
Nel 1977 negli Stati Uniti venne pubblicato il Foreign Corrupt Practice Act
(FCPA) successivamente modificato nel 198850, un atto legislativo che
proibisce alle società statunitensi di corrompere funzionari stranieri con la
finalità di ottenere o mantenere affari.
Esso, dunque, ha come obiettivo l’eliminazione di pratiche che avrebbero
potuto influenzare in modo negativo l’integrità finanziaria delle società
americane, minando così il funzionamento efficiente dei mercati finanziari.
Il provvedimento è rivolto alle società controllanti e controllate nazionali,
controllate estere, joint venture, partnership e qualunque impresa associata.
A questi si aggiungono inoltre tutti i dirigenti, amministratori, dipendenti o
rappresentanti della società.
Oltre a provvedimenti contro la corruzione, il FCPA contiene anche
disposizioni in materia contabile e di controllo interno: esso infatti prevede
che tutte le società attive sul mercato mobiliare statunitense mantengano
registri contabili, in modo da permettere l’individuazione di eventuali
pagamenti sospetti, esso dispone inoltre, l’istituzione di un sistema di
controllo interno che vigili su eventuali irregolarità e differenze tra ciò che
è riportato nelle scritture contabili e l’effettivo flusso finanziario delle
società.
50
A tale normativa, e a quella correlata descritta in seguito, si è ispirato il D. Lgs 231/2001
riguardante le responsabilità delle persone giuridiche.
26
2. Il contesto normativo
L’approvazione del FCPA fu fortemente condizionata dalla convinzione
che un buon modello organizzativo di controllo interno avrebbe dovuto
costituire un efficace deterrente contro i pagamenti illeciti.
Si può ritenere, pertanto, che il FCPA sia stato il primo importante evento
in termini di impatto sull’internal auditing tanto che dopo la sua
emanazione molte società ad azionariato diffuso hanno avviato numerose
iniziative in materia di controllo interno, ampliando le dimensioni e i poteri
delle proprie funzioni di Internal Auditing51.
3. IL SARBANES-OXLEY ACT, IL PIÙ GRANDE CAMBIAMENTO NELLA CORPORATE
GOVERNANCE
Nel 1985, sempre negli Stati Uniti, è stata creata la National Commission
on Fraudolent Financial Reporting, nota come Treadway Commission, con
l’obiettivo principale di individuare le cause dei falsi in bilancio e formulare
raccomandazioni e suggerimenti al fine di evitare il verificarsi di questi
eventi.
Nel 1987 la Commissione ha emesso una relazione contenente alcune
raccomandazioni in materia di controllo interno, sottolineando in particolare
l’importanza dei codici di comportamento, dei comitati di auditing esperti e
attivi, di una Funzione di Internal Auditing efficace e obiettiva.
La relazione raccomandava, inoltre, la formazione di un Comitato di Audit
(Audit Committee), composto interamente da consiglieri indipendenti, tra i
cui compiti era prevista la verifica annuale della capacità del management
di monitorare l’osservanza da parte della società del Codice Etico adottato.
51
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 42.
27
2. Il contesto normativo
Tale evoluzione normativa ha rappresentato un importante punto di
riferimento per l’emanazione del D.lgs. 231/2001 e la relativa istituzione di
modelli organizzativi e di organismi di vigilanza.
Il susseguirsi dei corporate scandals di grandi società statunitensi, quali il
caso Enron e WorldCom avvenuti nel corso del 2001 e del 2002, fecero
emergere i limiti della corporate governance statunitense, e generarono i
presupposti per l’approvazione, nel Luglio del 2002, del Sarbanes-Oxley
Act.
Tale atto rappresenta il più grande cambiamento nell’ambito della
corporate governance e reporting sin dalle prime security laws federali del
1933 e 1934.
L’obiettivo principale di questa legge è quello di riconquistare la fiducia
degli investitori tramite un’amministrazione aziendale più efficiente: esso
fornisce infatti nuovi o più avanzati Standards per le Corporate
Accountability e sanzioni per comportamenti non etici messi in atto dai
funzionari dell’azienda in caso di eventuali false dichiarazioni sui dati
finanziari.
La normativa riguarda tutte le aziende i cui titoli azionari sono registrati
presso la Securities and Exchange Commission (SEC) degli Stati Uniti e la
cui capitalizzazione di Borsa supera i 75 milioni di dollari.
Gli elementi fondamentali del Sarbanes-Oxley Act sono:
1. l’indipendenza delle società di revisione contabile e la vigilanza sul loro
operato: il Sarbanes-Oxley Act dispone la creazione di un organismo
pubblico di vigilanza denominato Public Company Accounting
Oversight Board, affidando a questo il compito di regolamentare
l’attività svolta dai revisori contabili, nonché verificarne il rispetto,
modificando così in modo sostanziale il precedente modo di operare
basato sull’autoregolamentazione.
28
2. Il contesto normativo
Al fine di mitigare il rischio di potenziali conflitti di interesse, sono
previste norme di rotazione delle figure chiave incaricate della revisione
e il divieto di svolgimento di altri incarichi di consulenza da parte della
medesima società di revisione ritenuti incompatibili ai fini della
salvaguardia dell’indipendenza;
2. una maggiore attendibilità delle informazioni finanziarie e dei processi
di controllo interno contabile: l’amministratore delegato e il direttore
finanziario
vengono
individuati
come
i
responsabili
dell’implementazione del sistema di controllo interno e delle procedure
circa le informazioni che vengono divulgate al mercato. Il sistema di
controllo interno deve garantire il corretto flusso delle informazioni e
dei dati finanziari forniti, nonché la loro attendibilità.
A tal riguardo tali figure aziendali rilasciano un’attestazione circa la
veridicità del bilancio annuale e delle relazioni finanziarie emesse52. In
particolare, l’amministratore delegato e il direttore finanziario devono
valutare l’efficacia del sistema di controllo interno sul processo di
redazione del bilancio, comunicandone i risultati e le conclusioni nei
report prodotti (bilancio e relazioni periodiche)53.
La società di revisione deve quindi formulare le proprie valutazioni sulla
conformità del sistema di controllo interno sul processo di redazione del
bilancio in base agli Standard emessi dal Public Company Accounting
Oversight Board;
3. un incremento dei poteri di regolamentazione e di vigilanza riconosciuti
alla SEC: quest’ultima infatti interviene sui due punti precedenti
attraverso una supervisione dell’organo di controllo delle società di
revisione delle public companies (Public Company Accounting
52
53
Cfr. Sarbanes-Oxley Act (2002), Section 302: “Corporate responsibility for financial report”.
Cfr. Sarbanes-Oxley Act (2002), Section 404: “Management assessment of internal control”.
29
2. Il contesto normativo
Oversight Board) ed attraverso l’emanazione di norme di dettaglio volte
a garantire che le informazioni finanziarie divulgate dalle società
rappresentino la reale situazione economico-finanziaria, considerando
eventualmente anche tutte quelle attività che, pur essendo “fuori
bilancio”, possono incidere sugli equilibri finanziari delle public
companies54.
In definitiva, lo scopo del Sarbanes-Oxley Act è quello di proteggere gli
investitori attraverso:
• un’informativa più accurata, tempestiva, completa e comprensibile;
• un miglioramento delle regole di corporate governance;
• un rafforzamento dei controlli tramite la creazione del PCAOB;
• un incremento dell’efficacia e dell’efficienza del sistema di controllo
interno.
4. IL PIANO D’AZIONE DELL’UNIONE EUROPEA: BREVI CENNI
Il varo del Sarbanes-Oxley Act ha avuto un impatto notevole sull’apparato
normativo europeo: le imprese dell’unione europea che operano sul
territorio americano, direttamente o tramite consociate, si sono trovate
esposte ad una normativa penalizzante.
Questo è uno dei motivi che ha spinto la Commissione Europea ad emanare
un piano d’azione (pubblicato il 21 maggio 2003) per la modernizzazione
della normativa in materia di società quotate e il rafforzamento della
corporate governance nell’Unione Europea.
54
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 43-44.
30
2. Il contesto normativo
L’intervento della Commissione è volto a migliorare l’informazione e la
trasparenza sulla struttura e sul funzionamento delle società, ad
incrementare la tutela dei diritti degli azionisti e a fornire raccomandazioni
sulla riforma dei consigli di amministrazione. Più dettagliatamente le linee
evolutive percorse sono le seguenti:
• il rafforzamento dei diritti degli azionisti a tutela dei terzi nel tentativo
di garantire l’efficienza e la competitività delle imprese.
A tal fine la Commissione Europea sottolinea la necessità di
intraprendere alcune azioni tra cui: precisare la responsabilità dei
dirigenti, migliorare le disposizioni relative alla tutela dei creditori,
introdurre una regolamentazione più rigorosa in materia di pubblicità
delle informazioni per le società quotate e che fanno ricorso al pubblico
risparmio, giungere ad un quadro normativo più flessibile per le PMI
coerente con le loro dimensioni e la loro forma giuridica;
• promuovere l’efficienza e la competitività delle imprese. Per il
perseguimento di tale linea evolutiva la Commissione ha fornito un
contributo importante sottolineando la necessità di un’armonizzazione
della normativa in materia di operazioni transfrontaliere, quali
trasferimenti e concentrazioni all’interno dell’UE, nonché l’esercizio dei
diritti degli azionisti.
Il raggiungimento di questi obiettivi richiedeva l’attuazione di una serie di
iniziative comunitarie contenute nel piano d’azione che possono essere
sintetizzate qui di seguito:
• il piano suggerisce la coordinazione dei Codici dei vari Paesi comunitari
al fine di “promuovere una maggiore convergenza e lo scambio di
migliori pratiche”.
31
2. Il contesto normativo
È necessario, pertanto, che le società garantiscano una maggiore
trasparenza in materia di governo societario, un rafforzamento dei diritti
degli azionisti, una modernizzazione nelle funzioni e nella composizione
dei consigli di amministrazione. Infine la Commissione suggerisce la
necessità di un maggiore sforzo da parte degli stati membri volto al
coordinamento delle normative nazionali sul tema del diritto societario,
della regolamentazione sui valori mobiliari, della quotazione in borsa,
dei codici e degli altri strumenti;
• l’adozione di interventi rivolti a semplificare il sistema normativo in
materia di salvaguardia e modifiche del capitale introdotto con la II
Direttiva CEE sul diritto delle società.
Quest’ultima, infatti, impone alle società per azioni un capitale sociale
minimo e contiene molteplici disposizioni, volte a tutelare gli azionisti e
i creditori, che si applicano ad esempio in caso di costituzione della
società, di aumento o riduzione del capitale sociale, di acquisizioni e
distribuzioni di azioni. La semplificazione della II Direttiva CEE,
secondo il piano, dovrebbe avvenire con riferimento a: i pareri degli
esperti in ordine alla valutazione dei conferimenti in natura, che in
determinate circostanze dovrebbero essere aboliti, l’introduzione di
azioni emesse non alla pari, le norme sull’acquisto di azioni proprie e
quelle relative all’esercizio del diritto di opzione;
• il piano inoltre prevede ulteriori interventi relativamente ai gruppi e alle
piramidi societarie: infatti è previsto l’obbligo di una maggiore
completezza e trasparenza nelle informazioni societarie, finanziarie e
non finanziarie, pubblicate sia dalle società quotate che dai gruppi,
qualora l’impresa madre non sia una società quotata.
È previsto, inoltre, l’adozione di una norma quadro per l’attuazione, a
livello di controllate, di una politica comune di gruppo che consenta ai
responsabili della gestione di una società appartenente ad un gruppo, di
32
2. Il contesto normativo
porre in essere una politica coordinata e che, allo stesso tempo,
garantisca la salvaguardia degli interessi dei creditori.
Per ultimo, l’obbligo per le autorità nazionali di non ammettere alla
quotazione società appartenenti a strutture piramidali abusive.
• Per concludere, tenendo conto delle esigenze e delle problematiche delle
società operanti su scala transfrontaliera, il piano propone nuove forme
societarie differenziate in base al fine sociale o alla dimensione
dell’azienda55.
5.
L’AUTOREGOLAMENTAZIONE
INTERNAZIONALE:
IL
COMMITTEE OF
SPONSORING ORGANIZATIONS
I principi di corporate governance e i meccanismi di governo societario
sono ormai da diversi anni alla ricerca di modelli che garantiscano il
raggiungimento di obiettivi di legalità in modo tale da assicurare al mercato
la trasparenza e la correttezza necessarie per un suo valido funzionamento.
Negli Stati Uniti questo orientamento emerge con la pubblicazione nel 1992
del CoSo Report da parte del Committee of Sponsoring Organisations della
Treadway Commission56.
Tale Integrated Framework è divenuto uno schema di riferimento in tutto il
mondo ed è stato elaborato al fine di promuovere un concetto comune di
controllo interno e di sottolineare le responsabilità del management nella
creazione di un sistema di controllo.
55
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 45-46.
56
Il CoSo Report viene pubblicato dopo un primo schema di controllo interno elaborato
dall’American Institute of Certified Public Accountant (AICPA) che nel 1988 procedette
all’emanazione del SAS N° 55. L’associazione che raggruppa gli esperti contabili statunitensi
descrive il controllo interno in termini di tre principali componenti: “control environment”,
“accounting system”, “control procedures”.
33
2. Il contesto normativo
La versione del 1992 intitolata “Internal Control – Integrated Framework”
da avvio agli studi operativi sul “sistema di controllo interno”,
precedentemente considerato come un elemento di programmazione e
controllo, e la sua efficacia viene indicata come uno dei requisiti di base per
raggiungere best practice.
Nel 2004 viene pubblicato un secondo report, intitolato “ERM - Integrated
Framework” che ne amplia la visione in termini di risk management e in
tale ottica, il sistema di controllo interno si configura come tutto ciò che
supporta la gestione del rischio aziendale.
L’ERM costituisce, infatti, un modello di riferimento che le aziende
possono adottare per la gestione dei rischi aziendali, esso rappresenta una
sorta di guida che fornisce indicazioni in materia e ne definisce le
componenti essenziali57.
Si configura come un sistema finalizzato non solo all’analisi dei fattori di
rischio e alla valutazione del loro impatto sulla performance aziendale, ma
anche alla creazione di valore e vantaggio competitivo, in quanto permette
un’assunzione consapevole dei rischi e una mitigazione degli eventuali
effetti negativi degli stessi58.
Nel modello ERM viene proposto uno schema valido e comprensibile per
capire e valutare i rischi all’interno dell’organizzazione. L’attenzione del
57
Tuttavia, poche aziende hanno chiaro in mente come sviluppare un processo di questo tipo e
ancora meno hanno già avviato il suo sviluppo.
Come si può intendere nelle parole sotto riportate di John J. Flaherty (presidente CoSo), il nuovo
framework ha ritenuto di raccogliere questo testimone e di sviluppare un sentire comune in
proposito. “Anche se molte persone parlano di rischio, non esiste una definizione comunemente
accettata di risk management e nemmeno un modello che definisca come il processo debba
funzionare, rendendo il dialogo sul rischio, tra membri del consiglio di amministrazione e
management, difficile e frustrante. Il board del CoSo ha ritenuto che questa situazione fosse molto
simile a quella esistente prima della pubblicazione dell’Internal Control – Integrated Framework.
Così come quello studio ha reso omogeneo il parlare di controllo interno, così il nostro obiettivo è
quello che l’ERM Framework offra agli amministratori ed al management un modello
comunemente accettato per discutere e valutare uno sforzo aziendale in tema di risk management”
(intervista a cura di C. Chapman, Internal Auditor, IIA, June 2003, pubblicata in CASANA G.,
“Accettabilità del rischio e raggiungimento degli obiettivi”, Internal Audit. Corporate
Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 15-16).
58
Cfr. J.W. De Loach, Enterprise Wide Risk Management. Financial Time-Prentice Hall, Londra,
2000.
34
2. Il contesto normativo
management viene catalizzata sulla gestione del rischio nelle sue relazioni
con:
• la corporate governance, affinché i vertici aziendali ricevano le
informazioni necessarie per una gestione dei rischi consapevole ed
efficace;
• la misurazione delle performance, al fine di rendere disponibili misure
di ritorno economico ponderate per tenere conto del rischio;
• il sistema di controllo interno, considerato parte integrante del sistema
di enterprise risk management59.
L’ERM consente al management di affrontare in maniera efficace le
incertezze e i conseguenti rischi/opportunità, accrescendo la capacità
dell’impresa di generare valore attraverso il conseguimento dell’equilibrio
ottimale tra gli obiettivi di crescita e di redditività e i rischi conseguenti,
mediante l’impiego efficace ed efficiente delle risorse60.
Più precisamente, lo schema proposto è di valido ausilio al management nel
conseguimento dei propri traguardi operativi di reporting e di compliance e
supporta l’azienda nell’evitare danni alla propria immagine, in quanto
consente ad essa:
• l’allineamento della strategia alla propensione al rischio (risk appetite).
Il management stabilisce il grado di accettabilità del rischio per valutare
le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i
meccanismi per gestire i rischi che ne derivano;
• il rafforzamento delle decisioni di risposta al rischio.
59
Cfr. S. Beretta, Valutazione dei rischi e controllo interno, Egea Edizioni, Milano, 2004.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 124.
60
35
2. Il contesto normativo
L’ERM fornisce una rigorosa metodologia per l’identificazione e la
selezione, tra più risposte al rischio alternative, di quella più adeguata
(evitarlo, ridurlo, condividerlo o accettarlo);
• la riduzione degli imprevisti e delle perdite conseguenti.
Accrescendo la propria capacità di identificare eventi potenziali,
valutare i relativi rischi e formulare risposte adeguate, le aziende
riducono la frequenza degli imprevisti, così come i costi e le relative
perdite;
• l’identificazione delle opportunità.
Analizzando tutti gli eventi potenziali, il management è in grado di
identificare e cogliere in maniera proattiva le opportunità che
emergono;
• il miglioramento dell’impiego di capitale.
L’acquisizione di affidabili informazioni sui rischi consente al
management di valutare efficacemente il fabbisogno finanziario
complessivo e di migliorare l’allocazione di capitale61.
L’“ERM – Integrated Framework” ci fornisce la definizione di gestione del
rischio aziendale da intendersi come un processo, posto in essere dal
consiglio di amministrazione, dai dirigenti e da altri operatori della
struttura aziendale, utilizzato per la formulazione delle strategie in tutta
l’organizzazione, progettato per individuare eventi potenziali che possono
influire sull’attività aziendale, per gestire il rischio entro i limiti del
“rischio accettabile” e per fornire una ragionevole sicurezza sul
conseguimento degli obiettivi aziendali62.
61
Committe of Sponsoring Organisations of the Treadway Commission (CoSo), Enterprise Risk
Management. Integrated Framework, settembre 2004; ed. it. a cura di AIIA e
PricewaterhouseCoopers, La gestione del rischio aziendale, Milano, Il Sole 24 ore, 2006.
62
Committe of Sponsoring Organisations of the Treadway Commission (CoSo), Enterprise Risk
Management. Integrated Framework, settembre 2004: “...a process, effected by an entity’s board
of directors, management and other personnel, applied in strategy setting and across the enterprise,
designed to identify potential events that may affect the entity, and manage risks to be within its
risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”
36
2. Il contesto normativo
Dall’analisi della definizione ne deriva che l’enterprise risk management è:
• un processo continuo che coinvolge tutta l’organizzazione e si compone
di un insieme di attività che devono essere pervasive ed integrate
all’interno del sistema di management esistente, in modo da evitare
ulteriori procedure parallele che comporterebbero un incremento dei
costi;
• svolto da persone che a tutti i livelli della struttura organizzativa
aziendale occupano posizioni che influenzano l’efficacia del processo e
che a loro volta ne sono condizionate. È importante, pertanto, una chiara
definizione delle politiche e delle linee di responsabilità da parte del
vertice aziendale, il quale deve inviare messaggi tone at the top che
conferiscano validità all’ERM e ne facciano comprendere l’importanza
a tutti i livelli organizzativi;
• utilizzato per la formulazione delle strategie: quindi oltre alla
definizione del profilo di rischio desiderato il vertice aziendale deve
modellare il contesto in cui si originano tali rischi e stabilire le politiche
di gestione degli stessi attraverso piani finanziari, disegni industriali,
attività di report, ecc.;
• applicato in tutta l’organizzazione, quindi nelle singole attività, ad ogni
livello e in ogni unità della struttura, coerentemente con una gestione del
rischio integrata che tenga conto dell’azienda nel suo complesso e che
bilanci i singoli orientamenti entro il profilo di rischio desiderato per
l’intera impresa. Esso infatti investe l’azienda a tutti i suoi livelli (Fig.
3):
-
a livello aziendale complessivo (entity level);
-
a livello di società controllate (subsidary);
-
divisioni aziendali (division);
-
unità operative (business unit);
37
2. Il contesto normativo
• progettato per l’identificazione di eventi potenziali, ovvero quegli eventi
che potrebbero influire sull’attività aziendale. Uno dei concetti chiave
dell’ERM è quello di risk appetite, inteso come la quantità di rischio che
un’organizzazione accetta volontariamente e consapevolmente nella sua
ricerca
di
creazione
del
valore;
infatti,
non
è
da
ritenersi
necessariamente sbagliata, per un’impresa, la scelta di operare in un
ambiente che sia a rischio elevato, anziché basso. È importante però, che
vi sia la consapevolezza del vertice nell’intraprendere tale scelta
strategica e che questo predisponga controlli e procedure adatti a
limitare l’impatto dei potenziali rischi.
Si tratta di un elemento che permea l’intera organizzazione, dalla
valutazione delle alternative strategiche, alla definizione di obiettivi
allineati alle scelte fatte e che, infine, deve condizionare la definizione
dei processi operativi di gestione dei rischi connessi a tali obiettivi63;
• in grado di fornire una ragionevole sicurezza al consiglio di
amministrazione e al management sul conseguimento degli obiettivi
aziendali. “Ragionevole” sicurezza poiché è implicito il fatto che gli
elementi di incertezza e di rischio si riferiscono ad un futuro impossibile
da predire con sicurezza assoluta: nella realtà i giudizi umani all’interno
dei processi decisionali possono essere sbagliati, le decisioni di risposta
ai rischi e di predisposizione dei controlli devono sempre tener conto del
rapporto tra costi e benefici, possono inoltre verificarsi disfunzioni
legate ad errori umani, possono manifestarsi collusioni tra due o più
persone e via dicendo;
• in grado di conseguire obiettivi, qui il riferimento è a una o più
categorie distinte. Gli obiettivi possono essere:
63
Cfr. CASANA G., “Accettabilità del rischio e raggiungimento degli obiettivi”, Internal Audit.
Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 16.
38
2. Il contesto normativo
-
strategici (strategic): ovvero quelli allineati e a supporto della
missione aziendale, sono di natura generale, vengono definiti ai
livelli più elevati della struttura organizzativa in un’ottica di lungo
periodo;
-
operativi (operations): riguardano l’impiego efficace ed efficiente
delle risorse aziendali (possono essere dei più svariati ad esempio:
mantenere determinati livelli di turnover del personale, garantirne la
sua formazione, oppure obiettivi inerenti l’approvvigionamento delle
materie prime, ecc.);
-
di reporting: riguardano l’affidabilità delle informazioni fornite dal
reporting;
-
di conformità (compliance): riguardano il rispetto di leggi e
regolamenti in vigore, è importante pertanto la diffusione a tutti i
livelli della struttura aziendale di una cosiddetta cultura del controllo
orientata all’osservanza delle norme, delle direttive aziendali e delle
policies interne.
39
2. Il contesto normativo
om
pl
ia
nc
e
ti
ng
C
R
ep
or
na
l
ra
ti
o
O
pe
St
ra
te
gi
c
Le dimensioni dell’enterprise risk management
Event Identification
Risk Assessment
Risk Response
ENTITY-LEVEL
Objective Setting
SUBSIDIARY
BUSINESS UNIT
DIVISION
Internal Environment
Control Activities
Information & Comunications
Monitoring
Fig. 3
L’ERM è costituito da otto componenti interconnesse che derivano dal
modo in cui il management gestisce l’azienda e sono integrate con i
processi operativi.
Le sue dimensioni di analisi e quindi il rapporto tra obiettivi e componenti,
possono essere rappresentati graficamente in un cubo che mostra
chiaramente l’estrema flessibilità del modello. Esso infatti risulta
applicabile sia all’intero processo di gestione del rischio aziendale, sia ad
ogni categoria di obiettivi separatamente, alle componenti, alle singole
business unit, così come alle singole sub-unità di queste ultime (vedi Figura
3).
L’approccio ERM è quello di un modello olistico secondo il quale
l’efficacia del sistema dipende sia dal corretto funzionamento delle sue
componenti, sia dalla qualità delle relazioni che si instaurano tra di esse.
40
2. Il contesto normativo
Il modello illustrato in figura non sembrerebbe presentare diverse analogie
con lo schema a cui fa riferimento l’“Internal Control – Integrated
Framework” del 1992; in realtà, lo schema ERM di gestione del rischio
aziendale incorpora il controllo interno, fornendo al management uno
strumento più completo.
È importante che il management e gli internal auditor comprendano che
l’ERM non è semplicemente una revisione dell’“Internal Control –
Integrated
Framework”:
un’organizzazione
utilizzerà
l’ERM
per
identificare e gestire i rischi che la circondano e minacciano, mentre userà il
modello “Internal Control” per comprendere e gestire i controlli interni
quale parte integrante dell’operatività aziendale64.
Più precisamente l’ERM viene alimentato dal processo di pianificazione
strategica, che definisce la missione e gli obiettivi aziendali (objective
settings), e trova supporto nell’ambiente interno, nelle attività di controllo,
nei sistemi di informazione e comunicazione e nelle attività di monitoraggio
continuo del sistema
Risulta quindi possibile analizzare le componenti che costituiscono il
processo di risk management che si articola nelle tre fasi di:
-
identificazione degli eventi (event identifications);
-
valutazione del rischio (risk assessment);
-
risposta al rischio (risk response)65;
scorporandole da quelle invece caratteristiche anche dei sistemi di controllo
che rivestono un ruolo di supporto all’interno del contesto:
64
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 127.
65
Nel caso in cui la risposta al rischio sia orientata ad evitare o ridurre il rischio occorrerà
valutare l’adeguatezza e l’efficacia del sistema di controllo interno, che deve fornire
ragionevole sicurezza sul raggiungimento degli obiettivi aziendali.
41
2. Il contesto normativo
-
ambiente interno (internal environment);
-
attività di controllo (control activities);
-
sistemi
di
informazione
e
comunicazione
(informations
&
comunications);
-
monitoraggio (monitoring).
La dinamica del sistema di enterprise risk management
Definizione degli obiettivi
Processo di gestione dei
rischi
Identificazione degli eventi
Attività di controllo
Risk Assessment
Informazione e comunicazione
Risposta al rischio
Monitoraggio
Sistema di controllo del processo
di risk management
Ambiente interno
Sistema di controllo interno per la
risposta al rischio
Strategie: evitare o ridurre
Ambiente interno
Attività di controllo
Informazione e comunicazione
Monitoraggio
Fig. 4
La figura 466 sintetizza la relazione tra sistema di controllo interno e
gestione dei rischi nell’ambito del più ampio processo di risk management.
66
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 128.
42
2. Il contesto normativo
Qui di seguito illustriamo più dettagliatamente le otto componenti
dell’ERM tenendo presente che il modello non si articola secondo un
procedimento strettamente sequenziale ma si configura come un processo
interattivo e multidirezionale in cui ciascuna componente può influire su
un’altra, indipendentemente dalla sequenza in cui queste sono collocate.
1. definizione degli obiettivi (objective setting): l’ERM assicura che il
management abbia attivato un adeguato processo di definizione degli
obiettivi, di business e di governo, coerentemente con la mission
aziendale e in linea con i livelli di rischio accettabile (risk appetite);
2. identificazione degli eventi interni ed esterni all’organizzazione (event
identification): è opportuno che questi siano identificati e distinti in
opportunità (eventi con impatto positivo) e minacce (eventi con impatto
negativo); le prime devono essere considerate nella determinazione del
processo di pianificazione strategica che eventualmente andrà ridefinito,
le seconde dovranno essere opportunamente analizzate al fine di
formulare idonee strategie per un’adeguata gestione delle stesse;
3. valutazione del rischio o risk assessment: dopo una sua identificazione i
rischi devono essere valutati in termini di “significatività” in modo tale
da far sì che il management riponga la propria attenzione sugli stessi
secondo una scala di priorità a seconda della loro probabilità di futura
manifestazione e del loro impatto. I rischi vengono valutati in termini di
“inerenza” (rischio in assenza di qualsiasi intervento) e di “residualità”
(rischio
residuo
dopo
l’attuazione
di
interventi
per
il
suo
ridimensionamento);
4. risposta al rischio (risk response): una volta che sono stati selezionati i
rischi significativi, il management procede alla valutazione delle
risposte alternative relative a ciascun rischio emerso. È possibile infatti
avviare interventi per evitarlo oppure procedere ad una sua riduzione, a
una sua accettazione o ad una sua condivisione, con l’obiettivo di
43
2. Il contesto normativo
allineare i rischi individuati con i livelli di risk tolerance e di risk
appetite;
5. ambiente interno (internal environment): è rappresentato dall’ambiente
organizzativo, da cui si comprende la filosofia del vertice aziendale
nella gestione del rischio e nella definizione dei suoi livelli di
accettabilità, la cultura del rischio e il comportamento delle persone
operanti a tutti i livelli della struttura organizzativa, lo stile manageriale,
i valori etici, le competenze, la definizione di ambiti di autorità e di
responsabilità, l’esistenza di adeguate politiche e procedure;
6. attività di controllo (control activities): è necessaria la definizione e
l’implementazione di politiche e procedure che assicurano che le
risposte al rischio siano fornite in maniera efficace attraverso la
predisposizione di efficienti ed efficaci meccanismi di controllo, ovvero
soluzioni organizzative volte al contenimento dei rischi operativi (ad
esempio, il sistema autorizzativo) e all’identificazione dei rischi effettivi
(ad esempio, sistemi che individuano le anomalie);
7. sistemi di informazione e comunicazione (information & comunication):
i sistemi informativi devono garantire l’identificazione, la raccolta e la
diffusione di informazioni e di una documentazione pertinenti in forme
e tempi che consentano ai diversi operatori aziendali il pieno
adempimento delle proprie responsabilità; per quanto riguarda le
comunicazioni, queste devono essere efficaci e fluire attraverso la
struttura organizzativa in tutte le direzioni, verso il basso, verso l’alto e
trasversalmente;
8. monitoraggio (monitoring) continuo dell’intero processo dell’ERM da
parte del management, al fine di un suo efficace e corretto
funzionamento e per garantirne l’adeguatezza nel processo di gestione
dei rischi aziendali, in relazione alle ripetute evoluzioni del contesto
interno ed esterno all’impresa.
44
2. Il contesto normativo
Le otto componenti appena illustrate non possono funzionare tutte in
maniera identica in qualsiasi organizzazione, è necessario, pertanto, tener
conto della specifica realtà aziendale con le sue peculiarità interne e il
contesto esterno in cui questa si colloca.
A seconda della dimensione dell’impresa potremo avere l’applicazione di
un modello ERM meno formale, questo accade tipicamente nelle imprese di
piccola e media dimensione, è importante comunque ai fini dell’efficacia
del processo di risk management che ciascuna delle componenti sia
presente e funzioni correttamente.
Possiamo
concludere
precisando
che
la
responsabilità
primaria
dell’implementazione del processo ERM non spetta alla Funzione di
Internal Audit, che comunque gioca un ruolo di primaria importanza in tale
processo, bensì all’alta direzione che ne ha la responsabilità ultima e ne
assume la paternità. Il consiglio di amministrazione svolge un importante
ruolo di supervisione del processo di gestione del rischio aziendale e
contribuisce a determinare il livello di risk appetite, il management, infatti,
promuove la filosofia di gestione del rischio e l’osservanza del livello di
rischio accettabile e gestisce i rischi relativamente alla sua sfera di
responsabilità coerentemente con i livelli di rischio tollerato (risk
tolerance)67.
67
Il ruolo caratteristico dell’internal auditing nell’ambito del modello ERM consiste nello
svolgimento per il Board, di attività di assurance sull’efficacia del processo ERM
nell’organizzazione, allo scopo di garantire che i principali rischi aziendali vengano gestiti
adeguatamente e che il sistema di controllo interno funzioni in maniera efficace.
Nel determinare il ruolo dell’internal auditing, il Preposto al controllo interno deve tener conto di
due fattori essenziali: accertare se l’attività comprometta l’indipendenza e l’obiettività degli
internal auditor e verificare con quale grado di probabilità essa possa migliorare i processi di
gestione dei rischi, di controllo e di governance dell’organizzazione.
Il Position Paper dell’IIA specifica le funzioni che l’internal auditor deve svolgere e quelle dalle
quali, invece, deve astenersi nell’ambito del processo di ERM. In particolare, le principali attività
svolte sono:
•
•
•
•
•
Attività di assurance sui processi di gestione dei rischi aziendali.
Attività di assurance sul processo di valutazione dei rischi.
Valutare i processi di gestione dei rischi aziendali.
Valutare il sistema di reporting dei rischi principali.
Attività di review sulla gestione dei principali rischi aziendali.
45
2. Il contesto normativo
6. IL CONTESTO NORMATIVO ITALIANO
6.1. LA NORMATIVA SOCIETARIA
La riforma del diritto societario e i nuovi dettami del Codice Civile (D.Lgs.
6/2003 e successivi decreti correttivi) hanno previsto una riforma organica
della disciplina concernente le società di capitali (e le società cooperative)
tanto che oggi è possibile parlare di un disegno di corporate governance
anche per tutte quelle società che, sebbene non quotate, adottino come
forma giuridica quella di società per azioni68.
La “Riforma organica della disciplina delle società di capitali e società
cooperative” ha ridisegnato il ruolo ed i compiti degli organi societari
Tra le legittime attività dell’internal auditing nell’ERM che necessitano di maggiore cautela si
annoverano:
•
•
•
•
•
•
•
Facilitare l’individuazione e la valutazione dei rischi.
Assistere il management nell’affrontare i rischi.
Coordinare le attività nell’ambito del processo ERM.
Integrare il sistema di reporting dei rischi.
Mantenere e sviluppare la struttura del modello ERM.
Favorire l’implementazione del modello ERM
Sviluppare la strategia di gestione dei rischi per l’approvazione del Board.
Infine, tra le attività che l’internal auditor non deve svolgere vi sono:
•
•
•
•
•
•
Determinare il grado di propensione al rischio.
Imporre l’adozione di processi di gestione dei rischi.
Svolgere attività di “management assurance” su singoli rischi.
Prendere decisioni riguardo alle azioni da intraprendere per fronteggiare i rischi.
Attuare misure di contenimento del rischio per conto del management.
Assumere responsabilità nella gestione dei rischi.
Le organizzazioni dovrebbero essere pienamente consapevoli del fatto che la gestione dei rischi
resta di esclusiva responsabilità del management. Gli internal auditor dovrebbero fornire consigli e
discutere criticamente o sostenere le decisioni assunte dal management riguardo ai rischi; non
dovrebbero invece prendere decisioni sulla loro gestione. La natura della responsabilità dovrebbe
essere precisata nel Mandato di audit e approvata dall’Audit Committee.
Cfr. IIA, “Il ruolo dell’Internal Auditing nell’Enterprise-wide Risk Management”, Settembre 2004.
68
Negli anni precedenti la riforma degli aspetti in tema di corporate governance riguarda le
imprese emittenti titoli quotati per cui veniva applicata la normativa disciplinata dal TUF e i
relativi regolamenti attuativi. Tali imprese infatti hanno visto negli anni modificare e perfezionare
il loro sistema di amministrazione e controllo.
46
2. Il contesto normativo
amministrativi e di controllo, caratterizzandoli e differenziandoli in
relazione alle quattro funzioni di base individuate dalla riforma stessa:
l’amministrazione, il controllo sulla gestione, l’approvazione del bilancio
ed il controllo contabile.
Per quanto riguarda le società per azioni il legislatore ha ritenuto opportuno
individuare elementi distintivi riconducibili alle modalità di circolazione del
capitale, da cui deriva una suddivisione tra:
-
società che non fanno ricorso al mercato del capitale di rischio
(cosiddette chiuse);
-
società che fanno ricorso al mercato del capitale di rischio, ulteriormente
distinguibili in società emittenti azioni quotate in mercati regolamentati
e società emittenti strumenti finanziari diffusi tra il pubblico in misura
rilevante (art 2325 bis c.c.).
Le disposizioni del Codice civile si riferiscono a tutte le società per azioni e
per quelle facenti ricorso al mercato del capitale di rischio sono previste
disposizioni legislative aggiuntive, giustificate dalla volontà di garantire
una maggiore salvaguardia ai creditori, ai terzi e agli investitori (effettivi o
potenziali), riconducibili con le disposizioni del TUF e le integrazioni
fornite attraverso la normativa secondaria di settore.
Con il TUF si è posta particolare attenzione sull’effettiva tutela delle
minoranze azionarie, rivitalizzando il loro ruolo e rafforzando le difese
endosocietarie, attraverso una più marcata specializzazione dei ruoli dei
soggetti deputati ai controlli societari.
Le principali direttrici attraverso il quale il TUF è intervenuto riguardano69:
-
il rafforzamento delle minoranze azionarie;
69
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 54.
47
2. Il contesto normativo
-
il rafforzamento dei poteri di vigilanza e di intervento della CONSOB
anche nei confronti del collegio sindacale;
-
l’introduzione di una netta separazione di ruoli tra collegio sindacale e
società di revisione (in relazione a quest’ultimo aspetto il TUF ha
attribuito al collegio sindacale il controllo sull’amministrazione, e alla
società di revisione, in via esclusiva, il controllo contabile, puntando ad
una riqualificazione del ruolo e a un rafforzamento dei poteri
dell’organo di controllo interno, con un aumento di efficacia e di
efficienza del controllo stesso).
I principi ispiratori della riforma del diritto societario che hanno avuto un
rilevante impatto nella ridefinizione delle strutture di governance delle
società per azioni e delle attività di controllo su di esse sono70:
-
la creazione di una netta distinzione tra “soggetti gestori” e “soggetti
controllori”, mediante la puntuale individuazione dei ruoli e delle
funzioni effettivamente svolte dai diversi soggetti coinvolti nelle
strutture di governance;
-
il ruolo affidato all’autoregolamentazione. Sono stati previsti ampi spazi
per le forme di autoregolamentazione che investono l’attività sociale,
già a partire dalla scelta dei diversi modelli di amministrazione e
controllo.
In particolare, è stato previsto (artt. 2409 octies e 2409 sexiesdecies c.c.)
che le società possono scegliere, tramite previsione statutaria, il proprio
modello organizzativo, optando quindi per il modello tradizionale (o
ordinario) con un consiglio di amministrazione come organo di gestione e il
collegio sindacale con funzioni di controllo di legalità e di corretta
70
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 54-55.
48
2. Il contesto normativo
amministrazione, o un modello dualistico con rispettivamente un consiglio
di gestione ed un consiglio di sorveglianza oppure un modello monistico
con un cda ed un comitato per il controllo sulla gestione (nominato stavolta
nell’ambito del cda anziché, come invece è previsto per gli organi di
controllo degli altri due modelli, nominati dall’assemblea dei soci)71. Tale
scelta si pone l’obiettivo di favorire la competitività delle imprese, sia nel
contesto nazionale che internazionale.
Indipendentemente dal tipo di modello adottato la riforma ha delineato
modelli di governance orientati a una ripartizione delle competenze tra gli
organi di controllo e gli organi di amministrazione.
Nelle società per azioni, quindi, saranno le scelte imprenditoriali a definire
l’architettura dei controlli e quindi i soggetti incaricati dello svolgimento di
funzioni di controllo contabile (revisore esterno “persona fisica”, “società di
revisione” oppure revisore “interno” alla società) e i soggetti cui competono
funzioni di controllo sull’attività amministrativa e gestionale (collegio
sindacale, Comitato per il controllo sulla gestione, Consiglio di
sorveglianza)72.
Va precisato che la riforma, pur trattando tematiche inerenti alle attività di
controllo societario, non ha affrontato il tema del ruolo della Funzione di
Internal Audit. Ciò era del resto prevedibile, visto che, nel contesto italiano,
la scelta dell’istituzione di tale Funzione non risulta ancora un obbligo di
legge, ma è demandata alla volontà della singola società, pur essendo
71
La scelta del modello di amministrazione e controllo deve essere espressa nello statuto
societario, che, se nulla dispone, rende automaticamente applicabile il modello tradizionale,
affidando così i controlli sulla corretta gestione d’impresa al collegio sindacale e i controlli
contabili a un revisore esterno (sia esso persona fisica o società di revisione). Una previsione
statutaria può prevedere che, per le società che non fanno ricorso al mercato del capitale di rischio
e che non siano tenute alla redazione del bilancio consolidato, il controllo contabile può essere
esercitato dal collegio sindacale, costituito in tal caso da revisori contabili (art 2409 bis c.c.).
72
Il controllo contabile sulla società è esercitato prevalentemente da un revisore esterno (persona
fisica o società di revisione) che dovrà essere iscritta al Registro dei revisori contabili. Nelle
società che fanno ricorso al mercato del capitale di rischio il controllo contabile è esercitato da una
società di revisione iscritta nell’Albo CONSOB e soggetta a vigilanza da parte della stessa.
49
2. Il contesto normativo
comunque fortemente consigliata73 (soprattutto per le società quotate, anche
alla luce di quanto previsto dal Codice di Autodisciplina di Borsa Italiana
Spa).
6.2. IL D. LGS 58/1998, TESTO UNICO DELLA FINANZA
Il “Testo Unico delle disposizioni in materia di intermediazione finanziaria”
denominato anche Testo Unico della Finanza o Legge Draghi, affronta il
tema del controllo interno in modo rilevante, relativamente ai soggetti
italiani o esteri che emettono strumenti finanziari quotati nei mercati
regolamentati italiani.
L’obiettivo è quello di garantire la tutela degli investitori e il buon
funzionamento del sistema finanziario, attraverso il rispetto dei principi di
trasparenza e correttezza dei comportamenti.
All’art. 21 il TUF dispone che “nella prestazione di servizi di investimento
e accessori i soggetti abilitati devono: [...] disporre di risorse e procedure,
anche di controllo interno, idonee ad assicurare l’efficiente svolgimento dei
servizi”.
Il Testo Unico oltre a disciplinare la materia dell’intermediazione
finanziaria, la prestazione dei servizi di investimento e la disciplina dei
mercati finanziari, dedica la Parte IV anche alla disciplina degli emittenti
quotati, per i quali introduce importanti novità e principi in materia di
corporate governance.
In particolare, all’art 150 il TUF prevede che il collegio sindacale e la
società di revisione si scambino tempestivamente i dati e le informazioni
rilevanti per l’espletamento dei rispettivi compiti. Inoltre, coloro che sono
73
Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit.
Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 46.
50
2. Il contesto normativo
preposti al controllo interno riferiscono anche al collegio sindacale di
propria iniziativa o su richiesta anche di uno solo dei sindaci.
Da qui si comprende come il D. Lgs. 58/1998, nella definizione del sistema
di
governance
per i soggetti
suddetti,
attribuisca
un’importanza
fondamentale al costante scambio di informazioni tra tutti gli organi sociali
preposti al controllo, ovvero tra amministratori, collegio sindacale, società
di revisione e Preposto al controllo interno.
Con il TUF, inoltre, viene introdotto per la prima volta nella legislazione
italiana l’espressione sistema di controllo interno, pur in assenza di una
definizione di tale concetto e di una disciplina dello stesso.
Il concetto di controllo interno viene legato all’attività del collegio
sindacale, infatti l’art. 149 dispone che spetta al collegio sindacale vigilare
[...] sull’adeguatezza della struttura organizzativa della società per gli
aspetti di competenza del sistema di controllo interno e del sistema
amministrativo contabile nonché sull’affidabilità di quest’ultimo nel
rappresentare correttamente i fatti di gestione.
Il legislatore attraverso il TUF pone le basi affinché la regolamentazione di
settore e l’autoregolamentazione dei singoli emittenti quotati fissino il
quadro d’insieme delle regole concernenti il buon governo societario. È
quindi attraverso importanti disposizioni attuative (tra cui il Regolamento
emittenti della CONSOB, il Codice di Autodisciplina di Borsa Italiana, che
vedremo in seguito e le linee guida fornite dalle associazioni di categoria)
che vengono introdotti e compiutamente disciplinati i capisaldi della
governance degli emittenti quotati e del loro sistema di controllo interno.
Il riferimento del D. Lgs. 58/1998 alla normazione secondaria risulta in
generale molto ricorrente. In tale ambito molti dei principi che regolano il
sistema di corporate governance trovano origine nella regolamentazione
primaria da cui poi scaturisce una regolamentazione di settore deputata ad
emanare norme puntuali e in linea con i sistemi di mercato, trovando,
infine, concreta applicazione attraverso linee guida e codici di condotta, che
51
2. Il contesto normativo
in via autoregolamentare, costituiscono lo scheletro su cui poggia l’insieme
delle regole di corporate governance74.
6.3. LA LEGGE SULLA TUTELA DEL RISPARMIO (LEGGE 28 DICEMBRE 2005, N.
262)
La legge 262/2005 “Disposizioni per la tutela del risparmio e la disciplina
dei mercati finanziari” ha introdotto numerose novità che hanno comportato
modifiche al Testo Unico sulla Finanza, al Testo Unico Bancario e al
Codice Civile.
Tale disposizione si configura come il frutto di un’indagine conoscitiva
avviata dal Parlamento che ha individuato ed analizzato gli elementi critici
nei rapporti tra i vari soggetti pubblici e privati che interagiscono nel
sistema economico-finanziario.
In particolare, riguardo alla disciplina delle società per azioni, l’indagine ha
evidenziato i limiti di un assetto di governo societario troppo incentrato
sulla regolamentazione dei rapporti tra azionisti e amministratori, che ha
determinato un sistema non in grado di garantire un’autentica dialettica
interna tra il socio di controllo e gli altri detentori di interessi, quali
azionisti di minoranza, investitori e risparmiatori, ritenuta indispensabile
per il buon andamento dell’impresa75.
La “Legge sul Risparmio” è stata considerata per molti aspetti la risposta
italiana al Sarbanes Oxley Act americano, sia per i motivi che ne hanno
ispirato la realizzazione (tra cui le crisi finanziarie di importanti emittenti
quotati e il delicato rapporto tra questi, i risparmiatori e gli investitori
74
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 58.
75
Cfr. RINALDI A., “Riforma del risparmio, analisi delle implicazioni e dell’impatto sui sistemi
di governo aziendale”, Internal Audit. Corporate Governance, Risk Management e Controllo
Interno. Mag-Ago 2006 p. 16.
52
2. Il contesto normativo
istituzionali), sia per le disposizioni contenute. Numerose sono le novità
introdotte in tema di governance societaria che hanno avuto impatto sulle
società rientranti nell’ambito di applicazione del TUF, tra cui in
particolare76:
-
l’introduzione di particolari tutele delle minoranze all’interno dei
Consigli di Amministrazione delle società e dei Collegi Sindacali;
-
una maggiore trasparenza e controllo sulle società estere controllate,
controllanti o collegate di società italiane quotate o con strumenti
finanziari diffusi fra il pubblico, con sede in quei paesi dove non è
sufficientemente tutelata la trasparenza societaria;
-
obblighi in materia di informativa annuale sull’adesione a codici di
comportamento77;
-
nuovi obblighi in materia di informativa societaria, con particolare
riguardo all’istituzione di una nuova figura, il Dirigente preposto alla
redazione
dei
documenti
contabili
e
societari,
deputata
alla
predisposizione di adeguate procedure amministrative e contabili per la
redazione dei bilanci di esercizio e consolidato, se previsto, e con
l’obbligo di fornire nuove attestazioni sull’adeguatezza e sull’effettiva
applicazione di tali procedure, da allegare ai bilanci78;
76
Cfr. “Notizie dall’Italia. Informazione e novità”, Internal Audit. Corporate Governance, Risk
Management e Controllo Interno. Gen-Apr 2006 p. 53.
77
In merito all’adesione ai codici di comportamento redatti da società di gestione dei mercati
regolamentati o da associazioni di categoria, le società sono chiamate a redigere annualmente una
dichiarazione di adesione a tali codici. Nel redigere la dichiarazione le società devono anche
motivare le ragioni di eventuali inosservanze o della mancata applicazione delle disposizioni
contenute nei codici stessi.
78
L’art. 154 bis 1° comma del TUF, dispone che lo statuto preveda i requisiti di professionalità e
le modalità di nomina di un dirigente preposto alla redazione dei documenti contabili societari,
previo parere obbligatorio dell’organo di controllo.
Le principali funzioni che gli sono state attribuite dalla normativa sono:
-
dichiarare per iscritto (con firma congiunta a quella del Direttore Generale) la veridicità dei
documenti contabili societari obbligatori per legge o diffusi al mercato contenenti
informazioni sulla situazione economica, finanziaria e patrimoniale della società (art 154 bis
2° c. del TUF);
53
2. Il contesto normativo
-
nuove disposizioni in materia di revisione dei conti e incompatibilità
con altri servizi di consulenza resi dalla società di revisione e dalle
entità appartenenti alla rete della medesima.
6.4.
IL D. LGS. 231/2001: LA RESPONSABILITÀ AMMINISTRATIVA DELLE
PERSONE GIURIDICHE E LA COMPATIBILITÀ CON L’ATTIVITÀ DI INTERNAL
AUDITING
Come già anticipato nelle pagine precedenti, l’impianto normativo del D.
Lgs. 231/2001 va ricondotto al Foreign Corrupt Practices Act statunitense,
di cui per certi versi rappresenta una trasposizione nazionale79.
Il
decreto
legislativo
in
questione
riconosce
una
responsabilità
amministrativa di tipo parapenale in capo all’ente, persona giuridica, se in
esso viene accertata la commissione di un reato nell’interesse o a vantaggio
dell’ente stesso da parte di un soggetto che riveste “funzioni di
rappresentanza, di amministrazione o di direzione dell’ente o di una sua
unità organizzativa dotata di autonomia finanziaria e funzionale80”, o da
parte di un soggetto che eserciti di fatto funzioni di gestione e controllo per
l’ente stesso.
Le tipologie di reato previste dal D. Lgs. 231/2001 e successive integrazioni
possono essere sintetizzate nelle seguenti:
-
istituire adeguate procedure amministrative e contabili per la predisposizione del bilancio di
esercizio e consolidato, nonché di ogni altra comunicazione di carattere finanziario (art 154
bis 3° c. del TUF);
attestare, con apposita relazione (da redigere unitamente all’Organo Amministrativo) da
allegare al bilancio di esercizio e consolidato l’adeguatezza e l’effettiva applicazione delle
procedure, nonché la corrispondenza del bilancio alle scritture contabili (art 154 bis 4° c. del
TUF).
La sua istituzione è obbligatoria per le società quotate in mercati regolamentati italiani o dei Paesi
membri dell’UE, mentre rimane volontaria relativamente alle società non quotate.
79
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 59.
80
Cfr. Art. 5 “Responsabilità dell’ente”, D. Lgs. 231/2001.
54
2. Il contesto normativo
-
delitti contro la pubblica amministrazione (artt. 24-25), ovvero
corruzione di pubblico ufficiale, concussione, malversazione, truffa,
frode informatica a danno dello Stato o di altro Ente pubblico;
-
delitti contro la fede pubblica (art. 25 bis), ovvero falsità in monete, in
carte di pubblico credito e in valori di bollo;
-
reati societari (art. 25 ter), ovvero false comunicazioni sociali, false
comunicazioni sociali in danno dei soci o dei creditori, falso in
prospetto,
impedito
controllo,
illecita
influenza
sull’assemblea,
aggiotaggio, ostacolo all’esercizio delle funzioni delle autorità
pubbliche di vigilanza, illecite operazioni sulle azioni o quote sociali o
della società controllante, operazioni in pregiudizio dei creditori;
-
delitti in materia di terrorismo e di eversione dell’ordine democratico
(art. 25 quater);
-
delitti contro la personalità individuale (art. 25 quinques).
Tale decreto ha radicalmente capovolto uno dei capisaldi del diritto penale
nazionale, ovvero il principio secondo cui “societas delinquere non
potest”81, avviando, pertanto, una profonda rivisitazione in termini
organizzativi e procedurali in tutti gli enti tenuti ad osservare le disposizioni
in esso contenute.
Affinché l’impresa risulti immune dalla possibile applicazione di una
misura cautelare (o di una delle sanzioni previste dal D. Lgs. 231/2001),
essa deve “adottare ed efficacemente attuare” una serie di prescrizioni volte
a prevenire il rischio della commissione dei reati precedentemente
summenzionati.
In particolare, ampia rilevanza è stata attribuita ai modelli organizzativi
(cosiddetti “salvaimprese”) che costituiscono un’esimente nel caso in cui si
manifestino i reati elencati dal decreto e che rappresentano, soprattutto, la
81
Cfr. SACRESTANO A., “Dipendenti, reati da prevenire.”, Il sole 24 ore. Norme e tributi., Lun.
14 Maggio 2007 – n. 131.
55
2. Il contesto normativo
base di un sistema strutturato e organico volto a prevenire la commissione
di tali reati82.
L’attenzione verso tali modelli, condizionata anche da una rilevante
disciplina sanzionatoria, ha chiaramente comportato una puntuale
riorganizzazione e formalizzazione di prassi operative e consuetudini a
beneficio dell’intera organizzazione aziendale.
Una volta messo in atto un modello di organizzazione e gestione idoneo a
prevenire le fattispecie delittuose integrate e istituito un “Organismo di
vigilanza ex 231/2001”, l’ente sarà esente da responsabilità qualora provi
che le persone responsabili abbiano commesso il fatto integrante il reato
eludendo fraudolentemente i modelli predisposti e che l’organismo deputato
alla vigilanza su di essi non abbia omesso di vigilare o non abbia vigilato in
maniera insufficiente.
Questi modelli, la cui adozione – va ricordato – costituisce per la società
non un obbligo, ma una mera facoltà83, si presentano sotto molteplici aspetti
affini ai sistemi di controllo interno; d’altro canto, l’attività di vigilanza a
cui sono soggetti sembra poter essere ricompresa tra quelle di competenza
della Funzione di Internal Audit che potrebbe rappresentare la figura ideale
di organo di vigilanza o comunque esercitare un supporto alle attività
inerenti.
In particolare, ai sensi dell’art 6 2° comma, sono specificate le singole
funzioni che il modello in questione deve essere capace di espletare84,
82
Dispone infatti il comma 1° dell’art. 6, D. Lgs. 231/2001, che, l’ente può essere esonerato dalla
responsabilità qualora dimostri in primo luogo che, prima della commissione del fatto, l’organo
dirigente che ne è al vertice abbia adottato ed efficacemente attuato dei modelli di organizzazione
e gestione idonei a prevenire le fattispecie delittuose integrate. Deve essere poi previsto sempre
dall’organo dirigente un organismo dotato di autonomi poteri di iniziativa e di controllo che abbia
il compito di vigilare sull’osservanza dei modelli adottati e di provvedere al loro aggiornamento.
83
Cfr. MAGNATE P., “Modelli per la prevenzione della responsabilità delle imprese”,
Contabilità, finanza e controllo, n. 5/2005, p. 452, ove si rileva la natura premiale alla base della
disciplina scaturente dagli artt. 6-7 del decreto in questione.
84
L’art 6 2° c. dispone che i modelli di organizzazione e di gestione idonei a prevenire reati
devono rispondere alle seguenti esigenze:
a) individuare le attività nell’ambito delle quali possono essere commessi i reati;
b) prevedere protocolli in base ai quali programmare la formazione e l’attuazione delle decisioni
relative ai reati da prevenire;
56
2. Il contesto normativo
queste devono essere poste in essere da una struttura che sia idonea, che
abbia perciò una collocazione stabile nelle infrastrutture aziendali, che
impieghi personale, che operi in maniera procedimentalizzata e continua85.
A tal riguardo la Funzione di Internal Audit potrebbe sembrare
assolutamente idonea con quanto fin qui detto, poiché essa risponde ai
requisiti richiesti dal legislatore di autonomia operativa, continuità di
azione, competenza tecnica, integrazione nella struttura organizzativa,
accesso alle informazioni ed indipendenza.
In aggiunta, il modello prescritto sembra compatibile con il sistema di
controllo interno descritto in economia aziendale e ripreso dalle normative
regolamentari cui sono soggette le società operanti – in veste di intermediari
o in quanto emittenti – nei mercati finanziari, rientrando quindi nel campo
di applicazione della Funzione di Internal Audit.
Inoltre, prendendo in considerazione la funzione precipua cui sono volti i
modelli, ovvero l’individuazione e la prevenzione di reati, è possibile
constatare come essa, in sostanza si concretizzi in un’attività di controllo
volta ad assicurare il rispetto di alcune norme di carattere penale, in capo ai
soggetti che sono parte integrante della struttura aziendale.
Più precisamente, essa appare assimilabile ad un’attività di individuazione e
gestione del rischio, ove il rischio in questione è rappresentato dalla
mancata compliance ad una normativa vincolante, che può tradursi in un
costo rilevante per l’impresa o addirittura nello stesso venir meno di alcune
sue attività produttive (ad esempio sanzioni interdittive quali il divieto di
contrattare con la Pubblica Amministrazione, oppure la revoca di una
concessione, ecc.).
c)
individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la
commissione dei reati;
d) prevedere obblighi di informazione verso l’organismo deputati a vigilare sul funzionamento e
l’osservanza dei modelli stessi;
e) introdurre un sistema disciplinare tramite il quale sanzionare il mancato rispetto delle misure
che sono indicate nel modello.
85
Cfr. CARNA A. R. “La responsabilità amministrativa degli enti. Aspetti economico aziendali.”,
Rivista italiana di ragioneria e di economia aziendale, Lug-Ago 2004, p 446.
57
2. Il contesto normativo
Se procediamo ad esaminare le singole attività che l’art. 6 2° c. attribuisce
al modello organizzativo, vediamo come esse corrispondono ai diversi
momenti che scandiscono un ciclo di risk assessment, quindi di una delle
principali attività di competenza del personale addetto al controllo interno86:
-
Innanzitutto è prevista, all’art. 6, 2° c. lett. a, una fase in cui, esaminate
le caratteristiche delle attività d’impresa, sono identificate le aree di
rischio, cioè quelle in cui i reati in questione hanno maggiore probabilità
di prodursi. Nel formulare questo giudizio nella loro attività
criminogena si dovrà tenere conto anche delle attività di controllo
interno che sono operanti nelle singole aree.
-
In secondo luogo, all’art. 6, 2° c. lett. b, è disposto che siano elaborate
delle normative interne atte ad imprimere il carattere di continuità e
regolarità a tale attività di monitoraggio ed alla progettazione di misure
volte a contrastare i rischi emersi. È questa la fase in cui sono ideate e
pianificate le contromisure volte a contenere i rischi preventivati, le
quali dovranno facilitare la documentazione delle attività aziendali,
apportare coerenza nei processi gestionali e nella ripartizione dei poteri
e delle competenze, nonché disporre uno svolgimento dei controlli
regolare e procedurale.
-
Questi interventi correttivi interesseranno per forza anche la gestione
delle risorse, anche solo per assicurare all’attività di individuazione e
gestione del rischio gli strumenti necessari (art. 6, 2° c. lett.c).
-
Infine, ai sensi del comma 2° dell’art. 6 lett. d, deve essere predisposto
un apposito sistema disciplinare che consenta di intervenire sanzionando
chi trasgredisca alle prescrizioni elaborate. A tal fine, devono essere
adottai dei protocolli interni che, oltre a un sistema di sanzioni coerente
e adeguato, contengano la disciplina delle procedure da seguire
86
Cfr. MAGNATE P. “Modelli per la prevenzione della responsabilità delle imprese”, Contabilità,
finanza e controllo, n. 5/2005.
58
2. Il contesto normativo
nell’esecuzione di determinate attività aziendali e prevedano una serie di
indicatori di pericolo, la cui verificazione dia impulso ai controlli o alla
diretta irrogazione delle sanzioni.
Se i modelli da adottare possono essere fatti rientrare nel sistema di
controllo interno, è parimenti possibile riscontrare evidenti affinità tra
l’organismo preposto alla vigilanza su tali modelli e la Funzione di Internal
Audit. Tale corrispondenza è evidente con riferimento alle attività sottese
alla funzione di cui l’organismo è investito, queste consistono in un tipico
monitoraggio sulla compliance, quale quelli di competenza dei revisori
interni, che nel momento in cui investono tutto il sistema dei controlli
interni, possono benissimo includere anche le unità di controllo predisposte
al fine di escludere la responsabilità amministrativa della società.
Inoltre, all’organo di vigilanza spetta una valutazione periodica dei modelli
adottati, al fine di saggiarne l’efficienza e la reale capacità di prevenire i
rischi derivanti dalla commissione dei reati. In seguito al riscontro di
eventuali carenze funzionali, spetta sempre all’organismo di vigilanza
formulare delle proposte di modifica dei modelli organizzativi, volte ad
implementare l’efficienza e ristabilire così un livello di rischio accettabile.
Anche in questo caso, l’analogia con l’internal auditing è palese: l’attività
monitoria in esame coincide in sostanza con l’operational audit.
In definitiva, l’attività di vigilanza ex art. 6 sembra poter ricalcare un vero e
proprio ciclo di audit: sia per quanto concerne l’attività in esame,
consistenti in azioni di monitoraggio sulla compliance o sull’efficienza
delle operazioni aziendali; sia in riferimento alle attribuzioni dell’organo di
vigilanza; sia infine per la necessità (non espressamente richiamata dalla
norma) di trasmettere all’organo di vertice della società il report contenente
le conclusioni e le contromisure formulate per aggiornare i modelli
organizzativi.
59
2. Il contesto normativo
Se la società dispone di un comitato per il controllo interno, questo potrebbe
essere l’organo che, come vedremo nelle pagine successive, meglio di tutti
sintetizza in se stesso le caratteristiche di collegialità, indipendenza e
collocazione ai vertici della gerarchia societaria. Tale organo essendo eletto
in via preferenziale a vertice della Funzione di Internal Audit potrebbe
valersi dei revisori interni per effettuare un più penetrante monitoraggio sui
modelli organizzativi, potrebbe ricevere i report dal team di Internal Audit
in merito alla compliance e all’efficienza degli stessi, potrebbe fare valere
le risultanze della vigilanza direttamente presso il consiglio di
amministrazione, nonché ivi proporre, discutere e deliberare le opportune
azioni migliorative87.
6.5. L’AUTOREGOLAMENTAZIONE IN ITALIA
Il mantenimento della fiducia degli investitori in presenza di mercati
finanziari efficienti e dinamici dipende principalmente dalla qualità della
gestione e dalla trasparenza e correttezza delle informazioni sull’andamento
economico-finanziario dell’azienda, soprattutto per le società quotate nei
mercati regolamentati.
Ad oggi, infatti, uno degli elementi indispensabili per la competitività
aziendale è rappresentato dal conseguimento di una piena trasparenza
informativa, che di fatto può essere soltanto in parte ottenuta mediante
un’adeguata regolamentazione in materia contabile.
Quest’ultima, infatti, per la natura stessa del bilancio e la soggettività dei
processi di valutazione che ne sono all’origine, consente agli operatori di
godere di un ampio margine di discrezionalità che può facilmente sfociare,
87
PARMEGGIANI F. “I modelli di controllo prescritti dal D. Lgs. 231/01 in materia di
responsabilità amministrativa delle società.”, Marzo 2007.
60
2. Il contesto normativo
in assenza di un valido sistema di controllo interno, in una distorsione nella
gestione dei dati, delle informazioni e dei risultati aziendali.
Da ciò deriva che la durevole continuità dell’azienda e il rafforzamento
delle sue condizioni di equilibrio, possono essere garantiti unicamente da
comportamenti etici posti in essere dalla stessa organizzazione. I valori etici
appartengono soltanto alla persona e non possono essere alimentati
attraverso nuove leggi: possono essere soltanto stimolati e incoraggiati dalle
autorità, dagli operatori aziendali e dal mercato88.
È implicita, dunque, l’affermazione all’interno della struttura organizzativa,
di una cultura volta all’adozione di comportamenti virtuosi e al costante
miglioramento dei flussi informativi, contemperando adeguatamente e
simultaneamente regole e Codici di Autodisciplina.
Gli investitori, anche internazionali, devono poter facilmente identificare le
principali caratteristiche delle aziende e comprendere le legittime
motivazioni di eventuali disallineamenti con le best practice.
Si è affermato quindi, il principio secondo cui, in mercati caratterizzati da
un’elevata mobilità internazionale dei capitali, l’introduzione di regole
appropriate che accrescano la fiducia degli investitori, senza per questo
costituire elementi di rigidità, rappresenta un fattore competitivo strategico
per ogni Paese89.
Come già accennato in precedenza, il TUF ha segnato un primo importante
passo verso un mutamento nell’approccio alle tematiche della corporate
governance; esso, infatti, contiene numerosi rinvii di legge, espliciti o
impliciti90,
alla
normativa
secondaria
e
di
autoregolamentazione,
88
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 63.
89
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 64.
90
Per “autoregolamentazione esplicita” devono intendersi tutti gli spazi che espressamente
individuati dalle norme primarie e secondarie, devono essere regolamentati attraverso forme di
autodisciplina (ad esempio: artt. 2367 c.c. e ss. in merito alla convocazione dell’assemblea, la sua
costituzione, la validità delle deliberazioni ecc.).
61
2. Il contesto normativo
assegnando di volta in volta, alle Authority di settore compiti di vigilanza
regolamentare
e,
all’autonomia dei
privati diverse possibilità
di
autoregolamentazione.
Infatti, è a partire dalla riforma del TUF che nel nostro paese si è avviato
tale processo di delegiferazione in materia di corporate governance,
processo che ha riservato alla legge soltanto la determinazione dei principi,
la disciplina delle regole più rilevanti e l’allocazione dei poteri, lasciando
conseguentemente ampi spazi all’autonomia statutaria.
La ratio di tale impostazione è la ricerca “dal basso” dell’assetto normativo
più adeguato alle diverse realtà operative, indirizzandosi verso forme di
autoregolamentazione idonee a garantire una corretta ed efficiente gestione
imprenditoriale, senza, però, entrare nel dettaglio delle diverse fattispecie
socio-aziendali.
La normativa concernente la corporate governance, non riveste unicamente
forma di legge, ma individua come norme giuridiche vincolanti soltanto dei
principi generali, rinviando poi agli enti di categoria il compito di
determinare le norme attuative di comportamento e lasciando all’autonomia
privata la facoltà di strutturare al meglio la propria governance.
Oltre alla “trasparenza” di cui abbiamo già accennato all’inizio del
paragrafo, i principi base su cui è improntato tale framework normativo
sono costituiti dalla “flessibilità”, in quanto le norme di comportamento
attuative risultano più facilmente e rapidamente adattabili, sia nel tempo (al
variare delle esigenze), sia nello spazio (di settore in settore, di caso in
caso) e dalla “libertà di organizzazione”, lasciando alle imprese la
Per “autoregolamentazione implicita” debbono intendersi tutti quei rinvii a forme di
autoregolamentazione che, ancorché non specificatamente contemplati da normativa primaria e
secondaria, trovano comunque applicabilità nell’ambito dell’ordinamento.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 67.
62
2. Il contesto normativo
possibilità di “personalizzare” il proprio modello di governo societario in
base alle proprie specifiche caratteristiche ed esigenze91.
Ad oggi, le disposizioni regolamentari in tema di corporate governance
delle Autorità di vigilanza (Ministero dell’Economia e delle Finanze,
CONSOB, Banca d’Italia, ISVAP) e di gestione dei mercati regolamentati
(Borsa Italiana) sono molteplici.
Tra i numerosi codici di autoregolamentazione e linee guida di origine varia
emanati soprattutto da diverse associazioni di categoria, il Codice di
Autodisciplina di Borsa Italiana delle società quotate rappresenta per la sua
rilevanza e pervasività, un caso a sé, anche in relazione al peso economico
delle realtà aziendali in cui trova applicazione.
L’adesione a tali forme di autoregolamentazione è volontaria, secondo il
principio di freedom with accountability, anche se la mancata applicazione
o l’inosservanza delle regole stabilite al loro interno può comportare, tra
l’altro, danni in termini di immagine (soprattutto in quei settori in cui viene
attribuito grande valore alla reputazione e alla condotta etica), oppure
costituire un indicatore di rischio di una non corretta gestione o
inosservanza di una condotta trasparente.
6.5.1.
IL CODICE DI AUTODISCIPLINA DI BORSA ITALIANA
Nel 1999, in un periodo in cui la capitalizzazione di borsa superava il 50 %
del PIL e l’internazionalizzazione degli scambi si avvicinava a percentuali
di poco inferiori92, la Consob ha dato avvio alla redazione del Codice di
Autodisciplina, un insieme di disposizioni, suddivise in principi e criteri
91
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 64.
92
Cfr. Baraldi M. Paletta A. Zanigni M., Corporate governance e sistema di controllo interno,
Franco Angeli, 2004, p.4.
63
2. Il contesto normativo
applicativi, che si configurano come un modello di best practice ritenute
idonee a garantire un corretto rapporto tra il mercato e le società quotate.
Sull’onda del grande successo che era stato ottenuto negli Stati Uniti dal
Committee of Sponsoring Organisations (CoSO) of the Treadway
Commission con la redazione del CoSO Report, la Consob decise di
pianificare un “Progetto Corporate Governance per l’Italia” costituendo
un Comitato “operativo” e non “onorifico” coordinato da Stefano Preda allora Presidente di Borsa Italiana S.p.a. - a cui presero parte illustri
appartenenti al sistema bancario, assicurativo e industriale, al mondo delle
istituzioni, delle università e delle professioni, ad associazioni degli
emittenti e degli investitori.
Le finalità del progetto furono quelle di “offrire alle imprese quotate
italiane uno strumento capace di rendere ancora più conveniente il loro
accesso al mercato dei capitali” e fornire “un modello di organizzazione
societaria adeguato a gestire il corretto controllo dei rischi d’impresa e i
potenziali conflitti d’interesse, che sempre possono interferire nei rapporti
fra amministratori e azionisti, fra maggioranze e minoranze93”.
Le esigenze delle aziende italiane convergono con gli obiettivi vitali di
efficienza, efficacia, trasparenza e legalità che rappresentano le mete
fondamentali dei sistemi di governo delle società in tutti i Paesi a mercato
evoluto.
Per l’ottenimento di questo risultato globale il progetto si è posto l’obiettivo
di un adeguamento del CoSO Report statunitense al contesto italiano e di
approfondire il tema dei ruoli, delle responsabilità e dei processi complessi
di interrelazione che legano i diversi soggetti interni ed esterni all’impresa
(quali
ad
esempio,
azionisti,
consiglio
di
amministrazione,
altri
stakeholders, organi di controllo e di revisione esterna, Borsa).
Il Comitato ha voluto realizzare un Codice allineato con la pratica
internazionale, ma rispettoso della specificità italiana, basato sul principio
93
Cfr. Codice di Autodisciplina, 1°edizione, Ottobre 1999.
64
2. Il contesto normativo
della libertà di organizzazione del governo d’impresa coniugato con la
corretta definizione delle responsabilità in un regime di perfetta
trasparenza94, trattandosi di fatto di disposizioni da adottare per
un’occasione di sviluppo, in modo facoltativo, quindi non obbligatorie.
Il codice di Autodisciplina, dopo aver subito una prima rivisitazione nel
Luglio del 2002 dal Comitato per la Corporate Governance delle società
quotate, è stato ulteriormente sottoposto ad una profonda revisione
conclusasi con la pubblicazione della 3° edizione, nel 2006 che, per quanto
ci riguarda, amplia ed arricchisce l’ambito di azione della Funzione di
Internal Audit.
Il Codice, che pure segue l’ordine degli argomenti della versione del 2002,
presenta una struttura sostanzialmente diversa: esso è suddiviso in tre
distinte sezioni: “principi”, di carattere generale, “criteri applicativi”, con
indicazioni di dettaglio sull’attuazione dei principi; “commenti”, che
chiariscono la portata dei principi e dei criteri, anche ricorrendo a diversi
esempi opportuni.
Alcuni tra i capisaldi e le novità del Codice riguardano95:
-
la composizione del consiglio di amministrazione.
Viene migliorata la definizione della figura di amministratore non
esecutivo e quella del suo ruolo; si introduce, inoltre, la figura del
cosiddetto lead indipendent director, nel caso di concentrazione delle
cariche di presidente e amministratore delegato;
-
il ruolo del consiglio di amministrazione.
In particolare sono introdotte raccomandazioni che limitano il cumulo
degli incarichi degli amministratori e intervengono sul self assessment
annuale del consiglio sulle attività svolte;
94
Cfr. Codice di Autodisciplina, 1°edizione, Ottobre 1999.
Riportiamo brevemente un elenco dei principali fondamenti su cui si basa il Codice di
Autodisciplina e le sue novità introdotte con l’ultima rivisitazione del 2006, soffermandoci
successivamente sull’art. 8 “Sistema di Controllo Interno” per un’analisi dei principali interventi
effettuati dal Comitato per la Corporate Governance in materia di controllo interno.
95
65
2. Il contesto normativo
-
gli amministratori indipendenti.
Viene disciplinata la loro presenza in un numero adeguato all’interno
del consiglio di amministrazione. Si afferma inoltre, che nella
valutazione di indipendenza prevale la sostanza sulla forma; vengono
esemplificati i criteri in base ai quali il cda deve effettuare la
valutazione; viene coinvolto il collegio sindacale in funzione di
controllo della corretta applicazione dei criteri e sono previste riunioni
di soli consiglieri indipendenti;
-
i Comitati interni al consiglio di amministrazione, (tra cui, Comitato per
le nomine, Comitato per le remunerazioni, Comitato per il controllo
interno detto anche Audit Committee)
Per questi, è prevista una puntuale disciplina in riferimento alla
composizione, ai poteri e alle modalità di svolgimento dell’incarico;
-
il sistema di controllo interno.
È stata aggiornata la nozione di sistema di controllo interno in linea con
l’evoluzione delle best practice internazionali, puntando ad una migliore
definizione di ruoli e rapporti tra i diversi soggetti/organi coinvolti nella
definizione, (in particolare tra collegio sindacale e comitato per il
controllo interno).
In ultima analisi, è prevista una valutazione periodica da parte del
consiglio di amministrazione relativamente all’adeguatezza, all’efficacia
ed all’effettivo funzionamento del sistema di controllo interno;
-
il Preposto al controllo interno.
Vengono disciplinati i criteri per la sua nomina e la puntuale definizione
del ruolo e dei poteri attribuiti. Il Preposto al controllo interno si
identifica normalmente con il responsabile della Funzione di Internal
Audit;
-
i rapporti con gli azionisti.
66
2. Il contesto normativo
È prevista la promozione di iniziative volte ad agevolare la conoscenza,
da parte dell’azionariato, delle informazioni societarie e favorire la
partecipazione alle assemblee e l’esercizio dei diritti sociali.
Per la sua autorevolezza, il Codice di Autodisciplina è divenuto un vero e
proprio modello di riferimento anche per le società non quotate96.
La sezione che più ci interessa ai fini di tale trattazione è quella dedicata al
“sistema di controllo interno” (art. 8) in cui viene fornita la definizione di
sistema di controllo interno. In particolare: “il sistema di controllo interno è
l’insieme delle regole, delle procedure e delle strutture organizzative volte
a consentire, attraverso un adeguato processo di identificazione,
misurazione, gestione e monitoraggio dei principali rischi, una conduzione
dell’impresa sana, corretta e coerente con gli obiettivi prefissati”.
Si aggiunge, inoltre, che “un efficace sistema di controllo interno
contribuisce a garantire la salvaguardia del patrimonio sociale, l’efficienza
e l’efficacia delle operazioni aziendali, l’affidabilità dell’informazione
finanziaria, il rispetto di leggi e regolamenti”97.
Il consiglio di amministrazione, con l’assistenza del Comitato per il
controllo interno, definisce le linee di indirizzo del sistema di controllo
interno, attribuisce ad un amministratore esecutivo (di norma uno degli
amministratori delegati) il compito di curarne la funzionalità, ne valuta con
cadenza
almeno
annuale
l’adeguatezza,
l’efficacia
e
l’effettivo
funzionamento, riferendone nella relazione sulla corporate governance.
L’amministratore esecutivo identifica i principali rischi aziendali,
sovrintende alla funzionalità del sistema di controllo interno, ne cura la sua
progettazione, la realizzazione e la gestione, verificandone costantemente
l’adeguatezza, l’efficacia, l’efficienza e la rispondenza al mutare degli
scenari operativi e di regolamentazione.
96
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 68.
97
Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”.
67
2. Il contesto normativo
Il compito del Preposto al controllo interno, che come appena detto si
identifica con il responsabile della Funzione di Internal Audit è quello di
verificare l’adeguatezza, l’operatività e la funzionalità del sistema di
controllo interno, riferendo al Comitato per il controllo interno, detto
altrimenti Audit Committee, al collegio sindacale e, se richiesto,
all’amministratore esecutivo. La sua nomina, remunerazione e revoca sono
decise dal consiglio di amministrazione, sentito il parere del Comitato per il
controllo interno. Nell’adempimento dei suoi doveri, il Preposto deve essere
dotato di mezzi necessari e avere accesso a tutte le informazioni aziendali
utili98.
Da qui si comprende che, il nuovo Codice di Autodisciplina richiede
all’Internal Audit di esprimersi anche sull’adeguatezza del sistema di
controllo interno e di gestione dei rischi nel suo complesso, ovvero con
riferimento ad alcuni specifici aspetti.
In particolare, il Preposto riferisce “circa le modalità con cui viene condotta
la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro
contenimento, ed esprime la propria valutazione sull’idoneità del sistema di
controllo interno a conseguire un accettabile profilo di rischio
complessivo”.
Il Codice, sottolineando la rilevanza di una corretta gestione dei rischi per il
perseguimento degli obiettivi aziendali, collega strettamente il sistema di
controllo interno al risk management (ERM)99 a cui abbiamo fatto
riferimento nelle pagine precedenti.
Per concludere, è opportuno evidenziare che al Preposto non deve essere
attribuita la responsabilità di nessuna area operativa e, allo stesso tempo,
esso non deve dipendere gerarchicamente da alcun responsabile di aree
98
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 69-70.
99
Cfr. MIRABELLI G. M., “Affrontare la sfida del cambiamento”, Internal Audit. Corporate
Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 18.
68
2. Il contesto normativo
operative, ivi inclusa l’area amministrazione e finanza100, conformemente
con i principi di indipendenza e obiettività che qualificano l’attività di
internal auditing nella verifica dell’efficacia dei meccanismi di governance
implementati.
Sulla base di queste considerazioni, appare evidente il ruolo di primo piano
che l’Internal Audit può rivestire nella corporate governance, i nuovi
requisiti normativi e l’evoluzione del business mettono tale professione di
fronte alla necessità di riorientare l’attività verso l’obiettivo chiave di dare
un giudizio101 sull’adeguatezza e l’efficacia del sistema di controllo e di
gestione dei rischi nel suo complesso102.
100
Cfr Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”.
Al di là degli aspetti di natura meramente tecnica connessi all’applicazione degli Standard e
delle Guide Interpretative, potrebbe essere utile fornire alcune indicazioni pratiche per affrontare il
problema della valutazione del “sistema di controllo interno” complessivo richiesta dal nuovo
Codice di Autodisciplina. In particolare è opportuno:
a) partire da un assessement generale dei rischi e dei controlli, ovvero esaminare e valutare le
informazioni disponibili. Le check list di valutazione del CoSo (Internal Control – Integrated
Framework) possono essere un utile riferimento;
b) definire i principi generali del sistema di controllo interno (ad esempio calando nella realtà
aziendale i modelli di riferimento), portarli all’approvazione del cda e diffonderli all’interno
dell’organizzazione;
c) definire un piano di audit basato su una valutazione dei principali rischi, sufficientemente
flessibile per tenere conto dell’evoluzione del business (nuove attività, nuovi processi);
d) stabilire efficaci relazioni con i diversi fornitori di assurance all’interno dell’organizzazione
(CFO, risk officer, legale, Organismo di vigilanza ex 231, revisori esterni ecc.) e utilizzarne
adeguatamente le informazioni in modo da evitare duplicazioni di attività;
e) promuovere lo sviluppo di processi di Control Self Assessment (CSA) all’interno
dell’organizzazione, integrati in modo adeguato con i processi di risk management;
f) valutare se istituire un sistema di reporting periodico dal management al board
sull’adeguatezza del sistema di controllo interno in relazione ai rischi di pertinenza;
g) valutare con un “approccio sistemico” tutte le informazioni ricevute e ricavare da esse il
giudizio finale;
h) presentare al Comitato per il controllo interno (Audit Committee) le informazioni acquisite, in
modo da consentire al Comitato stesso di valutarle, di esprimere a sua volta un giudizio e di
presentare la relazione di valutazione al Consiglio; in tal modo si crea un “circuito integrato”
tra i diversi soggetti che devono esprimere una valutazione senza duplicazioni e inefficienze.
Cfr. MIRABELLI G. M., “Affrontare la sfida del cambiamento”, Internal Audit. Corporate
Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 19-20.
102
È più facile per un consiglio di amministrazione esprimere una positive assurance, ma per
evitare che tale dichiarazione assuma i tratti di un’attestazione meramente fiduciaria, è necessario
che questi organi ricevano un adeguato supporto informativo. In tale ambito, il contributo
dell’Internal Audit può essere molto importante. Cfr. MIRABELLI G. M., “Affrontare la sfida del
cambiamento”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno.
Gen-Apr 2007 p. 20.
101
69
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
CAPITOLO 3
IL RUOLO DELL’INTERNAL AUDIT E LE
RELAZIONI CON GLI ORGANI DI CONTROLLO
1. INTRODUZIONE
Alla luce del considerevole impatto delle novità introdotte, diviene lecito
porsi alcuni quesiti sul ruolo della Funzione dell’Internal Audit e sulle
possibili relazioni e sinergie tra la Funzione stessa e tutti i diversi attori
coinvolti nel sistema di corporate governance.
Con riguardo al ruolo dell’Internal Audit, va ribadito che la riforma del
diritto societario pur trattando tematiche inerenti alle attività di controllo
societario, non ha affrontato il ruolo di tale Funzione103.
Ciò era prevedibile, visto che, nel contesto italiano, la scelta dell’istituzione
dell’Internal Auditing non risulta ancora un obbligo di legge, ma è
demandata alla volontà della singola società, pur essendo comunque
fortemente consigliata (soprattutto per le società quotate, anche alla luce di
quanto prescritto dal Codice di Autodisciplina di Borsa Italiana)104.
Riguardo invece al secondo aspetto, ovvero alle relazioni tra la Funzione di
Internal Audit e gli altri organi di controllo, la realtà degli emittenti quotati
può considerarsi quella con profili di governance maggiormente complessi,
anche se per le società non facenti ricorso al mercato del capitale di rischio
103
Cfr. Capitolo 2 “Il contesto normativo”, Par. 6.1 “Il contesto normativo italiano: la normativa
societaria”.
104
Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit.
Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 46.
70
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
sono comunque previsti flussi informativi tra organi di amministrazione e
organi di controllo e tra gli stessi organi di controllo (artt.2397 e ss. c.c.).
Nel prosieguo della trattazione, per ampiezza di contenuto, svilupperemo la
nostra analisi avendo come principale modello di riferimento quello degli
emittenti quotati, analizzando i ruoli e le relazioni tra la Funzione di
Internal Audit e i principali organi di controllo e di vigilanza (interni ed
esterni alla struttura societaria) previsti dall’ordinamento italiano.
I soggetti coinvolti nell’ambito della governance aziendale
Assemblea dei soci
Società di revisione
Collegio Sindacale
Consiglio di amministrazione
Organismo di Vigilanza
ex 231/2001
Comitato per il controllo interno
Amministratore esecutivo
Preposto al controllo interno
Dirigente preposto alla
redazione dei
documenti contabili
Staff di Internal Audit
71
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
2. I RAPPORTI CON IL CONSIGLIO DI AMMINISTRAZIONE
Un’attività professionale di internal auditing rappresenta una preziosa fonte
di informazioni per il consiglio di amministrazione e i comitati da questo
costituiti. Essa infatti, fornisce assurance sull’efficacia dei processi di
governance, gestione dei rischi e controllo interno, prendendo in
considerazione i rischi strategici, di reputazione, di mercato, creditizi,
operativi e finanziari105.
I rapporti tra consiglio di amministrazione e Internal Audit possono essere
di varia natura e frequenza a seconda, soprattutto, dei momenti di riporto
stabiliti dal cda.
Il primo momento di contatto tra il cda, o il Comitato per il controllo
interno ove costituito, e la Funzione di Internal Audit assume particolare
importanza poiché attiene alla definizione del ruolo e degli obiettivi che la
Funzione stessa deve assolvere.
Il ruolo dell’Internal Audit viene formalizzato in un apposito Mandato106,
l’Internal Audit Charter, approvato dal cda, all’interno del quale devono
essere riportate107:
105
Cfr. ECIIA, Position Paper “L’Internal Auditing in Europa”, Ottobre 2005, pag. 29.
L’importanza attribuita al Mandato è notevole, in quanto esso assolve a due funzioni sostanziali
(vedi Standard IIA 1000 Finalità, autorità e responsabilità.):
1. stabilisce gli obiettivi strategici della funzione e, pertanto, le aspettative del vertice aziendale
nei confronti dell’Internal Auditing;
2. delinea gli elementi essenziali dell’attività in termini di finalità, autorità, responsabilità e
natura dei servizi di consulenza e di assurance. In particolare lo scopo del Mandato è quello
di:
a) garantire l’indipendenza e l’autonomia della Funzione di Internal Auditing ai fini della
propria obiettività;
b) garantire il libero accesso alle informazioni necessarie per il pieno svolgimento delle
attività di audit;
c) delineare l’ampiezza dell’attività di internal auditing.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 216.
107
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 218.
106
72
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
-
le finalità, quali ad esempio, promuovere il continuo miglioramento del
sistema complessivo di risk management e di controllo interno
attraverso la valutazione della sua funzionalità, la verifica della
regolarità delle attività operative e l’andamento dei rischi, al fine di
portare all’attenzione del vertice, dell’alta direzione e del management i
possibili miglioramenti alle politiche, alle procedure di gestione dei
rischi e ai mezzi di monitoraggio e di controllo;
-
l’autorità, formalizzando il fatto che i soggetti addetti all’attività di
internal auditing hanno libero accesso a tutti i documenti, persone,
attività, operazioni, archivi e beni aziendali necessari per lo svolgimento
delle loro operazioni, senza restrizione alcuna. Questo significa che il
libero accesso può riguardare le funzioni operative, le norme e le
procedure aziendali, i libri contabili e le relative evidenze di supporto, i
dati gestionali e altri tipi di dati, i locali e le persone attraverso interviste
e questionari. Infine, è importante che il Mandato indichi con chiarezza
la collocazione organizzativa, funzionale e gerarchica dell’attività,
nonchè la possibilità per il responsabile dell’Internal Audit di avere
libero accesso e comunicazione con un organo prestabilito dal vertice
(ad esempio consiglio di amministrazione o il Comitato per il controllo
interno) a cui deve riportare almeno annualmente i risultati delle attività
di audit;
-
la
responsabilità
dell’attività,
la
quale
si
concretizza
nella
programmazione degli interventi e nella predisposizione di un piano di
audit108. Il Mandato dovrà indicare inoltre l’organo a cui tale piano viene
sottoposto per approvazione (se presente, il Comitato per il controllo
interno).
108
È prassi, comunque, prevedere la possibilità di svolgere incarichi non previsti originariamente
dal piano di audit, in base alle criticità che possono emergere di volta in volta e/o alle richieste
specifiche del vertice aziendale o dell’alta direzione.
73
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
Il rapporto che deve istaurarsi tra l’Internal Audit e il cda è fondamentale ai
fini dello svolgimento dell’attività stessa, infatti, il supporto del vertice
aziendale (tone at the top) favorisce la collaborazione delle funzioni
soggette
ad
audit
consentendo
l’espletamento
dell’incarico
senza
interferenze.
Pertanto, se da un lato i Preposti al controllo interno e gli internal auditor
non dipendono gerarchicamente da alcun responsabile di aree operative e
riferiscono del loro operato agli amministratori delegati o al Comitato per il
controllo interno, dall’altro è auspicabile che essi godano del pieno
appoggio del cda, al fine di favorire una cultura del controllo nel tessuto
aziendale e di valorizzare e responsabilizzare l’operato della Funzione
stessa.
La frequenza con cui il responsabile della Funzione deve riferire del proprio
operato al consiglio di amministrazione non è espressamente definita da
fonti normative, ma comunque è condiviso il principio che l’informazione
al cda debba essere tale da garantire un intervento tempestivo da parte dello
stesso.
Questo lascia intendere che, oltre ad un informativa periodica e sistematica
(stabilita in via preventiva) è essenziale un’informativa di natura episodica
atta ad informare il cda di eventuali accadimenti per i quali potrebbe
rendersi necessaria una repentina azione correttiva e/o migliorativa109.
109
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 88.
Gli Standard IIA riportano che il responsabile della funzione di Internal Audit dovrebbe, almeno
ogni anno:
a) sottoporre al vertice aziendale per approvazione e al cda, per conoscenza, una sintesi del
programma di internal auditing, il piano delle risorse e il budget di spesa;
b) comunicare successivamente, per conoscenza e approvazione, tutte le variazioni di un certo
rilievo apportate al programma, al piano o al budget;
c) presentare un rapporto sull’attività svolta.
74
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
3.
I RAPPORTI CON IL COMITATO PER IL CONTROLLO INTERNO (AUDIT
COMMITTEE)
Nei modelli di governance in linea con le best practice, la responsabilità del
sistema di controllo interno viene affidata al consiglio di amministrazione,
che deve fissarne le linee di indirizzo e verificarne periodicamente
l’adeguatezza e l’effettivo funzionamento, assicurando altresì che i
principali rischi aziendali siano identificati, misurati, gestiti e monitorati
correttamente110.
Non sempre però, la scelta di instaurare un rapporto di dipendenza
funzionale diretta dell’Internal Audit dal cda risulta in linea con le logiche
che dovrebbero guidare questa Funzione nella sua operatività111.
Il Comitato per il controllo interno, se costituito, rappresenta il principale
punto di collegamento tra la Funzione di Internal Audit e il consiglio di
amministrazione: questo secondo il presupposto che, nelle strutture
complesse e maggiormente articolate, la costituzione di un “filtro”112 tra
l’Internal Audit e il cda possa garantire maggiore trasparenza informativa e
chiarezza sulle problematiche riscontrate e le aree di miglioramento
individuate dagli internal auditor.
Quindi, da un lato, tale Comitato è il referente diretto dell’intera Funzione
di Internal Audit, dall’altro esso si configura come l’organo deputato a
110
Cfr.. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 89.
112
Le norme di corporate governance prevedono che il cda, responsabile dell’andamento della
gestione verso gli azionisti e gli altri interlocutori aziendali, si organizzi in modo tale da
autoregolare il proprio comportamento e sia al contempo responsabile del sistema dei controlli
posti in essere. Ecco, quindi, come, nell’esercizio delle funzioni in cui l’interesse personale e
quello della società possono maggiormente configgere, (per esempio, prendere decisioni
riguardanti le nomine o le remunerazioni), il board è chiamato a delineare un processo di delega di
funzioni a sottogruppi di amministratori, riuniti in comitati, particolarmente qualificati, spesso
sotto il profilo dell’indipendenza a garanzia di un comportamento “fair” nei riguardi degli
stakeholders aziendali. Tra questi assume un ruolo rilevante il Comitato per il controllo interno
incaricato di un compito primario del cda: il controllo, a bilanciamento delle responsabilità su di
esso gravanti.
Cfr. MILANI F., “Il Comitato per il controllo interno nella corporate governance”, Internal Audit.
Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006 p. 20.
111
75
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
relazionarsi al cda in merito all’operato della Funzione e alle criticità
emerse113.
Il Preposto al controllo interno riconosce nel Comitato per il controllo
interno
l’organo deputato a ricevere e valutare l’operato del team di
revisione interna attraverso i rapporti da questo emessi, assicurandone
successivamente un’adeguata informativa in seno al consiglio di
amministrazione114.
Il Codice di Autodisciplina di Borsa Italiana richiede, a garanzia
dell’imparzialità del suo operato, che il Comitato per il controllo interno sia
composto esclusivamente da amministratori non esecutivi, in maggioranza
indipendenti115, tendendo verso i dettami internazionali, che prevedono,
tanto nell’UK, quanto negli USA, il requisito in oggetto per tutti i suoi
membri.
Questi ultimi devono possedere le competenze necessarie per valutare i
controlli finanziari e gestionali, oltre alla capacità, l’esperienza e la volontà
di agire per il bene dell’organizzazione e dei suoi stakeholders116.
113
Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”.
Il Comitato per il controllo interno:
a) valuta, con il dirigente preposto alla redazione dei documenti contabili ed ai revisori, il
corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità alla redazione
del bilancio consolidato;
b) su richiesta dell’amministratore esecutivo, esprime pareri su specifici aspetti inerenti alla
identificazione dei principali rischi aziendali nonché alla progettazione, realizzazione e
gestione del sistema di controllo interno;
c) esamina il piano di lavoro preparato dai preposti al controllo interno;
d) valuta le proposte formulate dalla società di revisione per ottenere l’affidamento dell’incarico,
nonché il piano di lavoro predisposto per la revisione ed i risultati esposti nella relazione e
nella lettera di suggerimenti;
e) vigila sull’efficacia del processo di revisione contabile;
f) per ultimo riferisce al cda almeno semestralmente, sull’attività svolta, nonché
sull’adeguatezza del sistema di controllo interno.
114
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 90.
115
Se l’emittente è controllato da altra società quotata, il Comitato per il controllo interno è
composto esclusivamente da amministratori indipendenti.
116
In un percorso di avvicinamento agli standard internazionali, il Codice di Autodisciplina del
2006 innova il testo del 2002 richiedendo, quanto a qualificazione professionale del Comitato, che
almeno un membro presenti adeguata esperienza in materia contabile e finanziaria. Il Code inglese
richiede che almeno uno di essi sia dotato di rilevanti, recenti e significative esperienze in campo
contabile e accreditato dall’appartenenza ad uno dei Professional Accountancy Bodies. In linea la
regolamentazione statunitense, dispone che tutti i componenti siano “financially literate” e che vi
sia almeno un esperto in materia di accounting o financial management.
76
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
Il cda, quindi, riconosce al suo interno l’Audit Committee come l’organo
deputato a veicolare sulla Funzione di Internal Audit le esigenze e gli
obiettivi fissati, tenendo presenti la struttura di audit, l’ambiente di
controllo, la cultura del controllo e, non da ultimo, le priorità di azione
stabilite in consiglio117.
Il Codice di Autodisciplina dispone, inoltre, che il Preposto al controllo
interno riferisca al Comitato per il controllo interno, così come anche al
collegio sindacale e, se previsto, all’amministratore esecutivo, in merito alla
propria valutazione sull’idoneità del sistema di controllo interno a
conseguire un accettabile profilo di rischio complessivo.
Al fine di garantire una relazione efficace tra il Comitato per il controllo
interno e l’Internal Auditing, è evidente che tra i due organi devono
sussistere contatti frequenti in modo tale da rendere sufficientemente chiare
le finalità e le esigenze delle attività di auditing svolte dalla Funzione ed
attese dai vertici aziendali.
È importante, pertanto, per una corretta valorizzazione del lavoro che il
ruolo della Funzione di Internal Audit sia compreso con chiarezza dal
Comitato e dal cda e che il Comitato abbia trasmesso a sua volta con
altrettanta chiarezza le aspettative e le priorità che il vertice aziendale ha
individuato.
Risulta di fondamentale importanza delineare le modalità di cooperazione
tra i diversi organi di controllo ricompresi nel sistema di control
governance, al fine di non compromettere l’efficienza e l’efficacia
dell’attività svolta, evitando perciò pericolose sovrapposizioni di ruoli e non
chiarezza di responsabilità sui controlli da effettuare118.
117
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 90.
118
Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit.
Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 47.
77
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
Affinché il Comitato per il controllo interno e l’attività di internal auditing
riescano a realizzare il potenziale che permetta loro di sostenersi a vicenda,
devono essere presenti alcuni fattori.
In primo luogo il Mandato del Comitato e quello dell’Internal Auditing
devono essere complementari. In secondo luogo, il responsabile della
Funzione deve poter avere un contatto diretto con il presidente del
Comitato. Tali contatti devono essere regolari per riuscire a sviluppare un
rapporto di reciproca fiducia. Inoltre, il Preposto al controllo interno deve
partecipare alle riunioni del Comitato per discutere questioni quali il
Mandato dell’internal auditing, la revisione del piano di audit, rilievi
significativi emersi durante lo svolgimento dell’attività di revisione interna
e andamento del follow-up delle raccomandazioni119.
Occorre precisare che, pur avendo una propria specifica connotazione per
ruolo (ispirato prevalentemente ad attività di controllo e supervisione) e per
composizione (esso, infatti, si costituisce di amministratori non esecutivi, in
maggioranza indipendenti), il Comitato è pur sempre un organo costituito,
all’interno del consiglio di amministrazione, da amministratori che
partecipano fattivamente alle scelte aziendali e che condividono con gli altri
amministratori le linee strategiche dell’impresa120.
Indipendentemente da Codice di autoregolamentazione, che fa riferimento
alle società quotate, la costituzione di un Comitato per il controllo interno
nel sistema di governo delle imprese italiane rappresenterebbe, anche per le
aziende non quotate, un forte catalizzatore a disposizione del consiglio di
amministrazione per salvaguardare gli interessi dell’azionista e rafforzare la
natura del controllo interno, l’immagine dell’azienda nei confronti del
mercato, nonché quella della Funzione di Internal Auditing con l’obiettivo
di valorizzarne l’attività all’interno dell’organizzazione.
119
Cfr. ECIIA, Position Paper “L’Internal Auditing in Europa”, ottobre 2005, pag. 29.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 91.
120
78
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
4. I RAPPORTI CON IL COLLEGIO SINDACALE, IL CONSIGLIO DI SORVEGLIANZA
O IL COMITATO PER IL CONTROLLO SULLA GESTIONE
Con la riforma del TUF, e successivamente con quella del diritto societario,
sono stati profondamente rivisti i compiti e le responsabilità del collegio
sindacale, inizialmente nelle società quotate e in seguito anche nelle società
per azioni non facenti ricorso al mercato del capitale di rischio. Tali
riforme, pur se a distanza di anni, si sono ispirate ad una ricerca di
meccanismi e procedure di coordinamento tra i vari soggetti (esosocietari
ed endosocietari) che partecipano al sistema di controllo121.
Le funzioni affidate al collegio sindacale sono state oggetto di attenzione
anche da parte degli organi di vigilanza (CONSOB, Banca d’Italia, ISVAP)
e delle associazioni di categoria (tra cui il Consiglio Nazionale dei Dottori
Commercialisti – CNDC, l’Associazione tra le società italiane per azioni –
Assonime e l’Associazione italiana revisori contabili – Assirevi) nel
tentativo di fornire dettagli relativamente alla sua attività e coordinarne
l’operatività con gli altri organi deputati a svolgere attività di controllo al
fine di evitare duplicazioni e/o sovrapposizione di funzioni.
Con l’entrata in vigore del D. Lgs. 58/1998 (TUF), i compiti di controllo
contabile per le società quotate sono stati interamente attribuiti alle società
di revisione esterne nominate dall’assemblea dei soci, pertanto, il collegio
sindacale è stato sollevato, con l’entrata in vigore della riforma, della
funzione di controllo contabile indirizzando la sua attività verso un
controllo di merito su fatti amministrativi e gestionali122.
Per quanto riguarda i rapporti tra collegio sindacale e la Funzione di
Internal Audit è soprattutto nella sfera degli emittenti quotati, in particolare
all’art. 150 del TUF e nello stesso Codice di Autodisciplina, che si possono
121
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 92.
122
Le stesse considerazioni possono essere fatte analogamente per il Consiglio di sorveglianza del
modello dualistico, e per il Comitato per il controllo sulla gestione del modello monistico.
79
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
trovare riferimenti ad un sistema informativo che prevede per i soggetti
preposti al controllo interno il dovere di riferire (di loro iniziativa o su
richiesta anche di uno solo dei sindaci o dei membri del Consiglio di
sorveglianza o del Comitato per il controllo sulla gestione) su tutte le
informazioni necessarie all’adempimento delle funzioni di tali organi di
controllo. Infatti, al 4° c. dell’art 150, il TUF dispone che coloro che sono
preposti al controllo interno hanno il compito di riferire all’organo di
controllo (quindi collegio sindacale, Consiglio di sorveglianza, Comitato
per il controllo sulla gestione) di propria iniziativa o su richiesta anche di un
solo membro di quest’ultimo.
All’art. 149123 del TUF, inoltre, è previsto che il collegio sindacale e il
consiglio di sorveglianza devono vigilare anche sull’adeguatezza del
sistema di controllo interno124.
Il responsabile della Funzione di Internal Auditing diventa quindi una fonte
di informazioni privilegiata circa il corretto funzionamento del sistema di
controllo interno e, al tal proposito, il Codice di Autodisciplina125 stabilisce
che il collegio sindacale possa richiedere al Preposto al controllo interno lo
svolgimento di verifiche su specifiche aree operative o operazioni aziendali.
Specularmente, i sindaci e i membri degli organi di controllo vengono ad
essere i principali destinatari dell’attività svolta dalla Funzione di Internal
Auditing. Ad essi il Preposto al controllo interno deve riferire in merito ai
123
Il disegno normativo italiano di corporate governance ed in particolare l’art 149 del TUF
attribuisce al collegio sindacale le seguenti categorie di funzioni:
- vigilanza sull’osservanza della legge e dell’atto costitutivo;
- vigilanza sul rispetto dei principi di corretta amministrazione;
- vigilanza sull’adeguatezza dell’assetto organizzativo societario, del sistema di controllo
interno e del sistema amministrativo-contabile, nonché sull’affidabilità di quest’ultimo nel
rappresentare correttamente i fatti di gestione;
- vigilanza sulla corretta attuazione delle regole di governo societario previste dai Codici di
autodisciplina;
- vigilanza sull’adeguatezza delle disposizioni impartite dalla società alle controllate (ai sensi
del art.114, 2° c. del TUF), che impone a queste ultime di fornire alla controllante le notizie
necessarie per le comunicazioni al pubblico.
124
Una previsione analoga per il Comitato per il controllo sulla gestione è inserita nel Codice
civile (art. 2409-octiesdecies), in riferimento ai doveri spettanti a tale organo.
125
Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”.
80
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
compiti assegnati alla Funzione (in base al piano di audit preventivato), così
come su alcune problematiche specifiche per le quali il management o
l’organo di controllo abbiano ravvisato l’opportunità di avviare un’attività
di audit straordinaria.
La legge non precisa, in termini di contenuto e modalità, in quale modo il
responsabile della Funzione debba relazionare l’attività svolta, limitandosi
ad indicare che tale attività può derivare da una richiesta diretta da parte
degli organi di controllo (o anche da uno solo dei membri), oppure su
iniziativa dello stesso responsabile.
È opportuno mettere in evidenza quanto sia determinante la tempestività
con cui viene resa al collegio sindacale l’informativa sugli esiti dell’attività
svolta dalla Funzione di Internal Auditing, in considerazione della
possibilità di intraprendere urgenti azioni correttive.
È ovvio che il responsabile di tale Funzione, in virtù della particolare
posizione ricoperta all’interno della struttura organizzativa, si trova nella
condizione di fornire all’organo di controllo un’informativa completa e
priva di eventuali filtri o condizionamenti; elementi, questi, che rischiano
invece di trovare una “potenziale” riserva in un’informativa fornita dai
responsabili di Funzione o da personale operativo126.
Il Consiglio Nazionale dei Dottori Commercialisti ha puntualizzato che il
collegio sindacale dovrebbe, almeno con cadenza trimestrale, tenere una
riunione con il responsabile della Funzione di Internal Auditing127; incontri
con una tale cadenza temporale attestano l’esigenza di fissare quei necessari
scambi informativi atti a rendere edotti il collegio sindacale e il Preposto al
controllo interno sull’attività svolta, le problematiche emerse e le azioni da
intraprendere.
126
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 95.
127
Cfr. Principi di comportamento del collegio sindacale nelle società di capitali con azioni
quotate nei mercati regolamentati, Ottobre 2000.
81
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
Gli incontri tra i due organi aziendali dovrebbero avere ad oggetto lo
scambio di informazione utili per128:
-
l’emergere di rischi (o aree di criticità) potenziali o effettivi;
-
il rilevamento di violazioni di leggi, atti costitutivi o statuti e norme
interne;
-
la comparsa di fatti censurabili;
-
la valutazione del generale assetto del sistema di controllo interno;
-
la determinazione dei requisiti di professionalità e indipendenza
necessari allo svolgimento degli incarichi di audit.
Inoltre, in tali incontri, è auspicabile che sia:
-
illustrato il piano di audit;
-
presentata la sintesi dei lavori più significativi;
-
fornita indicazione sul grado di miglioramento del sistema di controllo
interno.
Tutto ciò per far sì che l’organo di controllo abbia una corretta visione e
percezione dell’attività svolta dalla Funzione di Internal Auditing e sia in
grado di potersi esprimere sulla sua efficacia ed efficienza e di consigliare
l’alta direzione su eventuali rafforzamenti di cui la Funzione potrebbe
necessitare.
128
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 96.
82
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
5. I RAPPORTI CON IL REVISORE ESTERNO O LA SOCIETÀ DI REVISIONE
Gli internal auditor e i revisori esterni hanno ambiti di responsabilità
diversi.
Al revisore contabile, così come alla società di revisione, è assegnato il
compito di dichiarare, attraverso un parere (opinion) sul bilancio sottoposto
a revisione, se i fatti di gestione sono correttamente rilevati nelle scritture
contabili, se il bilancio corrisponde alle risultanze di tali scritture e se esso
risulta conforme alle norme che ne disciplinano la redazione129.
Tuttavia, per adempiere a tale obbligo, devono poter avere buona
comprensione dei controlli finanziari interni che sottendono la redazione del
bilancio. A tal riguardo, le attività di revisione dei conti e di internal
auditing sono complementari e sinergiche.
Negli ultimi anni, l’attività di controllo contabile è stata oggetto di grande
attenzione da parte del legislatore italiano e di enti regolatori a livello
nazionale (fra tutti CONSOB), comunitario ed internazionale (in
particolare, IFAC, SEC), soprattutto sulla scia dei diversi scandali finanziari
e sotto l’impulso di rendere la revisione contabile come una funzione
istituzionale a presidio e tutela degli interessi di terzi130.
A seguito della riforma del diritto societario, si sono ampliate le categorie di
soggetti sottoposti a revisione contabile, ovvero, tutte le società per azioni
devono avere un revisore esterno che eserciti la funzione di controllo
contabile, con l’eccezione di quanto previsto dalla deroga statutaria di cui
all’art. 2409 bis, 3°comma, c.c.
Anche le modalità operative dell’attività di revisione contabile sono state
riformulate con l’estensione di un controllo trimestrale della contabilità a
129
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 96.
130
La legge 262/2005 sulla tutela del risparmio, ha provveduto alla modifica degli artt. del TUF
concernenti il conferimento e la revoca dell’incarico di revisione contabile e le cause di
incompatibilità.
83
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
tutte le società per azioni quotate e agli intermediari finanziari e la
raccomandazione relativa all’adozione dei nuovi principi di revisione IAS.
Indipendentemente dal soggetto incaricato del controllo contabile131
(società di revisione o revisore esterno), è opportuno evidenziare la diversa
natura di tale attività rispetto a quella svolta dalla Funzione di Internal
Auditing. Infatti, quest’ultima deve orientare la propria attività verso
l’intero sistema dei controlli aziendali sulla base delle richieste dell’alta
direzione,
concentrandosi,
in
particolare,
sulla
prevenzione
e
sull’architettura di salvaguardia, piuttosto che sulla verifica a posteriori
degli accadimenti e delle operazioni effettuate132; il revisore contabile,
invece, focalizza la propria attenzione sugli aspetti funzionali alla redazione
del bilancio e alla loro corretta gestione.
Tuttavia, per quanto riguarda le tecniche di analisi utilizzate e la modalità di
svolgimento del lavoro (gestione del lavoro, tecniche di campionamento,
check list, test di verifica, analisi di processo, ecc.) si presentano numerose
analogie, tanto che, molto spesso, i due organi si trovano a condividere
informazioni e coordinare assieme le proprie attività affinché non vi sia uno
spreco di energie.
Particolari tipologie di audit, fra tutte l’audit contabile, svolto dall’Internal
Auditing, sono spesso di notevole ausilio per il lavoro del revisore esterno
ai fini dello svolgimento dell’incarico di revisione del bilancio e le due parti
si
scambiano
informazioni
in
merito
all’ambito
di
copertura,
all’impostazione e ai rilievi di audit.
Alcuni dei metodi di lavoro e analisi utilizzati dall’Internal Auditing
possono rivelarsi utili anche per il revisore esterno nel definire la natura, la
tempistica e l’ampiezza delle procedure di revisione da svolgere. Infatti,
generalmente, il revisore esterno, in fase di pianificazione, procede ad una
131
Si ricorda che per tutti gli emittenti quotati e gli intermediari finanziari l’attività di revisione
contabile deve essere esercitata esclusivamente da una società di revisione iscritta all’Albo
CONSOB.
132
Cfr. G. C. Grossi, “Internal Auditing. L’inizio di una nuova avventura.” Milano, AIIA, 2002,
pag. 19.
84
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
valutazione
del
lavoro
svolto
dall’Internal
Audit
considerandone
l’organizzazione, gli obiettivi, la competenza tecnica della Funzione e la
diligenza professionale con la quale sono stati effettuati i lavori di audit.
Occorre precisare che, la responsabilità sulla supervisione del lavoro svolto
dal revisore esterno rimane un compito del consiglio di amministrazione133,
mentre, per quanto riguarda il coordinamento operativo delle attività, questo
rientra nelle competenze del responsabile dell’Internal Auditing e del
revisore esterno.
Lo svolgimento di alcuni incarichi per conto del revisore esterno e, più in
generale, l’assistenza fornita dall’Internal Auditing al revisore stesso sono,
comunque, aspetti ai quali si deve prestare la massima attenzione in quanto
potenzialmente rischiosi134.
Infatti, l’espressione di un giudizio professionale sul bilancio d’esercizio e
consolidato è di esclusiva responsabilità del revisore contabile esterno.
Quest’ultimo, quindi, deve svolgere il proprio incarico con la diligenza e la
professionalità richieste dalla natura dell’attività ed è responsabile
dell’intera “opinion” fornita, così come di tutte le evidenze che hanno fatto
maturare il suo giudizio. Anche se il lavoro dell’Internal Auditing può
rivelarsi particolarmente utile, esso rimane unicamente responsabile del
133
L’alta direzione, nell’esercizio delle proprie funzioni di supervisione, potrebbe richiedere al
Preposto al controllo interno una valutazione del lavoro svolto dai revisori esterni. Tale
valutazione deve fondarsi su adeguate evidenze sostanziali, relative a elementi di qualificazione
dell’esperienza e della competenza professionale del revisore, dei profili di indipendenza e dello
svolgimento delle attività secondo corretti principi etici. Concretamente potrebbero essere oggetto
di valutazione:
- la proattività e la rispondenza rispetto ai bisogni dell’organizzazione;
- la ragionevole continuità nell’utilizzo di personale chiave per lo svolgimento dell’incarico;
- il mantenimento di appropriati rapporti di lavoro;
- il rispetto degli impegni contrattuali.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 100.
134
Il Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna” sottolinea che la
funzione di revisione interna è parte integrante della società pertanto, qualunque sia il grado di
autonomia ed obiettività di tale funzione, essa non potrà mai raggiungere lo stesso grado di
indipendenza richiesto al revisore esterno nell’espressione del proprio giudizio sul bilancio.
85
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
giudizio espresso, della scelta delle procedure da svolgere, delle tempistiche
di audit, dell’estensione dell’analisi135.
Se il lavoro svolto dalla Funzione di Internal Auditing risulta efficace,
questo potrebbe influire nella scelta della natura e nella tempistica delle
procedure di revisione (in particolare, quando tale lavoro si concentra su
alcune aree di pertinenza della revisione di bilancio) e consentire una
riduzione dell’ampiezza delle verifiche svolte dal revisore esterno136.
Ai fini di un’efficace collaborazione tra i due soggetti è indispensabile la
definizione di specifici aspetti del lavoro, fra cui137:
-
l’ampiezza dell’attività (i rispettivi programmi di audit devono essere
discussi in modo tale da garantire il coordinamento e la minimizzazione
delle duplicazioni;
-
le tempistiche;
-
il livello di dettaglio delle verifiche da svolgere;
-
la gestione delle carte di lavoro e il rispettivo accesso e utilizzo;
-
le modalità di controllo ed emissione dei rapporti sull’attività svolta;
-
lo scambio di rapporti di audit e management letter138.
135
Cfr. Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna”
Le verifiche svolte dal revisore esterno, non possono, tuttavia, essere eliminate totalmente. In
alcuni casi, il revisore esterno, dopo aver valutato le attività svolte dalla funzione di revisione
interna, può addirittura decidere che quest’ultima non abbia alcuna rilevanza sulle procedure di
revisione da svolgere (Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna”).
137
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 99-100.
138
Lettera fornita con cadenza almeno annuale da parte del revisore esterno riguardante le
osservazioni, emerse nel corso dell’incarico, sul sistema di controllo interno.
136
86
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
6.
I RAPPORTI CON L’ORGANISMO DI VIGILANZA IN MATERIA DI D. LGS.
231/2001
Come già visto precedentemente, con il D. Lgs. 231/2001139 è stata
introdotta
nell’ordinamento
giuridico
nazionale
la
responsabilità,
nominalmente amministrativa, ma di fatto penale, degli enti, che si
aggiunge a quella della persona fisica che ha realizzato materialmente il
fatto illecito140.
L’ampliamento di tale responsabilità punta ad estendere la sanzione di
taluni illeciti penali al patrimonio delle persone giuridiche, delle società e
delle associazioni anche prive di personalità giuridica, coinvolgendo quindi
gli interessi economici dei soci che, fino all’entrata in vigore del decreto,
non subivano le conseguenze di tutte le azioni illecite commesse da
amministratori e/o dipendenti, anche se perpetrate a vantaggio della società
stessa141.
Tale decreto risponde all’esigenza di porre sempre più attenzione verso il
controllo della regolarità e della legalità dell’operato sociale da parte dei
soggetti che partecipano alle vicende patrimoniali dell’ente, in virtù
dell’incremento dei profili di rischio dell’operatività aziendale.
L’art. 6 del D. Lgs. 231/2001, prevede quale causa di esonero dalla
responsabilità dell’ente circa l’illecito compiuto, l’adozione e l’efficace
139
D. Lgs 8 giugno 2001, n. 231, “Disciplina della responsabilità amministrativa delle persone
giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell’art
11 della legge 29 settembre 2000, n. 300”.
140
Come sostenuto da più parti, la responsabilità di natura amministrativa è solo formale, poiché,
di fatto si sostanzia in una vera e propria responsabilità penale, tenuto conto che l’accertamento
degli illeciti amministrativi della società è rimesso allo stesso giudice penale (chiamato a
conoscere i reati dai quali gli illeciti dipendono), che procede secondo le regole proprie del
processo penale. Cfr. AIIA, Position Paper “D. Lgs. 231/2001. Responsabilità amministrativa
delle società: modelli organizzativi di prevenzione e controllo”.
141
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 101.
87
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
funzionamento di un modello di organizzazione e di gestione idoneo a
prevenire illeciti penali142.
Il modello ipotizzato poggia su un processo di costruzione che si articola
nella preliminare identificazione dei rischi (attraverso una mappatura degli
ambiti aziendali di un’attività e un’analisi circa i rischi potenziali che ne
possono derivare in ambito del D. Lgs. 231/2001) e nella successiva
progettazione dei sistemi di controllo, da effettuare attraverso un preciso
disegno di procedure di controllo interno o, come dichiara lo stesso decreto,
attraverso “specifici protocolli diretti a programmare la formazione e
l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”.
Elementi costitutivi del modello organizzativo, cosiddetto “salvaimpresa”,
sono143:
-
un Codice Etico atto a diffondere all’interno dell’azienda una cultura del
controllo in grado di sensibilizzare i destinatari circa i reati richiamati
dal decreto;
-
la mappatura delle aree di attività a rischio dell’azienda;
-
un sistema organizzativo dove vengano gestite le attribuzioni di
responsabilità, la definizione di chiare linee di dipendenza gerarchica e
altrettanto chiare descrizioni dei compiti;
-
un insieme di procedure manuali e informatiche che regolino lo
svolgimento delle attività con l’inserimento di diversi punti di controllo
(fra cui, separazione dei compiti – segregation of duties, tracciatura di
operazioni sensibili, ecc.);
-
un efficace sistema sanzionatorio aziendale;
142
Il decreto prevede l’adozione facoltativa del modello di organizzazione, gestione e controllo. La
mancata adozione non è soggetta evidentemente a sanzione, ma determina l’esposizione dell’ente
alla responsabilità per gli illeciti realizzati da amministratori e dipendenti.
L’adozione del modello, nonostante sia facoltativa, è l’unica soluzione che consente di esonerare
l’ente in caso di reati commessi nel suo interesse o a suo vantaggio da persone con funzioni di
amministrazione, rappresentanza o direzione o da loro dipendenti (art. 5, D. Lgs. 231/2001).
143
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 101-102.
88
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
-
un corretto sistema di attribuzione dei potei autorizzativi e di
responsabilità;
-
sistemi di comunicazione e di formazione del personale;
-
un sistema che consenta all’impresa, grazie a un’azione di monitoraggio
sulle aree di diverse attività a rischio, di intervenire tempestivamente per
prevenire o contrastare la commissione dei reati.
Il decreto, per assicurare in via continuativa il corretto funzionamento del
modello organizzativo, ha previsto l’istituzione di un organismo interno
all’ente, dotato di autonomi poteri di iniziativa e di controllo, che vigili
sull’adeguatezza del modello in termini di mantenimento nel tempo dei
requisiti di solidità e funzionalità, curandone gli opportuni aggiustamenti ed
implementazioni.
In conclusione, tale organo deve garantire un’azione professionalmente
qualificata (poiché ci troviamo di fronte ad una serie di attività
specialistiche
che
richiedono
tecniche
e
metodologie
specifiche),
continuativa ed indipendente (escludendo quindi organismi quali il
consiglio di amministrazione e gli amministratori senza deleghe).
Le linee guida fornite dalle associazioni di categoria144 e l’applicazione
pratica del decreto hanno condotto gli operatori aziendali ad accostare
(anche se, non ad identificare) l’Organismo di vigilanza ex 231/2001 alla
figura del Preposto al controllo interno in quanto soggetto ritenuto (più di
altri) rispondente alle caratteristiche previste per tale organismo145.
Infatti, come già accennato in precedenza la Funzione di Internal Auditing
appare più di altre quella che dal punto di vista deontologico ed
istituzionale presenta i requisiti di indipendenza e autonomia prescritti dalla
normativa. In aggiunta, la Funzione di Internal Auditing presenta una
144
Fra tutte si sottolineano quelle per la costruzione dei modelli di organizzazione, gestione e
controllo ex D. Lgs. 231/2001 di Confindustria.
145
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 102.
89
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
collocazione all’interno della struttura organizzativa particolarmente
favorevole a fungere da referente diretto del consiglio di amministrazione
(o di un comitato interno a questo, tipicamente il Comitato per il controllo
interno), cui spetta comunque il compito di una più generale supervisione e
gestione dell’assetto organizzativo e dei sistemi di controllo.
È opportuno, comunque, precisare che l’ente è assolutamente libero di
scegliere la composizione dell’Organo di vigilanza ex 231/2001. Esso può
identificarsi con il Comitato per il controllo interno oppure, (e questo è
quanto si rileva nel corso di questi anni dalle maggiori aziende), in un
organismo specifico appositamente creato, spesso in forma collegiale,
costituito da soggetti appartenenti all’ente (fra cui il responsabile della
Funzione di Internal Auditing, il responsabile della Funzione legale,
amministratori indipendenti, sindaci o membri del Consiglio di sorveglianza
o del Comitato per il controllo sulla gestione) e in alcuni casi soggetti
esterni, quali consulenti esperti in materia.
La Funzione di Internal Auditing si configura come il braccio operativo
dell’organismo di vigilanza e molto spesso, collabora nella realizzazione di
un piano di analisi e verifiche di audit, approvato su delibera dello stesso
Organismo ex 231/2001, con lo scopo di valutare l’efficacia del sistema di
controllo a presidio di processi e aree aziendali “delicate”.
I
risultati
di
tali
analisi
potrebbero
fornire
utili
suggerimenti
sull’adeguatezza e sulle funzionalità delle procedure in atto in termini di
presidio volto a prevenire la commissione dei reati ai sensi del D. Lgs.
231/2001 e all’individuazione di aree di rischio su cui porre attenzione.
Infine, la Funzione di Internal Auditing potrebbe essere indicata per la
promozione di attività di sensibilizzazione nei confronti di tutto il personale
ed in particolare delle funzioni maggiormente esposte a rischio di reato ex
231/2001. Essa, infatti, potrebbe contribuire in tale attività anche in
collaborazione con altre funzioni, quali ad esempio, quella legale oppure
con il supporto di consulenti esterni.
90
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
7.
I RAPPORTI CON IL DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI
CONTABILI SOCIETARI
Abbiamo visto nei paragrafi precedenti che, tra le novità introdotte dalla
legge 262/2005146, si annovera l’istituzione della figura del dirigente
preposto alla redazione dei documenti contabili e societari.
Le sue funzioni si manifestano agli stakeholders aziendali nel momento
della relazione annuale al bilancio e nelle dichiarazioni periodiche in
occasione
del
rilascio
di
informazioni
economico,
finanziarie
e
patrimoniali, ma di fatto queste ultime sono il risultato di un’intensa attività
interna di predisposizione, attuazione ed attestazione di adeguatezza del
sistema
procedurale
riferito
all’impianto
amministrativo-contabile
aziendale.
Sono interessanti la natura e la misura degli “adeguati poteri e mezzi” che la
normativa prevede che siano conferiti al dirigente preposto per consentirgli
il pieno assolvimento dei suoi compiti. A tal riguardo è evidente come
possano generarsi sovrapposizioni o conflitti di competenze nella gestione
di sistemi di controllo/verifica/audit nel momento in cui tali funzioni, che
vanno oltre i controlli di linea e di monitoraggio, fossero alle dirette
dipendenze del dirigente preposto. Ciò, infatti, costituirebbe non solo una
diseconomia nella gestione aziendale, ma anche il presupposto per il
generarsi di carenze di controllo in aree in cui si verificassero conflittualità
tra sistemi concomitanti.
Traendo insegnamento anche dall’esperienza statunitense in materia di
Sarbanes-Oxley Act, che precede temporalmente la legge 262/2005 e
presenta alcuni aspetti in comune con i suoi articoli qui trattati, è importante
notare come le caratteristiche di autonomia e di indipendenza dell’Internal
Auditing consentano a tale Funzione di contribuire a costituire basi
146
Legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e la disciplina dei
mercati finanziari”, artt. 14, 15 e 30; D. Lgs. 303/2006.
91
3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo
significative per le attestazioni che il dirigente preposto e l’amministratore
delegato
sono
147
responsabilità
tenuti
ad
emettere
nell’assunzione
delle
proprie
.
Infatti, l’Internal Audit nell’esercizio dell’attività consulenziale identifica e
valuta
i
rischi
aziendali,
contribuisce
in
modo
significativo
all’implementazione di un sistema per la loro gestione ed assiste nella
formazione interna richiesta per diffondere le necessarie competenze
metodologiche per il self assessment dello stato del sistema di controllo
interno relativo a specifici rischi di natura contabile.
Inoltre, anche su segnalazione del dirigente preposto, possono essere svolte
attività di audit in aree caratterizzate da situazioni di rischiosità, al fine di
fornire assurance sull’adeguatezza e il funzionamento del sistema di
controllo sui processi contabili indicati, evitando, tuttavia, che ciò conduca
ad un piano di audit sbilanciato verso tali processi, in considerazione della
rischiosità complessiva aziendale, o porti allo svolgimento di attività di
audit che si sostituiscano ai controlli di linea148.
Nel compiere le attività suddette, l’Internal Auditing da avvio, in generale,
ad un flusso informativo verso il management (Comitato di controllo,
amministratore delegato, alta dirigenza) e, in particolare, verso il dirigente
preposto per gli ambiti di sua competenza.
Esso, pertanto, potrà formulare le sue considerazioni finali in materia
amministrativo-contabile
sfruttando
il
contributo
proveniente
dalla
Funzione di Internal Auditing, ed integrare tali indicazioni con quelle
provenienti dall’intero sistema di governo societario tra cui, per esempio, il
revisore esterno, il collegio sindacale e il Comitato per il controllo interno.
147
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 114.
148
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 114.
92
4. Le metodologie di revisione interna
CAPITOLO 4
LE METODOLOGIE DI REVISIONE INTERNA
1. INTRODUZIONE
Il percorso di sviluppo che ha interessato negli ultimi anni l’attività
dell’internal auditor è sicuramente collegato alla necessità, incomprimibile,
di contribuire alla creazione di valore per l’azienda al pari di altre funzioni
aziendali, pena la marginalizzazione del suo ruolo.
In precedenza, in un contesto aziendale e di mercato tendenzialmente
stabile, il valore dell’internal auditor si esprimeva prevalentemente nella
veste di “watch dog” (ispettore) consistente in un controllo di terzo livello,
che permetteva sostanzialmente di individuare la conseguenza di un rischio
già manifestato e di imputarne le responsabilità.
Il contesto evolutivo già presentato nelle prime pagine, insieme al
miglioramento dei sistemi di controllo interno aziendali (sia sotto il profilo
tecnologico che di processo), ha rapidamente sorpassato tale funzione,
ponendo le premesse affinché la figura del “controllore interno” evolvesse
da una vocazione meramente ispettiva verso un ruolo innovativo,
caratterizzato da una mission orientata a supportare il governo dei rischi.
L’essere “esperti di controllo” ha permesso all’Internal Audit di cogliere le
opportunità offerte dal cambiamento, giocando un ruolo chiave nell’azienda
come supporto al raggiungimento degli obiettivi. Tale attività, come
93
4. Le metodologie di revisione interna
abbiamo visto in precedenza, si concretizza in un duplice servizio, sia di
assurance sulla qualità dei sistemi di controllo interno, sia di consulenza149.
L’innovazione che, ad oggi, ha interessato l’Internal Audit passa attraverso
il rafforzamento delle competenze, delle metodologie e degli strumenti di
lavoro che, parallelamente ad un cambiamento culturale della percezione
del proprio ruolo e dei destinatari del proprio lavoro, consentano di valutare
al meglio i rischi ed incrementare l’efficacia dei controlli.
Il processo di auditing, infatti, si svolge secondo una sequenza coordinata di
azioni, orientata alla creazione di valore aggiunto ed al raggiungimento di
un obiettivo finale.
È possibile individuare tre diversi approcci nella conduzione dell’audit:
• una metodologia tradizionale;
• un approccio basato sui rischi aziendali;
• il Control & Risk Self Assessment (CRSA).
Il processo di auditing si sviluppa secondo un percorso logico suddivisibile
in fasi, ciascuna delle quali si caratterizza per:
-
il compimento di determinate azioni;
-
l’utilizzo di tecniche e strumenti particolari;
-
la predisposizione e il rilascio di documenti specifici (output).
Di seguito, cercheremo di approfondire i contenuti tipici di ciascuna fase di
tale processo, mettendone in evidenza le caratteristiche, le tecniche
utilizzate e la documentazione prodotta, a partire dall’avvio dell’incarico
fino all’emissione del report definitivo.
149
Cfr. RUSSO R. FRATICELLI U., “Si può misurare il valore dell’audit?”, Internal Audit.
Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007 p. 7.
94
4. Le metodologie di revisione interna
È
opportuno
sottolineare,
comunque,
che
anche
l’incarico
più
compiutamente strutturato e standardizzato lascia ampi spazi non guidati da
procedure, nei quali risulta determinante l’esperienza, la professionalità e
l’abilità di ciascun auditor, che lo rendono una risorsa aziendale preziosa a
supporto del management, per il miglioramento del sistema di controllo
interno, costantemente impegnata in un processo dinamico che genera idee
e si adatta alle circostanze specifiche.
2.
IL PROCESSO DI INTERNAL AUDITING SECONDO LA METODOLOGIA
TRADIZIONALE
È
possibile
identificare,
indipendentemente
dalla
metodologia
di
conduzione dell’audit che si intende adottare, cinque macrofasi in cui si
snoda tipicamente tale incarico. In particolare:
1. la pianificazione dell’attività;
2. l’indagine preliminare;
3. l’esecuzione dell’incarico;
4. il reporting;
5. il follow up.
Una prima considerazione rilevante, prima di addentrarci nelle singole fasi
del processo, riguarda il diverso grado di dettaglio o di analiticità che
contraddistingue ogni stadio del percorso.
Infatti, nella prima fase e, in particolare, nella seconda (analisi preliminare)
l’auditor deve acquisire familiarità con il processo o la struttura oggetto di
verifica e deve accrescere, o talvolta costituire ex novo, le sue conoscenze
95
4. Le metodologie di revisione interna
in merito, pertanto, come vedremo, la sua analisi presenterà un livello di
approfondimento piuttosto basso.
Nella fase di esecuzione dell’incarico, invece, verrà effettuata un’analisi
dettagliata di processo e un’attività di verifica che permette di raggiungere
il livello più alto di analiticità, per poi, quindi, tornare a decrescere, in un
processo di conclusione e di sintesi, con la predisposizione dell’internal
audit report (fase di reporting).
In effetti l’analisi dettagliata e la verifica (tipici dell’esecuzione
dell’incarico) sono gli stadi prettamente più operativi del processo di
auditing, cioè quelli di svolgimento del lavoro “sul campo” (fieldwork)150.
Queste costituiscono lo stadio di un vero e proprio svolgimento analitico
dell’incarico, il cui obiettivo consiste nel raccogliere, analizzare,
approfondire, valutare e verificare – anche a campione – le informazioni,
formulando una serie di “evidenze di audit151” necessarie per pervenire a
conclusioni sintetizzate nell’audit report.
Supporto delle evidenze di audit deve essere tenuto nelle “carte di
lavoro152” dell’incarico, la cui finalità generale è quella di documentare la
150
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 292.
151
Per “evidenza di audit” si intende qualunque evento, fatto o circostanza che, nell’ottica
dell’internal auditor, supporti e costituisca oggetto di un “rilievo” in quanto criticità significativa
nell’ambito dei sistemi di risk management e di controllo interno da porre all’attenzione del vertice
aziendale.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 296.
152
Le carte di lavoro rappresentano la documentazione di tutte le attività svolte dall’internal
auditor che deve registrare all’interno di esse tutte le informazioni rilevanti allo scopo di
supportare le conclusioni e i risultati del proprio incarico. Esse, inoltre, consentono la ricostruzione
a posteriori delle attività e dei rilievi emersi. Diverse sono le finalità delle carte di lavoro:
-
fornire, attraverso la registrazione di tutte le attività dell’internal auditor dall’inizio alla fine
dell’audit, i dettagli necessari per la preparazione dell’audit report finale;
aiutare a condurre l’incarico in modo tale che esso sia sempre pertinente con il
raggiungimento degli obiettivi prefissati;
registrare le osservazioni suggerite dalle evidenze riguardo all’esistenza, all’ampiezza e alla
significatività di un’esposizione al rischio e alle possibili azioni correttive;
facilitare la pianificazione dell’incarico, documentandone il raggiungimento degli obiettivi, la
natura e l’estensione, contenendo al suo interno evidenze relativamente alle
modalità/procedure seguite, test effettuati e conclusioni;
supportare l’auditor nel concreto svolgimento dell’attività, agevolando quindi una corretta
ripartizione degli incarichi di audit e coordinando il lavoro da località diverse;
96
4. Le metodologie di revisione interna
pianificazione, l’esecuzione dell’incarico e il raggiungimento degli obiettivi
di audit.
Qui di seguito, provvederemo a fornire un dettaglio delle diverse fasi che
compongono il processo di internal auditing, in riferimento all’adozione di
una metodologia tradizionale di conduzione dell’incarico.
1. La pianificazione dell’attività.
Al fine del successo di un’attività di auditing, è importante un’accurata
preparazione iniziale del lavoro, in quanto una buona pianificazione
consente153:
-
la condivisione e il supporto del progetto da parte del management della
società;
-
la consapevolezza del preciso ambito o “copertura” di audit (ed
eventuali limitazioni di ambito);
-
il miglior utilizzo delle risorse di audit;
-
il rispetto dei vincoli temporali.
La pianificazione dell’incarico consente una prima definizione a livello
macro dei seguenti elementi154:
-
agevolare la revisione da parte di terzi autorizzati, tra cui ad esempio la società di revisione;
fornire una base per la valutazione dei programmi di qualità dell’internal auditing;
procurare parte della documentazione di compliance richiesta per legge ad un’organizzazione
per il mantenimento di un efficace sistema di controllo interno.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 348-349.
153
Cfr. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 294-295.
154
Cfr. Standard IIA 2200, Pianificazione dell’incarico e successivi.
97
4. Le metodologie di revisione interna
• obiettivi di audit da conseguire, che riflettano la valutazione preliminare
dei rischi dell’attività oggetto di revisione;
• ambito dell’audit, comprendente i confini materiali e/o temporali
dell’analisi;
• programmazione del lavoro (audit program), che stabilisca le procedure
per identificare, analizzare, valutare e documentare le informazioni
raccolte durante l’attuazione dello stesso;
• risorse umane, finanziarie ed informatiche necessarie al suo
svolgimento, inclusa la risorsa specifica che coordinerà l’attività di
auditing (team leader) e i nominativi degli altri componenti del team.
Il responsabile dell’internal audit, infatti, deve assicurare che le risorse a
disposizione siano adeguate, sufficienti, ed efficacemente impiegate per
l’esecuzione del piano delle attività e quindi per assicurare il livello di
coperture richiesto dal management.
Gli Standard internazionali IIA per la pratica professionale, infatti,
prevedono che per ciascun incarico gli internal auditor devono predisporre e
documentare un piano, che comprenda, tra l’altro, obiettivi, estensione ed
impiego delle risorse. Nel pianificare lo svolgimento dell’incarico, gli
internal auditor devono considerare:
• gli obiettivi dell’attività oggetto di revisione e i mezzi utilizzati per il
controllo del suo andamento.
• i rischi significativi dell’attività, i suoi obiettivi, le risorse, e le
operazioni, nonché i mezzi con cui il potenziale impatto del rischio è
mantenuto ad un livello accettabile.
• l’adeguatezza e l’efficacia del risk management e dei sistemi di
controllo, facendo riferimento ad un adeguato modello (Coso, ecc.)
98
4. Le metodologie di revisione interna
• le possibilità esistenti di apportare significativi miglioramenti ai sistemi
di risk management e di controllo dell’attività.
Infine, l’internal auditor ha la responsabilità di pianificare e condurre
l’incarico, previa approvazione e supervisione. Il programma dell’incarico
(audit program) deve155:
• documentare le procedure che l’internal auditor intende utilizzare
durante l’incarico per raccogliere, analizzare e interpretare le
informazioni;
• esplicitare gli obiettivi dell’incarico;
• prestabilire l’ampiezza e la profondità delle verifiche richieste per
raggiungere gli obiettivi stabiliti per ciascuna fase dell’incarico;
• identificare gli aspetti tecnici, i rischi, i processi e le transazioni da
esaminare;
• definire la natura e l’estensione dei campionamenti;
• essere predisposto prima dell’incarico e successivamente modificato se
necessario.
La pianificazione dell’attività presuppone solitamente la predisposizione di
più piani che fanno riferimento a differenti orizzonti temporali.
Il piano strategico copre almeno un biennio ed ha ad oggetto l’azienda nel
suo complesso, con l’insieme delle diverse procedure e con un’analisi dei
rischi legata all’attività svolta nel mercato di riferimento.
Il piano operativo (o annuale) si riferisce all’esplosione annuale del
precedente, laddove l’oggetto delle valutazioni si focalizza sul singolo
processo o un’insieme di informazioni contabili o extracontabili da
sottoporre a revisione.
155
Cfr. AIIA, Guida Interpretativa 2200-1. Pianificazione dell’incarico.
99
4. Le metodologie di revisione interna
I piani dell’attività così formulati sono sottoposti all’approvazione da parte
del vertice aziendale e, laddove presente, del Comitato di controllo interno,
soggetti questi che hanno compiti e priorità ben distinte in merito al
funzionamento del sistema di controllo interno e al sistema di risk
management.
Come abbiamo accennato in precedenza, l’internal auditor deve effettuare
una valutazione preliminare dei rischi afferenti l’attività oggetto di
revisione, da condividere, da ultimo, con il vertice aziendale.
L’internal auditor deve, quindi, prendere in considerazione la valutazione
effettuata dal management in merito ai rischi inerenti le attività da
sottoporre ad analisi. In particolare, dovrà esaminare:
• l’affidabilità di tale valutazione;
• i controllo svolti dal management in merito ai rischi, nonché il relativo
reporting;
• le relazioni del management inerenti quegli eventi che hanno superato i
limiti concordati di tolleranza del rischio;
• l’eventuale
presenza
di
rischi
individuati
dal
management
nell’organizzazione in attività collegate o sistemi di supporto che
potrebbero interessare l’attività sotto esame;
• la valutazione fatta dal management stesso sui controlli inerenti i
rischi156.
Quello che viene richiesto al revisore, prima di dare esecuzione all’incarico,
è di predisporre una mappa dei rischi aziendali sulla base di informazioni
desunte da: risultanze di audit precedenti, segnalazioni del vertice e del
management aziendale, analisi di indicatori qualitativi della gestione,
156
Cfr. AIIA, Guida Interpretativa 2210.A1-1. Valutazione del rischio per la pianificazione
dell’incarico.
100
4. Le metodologie di revisione interna
analisi dei principali cambiamenti avvenuti nella struttura organizzativa e
nelle politiche strategiche dell’azienda.
Una volta realizzata una prima definizione a livello macro dell’audit
program, si procede all’invio dell’informativa al responsabile della
Funzione o del processo da sottoporre a verifica. L’area interessata può
essere un dipartimento, un’unità o un’attività di business sotto la
competenza di un unico responsabile, così come può riguardare un processo
che coinvolge più funzioni aziendali. In tal caso in assenza di un process
owner l’informativa può essere inviata ai vari responsabili.
Eccetto che per gli incarichi di fraud investigation (che, per loro natura non
possono essere preventivamene annunciati), l’avvio dell’attività di audit
viene comunicato ai destinatari interessati tramite la cosiddetta “lettera di
notifica” con adeguato anticipo. Lo schema di tale documento può variare
da un’organizzazione aziendale all’altra e in relazione all’incarico e alla
tipologia di audit da effettuare, comunque, essa dovrebbe contenere le
seguenti informazioni157:
• obiettivi e ambito di copertura dell’audit: all’auditee devono essere
notificati lo scopo dell’audit e le aree che questo andrà ad interessare;
• i contenuti generali previsti dell’intervento;
• l’anticipazione di eventuali necessità che potrebbero presentarsi prima
dell’analisi sul campo;
• la data prevista di inizio e i tempi stimati per il completamento
dell’audit;
• l’indicazione del project manager ed eventualmente di altri team
leader/team member o specialisti;
• l’indicazione delle procedure che l’auditor seguirà nel reporting e nella
predisposizione del piano d’azione.
157
Cfr. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 298.
101
4. Le metodologie di revisione interna
La lettera di notifica ha l’obiettivo di informare i soggetti interessati
dall’intervento di internal audit predisposto nell’audit program dell’anno
corrente, al fine di renderli consapevoli ed ottenerne la necessaria
collaborazione, così da allineare le attese sugli obiettivi dell’intervento158.
Molto spesso l’invio della lettera di notifica è preceduto o accompagnato da
un contatto diretto con il manager responsabile destinatario della lettera,
infatti una telefonata informale effettuata qualche giorno prima dell’inizio
dell’attività di audit potrebbe rivelarsi molto utile a condizionare
positivamente l’ambiente in cui si svolge la verifica159.
Quanto appena detto consente, in sostanza, di evitare eventuali
problematiche che potrebbero non garantire l’attenzione e il supporto
necessari nei confronti dell’auditor (momentanea indisponibilità o assenza
di interlocutori rilevanti, inconvenienti tecnici non ancora risolti, picchi di
lavoro in determinati periodi dell’esercizio che impegnano le risorse più del
normale, difficoltà logistiche, ecc.) e di creare un clima collaborativo
fondamentale per lo svolgimento dell’attività di audit.
A seguito della notifica dell’incarico il team di audit responsabile dello
svolgimento del lavoro, può iniziare a “prendere familiarità” con l’area
oggetto di audit effettuando quindi una prima analisi preliminare.
2. L’indagine preliminare.
L’indagine preliminare ha l’obiettivo di orientare correttamente l’intervento
di audit, consentendo all’auditor di acquisire familiarità con le principali
caratteristiche dei processi e delle attività oggetto di analisi, formulando,
158
La comunicazione, pertanto, coinvolgendo il canale verbale e quello scritto, dovrà essere chiara
nel linguaggio, esaustiva nelle informazioni e motivante nello stimolare la collaborazione
indispensabile per un’efficace gestione dell’attività.
159
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 298.
102
4. Le metodologie di revisione interna
quindi, una valutazione preliminare circa la significatività dei vari ambiti, i
potenziali rischi e le possibili aree di criticità.
In tale fase, il revisore procede, attraverso l’applicazione delle procedure
standard di indagine, alla raccolta di tutte le informazioni necessarie alla
piena comprensione dell’area da sottoporre a verifica, tra cui ad esempio160:
• obiettivi di business e di governo ed eventuali traguardi;
• caratteristiche organizzative e strutturali;
• direttive, piani, procedure, leggi, regolamenti e contratti che possono
impattare significativamente su operazioni e rapporti;
• budget, report gestionali di riferimento, risultati operativi e dati
economico-finanziari;
• carte di lavoro relative a precedenti incarichi;
• risultati di altri incarichi, anche effettuati da revisori esterni;
• documentazione utile per determinare la presenza di problematiche
significative per l’incarico;
• materiale tecnico riguardante l’attività da esaminare;
• dati indicativi di rischi potenziali e dei controlli in atto;
• valutazione, effettuata dal management, dei rischi che riguardano le
attività da sottoporre ad analisi.
L’indagine preliminare si traduce, pertanto, in un processo di raccolta di
dati e informazioni su attività/processi, senza che questi vengano sottoposti
ad
un
esame
approfondito,
che
caratterizza
la
fase
successiva
dell’esecuzione dell’incarico. La raccolta di queste macroinformazioni
accresce la conoscenza dell’auditor e rende possibile definire con maggior
dettaglio, o apportare modifiche, agli elementi di pianificazione ed
eventualmente ai contenuti della lettera di notifica.
160
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 300.
103
4. Le metodologie di revisione interna
Questo importante lavoro preliminare consente di161:
• creare la base per un efficace ed efficiente programma di audit, che si
concentri su argomenti significativi e riduca il tempo dedicato ad aree
dove il rischio appare minimo;
• contenere il tempo di permanenza presso l’auditee e ogni altra forma di
interferenza con la sua operatività;
• calibrare meglio gli obiettivi dell’audit e il suo ambito di copertura;
• favorire un clima di cooperazione per la successiva attività sul campo.
Il processo di analisi preliminare
Macroanalisi
dell’area/processo
e dei
rischi potenziali
Macroanalisi
del sistema
di controllo
Valutazione
preliminare
dei rischi
Predisposizione
del planning
memorandum
e rilievi preliminari
L’approccio tradizionalmente seguito nello svolgimento dell’indagine
preliminare si avvale di strumenti e tecniche tipiche della revisione
aziendale, in particolare l’auditor:
-
procede all’acquisizione e alla successiva lettura della documentazione
inerente l’organizzazione aziendale (organigrammi, normative interne,
procedure formalizzate, ecc);
-
si avvale dell’utilizzo di questionari (o check list) con risposte mirate a
comprendere l’assetto e la reale consistenza di meccanismi di controllo;
161
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 300.
104
4. Le metodologie di revisione interna
-
provvede alla predisposizione o all’acquisizione di flow chart esplicativi
dei principali processi operativi e di controllo162;
-
acquisisce conoscenze in merito ai sistemi informativi utilizzati;
-
può effettuare un’osservazione diretta del funzionamento delle diverse
fasi dei processi (o walkthrough);
-
acquisisce informazioni tramite interviste al personale chiave (o
inquiry);
-
svolge procedure di analitical review.
Inoltre, è utile evidenziare che alcune delle informazioni di contesto
potrebbero derivare dalla documentazione raccolta in precedenti incarichi di
audit, per cui durante l’analisi preliminare sarebbe opportuno procedere a
una revisione delle carte di lavoro, audit report e altro materiale inerente ad
audit antecedenti, se disponibili163.
Un particolare accenno, per la sua importanza, lo merita la riunione di
apertura, il cosidetto kick off meeting (termine mutuato dal linguaggio
sportivo), la quale è rivolta al management dei livelli funzionali più alti e ai
componenti dell’area oggetto di audit che siano ritenuti direttamente
interessati (per compiti e incarichi).
La riunione consente di chiarire lo scopo e l’ambito di copertura
dell’attività di auditing, di illustrare le metodologie che dovranno essere
applicate e di ottenere indicazioni utili all’indagine preliminare.
162
Per quanto riguarda l’analisi preliminare del processo/attività con tecniche di flowchart, una
mappatura dettagliata del processo costituisce parte integrante del momento successivo
all’indagine preliminare, la fase dell’esecuzione dell’incarico, in cui si procede ad un’analisi
dettagliata. L’obiettivo dell’analisi preliminare è fondamentalmente quello di arrivare a una
pianificazione utile al project manager e al team leader per una chiara delimitazione dell’attività da
svolgere.
163
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 302.
105
4. Le metodologie di revisione interna
Questo contatto iniziale con gli auditee rappresenta per il team di audit un
momento importante di comunicazione e spesso si rivela fondamentale per
ottenere la collaborazione attiva dell’interlocutore164.
È anche un momento in cui viene dato spazio alla percezione del rischio da
parte del management, in cui vengono fornite indicazioni sulle criticità e sui
controlli in essere.
È quindi, un’occasione privilegiata, utile per sottolineare la mission della
Funzione: in particolar modo in una fase di riorganizzazione della Funzione
di Internal Auditing, di start up aziendale o di mutamenti importanti negli
assetti organizzativi aziendali, il primo incontro può servire ad illustrare gli
obiettivi del lavoro dell’Internal Audit secondo la prassi condivisa a livello
internazionale, a richiamare alcuni concetti che non sempre sono
prontamente acquisibili da parte del management e a chiarire compiti e ruoli
della nostra Funzione all’interno della realtà aziendale.
A conclusione dell’analisi preliminare, viene prodotto il planning
memorandum, che sintetizza l’oggetto, gli obiettivi e le modalità di
svolgimento dell’incarico. Il documento di pianificazione interna descrive
in termini generali165:
• le attività e l’organizzazione dell’area aziendale soggetta ad audit;
• i rischi o le aree critiche identificate inizialmente;
• gli obiettivi specifici, nonché l’approccio di revisione e la pianificazione
delle procedure di revisione rispetto agli obiettivi.
164
La riunione di apertura rappresenta il “biglietto da visita” dell’Internal Audit. Questo è
senz’altro un momento in cui si deve trasmettere la percezione che si sta creando un gruppo e che
c’è pertanto un obiettivo unico che necessita dell’impegno e della collaborazione di tutti per poter
essere raggiunto. Fondamentale è, quindi, creare coesione e generare motivazione, potenziando
l’efficacia della nostra comunicazione attraverso l’applicazione di tecniche di ascolto attivo e,
laddove sia necessario, di problem solving. Il management in questa fase avrà bisogno di
riscontrare in noi credibilità, professionalità e apertura. Dobbiamo, pertanto, essere chiari e
rassicuranti, stimolando chi ci ascolta a seguirci e concederci la massima collaborazione, mettendo
in discussione convincimenti talvolta radicati nella cultura aziendale tra cui atteggiamenti
prevenuti e diffidenti, se non apertamente ostili.
165
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 305.
106
4. Le metodologie di revisione interna
Se elaborato con cura, il planning memorandum costituisce già una parte
essenziale dell’internal audit report finale e una delle migliori modalità per
documentare in sintesi e con chiarezza le logiche che hanno ispirato
l’approccio specifico di audit. Pertanto, esso costituisce un documento base,
per il responsabile dell’Internal Audit o per Internal Audit Manager, per
evidenziare la propria supervisione e approvare l’ambito e il programma
gestionale di audit complessivi.
3. L’esecuzione dell’incarico.
L’esecuzione dell’incarico si compone di due momenti distinti, che si
susseguono secondo una logica temporale:
a) la fase dell’analisi dettagliata, che ha lo scopo di effettuare i necessari
approfondimenti sulle informazioni ritenute significative in base
all’indagine preliminare e di raggiungere un livello adeguato di
conoscenza per programmare le verifiche previste nella fase
successiva166;
b) lo svolgimento dell’attività di verifica, la quale consiste nell’effettuare i
test necessari alla raccolta di informazioni, o evidenze (evidence), che
costituiscono il materiale di base raccolto dall’auditor sul quale si
fondano i giudizi, le critiche e le raccomandazioni dell’auditor stesso167.
Per quanto riguarda l’analisi dettagliata, essa comprende la mappatura del
processo che si avvale dei seguenti strumenti:
166
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 309.
167
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 316.
107
4. Le metodologie di revisione interna
• macroanalisi del processo, già avviata durante l’indagine preliminare e
qui completata con informazioni di maggior dettaglio;
• flowchart delle attività, che consentono di analizzare il flusso
procedurale e quello interfunzionale;
• matrici dei rischi e controlli, utili per mappare le attività in termini di
rischio e controllo.
Attraverso una macroanalisi del processo è possibile descrivere il flusso di
informazioni o i passaggi significativi nelle varie operazioni relativi a
determinate attività che compongono il processo. Essa ci consente di
ottenere un’analisi delle principali attività e delle relative Funzioni
coinvolte, evidenziandone il grado di integrazione o il grado di
coinvolgimento interfunzionale.
I flowchart permettono, invece, di descrivere le attività che caratterizzano il
processo, le responsabilità attribuite e la struttura dei controlli. Consentono,
altresì, di comprendere i rischi operativi, tenendo conto degli obiettivi di
business e di governo rilevati nella fase dell’indagine preliminare.
Il flowchart traccia l’intero flusso caratteristico del processo includendo
informazioni quali168:
-
soggetti che procedono all’elaborazione, approvazione o integrazione
del documento o dei dati;
-
utilizzo di più copie documentali o flussi informatici di dati per il
trattamento separato ai fini contabili, gestionali o amministrativi.
Nella figura 5, riportiamo un esempio di flowchart funzionale, denominato
anche flowchart “a corsie”, che descrive il flusso di un documento o delle
168
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 311.
108
4. Le metodologie di revisione interna
fasi di un processo attraverso le diverse aree funzionali/dipartimentali di
un’organizzazione.
Il flowchart permette un’agevole lettura di un processo o attività complesse
che si articolano in numerosi passaggi in termini di approvazioni e
trattamento dei documenti. Esso, inoltre, fornisce una rappresentazione
chiara e sintetica di procedure e operazioni che hanno natura
interfunzionale,
permette
di
far
chiarezza
sugli
aspetti
inerenti
l’accountability (principio che richiede che per qualsiasi attività, a
prescindere dalla sua rilevanza, sia possibile identificare una persona
responsabile all’interno della struttura organizzativa) e consente di
individuare eventuali problematiche relativamente alla separazione dei
compiti (segregation of duties)169.
Risulta fondamentale, infatti, una responsabilizzazione diffusa all’interno
dell’organizzazione e una distribuzione delle responsabilità all’interno della
stessa, in modo tale da garantire che ciascun processo sia opportunamente
“presidiato”.
169
Con il principio della “separazione dei compiti” si fa riferimento alla suddivisione tra soggetti
diversi delle operazioni che incidono sul patrimonio dell’azienda. Tale accorgimento
organizzativo, laddove giustificato da un favorevole rapporto costi/benefici, oltre a limitare il
rischio di appropriazioni indebite, favorisce la distribuzione della conoscenza dei processi
aziendali fra più operatori, consentendo di migliorare la trasparenza dello svolgimento dei singoli
processi aziendali e la fiducia sui singoli operatori. Un esempio, in ambito amministrativo, di
separazione dei compiti riguarda l’emissione di ordini di acquisto e il pagamento degli stessi,
oppure l’effettuazione dei pagamenti ai fornitori e la registrazione ed archiviazione degli stessi o,
ancora, la supervisione della produzione e il controllo di qualità, ecc.
109
4. Le metodologie di revisione interna
Processo degli Acquisti
Strutture richiedenti
Acquisti
Fornitori
Magazzino
Amministrazione
Selezione
fornitori
Elaborazione
proposta
Accettazione
merce
Fattura
Richiesta
ordine
Proposta
Registrazione
fattura
Registrazione
fattura
Verifica
avanzamento
ordine
Proposta
Ordine
Ordine
Verifica
avanzamento
consegne
Emissione
ordine
Consegna
merce
Verifiche
amministrative
Emissione
ordine
Registrazione
fattura
Richiesta
d’acquisto
Ordine
Fattura
Fig. 5
Infine, la matrice dei rischi e controlli è lo strumento metodologico per
l’analisi dei rischi inerenti e per la valutazione preliminare dei controlli
presenti e, quindi, del rischio residuale relativo al raggiungimento degli
obiettivi propri dell’area/processo oggetto di audit170.
L’identificazione dei rischi e dei controlli può essere supportata dall’analisi
dei flowchart, che aiutano nell’individuazione dei rischi operativi e dei
controlli di linea che li presidiano171.
170
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 311-312.
171
La realizzazione della matrice dei rischi e controlli si basa sull’applicazione di modelli di
rischio e di controllo che non saranno oggetto di trattazione in questa sede (per ulteriori
approfondimenti, vedi Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate
governance. Egea Edizioni, Milano, Marzo 2007, Cap. 5-6). Nel caso dell’analisi dei rischi, si
tratta concretamente di comprendere se un rischio teorico previsto dal modello di riferimento
adottato risulta pertinente rispetto alle attività/obiettivi oggetto di analisi e di formulare una
valutazione preliminare del livello di probabilità e impatto del rischio stesso. Analogamente, per
quanto riguarda i controlli l’applicazione pratica di un modello standard di riferimento consente di
110
4. Le metodologie di revisione interna
L’esecuzione dell’incarico segue solitamente un “programma di audit”
(audit program) che si basa sulle risultanze dell’indagine preliminare e
dell’analisi dettagliata. Esso indica i contenuti delle procedure di verifica di
audit da effettuare nel corso dell’attività sul campo, tali procedure
permetteranno di raccogliere la documentazione necessaria (audit evidence)
per supportare le conclusioni dell’internal auditor.
Le principali finalità dell’audit program sono172:
• sintetizzare i contenuti del lavoro da svolgere;
• specificare le modalità di attuazione del lavoro;
• lasciare traccia del lavoro svolto e degli auditor che lo hanno realizzato;
• agevolare la supervisione e il controllo sull’attività di audit.
Sulla base della mappa dei rischi e dei controlli definita precedentemente è
possibile procedere all’identificazione delle opportune attività di verifica e
delle procedure di audit che devono essere applicate.
Presentiamo qui di seguito quattro diverse situazioni inerenti il grado di
rischio e il livello di controllo aziendale:
-
rischio basso/controllo aziendale basso: è tipicamente un’area di
esclusione per le attività di test. Salvo specifiche richieste da parte del
management, infatti, non risulta giustificato l’impegno di risorse;
-
rischio alto/controllo aziendale alto: è l’area di test tradizionale; il test
assume la forma della verifica dell’esistenza e del funzionamento del
sistema di controllo previsto. Nel caso di sistemi di controllo
formalizzati (proceduralizzati-normati), la forma è invece quella della
verifica di compliance;
identificare e classificare i controlli esistenti, comprendendone le proprietà e consentendo la
valutazione preliminare del grado di presidio dei rischi evidenziati.
172
Cfr. Gleim I.N., CIA Review, Gleim Publications Inc.,2004.
111
4. Le metodologie di revisione interna
-
rischio alto/controllo aziendale basso: è una situazione anomala che può
avere carattere transitorio o che, comunque, può essere il risultato di
recenti evoluzioni. L’eventuale transitorietà del rischio può, come nel
primo caso, escludere l’area dall’attività di test; in caso contrario, questa
situazione
è
generalmente
orientata
alla
stima
dell’effettivo
impatto/probabilità del rischio evidenziato al fine di fornire le
informazioni
indispensabili
per
determinare
l’investimento
giustificabile, in termini di implementazione del sistema di controllo;
-
rischio basso/controllo aziendale alto: è una potenziale area di
inefficienza riconducibile a evoluzioni del contesto che hanno condotto
a riduzioni del rischio o all’esistenza in azienda di un approccio non
strutturato al disegno delle attività di controllo. Le attività di test in
quest’ambito sono legate a incarichi di audit di carattere consulenziale
orientate alla valutazione dell’economicità del sistema di controllo e alla
sua ottimizzazione.
L’audit program è soggetto all’approvazione da parte del responsabile
dell’Internal Auditing, in esso, quindi, sono stabilite tutte le attività di
analisi e di verifica che devono essere effettuate, nonché le metodologie e le
tecniche per esaminare e documentare lo svolgimento del lavoro. Le
procedure stabilite nell’audit program potranno subire ampliamenti o
modiche a seconda delle circostanze che si presentano durante l’incarico173,
tale documento si rivela, comunque, molto utile poiché consente di gestire
le attività di test fornendo precise indicazioni operative ai membri del team
di audit.
L’attività di verifica, come già accennato in precedenza, consiste
nell’effettuazione, da parte dell’auditor, dei test necessari a raccogliere le
evidence a supporto delle sue conclusioni.
173
Cfr. Standard IIA 2240. Programma di lavoro.
112
4. Le metodologie di revisione interna
Uno degli aspetti fondamentali dell’efficacia degli interventi di auditing è
rappresentato dall’esistenza di norme standard di svolgimento dell’attività
(inerenti ad esempio le carte di lavoro, le tecniche di campionamento, le
modalità di indagine), che di fatto uniformano l’attività di verifica e la
rendono confrontabile nel tempo, garantendo una continuità che prescinde
dalle persone in essa impiegate.
Le tecniche tipicamente utilizzate consistono in interviste, analisi di dati e
indicatori, osservazione visiva e varie tipologie di test e di verifica.
Le attività di verifica che, in linea generale, sono effettuate dall’internal
auditor sono le seguenti174:
• verifica di coerenza tra quanto rilevato nell’analisi di processo e quanto
effettivamente praticato, attraverso interviste, osservazione diretta e altre
verifiche documentali;
• verifica del rispetto delle procedure aziendali, che possono implicare un
ampio spettro di controlli;
• riscontro di tempi e di altri indicatori di efficienza del processo di
controllo;
• ricerca di eccezioni nell’ambito di intere banche dati;
• analisi di dati e indicatori;
• tutte le altre attività tradizionali tipicamente utilizzate nella revisione
aziendale che generano evidenze di audit a supporto della formulazione
delle conclusioni175.
174
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 317.
175
Il riferimento è rivolto alle tipiche tecniche di raccolta delle evidenze di audit utilizzate in
materia di revisione aziendale tra cui:
- interviste;
- ricalcolo dei dati quantitativi;
- test di dettaglio: esame di documenti o dati, creati successivamente al controllo di attività e
transazioni, i quali forniscono le migliori evidenze dell’effettivo verificarsi di una transazione o
dell’avvenuta applicazione di una procedura di controllo;
- osservazione e ispezione;
113
4. Le metodologie di revisione interna
Conseguentemente allo svolgimento dell’attività di audit, possono emergere
carenze nel sistema di gestione dei rischi e di controllo che andranno a
costituire i cosiddetti rilievi di audit. Tali rilievi, se emersi nel corso dello
svolgimento dell’attività di verifica, dovranno essere registrati come rilievi
preliminari e dovranno essere discussi con il management interessato176 per
l’identificazione di possibili azioni correttive ed integrazioni al sistema di
controllo interno volte al contenimento dei rischi evidenziati177.
Tali rilievi, in base alla valutazione finale delle evidenze accumulate e alla
significatività del rilievo, possono essere inclusi nell’audit report finale178.
I rilievi significativi sono quelli concernenti le condizioni che, secondo il
giudizio dell’auditor, possono influenzare negativamente l’organizzazione.
Essi possono riguardare condizioni relative a irregolarità, atti illeciti, errori,
- scansione: comporta la ricerca di eccezioni o anomalie all’interno di una grande quantità di dati.
Risulta efficace quando è possibile identificare con facilità elementi inusuali, (ad esempio per la
verifica delle posizioni a credito sui conti debitori e posizioni debitorie sui conti creditori);
- campionamento statistico;
- richieste di conferma: vengono inviate dall’internal auditor a terze parti esterne all’ambito di
audit. Le risposte, che tornano direttamente all’internal auditor, costituiscono evidenze
puramente esterne (spesso utilizzata per verificare l’affidabilità dei crediti o posizioni in
generale verso i clienti);
- procedimenti analitici di auditing: forniscono uno strumento efficace ed efficiente per valutare i
dati raccolti nel corso dell’incarico, attraverso il loro confronto con quelli attesi o sviluppati
dall’auditor. Essi sono utili per identificare differenze che non dovrebbero sussistere, assenza di
differenze che invece dovrebbero essere presenti, possibili errori, possibili irregolarità o atti
illeciti, altri eventi o transazioni insolite o non ricorrenti.
Cfr. Guida Interpretativa IIA 2320.1(1). Analisi e valutazione.
Per ulteriori approfondimenti cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate
governance. Egea Edizioni, Milano, Marzo 2007, pag. 318-322.
176
Una relazione ben coltivata con il management aziendale agevola senza dubbio la condivisione
dei risultati dell’audit, facilitando l’identificazione di adeguate azioni correttive. Risulta infatti di
fondamentale importanza curare la condivisione delle criticità, emerse nel corso dell’audit, con il
management, al fine di renderlo partecipe di quanto emerso e prepararlo alla condivisione
definitiva senza riservargli brutte sorprese alla fine.
177
L’esistenza temporanea di una pur significativa carenza di controllo non porta necessariamente
al giudizio che essa sia pervasiva e generi un rischio residuo inaccettabile. Per determinare se
l’efficacia dell’intero sistema dei controlli sia in pericolo e ci si trovi in presenza di rischi
inaccettabili, vanno considerati fattori quali la sistematicità delle anomalie e la gravità delle
conseguenze o della vulnerabilità presenti.
Cfr. Guida Interpretativa IIA 2120.A1-1. Valutazione e Reporting sul Processo di Controllo.
178
Cfr. Guida Interpretativa IIA 2410-6 Modalità di Comunicazione e 2330-1 Registrazione delle
informazioni.
114
4. Le metodologie di revisione interna
inefficienze, sprechi, inadeguatezze, conflitti d’interesse, debolezze nel
controllo179.
4. Il reporting.
Nella fase di reporting, l’attività di audit si focalizza sull’efficace
comunicazione dei risultati, finalizzata alla ricerca di comprensione e
condivisione delle criticità rilevate, nonché all’identificazione di adeguati
piani di azione per il rafforzamento del sistema di controllo interno a
supporto degli obiettivi aziendali180.
Tale fase può essere scomposta in due momenti fondamentali:
a) una riunione di presentazione dei risultati, detta exit meeting;
b) lo sviluppo dell’audit report.
L’exit meeting è una riunione che presenta molte caratteristiche simili a
quelle della riunione di apertura, il kick off meeting, e assume una rilevanza
tanto maggiore quanto maggiori sono le criticità evidenziate e gli sforzi
necessari per l’attivazione di adeguati piani d’azione, in considerazione
anche degli aspetti d’interfunzionalità che spesso li contraddistinguono181.
Tale incontro, spesso, si svolge dopo l’effettuazione di riunioni di
condivisione dei risultati, tra il team di audit e il management sottoposto ad
attività di auditing, che, in genere, hanno luogo nella fase di chiusura
dell’attività di verifica.
Nel momento in cui si rilevano criticità che presentano caratteristiche che
vanno al di là della semplice compliance a norme e procedure di area,
179
Cfr. Guida Interpretativa IIA 2060-1(2). Reporting al board e al senior management.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 340.
181
Cfr. Guida Interpretativa IIA 2440-1 Divulgazione dei risultati.
180
115
4. Le metodologie di revisione interna
richiedendo quindi il coinvolgimento di diverse strutture e ambiti di
responsabilità, l’exit meeting consente di coinvolgere non solo il
management dell’area auditata e gli eventuali superiori, ma anche quello di
strutture che gestiscono processi complementari o di supporto.
L’internal auditor, infatti, tramite la formulazione di ipotesi sulle possibili
azioni di mitigazione dei rischi, è in grado, solitamente, di individuare i
soggetti aziendali preposti alla loro gestione.
L’obiettivo dell’exit meeting è quello di presentare le stesse informazioni,
rilievi e suggerimenti che dovrebbero essere esplicitati nell’audit report, ma
adottando una forma di comunicazione più fluida e meno formale che
consenta di focalizzare l’attenzione sui contenuti piuttosto che sulla forma.
La condivisione dell’audit report, da questo punto di vista, è
frequentemente caratterizzata da un’estrema attenzione alle parole, alla
veste formale e alle implicazioni per l’immagine del management.
La condivisione anticipata, nel corso dell’exit meeting, dei concetti che
l’internal auditor desidera portare alla luce consente successivamente un più
disteso confronto con il management nella fase finale di revisione dell’audit
report, prima della sua emissione definitiva.
L’internal auditor dovrà essere in grado di fornire verbalmente tutte le
informazioni
che
intende
riportare
nell’audit
report
supportando
eventualmente le sue conclusioni con il dettaglio risultante dalle carte di
lavoro; il carattere collegiale del momento consentirà all’auditor di sfruttare
le conoscenze e le competenze dei diversi partecipanti per raccogliere
soluzioni a valore aggiunto182.
182
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 341.
Un aspetto negativo, peraltro, è rappresentato dai potenziali conflitti che possono insorgere durante
l’exit meeting tra i manager stessi. L’internal auditor ha, in questo caso, una responsabilità
fondamentale nel prevenire e gestire il manifestarsi di situazioni di questo tipo, impedendo che
l’incontro scateni conflitti latenti tra le parti (vedi Guida Interpretativa IIA 1000.C1-1 Principi
guida per lo svolgimento di attività di consulenza degli internal auditor).
116
4. Le metodologie di revisione interna
L’exit meeting dovrebbe concludersi con una definizione dei piani d’azione,
almeno nelle linee generali, e con un’identificazione dei responsabili della
realizzazione di ciascuna azione individuata.
Qui di seguito sono elencati i principali contenuti che sono condivisi da
tutte le comunicazioni di audit, sia che si tratti di un documento formale
inviato ai vertici aziendali o di una presentazione informale alla conclusione
dell’attività sul campo183:
-
una sintesi direzionale, cioè una sintesi del rapporto di audit (executive
summary) ad uso dell’alta direzione dell’organizzazione e delle altre sue
posizioni chiave interessate. Questa sintesi dovrebbe illustrare le
risultanze più importanti, positive e negative, e individuare le
opportunità di miglioramento;
-
l’obiettivo di audit e, ove opportuno, la spiegazione delle ragioni che
hanno condotto alla sua effettuazione e ai risultati attesi;
-
il contesto generale del processo o dell’oggetto di audit;
-
se possibile, una valutazione globale in merito a rilievi, conclusioni e
raccomandazioni di precedenti rapporti;
-
la descrizione del lavoro svolto, comprensiva dell’ambito di audit e
degli eventuali limiti di tale ambito;
-
la descrizione dei rilievi, delle conclusioni e dei suggerimenti;
-
l’identificazione del piano d’azione, indicando nel modo più concreto
possibile i responsabili e i tempi previsti per il completamento. Tale
piano potrà prevedere azioni a breve e azioni a medio-lungo termine in
quanto connesse a progetti aziendali di più ampio respiro184.
Relativamente all’audit report, esso è il documento, che chiude
formalmente l’intervento di audit, con il quale l’internal auditor riassume le
183
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 342-343.
184
Cfr. Guida Interpretativa IIA 2410-1 Modalità di comunicazione.
117
4. Le metodologie di revisione interna
attività svolte nel corso dell’incarico, relaziona sui rilievi emersi e propone
le proprie raccomandazioni. Tale documento costituisce una prova durevole
dell’attività di audit effettuata e ne consente la valutazione da parte di
soggetti terzi.
L’audit report può presentare finalità diverse e differenti stili a seconda dei
destinatari a cui si rivolge:
-
l’audit report rivolto al vertice aziendale, solitamente si presenta in
versione sintetica, focalizzandosi solo sui principali aspetti che possono
essere ritenuti significativi a tale livello;
-
l’audit report rivolto ai responsabili di processi o di Funzioni aziendali
sono invece mirati a far comprendere i punti di debolezza del sistema di
controllo interno dell’attività o dei processi di riferimento.
In generale, un audit report dovrebbe articolarsi secondo la seguente
struttura185.
-
titolo del report e oggetto dell’intervento, utile per consentire ai
destinatari un immediato inquadramento dei contenuti e degli obiettivi
dell’intervento di audit;
-
indicazione dei destinatari, quindi manager operativi dell’area soggetta
ad audit e/o responsabili dell’esecuzione delle azioni correttive, nonché i
superiori gerarchici di questi;
-
indicazione delle strutture aziendali coinvolte e periodo dell’intervento;
-
indicazione dell’ambito dell’audit e periodo di tempo coperto dalle
verifiche: consente una corretta valutazione di eventuali rilievi emersi
185
È opportuno precisare che non esiste una forma unica per la stesura dell’audit report, che
spesso risente della cultura e delle abitudini dell’organizzazione. In ogni caso, l’internal auditor
dovrà cercare di bilanciare un adeguato contenuto informativo, che consenta a tutti i destinatari
una piena comprensione dei fatti segnalati e una corretta valutazione delle criticità, con un livello
di sintesi che garantisca la leggibilità complessiva del report stesso.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 345-347.
118
4. Le metodologie di revisione interna
fornendo utili parametri per valutare la specificità e/o generalizzabilità
dei risultati;
-
indicazione dell’attività di verifica effettuate: costituisce una sintesi
dell’audit program applicato nel corso dell’attività di verifica ed è utile
ai destinatari per valutare le modalità con cui l’internal auditor è giunto
alla formulazione dei rilievi e la gravità degli stessi;
-
una prima valutazione di sintesi basata sui risultati delle verifiche, che
rimanda ai risultati dettagliati e alle raccomandazioni che sono riportate
per esteso nel prosieguo dell’audit report;
-
condizioni generali dell’area: si tratta di una sintesi delle condizioni
dell’area critica oggetto di rilievo con evidenziazione delle divergenze
tra quello che è stato riscontrato e quello che dovrebbe essere;
-
criticità rilevate: dovrebbe includere le verifiche effettuate e il risultato
delle stesse;
-
cause dei rilievi: è opportuno identificare le cause dei rilievi evidenziati
al fine di consentire al management la selezione di adeguate azioni
correttive186;
-
criteri di valutazione delle criticità: vengono esplicitati i criteri di
valutazione sulla base dei quali l’internal auditor decide di includere la
criticità tra quelle segnalate nell’audit report187;
-
conseguenze dei fatti riportati: questo punto evidenzia gli impatti
generati dalla criticità sull’organizzazione. Gli impatti possono essere
rappresentati da perdite o mancate opportunità, oppure essere soltanto
potenziali, come ad esempio nel caso di un sistema di controllo che non
186
A tal riguardo occorre fare attenzione a non ricondurre le criticità a semplici anomalie di
comportamento gestionale, cosa che tenderebbe a colpevolizzare i soggetti all’interno
dell’organizzazione. Tale fattispecie, in particolare, tende ad essere enfatizzata negli approcci più
tradizionali di carattere ispettivo: suscitando reazioni difensive, essa rende più difficile attivare nei
soggetti coinvolti un atteggiamento positivo che porti al superamento dei problemi.
187
Ai fini di tale valutazione potrebbe essere utile, per l’individuazione dei criteri da utilizzare, il
ricorso a confronti tra diverse entità della stessa organizzazione (benchmarking interni) o tra realtà
aziendali diverse (benchmarking esterni), così come all’opinione professionale di esperti,
preferibilmente esterni all’organizzazione.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 347.
119
4. Le metodologie di revisione interna
è in grado di prevenire determinati eventi a prescindere dal fatto che
l’evento si sia realizzato nel corso della verifica;
-
raccomandazioni di audit: come già accennato, esse rappresentano uno
degli elementi a valore aggiunto dell’incarico e, se pertinenti e ben
bilanciati sulla base di una valutazione costi/benefici, costituiscono
un’importante opportunità per l’audit nel supportare in termini
consulenziali le attività operative.
Nell’audit report possono essere inseriti anche aspetti positivi che
apprezzano, con commenti favorevoli, l’attività svolta dal management
sottoposto ad attività di audit. Alcuni di questi elementi possono essere
sintetizzati qui di seguito188:
-
evidenziare gli obiettivi raggiunti dal management;
-
mettere in luce le azioni già pianificate dal management;
-
evidenziare i limiti di contesto su cui il management ha scarsa o nulla
capacità di influire;
-
includere sempre i piani di azione come parte integrante del report.
Infine, è possibile che il management non concordi con i rilievi sollevati
nell’audit report. Tale fattispecie deve verificarsi soltanto in casi
eccezionali, in quanto il processo di gestione dell’incarico di audit, come
abbiamo visto nelle pagine precedenti, prevede diversi momenti di
condivisione dei risultati che consentono di evitare il manifestarsi di
posizioni inconciliabili al momento dell’emissione dell’audit report.
188
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 347-348.
120
4. Le metodologie di revisione interna
Una tale situazione rappresenta un segnale di allarme sulla qualità del
lavoro svolto e sull’affidabilità del management aziendale189.
5. Il follow up auditing.
Una volta emesso l’audit report, contenente i piani d’azione da
intraprendere con l’individuazione del management responsabile, la
Funzione di Internal Audit deve provvedere alla pianificazione dell’attività
di follow up190 che garantisce un reale valore aggiunto dell’attività di
verifica con cui vengono monitorati l’efficacia e il rispetto dei tempi
d’implementazione delle azioni correttive concordate nella fase precedente.
La natura, l’ampiezza e la tempificazione delle attività di follow up devono
essere determinate dal responsabile dell’Internal Auditing in funzione di
specifiche circostanze, quali la significatività dei rilievi emersi e delle
raccomandazioni effettuate, l’impegno e i costi necessari per l’attuazione
delle azioni correttive, gli eventuali effetti che potrebbero manifestarsi in
caso di fallimento dell’azione correttiva, la complessità di tali azioni ed il
tempo necessario per il follow up.
Concretamente, le diverse attività che possono essere realizzate in tale fase
sono riportate qui di seguito in ordine di economicità191:
-
richiesta di stato di avanzamento al management: si tratta di una
richiesta formale a scadenza dello stato di avanzamento delle attività
pianificate dal management responsabile. Tali richieste presentano il
189
In questo caso è necessario che l’audit report preveda uno spazio adeguato per riportare le
posizioni in disaccordo. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate
governance. Egea Edizioni, Milano, Marzo 2007, pag. 348.
190
Lo Standard IIA 2500 Processo di monitoraggio, ci fornisce una definizione di follow up
identificandolo come il processo tramite il quale l’internal auditor determina l’adeguatezza,
l’efficacia e la tempestività delle azioni correttive intraprese dal management in risposta ai rilievi e
alle raccomandazioni presentate.
191
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 245.
121
4. Le metodologie di revisione interna
vantaggio di responsabilizzare il management senza compromettere
significativamente l’immagine consulenziale dell’internal auditing e
garantiscono comunque uno stimolo al completamento dei piani di
azione previsti;
-
verifiche dei piani di azione nel corso di audit specifici: richiedono la
pianificazione e l’esecuzione a scadenza di appositi interventi di audit
con un programma di lavoro specificatamente orientato alla verifica
dell’implementazione dei piani di azione;
-
verifiche dell’effettivo miglioramento del sistema di controllo interno
tramite audit successivi: prevedono la formulazione di specifici test
legati alla realizzazione delle azioni correttive nell’ambito dei
programmi di audit, da realizzare in successivi interventi previsti per
l’area stessa. Tale approccio viene spesso utilizzato quando siamo in
presenza di rischi significativi, il cui mancato presidio rappresenterebbe
una minaccia grave al raggiungimento degli obiettivi aziendali. In tali
casi, l’assicurazione offerta da un soggetto indipendente quale l’Internal
Auditing viene privilegiata rispetto alla sola responsabilizzazione del
management.
Se non prestato con la necessaria attenzione, il coinvolgimento forte della
Funzione di Internal Auditing nel processo di follow up può determinare
una
deresponsabilizzazione
del
management
dell’area
oggetto
dell’intervento e, inoltre, potrebbe far emergere il ruolo ispettivo e
poliziesco della funzione stessa, compromettendo la sua immagine
consuleziale di attività a valore aggiunto, nonché i rapporti con le Funzioni
auditate.
Abbiamo già evidenziato che, nel processo di follow up, l’internal auditor
deve assicurarsi che siano state intraprese azioni correttive e che queste
stiano ottenendo i risultati desiderati. Può verificarsi la fattispecie in cui il
board o il senior management si siano assunti la responsabilità di non
122
4. Le metodologie di revisione interna
intraprendere azioni correttive, accettando quindi, un livello di rischio
giudicato potenzialmente eccessivo per l’organizzazione da parte del
responsabile dell’Internal Auditing; in tal caso, sarà necessaria una
discussione tra le due parti coinvolte e, in caso di persistenza del
disaccordo, la comunicazione del problema al vertice manageriale192.
L’accettazione del rischio e quindi la rinuncia da parte del management
aziendale ad intraprendere azioni correttive non può essere tacita, ma deve
sempre risultare da un documento formale di accettazione dello stesso da
parte del vertice. Il rischio, infatti, può essere accettato soltanto in funzione
di un’assunzione di responsabilità esplicita e formalizzata.
3. L’APPROCCIO RISK BASED
Come descritto precedentemente, nel modello di Enterprise Risk
Management (ERM) il risk assessment è parte integrante del sistema di
gestione dei rischi, esso, infatti, permette di individuare e misurare i rischi
pertinenti all’organizzazione. L’attività di internal auditing e il ruolo che il
revisore interno è chiamato a svolgere, risultano essere propedeutici al buon
funzionamento di tutto il sistema di risk management.
Un buon sistema di governance fa affidamento sulla gestione dei rischi
attraverso l’utilizzo di sistemi di gestione e di strumenti che consentano di
aumentare la consapevolezza di tutte le possibili incertezze e degli ostacoli
che si frappongono al raggiungimento degli obiettivi aziendali193.
192
Cfr. Standard IIA 2600 Accettazione del rischio da parte del management.
Qualora il responsabile dell’Internal Auditing ritenga che il senior management abbia accettato un
livello di rischio residuo che potrebbe essere eccessivo per l’organizzazione, ne deve discutere con
il senior management. Se il disaccordo permane, il responsabile dell’Internal Audit e il senior
management devono riportare il problema al board.
193
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 167.
123
4. Le metodologie di revisione interna
Uno degli strumenti e delle metodologie più idonei ad identificare,
selezionare, misurare e gestire i rischi esterni ed interni è il risk
management che consente al management di focalizzare la propria
attenzione sui rischi più significativi, tra cui anche i rischi strategici e quelli
reputazionali.
Rispetto all’utilizzo di una metodologia tradizionale che si incentra
principalmente sul sistema formale dei controlli, tale approccio consente di
porre attenzione sulla gestione dei rischi aziendali e sugli effetti che
importanti cambiamenti, già intervenuti o che interverranno nell’ambiente
interno o esterno all’azienda avranno sul modello di business aziendale e
sulla performance dell’impresa.
Il Risk based auditing identifica “il controllo come una forma di
attenuazione del rischio” e pur rispettando i medesimi passi del processo di
internal auditing descritto nelle pagine precedenti, adotta una nuova ottica
di analisi delle problematiche, conducendo a194:
-
l’individuazione di variabili interne ed esterne all’organizzazione che
possono incidere sulla realizzazione degli obiettivi da parte della stessa;
-
la quantificazione e la valutazione degli effetti in termini di probabilità
di impatto, monetario o non monetario, di tali variabili sui risultati
relativi ad un processo, ad una business unit o all’azienda nel suo
complesso.
Entrando più nel dettaglio, l’approccio basato sui rischi si articola nei
seguenti momenti:
1)
Identificazione
degli
obiettivi
strategici
dell’azienda
e
delle
attività/processi per la loro realizzazione. A tal fine possono essere
194
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 167.
124
4. Le metodologie di revisione interna
utilizzati diversi strumenti importanti per la governance aziendale,
impiegati nell’analisi degli scenari attuali e previsionali per l’azienda tra
cui, sistemi di monitoraggio dell’ambiente esterno, strumenti quali la
balance scorecard, l’analisi del piano strategico e degli obiettivi di
budget, interviste al management e ai responsabili operativi ed altri
sistemi di pianificazione e di programmazione e controllo;
2)
Identificazione
delle
maggiori
criticità/opportunità
relative
al
raggiungimento degli obiettivi strategici, dopo una preventiva
valutazione dei punti di forza/debolezza dell’azienda, in relazione al
contesto competitivo di riferimento;
3)
Identificazione delle aree di rischio significative. A tal riguardo risulta
determinante l’esperienza del revisore e può essere molto utile il
riferimento a benchmarking settoriali;
4)
Valutazione dell’adeguatezza del sistema di controllo interno per
ciascuna area di rischio, in relazione ai fattori determinanti il livello di
rischio stesso;
5)
Mappatura dei rischi aziendali, ovvero ordinamento delle aree da
monitorare in funzione della loro “vulnerabilità”;
6)
Comunicazione
delle
opinioni
e
raccomandazioni
in
merito
all’adeguatezza del sistema di controllo interno ed ai principali rischi
aziendali, ai responsabili operativi e, ove necessario, agli altri organi di
controllo e al vertice aziendale.
L’approccio metodologico per l’identificazione e valutazione dei rischi
deve consentire un adeguato coinvolgimento dei soggetti interessati,
pertanto, a seconda delle esigenze aziendali e del contesto di riferimento, si
possono identificare tre metodi che si contraddistinguono per un diverso
grado di complessità, dinamismo e turbolenza.
125
4. Le metodologie di revisione interna
-
Approccio top down, dove i manager vengono significativamente
guidati dall’alto nell’identificazione e valutazione dei rischi. In alcuni
casi, ad esempio, i process owner devono identificare i rischi rilevanti
per il processo di cui sono responsabili, facendo riferimento a un preciso
questionario sviluppato a livello di corporate ed effettuarne la
valutazione in base a criteri specifici;
-
Approccio bottom up, i manager identificano autonomamente i propri
obiettivi e segnalano i rischi che possono ostacolarne il raggiungimento.
In tal modo, è possibile avere un feedback sul grado di comprensione
degli obiettivi aziendali da parte dei manager, verificando la coerenza
tra le loro percezioni e quanto definito a livello globale;
-
Approccio down-bottom up, si articola in una prima fase in cui vengono
definiti gli obiettivi aziendali declinati a cascata a partire dagli obiettivi
strategici (fase top down) e in un secondo momento in cui, una volta
definiti gli obiettivi, si procede all’identificazione dei rischi da parte
delle diverse strutture aziendali (funzioni corporate, business unit,
attività operative, etc.) e alla successiva valutazione per poi procedere
ad un consolidamento195 a livello globale (bottom up)196.
La fase di identificazione e classificazione dei rischi e valutazione e
selezione degli stessi, come abbiamo appena visto, viene normalmente
condotta dal management, ma tale attività di risk assessment viene
condivisa con la Funzione di Internal Auditing che si trova, dunque, ad
assistere attivamente nello sviluppo e nell’attuazione concreta di un
approccio improntato alla gestione del rischio aziendale.
195
Il consolidamento può essere effettuato dai responsabili del processo di risk assessment senza
un ulteriore coinvolgimento dei soggetti che hanno svolto le attività di identificazione e
valutazione dei rischi (consolidamento non iterativo), oppure può essere attuato sulla base di un
confronto tra le persone coinvolte nel processo di risk assessment, che può realizzarsi con modalità
differenti a seconda delle esigenze aziendali (consolidamento iterativo). A seguito di questo
confronto, si verificherà un’iterazione del processo finalizzata alla verifica e/o all’aggiustamento
dei valori disallineati in maniera significativa.
196
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 169.
126
4. Le metodologie di revisione interna
Secondo tale metodologia, l’internal auditor non parte da obiettivi già
definiti dal management aziendale, ma si pone come un’interfaccia continua
nei confronti dell’alta direzione, esercitando per essa una vera e propria
attività di consulenza in merito agli ostacoli che si frappongono nel
conseguimento degli obiettivi aziendali, con un’ottica di osservazione
prospettica dell’impatto degli stessi sugli equilibri dell’organizzazione.
L’individuazione delle unità assoggettabili ad audit tipica della metodologia
di auditing tradizionale colpisce soltanto “indirettamente” le diverse
Funzioni, i processi e le business unit che sono soggette ad auditing in virtù
di una valutazione del rischio per unità organizzativa.
In graduatoria vengono posti i rischi aziendali, misurati in termini di
impatto sugli obiettivi di business complessivi e per quanto concerne la
tempificazione delle attività di audit, essa non è vincolata ad un audit
program rigido, ma è soggetta ad una verifica continua sul valore
dell’informazione generata rispetto al tempo (e al costo) del suo
ottenimento.
In tale ottica, all’internal auditor sarà richiesta una valutazione sulla validità
delle azioni di contenimento dei rischi aziendali e sull’efficacia dei controlli
interni, pertanto, per la formulazione di ipotesi ritenute ragionevoli dovrà
procedere ad una raccolta di informazioni sufficienti sull’entità dei rischi.
È opportuno precisare che, la gestione integrata delle macro-categorie di
rischio (tra cui, ad esempio, le categorie di Market Risk, Credit Risk e
Operational Risk), e la conseguente analisi delle stesse, non può essere
effettuata con una visione radiale dei rischi, come esemplificato nella
Figura 6.
Il punto di vista radiale, infatti, consente all’osservatore (che è posizionato
al centro) di identificare e valutare solo i rischi che entrano direttamente nel
proprio campo visivo: in questo modo, è possibile avere solo una
conoscenza frammentaria dei rischi che possono impattare sull’azienda,
127
4. Le metodologie di revisione interna
escludendo la possibilità di avere una visione organica che tenga conto delle
interdipendenze tra i diversi rischi.
Nell’approccio risk based la centralità dell’auditor, nello sviluppo delle
strategie di ERM, richiede l’utilizzo di strumenti che consentano di
identificare in maniera sistematica i rischi che possono impattare
sull’azienda e di fornire una corretta valutazione delle conseguenze che
questi rischi possono comportare per l’organizzazione stessa.
È fondamentale scegliere un punto di vista strategico che consenta una
gestione integrata dei rischi aziendali e, pertanto, l’adozione di un modello
piramidale dei rischi potrebbe essere un valido strumento per valutare la
possibilità di intervenire sulla probabilità di accadimento degli eventi
negativi o sulla gravità del loro impatto.
LA VISIONE RADIALE DEL RISCHIO
ET
ED
IT
K
AR
RI
SK
M
SK
CR
RI
IA
IA
OPERATIONAL RISK
Fig. 6
128
4. Le metodologie di revisione interna
La piramide dei rischi (Figura 7) può essere utilizzata sia nello sviluppo
dell’attività di event identification, sia nella fase di risk assessment previste
dal CoSO-ERM.
L’event identification è una fase delicata nella definizione di una strategia
ERM: è in questo momento, infatti, che gli eventi a cui l’azienda può
andare incontro vengono classificati come rischi o come opportunità, in
funzione del livello di risk appetite definito dal management.
Una volta identificati gli eventi che possono comportare conseguenze
indesiderate al raggiungimento degli obiettivi di business dell’azienda, la
piramide dei rischi consente all’internal auditor di valutare gli eventi
negativi in funzione della possibilità da parte del management di intervenire
sulla probabilità di accadimento o sulla gravità dell’impatto dello specifico
evento.
Questa sistematizzazione consente all’internal auditor di monitorare
costantemente i singoli eventi potenzialmente dannosi per la propria
azienda.
LA PIRAMIDE DEI RISCHI NELL’EVENT IDENTIFICATION
MARKET
RISK
CREDIT
RISK
OPERATIONAL
RISK
IA
IA
Fig. 7
129
4. Le metodologie di revisione interna
A differenza di quanto avviene con la visione radiale del rischio, in questo
caso, la posizione di monitoraggio dell’auditor è collocata alla base della
piramide: in questo modo, i rischi immediatamente individuabili sono quelli
operativi, cioè i rischi sui quali il management può decidere di intervenire
direttamente, in funzione della loro criticità, utilizzando i diversi strumenti
di risk management che ha a disposizione. Una volta superati i rischi
operativi, è possibile individuare i rischi di credito e i rischi di mercato.
Questa visione panoramica consente all’auditor di intuire le event
interdipendencies, cioè quelle “relazioni pericolose” tra i rischi individuati
di cui è necessario tener conto nella fase successiva di risk assessment.
A questo punto l’internal auditor può contribuire alla valutazione delle
criticità dei rischi che possono impattare sull’azienda.
L’assessment del rischio è un’attività particolarmente delicata, attraverso la
quale il rischio in esame viene definito in funzione della relazione tra
probabilità di accadimento dell’evento indesiderato e dell’impatto che
questo può avere sul raggiungimento degli obiettivi aziendali.
Questa operazione consente di “etichettare” il rischio in funzione della sua
criticità e di collocarlo in una zona precisa della matrice del rischio (Figura
8). Tale matrice è solitamente rappresentata dallo spazio compreso tra gli
assi cartesiani, con i valori di probabilità e di impatto, che si intersecano in
un punto 0; lo spazio viene così diviso in quadranti (4 nel nostro caso) nei
quali i rischi vengono collocati a seconda della loro criticità.
130
4. Le metodologie di revisione interna
LA MATRICE DEL RISCHIO
HIGH-HIGH
LOW-LOW
LOW-HIGH
IMPATTO
HIGH-LOW
PROBABILITA’
Fig. 8
L’auditor deve conoscere bene l’importanza della matrice di rischio, sia
come strumento operativo, sia come strumento di comunicazione al
management delle criticità aziendali; criticità che nel processo di ERM
devono essere stimate in funzione di quella che il CoSO-ERM definisce
correlation of event, vale a dire il sistema di interrelazioni che si vengono a
creare tra i rischi.
Per questo sistema di relazioni l’attività di risk assessment non può essere
effettuata sul singolo rischio, ma necessariamente sulla valutazione degli
effetti che il verificarsi di quel rischio può comportare, tenendo conto di
come questi effetti possano innescare altri eventi dannosi.
In questo senso, l’utilizzo di un modello piramidale potrebbe essere utile
nella creazione degli scenari di rischio e nell’individuazione dei near
misses, quegli eventi (negativi) che potrebbero avvenire se si verificassero
determinate condizioni.
Anche in questo caso, a differenza della visione radiale del rischio, la
piramide dei rischi consente all’auditor di stimare il valore del rischio in un
contesto integrato, che metta in evidenza l’interdipendenza tra gli eventi
131
4. Le metodologie di revisione interna
negativi e che consenta quindi di definire con maggior precisione il
collocamento dello specifico rischio all’interno della matrice di rischio197.
L’attenzione all’interdipendenza tra i rischi consente di “tarare” con più
precisione il peso specifico di ogni rischio in funzione degli scenari che
possono derivare dal verificarsi dello stesso, definendo con maggior
approssimazione il valore dell’impatto complessivo che il rischio può avere
sull’azienda.
Quanto appena detto è essenziale per l’effettuazione di un corretto risk
assessment e, inoltre, l’utilizzo di tali modelli consente di dimostrare al
management come una specifica interdipendenza tra rischi giustifichi la
richiesta di intervenire con investimenti atti a ridurre il verificarsi di un
potenziale trigger event198.
È necessario sottolineare che, l’implementazione dell’approccio risk based
richiede all’internal auditor una grande esperienza ed elevate competenze
professionali, oltre che un continuo dialogo con i manager e il personale
operativo di riferimento.
Il rapporto di audit sarà incentrato, non tanto sulle non conformità di
singole attività o processi da cui poi scaturiranno controlli di remediation
tipici della fase di follow up, ma si concentrerà sui rischi individuati e sulla
valutazione delle politiche di gestione dei rischi intraprese, tutto ciò con la
collaborazione del management e dei responsabili operativi, i cui contatti
formali o informali garantiranno lo sviluppo del processo di risk
management.
197
Si pensi, ad esempio, alla distruzione accidentale dei disegni (rischio operativo): essa può
impattare sulla capacità di produzione dell’azienda, la quale si trova in difficoltà nella consegna
del materiale ai clienti (rischio operativo) con conseguente perdita economica dovuta al
pagamento delle penali previste dal contratto di fornitura del materiale (credit risk); le perdite
economiche possono causare una crisi di liquidità all’azienda, la cui reputazione, nel frattempo, ha
subito un calo con conseguente perdita di quote di mercato (market risk).
198
Cfr. DAL NEGRO L., “Il terremoto di Kobe, ovvero l’interdipendenza tra i rischi.”, Internal
Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007 p. 32-36.
132
4. Le metodologie di revisione interna
L’approccio basato sui rischi, nonostante fornisca all’organizzazione
maggior
valore
aggiunto
rispetto
ad
un
approccio
tradizionale,
concentrandosi sulle aree a rischio più elevato, favorendo la condivisione
delle analisi con il management operativo e presentando un’alta capacità
informativa per gli operatori aziendali sulla rilevanza di meccanismi di
controllo come mezzi di raggiungimento degli obiettivi, richiede all’internal
auditor l’acquisizione di una serie di competenze che vanno oltre l’ambito
della revisione.
Sono necessari, fra le altre cose, una buona conoscenza del contesto di
riferimento in cui opera l’azienda e competenze manageriali nei diversi
settori gestionali che non sempre il revisore interno possiede; in questi casi,
c’è il rischio che tale approccio non consenta di giungere ad una
valutazione complessiva dei controlli interni.
4. IL CONTROL & RISK SELF ASSESSMENT (CRSA)
Come già visto precedentemente, nell’attuale contesto economico, il tema
dell’analisi dei rischi è diventato di fondamentale importanza. Lo stesso
Codice di Autodisciplina, ispirandosi all’ “ERM – Integrated Framework”
del 2004, propone una definizione di sistema di controllo interno da
intendersi come “l’insieme delle regole, delle procedure e delle strutture
organizzative volte a consentire, attraverso un adeguato processo di
identificazione, misurazione, gestione e monitoraggio dei principali rischi,
una conduzione dell’impresa sana, corretta e coerente con gli obiettivi
prefissati”.
In particolare, l’adozione di un approccio basato sui rischi acquista
rilevanza in termini di comunicazione al mercato; infatti, gli emittenti sono
chiamati a fornire un’adeguata informativa sul livello di rischio e sui
133
4. Le metodologie di revisione interna
meccanismi di risk management implementati e ciò consente di tutelare
maggiormente gli investitori, che sono messi nelle condizioni di valutare i
rischi del proprio investimento.
Il processo di valutazione dei rischi rappresenta, quindi, sia una
componente del sistema di controllo interno, sia una fase di svolgimento del
risk management. Abbiamo avuto modo di osservare che il concetto di
valutazione del rischio qualifica un insieme coordinato di attività inerenti
l’identificazione, la misurazione e la classificazione, in base alle priorità,
dei rischi aziendali.
La responsabilità di tale processo, pur coinvolgendo l’intera struttura
organizzativa, è comunque affidata al vertice aziendale, mentre all’internal
auditor, spesso, spetta il compito di un suo monitoraggio. Tale attività ha
comportato la necessità di sviluppare nuovi canali di comunicazione, tra
revisori interni e management, che favorissero l’evoluzione di meccanismi
operativi utili alla valutazione dei rischi.
La metodologia di Control & Risk Self Assessment (CRSA) può costituire
un utile ed efficiente strumento di collaborazione tra manager ed internal
auditor nell’analisi e nella valutazione dei processi di risk management e
controllo dell’organizzazione.
Il CRSA può essere definito come una “metodologia di autodiagnosi”,
caratterizzata da un’attiva partecipazione del management, che consente ai
manager e ad altri soggetti operativi di un’unità organizzativa, funzione o
processo, attraverso un processo strutturato e guidato, di199:
-
identificare gli obiettivi di business e di governo prioritari e i relativi
rischi e vulnerabilità potenziali che costituiscono minacce al loro
conseguimento;
-
valutare i processi di controllo finalizzati a mitigarli o gestirli;
199
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 247.
134
4. Le metodologie di revisione interna
-
sviluppare iniziative per ridurre i rischi che emergono nel corso
dell’autodiagnosi;
-
determinare il livello di accettabilità dei rischi residui ai fini del
conseguimento degli obiettivi200.
La grande novità del CRSA è rappresentata dal prefisso “self”, ovvero
auto-valutazione. Nel parlare di valutazione dei controlli interni, viene
chiamato in causa l’intero management dell’organizzazione e i suoi gruppi
di lavoro, e non l’Internal Auditing.; ed è proprio l’aspetto auto-valutativo
la vera innovazione rispetto all’approccio risk based, in cui è l’Internal
Auditor
a
valutare
l’efficacia
dei
controlli
posti
in
essere
dall’organizzazione per raggiungere gli obiettivi stabiliti, sulla base dei
rischi aziendali201.
Le modalità di effettuazione del CRSA non seguono criteri predefiniti, ma
si modificano per adattarsi ai continui cambiamenti dell’organizzazione in
funzione del settore di appartenenza, della struttura organizzativa, del
livello di empowerment del personale, dello stile manageriale e dei sistemi
di formulazione di strategie e politiche.
Il processo di CRSA deve, pertanto, essere calibrato in modo che si adatti
alle caratteristiche di ogni struttura organizzativa, oltre che dinamico e
modificabile nel tempo a fronte del continuo evolversi della stessa.
Al di là dell’ampia varietà di approcci che si distinguono: per le tecniche
adottate (workshop, interviste o questionari), supportate anche da varie
analisi interne elaborate dal management; per il diverso grado di
200
Nel 1998, l’Institute of Internal Auditor (IIA) ha definito il CSA (allora si chiamava così) “un
processo attraverso il quale si analizza e valuta l’efficacia del controllo interno con lo scopo di
fornire ragionevole certezza che tutti gli obiettivi dell’organizzazione siano raggiunti.” E
descrivendone le varie fasi operative precisava che il CSA è “un approccio di team, strutturato,
analitico e facilitato, che utilizza le competenze degli esperti, usa l’anonimato per far emergere la
verità relativamente al conseguimento degli obiettivi, identifica le cause di fondo dei rischi, e delle
debolezze di controllo e fornisce informazioni quantificate per la presa di decisioni e lo sviluppo
dei miglioramenti.”
201
Cfr. TORNEO M., “Introduzione al Control and Risk Self Assessment.”, Internal Audit.
Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 8.
135
4. Le metodologie di revisione interna
coinvolgimento del management dei livelli più elevati e per il ruolo assunto
dall’Internal Auditing; le caratteristiche distintive del CRSA consistono nel
fatto che:
• la valutazione dei rischi e dei controlli interni spetta al management;
• vengono utilizzate metodologie di facilitazione, quali workshop e
questionari;
• l’internal auditor assume in tale approccio un ruolo di “facilitatore” e
formatore sulle tematiche relative ai rischi e ai controlli.
La presenza della Funzione di Internal Auditing nel CRSA non costituisce
necessariamente un elemento distintivo del processo; infatti, anche se gli
internal auditor risultano le figure maggiormente coinvolte, nella realtà, ai
fini dell’introduzione del CRSA nelle organizzazioni, lo stesso può essere
supportato da altre figure professionali interne o esterne.
L’implementazione del Control & Risk Self Assessment può strutturarsi per
tutte le dimensioni organizzative, quindi, per Funzioni, business unit,
processi e progetti. Tale approccio consente una valorizzazione delle
conoscenze e delle capacità di tutti coloro che ne sono direttamente
responsabili e che conoscono a fondo le diverse problematiche di business e
le procedure relative al proprio lavoro.
Il CRSA, conformemente ai principi di miglioramento continuo e alla
diffusione della cultura di risk management, rappresenta un valido
strumento a disposizione del management aziendale per determinare
un’evoluzione nella cultura del controllo dell’organizzazione ed incentivare
l’empowerment del personale.
I vantaggi derivanti dall’adozione del processo di CRSA possono essere
così sintetizzati202:
202
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 248-249.
136
4. Le metodologie di revisione interna
-
una maggiore consapevolezza del risk management e del controllo
dell’intera struttura organizzativa, derivante dall’apprendimento, da
parte dei partecipanti, delle modalità di analisi, nonché dall’assunzione
delle responsabilità in merito;
-
una focalizzazione dell’attenzione sui rischi e sui controlli di maggior
rilievo;
-
una maggiore efficacia delle azioni correttive, in virtù del fatto che i
partecipanti al CRSA sono, di fatto, i “proprietari” dei risultati scaturiti;
-
un monitoraggio e un miglioramento continuo della filiera obiettivi –
rischi – controlli;
-
un generale rafforzamento del ruolo del management nella gestione dei
rischi e dei processi di controllo, che può comportare una minore
propensione a delegare tali attività a specialisti, quali gli internal
auditor203.
In aggiunta, il CRSA contribuisce a diffondere ed a migliorare i processi di
enterprise risk management, tramite:
-
la sensibilizzazione del management verso il processo di risk
management e il controllo interno;
-
la motivazione del personale nella progettazione e nell’implementazione
dei processi di controllo, nonché nel miglioramento continuo dei
processi operativi;
-
la segnalazione di eventuali malfunzionamenti e blocchi nei processi di
informazione e comunicazione;
203
Con il CRSA si invita l’intera popolazione aziendale ad identificare e circoscrivere i problemi
di cui è a conoscenza, in modo che ne risulti una consapevolezza condivisa e globale dei rischi, a
fronte dei quali impostare con razionalità le necessarie azioni correttive. “Questo è il CRSA: un
ponte. Un ponte che collega chi sa dell’esistenza di un problema ma non ha il potere di risolverlo,
con chi avrebbe tutti i poteri necessari ma ignora l’esistenza del problema. Ma il CRSA è anche di
più: un sistema di mappatura che consente di eliminare gran parte dei territori oscuri dove si
annidano i problemi irrisolti perché ignorati.” Cfr. Conversazione con Giovanni Grossi, Presidente
onorario dell’AIIA, “Una sfida insidiosa per l’internal audit.”, Internal Audit. Corporate
Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 11.
137
4. Le metodologie di revisione interna
-
il miglioramento dei sistemi di reporting, in virtù della componente
autovalutativa del management sull’adeguatezza dei controlli a presidio
dei rischi.
È opportuno rilevare, inoltre, che le dinamiche organizzative del CRSA,
basate su un’attiva partecipazione del management e portatrici di un elevato
livello di sensibilità diffusa all’interno dell’organizzazione relativamente
alle interrelazioni sussistenti tra obiettivi, rischi e controlli, contribuiscono
al miglioramento della qualità del processo di pianificazione strategica, se
correttamente integrate all’interno dello stesso204.
Per quanto riguarda, ad esempio, i rapporti con l’ambiente competitivo, il
CRSA
può
contribuire
alla
definizione
degli
obiettivi
strategici
dell’organizzazione, offrendo importanti indicazioni di scenario; oppure,
relativamente all’allocazione delle risorse, può incrementare la qualità del
processo di selezione delle diverse opportunità di investimento, offrendo
un’analisi sul rapporto tra redditività e profilo di rischio dello stesso; e non
per ultimo, l’aspetto della responsabilizzazione del management i cui piani
di azione elaborati nei processi di CRSA e finalizzati all’implementazione
di strategie di risposta al rischio dovranno essere sottoposti a verifiche di
compatibilità con altri programmi aziendali.
D’altro canto, il CRSA per poter avere successo, o anche solo poter essere
avviato come progetto, deve essere sperimentato in una organizzazione la
cui cultura sia già orientata all’empowerment di tutti i livelli. Perché il
CRSA possa effettivamente decollare è necessario, inoltre, che un clima di
fiducia e di onestà abbia la meglio su una presunta “ragion d’impresa”, e
che non ci siano veti e condizionamenti del vertice e del senior management
sulle problematiche da affrontare.
Se questi presupposti non esistono o sono di difficile realizzazione, è
meglio rinunciare. Ecco perché l’applicazione del CRSA risulta
204
Cfr. S. Beretta, Valutazione dei rischi e controllo interno. Egea Edizioni, Milano, 2004.
138
4. Le metodologie di revisione interna
sostanzialmente sconsigliata in quelle organizzazioni del tipo “Comando e
Controllo”, in cui le decisioni e la creatività restano confinate a livello di
top management, le attività di internal audit bruciano preziose energie in
interventi principalmente di compliance, e l’attenzione degli stessi auditor è
più sulle procedure aziendali che sugli obiettivi di business205.
Alcune delle problematiche e degli ostacoli che si possono frapporre
nell’implementazione del Control & Risk Self Assessment sono206:
-
la resistenza al cambiamento, da parte del personale dell’impresa di
fronte all’adozione di nuove metodologie;
-
la mancata assunzione di responsabilità o impegno da parte del
management;
-
la scarsa attendibilità dei risultati del CRSA derivante da culture
aziendali poco trasparenti;
-
la necessità di competenze in tema di gestione dei rischi e di controlli,
gestione che richiede un elevato livello di addestramento del personale e
di impegno temporale ai fini dell’efficace funzionamento del processo di
CRSA;
-
la mancanza, nell’ambito della Funzione di Internal Auditing, delle
competenze necessarie allo svolgimento del ruolo di “facilitatore” o di
istruttore;
-
la non precisa definizione e comunicazione all’interno dell’azienda delle
responsabilità e delle caratteristiche del processo di CRSA, che rischia
di porre la Funzione Internal Auditing in competizione con le altre aree
aziendali.
205
Cfr. TORNEO M., “Introduzione al Control and Risk Self Assessment.”, Internal Audit.
Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 9.
206
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 250.
139
4. Le metodologie di revisione interna
Da quanto fin qui detto, si comprende che prima di intraprendere il
cammino dell’adozione del processo di CRSA, è necessario effettuare
un’analisi dello “stato” in cui verte l’azienda, in modo tale da valutare se
sussistono una o più delle circostanze suddette, che potrebbero condizionare
in maniera rilevante la sua implementazione.
4.1. IL RUOLO DELL’INTERNAL AUDITOR NELL’APPROCCIO CRSA
Il grado di partecipazione della Funzione di Internal Auditing nei progetti di
CRSA varia a seconda delle circostanze.
Talvolta, è previsto un impegno rilevante che comporta la sponsorizzazione,
la progettazione, l’attuazione e la gestione del processo tramite la
conduzione di sessioni formative, la messa a disposizione di facilitatori e di
personale per la redazione di verbali e relazioni, nonché l’organizzazione
per il coinvolgimento di manager e gruppi di lavoro.
In altri casi, invece, il coinvolgimento dell’Internal Auditing si presenta più
contenuto, limitandosi a fornire consulenza e assumendo il ruolo di parte
interessata all’intero processo di valutazione, effettuando opportune
verifiche per convalidarne i risultati ed esprimendo un giudizio
professionale sull’adeguatezza e l’efficacia complessiva dei sistemi di
controllo e di gestione del rischio.
In genere, l’impegno della funzione di Internal Audit nei progetti di CRSA
si posiziona all’interno di questi due punti estremi; e sulle modalità di
intervento di tale Funzione esistono differenti visioni relativamente ai
seguenti punti207:
207
Cfr. L. Hubbard, Control Self Assessment:guida pratica, Milano, AIIA, 2006.
140
4. Le metodologie di revisione interna
1) Il ruolo dell’internal auditing.
Alcuni ritengono che la funzione non debba essere “proprietaria” finale
del processo di CRSA e debba invece pianificare nel tempo il
trasferimento del ruolo di “facilitatore” e di reporting interamente ai
team di lavoro. Altri, invece, sostengono che l’internal auditing debba
continuare a svolgere il proprio ruolo di “facilitatore” ed essere il punto
di riferimento per la pianificazione e il reporting sul CRSA.
Nella realtà sono poche le funzioni di Internal Auditing che hanno
trasferito completamente le “proprietà” del CRSA ai team di lavoro.
2) L’attività di reporting dei risultati di CRSA.
Dovrebbe essere l’Internal Auditing a presentare un rapporto al
management sui risultati di un progetto, oppure lo stesso dovrebbe
essere emesso dal team di lavoro.
Anche l’emissione del rapporto di CRSA direttamente da parte del team
di lavoro crea un ulteriore allineamento di responsabilità tra la
valutazione dei controlli e il reporting, che può portare ad un maggiore
impegno nell’assessment di rischi e controlli rispetto al caso in cui la
responsabilità e il reporting non fanno capo alla stessa entità.
Gli internal auditor possono comunque emettere un rapporto sui risultati
dell’attività in generale, eventualmente poi corredati di verifiche
integrative; si precisa inoltre che, dove il CRSA non è ancora prassi
consolidata, svolgere attività di CRSA nell’ambito di uno specifico
intervento di audit, per esempio nella fase dell’analisi preliminare, può
avere effetti molto positivi.
3) La quality assurance.
Alcuni sostengono che la funzione di Internal Auditing debba eseguire
una valutazione globale per confermare l’affidabilità delle attività di
CRSA, altri ritengono, invece, che tutto ciò non sia necessario.
In realtà, la revisione del processo risulta necessaria se un self
assessment entra a far parte del piano di audit al fine di fornire una
141
4. Le metodologie di revisione interna
visione complessiva dei controlli interni208. Inoltre, se il CRSA
sostituisce completamente un audit, dovranno essere effettuati test
efficaci in varie fasi del processo.
In sostanza, l’internal auditor costituisce un ausilio per il management
nell’adempiere alle proprie responsabilità, in termini di mantenimento ed
introduzione dei processi di controllo e di gestione dei rischi. Inoltre, è
opportuno sottolineare che, il CRSA, oltre che a fornire valore aggiunto
all’organizzazione tramite l’impiego di risorse specialistiche o a sostegno
dell’implementazione del progetto, consente alla Funzione di Internal
Auditing di conseguire dei vantaggi, quali209:
-
diventare il diretto utilizzatore dell’output derivante dal CRSA: i
risultati prodotti nelle sue sessioni possono rivelarsi estremamente utili
ai fini della definizione del piano di audit e nella fissazione delle priorità
degli interventi;
-
migliorare l’efficienza delle proprie attività, attraverso la riduzione delle
risorse dedicate alla raccolta di informazioni sui rischi e controlli e
l’eventuale eliminazione di parte delle attività di test.
In generale, un buon progetto di CRSA dovrebbe comportare un
ampliamento dell’ambito di copertura dei processi di controllo, un
miglioramento della qualità delle azioni correttive introdotte dai
responsabili di processo e una maggiore concentrazione delle risorse di
internal auditing sulle unità aziendali meno presidiate dal sistema di
controllo interno e che, allo stesso tempo, presentano elevati rischi
residuali.
208
Cfr. Professional Practies Pamphlet 98-2.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 252.
209
142
4. Le metodologie di revisione interna
Nel momento in cui i responsabili della Funzione di Internal Audit non
provvedono a preparare e controllare adeguatamente il proprio staff
nell’implementazione del CRSA, svolgendo, quindi, un ruolo di
“facilitatore” e di istruttore con scarsa preparazione e senza dotarsi di staff
con skills idonei, ecco che i danni provocati all’immagine della Funzione
Internal Auditing potrebbero essere considerevoli.
4.2. LE METODOLOGIE UTILIZZATE NEL CRSA
I principali approcci che vengono utilizzati più di frequente per lo
svolgimento del Control & Risk Self Assessment possono essere raccolti
nelle seguenti tre categorie:
a) Workshop approach.
b) Survey approach.
c) Management produced analyses.
Qui
di
seguito
forniremo
alcuni
approfondimenti
sulle
tecniche
maggiormente utilizzate, in particolare il workshop e il questionario,
fornendo per completezza brevi accenni anche relativamente alle analisi
interne elaborate dal management.
a) Il workshop approach.
Il workshop, che nella realtà operativa risulta essere di gran lunga
l’approccio più diffuso e apprezzato, consiste in sessioni di analisi e di
discussione, opportunamente strutturate, condotte da “facilitatori”.
143
4. Le metodologie di revisione interna
Si tratta, in altri termini, di riunioni di gruppo che, normalmente durano da
due a quattro ore e coinvolgono da sei a quindici partecipanti, progettate
allo scopo di far emergere conoscenze, percezioni e giudizi dei partecipanti
sui rischi, sulle loro cause e sulle possibili conseguenze, nonché
sull’adeguatezza dei controlli esistenti, in relazione a un determinato
obiettivo o processo210.
Con il workshop, l’identificazione degli eventi viene tracciata sulla base
dell’esperienza e delle conoscenze del management, staff ed altro personale
coinvolto. Infatti, attraverso la partecipazione di persone appartenenti a
livelli diversi delle unità o Funzioni coinvolte, con differenti backround di
esperienze o conoscenze, è possibile identificare, con dinamiche di gruppo,
importanti eventi che altrimenti rischierebbero di essere omessi. Le
dinamiche che si innescano, favoriscono un incremento della sensibilità
verso gli aspetti riguardanti la gestione dei rischi e la criticità dei controlli,
promuovendo altresì, una migliore comunicazione tra le parti e migliorando
la comprensione reciproca degli effetti che le decisioni e i comportamenti di
ciascuna entità possono avere sulle altre, in termini di rischi.
Il ruolo di facilitatore, che provvede alla pianificazione e conduzione del
workshop, viene spesso assunto dall’internal auditor a cui è richiesta
un’elevata professionalità in materia. Facilitare il workshop significa,
pertanto, rendere più agevole al gruppo di lavoro la valutazione degli
obiettivi, dei rischi e dei controlli, facendo emergere idee, esperienze e
valori che possono fungere da base per prendere decisioni condivise e per
assumerne la responsabilità211.
210
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 255.
211
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 255.
144
4. Le metodologie di revisione interna
L’internal auditor, pertanto, si trova nella posizione di moderatore212 della
discussione sugli eventi che possono influenzare il raggiungimento degli
obiettivi aziendali, nel suo complesso o della singola unità organizzativa.
Al facilitatore sono richieste, al di là delle caratteristiche generali necessarie
per
la
gestione
efficace
di
qualsiasi
meeting213,
competenze
specificatamente connaturate al processo di CRSA. Di seguito riportiamo
alcuni momenti della gestione di un workshop su cui è opportuno porre
attenzione.
I. La preparazione preliminare del workshop
Preliminarmente all’effettuazione della riunione formalizzata, è opportuno
che l’internal auditor illustri al gruppo di lavoro, le finalità, i contenuti e i
motivi per cui il progetto di CRSA viene implementato nell’organizzazione,
la correlazione con l’attività di internal auditing e la destinazione dei suoi
risultati; in tale introduzione sono necessari l’utilizzo di una terminologia
univoca e di strumenti adatti per la raccolta di informazioni.
212
È fondamentale per una buona conduzione del workshop, che l’internal auditor sia dotato, oltre
che di competenze tecniche in materia di rischi e controlli, anche di competenze socioorganizzative. Secondo una ricerca effettuata da un gruppo di studio, un facilitatore di CRSA
dovrebbe essere:
- dotato di caratteristiche quali prontezza, abilità, intelligenza, perspicacia;
- generalista;
- capace di costruire una struttura intorno ai concetti trattati;
- in possesso di abilità comunicative;
- capace di adattarsi in situazioni di ambiguità.
(Per ulteriori approfondimenti cfr. R.P. Tritter, D.S. Zittnan, Control Self Assessment: Experience,
Current Thinking and Best Practices, The IIA Research Foundation, 1996.)
213
È opportuno il riferimento a tutte quelle responsabilità relative a:
- aspetti logistici del meeting, inerenti locali, materiali, dotazioni, break, pasti e quant’altro
connesso all’allestimento e alla gestione di uno workshop;
- gestione del processo, che implica la definizione della struttura, delle regole generali e delle
finalità del meeting;
- controllo della dinamica di gruppo, relativo alla gestione delle personalità, delle aspettative,
dei conflitti e delle inefficienze che possono insorgere nei meeting.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 256.
145
4. Le metodologie di revisione interna
In particolare, ai fini di rendere efficiente ed efficace tale processo, si
procede214:
• ad illustrare in anticipo ai partecipanti i contenuti e i metodi del
workshop, compresi i modelli di rischio e controllo adottati;
• ad effettuare un incontro con il management del gruppo di lavoro che
parteciperà al meeting, per acquisire informazioni sull’attività e gli
obiettivi di business ed illustrare il progetto di CRSA;
• a comprendere la cultura del gruppo di lavoro, in modo tale da avere la
consapevolezza del clima che si presenterà durante lo svolgimento del
workshop;
• a selezionare gli obiettivi e i processi da utilizzare nel workshop, per poi
individuarne i partecipanti;
• ad acquisire informazioni relativamente alla terminologia utilizzata dal
gruppo, quindi i nomi dei processi e dei sistemi informatici, nonché di
eventuali precedenti audit o analisi;
• predisporre la logistica del meeting e comunicare, per tempo, la data
della sua effettuazione;
• predisporre un’agenda, che rappresenti una guida alle diverse sessioni di
workshop.
214
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 256-257.
146
4. Le metodologie di revisione interna
II. La gestione del workshop
Essa fa riferimento, soprattutto, ad aspetti inerenti la gestione delle
dinamiche di gruppo, ovvero:
• l’abilità nel comprendere quali domande provenienti dal gruppo devono
ottenere un’immediata risposta e quali, invece, possono essere girate al
gruppo stesso per rafforzarne le competenze;
• la raccolta delle informazioni, con particolare riguardo alla capacità di
ottenere risposte specifiche, di capire la situazione reale, di trovare
l’accordo nel registrare i risultati, di osservare i partecipanti per capire
quando indagare ulteriormente, quando lasciare che qualcuno assuma la
guida, quando, invece, coinvolgere qualcuno nella discussione e non
imporre la propria visione al gruppo;
• le competenze specifiche per una presentazione efficace, quindi
entusiasmo, sincerità, energia, capacità comunicative, rispetto della
tempistica, utilizzo di supporti visivi, attrezzature e modalità espositive;
• la gestione delle differenti personalità che partecipano al workshop e la
capacità di governare eventuali situazioni critiche;
• l’utilizzo della tecnologia per effettuare le votazioni215.
215
Normalmente la tecnologia impiegata si concretizza nel voto anonimo o nel sistema delle
postazioni di lavoro. Il voto anonimo permette ai partecipanti di indicare preferenze, priorità,
percezioni e opinioni su un determinato argomento; il sistema delle postazioni di lavoro consente
ai partecipanti di scrivere le loro idee sui propri computer, collegati in rete per poter essere
visualizzate su uno schermo. Molti dei risultati del workshop possono essere ottenuti mediante
tecniche manuali, ma la visualizzazione e l’analisi della votazione in tempo reale consentite dai
sistemi elettronici possono massimizzare i risultati.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 257.
147
4. Le metodologie di revisione interna
III. Le possibili tipologie di workshop216
Il workshop può strutturarsi secondo percorsi e focus diversi a seconda
degli obiettivi che si intendono perseguire, qui di seguito riportiamo dei
brevi accenni su alcuni degli approcci utilizzati per condurre un’analisi
CRSA.
L’approccio complessivo basato sugli obiettivi aziendali prefissati, si
focalizza sull’individuazione dei rischi che possono pregiudicare il
raggiungimento di un determinato obiettivo aziendale, pertanto il workshop
prende avvio con l’identificazione di tutti i possibili ostacoli, barriere,
minacce e vulnerabilità (rischi inerenti).
Successivamente, si procede all’analisi delle procedure di controllo in atto
per verificarne l’idoneità al contenimento dei rischi principali, per poi
determinare l’entità del rischio residuale e valutarne la tollerabilità, in
funzione delle politiche aziendali.
Essendo l’obiettivo finale quello di identificare l’esistenza dei rischi
residuali rilevanti, questo approccio può produrre risultati più ampi rispetto
alle altre metodologie, in quanto fornisce una completa identificazione dei
rischi e dei controlli e si basa su un sistema di valutazione del rischio già
ottimizzato.
La sequenza del workshop basato sui rischi
OBIETTIVO
RISCHI
INERENTI
CONTROLLI
RISCHI
RESIDUI
VALUTAZIONE
Fig. 9
216
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 258-260.
148
4. Le metodologie di revisione interna
L’approccio basato sui processi, si basa sull’analisi di un intero processo217
e delle specifiche attività che si svolgono al suo interno.
Tale approccio, in genere risulta molto più familiare per i revisori interni e
per il management, in quanto ha come oggetto di analisi i processi a cui
tipicamente si riferisce l’attività di auditing tradizionale.
Il workshop process-based, in genere include l’identificazione degli
obiettivi aziendali per l’intero processo e per le varie attività che lo
compongono; da qui i partecipanti al gruppo di lavoro procedono ad
identificare i relativi rischi e i controlli che consentono il raggiungimento di
tali obiettivi.
Lo scopo dell’analisi è quello di valutare, aggiornare, convalidare e
migliorare ed eventualmente semplificare l’intero processo e le singole
attività che lo compongono, ottimizzandone quindi la sua gestione in
un’ottica di risk management.
L’approccio basato sui processi può avere una maggiore ampiezza di analisi
in quanto focalizzato su una molteplicità di obiettivi all’interno del processo
e può essere utilizzato dal management in progetti di reengineering e di
miglioramento della qualità e, in generale, in iniziative di miglioramento
continuo.
Esso, inoltre, nel caso di processi trasversali alle linee funzionali, favorisce
la comunicazione tra gruppi appartenenti a diverse aree aziendali, offrendo
ai partecipanti l’opportunità di una maggiore comprensione delle attività
del processo.
217
Per processo si intende una serie di attività a valore aggiunto, tra loro coordinate al fine di
conseguire un determinato risultato.
149
4. Le metodologie di revisione interna
La sequenza del workshop basato sui processi
OBIETTIVI
PROCESSO
OBIETTIVI
ATTIVITA’
RISCHI
INERENTI
OTTIMIZZAZIONE
CONTROLLI
VALUTAZIONE
Fig. 10
L’approccio focalizzato sui controlli si concentra sul metodo migliore per
la realizzazione degli obiettivi prefissati ed inizia con l’identificazione dei
controlli in essere per il perseguimento di ciascun obiettivo aziendale, sulla
base dei rischi inerenti già individuati prima dell’effettuazione del
workshop. Da qui si procede all’identificazione dei relativi rischi residuali e
alla conseguente valutazione delle procedure di controllo, in termini di
adeguatezza, efficacia e idoneità a garantire livelli accettabili di rischio
residuale.
In tale approccio i principali rischi inerenti vengono identificati a seguito di
analisi interne effettuate in una fase preliminare del progetto o, comunque,
già disponibili.
Dato che questo approccio presuppone una valida identificazione dei rischi,
con il relativo disegno dei controlli per il raggiungimento degli obiettivi,
esso può essere applicato in un’organizzazione che abbia già implementato
un modello di rischi e di controllo.
150
4. Le metodologie di revisione interna
La sequenza del workshop basato sui controlli e sui rischi residui
OBIETTIVO
RISCHI
INERENTI
CONTROLLI
RISCHI
RESIDUI
VALUTAZIONE
Workshop
Fig. 11
Infine, l’approccio focalizzato sui rischi residui, è un approccio molto
circoscritto, poiché si concentra sulla verifica del corretto funzionamento
dei controlli in essere. I principali controlli e i rischi potenziali vengono
identificati da analisi interne già disponibili o determinati durante il
processo di pianificazione
del progetto di CRSA. Tale identificazione
preliminare può avvenire attraverso interviste con il management e i
collaboratori, l’utilizzo di flowcharting o altri modelli di supporto.
Il suo scopo è valutare l’efficacia dei controlli nel contenimento dei rischi e
nel raggiungimento degli obiettivi fissati, dato che i controlli nel tempo
sono soggetti ad un certo grado di volatilità, per cui anche quelli
originariamente più efficaci possono deteriorarsi per negligenza o per
effetto del contesto interno ed esterno in cui essi operano. In questi casi il
rischio residuale che in passato veniva considerato accettabile per
l’organizzazione potrebbe tornare a riposizionarsi attorno al livello
originale di rischio inerente.
Tale approccio rappresenta un punto di partenza per quelle organizzazioni
che, abituate ad un audit tradizionale, intendono avviare un workshop ai fini
di una totale valutazione dei rischi di business.
151
4. Le metodologie di revisione interna
b) Il survey approach.
Tale metodologia si basa sull’utilizzo di questionari, i quali rappresentano
uno dei classici strumenti di indagine dell’attività di revisione e vengono
tradizionalmente utilizzati per la comprensione del sistema di controllo
interno e dei principali processi aziendali.
Tali strumenti sottopongono i partecipanti ad una serie di argomenti da
discutere,
focalizzandosi
principalmente
sull’individuazione
e
la
misurazione dei fattori di rischio e di controllo dell’organizzazione.
Essi sono costituiti da un elenco di domande, che possono essere aperte o
chiuse, formulate attentamente in modo da essere comprensibili ai
destinatari prescelti (una o più persone interne all’organizzazione, oppure
esterni, ad esempio clienti, fornitori, etc.).
I questionari sono solitamente caratterizzati da domande a risposta chiusa
(del tipo Sì/No, Attivato/Non Attivato), in modo tale da favorire il rapido
esame delle risposte da parte dell’internal auditor.
Tale tecnica contribuisce all’implementazione del CRSA, rappresentando,
comunque, una forma di auto-valutazione, infatti, le domande proposte al
management e ad altro personale operativo, ineriscono aspetti che
contribuiscono ad una complessiva valutazione dei sistemi di controllo e di
rischio.
I questionari vengono solitamente utilizzati nei casi in cui la popolazione di
riferimento è molto numerosa o geograficamente molto dispersa218 per
partecipare ad un workshop, oppure laddove non vi sia un’adeguata cultura
del controllo ed il personale risulta impreparato ad intraprendere una
discussione aperta e sincera nell’ambito di un workshop; in altre circostanze
legate ad esigenze di riduzioni di tempi e/o costi della raccolta di
218
Talvolta quest’ultima circostanza induce ad utilizzare il questionario come tecnica
complementare allo svolgimento del workshop, soprattutto quando si necessitino delle
informazioni che coprono un ampio numero di soggetti che difficilmente potrebbero essere
coinvolti nel workshop.
152
4. Le metodologie di revisione interna
informazioni e a difficoltà di carattere professionale, nel momento in cui
non esistono le competenze necessarie alla gestione e alla conduzione di un
meeting facilitato.
D’altro canto, l’impiego dei questionari presenta alcuni svantaggi rispetto al
workshop approach: talvolta può essere dubbia la veridicità e l’attendibilità
delle risposte date dai partecipanti, soprattutto, se non seguite da un
aggiornamento periodico delle stesse, inoltre, si presenta il problema
dell’impossibilità di fornire chiarimenti immediati sulle risposte date, in
virtù della rigidità di tale strumento ed, infine, la scarsa partecipazione
potrebbe rendere la percentuale delle risposte decisamente bassa.
Nella predisposizione del questionario è opportuno tener conto di alcune
accortezze che potrebbero incrementarne l’efficacia, tra queste, si segnalano
l’utilizzo di questionari corti e semplici, formulati con un linguaggio
semplice e non condito di tecnicismi propri della revisione, lo sviluppo di
un singolo argomento per ciascuna domanda, l’inserimento delle domande
più semplici nella parte iniziale, l’invio personalizzato del questionario e la
raccolta della modulistica personalmente da parte dello stesso internal
auditor.
c) Management produced analyses.
Le analisi interne elaborate dal management più che descrivere un vero e
proprio approccio, comprendono varie modalità con cui i gruppi di manager
elaborano informazioni relative a specifici processi aziendali, attività di
gestione del rischio e procedure di controllo219.
Tali analisi sono di vari tipi e, spesso, integrano le due metodologie viste
precedentemente,
tuttavia,
per
le
finalità
informative
che
le
219
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 254.
153
4. Le metodologie di revisione interna
contraddistinguono, possono essere ricondotte fra le tecniche proprie del
CRSA.
In tale categoria è possibile ricomprendere:
-
i questionari elaborati e gestiti dal management per approfondire
particolari questioni inerenti le politiche gestionali;
-
i confronti tra i responsabili dell’area finanziaria prima della
presentazione dei risultati di periodo;
-
le indagini e gli approfondimenti condotti su particolari eventi dovuti a
carenza di controlli o frodi;
-
etc.
A conclusione di questa disamina sui diversi approcci metodologici
applicabili nell’implementazione del Control & Risk Self Assessment, è
opportuno mettere in evidenza che l’utilizzo di tale tecniche in
un’organizzazione è condizionato da molteplici fattori, tra i quali:
• la cultura aziendale, è forse lo scoglio più rilevante: infatti, se essa
supporta un approccio di tipo partecipativo e trasparente, il workshop
non è solo preferibile, ma anche raccomandabile rispetto alle altre
alternative. A tal riguardo il supporto e la comprensione dello spirito di
queste iniziative da parte del management assume, infatti, grande
rilevanza, condizionando, talvolta, l’applicazione dell’uno o dell’altro
approccio;
• le dimensioni della popolazione da coinvolgere nel progetto di CRSA:
come già accennato precedentemente, quanto maggiore è il numero dei
partecipanti al gruppo di lavoro, tanto più la scelta dovrà essere orientata
verso i questionari;
• la natura dell’attività svolta dall’azienda, anch’essa incide, senza
dubbio, sulla possibilità di utilizzo di strumenti avanzati di risk
154
4. Le metodologie di revisione interna
assessment, per quanto riguarda, ad esempio, le imprese del settore
finanziario-assicurativo, queste da sempre hanno orientato la propria
gestione
sull’analisi
dei
rischi
delle
operazioni
intraprese,
comprendendo ben presto gli effetti devastanti provocati dal fallimento
del sistema dei controlli;
• le risorse della Funzione di Internal Auditing, in termini di esperienza e
competenze specifiche dei revisori interni, per i quali la posizione di
facilitator nella conduzione di workshop, rappresenta decisamente il
ruolo più innovativo e complesso da affrontare; e dal punto di vista dei
costi d’implementazione o attuazione da valutare in relazione ai benefici
economici ottenibili;
• l’atteggiamento assunto da parte dell’Audit Committee nei confronti
dell’attuazione di nuove iniziative: questo, infatti, attraverso un’opera di
sensibilizzazione del vertice aziendale può costituire una fonte di
stimolo per l’implementazione di approcci innovativi di auditing.
Inoltre, il passaggio dalla metodologia tradizionale, che potrebbe essere
adottata in una prima fase ai fini del consolidamento della Funzione di
Internal Audit, alla metodologia del CRSA, determina il rischio di
un’eccessiva ingerenza da parte dell’internal auditor in un mondo spesso
inesplorato con aspetti manageriali che esulano dalla professionalità del
revisore interno.
Tale metodologia potrebbe, infatti, generare delle condizioni sfavorevoli
all’interno dell’organizzazione, nel momento in cui il management si
irrigidisce di fronte alla percezione di essere valutato dall’internal auditor
su competenze manageriali specifiche.
155
5. Il gruppo Guess: un player mondiale
CAPITOLO 5
IL GRUPPO GUESS: UN PLAYER MONDIALE
1. IL GRUPPO GUESS
Ad oggi il gruppo Guess si presenta come un grande player mondiale,
fondato e controllato dai fratelli Marciano, che vede correre il proprio
business come una vera e propria locomotiva, rilevando risultati, in termini
di fatturato, continuamente in crescita.
Il gruppo Guess si configura con una struttura organizzativa piuttosto
complessa e articolata, dal punto di vista dei legami partecipativi
intercorrenti tra le diverse entità societarie, le quali, in ultima analisi,
dipendono tutte dalla capogruppo Guess Inc. con sede a Los Angeles.
Guess svolge la propria attività nell’area geografica dell’America,
dell’Europa e dell’Asia, ognuna della quali si differenzia notevolmente dal
punto di vista culturale e sociale.
La struttura organizzativa del gruppo varia, pertanto, a seconda delle
diverse aree di business in cui esso va ad operare, infatti, ognuno dei tre
continenti si caratterizza per una struttura di business propria e per canali
distributivi differenti.
Guess ha deciso di adottare una strategy brand molto focalizzata sulla
qualità in ognuno dei segmenti in cui è presente, con licenziatari che sono
più partner che fornitori, comunque sempre all’insegna del principio “one
Guess, one brand”.
Il mercato infatti, ha recepito questo focus strategico, che si accompagna a
una segmentazione molto chiara e definita, determinando, negli ultimi due
anni, un decollo del titolo quotato al New York Stock Exchange (NYSE) di
156
5. Il gruppo Guess: un player mondiale
Wall Street, che ha registrato un incremento di circa il 124%391 (vedi
Fig.12).
L’obiettivo non è quello di essere il partner di tutti ed essere presenti
ovunque, ma come dichiarato di recente in un intervista rilasciata da Paul
Marciano: “vogliamo semplicemente adattarci alle diverse esigenze, ecco la
necessità di produzioni con caratteristiche specifiche e differenti per
l’America, l’Asia e l’Europa. Una strada diversa non esiste. Siamo molto
consistent in questo e perciò abbiamo creato team eccellenti per ogni area
coperta”392.
GUESS’ SHARES LAST 2 YEARS TREND
Fig 12
391
Cfr il sito internet http://finance.yahoo.com/ . I valori di riferimento ai fini della determinazione
della percentuale di crescita del titolo GES sono quelli relativi alla chiusura in data 01/03/2006
pari a $18,38 e quelli relativi alla chiusura in data 29/02/2008 pari a $41,13.
392
Cfr. Intervista a Paul Marciano “ho un sogno firmato Guess”, Pambianco Week, Numero 17,
Anno III, 1 Ott 2007, pag 6-11.
157
5. Il gruppo Guess: un player mondiale
GUESS’ FINANCIAL HIGHLIGHTS
In thousand Dollars
Period Ending
31-Dec-06 31-Dec-05 31-Dec-04
Total Revenue
Cost of Revenue
1,185,184
665,805
936,092
555,223
729,262
455,278
519,379
380,869
273,984
326,356
-
279,059
-
218,502
-
193,023
101,810
55,482
10,424
203,447
7,450
195,997
72,715
-114
2,626
104,436
6,741
97,695
38,882
-
884
56,366
5,653
50,713
21,147
-
123,168
58,813
29,566
-
-
-
123,168
-
58,813
-
29,566
-
$123,168
$58,813
$29,566
Gross Profit
Operating Expenses
Research Development
Selling General and Administrative
Non Recurring
Others
Total Operating Expenses
Operating Income or Loss
Income from Continuing Operations
Total Other Income/Expenses Net
Earnings Before Interest And Taxes
Interest Expense
Income Before Tax
Income Tax Expense
Minority Interest
Net Income From Continuing Ops
Non-recurring Events
Discontinued Operations
Extraordinary Items
Effect Of Accounting Changes
Other Items
Net Income
Preferred Stock And Other Adjustments
Net Income Applicable To Common Shares
Fig 13
Nel continente americano il gruppo è organizzato in una serie di entità
societarie deputate alla gestione del business property retail, rappresentato
da negozi Guess monomarca – free standing stores393 e factory outlets –
partecipati al 100% dalle diverse società del gruppo.
Il mercato del retail assume un peso estremamente rilevante per l’area
USA, rappresentando circa il 90% del fatturato del mercato statunitense.
Alle diverse società operative specializzate nella conduzione del business
retail si aggiungono, inoltre, società specificatamente deputate alla gestione
delle licenze, nonché alla tutela del marchio e di altri diritti.
Per quanto riguarda, invece, il mercato europeo, esso è costituito per l’80%
circa dal business wholesale, il quale si compone del mercato costituito da
393
Con il termine free standing store si intedono i negozi di prima linea, ovvero tutti i negozi
monomarca in cui viene esposta la collezione della stagione in corso venduta a prezzo pieno.
158
5. Il gruppo Guess: un player mondiale
negozi multibrand (il cosiddetto pure wholesale) e del retail sub-licence
ricompreso nel wholesale poiché, pur essendo rappresentato da negozi in
franchising monomarca non di proprietà, esso viene trattato, dal punto di
vista commerciale, alla stregua di un cliente distributore.
In relazione al business e al canale distributivo che caratterizza il continente
europeo, il gruppo si è organizzato con una società di direzione strategica –
Guess Europe – e società operative dislocate nei diversi Paesi europei in
charge per la conduzione della distribuzione e del business retail a livello
locale.
Infine, per quanto concerne il continente asiatico, esso è caratterizzato
prevalentemente da un business di tipo sub-licence, costituito quindi da
negozi in franchising, il quale viene gestito da due entità giuridiche di
recente costituzione, dislocate a Shangai e Seul, che provvedono ad una
direzione strategica e operativa dell’area orientale.
Il gruppo Guess offre al mercato Europa una vasta gamma di prodotti a
marchio Guess Jeans, Guess by Marciano e Guess Kids, che possono essere
sintetizzati qui di seguito:
• L’apparel, che comprende il denim, quindi capi in jeans, e la maglieria
in generale;
• Le handbags (borse);
• Le footwear (scarpe);
• Gli small leather goods, ovvero articoli in pelle, quali, ad esempio,
portafogli, portachiavi, cinture, ecc.
• watches (orologi);
• eyewear (occhiali);
• perfumes (profumi).
159
5. Il gruppo Guess: un player mondiale
Gli articoli summenzionati sono a loro volta scomponibili fra le diverse
collezioni che caratterizzano la produzione del gruppo Guess a livello
mondiale. In particolare i diversi Pattern Dept. con la collaborazione del
Design, Sourcing & Development Dept. provvedono alla creazione di tre
diverse collezioni:
• la linea Guess Jeans;
• la linea Guess by Marciano (una collezione più ricercata che
rappresenta la prima linea del gruppo);
• la linea Guess Kids, dedicata ai più piccoli.
La realizzazione di ciascuna delle tre collezioni segue un timing
multiciclico tipico del fashion business che prevede la realizzazione di una
collezione relativa alla stagione Fall-Winter (Autunno-Inverno) ed una
relativa alla stagione Spring-Summer (Primavera-Estate); il timing sarà
illustrato più dettagliatamente nelle pagine che seguono, durante la
trattazione delle eventuali problematiche che potrebbero emergere in
termini di approccio da utilizzare ai fini della pianificazione dell’attività di
audit.
2. L’INTERNAL AUDIT DEPARTMENT NEL GRUPPO GUESS
Per quanto riguarda l’organizzazione di una Funzione di Internal Audit, il
numero delle soluzioni che possono presentarsi al Responsabile della
Funzione è strettamente legato alle caratteristiche del business, alla struttura
geografica e logistica dell’entità, ai rischi che devono essere gestiti e
all’articolazione del sistema di controllo interno strutturato per la loro
gestione.
160
5. Il gruppo Guess: un player mondiale
L’Internal Audit Department nel gruppo Guess, si configura secondo una
struttura piuttosto decentralizzata, con un dipartimento in Guess Inc. a Los
Angeles che sovrintende gerarchicamente un dipartimento in Guess Europe
dislocato a Lugano (Headquarter, da cui dipendono gli uffici periferici di
Bologna e Firenze) ed altre due Funzioni in Asia, più precisamente a Hong
Kong e Seul.
Ad oggi, infatti, come la maggior parte delle strutture organizzative di
dimensioni significative, è molto ricorrente la costituzione di strutture di
Internal Audit dotate di vari gradi di autonomia.
Infatti, analizzando l’organigramma dei diversi organi endosocietari che
compongono il top management del gruppo Guess, con specifico
riferimento all’area americana e all’area europea, è possibile osservare,
dalla struttura di corporate governance proposta nello schema sottostante
(Fig. 14), come i due dipartimenti di Internal Audit in Guess Inc. e in Guess
Europe si collochino in posizione di staff rispetto al Board of Directors ed
assumano, al contempo, una posizione di dipendenza funzionale dal
Comitato per il controllo interno, così come previsto per le società quotate.
Per garantire una adeguata indipendenza e autonomia nello svolgimento
dell’attività di internal audit è necessario, come già ribadito nelle pagine
precedenti, che tale Funzione riporti ad un livello dell’organizzazione che
consenta il pieno adempimento delle sue responsabilità: nel nostro caso il
Comitato per il controllo interno di Guess Inc., il quale è costituito
esclusivamente da amministratori non esecutivi ed indipendenti, totalmente
avulsi dalla attività di direzione strategica del gruppo Guess.
L’Internal Audit Dept. di Guess Europe, pertanto, dovrà assicurare un
adeguato flusso informativo direttamente verso l’Internal Audit Dept. di
Guess Inc., il quale, a sua volta dovrà riportare al Comitato per il controllo
interno.
Il tal modo è esclusa qualunque forma di riporto che comporti un
condizionamento
all’indipendenza
e
all’efficacia
operativa
nello
161
5. Il gruppo Guess: un player mondiale
svolgimento
dell’attività
di
auditing,
eliminando
altresì
eventuali
limitazioni al proprio ambito di intervento ed ottimizzando la valutazione
dei rischi ed il reporting dei risultati di tale attività.
Corporate Governance – Internal Audit
U.S.A.
BOARD OF DIRECTORS
GUESS INC
AUDIT COMMITEE
INTERNAL AUDIT DEPT
GUESS INC
VICE PRESIDENT FINANCE
VICE PRESIDENT …
BOARD OF DIRECTOR
GUESS EUROPE
VICE PRESIDENT...
EUROPE
INTERNAL AUDIT DEPT
GUESS EUROPE
OTHER FIRST LINES..
GUESS EUROPE BRANCHE
GUESS EUROPE BRANCHE
CFO
OTHER FIRST LINES..
GUESS EUROPE BRANCHE
GUESS EUROPE BRANCHE
Fig 14
La logica che ha spinto l’Internal Audit Dept. di Guess Inc. verso il
conferimento all’Internal Audit di Guess Europe, di un certo grado di
autonomia, è strettamente legata alle complessità del business europeo.
Guess Europe, infatti, come già accennato precedentemente è caratterizzata
da un business totalmente diverso da quello americano: mentre essa si
presenta tipicamente come una azienda wholesaler, il cui fatturato, per la
maggior parte, deriva dalle vendite ai multibrand, ai distributori e ai negozi
in franchising, Guess Inc. è un’azienda retailer il cui business di riferimento
162
5. Il gruppo Guess: un player mondiale
è principalmente costituito dal business property retail con negozi di
proprietà.
Tale scelta, pertanto, deriva da una mancanza di esperienza da parte
dell’Internal Audit Dept. di Guess Inc. ad operare in un’entità con
caratteristiche totalmente diverse dalla propria.
Tra gli altri vantaggi individuabili, possono essere ricompresi la possibilità
di promuovere con maggior efficacia la cultura del controllo locale, così
come l’opportunità di sfruttare la migliore comprensione dei diversi
problemi locali di cui sono dotati gli internal auditor delle strutture
decentralizzate.
Il manager di riferimento potrà così assumere decisioni su questioni
circoscritte al contesto dell’entità in cui opera, incrementando l’efficacia e
l’efficienza del sistema di governo della Funzione in modo da evitare
eventuali ritardi legati alla gestione dei vari passaggi, a livello centrale,
connessi all’attuazione delle diverse azioni da implementare.
È da sottolineare, che nonostante il riconoscimento di un centro grado di
autonomia ai diversi dipartimenti di Internal Audit, il gruppo Guess ha
optato, come spesso accade, per una soluzione intermedia.
In particolare, i diversi responsabili di tali Funzioni sono comunque tenuti a
garantire la complessiva efficacia del sistema di audit al di là degli interessi
riconducibili alle singole entità societarie ed, inoltre, essi devono attenersi
ad un piano di audit (Audit Plan), annualmente definito a livello di globale
in Guess Inc., con la partecipazione degli stessi responsabili.
Più precisamente, si tratta di riporti di carattere funzionale che sottolineano
la capacità del Chief Audit Executive in Guess Inc. di orientare le attività
dei diversi dipartimenti in Europa ed Asia e di monitorare a livello centrale,
attraverso il riporto gerarchico, la conduzione dei diversi progetti del piano
di audit definiti a livello di corporate.
163
5. Il gruppo Guess: un player mondiale
3. LA DEFINIZIONE DEL PIANO DI AUDIT
La definizione del piano di audit rappresenta la sfida che periodicamente il
Responsabile dell’Internal Audit deve sostenere per conciliare le risorse
disponibili con le esigenze di verifica dell’organizzazione nel suo
complesso394.
Accade spesso che le risorse di audit a disposizione risultano insufficienti a
soddisfare i fabbisogni di controllo del complessivo universo dei processi,
coerentemente con un criterio di completa copertura nell’arco di un
determinato periodo ed in conformità alle necessità evidenziate dal
management.
Secondo quanto stabilito dagli Standard Professionali, il Responsabile
dell’Internal Audit deve predisporre un piano delle attività basato
sull’analisi dei rischi, allo scopo di determinarne le priorità, in linea con il
Mandato e con gli obiettivi dell’organizzazione395.
Nel definire le priorità, gli Standard professionali suggeriscono di
considerare i seguenti aspetti:
• data e risultati dell’ultimo incarico;
• valutazione aggiornata dei rischi esistenti e dell’efficacia dei processi di
controllo e di gestione dei rischi;
• richieste del board e del vertice;
• attuali problematiche relative alla governance dell’organizzazione;
• eventuali variazioni intervenute nell’operatività aziendale;
• potenziali benefici ottenibili;
• variazioni avvenute nella consistenza e nella professionalità dello staff
di audit rispetto al piano precedente.
394
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 263.
395
Cfr. Guida Interpretativa IIA 2010-1 Pianificazione.
164
5. Il gruppo Guess: un player mondiale
Dal punto di vista metodologico, al fine dell’identificazione delle aree
prioritarie da considerare nella definizione di un piano di audit, possono
essere applicati diversi approcci, tutti caratterizzati dal fatto di essere risk
based.
Il primo tema che ci troviamo ad affrontare nell’impostazione dell’audit
Plan è quello della definizione dell’universo di audit, ovvero l’insieme delle
possibili alternative di attività di audit realizzabili nell’organizzazione in cui
si opera.
L’universo di audit può essere composto da vari raggruppamenti di attività
operative aziendali che si prestano a divenire oggetto delle attività di
verifica di un singolo intervento, e per questo sono denominati “oggetti di
audit”396.
L’Internal Audit Plan del gruppo Guess è articolato per area territoriale
(America, Europa e Asia) e, all’interno di queste, è a sua volta scomposto
per entità giuridiche e quindi per processi aziendali. Non a caso una tale
articolazione della pianificazione di audit è comunemente riscontrabile in
quei contesti aziendali piuttosto complessi ed articolati in società
giuridicamente separate.
L’attenzione sui processi come oggetto privilegiato della pianificazione di
internal auditing deriva dal timing che caratterizza il fashion business, il
quale non si articola secondo un trend ciclico, ma si sviluppa secondo un
trend multiciclico (come rappresentato in Fig. 15), pertanto, un’analisi per
singolo Department non offrirebbe all’Internal Audit una visione completa
delle diverse attività aziendali su cui pianificare interventi di audit.
In aggiunta, tale approccio di analisi si è dimostrato molto utile per fare
fronte alle frequenti evoluzioni che hanno caratterizzato il gruppo Guess in
questi ultimi anni.
396
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 264.
165
5. Il gruppo Guess: un player mondiale
Infatti, una pianificazione per processi aziendali ha consentito altresì di
sopperire, in gran parte, ad eventuali processi di fusione o incorporazione,
così come ad eventuali riorganizzazioni delle strutture aziendali guidate da
esigenze di business, con la conseguente modifica delle aree di
responsabilità ed una ridefinizione degli obiettivi gestiti.
Usual fashion timing
01
02
03
04
05
06
07
08
09
10
11
12
Agent/Customer
Sales Dept
Logistic
Warehouse
Administration
Production
Order
Handling FW
Order
Handling SS
Spedizioni FW
Spedizioni SS
Fatturazione
FW
Fatturazione
SS
Controllo
qualità FW
Controllo
qualità SS
Customer
Service FW
Customer
Service SS
Riassortimenti
FW
Riassortimenti
SS
Fig. 15
Come evidenziato dagli Standard professionali, “l’universo di audit può
comprendere componenti ripresi dal piano strategico dell’organizzazione.
In tal modo, l’universo di audit rifletterà gli obiettivi complessivi del piano
di business. I piani strategici spesso riflettono in qualche modo la
propensione al rischio propria dell’organizzazione e il grado di difficoltà
nel raggiungimento degli obiettivi stabiliti. L’universo di audit può essere
influenzato dai risultati del processo di risk management. Nel definire il
166
5. Il gruppo Guess: un player mondiale
proprio piano strategico, l’organizzazione deve considerare l’ambiente in
cui opera, poiché è molto probabile che i fattori ambientali influiscano
sull’universo di audit e sulla valutazione dei rischi ad essi connessi397”.
L’Internal Audit Plan del gruppo Guess, infatti, contiene al suo interno
progetti di audit che, nel suo complesso, hanno un orizzonte temporale
superiore all’esercizio a cui lo stesso piano fa riferimento.
Questi sono frutto di una scomposizione in un’ottica annuale dei diversi
interventi di audit in relazione ai progetti pluriennali contenuti nel Three
Years Plan, il piano strategico definito dal top management in cui sono
stati identificati gli obiettivi di business dell’organizzazione e le strategie
per il conseguimento degli stessi.
In conclusione, la delimitazione degli ambiti di intervento è fondamentale
per la gestione dei singoli incarichi di audit, i quali devono conciliare
l’esigenza di garantire un’adeguata copertura dei rischi attraverso la verifica
del sistema dei controlli, con tempi di intervento gestibili e con un
ragionevole impatto sull’operatività aziendale398.
3.1. I CRITERI PER LA DETERMINAZIONE DEL PIANO DI AUDIT
L’attività di pianificazione di audit analizza gli oggetti di audit che
compongono l’universo di audit sulla base di un set definito di fattori la cui
valorizzazione e sintesi conduce alla definizione delle priorità che
consentono l’allocazione delle risorse.
397
Cfr. Guida Interpretativa IIA 2010-2 Collegamento tra piano di audit e rischi aziendali.
Quando l’universo definito dagli oggetti di audit assume una dimensione tale da non poter
essere coperto dalle risorse disponibili nel lasso di tempo previsto dalla pianificazione, diventa
necessario ripetere, allo scadere di ogni periodo, le analisi necessarie alla definizione delle nuove
priorità per il periodo successivo, garantendo man mano la complessiva revisione di tutte le attività
dell’universo. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance.
Egea Edizioni, Milano, Marzo 2007, pag. 266.
398
167
5. Il gruppo Guess: un player mondiale
Essendo le diverse attività di internal auditing finalizzate al controllo
interno, è naturale che le regole per l’allocazione delle stesse seguano
logiche legate alla presenza di rischi inerenti o residuali; ne consegue che i
criteri rispetto ai quali valorizzare i possibili oggetti di audit candidati alla
verifica dovranno essere legati alla valutazione dei rischi e del sistema di
controllo interno esistenti399.
Tali criteri possono essere di due tipi400:
• qualitativi, quando sono il risultato di una valutazione da parte degli
auditor, dei manager o di altri esperti;
• quantitativi, quando derivano dalla misurazione di grandezze rilevabili.
I primi che si caratterizzano per la più elevata possibilità di applicarli alle
varie tipologie di oggetti, presentano il rischio di una maggiore
imprecisione e della mancata condivisione tra valutatori differenti;
richiedono, quindi, da parte dell’internal auditor che desidera impiegarli,
particolari cautele in termini di:
• formalizzazione delle scale di valutazione per l’esplicitazione delle
logiche sottostanti la valorizzazione del criterio;
• sintesi di valutazioni effettuate da soggetti diversi per mitigare i rischi di
errore di un solo valutatore;
• verifica a posteriori della condivisibilità delle valutazioni da parte dei
destinatari dei risultati.
Nel caso di criteri quantitativi, il rischio di opinabilità può sembrare
superato, ma in realtà non lo è mai completamente; è infatti raro disporre in
399
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 269.
400
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 269-270.
168
5. Il gruppo Guess: un player mondiale
azienda di indicatori quantitativi (contabili, gestionali o operativi)
specificatamente orientati alla rilevazione dei rischi, e risulta quindi
necessario ricorrere all’utilizzo dei cosiddetti “approssimatori” o proxy, che
non misurano esattamente il rischio che si desidera analizzare ma in qualche
modo forniscono grandezze ad esso connesse. La scelta di un proxy,
comunque, in assenza di misure specifiche introduce un elemento valutativo
che allontana dalla piena oggettività anche i criteri basati sulla misurazione.
Il criterio utilizzato dall’Internal Audit del gruppo Guess, per la definizione
delle diverse attività da inserire nell’Audit Plan, è prevalentemente di tipo
qualitativo, ad eccezione delle attività di auditing pianificate nel rispetto del
Sarbanes-Oxley Act, in cui la scala di valutazione che viene utilizzata per la
determinazione delle priorità è generalmente di tipo quantitativo.
In particolare un determinato controllo rientra nello scope della SOX nel
momento in cui questo supera una soglia di materialità determinata
dall’incidenza, in percentuale, sul Net Operating Result pari a circa il 5% a
livello di bilancio consolidato americano.
L’Audit Plan deriva, quindi, dalle diverse valutazioni effettuate dagli
Internal Audit Manager, ciascuno per l’area geografica di cui è
responsabile, le quali vengono aggregate e sintetizzate a livello di corporate
da parte del Chief Audit Executive di Guess Inc. che provvede, in ultima
analisi, a predisporre un Piano di attività definitivo, basato sull’analisi dei
rischi ed in linea con gli obiettivi dell’organizzazione, il quale viene
discusso con l’Audit Committee e presentato al Board of Director.
Qui di seguito riportiamo un estratto dell’Internal Audit Plan del gruppo
Guess, relativo all’area europea, per il Fiscal Year 2009401:
401
Con “Fiscal Year 2009” si intende il periodo che va dal 03 Feb. 2008 al 31 Gen 2009,
corrispondente con l’esercizio fiscale di Guess Inc. L’esercizio fiscale americano presenta un
timing diverso dall’esercizio fiscale italiano, in quanto i mesi sono composti da 4 o 5 settimane e le
chiusure dei Report mensili, trimestrali e del Financial Statement annuale avvengono sempre il
giorno Sabato.
Infatti, se prendiamo in considerazione, ad esempio, i valori del bilancio civilistico di Guess Italia
relativo all’esercizio 2007 (01/02/2007-31/01/2008), esso contiene valori che differiscono dal
corrispondente bilancio US GAAP inviato a Guess Inc. ai fini della redazione del bilancio
169
5. Il gruppo Guess: un player mondiale
FY2009 PROPOSED
Region
Department
Project
Scope & Description
Europe
Legal / Retail Ops
Sub-licensee audit
Europe
Retail Ops
Retail Store
Construction Review
Europe
AR/Customer Service
Wholesale Process
Analysis
Review of the reporting and
financial requirements per the
agreement/lease to actual
activity currently occurring
Review the Retail Store
Construction process including
bidding, construction
monitoring, and payment.
Compare the Guess Europe
model to Guess Corporate
procedures.
Review of the Customer Credit
Limits, AR aging, collections,
write-offs and related reserves
Europe
Inventory Control
Inventory Processing Review the order processing,
Review
shipping and tracking for both
wholesale and retail operations
for the various product lines
Europe
Multiple
SOX
Complete all aspects of the
Sarbanes Oxley compliance
project including
documentation, testing and
evaluation of deficient controls.
Europe
Guess Service Co.
Europe
Logistics
Guess Service
Company Contract
Review
Physical Inventory
Europe
Multiple
Walk Throughs
Review the terms and
conditions of the Guess Service
Company Contract.
Operational
Observation of Physical
Inventory counts at select retail
and distribution center
locations
Financial
Complete walk through
documentation and provide
supporting information as
needed to satisfy the walk
through templates provided by
EY.
Compliance
Type
Financial
Operational
Operational
Operational
Compliance
(…omissis…)
consolidato, in quanto quest’ultimo fa riferimento al Fiscal Year 2008 americano che va dal
04/02/2007 al 02/02/2008.
170
5. Il gruppo Guess: un player mondiale
4. LE DIVERSE TIPOLOGIE DI AUDITING IN GUESS EUROPE
L’attività di internal auditing costituisce uno tra i più importanti “snodi” del
sistema informativo aziendale, che vede coinvolti diversi interlocutori,
alcuni dei quali di natura esosocietaria.
L’ampiezza e la complessità degli incarichi assegnati ad una Funzione di
Internal Audit comporta la necessità di disporre di adeguate risorse in
termini sia quantitativi sia qualitativi, al fine di poter rispondere di volta in
volta in maniera adeguata alle mutevoli richieste del management
aziendale.
Da quanto rilevato dall’esperienza dell’Internal Audit del gruppo Guess, i
differenti obiettivi prefissati nel piano di audit comportano l’esigenza di
attivare diverse tipologie di auditing, che si differenziano tra loro sia per
quanto riguarda l’oggetto dell’audit, sia per le diverse metodologie
utilizzate.
Tra le diverse tipologie di auditing, considerando il caso aziendale cui
facciamo riferimento in questa sede, possiamo analizzare:
1. l’operational auditing;
2. il compliance auditing;
3. l’IT auditing;
4. il fraud auditing;
5. l’audit finanziario e contabile.
È opportuno precisare che tale distinzione tra le diverse tipologie di
intervento non è così evidente nella realtà operativa e pertanto questo risulta
possibile soltanto a livello teorico. Di fatto, questa schematizzazione delle
diverse attività risulta agevole per condurre la nostra trattazione, nonostante
171
5. Il gruppo Guess: un player mondiale
la consapevolezza che queste siano fortemente e necessariamente correlate
tra loro. Molto spesso, nel concreto si verificano le diverse situazioni402:
• un intervento di operational auditing, finalizzato alla valutazione
dell’efficacia ed efficienza del sistema di controllo di un determinato
processo aziendale, può, nell’ambito della propria effettiva fase di test
prevedere lo svolgimento di verifiche di conformità mediante l’attività
di compliance auditing;
• può verificarsi la fattispecie in cui, nel corso di un intervento di audit si
presenta la necessità di attivare una tipologia di audit diversa: questo è il
caso, ad esempio, di un intervento di compliance auditing che fa
emergere sospetti di eventi illeciti che determinano l’esigenza di
svolgere, in aggiunta, un’attività di fraud auditing, oppure un’attività di
operational auditing che rileva inefficienze del sistema informativo
innescando un’ulteriore attività di IT auditing, ecc.;
• possono essere affidati all’Internal Audit incarichi di ampiezza e
difficoltà tali da richiedere lo svolgimento di diverse tipologie di attività
di auditing.
È da precisare, inoltre, che nel gruppo Guess, sono richieste numerose
attività di auditing, a supporto della valutazione complessiva del sistema di
controllo interno e del relativo risk management e, pertanto, ampi spazi
sono concessi ad incarichi di natura mista.
Qui di seguito proponiamo un dettaglio relativo all’impiego delle risorse
nelle diverse attività di audit effettuate nel gruppo Guess (area Europa).
È evidente come l’attività di compliance auditing assuma un grande peso
fra le diverse attività svolte dall’Internal Audit Dept. di Lugano, Firenze e
Bologna.
402
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 226-227.
172
5. Il gruppo Guess: un player mondiale
Il motivo è da ricercarsi nell’importanza che ha assunto nel 2006
l’implementazione dei controlli ai fini del Sarbanes Oxley Act in Guess
Italia e in Focus (con sede a Bologna), implementazione che, nel 2008,
dovrà essere effettuata anche in Guess Europe mantenendo alto il peso del
compliance auditing tra le attività di audit pianificate.
L’impiego delle risorse nelle attività di auditing in Guess Europe403
2007
75%
2%
8%
Compliance Audit
Financial Audit
15%
Operational Audit
Other
403
L’incremento dell’impiego di risorse dedicate allo svolgimento dell’operational auditing, nel
2008, è dovuto alla pianificazione di nuovi progetti, programmati con la collaborazione
dell’Internal Audit Dept. di Guess Inc.
173
5. Il gruppo Guess: un player mondiale
2008
69%
2%
10%
Compliance Audit
Financial Audit
19%
Operational Audit
Other
4.1. L’OPERATIONAL AUDITING
Uno dei presupposti che sta dietro ad un buon sistema di governo delle
attività aziendali è sicuramente l’analisi dei processi e la valutazione
dell’efficacia e dell’efficienza della loro funzionalità in termini di risk
management, nonché le relative misure di controllo per mitigare i rischi
ritenuti significativi.
Tale tipologia di audit tende a produrre per l’organizzazione un elevato
valore aggiunto in quanto si traduce in un’analisi dei diversi processi
trasversali alle Funzioni aziendali, rilevando tipicamente problematiche di
integrazione ed efficienza.
L’operational audit è una delle attività di audit a maggior contenuto
consulenziale, in quanto valuta la strutturazione, ovvero il disegno del
sistema di risk management/controllo interno del processo. A seconda dei
174
5. Il gruppo Guess: un player mondiale
risultati conseguiti non è raro che da tale attività possa scaturire anche la
reingegnerizzazione404 del processo stesso405.
Secondo tale logica, nel gruppo Guess, ed in particolare in Guess Italia,
l’entità a cui spesso faremo riferimento in questa trattazione, l’Internal
Audit Department ha provveduto, inizialmente, all’elaborazione di
narrative e flow chart dei diversi processi aziendali, sia processi di
business, sia processi di supporto, scomposti a sua volta nelle diverse
attività che collegate tra loro determinano un risultato (output) sulla base di
input definiti.
Qui di seguito presentiamo l’elenco dei processi406 individuati dall’Internal
Audit Dept. per Guess Italia e un flow chart di dettaglio, a titolo di esempio,
che potrebbe essere realizzato per sintetizzare in maniera schematica ed
intuitiva lo svolgimento di alcune attività che ad una prima analisi
potrebbero risultare complesse.
• Active Cycle: Order to Cash (O2C);
• Passive Cycle: Purchase to Pay (P2P);
• Inventory (INV)
• Human Resource (HR);
• Financial Statement Closing Process (FSCP);
• Fixed Asset;
• Retail Operations;
• IT Structure.
404
A tal riguardo è apprezzabile il contributo dell’Internal Audit Dept di Guess Europe e Guess
Italia relativamente allo svolgimento di attività di consulenza volta all’ottimizzazione di una
struttura aziendale caratterizzata da un forte “overlapping” di Funzioni dal punto di vista
finanziario e commerciale. Senza entrare nel dettaglio, l’attività in questione si è concentrata
principalmente sulla ridefinizione di nuovi ruoli e responsabilità con l’obiettivo di ottimizzare le
diverse attività in base alle risorse a disposizione.
405
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 228.
406
Per ciascuno di tali processi è stato elaborato un narrative descrittivo del flusso di attività che
compongono il processo stesso.
175
5. Il gruppo Guess: un player mondiale
Active Cycle – Order Collection
Agent
Showroom
(CS clerks)
Commercial Dept
Customer Service
ORDER
PROPOSAL
ARCHIVING OF
SIGNED ORDER
PROPOSAL
Credit
Management
Dept.
NETORDER
YES
NO
NEW
CUSTOMER?
ORDER
PROPOSAL
WITH JOLLY
CODE
NOTES
CUSTOMER
EVALUATION
FORM
ORDER
PROPOSAL
NOTES
STEALTH
ARCHIVING OF
CUSTOMER
EVALUATION FORM
CUSTOMER
CREDIT LIMIT
FILE
Fig. 15
L’identificazione dei diversi processi aziendali che dovranno poi essere
analizzati, potrebbe mostrarsi in alcuni casi difficile e laboriosa, soprattutto
quando questi presentano elementi di sovrapposizione all’interno della
stessa entità aziendale, oppure quando questi si compongono di attività
elementari di complessa individuazione o difficilmente separabili da altre
attività collegate.
Per far fronte a tali fattispecie, ostili ad una mappatura esplicita dei diversi
processi, è necessario esaminare in maniera accurata le modalità di
esecuzione delle attività e tutta la documentazione disponibile che le
regolamenta.
176
5. Il gruppo Guess: un player mondiale
L’attività di operational auditing si focalizza sull’analisi della capacità
delle strutture aziendali di conseguire i propri obiettivi attraverso lo studio
dei processi, già oggetto di mappatura nella fase iniziale, rilevandone
eventualmente le potenziali aree di miglioramento in termini di efficienza
ed efficacia.
In tal modo l’operational auditing tende a verificare se i risultati fissati
dall’alta direzione siano, in termini di fattibilità, perseguibili dalle diverse
strutture interessate e compatibili con i processi aziendali che ne sono a
supporto.
Nel nostro caso, l’Internal Audit in Guess Italia, oltre che sulla verifica
dell’effettiva possibilità di conseguire i risultati fissati, pone attenzione
come già accennato precedentemente, alla valutazione del grado di
economicità raggiunta dalle diverse strutture organizzative in termini di
efficacia (grado di raggiungimento degli obiettivi) ed efficienza (costi,
tempistiche, risorse utilizzate) nella realizzazione dei risultati stessi.
In particolare, una volta effettuato uno studio del contesto generale del
processo al fine di delineare gli obiettivi (di governo e di business)
perseguiti in modo prioritario dal management, i rischi che potenzialmente
possono minare il loro raggiungimento, le macrofasi del processo, le
strutture aziendali coinvolte, gli attori principali, così come i sistemi
informativi significativi ed il flusso informativo generale fino al top
management, si procede ad un’analisi dettagliata del processo nelle sue
diverse fasi con la rilevazione di eventuali carenze o difetti di
strutturazione.
L’attenzione si concentra, come già più volte ribadito, su quelle attività
critiche, i cui rischi appaiono maggiormente rilevanti e che è opportuno
misurare in termini di potenziale impatto negativo per l’organizzazione.
Senza entrare nel dettaglio, elenchiamo qui di seguito una serie di carenze o
difetti che possono essere rilevati nella strutturazione del sistema di
controllo interno e di risk management:
177
5. Il gruppo Guess: un player mondiale
• non chiarezza o coerenza tra strutture della comunicazione degli
obiettivi407;
• non adeguata attribuzione delle responsabilità, ricordando tra l’altro
anche il rispetto della separazione dei ruoli;
• inadeguata conoscenza, da parte degli attori coinvolti nel processo, delle
modalità stabilite per raggiungere gli obiettivi;
• monitoraggio non adeguato per stabilire in modo sistematico e continuo
il progressivo raggiungimento degli obiettivi408;
• sistemi informativi non integrati o non adeguati ai controlli diretti che
devono essere previsti;
• mancanza di idonei processi di pianificazione e di risk assessment;
• controlli diretti ripetitivi, ridondanti, inadeguati o inefficienti.
In conclusione, l’Internal Audit Dept., con la collaborazione del
management e dei responsabili di processo, procede ad una valutazione
puntuale dei diversi processi aziendali analizzati, ricercando le possibili
soluzioni migliorative al fine di un’ottimizzazione dei processi stessi.
L’obiettivo dell’operational auditing è, quindi, la “creazione di valore”
attraverso un continuo miglioramento dei processi aziendali409.
È evidente come una tale tipologia di auditing si configuri come un’attività
di natura consulenziale a servizio del management e dei vertici aziendali, i
quali, in condivisione con l’internal auditor, hanno la possibilità di
intraprendere le azioni correttive e le linee risolutive ipotizzate.
407
A titolo esemplificativo:
- il Customer Service può perseguire obiettivi di fatturato e non di margine;
- il Purchasing Dept. al fine di ottenere condizioni economiche migliori, non pone attenzione
alle dinamiche finanziarie (quali, ad esempio, i termini di pagamento);
- una “cannibalizzazione” dei canali distributivi a causa di un carente coordinamento tra
Funzioni diverse (questo è il caso in cui, ad esempio, il Direttore Commerciale wholesale
decida di vendere merce all’interno di un centro commerciale in un grande Department
Store e al contempo il Direttore Commerciale sublicence, progetti l’apertura di un negozio
in sub-licence nello stesso centro).
408
A titolo di esempio, il buon funzionamento e l’articolazione del sistema di budgeting.
409
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 230.
178
5. Il gruppo Guess: un player mondiale
Nello svolgimento di tale attività, oltre a competenze specifiche nei diversi
settori di attività, uno dei fattori critici di successo, su cui l’Internal Audit
nel gruppo Guess pone molta attenzione, è quello della creazione di un
canale informativo trasparente volto alla massimizzazione dei risultati
ottenuti tramite l’attività di auditing e di quelli ottenibili tramite il
successivo piano d’azione da intraprendere in caso di criticità.
In generale, infatti, la Funzione di revisione interna deve possedere spiccate
doti di comunicazione che tendano a valorizzare il lavoro svolto nei
confronti dei vertici aziendali e dei Responsabili di processo.
4.2. IL COMPLIANCE AUDITNG
Tra le diverse attività di auditing effettuate dall’Internal Audit Department
nel gruppo Guess, l’attività di compliance auditing, ovvero audit di
conformità, assume un peso particolarmente rilevante fra i compiti ad essa
attribuiti.
In generale, tale attività si traduce nella verifica dell’osservanza delle regole
relative ad un determinato processo o area di business; regole che possono
essere costituite sia dalla normativa esterna, sia dalle norme interne che, in
virtù del principio generale di autoregolamentazione, le organizzazioni
aziendali emanano, per effetto di specifici rinvii di legge410 o sulla base
esclusivamente volontaria, al fine di meglio disciplinare le diverse
attività411.
In Guess Italia, l’Internal Audit, conformemente alle politiche stabilite a
livello di corporate, ha provveduto all’elaborazione di una serie di
410
In tal caso l’azienda è tenuta a fornire comunicazione formale agli stakeholders su modalità,
mezzi controlli e responsabilità adottati per il raggiungimento degli obiettivi.
411
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 230-231.
179
5. Il gruppo Guess: un player mondiale
regolamenti interni che determinano le linee di comportamento da adottare
all’interno dell’organizzazione. Compongono la normativa interna:
a) Principi aziendali: Guess’ mission.
“Alla Guess il nostro obiettivo è quello di essere un marchio leader
nell’industria e nella moda. Offriamo prodotti e servizi di una qualità e
con un rigore senza compromessi, coerenti con la filosofia del nostro
marchio e della nostra immagine.
Ci impegniamo ad ascoltare e a soddisfare le esigenze dei nostri clienti,
dei nostri dipendenti e dei nostri partners ed a rispettarne i valori
individuali.
Ci impegniamo a favorire la crescita personale e professionale delle
persone grazie ad un ambiente in cui si è liberi di comunicare, al lavoro
di squadra, alla fiducia ed al rispetto.
Non smettiamo mai di dare qualcosa in cambio alla comunità, a
sostenere le persone e a proteggere l’ambiente come parte delle nostre
responsabilità.
Restiamo fedeli ad uno spirito imprenditoriale che alimenta la nostra
crescita della nostra azienda ed il valore dei nostri azionisti.
Guidata da una leadership contraddistinta da sani principi morali,
l’azienda accoglie in sé la diversità e coltiva la forza, l’orgoglio e la
passione per far camminare una accanto all’altra la nostra vita personale
e quella professionale”412.
b) Politiche e linee guida.
A tal riguardo un esempio emblematico è rappresentato dal Code of
Counduct che pone l’accento su uno standard di condotta etica che deve
permeare tutte le transazioni e le relazioni commerciali che
412
Cfr. il sito internet di Guess (sezione Italia): www.guess.com.
180
5. Il gruppo Guess: un player mondiale
amministratori, responsabili e dipendenti del gruppo Guess si trovano ad
intraprendere413;
c) Procedure.
Il Book of procedures di Guess Italia contiene una serie di regolamenti
interni che disciplinano le attività che devono essere effettuate dai
diversi dipartimenti aziendali (più precisamente, Amministration Dept.,
Commerciale, Logistic Dept., Purchasing Dept., Treasury e Credit
Management, Human Resource e Finance Dept.).
Qui di seguito presentiamo un estratto del Book of procedure di Guess
Italia, che disciplina le diverse attività di supervisione che devono essere
effettuate da parte del Chief Financial Officer.
413
Per ulteriori approfondimenti sui contenuti del Code of Conduct del gruppo Guess cfr.
Paragrafo 4.4. Fraud Auditng.
181
5. Il gruppo Guess: un player mondiale
182
5. Il gruppo Guess: un player mondiale
183
5. Il gruppo Guess: un player mondiale
184
5. Il gruppo Guess: un player mondiale
185
5. Il gruppo Guess: un player mondiale
186
5. Il gruppo Guess: un player mondiale
d) Disposizioni operative.
In riferimento a tale categoria di regolamenti interni proponiamo qui di
seguito, a titolo di esempio, il calendario relativo alle attività di chiusura
del report mensile di Guess Italia, la cui supervisione è affidata
all’Administration Manager, che deve garantire il rispetto della
procedura operativa tramite la sottoscrizione del relativo format
sottostante414.
CALENDARIO ATTIVITÀ DI CHIUSURA REPORTS MENSILE
Giorno
dalla
chiusura
(Giorno
chiusura
= 0)
Ora
Attività
-4
9.30
File Payroll da Studio C.
x
-2
Fine
giornata
Fatture da ricevere Cespiti ammortizzabili / Calcolo e
contabilizzazione Ammortamenti / Scheda 5
x
0
0.00
Contabilizzazione e controllo di tutti i costi del
personale
x
0
Fine
giornata
Posting di tutto ciò che è stato immesso in contabilità
Generale, Clienti e Fornitori.
x
0
Fine
giornata
Stop Magazzino
x
0
Fine
giornata
Stop alla registrazione delle fatture fornitori nel mese
precedente
x
1
10.00
Ratei / Risconti
x
1
13.00
Stop alle registrazioni sulle banche e inizio
riconciliazioni che dovranno essere terminate entro la
terza settimana dal giorno 0
x
Soggetto
Note
Responsabile
Check
per
verifica
attività
414
Il calendario riportato qui di seguito fa riferimento alle attività di chiusura del report mensile di
Guess Italia del mese di Gennaio 2008, corrispondente anche alla data di chiusura del bilancio
d’esercizio di tutte le società del gruppo. Il calendario è stato depurato, per motivi di riservatezza,
dei nomi dei soggetti interessati e di eventuali note sulle attività da effettuare.
187
5. Il gruppo Guess: un player mondiale
Controlli sulla correttezza della fatturazione, sia Italia
che Estero
1
13.00
1
13.00
1
13.00
1
13.00
STOCK IN TRANSIT - Import + Oneri accessori
x
1
13.00
STOCK IN TRANSIT - Denim + Oneri accessori
x
1
13.00
STOCK IN TRANSIT - Scarpe + Oneri accessori
x
1
15.00
Comunicazione carichi di Magazzino prodotti Focus,
Fornitore (1) e Fornitore (2)
x
1
Fine
giornata
Spedizione alle consociate dei prospetti per le
riconciliazioni (entro la mattina del giorno 4 i
prospetti devono essere reciprocamente confermati)
x
1
Fine
giornata
Posting EPS
x
1
Fine
giornata
Stima del rischio su contenziosi in corso / Compensi
Legali maturati ma non ancora fatturati
x
1
Fine
giornata
Chiusura Omaggi
x
1
Fine
giornata
Registrazione CUT-OFF per fatture da ricevere
Prodotto Focus, Fornitore (1) e Fornitore (2)
x
2
9.30
Lancio Procedura AS OF
x
2
10.00
CUT-OFF per fatture da ricevere Prodotto Wholesale
x
2
13.00
Quadratura tra BO e PeopleSoft del fatturato del
mese
x
2
13.00
Query Fatturato Denim Footwear e Periferico
dell'ultimo mese per il calcolo delle royalties
x
2
13.00
Calcolo delle Rimanenze Finali e Costo del Venduto
per negozi Italia ed Estero
x
2
13.00
Calcolo delle Rimanenze Finali per linea
x
2
13.00
Stock in Transit Negozi Italia
x
2
Fine
giornata
STIME FATTURE DA RICEVERE - COSTO
VENDUTO (PRODOTTO)
x
2
Fine
giornata
Incassi Negozi
x
2
Fine
giornata
Stop alle registrazioni delle note spese
x
Posting delle eventuali fatture cee ed extracee
intercorrenti tra la fine del mese solare precedente e
la data di chiusura del report
Estrazione di tutte le spedizioni non fatturate
intercorrenti tra la fine del mese solare precedente e
la data di chiusura del report per la contabilizzazione
delle stesse tra le fatture da emettere
x
x
x
188
5. Il gruppo Guess: un player mondiale
2
Fine
giornata
Calcolo Royalties DENIM
x
2
Fine
giornata
Calcolo Royalties FOOTWEAR e PERIFERICO
x
2
Fine
giornata
Italy Retail Discounts
x
2
Fine
giornata
Calcolo Riserva Shrinkage
x
2
Fine
giornata
Logistica: importo relativo ai costi di Handling di
Movimoda e di Freight Out.
x
2
Fine
giornata
Dati Finanza (interessi, cambi, fair value, etc)
x
2
Fine
giornata
Conversione in Euro dei saldi dei conti correnti in
valuta
x
2
Fine
giornata
STIME ALTRE FATTURE DA RICEVERE - GUESS
SERVICE
x
2
Fine
giornata
Stima delle note spese non contabilizzate - GUESS
SERVICE
x
2
Fine
giornata
Stima voci di P.L. che servono a addebito Affitto +
oneri accessori da G.ITA a G.SERVICE/BARN
x
3
Fine
giornata
Rent
x
(…omissis…)
189
5. Il gruppo Guess: un player mondiale
e) Prescrizioni contrattuali.
Un esempio emblematico, in riferimento al gruppo Guess Europe è
rappresentato dagli ordini di vendita i quali possono scaturire da due
tipologie di documenti:
• il contratto stipulato direttamente con il cliente per forniture
specifiche;
• la copia commissione preparata dall’agente composta di un prospetto
riepilogativo delle quantità ordinate ed un prospetto contenente le
condizioni commerciali che il cliente deve sottoscrivere415.
Per quanto concerne, invece, l’importanza dell’attività di compliance
auditing, relativamente alla normativa esterna, questa risulta ancor più
accentuata in virtù del fatto che Guess Inc. è quotata al New York Stock
Exchange di Wall Street e pertanto tutto il gruppo è soggetto al rispetto del
Sarbanes Oxley Act (SOX).
Come già ribadito precedentemente, la normativa SOX prevede alla sezione
404, l’emissione di un’attestazione annuale416 da parte del management di
415
È da sottolineare che l’80% degli ordini ricevuti in Guess Europe sono costituiti da copie
commissione preparate dall’agente.
416
Oltre all’emissione di un’attestazione annuale da parte del Management di ciascuna SEC
Registrant, volta a garantire l’efficacia del sistema di controllo interno inerente il financial
reporting, il Board of Director di Guess Inc. è tenuto alla pubblicazione della cosiddetta
“Upstream Certification”.
Essa consiste in una lettera di attestazione, da emettere di concerto con la pubblicazione del
Quarterly Report contenuto nel “Form 10-Q”, in cui ogni membro dell’alta direzione (il Chief
Executive Officer, il Chairman of the Board, il Chief Operating Officer e il Chief Financial
Officer) assicura, in sintesi, che non vi è niente in sua conoscenza che non sia stato riportato nel
financial statement.
Qui di seguito riportiamo un estratto della “Upstream Certification” emessa da Guess Inc assieme
alla pubblicazione del secondo Quarterly Report relativo all’esercizio 2007.
“[...]
I confirms, to the best of my knowledge, as of the date of this letter, the following representations:
1. The financial and supplementary information referred to above is fairly presented, does not
contain misleading information, and does not omit any material information to cause them to be
misleading.
2. There have been no communications from regulatory agencies or lenders concerning
noncompliance with or deficiencies in financial reporting practices.
190
5. Il gruppo Guess: un player mondiale
ciascuna SEC registrant, relativamente all’efficacia del sistema di controllo
interno inerente il financial reporting, nonché la conseguente necessità di
ottenerne una certificazione da parte della società di revisione esterna417.
In altre parole, il Chief Executive Officer (CEO) e il Chief Financial Officer
(CFO) sono responsabili del mantenimento di un’adeguata struttura di
3. There are no material transactions that have not been properly recorded in the accounting
records underlying the financial information and financial statements referred to herein.
4. I must disclose to you:
a. My knowledge of any fraud that has been perpetrated or any alleged or suspected fraud;
b. My knowledge of any allegations of fraudulent financial reporting;
c. My understanding about the risks of fraud in the Company, including any specific fraud
risks the Company has identified to account balances or classes of transactions for which
a risk of fraud may be likely to exist.
5. The Company has no plans or intentions that may materially affect the carrying value or
classification of assets and liabilities.
6. I have provided you with relevant information regarding related-party transactions, including
sales, purchases, loans, transfers, leasing arrangements and guarantees (whether written or oral),
and amounts receivable from or payable to related parties.
7. There are no:
a. Violations or possible violations of laws or regulations whose effects should be
considered as a basis for recording a loss contingency.
b. Other liabilities or gain or loss contingencies that are required to be accrued by FASB
Statement No. 5, except as disclosed to you.
8. The Company has satisfactory title to all owned assets and there are no liens or encumbrances
on such assets nor has any asset been pledged as collateral, except as disclosed to you.
9. The Company has complied with all aspects of the contractual agreements that would have a
material effect on the financial information and financial statements in the event of
noncompliance.
10. The accounting records underlying the financial information and financial statements represent
valid claims against debtors for transactions arising on or before the balance-sheet date and have
been appropriately reduced to their estimated net realizable value.
11. Receivables recorded in the financial information and financial statements represent valid
claims against debtors for transactions arising on or before the balance-sheet date and have been
appropriately reduced to their estimated net realizable value.
12. No events have occurred subsequent to the date of the financial information and financial
statements that would have material effect on the financial information and financial statements or
that should be disclosed in order to keep the financial information and financial statements from
being misleading.
13. I agree to notify you in the event that any change occurs which renders inaccurate or
incomplete as of that time any answers given herein.
I declare under penalty of perjury that the foregoing is true and correct to the best of my
knowledge.”
417
Tra i principali requisiti richiesti dalla Sezione 404 del Sarbanes Oxley Act sono contenute
disposizioni in riferimento alla responsabilità del management il quale deve:
-
accettare la responsabilità circa l’efficacia del controllo interno sul processo di redazione del
financial reporting;
valutare l’efficacia dell’ “Internal Control Financial Reporting” applicando un criterio di
controllo appropriato (ad esempio il modello ERM del CoSO Report);
supportare tale valutazione con sufficienti evidence, compresa la relativa rappresentazione
documentale;
presentare una attestazione scritta circa l’efficacia del “Financial Control Internal Reporting”.
191
5. Il gruppo Guess: un player mondiale
controllo interno e di reporting finanziario, essi forniscono annualmente
un’assessment circa l’efficacia di questa struttura e delle procedure di
emissione dei reporting, che in ultima analisi dovrà essere comprovata dalla
società di revisione contabile che certifica la stessa attestazione.
Qui di seguito offriamo un estratto del “Management Assessment of
Sarbanes Oxley Act” redatto da Guess Inc. per l’esercizio 2006 (chiuso in
data 31 Gennaio 2007). In particolare:
“the purpose of this document is to:
1. outline the framework used for clarification and evaluation of Guess’s
Section 404 deficiencies for 2006;
2. classify and evaluate all of the Company’s identified control
deficiencies compiled subsequent to the testing, remediation and refresh
testing phases of the Sarbanes-Oxley (SOX) Project.”
[…]
Con specifico riferimento all’Italia, il Management Assessment, fornisce
dettagli in merito alla conduzione del progetto SOX 404 da parte
dell’Internal Audit Dept. di Guess Europe, attestando che:
“The Guess Europe Internal Audit Department identified, documented and
tested 159 key controls within the scope of the SOX 404 project. At the
conclusion of the interim testing, ineffective controls were identified and
required remediation. Upon completion of the remediation and refresh
testing all 159 controls were found to be effective.
Through the review of the work completed for the 2006 SOX 404 project,
opportunities to introduce and improve controls for processes that were out
of scope in 2006 were identified. As a direct result of the 2006 SOX 404
192
5. Il gruppo Guess: un player mondiale
project, the scope of the anticipated work for 2007 will be adjusted in the
following manner:
• New processes will be examined/included-Financial Statement Close,
Tax and Cash and Treasury processes.
• Acquired and consolidated operations will be included in the 2007 test
work.
• Retail and wholesale operations will be assessed for possible review and
testing.
• Existing processes will be expanded- Order to Cash (AR), Process to
Pay (AP), and Inventory (INV).
The SOX related project of spreadsheet controls will be fully addressed.”
[…]
Il documento prosegue con la specificazione dei Frameworks e degli
Standard utilizzati per la valutazione delle criticità dei controlli, assicurando
che: “Guess used “A Framework for Evaluating Control Exceptions and
Deficiencies Version 3, dated December 20, 2004” (“Framework, Version
3”) as our framework for evaluating exceptions and deficiencies resulting
from the evaluation of the Company’s internal control over financial
reporting. This framework was developed by representatives from nine
accounting firms including the Big Four. This document has not been
updated since then, and therefore will continue to serve as a guide for the
Company’s evaluation of its remaining ineffective controls.
193
5. Il gruppo Guess: un player mondiale
In addition, the Company also used the Public Company Accounting
Oversight Board’s (PCAOB) Auditing Standard No. 2. (“the standard”).
Paragraphs 8 and 9 of the Standard define deficiencies418 [...].”
418
In particolare l’Auditing Standard No. 2 del PCAOB, ai Paragrafi 8 e 9, dispone che:
“8. A control deficiency exists, when the design or operation of a control does not allow
management or employees, in the normal course of performing their assigned functions, to prevent
or detect misstatements on a timely basis.
• A deficiencies in design exists when (a) a control necessary to meet the control objective is
missing or (b) an existing control is not properly designed so that, even if the control operates
as designed, the control objective is not always met.
• A deficiency in operation exists when a properly designed control does not operate as
designed, or when the person performing the control does not possess the necessary authority
or qualifications to perform the control effectively.
9. A significant deficiency is a control deficiency, or combination of control deficiencies, that
adversely affects the company’s ability to initiate, authorise, record, process, or report external
financial data reliably in accordance with generally accepted accounting principles such that there
is more than a remote likelihood that a misstatement of the company’s annual or interim financial
statement that is more than inconsequential will not be prevented or detected.
Note: the terms “remote likelihood” […] has the same meaning as the term “remote” as used in the
“FAS No. 5, Accounting for Contingencies” […].
Therefore, the likelihood of an event is “more than remote” when it is either reasonably possible or
probable.
Note: A misstatement is inconsequential if a reasonably person would conclude, after considering
the possibility of further undetected misstatements, that the misstatement, either individually or
when aggregated with other misstatements, would clearly be immaterial to the financial
statements. If a reasonable person could not reach such a conclusion regarding a particular
misstatement, that misstatement is more than inconsequential.”
194
5. Il gruppo Guess: un player mondiale
EVALUATING PROCESS/TRANSACTION-LEVEL CONTROL DEFICIENCIES
Il “Management Assessment si conclude, infine, con la seguente
attestazione:
“[…] Therefore, on an aggregate level, the Company believes that there are
compensating controls to reduce the magnitude of these exceptions to an
195
5. Il gruppo Guess: un player mondiale
inconsequential level and therefore, there are deemed no significant
deficiencies or material weaknesses as of January 31, 2007.”
L’attività di compliance audit nel rispetto della normativa SOX, ha
costituito una delle attività di primaria importanza per l’Internal Audit Dept.
nel gruppo Guess, che, con l’introduzione della nuova normativa, ha
dedicato gran parte delle sue risorse all’aggiornamento ed al miglioramento
dei propri sistemi di controllo interno con particolare attenzione all’impatto
che i rischi ad esso legati possono avere sui dati di reporting.
In effetti, le conseguenze che possono derivare dal mancato rispetto delle
norme esterne si manifestano, oltre che sotto forma di sanzioni di varia
natura (amministrative, penali, interdittive), anche in perdite per
l’organizzazione connesse ad una cattiva reputazione (è indubbio che per
gli intermediari finanziari, come per molti altri settori, uno dei valori più
importanti da difendere è la fiducia della propria clientela e del mercato in
generale419).
419
Per le società quotate al New York Stock Exchange, la SEC dispone la pubblicazione a cadenza
trimestrale di un documento denominato “Form 10-Q” composto da:
- Part I: Financial Information, in cui sono presentati tutti i dati di reporting consolidati a livello
di corporate;
- Part II: Other Information, tra cui legal proceedings, risk factors, ecc.
É da sottolineare che per il “Form 10-Q” non viene emessa alcuna opinion da parte della società di
revisione incaricata della certificazione del bilancio d’esercizio, infatti, il Financial Statement
contenuto nella Part I del Form riporta espressamente il termine “unaudited”.
In aggiunta al Form 10-Q, ogni qual volta si verificano eventi straordinari o cambiamenti a livello
di corporate, è prevista dal NYSE la pubblicazione del cosiddetto “Form 8-K”. Tale documento
viene emesso tutte le volte che la società deve rendere nota al mercato una comunicazione
straordinaria, tra cui ad esempio il caso di modifiche concernenti i compensi degli amministratori,
oppure cambiamenti nella composizione dell’Audit Committee, operazioni di acquisizioni
d’azienda, ecc.
Le comunicazioni possono riguardare anche il caso in cui siano stati commessi errori nella
pubblicazione dei dati di reporting, contenuti nel “Form 10-Q”; in tal caso è necessario rendere
noto l’errore con un’informativa speciale, utilizzando il “Form 8-K” e procedere ad una nuova
emissione del “Form 10-Q” con i dati di reporting corretti.
Presentiamo qui di seguito l’estratto del “Form 8-K” relativo all’acquisizione del 75% di Focus
Europe Srl da parte di Guess Europe B.V. in data 31/12/2006.
“Item 8.01 Other Events.
Acquisition of Focus Europe S.r.l.
Effective December 31,2006, Guess?., Inc. (the “Company”), through its wholly-owned
subsidiary, Guess? Europe, B.V. (“Purchaser”), completed the acquisition of 75% of the equity
interest of Focus Europe S.r.l. (“Focus”) from Foucs Pull S.p.A. (“Seller”). The Focus purchase
196
5. Il gruppo Guess: un player mondiale
Se è vero che il compliance auditing verifica l’osservanza delle norme, vero
è anche che tale tipologia di auditing viene riconosciuta come un valido
strumento di prevenzione, in grado di fornire assurance alle strutture
aziendali deputate all’emanazione e all’applicazione di regolamenti interni.
Un’auditing di compliance preventivo, svolto cioè senza notifica alla
struttura oggetto in esame, può assolvere tipicamente il ruolo di attività
ispettiva420.
In aggiunta, qualora le procedure aziendali e gli altri regolamenti interni
non siano aggiornati o non forniscano adeguata chiarezza sulle modalità
operative della gestione dei processi, l’Internal Audit dovrà ricorrere
all’operational auditing, mediante il quale attraverso l’analisi del processo
e dei relativi rischi, sarà in grado di fornire le necessarie valutazioni su
eventuali esigenze di completamento dell’impianto normativo interno.
In virtù delle competenze acquisite relativamente all’insieme delle
normative correlate ai processi che sono oggetto dell’attività di auditing,
l’Internal Audit Dept. dispone spesso di un’elevata conoscenza degli aspetti
normativi che si riferiscono all’organizzazione421.
È da precisare, inoltre, che relativamente all’emanazione delle normative
interne, l’Internal Audit non sostituisce il ruolo delle Funzioni operative a
cui è deputata la responsabilità della redazione delle stesse, essa si limita ad
esercitare un’attività di monitoraggio e segnalazione delle possibili
agreement also provides for the acquisition of 75% of the equity interest of Focus Spain S.A.
(“Focus Spain”), subject to certain closing conditions.
Since 1997, the Company has licensed to Focus the rights to manufacture, distribute and retail
“GUESS by Marciano” contemporary apparel in Europe, the Middle East and Asia. The
acquisition of the licensee is expected to further accelerate the Company’s expansion in Europe.
[…]
Cfr. Guess Inc., 8-K, January 08, 2007, pag.3-4.
420
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 231.
421
La Guida Interpretativa IIA 2100-5 Considerazioni legali nella valutazione dei programmi di
compliance a normative di vigilanza a tale proposito riferisce: “I programmi di compliance aiutano
le organizzazioni a prevenire violazioni non intenzionali, intercettare eventuali comportamenti
illeciti e scoraggiare violazioni volontarie da parte dei dipendenti. Essi possono inoltre contribuire
a documentare richieste di indennizzo assicurativo, a circoscrivere le responsabilità civili di
amministratori e dirigenti, a creare o rafforzare l’immagine aziendale e a valutare il merito di una
eventuale richiesta di risarcimento danni”.
197
5. Il gruppo Guess: un player mondiale
implicazioni
dell’evoluzione
della
normativa
esterna
sulla
regolamentazione interna.
4.3. L’IT AUDITING
Le verifiche di IT auditing in Guess hanno assunto un’importanza sempre
più rilevante in virtù del rapido e crescente sviluppo della struttura del
gruppo e delle sue entità economiche.
In questi ultimi anni, la crescita esponenziale dei volumi delle attività
aziendali a livello di gruppo, (il riferimento è, in particolare, ai mercati
europei), ha determinato la necessità di implementare tecnologie
informatiche, a supporto dei diversi processi e delle diverse Funzioni,
sempre più all’avanguardia e sempre più complesse.
Questa rapida e crescente evoluzione e diffusione delle tecnologie
informatiche nella struttura aziendale ha comportato l’incremento di uno dei
maggiori rischi che minacciano l’attività d’impresa, il cosiddetto “rischio
informatico”.
In effetti, quanto più un’organizzazione si dota di strumenti IT, tanto più
deve essere elevata l’attenzione che il management dedica agli aspetti che
riguardano la sicurezza informatica.
Vista la difficoltà nel trattare rischi di natura informatica legati a un
crescente e rapido ricorso a sofisticati strumenti di information technology,
la Funzione di Internal Audit in Guess Italia, ha deciso, in questa fase di
start-up, di affidare lo svolgimento dell’IT auditing ad una società esterna
specializzata in Electronic Data Processing Auditing (EDP Auditing).
Tale società, ponendo una particolare attenzione ai processi, ai sistemi e
agli applicativi informatici utilizzati e al loro grado di sicurezza, ha
condotto le verifiche di IT auditing focalizzandosi sui seguenti domini:
198
5. Il gruppo Guess: un player mondiale
• la pianificazione e l’organizzazione, compresa la valutazione dei rischi.
Questo dominio include strategia e tattica e ha per oggetto il modo in cui
l’IT auditing può contribuire al raggiungimento degli obiettivi aziendali.
Vi sono inclusi i processi di pianificazione delle risorse, di definizione
dell’organizzazione e dell’infrastruttura tecnologica;
• l’acquisizione e la realizzazione delle soluzioni IT, comprese la gestione
delle modifiche al sistema una volta realizzato e l’ottimizzazione di
soluzioni automatizzate;
• l’erogazione del servizio IT e assistenza, compresa la gestione dei dati
delle configurazioni, delle infrastrutture e dell’esercizio di tutti gli
applicativi in essere;
• l’attività di monitoraggio: tutti i processi IT devono essere valutati con
regolarità nel tempo, dal punto di vista della qualità e della conformità ai
requisiti
di
controllo. Questo dominio,
pertanto,
concerne
la
supervisione, da parte del management, dei processi di controllo e la
valutazione indipendente fornita dalla società di audit esterna, con la
collaborazione della Funzione di revisione interna.
Nell’ambito del terzo dominio, erogazione e assistenza, risultano
particolarmente importanti le attività di auditing finalizzate ad assicurare i
requisiti di controllo richiesti dal modello COBIT422. Tali requisiti sono423:
422
COBIT è l’acronimo di Control Objectives for Information and related Technology ed è uno
standard internazionale emanato e continuamente aggiornato dall’Information System Audit and
Control Foundation (ISACF) e dal suo dipartimento di ricerca affiliato, l’IT Governance Institute.
Il COBIT, che è un modello universalmente accettato come punto di riferimento per il governo e
per il controllo dell’Information Technology (IT), risulta particolarmente efficace nella valutazione
dei controlli interni in ambienti altamente informatizzati.
La metodologia si articola in due ambiti di intervento: quello strategico, o di governo dell’IT, e
quello di controllo dei processi (è su quest’ultimo ambito che la società esterna di IT auditing ha
focalizzato il proprio intervento in Guess Italia).
423
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 159.
199
5. Il gruppo Guess: un player mondiale
• efficienza della gestione dell’informazione attraverso l’utilizzo ottimale
delle
risorse,
dal
punto
di
vista
sia
della
produttività
sia
dell’economicità;
• efficacia dell’informativa: concerne le informazioni che devono essere
rilevanti e pertinenti ai processi aziendali e che sono rese disponibili in
maniera tempestiva, prive di errori, coerenti e utilizzabili;
• riservatezza: ha per oggetto la protezione delle informazioni sensibili
(riservate) da possibili accessi non autorizzati;
• integrità delle informazioni: si riferisce all’accuratezza e alla
completezza dell’informazione, nonché alla sua validità in relazione ai
valori e alle aspettative aziendali;
• disponibilità
delle
informazioni:
riguarda
la
disponibilità
dell’informazione quando richiesta dai processi aziendali, nel presente e
nel futuro, nonché la salvaguardia delle risorse necessarie e delle
relative capacità e funzionalità;
• conformità alle regole interne ed esterne: concerne il rispetto delle
leggi, dei regolamenti e degli accordi contrattuali cui è soggetta
l’azienda, vale a dire i vincoli aziendali imposti dall’esterno;
• affidabilità delle informazioni: si riferisce alla fornitura di appropriate
informazioni alla direzione, sia per la gestione dell’azienda, sia perché
essa possa far fronte alle proprie responsabilità finanziarie e agli
obblighi di bilancio/statutari424.
424
È importante notare che i requisiti di efficienza, efficacia, conformità alle regole interne ed
esterne ed affidabilità delle informazioni del modello COBIT corrispondono, di fatto a quelli del
modello CoSO descritto precedentemente, anche se il requisito dell’affidabilità delle informazioni
previsto dal COBIT è stato ampliato per comprendervi tutte le informazioni e non solo quelle di
natura finanziaria. Per quanto riguarda gli altri tre requisiti, la riservatezza, l’integrità e la
disponibilità delle informazioni, questi sono tipici dei modelli di controllo dell’IT; in questo modo
il COBIT cerca di colmare la lacuna tra i due modelli, configurandosi come quello di riferimento
per il governo dell’IT.
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni,
Milano, Marzo 2007, pag. 159.
200
5. Il gruppo Guess: un player mondiale
In generale, l’IT auditing sta assumendo sempre più una funzione di
supporto nei confronti di altre attività di auditing che necessitano di un
ausilio da parte di esperti in ambito informatico. Infatti, anche nel gruppo
Guess, l’attività di IT auditing, oltre a focalizzarsi sul sistema di controllo
interno IT, viene impiegata anche per lo svolgimento dei cosiddetti IT
general control che fanno riferimento ai vari processi aziendali diversi da
quello specifico dell’Information Technology. In particolare, nello
svolgimento di altre attività di auditing spesso risultano necessarie, quali
attività di supporto:
-
auditing delle banche dati, un metodo di estrema efficacia per incarichi
di audit, in cui si procede ad un’indagine dell’intera banca dati mediante
applicativi per analisi di audit generalisti o sviluppati appositamente;
-
esame della sicurezza degli applicativi usati nel processo oggetto di
audit;
-
verifica dell’affidabilità di funzionamento dell’interfaccia tra un sistema
o una banca dati e un altro.
Da quanto fino a qui detto è comprensibile come, per lo svolgimento di tali
attività, siano necessarie competenze specifiche nel campo dell’informatica,
nonché l’utilizzo delle metodologie di audit tradizionali. Tutto ciò, ha
determinato la necessità di ricorrere alla professionalità di una società
esterna specializzata in IT auditing e che affiancata alla Funzione di
revisione interna di Guess, soddisfacesse le esigenze del management
colmando il gap esistente tra i rischi aziendali, le esigenze di controllo e le
problematiche tecniche all’interno dell’organizzazione.
Nell’ambito degli ampi domini summenzionati la società di IT auditing
esterna,
in
collaborazione
con
l’Internal
Audit,
ha
provveduto
201
5. Il gruppo Guess: un player mondiale
all’effettuazione di audit mirati per singoli processi IT, in quattro ambiti di
intervento:
1. user access: definizione e monitoraggio dell’accesso ai sistemi
informatici aziendali da parte degli utenti al fine di garantire la
correttezza dei dati aziendali;
2. logical security: insieme di procedure volte a garantire la correttezza
dell’archiviazione informatica dei dati, sia in termini di ripartizione
delle stesse tra i vari sistemi informatici sia nell’organizzazione dei dati
in eventuali cartelle dipartimentali;
3. change control: l’insieme dei controlli volti a garantire che qualsiasi
modifica di software sia effettuata secondo le procedure aziendali, (a
titolo di esempio: modifica report in ambiente di sviluppo, controllo in
ambiente di test, rilascio finale in ambiente di produzione);
4. IT operations: l’insieme di regole e procedure volte a disciplinare
l’attività all’interno dell’IT Department (il riferimento è, ad esempio,
alla definizione di ruoli/responsabilità, oppure alle regole concernenti
l’accesso alla sala macchine, ecc).
4.4. IL FRAUD AUDITING
Il fraud auditing è una tipologia di auditing che presenta sinergie sia con il
compliance
auditing
sia
con l’operational auditing ed
è volto
all’identificazione e alla quantificazione delle frodi subite dall’azienda.
Con il termine frode si intende una vasta tipologia di irregolarità e atti
illeciti caratterizzati da un comportamento intenzionalmente finalizzato a
trarre in inganno. Può essere perpetrata a vantaggio o svantaggio
202
5. Il gruppo Guess: un player mondiale
dell’organizzazione e da persone operanti all’interno o all’esterno della
stessa425.
I diversi tipi di frode, molto spesso, sono di difficile individuazione, ma in
genere l’azione fraudolenta è sempre determinata dalla volontà di attentare
all’integrità del patrimonio aziendale attraverso un “aggiramento” del
sistema dei controlli interni, oppure mediante lo sfruttamento di opportunità
offerte da punti deboli individuati nel tessuto del sistema stesso (possono
verificarsi, ad esempio, casi eclatanti, quali l’appropriazione indebita, lo
spionaggio industriale, la corruzione, la falsificazione, ecc.).
Non essendo ipotizzabile che l’Internal Auditing possa scovare tutte le frodi
poste in essere ai danni dell’azienda, l’attività primaria dell’auditor è quella
di prevenzione della frode attraverso una valutazione dell’efficacia e
dell’adeguatezza del sistema di controllo interno426.
L’Internal Audit Dept. nel gruppo Guess, ed in particolare in Guess Italia,
ha optato per l’integrazione della valutazione del rischio frode all’interno
dell’attività di operational auditing, qualora il rischio in questione sia
ritenuto significativo.
In generale il fraud auditing si costituisce di tre tipologie di attività molto
diverse fra loro427:
1. Il fraud auditing ai fini del rafforzamento del sistema di controllo
preventivo.
Questo viene effettuato mediante un’analisi di processo, secondo le
modalità tipiche dell’operational auditing, focalizzandosi in tutto o in
parte sui rischi di frode. In tal modo l’Internal Audit Dept. è in grado di
individuare e valutare in via preventiva le “aree grigie” aziendali dove
425
Cfr. Guida interpretativa IIA 1210.A2-1, Responsabilità dell’auditor in materia di
identificazione della frode.
426
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 238.
427
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 239-240.
203
5. Il gruppo Guess: un player mondiale
con più facilità potrebbe annidarsi un rischio di attività illecita e
proporre soluzioni preventive. L’individuazione e la successiva
valutazione dei rischi di frode che possono minacciare il regolare
svolgimento
dell’operatività
aziendale
condurranno
l’auditor
a
promuovere iniziative volte ad un’attenuazione di tali rischi attraverso il
miglioramento delle strategie di controllo. In tale ottica è importante,
infatti,
intraprendere
tutte
le
azioni
preventive
necessarie
a
disincentivarne il compimento.
Fra queste si annoverano tutti quegli accorgimenti organizzativi
finalizzati al rispetto del principio della separazione dei compiti
(segregation of duties), relativamente alle operazioni che incidono sul
patrimonio aziendale, il quale, oltre al miglioramento della trasparenza
dello svolgimento dei singoli processi, consente di ridurre il rischio di
appropriazioni indebite da parte degli operatoria aziendali.
2. Il fraud auditing ai fini dell’identificazione di atti sospetti.
Questo è il caso in cui emergano segnali conosciuti di allarme, i
cosiddetti “red flag”, che consentono all’Internal Audit di individuare
casi sospetti di illecito. I segnali di possibili azioni fraudolente possono
emergere da normali controlli manageriali, da test effettuati dagli
auditor o da altre fonti interne o esterne all’azienda ed in tali casi
l’auditor
dovrà
valutare
l’opportunità
di
avviare
ulteriori
approfondimenti o se segnalare, ad eventuali autorità interne all’azienda
oppure allo stesso management, l’anomalia, promuovendo un’indagine
investigativa mirata. Tutto ciò con l’obiettivo di prevenire e
disincentivare il compimento di atti illeciti.
3. Il fraud auditing ai fini dell’investigazione di gravi sospetti di atti
illeciti.
All’internal auditor è richiesta una conoscenza, almeno generica, delle
204
5. Il gruppo Guess: un player mondiale
diverse tipologie di frodi, dei modi con cui queste vengono commesse e
degli indicatori che ne possono segnalare la presenza428.
È da sottolineare che esula dall’ambito di professionalità dell’internal
auditor il possesso di competenze specifiche di chi ha come
responsabilità principale l’accertamento e l’investigazione delle frodi429.
Tuttavia, in assenza di un’altra funzione a ciò dedicata, una volta
individuato un evento di possibile frode, all’Internal Audit talvolta viene
richiesto di svolgere un’indagine che permetta di accertare le effettive
responsabilità interne e, per quanto possibile, esterne, quantificare i
danni e determinare le azioni da proporre alle diverse Funzioni preposte
agli aspetti gestionali (legale, risorse umane, ecc.).
Alcuni esempi di frode che possono essere perpetrate a vantaggio
dell’organizzazione sono i seguenti:
• vendita o cessione di beni fittizi o non correttamente rappresentati;
• pagamenti impropri, quali contribuzioni politiche illegali, tangenti, e
donazioni a pubblici ufficiali o loro intermediari, a clienti o a fornitori;
• rappresentazione o valutazione intenzionalmente non corretta di
operazioni, attività, passività o altri risultati reddituali o patrimoniali;
• transazioni con parti correlate, intenzionalmente strutturate in modo tale
che una delle parti ottenga benefici non ottenibili a normali condizioni
di mercato;
• intenzionale omissione nella registrazione o comunicazione di
informazioni significative, al fine di fornire un quadro economicopatrimoniale dell’organizzazione fittiziamente migliorato;
428
Conoscere le caratteristiche delle frodi più comuni, la loro dinamica e le modalità della loro
perpetrazione rappresenta dunque il primo importante stadio per la costruzione di un sistema di
salvaguardia che abbia un minimo di probabilità di successo.
Cfr. G.C. Grossi, Internal Auditing. L’inizio di una nuova avventura. Milano, AIIA, 2002.
429
Cfr Standard IIA 1210.A2, Responsabilità per l’identificazione delle frodi.
205
5. Il gruppo Guess: un player mondiale
• attività di business proibite, realizzate in violazione di contratti, leggi,
decreti, regolamenti, e altre disposizioni sia dello Stato sia di altri enti;
• frodi fiscali.
Tra gli altri esempi che invece possono essere perpetrati a danno
dell’organizzazione possiamo elencare:
• accettazione di regali o tangenti;
• dirottamento, a favore di dipendenti o di terzi, di transazioni
potenzialmente profittevoli per l’organizzazione;
• malversazione, ovvero appropriazione illecita di beni o denaro con
susseguente alterazione di dati contabili al fine di coprire l’illecito e
renderne difficile l’identificazione;
• occultamento o falsificazione di dati o eventi;
• richieste di pagamento per merci o servizi non realmente forniti
dall’organizzazione.
Nel gruppo Guess il top management ha provveduto all’emanazione di una
policy concernente l’etica negli affari e la prevenzione delle frodi, il
cosiddetto
“Code
of
Conduct”,
volto
alla
diffusione
all’interno
dell’organizzazione di una “cultura dell’Etica” capace di scoraggiare tra i
dipendenti comportamenti impropri o addirittura dolosi.
L’obiettivo di fondo è la creazione del cosiddetto “soft control” atto a
promuovere il senso di responsabilità individuale a tutti i livelli gerarchici.
Anche il gruppo Guess, come spesso si rileva nelle imprese di grandi
dimensioni,
ha
ritenuto
opportuno
dare
avvio
ad
un’opera
di
sensibilizzazione nei confronti di amministratori, responsabili e dipendenti
di Guess Inc., di tutte le relative società controllate e di eventuali entità che
svolgono servizi per il gruppo, diffondendo uno standard di condotta etica
che deve permeare tutte le transazioni e le relazioni commerciali.
206
5. Il gruppo Guess: un player mondiale
In tale codice, si forniscono, tra le altre disposizioni, quelle relative a:
• situazioni di conflitto di interesse, laddove un interesse privato di una
persona interferisca in qualsiasi modo con l’interesse della società;
• casi di insider trading: ai dipendenti, responsabili ed amministratori che
hanno accesso alle informazioni riservate, è vietato utilizzare o
condividere tali informazioni ai fini dello scambio di titoli, fatta
eccezione per la conduzione delle attività commerciali della società;
• riservatezza delle informazioni affidate ai dipendenti della società;
Tutti coloro che dovessero violare la Legge o gli standard contenuti nel
Code of Conduct saranno sottoposti ad azioni disciplinari di vario grado,
compreso anche il licenziamento e la destituzione dal rapporto d’impiego
con la società.
In conclusione, la violazione di tali regole comporta oltre alla commissione
di un eventuale reato, anche il consapevole raggiro degli obiettivi aziendali
danneggiandone il valore.
4.5. L’AUDIT FINANZIARIO E CONTABILE
È ovvio che l’attendibilità dei flussi informativi è una qualità
imprescindibile nella formulazione dei dati di bilancio. Inoltre, l’importanza
e la significatività dei valori espressi in bilancio presuppongono che la sua
attendibilità sia in ogni momento garantita a tutti i portatori di interessi nei
confronti dell’azienda, siano essi i soci, i creditori attuali e potenziali, i
207
5. Il gruppo Guess: un player mondiale
dipendenti, gli investitori, gli organi di vigilanza che a diverso titolo
esercitano un controllo sulla società, il fisco, e altri soggetti ancora430.
Per il gruppo Guess, soggetto alla disciplina del Sarbanes-Oxley Act in
quanto quotato al New York Stock Exchange (NYSE) degli Stati Uniti, la
necessità per l’Internal Audit di focalizzare la propria attenzione sui sistemi
e i processi contabili è aumentata notevolmente.
Ad oggi la Sezione 303 del Sarbanes Oxley Act – Corporate responsibility
for Financial Report – definisce la responsabilità del CEO e del CFO
sull’istituzione e sul monitoraggio:
-
dei controlli che sovrintendono la redazione del bilancio (internal
control over financial information);
-
delle procedure e dei controlli finalizzati al rispetto degli obblighi
informativi (disclosure and controls procedures).
Mentre precedentemente all’emanazione della SOX gli amministratori si
limitavano a fornire un attestazione relativamente alla provenienza del
bilancio, ad oggi, il CEO sarà ritenuto responsabile per qualsiasi
incongruenza o errore ritrovato nel Financial Statement.
Il punto significativo dell’atto è l’attestazione della responsabilità penale
del CEO e del CFO relativamente al contenuto dei bilanci e delle relazioni
finanziarie delle società quotate al NYSE.
Queste brevi considerazioni sono sufficienti a giustificare il motivo per cui
assume sempre più rilevanza il ruolo dell’internal auditor nel fornire
assurance sui dati di bilancio al top management e al dirigente preposto alla
redazione dei documenti contabili societari.
Naturalmente nello svolgimento dell’attività di audit finanziario e contabile
è necessario un coordinamento tra l’organo di revisione interna e quello di
430
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 235.
208
5. Il gruppo Guess: un player mondiale
external auditing, al fine di garantire un’adeguata copertura dei rischi
concernenti
l’informazione
fornita
attraverso
il
bilancio
e
una
431
minimizzazione nelle attività svolte .
L’Internal Audit, in piena sinergia con l’attività del soggetto incaricato della
revisione contabile esterna del bilancio, può effettuare auditing di natura
finanziaria/contabile attraverso432:
• una fattiva collaborazione con tale soggetto riguardante la verifica di
determinate voci di bilancio, vale a dire un’assistenza specifica nelle
verifiche programmate dal revisore contabile utili all’espletamento
dell’incarico di revisione (quali ad esempio, nel caso di Guess Italia,
attività di vouching su determinate poste di bilancio, attività di
circolarizzazione, attività inventariali, ecc.);
• la revisione dei processi aziendali di tipo amministrativo-contabile che
sono alla base del sistema che formula il bilancio stesso (quali ad
esempio, in Guess Italia, il processo del Financial Statement Closing
Process).
Le due tipologie di attività summenzionate sono assai diverse, in quanto la
prima pone attenzione alla correttezza dei dati, relativi ad una specifica data
(dati patrimoniali) o periodo (dati economici), prendendo in esame la
documentazione a campione per accertarne l’affidabilità (“verifiche di
sostanza”, o substantive testing), mentre la seconda si sofferma
sull’adeguatezza del sistema generale dei controlli interni, ed in particolare
su quelli aventi contenuto amministrativo-contabile.
Relativamente alla seconda attività, essa fornisce un maggiore valore
aggiunto per l’organizzazione, assumendo eventualmente le caratteristiche
431
Cfr. Standard IIA 2050 Coordinamento; Guida Interpretativa IIA 2050-2 Acquisizione di servizi
di revisione esterna.
432
Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea
Edizioni, Milano, Marzo 2007, pag. 237.
209
5. Il gruppo Guess: un player mondiale
di un compliance auditing o di un’operational auditing focalizzato sui
processi
contabili
conformemente
a
quanto
predisposto
dalla
summenzionata normativa del Sarbanes-Oxley Act.
Lo svolgimento dell’attività di auditing finanziario e contabile richiede
all’internal auditor una spiccata conoscenza dei principi contabili e di
revisione, della tecnica ragionieristica, così come della disciplina giuridica
del bilancio d’esercizio.
Talvolta lo svolgimento di tale attività deriva da specifiche richieste da
parte del vertice aziendale così come da parte del Chief Audit Executive di
Guess Inc. che richiede particolari interventi su aree di bilancio considerate
maggiormente a rischio e su cui si intende ottenere maggior chiarezza.
5.
IL PROGETTO DI IMPLEMENTAZIONE DEL CONTROL & RISK SELF
ASSESSMENT (CRSA) NEL GRUPPO GUESS
Nel gruppo Guess l’implementazione della metodologia del “Control &
Risk Self Assessment” (CRSA), già presentata nelle sue linee generali nel
capitolo precedente, rappresenta uno dei progetti più ambiziosi pianificato
dal top management per l’esercizio 2009.
L’obiettivo è quello di favorire un progressivo cambiamento della cultura
organizzativa, affinché tutto il personale divenga parte integrante del
sistema di controllo interno, sia fortemente motivato a garantire l’effettiva
applicazione delle procedure impostate ed a partecipare al loro continuo
miglioramento.
Il top management, dopo aver valutato l’economicità e l’efficacia dei
progetti di implementazione del CRSA proposti dalle diverse società di
consulenza, ha deciso di affidare tale incarico direttamente alla Funzione di
Revisione Interna del gruppo.
210
5. Il gruppo Guess: un player mondiale
L’Internal Audit Dept., pertanto, in qualità di sponsor del progetto,
assumerà un ruolo determinante per il passaggio da una metodologia
tipicamente tradizionale ad un approccio basato sui rischi in grado di fornire
al management valore aggiunto nel processo di pianificazione strategica e
operativa.
Attualmente il progetto di implementazione del Control & Risk Self
Assessment nel gruppo Guess Europe è ancora in attesa della fase di startup e pertanto non si manifesta nella sua operatività, nonostante l’Internal
Audit Dept. ne abbia già pianificato le linee guida da seguire per sua
conduzione.
Il processo di implementazione del CRSA può essere sintetizzato in cinque
macrofasi:
a) Kick-off;
b) Consolidation of the risks;
c) Interactive Workshop;
d) Definition of Action Plan;
e) Monitoring.
a) KICK-OFF
In questa fase l’Internal Audit Dept. presenta la metodologia del Control &
Risk Self Assessment ai Responsabili delle business unit e ai loro diretti
collaboratori coinvolti nel progetto.
Nella riunione di apertura viene presentato, oltre alla metodologia, il nuovo
modello di Sistema di controllo interno basato sui rischi che si intende
adottare per guidare l’autovalutazione, ponendo particolare attenzione ai
benefici e ai vantaggi ottenibili dall’organizzazione stessa.
Una volta che sono stati forniti dettagli in merito alla conduzione del nuovo
approccio e alle finalità del progetto, l’Internal Audit Manager procede allo
svolgimento di un’attività di formazione e di supporto al management
211
5. Il gruppo Guess: un player mondiale
coinvolto, relativamente al progetto di identificazione degli obiettivi
strategici e tattici ed in particolare all’individuazione dei “corporate risk”
che possono ostacolare il raggiungimento degli stessi.
In una prima fase del progetto, talvolta, per agevolare l’individuazione dei
fattori interni ed esterni all’organizzazione che possono impedire il
conseguimento degli obiettivi aziendali, può essere diffuso una sorta di
vademecum, contenente l’indicazione di alcuni fattori di rischio che
possono impattare sul corretto svolgimento della gestione aziendale.
b) CONSOLIDATION OF THE RISKS
È in questa seconda fase che si entra nella conduzione operativa del
processo dove i Responsabili delle business unit e i loro diretti collaboratori
provvedono ad evidenziare le minacce che possono pregiudicare il
raggiungimento degli obiettivi aziendali e le risorse materiali ed immateriali
sulle quali i rischi possono avere un impatto.
L’Internal Audit Dept. assume un ruolo centrale nel processo di
consolidamento dei rischi, essendo l’organo deputato a ricevere da parte di
ciascun Manager, coinvolto nel processo, una “lista dei rischi individuati”.
Mediamente ogni Responsabile indica 10-15 rischi ed invia l’elenco al
Responsabile di progetto (nel nostro caso l’Internal Audit Manager), il
quale procede all’effettuazione di un’attività di consolidamento, eliminando
eventuali ridondanze (nel caso in cui, ad esempio, siano stati indicati nelle
diverse liste gli stessi rischi) ed inserendo delle categorie di rischio reputati
rilevanti che non sono stati identificati dagli stessi Manager.
Il risultato di tale attività si traduce nella definizione di un elenco unico dei
rischi, che viene nuovamente inviato al management per una valutazione in
termini di probabilità di accadimento dell’evento e di impatto sulla gestione
(Fig.16-17), utilizzando una scala da 1 a 5 (Fig. 16-18).
212
5. Il gruppo Guess: un player mondiale
Descrizione del rischio
Impatto potenziale
Probabilità
Fig. 16
R isk o r T h reat – Im p act o n B u sin ess P ro cesses
LEVEL
D E S C R IP T IO N
1
In sig n ifican t
2
M in o r
3
M o d erate
4
M ajo r
5
C ritical
R IS K D E S C R IP T IO N
D oes not im pact S ales & O perations
N o im pact on reputation
Im m aterial im pact on financial perform ance
N o im pact on m arket share
Issues w ould be delegated to junior m anagem ent and staff to resolve
S ales & O perations unlik ely to be affected
P otential im pact on reputation
M inor im pact on financial perform ance
C onsequences can be absorbed under norm al operating conditions
S ales & O perations m ay be im pacted
T here is som e im pact on reputation
P otential m aterial im pact on financial perform ance
M ark et share loss in the short term
E vent m ay require senior m anagem ent intervention
S eriously im pact S ales & O perations
R eputation is affected in the short term
M aterial im pact on financial perform ance
S erious loss of m ark et share
E vent requires S enior M anagem ent attention
A dversely affect S ales & O perations
S erious dim inution in reputation
S ignificant and sustained im pact on financial perform ance
S ustained serious loss in m arket share
S ustained loss of leadership in financially viable services
Fig. 17
213
5. Il gruppo Guess: un player mondiale
R is k o r T h re a t – L ik e lih o o d o f O c c u rrin g
LEVEL
D E S C R IP T IO N
1
R e m o te
E v e n t m a y o n ly o c c u r in e x c e p tio n a l c irc u m s ta n c e s
L e s s th a n a 5 % c h a n c e o f o c c u rrin g in a n y ye a r
O c c u rs o n c e e ve ry 2 0 ye a rs o r le s s fre q u e n tly
2
U n lik e ly
E v e n t c o u ld o c c u r in s o m e c irc u m s ta n c e s
5 % -2 0 % c h a n c e o f o c c u rrin g in a n y ye a r
O c c u rs o n c e e ve ry 5 to 2 0 ye a rs
3
P o s s ib le
E v e n ts m ig h t o c c u r in m o s t c irc u m s ta n c e s
2 0 % -5 0 % c h a n c e o f o c c u rrin g in a n y ye a r
O c c u rs o n c e e ve ry 2 to 5 ye a rs
4
L ik e ly
5
R IS K D E S C R IP T IO N
E v e n t w ill p ro b a b ly o c c u r in m o s t c irc u m s ta n c e s
5 0 % -9 0 % c h a n c e o f o c c u rrin g in a n y ye a r
O c c u rs o n c e e ve ry 1 to 2 ye a rs
A lm o s t C e rta in E v e n t is e x p e c te d to o c c u r in m o s t c irc u m s ta n c e s
M o re th a n 9 0 % c h a n c e o f o c c u rrin g in a n y ye a r
O c c u rs a n n u a lly o r m o re fre q u e n tly
Fig. 18
Una volta terminata tale valutazione, ha inizio una fase di elaborazione, in
cui l’Internal Audit, raccolte le valutazioni effettuate dai Responsabili
funzionali, procede per ogni categoria di rischio, al calcolo della media
delle probabilità e dell’impatto, della deviazione standard, riportando anche
il punteggio che è stato assegnato da ciascuna Funzione.
In questo modo si ha la possibilità di classificare i rischi in ordine di
importanza, sintetizzati nella cosiddetta ranking list, di individuare
eventuali devianze nelle valutazioni che potranno essere discusse
separatamente con i Manager delle diverse business unit nel corso del
workshop e di stabilire l’esposizione di ciascuna area ad una specifica
categoria di rischio.
214
5. Il gruppo Guess: un player mondiale
c) INTERACTIVE WORKSHOP
La fase successiva prevede la discussione dei risultati nel corso di un
workshop al quale partecipano i Responsabili delle varie Funzioni coinvolte
nel progetto.
Obiettivo del workshop è quello di coprire i rischi con il ranking più alto,
dato dal prodotto “impatto x probabilità”.
Per scatenare la discussione un metodo può essere quello di partire da quei
rischi per i quali i manager avevano singolarmente espresso valutazioni
differenti.
STRATEGIC SCENARIO
Almost Certain
Business Processes
P1 - Retail Sales
P2 - Wholesales Sales
P3 - Human Resources
P4 - Cash&T.
P5 - Sourcing
P6 - Finance
P7 - Accounting
P8 - Legal
P9 - Information Systems
P10 - Warehouse/Distr./Log.
P11 - Asia
P12 - Europe
P13 - Licensing
LIKELIHOOD
Likely
P11
Possible
P9
P5
P6
P8
P3
P7
Unlikely
P12
P1
P4
P2
P13
P10
Remote
Insignificant
Minor
Moderate
IMPACT
Major
Critical
Fig. 19
215
5. Il gruppo Guess: un player mondiale
Risks with high deviation
WHLS PENETRATION - COORDINATION
Almost Certain
Business Processes
P1 - Sub-licence Dir.
P2 - Wholesales Dir.
P3 - Fixturing Mngr.
Likely
LIKELIHOOD
P1
P2
Possible
P3
Unlikely
Remote
Insignificant
Minor
Moderate
IMPACT
Major
Critical
Fig. 20
Basandosi sulle valutazioni che sono state effettuate, sintetizzabili in grafici
ad alto impatto visivo, si chiede per i rischi più significativi e per le aree
maggiormente esposte, di illustrare le azioni di contenimento che si
intendono porre in essere per rimuovere le cause di criticità percepite e la
tempistica di attuazione delle stesse.
Infatti, nel caso in cui il livello di controllo risultasse insoddisfacente, i
Responsabili delle varie Funzioni dovranno indicare anche le azioni da
intraprendere per ridurre il rischio al di sotto della soglia di accettabilità.
Il processo di self assessment si conclude con la predisposizione di un
rapporto la cui struttura è riportata in Fig. 21.
216
5. Il gruppo Guess: un player mondiale
Criticità
Attività da realizzare Data di conclusione
Follow-up
Fig. 21
Come già accennato nel capitolo precedente, il ruolo assunto dall’Internal
Auditor nella conduzione del workshop risulta uno dei fattori critici di
successo per il buon esito del processo di CRSA.
Egli, infatti, deve essere in grado di “facilitare” il workshop agevolando il
gruppo di lavoro nella valutazione degli obiettivi, dei rischi e dei controlli,
facendo emergere idee, esperienze e valori che possono fungere da base per
prendere decisioni condivise e per assumerne la responsabilità.
d) DEFINITION OF ACTION PLAN
Una volta che i rischi sono stati individuati e valutati, il Responsabile di
ciascuna business unit è chiamato a definire il piano di azione (Action Plan)
che dovrà essere implementato per rimuovere le criticità riscontrate, nonché
la data di completamento dell’intervento e le misure temporanee nel
fronteggiare delle minacce rilevate.
217
5. Il gruppo Guess: un player mondiale
Guess Europe – CRSA: Action Plan
Commercial
Risk
Control description
Responsibility
Deadline
1
2
3
4
5
6
7
8
Fig. 22
I piani di azione con i risultati dell’autovalutazione e le azioni di
mitigazione dei rischi predisposte dalle unità organizzative vengono inviate
al Responsabile dell’Internal Audit Dept. il quale poi provvederà a
presentare al top management una valutazione sintetica degli elementi
critici di maggiore rilevanza riscontrati nel corso dell’assessment e dei piani
di azione predisposti dai Manager di Funzione. Dopo che i piani di azione
vengono approvati, i Responsabili di processo dovranno provvedere
all’implementazione dello stesso nei tempi stabiliti.
e) MONITORING
Infine la fase di monitoring prevede un monitoraggio continuo da parte
della Funzione di Internal Audit del sistema di controllo interno al fine di
garantire l’attendibilità dei risultati prodotti dal CRSA.
218
5. Il gruppo Guess: un player mondiale
La verifica si traduce nello svolgimento di un’attività di quality assurance,
diretta ad accertare se è stata riscontrata l’esistenza dei controlli definiti
nell’Action Plan e se sono stati effettuati i test da esso previsti.
Laddove sono stati definiti degli interventi per ricondurre il rischio entro
limiti definiti come “accettabili”, il Responsabile dell’Internal Audit, in
sede di stesura del piano annuale di audit, prevede le attività di follow-up
che dovranno essere svolte.
Generalmente tali attività sono condotte su base semestrale e sono dirette ad
assicurare che le azioni programmate a seguito del CRSA siano state
eseguite correttamente e nei tempi previsti.
Nel corso di tali verifiche si accerta, inoltre, con il responsabile del
processo, se sono sorti ulteriori fattori di rischio, in modo da aggiornare la
mappa dei rischi inerenti alla specifica Funzione e, qualora risultasse
necessario, da richiedere al management l’impostazione di ulteriori azioni
correttive.
È da sottolineare comunque, che il processo di aggiornamento dei fattori di
rischio che possono impattare sull’attività aziendale avviene al di fuori
degli interventi di follow-up, con cadenza almeno semestrale o annuale.
L’approccio utilizzato nella pianificazione degli audit è, come già descritto
nel capitolo precedente, di tipo risk-based, in quanto le risorse vengono
allocate in relazione al grado di rischio associato ai diversi processi.
Talvolta, la definizione dell’Audit Plan annuale potrebbe derivare
dall’applicazione di un modello formale che prevede che la probabilità che
un processo possa essere soggetto a revisione dipende da:
• fattori di rischio identificati (quali ad esempio instabilità organizzativa,
liquidità e convertibilità, impatto sul bilancio e sull’immagine della
società);
• valutazioni negative emerse nel corso dell’attività di CRSA;
219
5. Il gruppo Guess: un player mondiale
• significatività del processo;
• tempo trascorso dall’ultimo intervento di audit o dall’ultimo Control
Assessment Review.
Per ogni processo, si provvede all’assegnazione di un valore in relazione a
ciascuno dei parametri summenzionati, cosicché si ottiene una graduatoria
dei processi in funzione del sistema di rating adottato, che serve ad
individuare le priorità di intervento e, dunque, a selezionare le unità da
sottoporre ad audit.
In effetti, l’85% circa delle risorse viene allocato in funzione di tale
graduatoria, mentre le restanti sono disponibili per le verifiche richieste
dall’alta direzione o per interventi non programmati che si rendessero
necessari nell’esercizio successivo.
Le indicazioni emerse in sede di autovalutazione ed i piani di azione che
sono stati definiti vengono presi in considerazione anche al momento della
pre-review degli interventi di audit.
Nella fase preparatoria dell’intervento, si acquisiscono i rapporti predisposti
al termine dell’ultimo CRSA effettuato, si analizzano le criticità che erano
state riscontrate nel corso dell’autovalutazione e si realizza un follow-up sul
piano di azione in precedenza elaborato per verificarne la corretta
attuazione.
In conclusione, l’applicazione sistematica del CRSA permette di ridurre il
livello di incertezza delle decisioni prese dai Responsabili delle business
unit, tramite l’acquisizione di una maggiore consapevolezza dei rischi, di
migliorare le modalità secondo cui le attività di revisione sono pianificate e
di creare un rapporto più collaborativo fra gli auditor e il management di
Funzione.
220
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
CONCLUSIONI
L’esperienza svolta nell’Internal Audit Department del gruppo Guess ha
determinato uno stimolo per approfondire i contenuti e la natura dell’attività
di internal auditing, il cui compito, come abbiamo visto nel corso della
trattazione, è quello di valutare e contribuire a migliorare i processi di risk
management,
di
controllo
interno
e
di
corporate
governance
dell’organizzazione, attraverso un approccio professionale sistematico che
crea valore aggiunto.
La
complessità
del panorama normativo in
virtù
della
recente
regolamentazione societaria nazionale ed internazionale ha richiesto un
rinnovamento delle attività di internal auditing attraverso la definizione di
un buon sistema di governance e controllo che integri adeguatamente
business e compliance.
Si impone,
pertanto,
un forte
cambiamento culturale
all’interno
dell’organizzazione, che coinvolge in maniera significativa la Funzione di
Internal Audit che, attraverso le attività di assurance e consulenza, è
chiamata ad offrire il proprio contributo decisivo alla gestione e
progettazione di un Sistema di Controllo Interno in grado, non solo di
rispondere a vincoli normativi, ma anche di gestire in maniera integrata la
molteplicità dei rischi aziendali.
La Funzione di Internal Audit del gruppo Guess si trova a dover sopperire
ad una complessità organizzativa accentuata da differenti tipologie di
business e canali distributivi che caratterizzano i tre continenti in cui il
gruppo va ad operare, in particolare quello americano, europeo e asiatico.
A questo si aggiungono i processi di fusione o incorporazione, nonché altre
operazioni straordinarie guidate da esigenze di business, che, in questi
ultimi anni, hanno mantenuto alta la dinamicità del gruppo, determinando
una modifica delle aree di responsabilità ed una ridefinizione delle varie
attività ed obiettivi nelle diverse entità giuridiche.
221
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
In tale contesto, risulta notevole da parte dell’Internal Audit Dept.
l’impiego di risorse volte ad un adeguamento e monitoraggio continuo del
Sistema di Controllo Interno per evitare che l’insorgenza di ulteriori fattori
di rischio pregiudichi il suo efficace e corretto funzionamento.
Tra le diverse attività di audit pianificate dal gruppo Guess (in riferimento
soprattutto all’area europea), l’attività di compliance auditing e operational
auditing hanno assunto un’importanza notevole in virtù della necessità di
implementare un efficace sistema di controllo inerente il financial statement
in linea con le disposizioni del Sarbanes-Oxley Act del 2002 e di mantenere
aggiornata la strutturazione, ovvero il sistema di risk management/controllo
interno, dei diversi processi aziendali.
Nel contempo, l’Internal Audit del gruppo Guess sta dedicando parte delle
sue risorse, ad uno dei progetti più ambiziosi, la cui fase di start-up è stata
pianificata dal top management (in riferimento all’area europea) per
l’esercizio 2009, ovvero l’implementazione della metodologia del Control
& Risk Self Assessment (CRSA), il quale sarà determinante per il passaggio
da una metodologia tipicamente tradizionale ad un approccio basato sui
rischi (risk based).
La logica è quella di promuovere un’apertura verso l’implementazione di
attività di management audit svolte dalla stessa Funzione di revisione
interna in grado di fornire al Board una consulenza di tipo strategico ad alto
valore aggiunto per il processo di pianificazione.
La scommessa dell’Internal Audit Dept. del gruppo Guess si traduce nel
percorrere linee evolutive all’avanguardia, conformemente alle dinamiche
della struttura organizzativa del gruppo, alle politiche del top management e
alla diffusione della “cultura del controllo”, che garantiscano una gestione
dei rischi di business nonché dei processi di Self Assessment in grado di
fornire una visione integrata della governance aziendale.
In virtù della sua recente costituzione (Maggio 2006) la Funzione di
Internal Audit si pone l’obiettivo di offrire una consulenza giovane nei
222
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
metodi che, capitalizzando gli investimenti fatti fino ad oggi sul Sistema di
Controllo interno del gruppo, dia impulso a nuovi progetti per sfruttare
appieno i cambiamenti del contesto ambientale di riferimento e per
confermare il favorevole trend di crescita del gruppo Guess nell’area
europea.
Università degli Studi di Firenze,
Marzo, 2008
ALBERTO LO DICO
223
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
BIBLIOGRAFIA
Associazione Italiana Internal Auditors (AIIA), Position Paper “D. Lgs.
231/2001.
Responsabilità
amministrativa
delle
società:
modelli
organizzativi di prevenzione e controllo”, Collana Professionale, n. 4,
ottobre 2001, www.aiiaweb.it.
Associazione Italiana Internal Auditors (AIIA), Institute of Internal
Auditors
(IIA),
Position
Paper,
“Il
ruolo
dell’Internal
Auditing
nell’Enterprise-Wide Risk Management”, settembre 2004; trad. it.: Institute
of Internal Auditors, “The Role of Internal Auditing in Entreprise-Wide Risk
Management.”, 2004, www.aiiaweb.it.
Associazione Italiana Internal Auditors (AIIA), “Internal Audit. Corporate
Governance, Risk Management e Controllo Interno.”, n.52, maggio-agosto
2005; n.53, settembre-dicembre 2005; n.54, gennaio-aprile 2006; n.55,
maggio-agosto 2006; n.56, settembre-dicembre 2006; n.57, gennaio-aprile
2007; n.58, maggio-agosto 2007; n.59, settembre-dicembre 2007; n.60,
gennaio-aprile 2008.
Associazione Italiana Internal Auditors (AIIA), in collaborazione con
Politecnico di Milano, rapporto di ricerca “Enterprise Risk Management,
Risk Assessment e Internal Auditing”, marzo 2006, www.aiiaweb.it.
Associazione Italiana Internal Auditors (AIIA), Corporate Governance
Paper “Approccio integrato al Sistema di Controllo Interno ai fini di
un’efficace ed efficiente governo d’impresa”, www.aiiaweb.it.
224
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
Associazione Italiana Internal Auditors (AIIA), Institute of Internal
Auditors (IIA), “Guide Interpretative (Practice Advisories) per la Pratica
Professionale dell’Internal Auditing”, www.aiiaweb.it.
Associazione Italiana Internal Auditors (AIIA), Institute of Internal
Auditors (IIA), “Standard internazionali per la Pratica Professionale
dell’Internal Auditing”, www.aiiaweb.it.
Baraldi M., Paletta A., Zagnini M., “Corporate governance e sistema di
controllo interno”, Franco Angeli, Milano, 2004.
Beretta S., “Valutazione dei rischi e controllo interno”, Milano, Egea
Edizioni, 2004.
Borsa Italiana S.p.A., Comitato per la Corporate Governance (a cura di),
“Codice di Autodisciplina”, Milano, marzo 2006, www.borsaitaliana.it.
Carna A. R., “La responsabilità amministrativa degli enti. Aspetti
economico aziendali”, Rivista italiana di ragioneria e di economia
aziendale, luglio-agosto 2004.
Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate
governance. Egea Edizioni, Milano, Marzo 2007.
Codice Civile e leggi complementari, 2007.
Committee of Sponsoring Organisation of the Treadway Commission
(COSO), “Internal Control. Integrated Framework, AICPA, 1992”, tradotto
ed integrato in PricewaterhouseCoopers, “Il sistema di controllo interno.
Progetto Corporate Governance per l’Italia”, Milano, Il Sole 24 Ore, 2002.
225
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
Committee of Sponsoring Organisation of the Treadway Commission
(COSO), “Enterprise Risk Management. Integrated Framework”, settembre
2004; ed. it. a cura di AIIA e PricewaterhouseCoopers, La gestione del
rischio aziendale, Milano, Il Sole 24 Ore, 2006, www.coso.org.
Consiglio Nazionale dei Dottori Commercialisti (CNDC), “Guida operativa
sulla vigilanza del sistema di controllo interno”, ottobre 2000.
Consiglio Nazionale dei Dottori Commercialisti (CNDC), “Principi di
comportamento del Collegio Sindacale nelle società di capitali con azioni
quotate nei mercati regolamentati”, ottobre 2000.
Consiglio Nazionale dei Dottori Commercialisti (CNDC), Principio di
revisione n. 600, “L’utilizzo del lavoro di revisione interna”, ottobre 2000.
D. Lgs. 8 giugno 2001, n. 231, “Disciplina della responsabilità
amministrativa delle persone giuridiche, delle società e delle associazioni
anche prive di personalità giuridica a norma dell’articolo 11 della legge 29
settembre 2000, n. 300”.
D. Lgs. 17 gennaio 2003, n. 6, “Riforma organica della disciplina delle
società di capitali e società cooperative, in attuazione della legge 3 ottobre
2001, n. 366”.
De Loach J.W., “Enterprise Wide Risk Managememnt”, Londra, Financial
Times-Prentice Hall, 2000.
European Confederationof Institutes of Internal Auditing (ECIIA), Position
Paper “Il ruolo dell’Internal Auditing in Europa”, ottobre 2005; trad. it. A
226
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
cura di AIIA, ECIIA, “Internal Auditing in Europe”, febbraio 2005,
www.aiiaweb.it e www.eciia.org.
Financial Accounting Standards Boards (FASB), Statement of Financial
Accounting Standard (SFAS) No. 5 “Accounting for Contingencies”.
Fortunato S., “Il contributo della funzione di internal audit alla gestione di
impresa” Rivista dei Dottori Commercialisti, giugno 2006.
Gleim I.N., “CIA Review”, Gleim Plublications, 2004.
Grossi G. C., “Internal Auditing. L’inizio di una nuova avventura”, Milano,
AIIA, 2002.
Guess Inc., Investor Relations, www.guessinc.com.
Guess Inc., La mission, www.guess.it.
Hubbard L., “Control Self-Assessment: guida pratica”, Milano, AIIA, 2006.
Information System Audit and Control Foundation (ISACF), “IT
Governance Institute, Control Objective for Information and related
Technology
(COBIT),
III
ed.,
luglio
2000,
www.isaca.org,
www.Itgovernance.org; trad. it. a cura di Associazione Italiana Information
System Auditors (AIEA) e di ISACA, delegazione di Milano, luglio 2002,
www.aiea.it.
Institute of Internal Auditors (IIA), Position Statement “The Role of
Internal Audit in Enterprise-Wide Risk Management”, 29 settembre 2004,
www.theiia.org.
227
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
Institute of Internal Auditors (IIA), “Internal Audit’s Role in Section 302
and 404 of the Sarbanes-Oxley Act”, 26 maggio 2006, www.theiia.org.
Legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e
la disciplina dei mercati finanziari”.
Magnate P., “Modelli per la prevenzione della responsabilità delle
imprese”, Contabilità, finanza e controllo, n. 5/2005.
Intervista a Paul Marciano: “Ho un sogno firmato Guess”, Pambianco
Week, n. 17, ottobre 2007.
Parmeggiani F. “I modelli di controllo prescritti dal D. Lgs. 231/01 in
materia di responsabilità amministrativa delle società”, marzo 2007.
Power M. “The Audit Society. Rituals of Verification”, Oxford University
Press Inc., New York; trad. it. “La società dei controlli” a cura di Panozzo
F., Edizioni Comunità, Torino, 2002.
Public Company Accounting Oversight Board (PCAOB), Auditing
Standard no. 2, www.pcaobus.org.
Regolamento di attuazione del decreto legislativo 24 febbraio 1998, n. 58,
concernente la disciplina degli emittenti (adottato da CONSOB con delibera
14 maggio 1999, n.11971, e successivamente modificato con delibere 6
aprile 2000, n.12475; 18 aprile 2001, n.13086; 3 maggio 2001, n. 13106; 22
maggio 2001, n.13130; 5 giugno 2002, n. 13605; 12 giugno 2002, n. 13616;
4 febbraio 2003, n. 13924; 27 marzo 2003, n. 14002; 23 dicembre 2003, n.
14372; 11 agosto 2004, n. 14692; 13 ottobre 2004, n. 14743; 14 aprile
2005, n. 14990).
228
L’attività di internal audit in un gruppo internazionale. Il caso Guess.
Regolamento recante norme di attuazione del decreto legislativo 24
febbraio 1998, n. 58, del decreto legislativo 24 giugno 1998, n. 213, in
materia di mercati (adottato da CONSOB con delibera del 23 dicembre
1998, n. 11768, e successivamente modificato con delibere 20 aprile 2000,
n. 12497; 18 aprile 2001, n. 13085; 10 luglio 2002, n. 13659; 4 dicembre
2002, n. 13858; 27 marzo 2003, n. 14003; 25 giugno 2003, n. 14146; 5
dicembre 2003, n. 14339; 23 marzo 2005, n. 14955).
Sacrestano A., “Dipendenti, reati da prevenire”, Il Sole 24 Ore. Norme e
tributi, 14 maggio 2007, n. 131.
Sarbanes-Oxley Act of July, 30, 2002.
Testo Unico della Finanza (TUF), “Testo Unico delle disposizioni in
materia di intermediazione finanziaria”, D. Lgs. 58/1998.
Tritter R. P., Zittnan D. S., “Control Self Assessment: Experience, Current
Thinking and Best Practices”, The IIA Research Foundation, 1996.
Yahoo, Finance, http://it.finance.yahoo.com/.
229