UNIVERSITÀ DEGLI STUDI DI FIRENZE FACOLTÀ DI ECONOMIA CORSO DI LAUREA SPECIALISTICA IN AMMINISTRAZIONE E CONTROLLO AVANZATO L’ATTIVITÀ DI INTERNAL AUDIT IN UN GRUPPO INTERNAZIONALE IL CASO GUESS TESI DI LAUREA SPECIALISTICA IN REVISIONE AZIENDALE AVANZATA Relatore: Prof. Marco Mainardi Tutor: Prof. Fabrizio Rossi Tesi di laurea di: Alberto Lo Dico A.A. 2006/2007 Ai miei genitori L’attività di internal audit in un gruppo internazionale. Il caso Guess. INDICE Pag. 5 Prefazione CAPITOLO 1 L’INTERNAL AUDIT NELLA GOVERNANCE AZIENDALE Pag. 1. Introduzione 7 2. La “voglia” dell’internal auditing in Italia 10 3. L’evoluzione dell’attività di internal auditing 14 3.1 La definizione dell’attività di internal auditing 15 CAPITOLO 2 IL CONTESTO NORMATIVO Pag. 1. Introduzione 25 2. Il Foreign Corrupt Practice Act: brevi cenni 26 3. Il Sarbanes-Oxley Act, il più grande cambiamento nella 27 corporate governance 4. Il piano d’azione dell’Unione Europea: brevi cenni 5. L’autoregolamentazione internazionale: il Committee 30 of Sponsoring Organizations 33 6. Il contesto normativo italiano 46 6.1 La normativa societaria 46 6.2 Il D. Lgs. 58/1998, Testo Unico della Finanza 50 6.3 La Legge sulla tutela del risparmio (Legge 28 Dicembre 2005, n. 262) 52 L’attività di internal audit in un gruppo internazionale. Il caso Guess. Pag. 6.4 Il D. Lgs. 231/2001: la responsabilità amministrativa delle persone giuridiche e la compatibilità con l’attività di internal auditing 54 6.5 L’autoregolamentazione in Italia 6.5.1 Il Codice di Autodisciplina di Borsa Italiana 60 63 CAPITOLO 3 IL RUOLO DELL’INTERNAL AUDIT E LE RELAZIONI CON GLI ORGANI DI CONTROLLO Pag. 1. Introduzione 70 2. I rapporti con il consiglio di amministrazione 72 3. I rapporti con il Comitato per il controllo interno (Audit 75 Committee) 4. I rapporti con il Collegio sindacale, il Consiglio di Sorveglianza o il Comitato per il controllo sulla gestione 5. I rapporti con il revisore esterno o la società di revisione 79 83 6. I rapporti con l’Organismo di vigilanza in materia di D. Lgs. 231/2001 87 7. I rapporti con il Dirigente preposto alla redazione dei documenti contabili societari 91 CAPITOLO 4 LE METODOLOGIE DI REVISIONE INTERNA Pag. 1. Introduzione 93 L’attività di internal audit in un gruppo internazionale. Il caso Guess. Pag. 2. Il processo di internal auditing secondo la metodologia tradizionale 95 3. L’approccio risk based 123 4. Il Control & Risk Self Assessment (CRSA) 133 4.1 Il ruolo dell’internal auditor nell’approccio CRSA 140 4.2 Le metodologie utilizzate nel CRSA 143 CAPITOLO 5 IL GRUPPO GUESS: UN PLAYER MONDIALE Pag. 1. Il gruppo Guess 156 2. L’Internal Audit Department nel gruppo Guess 160 3. La definizione del piano di audit 164 3.1. I criteri per la determinazione del piano di audit 4. Le diverse tipologie di auditing in Guess Europe 167 171 4.1. L’operational auditing 174 4.2. Il compliance auditing 179 4.3. L’IT auditing 198 4.4. Il fraud auditing 202 4.5. L’audit finanziario e contabile 207 5. Il progetto di implementazione del Control & Risk Self Assessment (CRSA) nel gruppo Guess 210 Pag. Conclusioni 221 Pag. Bibliografia 224 RINGRAZIAMENTI Si ringrazia il Prof. Fabrizio Rossi per avermi indirizzato verso una grande esperienza professionale nel mondo dell’Internal Audit. Un ringraziamento particolare va all’Internal Audit Manager Giulio Salgaro, il cui aiuto è stato fonte di molteplici riflessioni ed ha fornito un grande stimolo alla realizzazione dell’opera. Si ringrazia, inoltre, per il sostegno, tutto l’Internal Audit Department del gruppo Guess. L’attività di internal audit in un gruppo internazionale. Il caso Guess. PREFAZIONE Negli ultimi anni l’evoluzione del sistema impresa ha subito un’accelerazione determinata da forti pressioni competitive, da un frenetico cambiamento tecnologico, da una continua ricerca dell’efficienza e da nuove regole di corporate governance che disciplinano il funzionamento del mercato. Come conseguenza delle mutate responsabilità aziendali e dell’introduzione di nuovi soggetti interessati al controllo interno (tra cui, ad esempio, l’Audit Committee e la Funzione di Internal Audit), è nata una forte aspettativa da parte degli stakeholders aziendali, rispetto alla capacità dell’azienda, ed in particolare del suo sistema di gestione dei rischi, di recepire le mutate esigenze, rendendole non una sommatoria di vincoli parzialmente sovrapposti, ma un modo innovativo di amministrare l’azienda che, privilegiando l’integrazione tra sistemi, intraprenda la via della riconquista della fiducia del mercato. La Funzione di Internal Audit, nell’ambito dell’equilibrio complessivo del sistema di governance aziendale, deve essere in grado di sviluppare opportune sinergie con i diversi interlocutori aziendali coinvolti a vario titolo nelle tematiche del controllo e del Risk Management. L’esperienza svolta nell’Internal Audit Department del gruppo Guess ha determinato un inevitabile arricchimento del bagaglio di conoscenze acquisito durante la carriera universitaria, stimolando allo stesso tempo un forte interesse verso l’approfondimento della materia. Il contatto diretto con professionisti impegnati, capaci di affrontare livelli di complessità elevati e di mettersi in gioco su molteplici piani professionali, mi ha fatto comprendere che la formazione diviene un elemento strategico per lo svolgimento del proprio ruolo in maniera pienamente responsabile. 5 L’attività di internal audit in un gruppo internazionale. Il caso Guess. Tale trattazione, di concerto con l’esperienza sul campo, ha permesso di far chiarezza sui temi concernenti lo svolgimento dell’attività di auditing ponendo attenzione: sulle trasformazioni che hanno interessato le modalità di svolgimento della professione, sul complesso contesto di regolamentazione societaria nazionale ed internazionale, nonché sui diversi strumenti di autoregolamentazione ed sulle tecniche e gli approcci metodologici che possono essere implementati. L’Internal Audit Department del gruppo Guess, in virtù della sua recente costituzione (Maggio 2006), si presenta una scommessa stimolante per percorrere un sentiero di sviluppo che fornisca all’organizzazione un valore aggiunto sempre più elevato. Nell’ultima parte di questo studio è stato delineato un quadro generale delle differenti tipologie di auditing svolte dalla Funzione di Revisione Interna del gruppo Guess, determinando un costante e vivace connubio tra la teoria e il ricorso a risvolti pratici di natura operativa. Preme sottolineare, inoltre, come sia forte, nel gruppo Guess, la voglia di approdare, nel corso dei prossimi anni, verso approcci metodologici sempre più all’avanguardia, quali l’implementazione della metodologia del Control & Risk Self Assessment (CRSA), che costituirebbe uno dei più ambiti traguardi dell’Internal Audit Dept. (raggiunti ancora troppo sporadicamente nel nostro Paese), al fine di favorire un progressivo cambiamento della cultura organizzativa e fornire al management valore aggiunto nel processo di pianificazione strategica e operativa. Università degli Studi di Firenze, Marzo, 2008 ALBERTO LO DICO 6 1. L’Internal Audit nella governance aziendale CAPITOLO 1 L’INTERNAL AUDIT NELLA GOVERNANCE AZIENDALE 1. INTRODUZIONE Il nuovo millennio si è incentrato sullo sviluppo e sull’impiego di sistemi produttivi e finanziari attraversati da un forte sentimento di richiamo alla legalità e all’etica del business. La storia nordamericana ed europea, a partire dagli anni Ottanta, ha visto l’avvicendarsi di una serie di indagini giudiziarie e di inchieste parlamentari, a cui sono seguiti alcuni dei più grandi fallimenti. Fenomeni di diffusa illegalità hanno messo in luce la debolezza delle strutture e dei processi di controllo interno di molte aziende, inadeguati per assicurare ai conferenti di capitale proprio e di capitale di prestito, ai prestatori di lavoro, ai clienti e ai fornitori e ad altri portatori di interessi una gestione sana, imparziale e trasparente delle stesse aziende. Le illegalità commesse hanno riguardato soprattutto situazioni di falso nel bilancio e nelle informazioni dirette agli stakeholders, la creazione di fondi neri, il riciclaggio di denaro sporco, la corruzione delle autorità pubbliche tramite le cosiddette tangenti, gli abusi degli amministratori, manifesti conflitti d’interesse e via dicendo. Di fronte al dilagare di queste prassi illegali, il pubblico, le autorità governative, le autorità tutorie, le associazioni di categoria, hanno manifestato pressanti richieste per una radicale riforma dei sistemi di controllo interno e degli assetti societari delle imprese e specialmente di 7 1. L’Internal Audit nella governance aziendale quelle di dimensioni rilevanti, soprattutto se quotate in mercati regolamentati. In effetti, l’ultimo ventennio è stato caratterizzato dall’esplosione dei controlli in tutti i settori di attività economica e sociale. I sistemi di controllo infatti, costituiscono prima di tutto una questione culturale rappresentando un prodotto delle comunità in cui viviamo e del modo in cui una società cerca di trovare un bilanciamento tra fiducia e accountability1. Le imprese, soprattutto quelle di più ampie dimensioni, stanno sperimentando cambiamenti strutturali e di mercato molto rilevanti, così che managers ed internal auditors si trovano a dover affrontare criticità sempre più complesse, fra le quali, in particolare: - l’incremento dei rischi e dei costi di compliance normativa e, nel contempo, di competitività industriale; - la necessità di coniugare ed integrare strutture organizzative e sistemi informativi ai fini di aumentare la velocità e la qualità del processo decisionale, oltre che il livello dei controlli rispetto ai rischi impliciti nelle decisioni prese; - l’aumento delle aspettative degli stakeholders e degli investitori circa la capacità dell’impresa di identificare e di monitorare sempre più ampie categorie di rischi (es. etici, ambientali, ecc.), continuando comunque nella ricerca di nuove opportunità di business per assicurare livelli di redditività adeguata2. Tutte queste complesse condizioni ambientali richiedono che la Funzione di Internal Audit si evolva verso più elevati livelli di performance, e tale 1 M. Power (1997), The Audit Society. Rituals of Verification, Oxford University Press Inc., New York; trad. It. La società dei controlli, a cura di Fabrizio Panozzo, Edizioni Comunità, Torino, 2002. 2 Cfr. FORTUNATO S., “Il contributo della funzione di internal audit alla gestione di impresa”, Rivista dei Dottori Commercialisti. Giu. 2006, p. 1295. 8 1. L’Internal Audit nella governance aziendale evoluzione non sembra più procrastinabile visto il ruolo, meglio definito e più impegnativo, che il Codice di Autodisciplina, statuito dal Comitato per la Corporate Governance di Borsa Italiana, assegna a questa Funzione. Viene infatti statuito dal Codice3 che l’emittente istituisca una Funzione di Internal Audit, il cui responsabile di regola, venga identificato quale Preposto al controllo interno di cui all’art. 150 del Tuf (D. Lgs. 58/1998). Quest’ultimo, come sarà approfondito nel corso della trattazione, si identifica come una figura chiave che supporta il vertice nella responsabilità di valutare e monitorare i sistemi di governance, risk management e controllo interno dell’organizzazione. L’Internal Audit, pertanto, si presenta come un potenziale strumento per rispondere in maniera efficace ai diversi attori, rappresentando nel suo ruolo di assurance un denominatore comune alle esigenze di valutazione dell’andamento del sistema d’impresa in termini di controllo e risk management. Le aziende, oggi, sono alla continua ricerca di modelli di gestione dei rischi che assicurino la conduzione del processo di creazione del valore entro l’alveo del rispetto delle norme interne ed esterne, secondo i limiti accettabili di rischiosità del business4. È in quest’ottica che l’Internal Audit costituisce un supporto per la corporate governance, offrendo un prezioso contributo alla valutazione del sistema di governo strategico e operativo dell’impresa e assumendo un atteggiamento proattivo per il suo miglioramento continuo. Tutto ciò determina lo sviluppo di una cultura del controllo interno, inteso non come un mero proliferare di controllori rispetto agli esecutori, ma come un sistema integrato d’azienda ove le attività di controllo si coniugano con quelle di gestione del business. 3 E’ interessante notare che la precedente edizione del Codice di Autodisciplina ne contemplava solamente la possibilità dell’istituzione di tale Funzione. 4 Cfr. MINCATO V. (Presidente Assonime) nella Prefazione a Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007 9 1. L’Internal Audit nella governance aziendale 2. LA “VOGLIA” DELL’INTERNAL AUDITING IN ITALIA5 La “voglia” di Internal Auditing in Italia è cresciuta notevolmente negli ultimi anni, tanto che due terzi delle Funzioni di Internal Auditing attualmente esistenti sono state create solo dopo il 19956. Il Dipartimento di Ingegneria Gestionale del Politecnico di Milano, con la collaborazione dell’AIIA, ha condotto una survey tra 364 società italiane riscontrando l’adesione di 230 imprese di grandi e medie dimensioni, attive in diversi settori economici: tra cui, in particolare, quello bancario e assicurativo, commerciale, industriale e quello dei servizi. L’analisi ha permesso così di tracciare un quadro complessivo della realtà italiana, evidenziando un’effettiva diffusione tra le società italiane delle strutture di Internal Audit, che sono state istituite in 170 imprese su 230 (74 per cento); inoltre, è stato rilevato che, circa il 30 per cento delle aziende in cui tali strutture non sono presenti, ne ha programmato l’adozione nel giro di qualche anno. In generale le Funzioni di Internal Audit sono risultate essere piuttosto recenti ed in molti casi esse sono state istituite nel corso dell’ultimo decennio, sulla scia della crescente attenzione dedicata ai temi citati nel paragrafo precedente: infatti, il 41 per cento delle società ha introdotto una Funzione di Internal Audit negli ultimi 5 anni, il 20 per cento l’ha creata tra 5 e 10 anni fa, mentre circa il 39 per cento delle società l’ha introdotta più di 10 anni fa (Figura 1). 5 Cfr. ARENA M., AZZONE G., CASATI P., “L’irresistibile ascesa dell’Internal Auditing in Italia”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006, p.41-44. 6 Nel condurre l’analisi sulla diffusione della funzione di Internal Auditing facciamo riferimento ad un indagine condotta dal Politecnico di Milano e AIIA su oltre 350 aziende della penisola, di medie e grandi dimensioni, operanti in vari settori. 10 1. L’Internal Audit nella governance aziendale Adozione delle strutture di Internal Audit 39% 26% 74% 20% 41% IA introdotto negli ultimi 5 anni IA introdotto tra 5 e 10 anni fa IA introdotto oltre 10 anni fa NO strutture IA Fig. 1 Tra le realtà aziendali che hanno adottato tale Funzione, vista la rilevante diffusione in Italia dei gruppi industriali negli ultimi anni, è interessante soffermarci brevemente sul modello organizzativo adottato in questi casi, per capire come vengono strutturate le Funzioni di Internal Audit e quale sia il loro posizionamento. La maggior parte dei gruppi italiani (circa il 64%) ha adottato un modello centralizzato, istituendo in seno alla capogruppo una Funzione di Internal Audit che svolge attività di auditing per tutte le altre società. E’ risultata abbastanza comune (circa il 35%) anche la pratica di creare delle strutture di Internal Audit nelle diverse società del gruppo, il cui operato viene coordinato e verificato da una Funzione istituita nella capogruppo. Al contrario solo pochi gruppi di 11 1. L’Internal Audit nella governance aziendale grandi dimensioni hanno creato delle società ad hoc per svolgere attività di auditing in tutte le aziende. (Figura 27). Modello Organizzativo 15% Soluzione mista Diffuso Con delega Centralizzato 49% 35% 1% Fig. 2 Considerando il dimensionamento delle strutture di Internal Audit, si rileva che spesso il numero di internal auditors presenti è piuttosto limitato. Prevalgono infatti le Funzioni composte solamente da due o tre persone: nel 60% delle società (96 su 160) e nel 50% dei gruppi (55 su 107) non ci sono più di 5 internal auditors (Tabella 1). Anche in questo caso, tuttavia, si sta registrando un trend in crescita: nell’ultimo anno infatti il numero degli internal auditors è stato incrementato nel 40% delle aziende, mentre solo nel 9% dei casi si è registrata una riduzione dell’organico. Infine, facendo riferimento al numero medio di internal auditors, a livello sia di società, sia di gruppo, non si rilevano differenze macroscopiche tra le 7 Modello centralizzato: le strutture di Internal Audit sono collocate nella capogruppo e svolgono attività di internal auditing anche per le altre società del gruppo; Modello con delega o consortile: viene costituita una società che svolge attività di internal auditing per l’intero gruppo; Modello diffuso: vengono costituite Funzioni di IA, sostanzialmente autonome, in diverse società del gruppo; Soluzione mista: vengono costituite strutture di internal audit sia nella capogruppo sia nelle altre società del gruppo e il dipartimento di IA della società capogruppo dirige e coordina l’attività delle altre Funzioni. 12 1. L’Internal Audit nella governance aziendale aziende appartenenti alle classi di fatturato comprese tra i 100 e i 1.000 milioni di euro: tale dato varia tra i 6 e 10 internal auditor per le società e 14 e 20 internal auditors per i gruppi, mentre cresce in modo significativo nelle società e nei gruppi di grandissime dimensioni (fatturato superiore a 1.000 milioni di euro). Tale andamento suggerisce l’esistenza di una soglia minima di risorse necessarie per svolgere attività di auditing indipendentemente dal volume complessivo di attività, almeno a determinati livelli di fatturato8. Tabella 1: Internal Auditors (IAs) – società e gruppi Fatturato (mln €) Meno di 100mln€ Tra 101 e 300mln€ Tra 301 e 500mln€ Tra 501 e 1.000mln€ Tra 1.001 e 5.000mln€ Tra 5.001 e 10.000mln€ Più di 10.000mln€ N. società (S) - N. gruppi (G) 11 ≤ IAs ≤ 20 21 ≤ IAs ≤ 50 51 ≤ IAs ≤ 100 S G S G S G 1 2 0 0 0 1 4 2 0 1 1 2 1 2 1 2 0 1 Media IAs (società) Media IAs (gruppo) 2,93 10,00 5,80 16,71 20,82 13,79 ≤ 5 IAs S G 14 4 10 6 13 9 6,60 19,57 24 17 3 2 0 2 2 6 1 2 0 1 9,81 53,66 30 18 22 12 5 7 4 4 2 8 0 10 91,62 60,25 5 1 3 3 1 1 1 4 0 2 3 1 57,43 123,43 0 0 0 0 1 1 3 1 2 2 1 3 6 ≤ IAs ≤ 10 S G 0 0 2 0 0 0 IAs > 100 S G 0 0 0 0 0 0 8 Cfr. ARENA M., AZZONE G., CASATI P., “L’irresistibile ascesa dell’Internal Auditing in Italia”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007, p.43. 13 1. L’Internal Audit nella governance aziendale 3. L’EVOLUZIONE DELL’ATTIVITÀ DI INTERNAL AUDITING La professione dell’internal auditor è stata caratterizzata, nel corso degli anni, da un’importante evoluzione storica, che ha determinato lo spostamento del suo raggio d’azione da verifiche limitate principalmente ad aspetti di conformità normativa e procedurale ad attività di maggiore ampiezza nell’ambito del controllo sistemico, della consulenza organizzativa e della governance aziendale. Questo processo evolutivo ha richiesto un incremento degli skills per lo svolgimento della professione e ha determinato una maggiore visibilità e credibilità della stessa Funzione aziendale. Il compito dell’internal auditor oggi è quello di supportare il vertice e il management aziendale nell’assicurare un efficace sistema di governo dei processi, con uno specifico focus sulla ricerca dell’equilibrio tra il sistema di controllo interno e la mitigazione dei rischi in ambito di risk management9. L’attività, in un’ampia accezione, si realizza attraverso la valutazione e il supporto al miglioramento dell’efficacia ed efficienza dei processi aziendali a salvaguardia degli obiettivi di business e di governo dell’organizzazione utilizzando i tradizionali presidi di audit per la prevenzione e il controllo delle frodi e per la verifica dei sistemi di reporting contabile. Naturalmente, occorre osservare che questa attività si svolge in contesti giuridici e culturali differenti, in organizzazioni guidate da visioni strategiche, dimensioni e strutture tipiche del caso. Essa, infatti, è una “scienza” che contiene in sé una dimensione flessibile ed evolutiva che le consente di adattarsi alle diverse situazioni delle differenti realtà aziendali escludendo l’applicazione di schemi universali. Tuttavia, lo svolgimento 9 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 9. 14 1. L’Internal Audit nella governance aziendale della professione trova un comune denominatore nel rispetto di Standard e metodologie comuni. 3.1. LA DEFINIZIONE DELL’ATTIVITÀ DI INTERNAL AUDITING Per una definizione dell’attività di internal audit possiamo far riferimento a quanto rilasciato dall’Associazione Italiana Internal Auditors (AIIA) che ci ha fornito una traduzione integrale della definizione elaborata dall’Institute of Internal Auditors americano (IIA). Con l’ultimo aggiornamento nel 1999 si sono definiti la missione, i contenuti e le caratteristiche di tale attività, sottolineando come il ruolo dell’internal auditor sia oggi notevolmente evoluto rispetto alla precedente veste di revisore che ne enfatizzava il carattere prevalentemente “ispettivo” e l’orientamento agli aspetti di conformità. L’attuale definizione, infatti, individua l’internal auditing come “un’attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance10”. Per una migliore comprensione della definizione è utile fornire una spiegazione dettagliata delle sue diverse componenti. Un primo elemento che la caratterizza è quello dell’indipendenza, ovvero la concreta possibilità per l’internal auditor di esercitare la propria attività 10 La definizione di attività di internal audit riportata nel testo è ripresa integralmente da quanto fornito dall’ “Associazione Italiana Internal Auditors” (AIIA). La definizione originariamente era stata rilasciata dall’ “Institute of Internal Auditors” (IIA), la stessa associazione con sede in USA. 15 1. L’Internal Audit nella governance aziendale senza nessuna interferenza, a partire dalla definizione dell’ambito di copertura, all’esecuzione del lavoro e la successiva comunicazione dei risultati ottenuti11. Tale indipendenza è garantita tradizionalmente dal posizionamento organizzativo della Funzione di Internal Audit, di solito in staff all’alta direzione, in modo da tutelarsi di fronte a possibili ingerenze e condizionamenti di altre strutture aziendali. Infatti, gli aspetti organizzativi di tale Funzione assumono una particolare rilevanza, in quanto sono in grado di influenzare l’efficacia e l’efficienza complessiva delle risorse dedicate all’attività di audit. Si tratta di un’indipendenza funzionale, diversa da quella richiesta al revisore esterno, in quanto l’internal auditor rimane sempre e comunque un dipendente della società in cui opera. L’Internal Audit Department è idealmente collocato in posizione di dipendenza funzionale dal Comitato per il controllo interno, detto anche Audit Committee, (come previsto per le società quotate), dal consiglio di amministrazione o da un organismo equivalente (a seconda del modello di amministrazione e controllo adottato), e in posizione di dipendenza gerarchica dal vertice manageriale dell’organizzazione (amministratore delegato o direttore generale). L’indipendenza è inoltre garantita con l’esclusione dai compiti spettanti all’internal auditor di attività di altra natura, quali ad esempio attività di controllo gestionale piuttosto che mansioni operative che lo coinvolgerebbero direttamente o indirettamente nelle decisioni operative dell’azienda12. 11 Secondo lo Standard IIA 1110 “Indipendenza organizzativa”, l’indipendenza e l’autonomia sono il presupposto per l’obiettività, a sua volta condizione mentale chiave che conduce all’affidabilità dei risultati dell’attività di internal auditing. 12 Standard IIA 1130.A1 Valutazione di attività di cui gli internal auditor erano precedentemente responsabili e Standard IIA 1130.A2 Responsabilità dell’Internal Audit in altri ruoli non di audit. Tali standard prevedono infatti che l’internal audit eviti di effettuare un servizio di assurance su attività che, nell’arco del precedente anno, rientravano nell’ambito delle sue responsabilità gestionali in un precedente ruolo aziendale. 16 1. L’Internal Audit nella governance aziendale La dimensione relativa all’obiettività si lega dal punto di vista concettuale, come appena accennato sopra, all’indipendenza dell’attività di internal auditing; tale elemento va a configurare la figura professionale del revisore interno relativamente alla sua etica personale e alle sue competenze. L’obiettività si realizza nell’atteggiamento di totale imparzialità, senza preconcetti, in grado di evitare qualunque conflitto d’interessi che si può manifestare durante lo svolgimento dell’incarico13. Tra le due dimensioni di indipendenza e obiettività sussiste inevitabilmente un rapporto dialettico, pertanto è evidente che l’internal auditor, per essere indipendente, deve poter svolgere la propria attività senza vincoli e con obiettività; e allo stesso tempo, la valutazione del revisore interno potrà essere imparziale ed obiettiva soltanto se nello svolgimento di tale attività gli è garantita la necessaria indipendenza. Lavorare in piena autonomia e libertà mentale significa non sottomettere il proprio giudizio professionale a quello di altri, non cedere a consistenti compromessi, essere convinti della validità dei risultati emersi senza lasciarsi influenzare da condizionamenti esterni e astenersi dall’intraprendere qualsiasi attività che possa ingenerare conflitto d’interessi o possa pregiudicare la possibilità di svolgere il proprio lavoro con imparzialità14. È necessario, quindi, un’adeguata strutturazione organizzativa aziendale e l’obiettività dell’internal auditor, per garantire una sua imparzialità nella valutazione delle evidence e assicurare la produzione di un giudizio indipendente relativamente ad un sistema, ad un processo o ad una singola attività. Per completare il quadro relativo a queste due dimensioni, è opportuno sottolineare che anche la pratica professionale ha voluto fornire precise indicazioni sull’argomento, disponendo che l’internal auditor, a fronte di 13 Sull’argomento vedi lo Standard IIA 1120 Obiettività individuale. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 11. 14 17 1. L’Internal Audit nella governance aziendale una situazione di potenziale o reale condizionamento o conflitto d’interessi pregiudizievole, deve riferire al proprio responsabile in modo da consentire una nuova assegnazione degli incarichi15. Nella definizione si parla inoltre di “...attività obiettiva e indipendente di assurance e di consulenza...”, due tipologie di servizi offerti allo scopo di creare valore all’interno dell’organizzazione. In effetti, del termine assurance non esiste una fedele traduzione in italiano che sia al tempo stesso sintetica ed efficace. Comunque, i servizi di assurance, in un’accezione ampia, comprendono tutte quelle attività utili al miglioramento della qualità dell’informazione, in termini di attendibilità, tempestività, economicità e rilevanza, in modo da offrire un valido supporto al processo decisionale del management aziendale. Una caratteristica peculiare dei servizi di assurance è il coinvolgimento di tre soggetti: • il soggetto sottoposto ad audit (detto auditee), quindi la persona direttamente coinvolta nel processo o nel sistema oggetto di analisi; • l’internal auditor, che effettua la rilevazione-valutazione indipendente; • il destinatario che utilizzerà l’output scaturito dall’analisi per prendere le proprie decisioni. Si tratta tipicamente di un soggetto interno, quale il vertice aziendale, il management, il collegio sindacale o altri organi aziendali solitamente con compiti di vigilanza quali l’Audit Committee. Per quanto riguarda i servizi di consulenza, questi sono da intendersi come un’attività di supporto propositivo diversi dall’assurance, prestati dal 15 Sull’argomento vedi lo Standard IIA 1130 Condizionamenti pregiudizievoli all’indipendenza o all’obiettività. 18 1. L’Internal Audit nella governance aziendale revisore interno a seguito di una specifica richiesta del cliente committente, senza che questo comporti l’assunzione di responsabilità da parte dell’auditor o decisioni operative in merito16. Infatti, il revisore, nello svolgimento di tale servizio, non si assume alcuna responsabilità decisionale, che rimane di competenza esclusiva del management. In tal caso le parti coinvolte nell’attività di consulenza sono due: l’internal auditor e il cliente destinatario della consulenza. A differenza del servizio di assurance, in cui è il revisore interno a determinare autonomamente la natura e l’ambito di copertura delle attività da svolgere, nei servizi di consulenza le attività sono tipicamente definite in accordo con il cliente. Tra le diverse attività di consulenza si annoverano: • il supporto nel ridisegno dei processi dell’organizzazione, con riferimento a principi di controllo e di risk management nell’ambito di specifici progetti aziendali; • il supporto nella definizione dei principi di controllo nell’ambito di procedure interne aziendali; • la attività di supporto e mediazione tipiche del ruolo di “facilitatore” nell’ambito di progetti di autodiagnosi dei rischi ( quali il Control & Risk Self Assessment, o CRSA)17; • le attività di risk assessment18. L’elenco ci permette di comprendere, inoltre, come il bagaglio culturale richiesto nell’ambito dell’internal auditing s’incrementi ulteriormente rispetto a quanto già richiesto per lo svolgimento dei più tradizionali servizi 16 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 12-13. 17 Per una trattazione più approfondita del Control & Risk Self Assessment (CRSA), cfr. Cap. 3 e Cap. 5. 18 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 13. 19 1. L’Internal Audit nella governance aziendale di assurance. Gli ambiti nei quali il revisore interno è chiamato a fornire il suo contributo professionale possono essere sconfinati, sarà responsabilità dell’auditor accettare l’incarico solo in quei casi in cui si sente effettivamente preparato. In genere, il campo in cui l’internal auditor è maggiormente specializzato e quindi in grado di fornire il suo contributo è quello relativo alla strutturazione dei sistemi di controllo interno in risposta al sistema di risk management complessivo dell’organizzazione. È opportuno precisare che molto spesso assurance e consulenza finiscono per coesistere in una stessa attività di audit. Infatti, l’adozione di approcci “misti”, che prevedono entrambi gli elementi in un unico incarico è in forte crescita: è questo il caso tipicamente dell’attività di operational auditing, che valuta il disegno del sistema di controllo interno di un determinato processo in modo trasversale e misura l’impatto di eventuali carenze o rischi non sufficientemente presidiati. In altri casi, invece, la separazione tra i due ambiti sarà piuttosto netta, emblematico il caso dell’attività di compliance auditing avviata a seguito di un’attività consulenziale di supporto al management nell’autodiagnosi dei rischi19. L’attività di internal auditing è volta al perseguimento dell’efficacia e dell’efficienza dell’organizzazione. Con il termine efficacia si fa riferimento, in una concezione di ampio respiro, alla capacità di un’organizzazione di raggiungere i propri obiettivi; questi possono riguardare finalità del business, come ad esempio, l’incremento dei ricavi, il contenimento dei costi, il miglioramento della qualità, ecc. oppure ineriscono finalità di governo quali, l’affidabilità dell’informazioni, la sicurezza, il rispetto della normativa, ecc. 19 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 13-14. 20 1. L’Internal Audit nella governance aziendale Tale dimensione, se considerata unica nel contesto aziendale di riferimento, potrebbe condurre alla massimizzazione dei controlli. L’efficienza invece, è definita dal rapporto tra il grado di raggiungimento degli obiettivi e la quantità di risorse impiegate; essa, pertanto, ci conduce verso un concetto di ottimizzazione del controllo e di valutazione professionale del punto di equilibrio tra costi e benefici di eventuali controlli aggiuntivi. Da qui ne consegue che, in antitesi alla massimizzazione dei controlli per il perseguimento dell’efficacia aziendale, si colloca la promozione di sistemi di controllo ottimizzati e cost effective. Un ulteriore approfondimento della definizione di internal auditing riguarda l’approccio professionale e sistematico utilizzato nella conduzione di tale attività a connotazione strategica. Più precisamente ci si riferisce all’insieme strutturato delle conoscenze, capacità e competenze richieste all’internal auditor nel condurre le proprie analisi che, nel concreto, riguardano, dal punto di vista tecnico: gli Standard professionali IIA, le procedure e le tecniche di internal auditing, i principi di management e delle materie economico-giuridiche, le tecniche statistiche e quantitative, i sistemi informativi. A tali competenze tradizionali si aggiungono le capacità relazionali e di comunicazione, sia verbali che scritte, che qualificano l’attività di internal auditing come un’arte che non può essere ricondotta esclusivamente a discipline formali. La chiave del successo per il raggiungimento dell’obiettivo finale teso alla creazione di valore aggiunto, consiste, infatti, nella corretta individuazione e nell’attenta gestione delle modalità e delle linee di comunicazione20. 20 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 15. 21 1. L’Internal Audit nella governance aziendale Negli Standard professionali IIA, il requisito della diligenza professionale prevede il rispetto dei principi del Codice Etico e delle regole di condotta alla base del comportamento degli internal auditor21. È importante quindi offrire, un approccio conforme ad adeguati Standard e strumenti metodologici che garantiscono l’applicazione di criteri omogenei e coerenti e una progressiva copertura dell’universo di audit con l’applicazione periodica e strutturata di adeguate procedure di risk assessment nell’ambito della pianificazione dell’auditing. Il concetto di valore aggiunto rappresenta un altro elemento su cui è opportuno soffermarsi. Più precisamente l’attività crea valore aggiunto nel momento in cui, attraverso l’analisi dei rischi e la valutazione del relativo sistema di controllo interno, soddisfa le esigenze degli organi di governo e del management aziendale. Per definire, oggi, la mission dell’internal auditing non è più sufficiente la verifica del rispetto delle norme, così come non sono più sufficienti la verifica del sistema di controllo e la valutazione dei rischi correlati: oggi l’orientamento di fondo dell’attività va oltre, trasformando quelli che in precedenza erano gli obiettivi in strumenti per il perseguimento della finalità primaria, cioè la creazione di valore aggiunto. L’internal auditor, quindi, deve secondo tale concezione, applicare schemi flessibili di analisi basati sulla consapevolezza della diversa rilevanza degli obiettivi e dei rischi aziendali, per focalizzarsi su quelli maggiormente significativi, in linea con le attese del top management, alla ricerca di punti di equilibrio nel complessivo sistema di risk management22. Assumere un atteggiamento proattivo è uno dei fattori critici di successo per l’internal auditor: è necessario infatti condividere con il management le 21 Sull’argomento si vedano gli Standard IIA 1200; 1210; 1220 su Competenza e diligenza professionale. 22 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 16. 22 1. L’Internal Audit nella governance aziendale iniziative da intraprendere, tenendo conto delle politiche di risk management applicate dal vertice aziendale. L’abilità di osservare e comprendere le reali esigenze di un’organizzazione, le sue specificità strutturali e di processo, le caratteristiche dell’ambiente in cui opera, gli obiettivi di governo e di business contribuiscono allo svolgimento di un’attività i cui benefici generati devono essere nettamente superiori ai costi prodotti. Da ultimo, la definizione fa riferimento agli ambiti su cui si focalizza l’attività dell’internal auditing. In particolare: • la corporate governance23; • i processi di gestione dei rischi; • i processi di controllo. L’internal auditing rappresenta una componente del complessivo sistema di corporate governance, che abbraccia sia gli aspetti di organizzazione aziendale, sia gli aspetti societari, in un’ottica di presidio globale. Inoltre, il ruolo di tale attività si sta evolvendo in un mezzo da utilizzare per la revisione globale del sistema di control governance, inteso come l’insieme dei processi, mezzi e risorse, presenti a tutti i livelli dell’organizzazione, che danno ragionevole garanzia sul raggiungimento degli obiettivi aziendali. Tali aspetti saranno comunque oggetto di ulteriori approfondimenti nel corso della nostra trattazione. 23 Il concetto di corporate governance si traduce con l’insieme delle regole alla base della gestione e del controllo delle società. Esso si comprende attraverso la definizione ed il funzionamento degli organi societari interni (Cda, Assemblee, Collegio Sindacale) ed esterni (CONSOB e società di revisione). La struttura della Corporate Governance definisce la distribuzione dei diritti e delle responsabilità tra i partecipanti alla vita di una società, in riferimento alla ripartizione dei compiti, all’assunzione di responsabilità e al potere decisionale. 23 1. L’Internal Audit nella governance aziendale In linea generale possiamo concludere che la Funzione di Internal Auditing svolge un’attività di monitoraggio del complessivo sistema di controllo interno di risk management in modo coerente con gli obiettivi di business e di governo aziendale e dei singoli processi. Nel contribuire all’implementazione della corporate governance, l’Internal Audit effettua analisi e valutazioni: • del grado di effettiva applicazione delle politiche, dei piani e delle procedure, fornendone un quadro complessivo; • del sistema dei controlli interni in un ottica risk management, messi in atto per il raggiungimento degli obiettivi di business e di governo, tra i quali: o efficienza gestionale; o qualità; o obiettivi commerciali; o affidabilità delle informazioni e del sistema informatico; o rispetto della normativa; o responsabilità sociali ed etiche. Attraverso il suo ruolo di assurance e di consulenza, l’internal auditing promuove il miglioramento continuo del sistema di controllo interno raccomandando miglioramenti incrementali ed innovazioni strutturali e gestionali, sulla base di ragionevoli relazioni costi/benefici al fine di promuovere l’efficienza e l’efficacia del sistema complessivo24. 24 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 17-18. 24 2. Il contesto normativo CAPITOLO 2 IL CONTESTO NORMATIVO 1. INTRODUZIONE Con il susseguirsi delle diverse crisi aziendali, a livello nazionale ed internazionale, si è reso sempre più impellente il bisogno di porre maggiore attenzione sul tema della corporate governance. L’intervento delle autorità governative, delle Authority e delle associazioni di categoria ha permesso un’evoluzione della normativa internazionale e interna costruita su modelli e sistemi che assicurano meccanismi di governo aziendale a tutela degli shareholders e degli stakeholders tra cui banche ed altri finanziatori, clienti, mercati di riferimento, fornitori, personale e tutti gli altri soggetti che ripongono nella società interessi diretti o indiretti. Un buon governo di impresa che consenta il raggiungimento di obiettivi fondamentali, quali efficacia ed efficienza, trasparenza e legalità, porterebbe al recupero di una logica in base alla quale una migliore governance significa una migliore reputazione e, quindi, un maggiore sviluppo49. Qui di seguito, pertanto, tenteremo di ripercorrere il processo evolutivo intrapreso dalla normativa internazionale, per poi proseguire nell’analisi del contesto italiano. È in quest’ottica che assume rilievo il concetto di sistema di controllo interno ed è in questo contesto che si sono sviluppati una serie di norme e di 49 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 41. 25 2. Il contesto normativo Standard orientati alla definizione, alla valutazione e al rafforzamento dei sistemi di governance aziendale. 2. IL FOREIGN CORRUPT PRACTICE ACT: BREVI CENNI Nel corso dell’ultimo trentennio, a livello internazionale, si è incrementato notevolmente l’interesse verso i temi relativi al controllo interno. Nel 1977 negli Stati Uniti venne pubblicato il Foreign Corrupt Practice Act (FCPA) successivamente modificato nel 198850, un atto legislativo che proibisce alle società statunitensi di corrompere funzionari stranieri con la finalità di ottenere o mantenere affari. Esso, dunque, ha come obiettivo l’eliminazione di pratiche che avrebbero potuto influenzare in modo negativo l’integrità finanziaria delle società americane, minando così il funzionamento efficiente dei mercati finanziari. Il provvedimento è rivolto alle società controllanti e controllate nazionali, controllate estere, joint venture, partnership e qualunque impresa associata. A questi si aggiungono inoltre tutti i dirigenti, amministratori, dipendenti o rappresentanti della società. Oltre a provvedimenti contro la corruzione, il FCPA contiene anche disposizioni in materia contabile e di controllo interno: esso infatti prevede che tutte le società attive sul mercato mobiliare statunitense mantengano registri contabili, in modo da permettere l’individuazione di eventuali pagamenti sospetti, esso dispone inoltre, l’istituzione di un sistema di controllo interno che vigili su eventuali irregolarità e differenze tra ciò che è riportato nelle scritture contabili e l’effettivo flusso finanziario delle società. 50 A tale normativa, e a quella correlata descritta in seguito, si è ispirato il D. Lgs 231/2001 riguardante le responsabilità delle persone giuridiche. 26 2. Il contesto normativo L’approvazione del FCPA fu fortemente condizionata dalla convinzione che un buon modello organizzativo di controllo interno avrebbe dovuto costituire un efficace deterrente contro i pagamenti illeciti. Si può ritenere, pertanto, che il FCPA sia stato il primo importante evento in termini di impatto sull’internal auditing tanto che dopo la sua emanazione molte società ad azionariato diffuso hanno avviato numerose iniziative in materia di controllo interno, ampliando le dimensioni e i poteri delle proprie funzioni di Internal Auditing51. 3. IL SARBANES-OXLEY ACT, IL PIÙ GRANDE CAMBIAMENTO NELLA CORPORATE GOVERNANCE Nel 1985, sempre negli Stati Uniti, è stata creata la National Commission on Fraudolent Financial Reporting, nota come Treadway Commission, con l’obiettivo principale di individuare le cause dei falsi in bilancio e formulare raccomandazioni e suggerimenti al fine di evitare il verificarsi di questi eventi. Nel 1987 la Commissione ha emesso una relazione contenente alcune raccomandazioni in materia di controllo interno, sottolineando in particolare l’importanza dei codici di comportamento, dei comitati di auditing esperti e attivi, di una Funzione di Internal Auditing efficace e obiettiva. La relazione raccomandava, inoltre, la formazione di un Comitato di Audit (Audit Committee), composto interamente da consiglieri indipendenti, tra i cui compiti era prevista la verifica annuale della capacità del management di monitorare l’osservanza da parte della società del Codice Etico adottato. 51 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 42. 27 2. Il contesto normativo Tale evoluzione normativa ha rappresentato un importante punto di riferimento per l’emanazione del D.lgs. 231/2001 e la relativa istituzione di modelli organizzativi e di organismi di vigilanza. Il susseguirsi dei corporate scandals di grandi società statunitensi, quali il caso Enron e WorldCom avvenuti nel corso del 2001 e del 2002, fecero emergere i limiti della corporate governance statunitense, e generarono i presupposti per l’approvazione, nel Luglio del 2002, del Sarbanes-Oxley Act. Tale atto rappresenta il più grande cambiamento nell’ambito della corporate governance e reporting sin dalle prime security laws federali del 1933 e 1934. L’obiettivo principale di questa legge è quello di riconquistare la fiducia degli investitori tramite un’amministrazione aziendale più efficiente: esso fornisce infatti nuovi o più avanzati Standards per le Corporate Accountability e sanzioni per comportamenti non etici messi in atto dai funzionari dell’azienda in caso di eventuali false dichiarazioni sui dati finanziari. La normativa riguarda tutte le aziende i cui titoli azionari sono registrati presso la Securities and Exchange Commission (SEC) degli Stati Uniti e la cui capitalizzazione di Borsa supera i 75 milioni di dollari. Gli elementi fondamentali del Sarbanes-Oxley Act sono: 1. l’indipendenza delle società di revisione contabile e la vigilanza sul loro operato: il Sarbanes-Oxley Act dispone la creazione di un organismo pubblico di vigilanza denominato Public Company Accounting Oversight Board, affidando a questo il compito di regolamentare l’attività svolta dai revisori contabili, nonché verificarne il rispetto, modificando così in modo sostanziale il precedente modo di operare basato sull’autoregolamentazione. 28 2. Il contesto normativo Al fine di mitigare il rischio di potenziali conflitti di interesse, sono previste norme di rotazione delle figure chiave incaricate della revisione e il divieto di svolgimento di altri incarichi di consulenza da parte della medesima società di revisione ritenuti incompatibili ai fini della salvaguardia dell’indipendenza; 2. una maggiore attendibilità delle informazioni finanziarie e dei processi di controllo interno contabile: l’amministratore delegato e il direttore finanziario vengono individuati come i responsabili dell’implementazione del sistema di controllo interno e delle procedure circa le informazioni che vengono divulgate al mercato. Il sistema di controllo interno deve garantire il corretto flusso delle informazioni e dei dati finanziari forniti, nonché la loro attendibilità. A tal riguardo tali figure aziendali rilasciano un’attestazione circa la veridicità del bilancio annuale e delle relazioni finanziarie emesse52. In particolare, l’amministratore delegato e il direttore finanziario devono valutare l’efficacia del sistema di controllo interno sul processo di redazione del bilancio, comunicandone i risultati e le conclusioni nei report prodotti (bilancio e relazioni periodiche)53. La società di revisione deve quindi formulare le proprie valutazioni sulla conformità del sistema di controllo interno sul processo di redazione del bilancio in base agli Standard emessi dal Public Company Accounting Oversight Board; 3. un incremento dei poteri di regolamentazione e di vigilanza riconosciuti alla SEC: quest’ultima infatti interviene sui due punti precedenti attraverso una supervisione dell’organo di controllo delle società di revisione delle public companies (Public Company Accounting 52 53 Cfr. Sarbanes-Oxley Act (2002), Section 302: “Corporate responsibility for financial report”. Cfr. Sarbanes-Oxley Act (2002), Section 404: “Management assessment of internal control”. 29 2. Il contesto normativo Oversight Board) ed attraverso l’emanazione di norme di dettaglio volte a garantire che le informazioni finanziarie divulgate dalle società rappresentino la reale situazione economico-finanziaria, considerando eventualmente anche tutte quelle attività che, pur essendo “fuori bilancio”, possono incidere sugli equilibri finanziari delle public companies54. In definitiva, lo scopo del Sarbanes-Oxley Act è quello di proteggere gli investitori attraverso: • un’informativa più accurata, tempestiva, completa e comprensibile; • un miglioramento delle regole di corporate governance; • un rafforzamento dei controlli tramite la creazione del PCAOB; • un incremento dell’efficacia e dell’efficienza del sistema di controllo interno. 4. IL PIANO D’AZIONE DELL’UNIONE EUROPEA: BREVI CENNI Il varo del Sarbanes-Oxley Act ha avuto un impatto notevole sull’apparato normativo europeo: le imprese dell’unione europea che operano sul territorio americano, direttamente o tramite consociate, si sono trovate esposte ad una normativa penalizzante. Questo è uno dei motivi che ha spinto la Commissione Europea ad emanare un piano d’azione (pubblicato il 21 maggio 2003) per la modernizzazione della normativa in materia di società quotate e il rafforzamento della corporate governance nell’Unione Europea. 54 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 43-44. 30 2. Il contesto normativo L’intervento della Commissione è volto a migliorare l’informazione e la trasparenza sulla struttura e sul funzionamento delle società, ad incrementare la tutela dei diritti degli azionisti e a fornire raccomandazioni sulla riforma dei consigli di amministrazione. Più dettagliatamente le linee evolutive percorse sono le seguenti: • il rafforzamento dei diritti degli azionisti a tutela dei terzi nel tentativo di garantire l’efficienza e la competitività delle imprese. A tal fine la Commissione Europea sottolinea la necessità di intraprendere alcune azioni tra cui: precisare la responsabilità dei dirigenti, migliorare le disposizioni relative alla tutela dei creditori, introdurre una regolamentazione più rigorosa in materia di pubblicità delle informazioni per le società quotate e che fanno ricorso al pubblico risparmio, giungere ad un quadro normativo più flessibile per le PMI coerente con le loro dimensioni e la loro forma giuridica; • promuovere l’efficienza e la competitività delle imprese. Per il perseguimento di tale linea evolutiva la Commissione ha fornito un contributo importante sottolineando la necessità di un’armonizzazione della normativa in materia di operazioni transfrontaliere, quali trasferimenti e concentrazioni all’interno dell’UE, nonché l’esercizio dei diritti degli azionisti. Il raggiungimento di questi obiettivi richiedeva l’attuazione di una serie di iniziative comunitarie contenute nel piano d’azione che possono essere sintetizzate qui di seguito: • il piano suggerisce la coordinazione dei Codici dei vari Paesi comunitari al fine di “promuovere una maggiore convergenza e lo scambio di migliori pratiche”. 31 2. Il contesto normativo È necessario, pertanto, che le società garantiscano una maggiore trasparenza in materia di governo societario, un rafforzamento dei diritti degli azionisti, una modernizzazione nelle funzioni e nella composizione dei consigli di amministrazione. Infine la Commissione suggerisce la necessità di un maggiore sforzo da parte degli stati membri volto al coordinamento delle normative nazionali sul tema del diritto societario, della regolamentazione sui valori mobiliari, della quotazione in borsa, dei codici e degli altri strumenti; • l’adozione di interventi rivolti a semplificare il sistema normativo in materia di salvaguardia e modifiche del capitale introdotto con la II Direttiva CEE sul diritto delle società. Quest’ultima, infatti, impone alle società per azioni un capitale sociale minimo e contiene molteplici disposizioni, volte a tutelare gli azionisti e i creditori, che si applicano ad esempio in caso di costituzione della società, di aumento o riduzione del capitale sociale, di acquisizioni e distribuzioni di azioni. La semplificazione della II Direttiva CEE, secondo il piano, dovrebbe avvenire con riferimento a: i pareri degli esperti in ordine alla valutazione dei conferimenti in natura, che in determinate circostanze dovrebbero essere aboliti, l’introduzione di azioni emesse non alla pari, le norme sull’acquisto di azioni proprie e quelle relative all’esercizio del diritto di opzione; • il piano inoltre prevede ulteriori interventi relativamente ai gruppi e alle piramidi societarie: infatti è previsto l’obbligo di una maggiore completezza e trasparenza nelle informazioni societarie, finanziarie e non finanziarie, pubblicate sia dalle società quotate che dai gruppi, qualora l’impresa madre non sia una società quotata. È previsto, inoltre, l’adozione di una norma quadro per l’attuazione, a livello di controllate, di una politica comune di gruppo che consenta ai responsabili della gestione di una società appartenente ad un gruppo, di 32 2. Il contesto normativo porre in essere una politica coordinata e che, allo stesso tempo, garantisca la salvaguardia degli interessi dei creditori. Per ultimo, l’obbligo per le autorità nazionali di non ammettere alla quotazione società appartenenti a strutture piramidali abusive. • Per concludere, tenendo conto delle esigenze e delle problematiche delle società operanti su scala transfrontaliera, il piano propone nuove forme societarie differenziate in base al fine sociale o alla dimensione dell’azienda55. 5. L’AUTOREGOLAMENTAZIONE INTERNAZIONALE: IL COMMITTEE OF SPONSORING ORGANIZATIONS I principi di corporate governance e i meccanismi di governo societario sono ormai da diversi anni alla ricerca di modelli che garantiscano il raggiungimento di obiettivi di legalità in modo tale da assicurare al mercato la trasparenza e la correttezza necessarie per un suo valido funzionamento. Negli Stati Uniti questo orientamento emerge con la pubblicazione nel 1992 del CoSo Report da parte del Committee of Sponsoring Organisations della Treadway Commission56. Tale Integrated Framework è divenuto uno schema di riferimento in tutto il mondo ed è stato elaborato al fine di promuovere un concetto comune di controllo interno e di sottolineare le responsabilità del management nella creazione di un sistema di controllo. 55 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 45-46. 56 Il CoSo Report viene pubblicato dopo un primo schema di controllo interno elaborato dall’American Institute of Certified Public Accountant (AICPA) che nel 1988 procedette all’emanazione del SAS N° 55. L’associazione che raggruppa gli esperti contabili statunitensi descrive il controllo interno in termini di tre principali componenti: “control environment”, “accounting system”, “control procedures”. 33 2. Il contesto normativo La versione del 1992 intitolata “Internal Control – Integrated Framework” da avvio agli studi operativi sul “sistema di controllo interno”, precedentemente considerato come un elemento di programmazione e controllo, e la sua efficacia viene indicata come uno dei requisiti di base per raggiungere best practice. Nel 2004 viene pubblicato un secondo report, intitolato “ERM - Integrated Framework” che ne amplia la visione in termini di risk management e in tale ottica, il sistema di controllo interno si configura come tutto ciò che supporta la gestione del rischio aziendale. L’ERM costituisce, infatti, un modello di riferimento che le aziende possono adottare per la gestione dei rischi aziendali, esso rappresenta una sorta di guida che fornisce indicazioni in materia e ne definisce le componenti essenziali57. Si configura come un sistema finalizzato non solo all’analisi dei fattori di rischio e alla valutazione del loro impatto sulla performance aziendale, ma anche alla creazione di valore e vantaggio competitivo, in quanto permette un’assunzione consapevole dei rischi e una mitigazione degli eventuali effetti negativi degli stessi58. Nel modello ERM viene proposto uno schema valido e comprensibile per capire e valutare i rischi all’interno dell’organizzazione. L’attenzione del 57 Tuttavia, poche aziende hanno chiaro in mente come sviluppare un processo di questo tipo e ancora meno hanno già avviato il suo sviluppo. Come si può intendere nelle parole sotto riportate di John J. Flaherty (presidente CoSo), il nuovo framework ha ritenuto di raccogliere questo testimone e di sviluppare un sentire comune in proposito. “Anche se molte persone parlano di rischio, non esiste una definizione comunemente accettata di risk management e nemmeno un modello che definisca come il processo debba funzionare, rendendo il dialogo sul rischio, tra membri del consiglio di amministrazione e management, difficile e frustrante. Il board del CoSo ha ritenuto che questa situazione fosse molto simile a quella esistente prima della pubblicazione dell’Internal Control – Integrated Framework. Così come quello studio ha reso omogeneo il parlare di controllo interno, così il nostro obiettivo è quello che l’ERM Framework offra agli amministratori ed al management un modello comunemente accettato per discutere e valutare uno sforzo aziendale in tema di risk management” (intervista a cura di C. Chapman, Internal Auditor, IIA, June 2003, pubblicata in CASANA G., “Accettabilità del rischio e raggiungimento degli obiettivi”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 15-16). 58 Cfr. J.W. De Loach, Enterprise Wide Risk Management. Financial Time-Prentice Hall, Londra, 2000. 34 2. Il contesto normativo management viene catalizzata sulla gestione del rischio nelle sue relazioni con: • la corporate governance, affinché i vertici aziendali ricevano le informazioni necessarie per una gestione dei rischi consapevole ed efficace; • la misurazione delle performance, al fine di rendere disponibili misure di ritorno economico ponderate per tenere conto del rischio; • il sistema di controllo interno, considerato parte integrante del sistema di enterprise risk management59. L’ERM consente al management di affrontare in maniera efficace le incertezze e i conseguenti rischi/opportunità, accrescendo la capacità dell’impresa di generare valore attraverso il conseguimento dell’equilibrio ottimale tra gli obiettivi di crescita e di redditività e i rischi conseguenti, mediante l’impiego efficace ed efficiente delle risorse60. Più precisamente, lo schema proposto è di valido ausilio al management nel conseguimento dei propri traguardi operativi di reporting e di compliance e supporta l’azienda nell’evitare danni alla propria immagine, in quanto consente ad essa: • l’allineamento della strategia alla propensione al rischio (risk appetite). Il management stabilisce il grado di accettabilità del rischio per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per gestire i rischi che ne derivano; • il rafforzamento delle decisioni di risposta al rischio. 59 Cfr. S. Beretta, Valutazione dei rischi e controllo interno, Egea Edizioni, Milano, 2004. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 124. 60 35 2. Il contesto normativo L’ERM fornisce una rigorosa metodologia per l’identificazione e la selezione, tra più risposte al rischio alternative, di quella più adeguata (evitarlo, ridurlo, condividerlo o accettarlo); • la riduzione degli imprevisti e delle perdite conseguenti. Accrescendo la propria capacità di identificare eventi potenziali, valutare i relativi rischi e formulare risposte adeguate, le aziende riducono la frequenza degli imprevisti, così come i costi e le relative perdite; • l’identificazione delle opportunità. Analizzando tutti gli eventi potenziali, il management è in grado di identificare e cogliere in maniera proattiva le opportunità che emergono; • il miglioramento dell’impiego di capitale. L’acquisizione di affidabili informazioni sui rischi consente al management di valutare efficacemente il fabbisogno finanziario complessivo e di migliorare l’allocazione di capitale61. L’“ERM – Integrated Framework” ci fornisce la definizione di gestione del rischio aziendale da intendersi come un processo, posto in essere dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta l’organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del “rischio accettabile” e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali62. 61 Committe of Sponsoring Organisations of the Treadway Commission (CoSo), Enterprise Risk Management. Integrated Framework, settembre 2004; ed. it. a cura di AIIA e PricewaterhouseCoopers, La gestione del rischio aziendale, Milano, Il Sole 24 ore, 2006. 62 Committe of Sponsoring Organisations of the Treadway Commission (CoSo), Enterprise Risk Management. Integrated Framework, settembre 2004: “...a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” 36 2. Il contesto normativo Dall’analisi della definizione ne deriva che l’enterprise risk management è: • un processo continuo che coinvolge tutta l’organizzazione e si compone di un insieme di attività che devono essere pervasive ed integrate all’interno del sistema di management esistente, in modo da evitare ulteriori procedure parallele che comporterebbero un incremento dei costi; • svolto da persone che a tutti i livelli della struttura organizzativa aziendale occupano posizioni che influenzano l’efficacia del processo e che a loro volta ne sono condizionate. È importante, pertanto, una chiara definizione delle politiche e delle linee di responsabilità da parte del vertice aziendale, il quale deve inviare messaggi tone at the top che conferiscano validità all’ERM e ne facciano comprendere l’importanza a tutti i livelli organizzativi; • utilizzato per la formulazione delle strategie: quindi oltre alla definizione del profilo di rischio desiderato il vertice aziendale deve modellare il contesto in cui si originano tali rischi e stabilire le politiche di gestione degli stessi attraverso piani finanziari, disegni industriali, attività di report, ecc.; • applicato in tutta l’organizzazione, quindi nelle singole attività, ad ogni livello e in ogni unità della struttura, coerentemente con una gestione del rischio integrata che tenga conto dell’azienda nel suo complesso e che bilanci i singoli orientamenti entro il profilo di rischio desiderato per l’intera impresa. Esso infatti investe l’azienda a tutti i suoi livelli (Fig. 3): - a livello aziendale complessivo (entity level); - a livello di società controllate (subsidary); - divisioni aziendali (division); - unità operative (business unit); 37 2. Il contesto normativo • progettato per l’identificazione di eventi potenziali, ovvero quegli eventi che potrebbero influire sull’attività aziendale. Uno dei concetti chiave dell’ERM è quello di risk appetite, inteso come la quantità di rischio che un’organizzazione accetta volontariamente e consapevolmente nella sua ricerca di creazione del valore; infatti, non è da ritenersi necessariamente sbagliata, per un’impresa, la scelta di operare in un ambiente che sia a rischio elevato, anziché basso. È importante però, che vi sia la consapevolezza del vertice nell’intraprendere tale scelta strategica e che questo predisponga controlli e procedure adatti a limitare l’impatto dei potenziali rischi. Si tratta di un elemento che permea l’intera organizzazione, dalla valutazione delle alternative strategiche, alla definizione di obiettivi allineati alle scelte fatte e che, infine, deve condizionare la definizione dei processi operativi di gestione dei rischi connessi a tali obiettivi63; • in grado di fornire una ragionevole sicurezza al consiglio di amministrazione e al management sul conseguimento degli obiettivi aziendali. “Ragionevole” sicurezza poiché è implicito il fatto che gli elementi di incertezza e di rischio si riferiscono ad un futuro impossibile da predire con sicurezza assoluta: nella realtà i giudizi umani all’interno dei processi decisionali possono essere sbagliati, le decisioni di risposta ai rischi e di predisposizione dei controlli devono sempre tener conto del rapporto tra costi e benefici, possono inoltre verificarsi disfunzioni legate ad errori umani, possono manifestarsi collusioni tra due o più persone e via dicendo; • in grado di conseguire obiettivi, qui il riferimento è a una o più categorie distinte. Gli obiettivi possono essere: 63 Cfr. CASANA G., “Accettabilità del rischio e raggiungimento degli obiettivi”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 16. 38 2. Il contesto normativo - strategici (strategic): ovvero quelli allineati e a supporto della missione aziendale, sono di natura generale, vengono definiti ai livelli più elevati della struttura organizzativa in un’ottica di lungo periodo; - operativi (operations): riguardano l’impiego efficace ed efficiente delle risorse aziendali (possono essere dei più svariati ad esempio: mantenere determinati livelli di turnover del personale, garantirne la sua formazione, oppure obiettivi inerenti l’approvvigionamento delle materie prime, ecc.); - di reporting: riguardano l’affidabilità delle informazioni fornite dal reporting; - di conformità (compliance): riguardano il rispetto di leggi e regolamenti in vigore, è importante pertanto la diffusione a tutti i livelli della struttura aziendale di una cosiddetta cultura del controllo orientata all’osservanza delle norme, delle direttive aziendali e delle policies interne. 39 2. Il contesto normativo om pl ia nc e ti ng C R ep or na l ra ti o O pe St ra te gi c Le dimensioni dell’enterprise risk management Event Identification Risk Assessment Risk Response ENTITY-LEVEL Objective Setting SUBSIDIARY BUSINESS UNIT DIVISION Internal Environment Control Activities Information & Comunications Monitoring Fig. 3 L’ERM è costituito da otto componenti interconnesse che derivano dal modo in cui il management gestisce l’azienda e sono integrate con i processi operativi. Le sue dimensioni di analisi e quindi il rapporto tra obiettivi e componenti, possono essere rappresentati graficamente in un cubo che mostra chiaramente l’estrema flessibilità del modello. Esso infatti risulta applicabile sia all’intero processo di gestione del rischio aziendale, sia ad ogni categoria di obiettivi separatamente, alle componenti, alle singole business unit, così come alle singole sub-unità di queste ultime (vedi Figura 3). L’approccio ERM è quello di un modello olistico secondo il quale l’efficacia del sistema dipende sia dal corretto funzionamento delle sue componenti, sia dalla qualità delle relazioni che si instaurano tra di esse. 40 2. Il contesto normativo Il modello illustrato in figura non sembrerebbe presentare diverse analogie con lo schema a cui fa riferimento l’“Internal Control – Integrated Framework” del 1992; in realtà, lo schema ERM di gestione del rischio aziendale incorpora il controllo interno, fornendo al management uno strumento più completo. È importante che il management e gli internal auditor comprendano che l’ERM non è semplicemente una revisione dell’“Internal Control – Integrated Framework”: un’organizzazione utilizzerà l’ERM per identificare e gestire i rischi che la circondano e minacciano, mentre userà il modello “Internal Control” per comprendere e gestire i controlli interni quale parte integrante dell’operatività aziendale64. Più precisamente l’ERM viene alimentato dal processo di pianificazione strategica, che definisce la missione e gli obiettivi aziendali (objective settings), e trova supporto nell’ambiente interno, nelle attività di controllo, nei sistemi di informazione e comunicazione e nelle attività di monitoraggio continuo del sistema Risulta quindi possibile analizzare le componenti che costituiscono il processo di risk management che si articola nelle tre fasi di: - identificazione degli eventi (event identifications); - valutazione del rischio (risk assessment); - risposta al rischio (risk response)65; scorporandole da quelle invece caratteristiche anche dei sistemi di controllo che rivestono un ruolo di supporto all’interno del contesto: 64 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 127. 65 Nel caso in cui la risposta al rischio sia orientata ad evitare o ridurre il rischio occorrerà valutare l’adeguatezza e l’efficacia del sistema di controllo interno, che deve fornire ragionevole sicurezza sul raggiungimento degli obiettivi aziendali. 41 2. Il contesto normativo - ambiente interno (internal environment); - attività di controllo (control activities); - sistemi di informazione e comunicazione (informations & comunications); - monitoraggio (monitoring). La dinamica del sistema di enterprise risk management Definizione degli obiettivi Processo di gestione dei rischi Identificazione degli eventi Attività di controllo Risk Assessment Informazione e comunicazione Risposta al rischio Monitoraggio Sistema di controllo del processo di risk management Ambiente interno Sistema di controllo interno per la risposta al rischio Strategie: evitare o ridurre Ambiente interno Attività di controllo Informazione e comunicazione Monitoraggio Fig. 4 La figura 466 sintetizza la relazione tra sistema di controllo interno e gestione dei rischi nell’ambito del più ampio processo di risk management. 66 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 128. 42 2. Il contesto normativo Qui di seguito illustriamo più dettagliatamente le otto componenti dell’ERM tenendo presente che il modello non si articola secondo un procedimento strettamente sequenziale ma si configura come un processo interattivo e multidirezionale in cui ciascuna componente può influire su un’altra, indipendentemente dalla sequenza in cui queste sono collocate. 1. definizione degli obiettivi (objective setting): l’ERM assicura che il management abbia attivato un adeguato processo di definizione degli obiettivi, di business e di governo, coerentemente con la mission aziendale e in linea con i livelli di rischio accettabile (risk appetite); 2. identificazione degli eventi interni ed esterni all’organizzazione (event identification): è opportuno che questi siano identificati e distinti in opportunità (eventi con impatto positivo) e minacce (eventi con impatto negativo); le prime devono essere considerate nella determinazione del processo di pianificazione strategica che eventualmente andrà ridefinito, le seconde dovranno essere opportunamente analizzate al fine di formulare idonee strategie per un’adeguata gestione delle stesse; 3. valutazione del rischio o risk assessment: dopo una sua identificazione i rischi devono essere valutati in termini di “significatività” in modo tale da far sì che il management riponga la propria attenzione sugli stessi secondo una scala di priorità a seconda della loro probabilità di futura manifestazione e del loro impatto. I rischi vengono valutati in termini di “inerenza” (rischio in assenza di qualsiasi intervento) e di “residualità” (rischio residuo dopo l’attuazione di interventi per il suo ridimensionamento); 4. risposta al rischio (risk response): una volta che sono stati selezionati i rischi significativi, il management procede alla valutazione delle risposte alternative relative a ciascun rischio emerso. È possibile infatti avviare interventi per evitarlo oppure procedere ad una sua riduzione, a una sua accettazione o ad una sua condivisione, con l’obiettivo di 43 2. Il contesto normativo allineare i rischi individuati con i livelli di risk tolerance e di risk appetite; 5. ambiente interno (internal environment): è rappresentato dall’ambiente organizzativo, da cui si comprende la filosofia del vertice aziendale nella gestione del rischio e nella definizione dei suoi livelli di accettabilità, la cultura del rischio e il comportamento delle persone operanti a tutti i livelli della struttura organizzativa, lo stile manageriale, i valori etici, le competenze, la definizione di ambiti di autorità e di responsabilità, l’esistenza di adeguate politiche e procedure; 6. attività di controllo (control activities): è necessaria la definizione e l’implementazione di politiche e procedure che assicurano che le risposte al rischio siano fornite in maniera efficace attraverso la predisposizione di efficienti ed efficaci meccanismi di controllo, ovvero soluzioni organizzative volte al contenimento dei rischi operativi (ad esempio, il sistema autorizzativo) e all’identificazione dei rischi effettivi (ad esempio, sistemi che individuano le anomalie); 7. sistemi di informazione e comunicazione (information & comunication): i sistemi informativi devono garantire l’identificazione, la raccolta e la diffusione di informazioni e di una documentazione pertinenti in forme e tempi che consentano ai diversi operatori aziendali il pieno adempimento delle proprie responsabilità; per quanto riguarda le comunicazioni, queste devono essere efficaci e fluire attraverso la struttura organizzativa in tutte le direzioni, verso il basso, verso l’alto e trasversalmente; 8. monitoraggio (monitoring) continuo dell’intero processo dell’ERM da parte del management, al fine di un suo efficace e corretto funzionamento e per garantirne l’adeguatezza nel processo di gestione dei rischi aziendali, in relazione alle ripetute evoluzioni del contesto interno ed esterno all’impresa. 44 2. Il contesto normativo Le otto componenti appena illustrate non possono funzionare tutte in maniera identica in qualsiasi organizzazione, è necessario, pertanto, tener conto della specifica realtà aziendale con le sue peculiarità interne e il contesto esterno in cui questa si colloca. A seconda della dimensione dell’impresa potremo avere l’applicazione di un modello ERM meno formale, questo accade tipicamente nelle imprese di piccola e media dimensione, è importante comunque ai fini dell’efficacia del processo di risk management che ciascuna delle componenti sia presente e funzioni correttamente. Possiamo concludere precisando che la responsabilità primaria dell’implementazione del processo ERM non spetta alla Funzione di Internal Audit, che comunque gioca un ruolo di primaria importanza in tale processo, bensì all’alta direzione che ne ha la responsabilità ultima e ne assume la paternità. Il consiglio di amministrazione svolge un importante ruolo di supervisione del processo di gestione del rischio aziendale e contribuisce a determinare il livello di risk appetite, il management, infatti, promuove la filosofia di gestione del rischio e l’osservanza del livello di rischio accettabile e gestisce i rischi relativamente alla sua sfera di responsabilità coerentemente con i livelli di rischio tollerato (risk tolerance)67. 67 Il ruolo caratteristico dell’internal auditing nell’ambito del modello ERM consiste nello svolgimento per il Board, di attività di assurance sull’efficacia del processo ERM nell’organizzazione, allo scopo di garantire che i principali rischi aziendali vengano gestiti adeguatamente e che il sistema di controllo interno funzioni in maniera efficace. Nel determinare il ruolo dell’internal auditing, il Preposto al controllo interno deve tener conto di due fattori essenziali: accertare se l’attività comprometta l’indipendenza e l’obiettività degli internal auditor e verificare con quale grado di probabilità essa possa migliorare i processi di gestione dei rischi, di controllo e di governance dell’organizzazione. Il Position Paper dell’IIA specifica le funzioni che l’internal auditor deve svolgere e quelle dalle quali, invece, deve astenersi nell’ambito del processo di ERM. In particolare, le principali attività svolte sono: • • • • • Attività di assurance sui processi di gestione dei rischi aziendali. Attività di assurance sul processo di valutazione dei rischi. Valutare i processi di gestione dei rischi aziendali. Valutare il sistema di reporting dei rischi principali. Attività di review sulla gestione dei principali rischi aziendali. 45 2. Il contesto normativo 6. IL CONTESTO NORMATIVO ITALIANO 6.1. LA NORMATIVA SOCIETARIA La riforma del diritto societario e i nuovi dettami del Codice Civile (D.Lgs. 6/2003 e successivi decreti correttivi) hanno previsto una riforma organica della disciplina concernente le società di capitali (e le società cooperative) tanto che oggi è possibile parlare di un disegno di corporate governance anche per tutte quelle società che, sebbene non quotate, adottino come forma giuridica quella di società per azioni68. La “Riforma organica della disciplina delle società di capitali e società cooperative” ha ridisegnato il ruolo ed i compiti degli organi societari Tra le legittime attività dell’internal auditing nell’ERM che necessitano di maggiore cautela si annoverano: • • • • • • • Facilitare l’individuazione e la valutazione dei rischi. Assistere il management nell’affrontare i rischi. Coordinare le attività nell’ambito del processo ERM. Integrare il sistema di reporting dei rischi. Mantenere e sviluppare la struttura del modello ERM. Favorire l’implementazione del modello ERM Sviluppare la strategia di gestione dei rischi per l’approvazione del Board. Infine, tra le attività che l’internal auditor non deve svolgere vi sono: • • • • • • Determinare il grado di propensione al rischio. Imporre l’adozione di processi di gestione dei rischi. Svolgere attività di “management assurance” su singoli rischi. Prendere decisioni riguardo alle azioni da intraprendere per fronteggiare i rischi. Attuare misure di contenimento del rischio per conto del management. Assumere responsabilità nella gestione dei rischi. Le organizzazioni dovrebbero essere pienamente consapevoli del fatto che la gestione dei rischi resta di esclusiva responsabilità del management. Gli internal auditor dovrebbero fornire consigli e discutere criticamente o sostenere le decisioni assunte dal management riguardo ai rischi; non dovrebbero invece prendere decisioni sulla loro gestione. La natura della responsabilità dovrebbe essere precisata nel Mandato di audit e approvata dall’Audit Committee. Cfr. IIA, “Il ruolo dell’Internal Auditing nell’Enterprise-wide Risk Management”, Settembre 2004. 68 Negli anni precedenti la riforma degli aspetti in tema di corporate governance riguarda le imprese emittenti titoli quotati per cui veniva applicata la normativa disciplinata dal TUF e i relativi regolamenti attuativi. Tali imprese infatti hanno visto negli anni modificare e perfezionare il loro sistema di amministrazione e controllo. 46 2. Il contesto normativo amministrativi e di controllo, caratterizzandoli e differenziandoli in relazione alle quattro funzioni di base individuate dalla riforma stessa: l’amministrazione, il controllo sulla gestione, l’approvazione del bilancio ed il controllo contabile. Per quanto riguarda le società per azioni il legislatore ha ritenuto opportuno individuare elementi distintivi riconducibili alle modalità di circolazione del capitale, da cui deriva una suddivisione tra: - società che non fanno ricorso al mercato del capitale di rischio (cosiddette chiuse); - società che fanno ricorso al mercato del capitale di rischio, ulteriormente distinguibili in società emittenti azioni quotate in mercati regolamentati e società emittenti strumenti finanziari diffusi tra il pubblico in misura rilevante (art 2325 bis c.c.). Le disposizioni del Codice civile si riferiscono a tutte le società per azioni e per quelle facenti ricorso al mercato del capitale di rischio sono previste disposizioni legislative aggiuntive, giustificate dalla volontà di garantire una maggiore salvaguardia ai creditori, ai terzi e agli investitori (effettivi o potenziali), riconducibili con le disposizioni del TUF e le integrazioni fornite attraverso la normativa secondaria di settore. Con il TUF si è posta particolare attenzione sull’effettiva tutela delle minoranze azionarie, rivitalizzando il loro ruolo e rafforzando le difese endosocietarie, attraverso una più marcata specializzazione dei ruoli dei soggetti deputati ai controlli societari. Le principali direttrici attraverso il quale il TUF è intervenuto riguardano69: - il rafforzamento delle minoranze azionarie; 69 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 54. 47 2. Il contesto normativo - il rafforzamento dei poteri di vigilanza e di intervento della CONSOB anche nei confronti del collegio sindacale; - l’introduzione di una netta separazione di ruoli tra collegio sindacale e società di revisione (in relazione a quest’ultimo aspetto il TUF ha attribuito al collegio sindacale il controllo sull’amministrazione, e alla società di revisione, in via esclusiva, il controllo contabile, puntando ad una riqualificazione del ruolo e a un rafforzamento dei poteri dell’organo di controllo interno, con un aumento di efficacia e di efficienza del controllo stesso). I principi ispiratori della riforma del diritto societario che hanno avuto un rilevante impatto nella ridefinizione delle strutture di governance delle società per azioni e delle attività di controllo su di esse sono70: - la creazione di una netta distinzione tra “soggetti gestori” e “soggetti controllori”, mediante la puntuale individuazione dei ruoli e delle funzioni effettivamente svolte dai diversi soggetti coinvolti nelle strutture di governance; - il ruolo affidato all’autoregolamentazione. Sono stati previsti ampi spazi per le forme di autoregolamentazione che investono l’attività sociale, già a partire dalla scelta dei diversi modelli di amministrazione e controllo. In particolare, è stato previsto (artt. 2409 octies e 2409 sexiesdecies c.c.) che le società possono scegliere, tramite previsione statutaria, il proprio modello organizzativo, optando quindi per il modello tradizionale (o ordinario) con un consiglio di amministrazione come organo di gestione e il collegio sindacale con funzioni di controllo di legalità e di corretta 70 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 54-55. 48 2. Il contesto normativo amministrazione, o un modello dualistico con rispettivamente un consiglio di gestione ed un consiglio di sorveglianza oppure un modello monistico con un cda ed un comitato per il controllo sulla gestione (nominato stavolta nell’ambito del cda anziché, come invece è previsto per gli organi di controllo degli altri due modelli, nominati dall’assemblea dei soci)71. Tale scelta si pone l’obiettivo di favorire la competitività delle imprese, sia nel contesto nazionale che internazionale. Indipendentemente dal tipo di modello adottato la riforma ha delineato modelli di governance orientati a una ripartizione delle competenze tra gli organi di controllo e gli organi di amministrazione. Nelle società per azioni, quindi, saranno le scelte imprenditoriali a definire l’architettura dei controlli e quindi i soggetti incaricati dello svolgimento di funzioni di controllo contabile (revisore esterno “persona fisica”, “società di revisione” oppure revisore “interno” alla società) e i soggetti cui competono funzioni di controllo sull’attività amministrativa e gestionale (collegio sindacale, Comitato per il controllo sulla gestione, Consiglio di sorveglianza)72. Va precisato che la riforma, pur trattando tematiche inerenti alle attività di controllo societario, non ha affrontato il tema del ruolo della Funzione di Internal Audit. Ciò era del resto prevedibile, visto che, nel contesto italiano, la scelta dell’istituzione di tale Funzione non risulta ancora un obbligo di legge, ma è demandata alla volontà della singola società, pur essendo 71 La scelta del modello di amministrazione e controllo deve essere espressa nello statuto societario, che, se nulla dispone, rende automaticamente applicabile il modello tradizionale, affidando così i controlli sulla corretta gestione d’impresa al collegio sindacale e i controlli contabili a un revisore esterno (sia esso persona fisica o società di revisione). Una previsione statutaria può prevedere che, per le società che non fanno ricorso al mercato del capitale di rischio e che non siano tenute alla redazione del bilancio consolidato, il controllo contabile può essere esercitato dal collegio sindacale, costituito in tal caso da revisori contabili (art 2409 bis c.c.). 72 Il controllo contabile sulla società è esercitato prevalentemente da un revisore esterno (persona fisica o società di revisione) che dovrà essere iscritta al Registro dei revisori contabili. Nelle società che fanno ricorso al mercato del capitale di rischio il controllo contabile è esercitato da una società di revisione iscritta nell’Albo CONSOB e soggetta a vigilanza da parte della stessa. 49 2. Il contesto normativo comunque fortemente consigliata73 (soprattutto per le società quotate, anche alla luce di quanto previsto dal Codice di Autodisciplina di Borsa Italiana Spa). 6.2. IL D. LGS 58/1998, TESTO UNICO DELLA FINANZA Il “Testo Unico delle disposizioni in materia di intermediazione finanziaria” denominato anche Testo Unico della Finanza o Legge Draghi, affronta il tema del controllo interno in modo rilevante, relativamente ai soggetti italiani o esteri che emettono strumenti finanziari quotati nei mercati regolamentati italiani. L’obiettivo è quello di garantire la tutela degli investitori e il buon funzionamento del sistema finanziario, attraverso il rispetto dei principi di trasparenza e correttezza dei comportamenti. All’art. 21 il TUF dispone che “nella prestazione di servizi di investimento e accessori i soggetti abilitati devono: [...] disporre di risorse e procedure, anche di controllo interno, idonee ad assicurare l’efficiente svolgimento dei servizi”. Il Testo Unico oltre a disciplinare la materia dell’intermediazione finanziaria, la prestazione dei servizi di investimento e la disciplina dei mercati finanziari, dedica la Parte IV anche alla disciplina degli emittenti quotati, per i quali introduce importanti novità e principi in materia di corporate governance. In particolare, all’art 150 il TUF prevede che il collegio sindacale e la società di revisione si scambino tempestivamente i dati e le informazioni rilevanti per l’espletamento dei rispettivi compiti. Inoltre, coloro che sono 73 Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 46. 50 2. Il contesto normativo preposti al controllo interno riferiscono anche al collegio sindacale di propria iniziativa o su richiesta anche di uno solo dei sindaci. Da qui si comprende come il D. Lgs. 58/1998, nella definizione del sistema di governance per i soggetti suddetti, attribuisca un’importanza fondamentale al costante scambio di informazioni tra tutti gli organi sociali preposti al controllo, ovvero tra amministratori, collegio sindacale, società di revisione e Preposto al controllo interno. Con il TUF, inoltre, viene introdotto per la prima volta nella legislazione italiana l’espressione sistema di controllo interno, pur in assenza di una definizione di tale concetto e di una disciplina dello stesso. Il concetto di controllo interno viene legato all’attività del collegio sindacale, infatti l’art. 149 dispone che spetta al collegio sindacale vigilare [...] sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza del sistema di controllo interno e del sistema amministrativo contabile nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione. Il legislatore attraverso il TUF pone le basi affinché la regolamentazione di settore e l’autoregolamentazione dei singoli emittenti quotati fissino il quadro d’insieme delle regole concernenti il buon governo societario. È quindi attraverso importanti disposizioni attuative (tra cui il Regolamento emittenti della CONSOB, il Codice di Autodisciplina di Borsa Italiana, che vedremo in seguito e le linee guida fornite dalle associazioni di categoria) che vengono introdotti e compiutamente disciplinati i capisaldi della governance degli emittenti quotati e del loro sistema di controllo interno. Il riferimento del D. Lgs. 58/1998 alla normazione secondaria risulta in generale molto ricorrente. In tale ambito molti dei principi che regolano il sistema di corporate governance trovano origine nella regolamentazione primaria da cui poi scaturisce una regolamentazione di settore deputata ad emanare norme puntuali e in linea con i sistemi di mercato, trovando, infine, concreta applicazione attraverso linee guida e codici di condotta, che 51 2. Il contesto normativo in via autoregolamentare, costituiscono lo scheletro su cui poggia l’insieme delle regole di corporate governance74. 6.3. LA LEGGE SULLA TUTELA DEL RISPARMIO (LEGGE 28 DICEMBRE 2005, N. 262) La legge 262/2005 “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari” ha introdotto numerose novità che hanno comportato modifiche al Testo Unico sulla Finanza, al Testo Unico Bancario e al Codice Civile. Tale disposizione si configura come il frutto di un’indagine conoscitiva avviata dal Parlamento che ha individuato ed analizzato gli elementi critici nei rapporti tra i vari soggetti pubblici e privati che interagiscono nel sistema economico-finanziario. In particolare, riguardo alla disciplina delle società per azioni, l’indagine ha evidenziato i limiti di un assetto di governo societario troppo incentrato sulla regolamentazione dei rapporti tra azionisti e amministratori, che ha determinato un sistema non in grado di garantire un’autentica dialettica interna tra il socio di controllo e gli altri detentori di interessi, quali azionisti di minoranza, investitori e risparmiatori, ritenuta indispensabile per il buon andamento dell’impresa75. La “Legge sul Risparmio” è stata considerata per molti aspetti la risposta italiana al Sarbanes Oxley Act americano, sia per i motivi che ne hanno ispirato la realizzazione (tra cui le crisi finanziarie di importanti emittenti quotati e il delicato rapporto tra questi, i risparmiatori e gli investitori 74 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 58. 75 Cfr. RINALDI A., “Riforma del risparmio, analisi delle implicazioni e dell’impatto sui sistemi di governo aziendale”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006 p. 16. 52 2. Il contesto normativo istituzionali), sia per le disposizioni contenute. Numerose sono le novità introdotte in tema di governance societaria che hanno avuto impatto sulle società rientranti nell’ambito di applicazione del TUF, tra cui in particolare76: - l’introduzione di particolari tutele delle minoranze all’interno dei Consigli di Amministrazione delle società e dei Collegi Sindacali; - una maggiore trasparenza e controllo sulle società estere controllate, controllanti o collegate di società italiane quotate o con strumenti finanziari diffusi fra il pubblico, con sede in quei paesi dove non è sufficientemente tutelata la trasparenza societaria; - obblighi in materia di informativa annuale sull’adesione a codici di comportamento77; - nuovi obblighi in materia di informativa societaria, con particolare riguardo all’istituzione di una nuova figura, il Dirigente preposto alla redazione dei documenti contabili e societari, deputata alla predisposizione di adeguate procedure amministrative e contabili per la redazione dei bilanci di esercizio e consolidato, se previsto, e con l’obbligo di fornire nuove attestazioni sull’adeguatezza e sull’effettiva applicazione di tali procedure, da allegare ai bilanci78; 76 Cfr. “Notizie dall’Italia. Informazione e novità”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2006 p. 53. 77 In merito all’adesione ai codici di comportamento redatti da società di gestione dei mercati regolamentati o da associazioni di categoria, le società sono chiamate a redigere annualmente una dichiarazione di adesione a tali codici. Nel redigere la dichiarazione le società devono anche motivare le ragioni di eventuali inosservanze o della mancata applicazione delle disposizioni contenute nei codici stessi. 78 L’art. 154 bis 1° comma del TUF, dispone che lo statuto preveda i requisiti di professionalità e le modalità di nomina di un dirigente preposto alla redazione dei documenti contabili societari, previo parere obbligatorio dell’organo di controllo. Le principali funzioni che gli sono state attribuite dalla normativa sono: - dichiarare per iscritto (con firma congiunta a quella del Direttore Generale) la veridicità dei documenti contabili societari obbligatori per legge o diffusi al mercato contenenti informazioni sulla situazione economica, finanziaria e patrimoniale della società (art 154 bis 2° c. del TUF); 53 2. Il contesto normativo - nuove disposizioni in materia di revisione dei conti e incompatibilità con altri servizi di consulenza resi dalla società di revisione e dalle entità appartenenti alla rete della medesima. 6.4. IL D. LGS. 231/2001: LA RESPONSABILITÀ AMMINISTRATIVA DELLE PERSONE GIURIDICHE E LA COMPATIBILITÀ CON L’ATTIVITÀ DI INTERNAL AUDITING Come già anticipato nelle pagine precedenti, l’impianto normativo del D. Lgs. 231/2001 va ricondotto al Foreign Corrupt Practices Act statunitense, di cui per certi versi rappresenta una trasposizione nazionale79. Il decreto legislativo in questione riconosce una responsabilità amministrativa di tipo parapenale in capo all’ente, persona giuridica, se in esso viene accertata la commissione di un reato nell’interesse o a vantaggio dell’ente stesso da parte di un soggetto che riveste “funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale80”, o da parte di un soggetto che eserciti di fatto funzioni di gestione e controllo per l’ente stesso. Le tipologie di reato previste dal D. Lgs. 231/2001 e successive integrazioni possono essere sintetizzate nelle seguenti: - istituire adeguate procedure amministrative e contabili per la predisposizione del bilancio di esercizio e consolidato, nonché di ogni altra comunicazione di carattere finanziario (art 154 bis 3° c. del TUF); attestare, con apposita relazione (da redigere unitamente all’Organo Amministrativo) da allegare al bilancio di esercizio e consolidato l’adeguatezza e l’effettiva applicazione delle procedure, nonché la corrispondenza del bilancio alle scritture contabili (art 154 bis 4° c. del TUF). La sua istituzione è obbligatoria per le società quotate in mercati regolamentati italiani o dei Paesi membri dell’UE, mentre rimane volontaria relativamente alle società non quotate. 79 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 59. 80 Cfr. Art. 5 “Responsabilità dell’ente”, D. Lgs. 231/2001. 54 2. Il contesto normativo - delitti contro la pubblica amministrazione (artt. 24-25), ovvero corruzione di pubblico ufficiale, concussione, malversazione, truffa, frode informatica a danno dello Stato o di altro Ente pubblico; - delitti contro la fede pubblica (art. 25 bis), ovvero falsità in monete, in carte di pubblico credito e in valori di bollo; - reati societari (art. 25 ter), ovvero false comunicazioni sociali, false comunicazioni sociali in danno dei soci o dei creditori, falso in prospetto, impedito controllo, illecita influenza sull’assemblea, aggiotaggio, ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza, illecite operazioni sulle azioni o quote sociali o della società controllante, operazioni in pregiudizio dei creditori; - delitti in materia di terrorismo e di eversione dell’ordine democratico (art. 25 quater); - delitti contro la personalità individuale (art. 25 quinques). Tale decreto ha radicalmente capovolto uno dei capisaldi del diritto penale nazionale, ovvero il principio secondo cui “societas delinquere non potest”81, avviando, pertanto, una profonda rivisitazione in termini organizzativi e procedurali in tutti gli enti tenuti ad osservare le disposizioni in esso contenute. Affinché l’impresa risulti immune dalla possibile applicazione di una misura cautelare (o di una delle sanzioni previste dal D. Lgs. 231/2001), essa deve “adottare ed efficacemente attuare” una serie di prescrizioni volte a prevenire il rischio della commissione dei reati precedentemente summenzionati. In particolare, ampia rilevanza è stata attribuita ai modelli organizzativi (cosiddetti “salvaimprese”) che costituiscono un’esimente nel caso in cui si manifestino i reati elencati dal decreto e che rappresentano, soprattutto, la 81 Cfr. SACRESTANO A., “Dipendenti, reati da prevenire.”, Il sole 24 ore. Norme e tributi., Lun. 14 Maggio 2007 – n. 131. 55 2. Il contesto normativo base di un sistema strutturato e organico volto a prevenire la commissione di tali reati82. L’attenzione verso tali modelli, condizionata anche da una rilevante disciplina sanzionatoria, ha chiaramente comportato una puntuale riorganizzazione e formalizzazione di prassi operative e consuetudini a beneficio dell’intera organizzazione aziendale. Una volta messo in atto un modello di organizzazione e gestione idoneo a prevenire le fattispecie delittuose integrate e istituito un “Organismo di vigilanza ex 231/2001”, l’ente sarà esente da responsabilità qualora provi che le persone responsabili abbiano commesso il fatto integrante il reato eludendo fraudolentemente i modelli predisposti e che l’organismo deputato alla vigilanza su di essi non abbia omesso di vigilare o non abbia vigilato in maniera insufficiente. Questi modelli, la cui adozione – va ricordato – costituisce per la società non un obbligo, ma una mera facoltà83, si presentano sotto molteplici aspetti affini ai sistemi di controllo interno; d’altro canto, l’attività di vigilanza a cui sono soggetti sembra poter essere ricompresa tra quelle di competenza della Funzione di Internal Audit che potrebbe rappresentare la figura ideale di organo di vigilanza o comunque esercitare un supporto alle attività inerenti. In particolare, ai sensi dell’art 6 2° comma, sono specificate le singole funzioni che il modello in questione deve essere capace di espletare84, 82 Dispone infatti il comma 1° dell’art. 6, D. Lgs. 231/2001, che, l’ente può essere esonerato dalla responsabilità qualora dimostri in primo luogo che, prima della commissione del fatto, l’organo dirigente che ne è al vertice abbia adottato ed efficacemente attuato dei modelli di organizzazione e gestione idonei a prevenire le fattispecie delittuose integrate. Deve essere poi previsto sempre dall’organo dirigente un organismo dotato di autonomi poteri di iniziativa e di controllo che abbia il compito di vigilare sull’osservanza dei modelli adottati e di provvedere al loro aggiornamento. 83 Cfr. MAGNATE P., “Modelli per la prevenzione della responsabilità delle imprese”, Contabilità, finanza e controllo, n. 5/2005, p. 452, ove si rileva la natura premiale alla base della disciplina scaturente dagli artt. 6-7 del decreto in questione. 84 L’art 6 2° c. dispone che i modelli di organizzazione e di gestione idonei a prevenire reati devono rispondere alle seguenti esigenze: a) individuare le attività nell’ambito delle quali possono essere commessi i reati; b) prevedere protocolli in base ai quali programmare la formazione e l’attuazione delle decisioni relative ai reati da prevenire; 56 2. Il contesto normativo queste devono essere poste in essere da una struttura che sia idonea, che abbia perciò una collocazione stabile nelle infrastrutture aziendali, che impieghi personale, che operi in maniera procedimentalizzata e continua85. A tal riguardo la Funzione di Internal Audit potrebbe sembrare assolutamente idonea con quanto fin qui detto, poiché essa risponde ai requisiti richiesti dal legislatore di autonomia operativa, continuità di azione, competenza tecnica, integrazione nella struttura organizzativa, accesso alle informazioni ed indipendenza. In aggiunta, il modello prescritto sembra compatibile con il sistema di controllo interno descritto in economia aziendale e ripreso dalle normative regolamentari cui sono soggette le società operanti – in veste di intermediari o in quanto emittenti – nei mercati finanziari, rientrando quindi nel campo di applicazione della Funzione di Internal Audit. Inoltre, prendendo in considerazione la funzione precipua cui sono volti i modelli, ovvero l’individuazione e la prevenzione di reati, è possibile constatare come essa, in sostanza si concretizzi in un’attività di controllo volta ad assicurare il rispetto di alcune norme di carattere penale, in capo ai soggetti che sono parte integrante della struttura aziendale. Più precisamente, essa appare assimilabile ad un’attività di individuazione e gestione del rischio, ove il rischio in questione è rappresentato dalla mancata compliance ad una normativa vincolante, che può tradursi in un costo rilevante per l’impresa o addirittura nello stesso venir meno di alcune sue attività produttive (ad esempio sanzioni interdittive quali il divieto di contrattare con la Pubblica Amministrazione, oppure la revoca di una concessione, ecc.). c) individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; d) prevedere obblighi di informazione verso l’organismo deputati a vigilare sul funzionamento e l’osservanza dei modelli stessi; e) introdurre un sistema disciplinare tramite il quale sanzionare il mancato rispetto delle misure che sono indicate nel modello. 85 Cfr. CARNA A. R. “La responsabilità amministrativa degli enti. Aspetti economico aziendali.”, Rivista italiana di ragioneria e di economia aziendale, Lug-Ago 2004, p 446. 57 2. Il contesto normativo Se procediamo ad esaminare le singole attività che l’art. 6 2° c. attribuisce al modello organizzativo, vediamo come esse corrispondono ai diversi momenti che scandiscono un ciclo di risk assessment, quindi di una delle principali attività di competenza del personale addetto al controllo interno86: - Innanzitutto è prevista, all’art. 6, 2° c. lett. a, una fase in cui, esaminate le caratteristiche delle attività d’impresa, sono identificate le aree di rischio, cioè quelle in cui i reati in questione hanno maggiore probabilità di prodursi. Nel formulare questo giudizio nella loro attività criminogena si dovrà tenere conto anche delle attività di controllo interno che sono operanti nelle singole aree. - In secondo luogo, all’art. 6, 2° c. lett. b, è disposto che siano elaborate delle normative interne atte ad imprimere il carattere di continuità e regolarità a tale attività di monitoraggio ed alla progettazione di misure volte a contrastare i rischi emersi. È questa la fase in cui sono ideate e pianificate le contromisure volte a contenere i rischi preventivati, le quali dovranno facilitare la documentazione delle attività aziendali, apportare coerenza nei processi gestionali e nella ripartizione dei poteri e delle competenze, nonché disporre uno svolgimento dei controlli regolare e procedurale. - Questi interventi correttivi interesseranno per forza anche la gestione delle risorse, anche solo per assicurare all’attività di individuazione e gestione del rischio gli strumenti necessari (art. 6, 2° c. lett.c). - Infine, ai sensi del comma 2° dell’art. 6 lett. d, deve essere predisposto un apposito sistema disciplinare che consenta di intervenire sanzionando chi trasgredisca alle prescrizioni elaborate. A tal fine, devono essere adottai dei protocolli interni che, oltre a un sistema di sanzioni coerente e adeguato, contengano la disciplina delle procedure da seguire 86 Cfr. MAGNATE P. “Modelli per la prevenzione della responsabilità delle imprese”, Contabilità, finanza e controllo, n. 5/2005. 58 2. Il contesto normativo nell’esecuzione di determinate attività aziendali e prevedano una serie di indicatori di pericolo, la cui verificazione dia impulso ai controlli o alla diretta irrogazione delle sanzioni. Se i modelli da adottare possono essere fatti rientrare nel sistema di controllo interno, è parimenti possibile riscontrare evidenti affinità tra l’organismo preposto alla vigilanza su tali modelli e la Funzione di Internal Audit. Tale corrispondenza è evidente con riferimento alle attività sottese alla funzione di cui l’organismo è investito, queste consistono in un tipico monitoraggio sulla compliance, quale quelli di competenza dei revisori interni, che nel momento in cui investono tutto il sistema dei controlli interni, possono benissimo includere anche le unità di controllo predisposte al fine di escludere la responsabilità amministrativa della società. Inoltre, all’organo di vigilanza spetta una valutazione periodica dei modelli adottati, al fine di saggiarne l’efficienza e la reale capacità di prevenire i rischi derivanti dalla commissione dei reati. In seguito al riscontro di eventuali carenze funzionali, spetta sempre all’organismo di vigilanza formulare delle proposte di modifica dei modelli organizzativi, volte ad implementare l’efficienza e ristabilire così un livello di rischio accettabile. Anche in questo caso, l’analogia con l’internal auditing è palese: l’attività monitoria in esame coincide in sostanza con l’operational audit. In definitiva, l’attività di vigilanza ex art. 6 sembra poter ricalcare un vero e proprio ciclo di audit: sia per quanto concerne l’attività in esame, consistenti in azioni di monitoraggio sulla compliance o sull’efficienza delle operazioni aziendali; sia in riferimento alle attribuzioni dell’organo di vigilanza; sia infine per la necessità (non espressamente richiamata dalla norma) di trasmettere all’organo di vertice della società il report contenente le conclusioni e le contromisure formulate per aggiornare i modelli organizzativi. 59 2. Il contesto normativo Se la società dispone di un comitato per il controllo interno, questo potrebbe essere l’organo che, come vedremo nelle pagine successive, meglio di tutti sintetizza in se stesso le caratteristiche di collegialità, indipendenza e collocazione ai vertici della gerarchia societaria. Tale organo essendo eletto in via preferenziale a vertice della Funzione di Internal Audit potrebbe valersi dei revisori interni per effettuare un più penetrante monitoraggio sui modelli organizzativi, potrebbe ricevere i report dal team di Internal Audit in merito alla compliance e all’efficienza degli stessi, potrebbe fare valere le risultanze della vigilanza direttamente presso il consiglio di amministrazione, nonché ivi proporre, discutere e deliberare le opportune azioni migliorative87. 6.5. L’AUTOREGOLAMENTAZIONE IN ITALIA Il mantenimento della fiducia degli investitori in presenza di mercati finanziari efficienti e dinamici dipende principalmente dalla qualità della gestione e dalla trasparenza e correttezza delle informazioni sull’andamento economico-finanziario dell’azienda, soprattutto per le società quotate nei mercati regolamentati. Ad oggi, infatti, uno degli elementi indispensabili per la competitività aziendale è rappresentato dal conseguimento di una piena trasparenza informativa, che di fatto può essere soltanto in parte ottenuta mediante un’adeguata regolamentazione in materia contabile. Quest’ultima, infatti, per la natura stessa del bilancio e la soggettività dei processi di valutazione che ne sono all’origine, consente agli operatori di godere di un ampio margine di discrezionalità che può facilmente sfociare, 87 PARMEGGIANI F. “I modelli di controllo prescritti dal D. Lgs. 231/01 in materia di responsabilità amministrativa delle società.”, Marzo 2007. 60 2. Il contesto normativo in assenza di un valido sistema di controllo interno, in una distorsione nella gestione dei dati, delle informazioni e dei risultati aziendali. Da ciò deriva che la durevole continuità dell’azienda e il rafforzamento delle sue condizioni di equilibrio, possono essere garantiti unicamente da comportamenti etici posti in essere dalla stessa organizzazione. I valori etici appartengono soltanto alla persona e non possono essere alimentati attraverso nuove leggi: possono essere soltanto stimolati e incoraggiati dalle autorità, dagli operatori aziendali e dal mercato88. È implicita, dunque, l’affermazione all’interno della struttura organizzativa, di una cultura volta all’adozione di comportamenti virtuosi e al costante miglioramento dei flussi informativi, contemperando adeguatamente e simultaneamente regole e Codici di Autodisciplina. Gli investitori, anche internazionali, devono poter facilmente identificare le principali caratteristiche delle aziende e comprendere le legittime motivazioni di eventuali disallineamenti con le best practice. Si è affermato quindi, il principio secondo cui, in mercati caratterizzati da un’elevata mobilità internazionale dei capitali, l’introduzione di regole appropriate che accrescano la fiducia degli investitori, senza per questo costituire elementi di rigidità, rappresenta un fattore competitivo strategico per ogni Paese89. Come già accennato in precedenza, il TUF ha segnato un primo importante passo verso un mutamento nell’approccio alle tematiche della corporate governance; esso, infatti, contiene numerosi rinvii di legge, espliciti o impliciti90, alla normativa secondaria e di autoregolamentazione, 88 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 63. 89 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 64. 90 Per “autoregolamentazione esplicita” devono intendersi tutti gli spazi che espressamente individuati dalle norme primarie e secondarie, devono essere regolamentati attraverso forme di autodisciplina (ad esempio: artt. 2367 c.c. e ss. in merito alla convocazione dell’assemblea, la sua costituzione, la validità delle deliberazioni ecc.). 61 2. Il contesto normativo assegnando di volta in volta, alle Authority di settore compiti di vigilanza regolamentare e, all’autonomia dei privati diverse possibilità di autoregolamentazione. Infatti, è a partire dalla riforma del TUF che nel nostro paese si è avviato tale processo di delegiferazione in materia di corporate governance, processo che ha riservato alla legge soltanto la determinazione dei principi, la disciplina delle regole più rilevanti e l’allocazione dei poteri, lasciando conseguentemente ampi spazi all’autonomia statutaria. La ratio di tale impostazione è la ricerca “dal basso” dell’assetto normativo più adeguato alle diverse realtà operative, indirizzandosi verso forme di autoregolamentazione idonee a garantire una corretta ed efficiente gestione imprenditoriale, senza, però, entrare nel dettaglio delle diverse fattispecie socio-aziendali. La normativa concernente la corporate governance, non riveste unicamente forma di legge, ma individua come norme giuridiche vincolanti soltanto dei principi generali, rinviando poi agli enti di categoria il compito di determinare le norme attuative di comportamento e lasciando all’autonomia privata la facoltà di strutturare al meglio la propria governance. Oltre alla “trasparenza” di cui abbiamo già accennato all’inizio del paragrafo, i principi base su cui è improntato tale framework normativo sono costituiti dalla “flessibilità”, in quanto le norme di comportamento attuative risultano più facilmente e rapidamente adattabili, sia nel tempo (al variare delle esigenze), sia nello spazio (di settore in settore, di caso in caso) e dalla “libertà di organizzazione”, lasciando alle imprese la Per “autoregolamentazione implicita” debbono intendersi tutti quei rinvii a forme di autoregolamentazione che, ancorché non specificatamente contemplati da normativa primaria e secondaria, trovano comunque applicabilità nell’ambito dell’ordinamento. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 67. 62 2. Il contesto normativo possibilità di “personalizzare” il proprio modello di governo societario in base alle proprie specifiche caratteristiche ed esigenze91. Ad oggi, le disposizioni regolamentari in tema di corporate governance delle Autorità di vigilanza (Ministero dell’Economia e delle Finanze, CONSOB, Banca d’Italia, ISVAP) e di gestione dei mercati regolamentati (Borsa Italiana) sono molteplici. Tra i numerosi codici di autoregolamentazione e linee guida di origine varia emanati soprattutto da diverse associazioni di categoria, il Codice di Autodisciplina di Borsa Italiana delle società quotate rappresenta per la sua rilevanza e pervasività, un caso a sé, anche in relazione al peso economico delle realtà aziendali in cui trova applicazione. L’adesione a tali forme di autoregolamentazione è volontaria, secondo il principio di freedom with accountability, anche se la mancata applicazione o l’inosservanza delle regole stabilite al loro interno può comportare, tra l’altro, danni in termini di immagine (soprattutto in quei settori in cui viene attribuito grande valore alla reputazione e alla condotta etica), oppure costituire un indicatore di rischio di una non corretta gestione o inosservanza di una condotta trasparente. 6.5.1. IL CODICE DI AUTODISCIPLINA DI BORSA ITALIANA Nel 1999, in un periodo in cui la capitalizzazione di borsa superava il 50 % del PIL e l’internazionalizzazione degli scambi si avvicinava a percentuali di poco inferiori92, la Consob ha dato avvio alla redazione del Codice di Autodisciplina, un insieme di disposizioni, suddivise in principi e criteri 91 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 64. 92 Cfr. Baraldi M. Paletta A. Zanigni M., Corporate governance e sistema di controllo interno, Franco Angeli, 2004, p.4. 63 2. Il contesto normativo applicativi, che si configurano come un modello di best practice ritenute idonee a garantire un corretto rapporto tra il mercato e le società quotate. Sull’onda del grande successo che era stato ottenuto negli Stati Uniti dal Committee of Sponsoring Organisations (CoSO) of the Treadway Commission con la redazione del CoSO Report, la Consob decise di pianificare un “Progetto Corporate Governance per l’Italia” costituendo un Comitato “operativo” e non “onorifico” coordinato da Stefano Preda allora Presidente di Borsa Italiana S.p.a. - a cui presero parte illustri appartenenti al sistema bancario, assicurativo e industriale, al mondo delle istituzioni, delle università e delle professioni, ad associazioni degli emittenti e degli investitori. Le finalità del progetto furono quelle di “offrire alle imprese quotate italiane uno strumento capace di rendere ancora più conveniente il loro accesso al mercato dei capitali” e fornire “un modello di organizzazione societaria adeguato a gestire il corretto controllo dei rischi d’impresa e i potenziali conflitti d’interesse, che sempre possono interferire nei rapporti fra amministratori e azionisti, fra maggioranze e minoranze93”. Le esigenze delle aziende italiane convergono con gli obiettivi vitali di efficienza, efficacia, trasparenza e legalità che rappresentano le mete fondamentali dei sistemi di governo delle società in tutti i Paesi a mercato evoluto. Per l’ottenimento di questo risultato globale il progetto si è posto l’obiettivo di un adeguamento del CoSO Report statunitense al contesto italiano e di approfondire il tema dei ruoli, delle responsabilità e dei processi complessi di interrelazione che legano i diversi soggetti interni ed esterni all’impresa (quali ad esempio, azionisti, consiglio di amministrazione, altri stakeholders, organi di controllo e di revisione esterna, Borsa). Il Comitato ha voluto realizzare un Codice allineato con la pratica internazionale, ma rispettoso della specificità italiana, basato sul principio 93 Cfr. Codice di Autodisciplina, 1°edizione, Ottobre 1999. 64 2. Il contesto normativo della libertà di organizzazione del governo d’impresa coniugato con la corretta definizione delle responsabilità in un regime di perfetta trasparenza94, trattandosi di fatto di disposizioni da adottare per un’occasione di sviluppo, in modo facoltativo, quindi non obbligatorie. Il codice di Autodisciplina, dopo aver subito una prima rivisitazione nel Luglio del 2002 dal Comitato per la Corporate Governance delle società quotate, è stato ulteriormente sottoposto ad una profonda revisione conclusasi con la pubblicazione della 3° edizione, nel 2006 che, per quanto ci riguarda, amplia ed arricchisce l’ambito di azione della Funzione di Internal Audit. Il Codice, che pure segue l’ordine degli argomenti della versione del 2002, presenta una struttura sostanzialmente diversa: esso è suddiviso in tre distinte sezioni: “principi”, di carattere generale, “criteri applicativi”, con indicazioni di dettaglio sull’attuazione dei principi; “commenti”, che chiariscono la portata dei principi e dei criteri, anche ricorrendo a diversi esempi opportuni. Alcuni tra i capisaldi e le novità del Codice riguardano95: - la composizione del consiglio di amministrazione. Viene migliorata la definizione della figura di amministratore non esecutivo e quella del suo ruolo; si introduce, inoltre, la figura del cosiddetto lead indipendent director, nel caso di concentrazione delle cariche di presidente e amministratore delegato; - il ruolo del consiglio di amministrazione. In particolare sono introdotte raccomandazioni che limitano il cumulo degli incarichi degli amministratori e intervengono sul self assessment annuale del consiglio sulle attività svolte; 94 Cfr. Codice di Autodisciplina, 1°edizione, Ottobre 1999. Riportiamo brevemente un elenco dei principali fondamenti su cui si basa il Codice di Autodisciplina e le sue novità introdotte con l’ultima rivisitazione del 2006, soffermandoci successivamente sull’art. 8 “Sistema di Controllo Interno” per un’analisi dei principali interventi effettuati dal Comitato per la Corporate Governance in materia di controllo interno. 95 65 2. Il contesto normativo - gli amministratori indipendenti. Viene disciplinata la loro presenza in un numero adeguato all’interno del consiglio di amministrazione. Si afferma inoltre, che nella valutazione di indipendenza prevale la sostanza sulla forma; vengono esemplificati i criteri in base ai quali il cda deve effettuare la valutazione; viene coinvolto il collegio sindacale in funzione di controllo della corretta applicazione dei criteri e sono previste riunioni di soli consiglieri indipendenti; - i Comitati interni al consiglio di amministrazione, (tra cui, Comitato per le nomine, Comitato per le remunerazioni, Comitato per il controllo interno detto anche Audit Committee) Per questi, è prevista una puntuale disciplina in riferimento alla composizione, ai poteri e alle modalità di svolgimento dell’incarico; - il sistema di controllo interno. È stata aggiornata la nozione di sistema di controllo interno in linea con l’evoluzione delle best practice internazionali, puntando ad una migliore definizione di ruoli e rapporti tra i diversi soggetti/organi coinvolti nella definizione, (in particolare tra collegio sindacale e comitato per il controllo interno). In ultima analisi, è prevista una valutazione periodica da parte del consiglio di amministrazione relativamente all’adeguatezza, all’efficacia ed all’effettivo funzionamento del sistema di controllo interno; - il Preposto al controllo interno. Vengono disciplinati i criteri per la sua nomina e la puntuale definizione del ruolo e dei poteri attribuiti. Il Preposto al controllo interno si identifica normalmente con il responsabile della Funzione di Internal Audit; - i rapporti con gli azionisti. 66 2. Il contesto normativo È prevista la promozione di iniziative volte ad agevolare la conoscenza, da parte dell’azionariato, delle informazioni societarie e favorire la partecipazione alle assemblee e l’esercizio dei diritti sociali. Per la sua autorevolezza, il Codice di Autodisciplina è divenuto un vero e proprio modello di riferimento anche per le società non quotate96. La sezione che più ci interessa ai fini di tale trattazione è quella dedicata al “sistema di controllo interno” (art. 8) in cui viene fornita la definizione di sistema di controllo interno. In particolare: “il sistema di controllo interno è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”. Si aggiunge, inoltre, che “un efficace sistema di controllo interno contribuisce a garantire la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti”97. Il consiglio di amministrazione, con l’assistenza del Comitato per il controllo interno, definisce le linee di indirizzo del sistema di controllo interno, attribuisce ad un amministratore esecutivo (di norma uno degli amministratori delegati) il compito di curarne la funzionalità, ne valuta con cadenza almeno annuale l’adeguatezza, l’efficacia e l’effettivo funzionamento, riferendone nella relazione sulla corporate governance. L’amministratore esecutivo identifica i principali rischi aziendali, sovrintende alla funzionalità del sistema di controllo interno, ne cura la sua progettazione, la realizzazione e la gestione, verificandone costantemente l’adeguatezza, l’efficacia, l’efficienza e la rispondenza al mutare degli scenari operativi e di regolamentazione. 96 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 68. 97 Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”. 67 2. Il contesto normativo Il compito del Preposto al controllo interno, che come appena detto si identifica con il responsabile della Funzione di Internal Audit è quello di verificare l’adeguatezza, l’operatività e la funzionalità del sistema di controllo interno, riferendo al Comitato per il controllo interno, detto altrimenti Audit Committee, al collegio sindacale e, se richiesto, all’amministratore esecutivo. La sua nomina, remunerazione e revoca sono decise dal consiglio di amministrazione, sentito il parere del Comitato per il controllo interno. Nell’adempimento dei suoi doveri, il Preposto deve essere dotato di mezzi necessari e avere accesso a tutte le informazioni aziendali utili98. Da qui si comprende che, il nuovo Codice di Autodisciplina richiede all’Internal Audit di esprimersi anche sull’adeguatezza del sistema di controllo interno e di gestione dei rischi nel suo complesso, ovvero con riferimento ad alcuni specifici aspetti. In particolare, il Preposto riferisce “circa le modalità con cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento, ed esprime la propria valutazione sull’idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo”. Il Codice, sottolineando la rilevanza di una corretta gestione dei rischi per il perseguimento degli obiettivi aziendali, collega strettamente il sistema di controllo interno al risk management (ERM)99 a cui abbiamo fatto riferimento nelle pagine precedenti. Per concludere, è opportuno evidenziare che al Preposto non deve essere attribuita la responsabilità di nessuna area operativa e, allo stesso tempo, esso non deve dipendere gerarchicamente da alcun responsabile di aree 98 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 69-70. 99 Cfr. MIRABELLI G. M., “Affrontare la sfida del cambiamento”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 18. 68 2. Il contesto normativo operative, ivi inclusa l’area amministrazione e finanza100, conformemente con i principi di indipendenza e obiettività che qualificano l’attività di internal auditing nella verifica dell’efficacia dei meccanismi di governance implementati. Sulla base di queste considerazioni, appare evidente il ruolo di primo piano che l’Internal Audit può rivestire nella corporate governance, i nuovi requisiti normativi e l’evoluzione del business mettono tale professione di fronte alla necessità di riorientare l’attività verso l’obiettivo chiave di dare un giudizio101 sull’adeguatezza e l’efficacia del sistema di controllo e di gestione dei rischi nel suo complesso102. 100 Cfr Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”. Al di là degli aspetti di natura meramente tecnica connessi all’applicazione degli Standard e delle Guide Interpretative, potrebbe essere utile fornire alcune indicazioni pratiche per affrontare il problema della valutazione del “sistema di controllo interno” complessivo richiesta dal nuovo Codice di Autodisciplina. In particolare è opportuno: a) partire da un assessement generale dei rischi e dei controlli, ovvero esaminare e valutare le informazioni disponibili. Le check list di valutazione del CoSo (Internal Control – Integrated Framework) possono essere un utile riferimento; b) definire i principi generali del sistema di controllo interno (ad esempio calando nella realtà aziendale i modelli di riferimento), portarli all’approvazione del cda e diffonderli all’interno dell’organizzazione; c) definire un piano di audit basato su una valutazione dei principali rischi, sufficientemente flessibile per tenere conto dell’evoluzione del business (nuove attività, nuovi processi); d) stabilire efficaci relazioni con i diversi fornitori di assurance all’interno dell’organizzazione (CFO, risk officer, legale, Organismo di vigilanza ex 231, revisori esterni ecc.) e utilizzarne adeguatamente le informazioni in modo da evitare duplicazioni di attività; e) promuovere lo sviluppo di processi di Control Self Assessment (CSA) all’interno dell’organizzazione, integrati in modo adeguato con i processi di risk management; f) valutare se istituire un sistema di reporting periodico dal management al board sull’adeguatezza del sistema di controllo interno in relazione ai rischi di pertinenza; g) valutare con un “approccio sistemico” tutte le informazioni ricevute e ricavare da esse il giudizio finale; h) presentare al Comitato per il controllo interno (Audit Committee) le informazioni acquisite, in modo da consentire al Comitato stesso di valutarle, di esprimere a sua volta un giudizio e di presentare la relazione di valutazione al Consiglio; in tal modo si crea un “circuito integrato” tra i diversi soggetti che devono esprimere una valutazione senza duplicazioni e inefficienze. Cfr. MIRABELLI G. M., “Affrontare la sfida del cambiamento”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 19-20. 102 È più facile per un consiglio di amministrazione esprimere una positive assurance, ma per evitare che tale dichiarazione assuma i tratti di un’attestazione meramente fiduciaria, è necessario che questi organi ricevano un adeguato supporto informativo. In tale ambito, il contributo dell’Internal Audit può essere molto importante. Cfr. MIRABELLI G. M., “Affrontare la sfida del cambiamento”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 20. 101 69 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo CAPITOLO 3 IL RUOLO DELL’INTERNAL AUDIT E LE RELAZIONI CON GLI ORGANI DI CONTROLLO 1. INTRODUZIONE Alla luce del considerevole impatto delle novità introdotte, diviene lecito porsi alcuni quesiti sul ruolo della Funzione dell’Internal Audit e sulle possibili relazioni e sinergie tra la Funzione stessa e tutti i diversi attori coinvolti nel sistema di corporate governance. Con riguardo al ruolo dell’Internal Audit, va ribadito che la riforma del diritto societario pur trattando tematiche inerenti alle attività di controllo societario, non ha affrontato il ruolo di tale Funzione103. Ciò era prevedibile, visto che, nel contesto italiano, la scelta dell’istituzione dell’Internal Auditing non risulta ancora un obbligo di legge, ma è demandata alla volontà della singola società, pur essendo comunque fortemente consigliata (soprattutto per le società quotate, anche alla luce di quanto prescritto dal Codice di Autodisciplina di Borsa Italiana)104. Riguardo invece al secondo aspetto, ovvero alle relazioni tra la Funzione di Internal Audit e gli altri organi di controllo, la realtà degli emittenti quotati può considerarsi quella con profili di governance maggiormente complessi, anche se per le società non facenti ricorso al mercato del capitale di rischio 103 Cfr. Capitolo 2 “Il contesto normativo”, Par. 6.1 “Il contesto normativo italiano: la normativa societaria”. 104 Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 46. 70 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo sono comunque previsti flussi informativi tra organi di amministrazione e organi di controllo e tra gli stessi organi di controllo (artt.2397 e ss. c.c.). Nel prosieguo della trattazione, per ampiezza di contenuto, svilupperemo la nostra analisi avendo come principale modello di riferimento quello degli emittenti quotati, analizzando i ruoli e le relazioni tra la Funzione di Internal Audit e i principali organi di controllo e di vigilanza (interni ed esterni alla struttura societaria) previsti dall’ordinamento italiano. I soggetti coinvolti nell’ambito della governance aziendale Assemblea dei soci Società di revisione Collegio Sindacale Consiglio di amministrazione Organismo di Vigilanza ex 231/2001 Comitato per il controllo interno Amministratore esecutivo Preposto al controllo interno Dirigente preposto alla redazione dei documenti contabili Staff di Internal Audit 71 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo 2. I RAPPORTI CON IL CONSIGLIO DI AMMINISTRAZIONE Un’attività professionale di internal auditing rappresenta una preziosa fonte di informazioni per il consiglio di amministrazione e i comitati da questo costituiti. Essa infatti, fornisce assurance sull’efficacia dei processi di governance, gestione dei rischi e controllo interno, prendendo in considerazione i rischi strategici, di reputazione, di mercato, creditizi, operativi e finanziari105. I rapporti tra consiglio di amministrazione e Internal Audit possono essere di varia natura e frequenza a seconda, soprattutto, dei momenti di riporto stabiliti dal cda. Il primo momento di contatto tra il cda, o il Comitato per il controllo interno ove costituito, e la Funzione di Internal Audit assume particolare importanza poiché attiene alla definizione del ruolo e degli obiettivi che la Funzione stessa deve assolvere. Il ruolo dell’Internal Audit viene formalizzato in un apposito Mandato106, l’Internal Audit Charter, approvato dal cda, all’interno del quale devono essere riportate107: 105 Cfr. ECIIA, Position Paper “L’Internal Auditing in Europa”, Ottobre 2005, pag. 29. L’importanza attribuita al Mandato è notevole, in quanto esso assolve a due funzioni sostanziali (vedi Standard IIA 1000 Finalità, autorità e responsabilità.): 1. stabilisce gli obiettivi strategici della funzione e, pertanto, le aspettative del vertice aziendale nei confronti dell’Internal Auditing; 2. delinea gli elementi essenziali dell’attività in termini di finalità, autorità, responsabilità e natura dei servizi di consulenza e di assurance. In particolare lo scopo del Mandato è quello di: a) garantire l’indipendenza e l’autonomia della Funzione di Internal Auditing ai fini della propria obiettività; b) garantire il libero accesso alle informazioni necessarie per il pieno svolgimento delle attività di audit; c) delineare l’ampiezza dell’attività di internal auditing. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 216. 107 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 218. 106 72 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo - le finalità, quali ad esempio, promuovere il continuo miglioramento del sistema complessivo di risk management e di controllo interno attraverso la valutazione della sua funzionalità, la verifica della regolarità delle attività operative e l’andamento dei rischi, al fine di portare all’attenzione del vertice, dell’alta direzione e del management i possibili miglioramenti alle politiche, alle procedure di gestione dei rischi e ai mezzi di monitoraggio e di controllo; - l’autorità, formalizzando il fatto che i soggetti addetti all’attività di internal auditing hanno libero accesso a tutti i documenti, persone, attività, operazioni, archivi e beni aziendali necessari per lo svolgimento delle loro operazioni, senza restrizione alcuna. Questo significa che il libero accesso può riguardare le funzioni operative, le norme e le procedure aziendali, i libri contabili e le relative evidenze di supporto, i dati gestionali e altri tipi di dati, i locali e le persone attraverso interviste e questionari. Infine, è importante che il Mandato indichi con chiarezza la collocazione organizzativa, funzionale e gerarchica dell’attività, nonchè la possibilità per il responsabile dell’Internal Audit di avere libero accesso e comunicazione con un organo prestabilito dal vertice (ad esempio consiglio di amministrazione o il Comitato per il controllo interno) a cui deve riportare almeno annualmente i risultati delle attività di audit; - la responsabilità dell’attività, la quale si concretizza nella programmazione degli interventi e nella predisposizione di un piano di audit108. Il Mandato dovrà indicare inoltre l’organo a cui tale piano viene sottoposto per approvazione (se presente, il Comitato per il controllo interno). 108 È prassi, comunque, prevedere la possibilità di svolgere incarichi non previsti originariamente dal piano di audit, in base alle criticità che possono emergere di volta in volta e/o alle richieste specifiche del vertice aziendale o dell’alta direzione. 73 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo Il rapporto che deve istaurarsi tra l’Internal Audit e il cda è fondamentale ai fini dello svolgimento dell’attività stessa, infatti, il supporto del vertice aziendale (tone at the top) favorisce la collaborazione delle funzioni soggette ad audit consentendo l’espletamento dell’incarico senza interferenze. Pertanto, se da un lato i Preposti al controllo interno e gli internal auditor non dipendono gerarchicamente da alcun responsabile di aree operative e riferiscono del loro operato agli amministratori delegati o al Comitato per il controllo interno, dall’altro è auspicabile che essi godano del pieno appoggio del cda, al fine di favorire una cultura del controllo nel tessuto aziendale e di valorizzare e responsabilizzare l’operato della Funzione stessa. La frequenza con cui il responsabile della Funzione deve riferire del proprio operato al consiglio di amministrazione non è espressamente definita da fonti normative, ma comunque è condiviso il principio che l’informazione al cda debba essere tale da garantire un intervento tempestivo da parte dello stesso. Questo lascia intendere che, oltre ad un informativa periodica e sistematica (stabilita in via preventiva) è essenziale un’informativa di natura episodica atta ad informare il cda di eventuali accadimenti per i quali potrebbe rendersi necessaria una repentina azione correttiva e/o migliorativa109. 109 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 88. Gli Standard IIA riportano che il responsabile della funzione di Internal Audit dovrebbe, almeno ogni anno: a) sottoporre al vertice aziendale per approvazione e al cda, per conoscenza, una sintesi del programma di internal auditing, il piano delle risorse e il budget di spesa; b) comunicare successivamente, per conoscenza e approvazione, tutte le variazioni di un certo rilievo apportate al programma, al piano o al budget; c) presentare un rapporto sull’attività svolta. 74 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo 3. I RAPPORTI CON IL COMITATO PER IL CONTROLLO INTERNO (AUDIT COMMITTEE) Nei modelli di governance in linea con le best practice, la responsabilità del sistema di controllo interno viene affidata al consiglio di amministrazione, che deve fissarne le linee di indirizzo e verificarne periodicamente l’adeguatezza e l’effettivo funzionamento, assicurando altresì che i principali rischi aziendali siano identificati, misurati, gestiti e monitorati correttamente110. Non sempre però, la scelta di instaurare un rapporto di dipendenza funzionale diretta dell’Internal Audit dal cda risulta in linea con le logiche che dovrebbero guidare questa Funzione nella sua operatività111. Il Comitato per il controllo interno, se costituito, rappresenta il principale punto di collegamento tra la Funzione di Internal Audit e il consiglio di amministrazione: questo secondo il presupposto che, nelle strutture complesse e maggiormente articolate, la costituzione di un “filtro”112 tra l’Internal Audit e il cda possa garantire maggiore trasparenza informativa e chiarezza sulle problematiche riscontrate e le aree di miglioramento individuate dagli internal auditor. Quindi, da un lato, tale Comitato è il referente diretto dell’intera Funzione di Internal Audit, dall’altro esso si configura come l’organo deputato a 110 Cfr.. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 89. 112 Le norme di corporate governance prevedono che il cda, responsabile dell’andamento della gestione verso gli azionisti e gli altri interlocutori aziendali, si organizzi in modo tale da autoregolare il proprio comportamento e sia al contempo responsabile del sistema dei controlli posti in essere. Ecco, quindi, come, nell’esercizio delle funzioni in cui l’interesse personale e quello della società possono maggiormente configgere, (per esempio, prendere decisioni riguardanti le nomine o le remunerazioni), il board è chiamato a delineare un processo di delega di funzioni a sottogruppi di amministratori, riuniti in comitati, particolarmente qualificati, spesso sotto il profilo dell’indipendenza a garanzia di un comportamento “fair” nei riguardi degli stakeholders aziendali. Tra questi assume un ruolo rilevante il Comitato per il controllo interno incaricato di un compito primario del cda: il controllo, a bilanciamento delle responsabilità su di esso gravanti. Cfr. MILANI F., “Il Comitato per il controllo interno nella corporate governance”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2006 p. 20. 111 75 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo relazionarsi al cda in merito all’operato della Funzione e alle criticità emerse113. Il Preposto al controllo interno riconosce nel Comitato per il controllo interno l’organo deputato a ricevere e valutare l’operato del team di revisione interna attraverso i rapporti da questo emessi, assicurandone successivamente un’adeguata informativa in seno al consiglio di amministrazione114. Il Codice di Autodisciplina di Borsa Italiana richiede, a garanzia dell’imparzialità del suo operato, che il Comitato per il controllo interno sia composto esclusivamente da amministratori non esecutivi, in maggioranza indipendenti115, tendendo verso i dettami internazionali, che prevedono, tanto nell’UK, quanto negli USA, il requisito in oggetto per tutti i suoi membri. Questi ultimi devono possedere le competenze necessarie per valutare i controlli finanziari e gestionali, oltre alla capacità, l’esperienza e la volontà di agire per il bene dell’organizzazione e dei suoi stakeholders116. 113 Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”. Il Comitato per il controllo interno: a) valuta, con il dirigente preposto alla redazione dei documenti contabili ed ai revisori, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità alla redazione del bilancio consolidato; b) su richiesta dell’amministratore esecutivo, esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali nonché alla progettazione, realizzazione e gestione del sistema di controllo interno; c) esamina il piano di lavoro preparato dai preposti al controllo interno; d) valuta le proposte formulate dalla società di revisione per ottenere l’affidamento dell’incarico, nonché il piano di lavoro predisposto per la revisione ed i risultati esposti nella relazione e nella lettera di suggerimenti; e) vigila sull’efficacia del processo di revisione contabile; f) per ultimo riferisce al cda almeno semestralmente, sull’attività svolta, nonché sull’adeguatezza del sistema di controllo interno. 114 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 90. 115 Se l’emittente è controllato da altra società quotata, il Comitato per il controllo interno è composto esclusivamente da amministratori indipendenti. 116 In un percorso di avvicinamento agli standard internazionali, il Codice di Autodisciplina del 2006 innova il testo del 2002 richiedendo, quanto a qualificazione professionale del Comitato, che almeno un membro presenti adeguata esperienza in materia contabile e finanziaria. Il Code inglese richiede che almeno uno di essi sia dotato di rilevanti, recenti e significative esperienze in campo contabile e accreditato dall’appartenenza ad uno dei Professional Accountancy Bodies. In linea la regolamentazione statunitense, dispone che tutti i componenti siano “financially literate” e che vi sia almeno un esperto in materia di accounting o financial management. 76 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo Il cda, quindi, riconosce al suo interno l’Audit Committee come l’organo deputato a veicolare sulla Funzione di Internal Audit le esigenze e gli obiettivi fissati, tenendo presenti la struttura di audit, l’ambiente di controllo, la cultura del controllo e, non da ultimo, le priorità di azione stabilite in consiglio117. Il Codice di Autodisciplina dispone, inoltre, che il Preposto al controllo interno riferisca al Comitato per il controllo interno, così come anche al collegio sindacale e, se previsto, all’amministratore esecutivo, in merito alla propria valutazione sull’idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo. Al fine di garantire una relazione efficace tra il Comitato per il controllo interno e l’Internal Auditing, è evidente che tra i due organi devono sussistere contatti frequenti in modo tale da rendere sufficientemente chiare le finalità e le esigenze delle attività di auditing svolte dalla Funzione ed attese dai vertici aziendali. È importante, pertanto, per una corretta valorizzazione del lavoro che il ruolo della Funzione di Internal Audit sia compreso con chiarezza dal Comitato e dal cda e che il Comitato abbia trasmesso a sua volta con altrettanta chiarezza le aspettative e le priorità che il vertice aziendale ha individuato. Risulta di fondamentale importanza delineare le modalità di cooperazione tra i diversi organi di controllo ricompresi nel sistema di control governance, al fine di non compromettere l’efficienza e l’efficacia dell’attività svolta, evitando perciò pericolose sovrapposizioni di ruoli e non chiarezza di responsabilità sui controlli da effettuare118. 117 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 90. 118 Cfr. DE ROSA S., “Riforma Vietti: sistemi di governance a confronto”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Set-Dic 2005 p. 47. 77 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo Affinché il Comitato per il controllo interno e l’attività di internal auditing riescano a realizzare il potenziale che permetta loro di sostenersi a vicenda, devono essere presenti alcuni fattori. In primo luogo il Mandato del Comitato e quello dell’Internal Auditing devono essere complementari. In secondo luogo, il responsabile della Funzione deve poter avere un contatto diretto con il presidente del Comitato. Tali contatti devono essere regolari per riuscire a sviluppare un rapporto di reciproca fiducia. Inoltre, il Preposto al controllo interno deve partecipare alle riunioni del Comitato per discutere questioni quali il Mandato dell’internal auditing, la revisione del piano di audit, rilievi significativi emersi durante lo svolgimento dell’attività di revisione interna e andamento del follow-up delle raccomandazioni119. Occorre precisare che, pur avendo una propria specifica connotazione per ruolo (ispirato prevalentemente ad attività di controllo e supervisione) e per composizione (esso, infatti, si costituisce di amministratori non esecutivi, in maggioranza indipendenti), il Comitato è pur sempre un organo costituito, all’interno del consiglio di amministrazione, da amministratori che partecipano fattivamente alle scelte aziendali e che condividono con gli altri amministratori le linee strategiche dell’impresa120. Indipendentemente da Codice di autoregolamentazione, che fa riferimento alle società quotate, la costituzione di un Comitato per il controllo interno nel sistema di governo delle imprese italiane rappresenterebbe, anche per le aziende non quotate, un forte catalizzatore a disposizione del consiglio di amministrazione per salvaguardare gli interessi dell’azionista e rafforzare la natura del controllo interno, l’immagine dell’azienda nei confronti del mercato, nonché quella della Funzione di Internal Auditing con l’obiettivo di valorizzarne l’attività all’interno dell’organizzazione. 119 Cfr. ECIIA, Position Paper “L’Internal Auditing in Europa”, ottobre 2005, pag. 29. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 91. 120 78 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo 4. I RAPPORTI CON IL COLLEGIO SINDACALE, IL CONSIGLIO DI SORVEGLIANZA O IL COMITATO PER IL CONTROLLO SULLA GESTIONE Con la riforma del TUF, e successivamente con quella del diritto societario, sono stati profondamente rivisti i compiti e le responsabilità del collegio sindacale, inizialmente nelle società quotate e in seguito anche nelle società per azioni non facenti ricorso al mercato del capitale di rischio. Tali riforme, pur se a distanza di anni, si sono ispirate ad una ricerca di meccanismi e procedure di coordinamento tra i vari soggetti (esosocietari ed endosocietari) che partecipano al sistema di controllo121. Le funzioni affidate al collegio sindacale sono state oggetto di attenzione anche da parte degli organi di vigilanza (CONSOB, Banca d’Italia, ISVAP) e delle associazioni di categoria (tra cui il Consiglio Nazionale dei Dottori Commercialisti – CNDC, l’Associazione tra le società italiane per azioni – Assonime e l’Associazione italiana revisori contabili – Assirevi) nel tentativo di fornire dettagli relativamente alla sua attività e coordinarne l’operatività con gli altri organi deputati a svolgere attività di controllo al fine di evitare duplicazioni e/o sovrapposizione di funzioni. Con l’entrata in vigore del D. Lgs. 58/1998 (TUF), i compiti di controllo contabile per le società quotate sono stati interamente attribuiti alle società di revisione esterne nominate dall’assemblea dei soci, pertanto, il collegio sindacale è stato sollevato, con l’entrata in vigore della riforma, della funzione di controllo contabile indirizzando la sua attività verso un controllo di merito su fatti amministrativi e gestionali122. Per quanto riguarda i rapporti tra collegio sindacale e la Funzione di Internal Audit è soprattutto nella sfera degli emittenti quotati, in particolare all’art. 150 del TUF e nello stesso Codice di Autodisciplina, che si possono 121 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 92. 122 Le stesse considerazioni possono essere fatte analogamente per il Consiglio di sorveglianza del modello dualistico, e per il Comitato per il controllo sulla gestione del modello monistico. 79 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo trovare riferimenti ad un sistema informativo che prevede per i soggetti preposti al controllo interno il dovere di riferire (di loro iniziativa o su richiesta anche di uno solo dei sindaci o dei membri del Consiglio di sorveglianza o del Comitato per il controllo sulla gestione) su tutte le informazioni necessarie all’adempimento delle funzioni di tali organi di controllo. Infatti, al 4° c. dell’art 150, il TUF dispone che coloro che sono preposti al controllo interno hanno il compito di riferire all’organo di controllo (quindi collegio sindacale, Consiglio di sorveglianza, Comitato per il controllo sulla gestione) di propria iniziativa o su richiesta anche di un solo membro di quest’ultimo. All’art. 149123 del TUF, inoltre, è previsto che il collegio sindacale e il consiglio di sorveglianza devono vigilare anche sull’adeguatezza del sistema di controllo interno124. Il responsabile della Funzione di Internal Auditing diventa quindi una fonte di informazioni privilegiata circa il corretto funzionamento del sistema di controllo interno e, al tal proposito, il Codice di Autodisciplina125 stabilisce che il collegio sindacale possa richiedere al Preposto al controllo interno lo svolgimento di verifiche su specifiche aree operative o operazioni aziendali. Specularmente, i sindaci e i membri degli organi di controllo vengono ad essere i principali destinatari dell’attività svolta dalla Funzione di Internal Auditing. Ad essi il Preposto al controllo interno deve riferire in merito ai 123 Il disegno normativo italiano di corporate governance ed in particolare l’art 149 del TUF attribuisce al collegio sindacale le seguenti categorie di funzioni: - vigilanza sull’osservanza della legge e dell’atto costitutivo; - vigilanza sul rispetto dei principi di corretta amministrazione; - vigilanza sull’adeguatezza dell’assetto organizzativo societario, del sistema di controllo interno e del sistema amministrativo-contabile, nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione; - vigilanza sulla corretta attuazione delle regole di governo societario previste dai Codici di autodisciplina; - vigilanza sull’adeguatezza delle disposizioni impartite dalla società alle controllate (ai sensi del art.114, 2° c. del TUF), che impone a queste ultime di fornire alla controllante le notizie necessarie per le comunicazioni al pubblico. 124 Una previsione analoga per il Comitato per il controllo sulla gestione è inserita nel Codice civile (art. 2409-octiesdecies), in riferimento ai doveri spettanti a tale organo. 125 Cfr. Codice di Autodisciplina di Borsa Italiana (2006), art. 8 “Sistema di controllo interno”. 80 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo compiti assegnati alla Funzione (in base al piano di audit preventivato), così come su alcune problematiche specifiche per le quali il management o l’organo di controllo abbiano ravvisato l’opportunità di avviare un’attività di audit straordinaria. La legge non precisa, in termini di contenuto e modalità, in quale modo il responsabile della Funzione debba relazionare l’attività svolta, limitandosi ad indicare che tale attività può derivare da una richiesta diretta da parte degli organi di controllo (o anche da uno solo dei membri), oppure su iniziativa dello stesso responsabile. È opportuno mettere in evidenza quanto sia determinante la tempestività con cui viene resa al collegio sindacale l’informativa sugli esiti dell’attività svolta dalla Funzione di Internal Auditing, in considerazione della possibilità di intraprendere urgenti azioni correttive. È ovvio che il responsabile di tale Funzione, in virtù della particolare posizione ricoperta all’interno della struttura organizzativa, si trova nella condizione di fornire all’organo di controllo un’informativa completa e priva di eventuali filtri o condizionamenti; elementi, questi, che rischiano invece di trovare una “potenziale” riserva in un’informativa fornita dai responsabili di Funzione o da personale operativo126. Il Consiglio Nazionale dei Dottori Commercialisti ha puntualizzato che il collegio sindacale dovrebbe, almeno con cadenza trimestrale, tenere una riunione con il responsabile della Funzione di Internal Auditing127; incontri con una tale cadenza temporale attestano l’esigenza di fissare quei necessari scambi informativi atti a rendere edotti il collegio sindacale e il Preposto al controllo interno sull’attività svolta, le problematiche emerse e le azioni da intraprendere. 126 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 95. 127 Cfr. Principi di comportamento del collegio sindacale nelle società di capitali con azioni quotate nei mercati regolamentati, Ottobre 2000. 81 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo Gli incontri tra i due organi aziendali dovrebbero avere ad oggetto lo scambio di informazione utili per128: - l’emergere di rischi (o aree di criticità) potenziali o effettivi; - il rilevamento di violazioni di leggi, atti costitutivi o statuti e norme interne; - la comparsa di fatti censurabili; - la valutazione del generale assetto del sistema di controllo interno; - la determinazione dei requisiti di professionalità e indipendenza necessari allo svolgimento degli incarichi di audit. Inoltre, in tali incontri, è auspicabile che sia: - illustrato il piano di audit; - presentata la sintesi dei lavori più significativi; - fornita indicazione sul grado di miglioramento del sistema di controllo interno. Tutto ciò per far sì che l’organo di controllo abbia una corretta visione e percezione dell’attività svolta dalla Funzione di Internal Auditing e sia in grado di potersi esprimere sulla sua efficacia ed efficienza e di consigliare l’alta direzione su eventuali rafforzamenti di cui la Funzione potrebbe necessitare. 128 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 96. 82 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo 5. I RAPPORTI CON IL REVISORE ESTERNO O LA SOCIETÀ DI REVISIONE Gli internal auditor e i revisori esterni hanno ambiti di responsabilità diversi. Al revisore contabile, così come alla società di revisione, è assegnato il compito di dichiarare, attraverso un parere (opinion) sul bilancio sottoposto a revisione, se i fatti di gestione sono correttamente rilevati nelle scritture contabili, se il bilancio corrisponde alle risultanze di tali scritture e se esso risulta conforme alle norme che ne disciplinano la redazione129. Tuttavia, per adempiere a tale obbligo, devono poter avere buona comprensione dei controlli finanziari interni che sottendono la redazione del bilancio. A tal riguardo, le attività di revisione dei conti e di internal auditing sono complementari e sinergiche. Negli ultimi anni, l’attività di controllo contabile è stata oggetto di grande attenzione da parte del legislatore italiano e di enti regolatori a livello nazionale (fra tutti CONSOB), comunitario ed internazionale (in particolare, IFAC, SEC), soprattutto sulla scia dei diversi scandali finanziari e sotto l’impulso di rendere la revisione contabile come una funzione istituzionale a presidio e tutela degli interessi di terzi130. A seguito della riforma del diritto societario, si sono ampliate le categorie di soggetti sottoposti a revisione contabile, ovvero, tutte le società per azioni devono avere un revisore esterno che eserciti la funzione di controllo contabile, con l’eccezione di quanto previsto dalla deroga statutaria di cui all’art. 2409 bis, 3°comma, c.c. Anche le modalità operative dell’attività di revisione contabile sono state riformulate con l’estensione di un controllo trimestrale della contabilità a 129 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 96. 130 La legge 262/2005 sulla tutela del risparmio, ha provveduto alla modifica degli artt. del TUF concernenti il conferimento e la revoca dell’incarico di revisione contabile e le cause di incompatibilità. 83 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo tutte le società per azioni quotate e agli intermediari finanziari e la raccomandazione relativa all’adozione dei nuovi principi di revisione IAS. Indipendentemente dal soggetto incaricato del controllo contabile131 (società di revisione o revisore esterno), è opportuno evidenziare la diversa natura di tale attività rispetto a quella svolta dalla Funzione di Internal Auditing. Infatti, quest’ultima deve orientare la propria attività verso l’intero sistema dei controlli aziendali sulla base delle richieste dell’alta direzione, concentrandosi, in particolare, sulla prevenzione e sull’architettura di salvaguardia, piuttosto che sulla verifica a posteriori degli accadimenti e delle operazioni effettuate132; il revisore contabile, invece, focalizza la propria attenzione sugli aspetti funzionali alla redazione del bilancio e alla loro corretta gestione. Tuttavia, per quanto riguarda le tecniche di analisi utilizzate e la modalità di svolgimento del lavoro (gestione del lavoro, tecniche di campionamento, check list, test di verifica, analisi di processo, ecc.) si presentano numerose analogie, tanto che, molto spesso, i due organi si trovano a condividere informazioni e coordinare assieme le proprie attività affinché non vi sia uno spreco di energie. Particolari tipologie di audit, fra tutte l’audit contabile, svolto dall’Internal Auditing, sono spesso di notevole ausilio per il lavoro del revisore esterno ai fini dello svolgimento dell’incarico di revisione del bilancio e le due parti si scambiano informazioni in merito all’ambito di copertura, all’impostazione e ai rilievi di audit. Alcuni dei metodi di lavoro e analisi utilizzati dall’Internal Auditing possono rivelarsi utili anche per il revisore esterno nel definire la natura, la tempistica e l’ampiezza delle procedure di revisione da svolgere. Infatti, generalmente, il revisore esterno, in fase di pianificazione, procede ad una 131 Si ricorda che per tutti gli emittenti quotati e gli intermediari finanziari l’attività di revisione contabile deve essere esercitata esclusivamente da una società di revisione iscritta all’Albo CONSOB. 132 Cfr. G. C. Grossi, “Internal Auditing. L’inizio di una nuova avventura.” Milano, AIIA, 2002, pag. 19. 84 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo valutazione del lavoro svolto dall’Internal Audit considerandone l’organizzazione, gli obiettivi, la competenza tecnica della Funzione e la diligenza professionale con la quale sono stati effettuati i lavori di audit. Occorre precisare che, la responsabilità sulla supervisione del lavoro svolto dal revisore esterno rimane un compito del consiglio di amministrazione133, mentre, per quanto riguarda il coordinamento operativo delle attività, questo rientra nelle competenze del responsabile dell’Internal Auditing e del revisore esterno. Lo svolgimento di alcuni incarichi per conto del revisore esterno e, più in generale, l’assistenza fornita dall’Internal Auditing al revisore stesso sono, comunque, aspetti ai quali si deve prestare la massima attenzione in quanto potenzialmente rischiosi134. Infatti, l’espressione di un giudizio professionale sul bilancio d’esercizio e consolidato è di esclusiva responsabilità del revisore contabile esterno. Quest’ultimo, quindi, deve svolgere il proprio incarico con la diligenza e la professionalità richieste dalla natura dell’attività ed è responsabile dell’intera “opinion” fornita, così come di tutte le evidenze che hanno fatto maturare il suo giudizio. Anche se il lavoro dell’Internal Auditing può rivelarsi particolarmente utile, esso rimane unicamente responsabile del 133 L’alta direzione, nell’esercizio delle proprie funzioni di supervisione, potrebbe richiedere al Preposto al controllo interno una valutazione del lavoro svolto dai revisori esterni. Tale valutazione deve fondarsi su adeguate evidenze sostanziali, relative a elementi di qualificazione dell’esperienza e della competenza professionale del revisore, dei profili di indipendenza e dello svolgimento delle attività secondo corretti principi etici. Concretamente potrebbero essere oggetto di valutazione: - la proattività e la rispondenza rispetto ai bisogni dell’organizzazione; - la ragionevole continuità nell’utilizzo di personale chiave per lo svolgimento dell’incarico; - il mantenimento di appropriati rapporti di lavoro; - il rispetto degli impegni contrattuali. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 100. 134 Il Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna” sottolinea che la funzione di revisione interna è parte integrante della società pertanto, qualunque sia il grado di autonomia ed obiettività di tale funzione, essa non potrà mai raggiungere lo stesso grado di indipendenza richiesto al revisore esterno nell’espressione del proprio giudizio sul bilancio. 85 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo giudizio espresso, della scelta delle procedure da svolgere, delle tempistiche di audit, dell’estensione dell’analisi135. Se il lavoro svolto dalla Funzione di Internal Auditing risulta efficace, questo potrebbe influire nella scelta della natura e nella tempistica delle procedure di revisione (in particolare, quando tale lavoro si concentra su alcune aree di pertinenza della revisione di bilancio) e consentire una riduzione dell’ampiezza delle verifiche svolte dal revisore esterno136. Ai fini di un’efficace collaborazione tra i due soggetti è indispensabile la definizione di specifici aspetti del lavoro, fra cui137: - l’ampiezza dell’attività (i rispettivi programmi di audit devono essere discussi in modo tale da garantire il coordinamento e la minimizzazione delle duplicazioni; - le tempistiche; - il livello di dettaglio delle verifiche da svolgere; - la gestione delle carte di lavoro e il rispettivo accesso e utilizzo; - le modalità di controllo ed emissione dei rapporti sull’attività svolta; - lo scambio di rapporti di audit e management letter138. 135 Cfr. Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna” Le verifiche svolte dal revisore esterno, non possono, tuttavia, essere eliminate totalmente. In alcuni casi, il revisore esterno, dopo aver valutato le attività svolte dalla funzione di revisione interna, può addirittura decidere che quest’ultima non abbia alcuna rilevanza sulle procedure di revisione da svolgere (Principio di revisione n. 610 “L’utilizzo del lavoro di revisione interna”). 137 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 99-100. 138 Lettera fornita con cadenza almeno annuale da parte del revisore esterno riguardante le osservazioni, emerse nel corso dell’incarico, sul sistema di controllo interno. 136 86 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo 6. I RAPPORTI CON L’ORGANISMO DI VIGILANZA IN MATERIA DI D. LGS. 231/2001 Come già visto precedentemente, con il D. Lgs. 231/2001139 è stata introdotta nell’ordinamento giuridico nazionale la responsabilità, nominalmente amministrativa, ma di fatto penale, degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito140. L’ampliamento di tale responsabilità punta ad estendere la sanzione di taluni illeciti penali al patrimonio delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, coinvolgendo quindi gli interessi economici dei soci che, fino all’entrata in vigore del decreto, non subivano le conseguenze di tutte le azioni illecite commesse da amministratori e/o dipendenti, anche se perpetrate a vantaggio della società stessa141. Tale decreto risponde all’esigenza di porre sempre più attenzione verso il controllo della regolarità e della legalità dell’operato sociale da parte dei soggetti che partecipano alle vicende patrimoniali dell’ente, in virtù dell’incremento dei profili di rischio dell’operatività aziendale. L’art. 6 del D. Lgs. 231/2001, prevede quale causa di esonero dalla responsabilità dell’ente circa l’illecito compiuto, l’adozione e l’efficace 139 D. Lgs 8 giugno 2001, n. 231, “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell’art 11 della legge 29 settembre 2000, n. 300”. 140 Come sostenuto da più parti, la responsabilità di natura amministrativa è solo formale, poiché, di fatto si sostanzia in una vera e propria responsabilità penale, tenuto conto che l’accertamento degli illeciti amministrativi della società è rimesso allo stesso giudice penale (chiamato a conoscere i reati dai quali gli illeciti dipendono), che procede secondo le regole proprie del processo penale. Cfr. AIIA, Position Paper “D. Lgs. 231/2001. Responsabilità amministrativa delle società: modelli organizzativi di prevenzione e controllo”. 141 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 101. 87 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo funzionamento di un modello di organizzazione e di gestione idoneo a prevenire illeciti penali142. Il modello ipotizzato poggia su un processo di costruzione che si articola nella preliminare identificazione dei rischi (attraverso una mappatura degli ambiti aziendali di un’attività e un’analisi circa i rischi potenziali che ne possono derivare in ambito del D. Lgs. 231/2001) e nella successiva progettazione dei sistemi di controllo, da effettuare attraverso un preciso disegno di procedure di controllo interno o, come dichiara lo stesso decreto, attraverso “specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”. Elementi costitutivi del modello organizzativo, cosiddetto “salvaimpresa”, sono143: - un Codice Etico atto a diffondere all’interno dell’azienda una cultura del controllo in grado di sensibilizzare i destinatari circa i reati richiamati dal decreto; - la mappatura delle aree di attività a rischio dell’azienda; - un sistema organizzativo dove vengano gestite le attribuzioni di responsabilità, la definizione di chiare linee di dipendenza gerarchica e altrettanto chiare descrizioni dei compiti; - un insieme di procedure manuali e informatiche che regolino lo svolgimento delle attività con l’inserimento di diversi punti di controllo (fra cui, separazione dei compiti – segregation of duties, tracciatura di operazioni sensibili, ecc.); - un efficace sistema sanzionatorio aziendale; 142 Il decreto prevede l’adozione facoltativa del modello di organizzazione, gestione e controllo. La mancata adozione non è soggetta evidentemente a sanzione, ma determina l’esposizione dell’ente alla responsabilità per gli illeciti realizzati da amministratori e dipendenti. L’adozione del modello, nonostante sia facoltativa, è l’unica soluzione che consente di esonerare l’ente in caso di reati commessi nel suo interesse o a suo vantaggio da persone con funzioni di amministrazione, rappresentanza o direzione o da loro dipendenti (art. 5, D. Lgs. 231/2001). 143 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 101-102. 88 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo - un corretto sistema di attribuzione dei potei autorizzativi e di responsabilità; - sistemi di comunicazione e di formazione del personale; - un sistema che consenta all’impresa, grazie a un’azione di monitoraggio sulle aree di diverse attività a rischio, di intervenire tempestivamente per prevenire o contrastare la commissione dei reati. Il decreto, per assicurare in via continuativa il corretto funzionamento del modello organizzativo, ha previsto l’istituzione di un organismo interno all’ente, dotato di autonomi poteri di iniziativa e di controllo, che vigili sull’adeguatezza del modello in termini di mantenimento nel tempo dei requisiti di solidità e funzionalità, curandone gli opportuni aggiustamenti ed implementazioni. In conclusione, tale organo deve garantire un’azione professionalmente qualificata (poiché ci troviamo di fronte ad una serie di attività specialistiche che richiedono tecniche e metodologie specifiche), continuativa ed indipendente (escludendo quindi organismi quali il consiglio di amministrazione e gli amministratori senza deleghe). Le linee guida fornite dalle associazioni di categoria144 e l’applicazione pratica del decreto hanno condotto gli operatori aziendali ad accostare (anche se, non ad identificare) l’Organismo di vigilanza ex 231/2001 alla figura del Preposto al controllo interno in quanto soggetto ritenuto (più di altri) rispondente alle caratteristiche previste per tale organismo145. Infatti, come già accennato in precedenza la Funzione di Internal Auditing appare più di altre quella che dal punto di vista deontologico ed istituzionale presenta i requisiti di indipendenza e autonomia prescritti dalla normativa. In aggiunta, la Funzione di Internal Auditing presenta una 144 Fra tutte si sottolineano quelle per la costruzione dei modelli di organizzazione, gestione e controllo ex D. Lgs. 231/2001 di Confindustria. 145 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 102. 89 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo collocazione all’interno della struttura organizzativa particolarmente favorevole a fungere da referente diretto del consiglio di amministrazione (o di un comitato interno a questo, tipicamente il Comitato per il controllo interno), cui spetta comunque il compito di una più generale supervisione e gestione dell’assetto organizzativo e dei sistemi di controllo. È opportuno, comunque, precisare che l’ente è assolutamente libero di scegliere la composizione dell’Organo di vigilanza ex 231/2001. Esso può identificarsi con il Comitato per il controllo interno oppure, (e questo è quanto si rileva nel corso di questi anni dalle maggiori aziende), in un organismo specifico appositamente creato, spesso in forma collegiale, costituito da soggetti appartenenti all’ente (fra cui il responsabile della Funzione di Internal Auditing, il responsabile della Funzione legale, amministratori indipendenti, sindaci o membri del Consiglio di sorveglianza o del Comitato per il controllo sulla gestione) e in alcuni casi soggetti esterni, quali consulenti esperti in materia. La Funzione di Internal Auditing si configura come il braccio operativo dell’organismo di vigilanza e molto spesso, collabora nella realizzazione di un piano di analisi e verifiche di audit, approvato su delibera dello stesso Organismo ex 231/2001, con lo scopo di valutare l’efficacia del sistema di controllo a presidio di processi e aree aziendali “delicate”. I risultati di tali analisi potrebbero fornire utili suggerimenti sull’adeguatezza e sulle funzionalità delle procedure in atto in termini di presidio volto a prevenire la commissione dei reati ai sensi del D. Lgs. 231/2001 e all’individuazione di aree di rischio su cui porre attenzione. Infine, la Funzione di Internal Auditing potrebbe essere indicata per la promozione di attività di sensibilizzazione nei confronti di tutto il personale ed in particolare delle funzioni maggiormente esposte a rischio di reato ex 231/2001. Essa, infatti, potrebbe contribuire in tale attività anche in collaborazione con altre funzioni, quali ad esempio, quella legale oppure con il supporto di consulenti esterni. 90 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo 7. I RAPPORTI CON IL DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI SOCIETARI Abbiamo visto nei paragrafi precedenti che, tra le novità introdotte dalla legge 262/2005146, si annovera l’istituzione della figura del dirigente preposto alla redazione dei documenti contabili e societari. Le sue funzioni si manifestano agli stakeholders aziendali nel momento della relazione annuale al bilancio e nelle dichiarazioni periodiche in occasione del rilascio di informazioni economico, finanziarie e patrimoniali, ma di fatto queste ultime sono il risultato di un’intensa attività interna di predisposizione, attuazione ed attestazione di adeguatezza del sistema procedurale riferito all’impianto amministrativo-contabile aziendale. Sono interessanti la natura e la misura degli “adeguati poteri e mezzi” che la normativa prevede che siano conferiti al dirigente preposto per consentirgli il pieno assolvimento dei suoi compiti. A tal riguardo è evidente come possano generarsi sovrapposizioni o conflitti di competenze nella gestione di sistemi di controllo/verifica/audit nel momento in cui tali funzioni, che vanno oltre i controlli di linea e di monitoraggio, fossero alle dirette dipendenze del dirigente preposto. Ciò, infatti, costituirebbe non solo una diseconomia nella gestione aziendale, ma anche il presupposto per il generarsi di carenze di controllo in aree in cui si verificassero conflittualità tra sistemi concomitanti. Traendo insegnamento anche dall’esperienza statunitense in materia di Sarbanes-Oxley Act, che precede temporalmente la legge 262/2005 e presenta alcuni aspetti in comune con i suoi articoli qui trattati, è importante notare come le caratteristiche di autonomia e di indipendenza dell’Internal Auditing consentano a tale Funzione di contribuire a costituire basi 146 Legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”, artt. 14, 15 e 30; D. Lgs. 303/2006. 91 3. Il ruolo dell’Internal Audit e le relazioni con gli organi di controllo significative per le attestazioni che il dirigente preposto e l’amministratore delegato sono 147 responsabilità tenuti ad emettere nell’assunzione delle proprie . Infatti, l’Internal Audit nell’esercizio dell’attività consulenziale identifica e valuta i rischi aziendali, contribuisce in modo significativo all’implementazione di un sistema per la loro gestione ed assiste nella formazione interna richiesta per diffondere le necessarie competenze metodologiche per il self assessment dello stato del sistema di controllo interno relativo a specifici rischi di natura contabile. Inoltre, anche su segnalazione del dirigente preposto, possono essere svolte attività di audit in aree caratterizzate da situazioni di rischiosità, al fine di fornire assurance sull’adeguatezza e il funzionamento del sistema di controllo sui processi contabili indicati, evitando, tuttavia, che ciò conduca ad un piano di audit sbilanciato verso tali processi, in considerazione della rischiosità complessiva aziendale, o porti allo svolgimento di attività di audit che si sostituiscano ai controlli di linea148. Nel compiere le attività suddette, l’Internal Auditing da avvio, in generale, ad un flusso informativo verso il management (Comitato di controllo, amministratore delegato, alta dirigenza) e, in particolare, verso il dirigente preposto per gli ambiti di sua competenza. Esso, pertanto, potrà formulare le sue considerazioni finali in materia amministrativo-contabile sfruttando il contributo proveniente dalla Funzione di Internal Auditing, ed integrare tali indicazioni con quelle provenienti dall’intero sistema di governo societario tra cui, per esempio, il revisore esterno, il collegio sindacale e il Comitato per il controllo interno. 147 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 114. 148 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 114. 92 4. Le metodologie di revisione interna CAPITOLO 4 LE METODOLOGIE DI REVISIONE INTERNA 1. INTRODUZIONE Il percorso di sviluppo che ha interessato negli ultimi anni l’attività dell’internal auditor è sicuramente collegato alla necessità, incomprimibile, di contribuire alla creazione di valore per l’azienda al pari di altre funzioni aziendali, pena la marginalizzazione del suo ruolo. In precedenza, in un contesto aziendale e di mercato tendenzialmente stabile, il valore dell’internal auditor si esprimeva prevalentemente nella veste di “watch dog” (ispettore) consistente in un controllo di terzo livello, che permetteva sostanzialmente di individuare la conseguenza di un rischio già manifestato e di imputarne le responsabilità. Il contesto evolutivo già presentato nelle prime pagine, insieme al miglioramento dei sistemi di controllo interno aziendali (sia sotto il profilo tecnologico che di processo), ha rapidamente sorpassato tale funzione, ponendo le premesse affinché la figura del “controllore interno” evolvesse da una vocazione meramente ispettiva verso un ruolo innovativo, caratterizzato da una mission orientata a supportare il governo dei rischi. L’essere “esperti di controllo” ha permesso all’Internal Audit di cogliere le opportunità offerte dal cambiamento, giocando un ruolo chiave nell’azienda come supporto al raggiungimento degli obiettivi. Tale attività, come 93 4. Le metodologie di revisione interna abbiamo visto in precedenza, si concretizza in un duplice servizio, sia di assurance sulla qualità dei sistemi di controllo interno, sia di consulenza149. L’innovazione che, ad oggi, ha interessato l’Internal Audit passa attraverso il rafforzamento delle competenze, delle metodologie e degli strumenti di lavoro che, parallelamente ad un cambiamento culturale della percezione del proprio ruolo e dei destinatari del proprio lavoro, consentano di valutare al meglio i rischi ed incrementare l’efficacia dei controlli. Il processo di auditing, infatti, si svolge secondo una sequenza coordinata di azioni, orientata alla creazione di valore aggiunto ed al raggiungimento di un obiettivo finale. È possibile individuare tre diversi approcci nella conduzione dell’audit: • una metodologia tradizionale; • un approccio basato sui rischi aziendali; • il Control & Risk Self Assessment (CRSA). Il processo di auditing si sviluppa secondo un percorso logico suddivisibile in fasi, ciascuna delle quali si caratterizza per: - il compimento di determinate azioni; - l’utilizzo di tecniche e strumenti particolari; - la predisposizione e il rilascio di documenti specifici (output). Di seguito, cercheremo di approfondire i contenuti tipici di ciascuna fase di tale processo, mettendone in evidenza le caratteristiche, le tecniche utilizzate e la documentazione prodotta, a partire dall’avvio dell’incarico fino all’emissione del report definitivo. 149 Cfr. RUSSO R. FRATICELLI U., “Si può misurare il valore dell’audit?”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007 p. 7. 94 4. Le metodologie di revisione interna È opportuno sottolineare, comunque, che anche l’incarico più compiutamente strutturato e standardizzato lascia ampi spazi non guidati da procedure, nei quali risulta determinante l’esperienza, la professionalità e l’abilità di ciascun auditor, che lo rendono una risorsa aziendale preziosa a supporto del management, per il miglioramento del sistema di controllo interno, costantemente impegnata in un processo dinamico che genera idee e si adatta alle circostanze specifiche. 2. IL PROCESSO DI INTERNAL AUDITING SECONDO LA METODOLOGIA TRADIZIONALE È possibile identificare, indipendentemente dalla metodologia di conduzione dell’audit che si intende adottare, cinque macrofasi in cui si snoda tipicamente tale incarico. In particolare: 1. la pianificazione dell’attività; 2. l’indagine preliminare; 3. l’esecuzione dell’incarico; 4. il reporting; 5. il follow up. Una prima considerazione rilevante, prima di addentrarci nelle singole fasi del processo, riguarda il diverso grado di dettaglio o di analiticità che contraddistingue ogni stadio del percorso. Infatti, nella prima fase e, in particolare, nella seconda (analisi preliminare) l’auditor deve acquisire familiarità con il processo o la struttura oggetto di verifica e deve accrescere, o talvolta costituire ex novo, le sue conoscenze 95 4. Le metodologie di revisione interna in merito, pertanto, come vedremo, la sua analisi presenterà un livello di approfondimento piuttosto basso. Nella fase di esecuzione dell’incarico, invece, verrà effettuata un’analisi dettagliata di processo e un’attività di verifica che permette di raggiungere il livello più alto di analiticità, per poi, quindi, tornare a decrescere, in un processo di conclusione e di sintesi, con la predisposizione dell’internal audit report (fase di reporting). In effetti l’analisi dettagliata e la verifica (tipici dell’esecuzione dell’incarico) sono gli stadi prettamente più operativi del processo di auditing, cioè quelli di svolgimento del lavoro “sul campo” (fieldwork)150. Queste costituiscono lo stadio di un vero e proprio svolgimento analitico dell’incarico, il cui obiettivo consiste nel raccogliere, analizzare, approfondire, valutare e verificare – anche a campione – le informazioni, formulando una serie di “evidenze di audit151” necessarie per pervenire a conclusioni sintetizzate nell’audit report. Supporto delle evidenze di audit deve essere tenuto nelle “carte di lavoro152” dell’incarico, la cui finalità generale è quella di documentare la 150 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 292. 151 Per “evidenza di audit” si intende qualunque evento, fatto o circostanza che, nell’ottica dell’internal auditor, supporti e costituisca oggetto di un “rilievo” in quanto criticità significativa nell’ambito dei sistemi di risk management e di controllo interno da porre all’attenzione del vertice aziendale. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 296. 152 Le carte di lavoro rappresentano la documentazione di tutte le attività svolte dall’internal auditor che deve registrare all’interno di esse tutte le informazioni rilevanti allo scopo di supportare le conclusioni e i risultati del proprio incarico. Esse, inoltre, consentono la ricostruzione a posteriori delle attività e dei rilievi emersi. Diverse sono le finalità delle carte di lavoro: - fornire, attraverso la registrazione di tutte le attività dell’internal auditor dall’inizio alla fine dell’audit, i dettagli necessari per la preparazione dell’audit report finale; aiutare a condurre l’incarico in modo tale che esso sia sempre pertinente con il raggiungimento degli obiettivi prefissati; registrare le osservazioni suggerite dalle evidenze riguardo all’esistenza, all’ampiezza e alla significatività di un’esposizione al rischio e alle possibili azioni correttive; facilitare la pianificazione dell’incarico, documentandone il raggiungimento degli obiettivi, la natura e l’estensione, contenendo al suo interno evidenze relativamente alle modalità/procedure seguite, test effettuati e conclusioni; supportare l’auditor nel concreto svolgimento dell’attività, agevolando quindi una corretta ripartizione degli incarichi di audit e coordinando il lavoro da località diverse; 96 4. Le metodologie di revisione interna pianificazione, l’esecuzione dell’incarico e il raggiungimento degli obiettivi di audit. Qui di seguito, provvederemo a fornire un dettaglio delle diverse fasi che compongono il processo di internal auditing, in riferimento all’adozione di una metodologia tradizionale di conduzione dell’incarico. 1. La pianificazione dell’attività. Al fine del successo di un’attività di auditing, è importante un’accurata preparazione iniziale del lavoro, in quanto una buona pianificazione consente153: - la condivisione e il supporto del progetto da parte del management della società; - la consapevolezza del preciso ambito o “copertura” di audit (ed eventuali limitazioni di ambito); - il miglior utilizzo delle risorse di audit; - il rispetto dei vincoli temporali. La pianificazione dell’incarico consente una prima definizione a livello macro dei seguenti elementi154: - agevolare la revisione da parte di terzi autorizzati, tra cui ad esempio la società di revisione; fornire una base per la valutazione dei programmi di qualità dell’internal auditing; procurare parte della documentazione di compliance richiesta per legge ad un’organizzazione per il mantenimento di un efficace sistema di controllo interno. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 348-349. 153 Cfr. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 294-295. 154 Cfr. Standard IIA 2200, Pianificazione dell’incarico e successivi. 97 4. Le metodologie di revisione interna • obiettivi di audit da conseguire, che riflettano la valutazione preliminare dei rischi dell’attività oggetto di revisione; • ambito dell’audit, comprendente i confini materiali e/o temporali dell’analisi; • programmazione del lavoro (audit program), che stabilisca le procedure per identificare, analizzare, valutare e documentare le informazioni raccolte durante l’attuazione dello stesso; • risorse umane, finanziarie ed informatiche necessarie al suo svolgimento, inclusa la risorsa specifica che coordinerà l’attività di auditing (team leader) e i nominativi degli altri componenti del team. Il responsabile dell’internal audit, infatti, deve assicurare che le risorse a disposizione siano adeguate, sufficienti, ed efficacemente impiegate per l’esecuzione del piano delle attività e quindi per assicurare il livello di coperture richiesto dal management. Gli Standard internazionali IIA per la pratica professionale, infatti, prevedono che per ciascun incarico gli internal auditor devono predisporre e documentare un piano, che comprenda, tra l’altro, obiettivi, estensione ed impiego delle risorse. Nel pianificare lo svolgimento dell’incarico, gli internal auditor devono considerare: • gli obiettivi dell’attività oggetto di revisione e i mezzi utilizzati per il controllo del suo andamento. • i rischi significativi dell’attività, i suoi obiettivi, le risorse, e le operazioni, nonché i mezzi con cui il potenziale impatto del rischio è mantenuto ad un livello accettabile. • l’adeguatezza e l’efficacia del risk management e dei sistemi di controllo, facendo riferimento ad un adeguato modello (Coso, ecc.) 98 4. Le metodologie di revisione interna • le possibilità esistenti di apportare significativi miglioramenti ai sistemi di risk management e di controllo dell’attività. Infine, l’internal auditor ha la responsabilità di pianificare e condurre l’incarico, previa approvazione e supervisione. Il programma dell’incarico (audit program) deve155: • documentare le procedure che l’internal auditor intende utilizzare durante l’incarico per raccogliere, analizzare e interpretare le informazioni; • esplicitare gli obiettivi dell’incarico; • prestabilire l’ampiezza e la profondità delle verifiche richieste per raggiungere gli obiettivi stabiliti per ciascuna fase dell’incarico; • identificare gli aspetti tecnici, i rischi, i processi e le transazioni da esaminare; • definire la natura e l’estensione dei campionamenti; • essere predisposto prima dell’incarico e successivamente modificato se necessario. La pianificazione dell’attività presuppone solitamente la predisposizione di più piani che fanno riferimento a differenti orizzonti temporali. Il piano strategico copre almeno un biennio ed ha ad oggetto l’azienda nel suo complesso, con l’insieme delle diverse procedure e con un’analisi dei rischi legata all’attività svolta nel mercato di riferimento. Il piano operativo (o annuale) si riferisce all’esplosione annuale del precedente, laddove l’oggetto delle valutazioni si focalizza sul singolo processo o un’insieme di informazioni contabili o extracontabili da sottoporre a revisione. 155 Cfr. AIIA, Guida Interpretativa 2200-1. Pianificazione dell’incarico. 99 4. Le metodologie di revisione interna I piani dell’attività così formulati sono sottoposti all’approvazione da parte del vertice aziendale e, laddove presente, del Comitato di controllo interno, soggetti questi che hanno compiti e priorità ben distinte in merito al funzionamento del sistema di controllo interno e al sistema di risk management. Come abbiamo accennato in precedenza, l’internal auditor deve effettuare una valutazione preliminare dei rischi afferenti l’attività oggetto di revisione, da condividere, da ultimo, con il vertice aziendale. L’internal auditor deve, quindi, prendere in considerazione la valutazione effettuata dal management in merito ai rischi inerenti le attività da sottoporre ad analisi. In particolare, dovrà esaminare: • l’affidabilità di tale valutazione; • i controllo svolti dal management in merito ai rischi, nonché il relativo reporting; • le relazioni del management inerenti quegli eventi che hanno superato i limiti concordati di tolleranza del rischio; • l’eventuale presenza di rischi individuati dal management nell’organizzazione in attività collegate o sistemi di supporto che potrebbero interessare l’attività sotto esame; • la valutazione fatta dal management stesso sui controlli inerenti i rischi156. Quello che viene richiesto al revisore, prima di dare esecuzione all’incarico, è di predisporre una mappa dei rischi aziendali sulla base di informazioni desunte da: risultanze di audit precedenti, segnalazioni del vertice e del management aziendale, analisi di indicatori qualitativi della gestione, 156 Cfr. AIIA, Guida Interpretativa 2210.A1-1. Valutazione del rischio per la pianificazione dell’incarico. 100 4. Le metodologie di revisione interna analisi dei principali cambiamenti avvenuti nella struttura organizzativa e nelle politiche strategiche dell’azienda. Una volta realizzata una prima definizione a livello macro dell’audit program, si procede all’invio dell’informativa al responsabile della Funzione o del processo da sottoporre a verifica. L’area interessata può essere un dipartimento, un’unità o un’attività di business sotto la competenza di un unico responsabile, così come può riguardare un processo che coinvolge più funzioni aziendali. In tal caso in assenza di un process owner l’informativa può essere inviata ai vari responsabili. Eccetto che per gli incarichi di fraud investigation (che, per loro natura non possono essere preventivamene annunciati), l’avvio dell’attività di audit viene comunicato ai destinatari interessati tramite la cosiddetta “lettera di notifica” con adeguato anticipo. Lo schema di tale documento può variare da un’organizzazione aziendale all’altra e in relazione all’incarico e alla tipologia di audit da effettuare, comunque, essa dovrebbe contenere le seguenti informazioni157: • obiettivi e ambito di copertura dell’audit: all’auditee devono essere notificati lo scopo dell’audit e le aree che questo andrà ad interessare; • i contenuti generali previsti dell’intervento; • l’anticipazione di eventuali necessità che potrebbero presentarsi prima dell’analisi sul campo; • la data prevista di inizio e i tempi stimati per il completamento dell’audit; • l’indicazione del project manager ed eventualmente di altri team leader/team member o specialisti; • l’indicazione delle procedure che l’auditor seguirà nel reporting e nella predisposizione del piano d’azione. 157 Cfr. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 298. 101 4. Le metodologie di revisione interna La lettera di notifica ha l’obiettivo di informare i soggetti interessati dall’intervento di internal audit predisposto nell’audit program dell’anno corrente, al fine di renderli consapevoli ed ottenerne la necessaria collaborazione, così da allineare le attese sugli obiettivi dell’intervento158. Molto spesso l’invio della lettera di notifica è preceduto o accompagnato da un contatto diretto con il manager responsabile destinatario della lettera, infatti una telefonata informale effettuata qualche giorno prima dell’inizio dell’attività di audit potrebbe rivelarsi molto utile a condizionare positivamente l’ambiente in cui si svolge la verifica159. Quanto appena detto consente, in sostanza, di evitare eventuali problematiche che potrebbero non garantire l’attenzione e il supporto necessari nei confronti dell’auditor (momentanea indisponibilità o assenza di interlocutori rilevanti, inconvenienti tecnici non ancora risolti, picchi di lavoro in determinati periodi dell’esercizio che impegnano le risorse più del normale, difficoltà logistiche, ecc.) e di creare un clima collaborativo fondamentale per lo svolgimento dell’attività di audit. A seguito della notifica dell’incarico il team di audit responsabile dello svolgimento del lavoro, può iniziare a “prendere familiarità” con l’area oggetto di audit effettuando quindi una prima analisi preliminare. 2. L’indagine preliminare. L’indagine preliminare ha l’obiettivo di orientare correttamente l’intervento di audit, consentendo all’auditor di acquisire familiarità con le principali caratteristiche dei processi e delle attività oggetto di analisi, formulando, 158 La comunicazione, pertanto, coinvolgendo il canale verbale e quello scritto, dovrà essere chiara nel linguaggio, esaustiva nelle informazioni e motivante nello stimolare la collaborazione indispensabile per un’efficace gestione dell’attività. 159 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 298. 102 4. Le metodologie di revisione interna quindi, una valutazione preliminare circa la significatività dei vari ambiti, i potenziali rischi e le possibili aree di criticità. In tale fase, il revisore procede, attraverso l’applicazione delle procedure standard di indagine, alla raccolta di tutte le informazioni necessarie alla piena comprensione dell’area da sottoporre a verifica, tra cui ad esempio160: • obiettivi di business e di governo ed eventuali traguardi; • caratteristiche organizzative e strutturali; • direttive, piani, procedure, leggi, regolamenti e contratti che possono impattare significativamente su operazioni e rapporti; • budget, report gestionali di riferimento, risultati operativi e dati economico-finanziari; • carte di lavoro relative a precedenti incarichi; • risultati di altri incarichi, anche effettuati da revisori esterni; • documentazione utile per determinare la presenza di problematiche significative per l’incarico; • materiale tecnico riguardante l’attività da esaminare; • dati indicativi di rischi potenziali e dei controlli in atto; • valutazione, effettuata dal management, dei rischi che riguardano le attività da sottoporre ad analisi. L’indagine preliminare si traduce, pertanto, in un processo di raccolta di dati e informazioni su attività/processi, senza che questi vengano sottoposti ad un esame approfondito, che caratterizza la fase successiva dell’esecuzione dell’incarico. La raccolta di queste macroinformazioni accresce la conoscenza dell’auditor e rende possibile definire con maggior dettaglio, o apportare modifiche, agli elementi di pianificazione ed eventualmente ai contenuti della lettera di notifica. 160 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 300. 103 4. Le metodologie di revisione interna Questo importante lavoro preliminare consente di161: • creare la base per un efficace ed efficiente programma di audit, che si concentri su argomenti significativi e riduca il tempo dedicato ad aree dove il rischio appare minimo; • contenere il tempo di permanenza presso l’auditee e ogni altra forma di interferenza con la sua operatività; • calibrare meglio gli obiettivi dell’audit e il suo ambito di copertura; • favorire un clima di cooperazione per la successiva attività sul campo. Il processo di analisi preliminare Macroanalisi dell’area/processo e dei rischi potenziali Macroanalisi del sistema di controllo Valutazione preliminare dei rischi Predisposizione del planning memorandum e rilievi preliminari L’approccio tradizionalmente seguito nello svolgimento dell’indagine preliminare si avvale di strumenti e tecniche tipiche della revisione aziendale, in particolare l’auditor: - procede all’acquisizione e alla successiva lettura della documentazione inerente l’organizzazione aziendale (organigrammi, normative interne, procedure formalizzate, ecc); - si avvale dell’utilizzo di questionari (o check list) con risposte mirate a comprendere l’assetto e la reale consistenza di meccanismi di controllo; 161 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 300. 104 4. Le metodologie di revisione interna - provvede alla predisposizione o all’acquisizione di flow chart esplicativi dei principali processi operativi e di controllo162; - acquisisce conoscenze in merito ai sistemi informativi utilizzati; - può effettuare un’osservazione diretta del funzionamento delle diverse fasi dei processi (o walkthrough); - acquisisce informazioni tramite interviste al personale chiave (o inquiry); - svolge procedure di analitical review. Inoltre, è utile evidenziare che alcune delle informazioni di contesto potrebbero derivare dalla documentazione raccolta in precedenti incarichi di audit, per cui durante l’analisi preliminare sarebbe opportuno procedere a una revisione delle carte di lavoro, audit report e altro materiale inerente ad audit antecedenti, se disponibili163. Un particolare accenno, per la sua importanza, lo merita la riunione di apertura, il cosidetto kick off meeting (termine mutuato dal linguaggio sportivo), la quale è rivolta al management dei livelli funzionali più alti e ai componenti dell’area oggetto di audit che siano ritenuti direttamente interessati (per compiti e incarichi). La riunione consente di chiarire lo scopo e l’ambito di copertura dell’attività di auditing, di illustrare le metodologie che dovranno essere applicate e di ottenere indicazioni utili all’indagine preliminare. 162 Per quanto riguarda l’analisi preliminare del processo/attività con tecniche di flowchart, una mappatura dettagliata del processo costituisce parte integrante del momento successivo all’indagine preliminare, la fase dell’esecuzione dell’incarico, in cui si procede ad un’analisi dettagliata. L’obiettivo dell’analisi preliminare è fondamentalmente quello di arrivare a una pianificazione utile al project manager e al team leader per una chiara delimitazione dell’attività da svolgere. 163 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 302. 105 4. Le metodologie di revisione interna Questo contatto iniziale con gli auditee rappresenta per il team di audit un momento importante di comunicazione e spesso si rivela fondamentale per ottenere la collaborazione attiva dell’interlocutore164. È anche un momento in cui viene dato spazio alla percezione del rischio da parte del management, in cui vengono fornite indicazioni sulle criticità e sui controlli in essere. È quindi, un’occasione privilegiata, utile per sottolineare la mission della Funzione: in particolar modo in una fase di riorganizzazione della Funzione di Internal Auditing, di start up aziendale o di mutamenti importanti negli assetti organizzativi aziendali, il primo incontro può servire ad illustrare gli obiettivi del lavoro dell’Internal Audit secondo la prassi condivisa a livello internazionale, a richiamare alcuni concetti che non sempre sono prontamente acquisibili da parte del management e a chiarire compiti e ruoli della nostra Funzione all’interno della realtà aziendale. A conclusione dell’analisi preliminare, viene prodotto il planning memorandum, che sintetizza l’oggetto, gli obiettivi e le modalità di svolgimento dell’incarico. Il documento di pianificazione interna descrive in termini generali165: • le attività e l’organizzazione dell’area aziendale soggetta ad audit; • i rischi o le aree critiche identificate inizialmente; • gli obiettivi specifici, nonché l’approccio di revisione e la pianificazione delle procedure di revisione rispetto agli obiettivi. 164 La riunione di apertura rappresenta il “biglietto da visita” dell’Internal Audit. Questo è senz’altro un momento in cui si deve trasmettere la percezione che si sta creando un gruppo e che c’è pertanto un obiettivo unico che necessita dell’impegno e della collaborazione di tutti per poter essere raggiunto. Fondamentale è, quindi, creare coesione e generare motivazione, potenziando l’efficacia della nostra comunicazione attraverso l’applicazione di tecniche di ascolto attivo e, laddove sia necessario, di problem solving. Il management in questa fase avrà bisogno di riscontrare in noi credibilità, professionalità e apertura. Dobbiamo, pertanto, essere chiari e rassicuranti, stimolando chi ci ascolta a seguirci e concederci la massima collaborazione, mettendo in discussione convincimenti talvolta radicati nella cultura aziendale tra cui atteggiamenti prevenuti e diffidenti, se non apertamente ostili. 165 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 305. 106 4. Le metodologie di revisione interna Se elaborato con cura, il planning memorandum costituisce già una parte essenziale dell’internal audit report finale e una delle migliori modalità per documentare in sintesi e con chiarezza le logiche che hanno ispirato l’approccio specifico di audit. Pertanto, esso costituisce un documento base, per il responsabile dell’Internal Audit o per Internal Audit Manager, per evidenziare la propria supervisione e approvare l’ambito e il programma gestionale di audit complessivi. 3. L’esecuzione dell’incarico. L’esecuzione dell’incarico si compone di due momenti distinti, che si susseguono secondo una logica temporale: a) la fase dell’analisi dettagliata, che ha lo scopo di effettuare i necessari approfondimenti sulle informazioni ritenute significative in base all’indagine preliminare e di raggiungere un livello adeguato di conoscenza per programmare le verifiche previste nella fase successiva166; b) lo svolgimento dell’attività di verifica, la quale consiste nell’effettuare i test necessari alla raccolta di informazioni, o evidenze (evidence), che costituiscono il materiale di base raccolto dall’auditor sul quale si fondano i giudizi, le critiche e le raccomandazioni dell’auditor stesso167. Per quanto riguarda l’analisi dettagliata, essa comprende la mappatura del processo che si avvale dei seguenti strumenti: 166 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 309. 167 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 316. 107 4. Le metodologie di revisione interna • macroanalisi del processo, già avviata durante l’indagine preliminare e qui completata con informazioni di maggior dettaglio; • flowchart delle attività, che consentono di analizzare il flusso procedurale e quello interfunzionale; • matrici dei rischi e controlli, utili per mappare le attività in termini di rischio e controllo. Attraverso una macroanalisi del processo è possibile descrivere il flusso di informazioni o i passaggi significativi nelle varie operazioni relativi a determinate attività che compongono il processo. Essa ci consente di ottenere un’analisi delle principali attività e delle relative Funzioni coinvolte, evidenziandone il grado di integrazione o il grado di coinvolgimento interfunzionale. I flowchart permettono, invece, di descrivere le attività che caratterizzano il processo, le responsabilità attribuite e la struttura dei controlli. Consentono, altresì, di comprendere i rischi operativi, tenendo conto degli obiettivi di business e di governo rilevati nella fase dell’indagine preliminare. Il flowchart traccia l’intero flusso caratteristico del processo includendo informazioni quali168: - soggetti che procedono all’elaborazione, approvazione o integrazione del documento o dei dati; - utilizzo di più copie documentali o flussi informatici di dati per il trattamento separato ai fini contabili, gestionali o amministrativi. Nella figura 5, riportiamo un esempio di flowchart funzionale, denominato anche flowchart “a corsie”, che descrive il flusso di un documento o delle 168 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 311. 108 4. Le metodologie di revisione interna fasi di un processo attraverso le diverse aree funzionali/dipartimentali di un’organizzazione. Il flowchart permette un’agevole lettura di un processo o attività complesse che si articolano in numerosi passaggi in termini di approvazioni e trattamento dei documenti. Esso, inoltre, fornisce una rappresentazione chiara e sintetica di procedure e operazioni che hanno natura interfunzionale, permette di far chiarezza sugli aspetti inerenti l’accountability (principio che richiede che per qualsiasi attività, a prescindere dalla sua rilevanza, sia possibile identificare una persona responsabile all’interno della struttura organizzativa) e consente di individuare eventuali problematiche relativamente alla separazione dei compiti (segregation of duties)169. Risulta fondamentale, infatti, una responsabilizzazione diffusa all’interno dell’organizzazione e una distribuzione delle responsabilità all’interno della stessa, in modo tale da garantire che ciascun processo sia opportunamente “presidiato”. 169 Con il principio della “separazione dei compiti” si fa riferimento alla suddivisione tra soggetti diversi delle operazioni che incidono sul patrimonio dell’azienda. Tale accorgimento organizzativo, laddove giustificato da un favorevole rapporto costi/benefici, oltre a limitare il rischio di appropriazioni indebite, favorisce la distribuzione della conoscenza dei processi aziendali fra più operatori, consentendo di migliorare la trasparenza dello svolgimento dei singoli processi aziendali e la fiducia sui singoli operatori. Un esempio, in ambito amministrativo, di separazione dei compiti riguarda l’emissione di ordini di acquisto e il pagamento degli stessi, oppure l’effettuazione dei pagamenti ai fornitori e la registrazione ed archiviazione degli stessi o, ancora, la supervisione della produzione e il controllo di qualità, ecc. 109 4. Le metodologie di revisione interna Processo degli Acquisti Strutture richiedenti Acquisti Fornitori Magazzino Amministrazione Selezione fornitori Elaborazione proposta Accettazione merce Fattura Richiesta ordine Proposta Registrazione fattura Registrazione fattura Verifica avanzamento ordine Proposta Ordine Ordine Verifica avanzamento consegne Emissione ordine Consegna merce Verifiche amministrative Emissione ordine Registrazione fattura Richiesta d’acquisto Ordine Fattura Fig. 5 Infine, la matrice dei rischi e controlli è lo strumento metodologico per l’analisi dei rischi inerenti e per la valutazione preliminare dei controlli presenti e, quindi, del rischio residuale relativo al raggiungimento degli obiettivi propri dell’area/processo oggetto di audit170. L’identificazione dei rischi e dei controlli può essere supportata dall’analisi dei flowchart, che aiutano nell’individuazione dei rischi operativi e dei controlli di linea che li presidiano171. 170 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 311-312. 171 La realizzazione della matrice dei rischi e controlli si basa sull’applicazione di modelli di rischio e di controllo che non saranno oggetto di trattazione in questa sede (per ulteriori approfondimenti, vedi Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, Cap. 5-6). Nel caso dell’analisi dei rischi, si tratta concretamente di comprendere se un rischio teorico previsto dal modello di riferimento adottato risulta pertinente rispetto alle attività/obiettivi oggetto di analisi e di formulare una valutazione preliminare del livello di probabilità e impatto del rischio stesso. Analogamente, per quanto riguarda i controlli l’applicazione pratica di un modello standard di riferimento consente di 110 4. Le metodologie di revisione interna L’esecuzione dell’incarico segue solitamente un “programma di audit” (audit program) che si basa sulle risultanze dell’indagine preliminare e dell’analisi dettagliata. Esso indica i contenuti delle procedure di verifica di audit da effettuare nel corso dell’attività sul campo, tali procedure permetteranno di raccogliere la documentazione necessaria (audit evidence) per supportare le conclusioni dell’internal auditor. Le principali finalità dell’audit program sono172: • sintetizzare i contenuti del lavoro da svolgere; • specificare le modalità di attuazione del lavoro; • lasciare traccia del lavoro svolto e degli auditor che lo hanno realizzato; • agevolare la supervisione e il controllo sull’attività di audit. Sulla base della mappa dei rischi e dei controlli definita precedentemente è possibile procedere all’identificazione delle opportune attività di verifica e delle procedure di audit che devono essere applicate. Presentiamo qui di seguito quattro diverse situazioni inerenti il grado di rischio e il livello di controllo aziendale: - rischio basso/controllo aziendale basso: è tipicamente un’area di esclusione per le attività di test. Salvo specifiche richieste da parte del management, infatti, non risulta giustificato l’impegno di risorse; - rischio alto/controllo aziendale alto: è l’area di test tradizionale; il test assume la forma della verifica dell’esistenza e del funzionamento del sistema di controllo previsto. Nel caso di sistemi di controllo formalizzati (proceduralizzati-normati), la forma è invece quella della verifica di compliance; identificare e classificare i controlli esistenti, comprendendone le proprietà e consentendo la valutazione preliminare del grado di presidio dei rischi evidenziati. 172 Cfr. Gleim I.N., CIA Review, Gleim Publications Inc.,2004. 111 4. Le metodologie di revisione interna - rischio alto/controllo aziendale basso: è una situazione anomala che può avere carattere transitorio o che, comunque, può essere il risultato di recenti evoluzioni. L’eventuale transitorietà del rischio può, come nel primo caso, escludere l’area dall’attività di test; in caso contrario, questa situazione è generalmente orientata alla stima dell’effettivo impatto/probabilità del rischio evidenziato al fine di fornire le informazioni indispensabili per determinare l’investimento giustificabile, in termini di implementazione del sistema di controllo; - rischio basso/controllo aziendale alto: è una potenziale area di inefficienza riconducibile a evoluzioni del contesto che hanno condotto a riduzioni del rischio o all’esistenza in azienda di un approccio non strutturato al disegno delle attività di controllo. Le attività di test in quest’ambito sono legate a incarichi di audit di carattere consulenziale orientate alla valutazione dell’economicità del sistema di controllo e alla sua ottimizzazione. L’audit program è soggetto all’approvazione da parte del responsabile dell’Internal Auditing, in esso, quindi, sono stabilite tutte le attività di analisi e di verifica che devono essere effettuate, nonché le metodologie e le tecniche per esaminare e documentare lo svolgimento del lavoro. Le procedure stabilite nell’audit program potranno subire ampliamenti o modiche a seconda delle circostanze che si presentano durante l’incarico173, tale documento si rivela, comunque, molto utile poiché consente di gestire le attività di test fornendo precise indicazioni operative ai membri del team di audit. L’attività di verifica, come già accennato in precedenza, consiste nell’effettuazione, da parte dell’auditor, dei test necessari a raccogliere le evidence a supporto delle sue conclusioni. 173 Cfr. Standard IIA 2240. Programma di lavoro. 112 4. Le metodologie di revisione interna Uno degli aspetti fondamentali dell’efficacia degli interventi di auditing è rappresentato dall’esistenza di norme standard di svolgimento dell’attività (inerenti ad esempio le carte di lavoro, le tecniche di campionamento, le modalità di indagine), che di fatto uniformano l’attività di verifica e la rendono confrontabile nel tempo, garantendo una continuità che prescinde dalle persone in essa impiegate. Le tecniche tipicamente utilizzate consistono in interviste, analisi di dati e indicatori, osservazione visiva e varie tipologie di test e di verifica. Le attività di verifica che, in linea generale, sono effettuate dall’internal auditor sono le seguenti174: • verifica di coerenza tra quanto rilevato nell’analisi di processo e quanto effettivamente praticato, attraverso interviste, osservazione diretta e altre verifiche documentali; • verifica del rispetto delle procedure aziendali, che possono implicare un ampio spettro di controlli; • riscontro di tempi e di altri indicatori di efficienza del processo di controllo; • ricerca di eccezioni nell’ambito di intere banche dati; • analisi di dati e indicatori; • tutte le altre attività tradizionali tipicamente utilizzate nella revisione aziendale che generano evidenze di audit a supporto della formulazione delle conclusioni175. 174 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 317. 175 Il riferimento è rivolto alle tipiche tecniche di raccolta delle evidenze di audit utilizzate in materia di revisione aziendale tra cui: - interviste; - ricalcolo dei dati quantitativi; - test di dettaglio: esame di documenti o dati, creati successivamente al controllo di attività e transazioni, i quali forniscono le migliori evidenze dell’effettivo verificarsi di una transazione o dell’avvenuta applicazione di una procedura di controllo; - osservazione e ispezione; 113 4. Le metodologie di revisione interna Conseguentemente allo svolgimento dell’attività di audit, possono emergere carenze nel sistema di gestione dei rischi e di controllo che andranno a costituire i cosiddetti rilievi di audit. Tali rilievi, se emersi nel corso dello svolgimento dell’attività di verifica, dovranno essere registrati come rilievi preliminari e dovranno essere discussi con il management interessato176 per l’identificazione di possibili azioni correttive ed integrazioni al sistema di controllo interno volte al contenimento dei rischi evidenziati177. Tali rilievi, in base alla valutazione finale delle evidenze accumulate e alla significatività del rilievo, possono essere inclusi nell’audit report finale178. I rilievi significativi sono quelli concernenti le condizioni che, secondo il giudizio dell’auditor, possono influenzare negativamente l’organizzazione. Essi possono riguardare condizioni relative a irregolarità, atti illeciti, errori, - scansione: comporta la ricerca di eccezioni o anomalie all’interno di una grande quantità di dati. Risulta efficace quando è possibile identificare con facilità elementi inusuali, (ad esempio per la verifica delle posizioni a credito sui conti debitori e posizioni debitorie sui conti creditori); - campionamento statistico; - richieste di conferma: vengono inviate dall’internal auditor a terze parti esterne all’ambito di audit. Le risposte, che tornano direttamente all’internal auditor, costituiscono evidenze puramente esterne (spesso utilizzata per verificare l’affidabilità dei crediti o posizioni in generale verso i clienti); - procedimenti analitici di auditing: forniscono uno strumento efficace ed efficiente per valutare i dati raccolti nel corso dell’incarico, attraverso il loro confronto con quelli attesi o sviluppati dall’auditor. Essi sono utili per identificare differenze che non dovrebbero sussistere, assenza di differenze che invece dovrebbero essere presenti, possibili errori, possibili irregolarità o atti illeciti, altri eventi o transazioni insolite o non ricorrenti. Cfr. Guida Interpretativa IIA 2320.1(1). Analisi e valutazione. Per ulteriori approfondimenti cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 318-322. 176 Una relazione ben coltivata con il management aziendale agevola senza dubbio la condivisione dei risultati dell’audit, facilitando l’identificazione di adeguate azioni correttive. Risulta infatti di fondamentale importanza curare la condivisione delle criticità, emerse nel corso dell’audit, con il management, al fine di renderlo partecipe di quanto emerso e prepararlo alla condivisione definitiva senza riservargli brutte sorprese alla fine. 177 L’esistenza temporanea di una pur significativa carenza di controllo non porta necessariamente al giudizio che essa sia pervasiva e generi un rischio residuo inaccettabile. Per determinare se l’efficacia dell’intero sistema dei controlli sia in pericolo e ci si trovi in presenza di rischi inaccettabili, vanno considerati fattori quali la sistematicità delle anomalie e la gravità delle conseguenze o della vulnerabilità presenti. Cfr. Guida Interpretativa IIA 2120.A1-1. Valutazione e Reporting sul Processo di Controllo. 178 Cfr. Guida Interpretativa IIA 2410-6 Modalità di Comunicazione e 2330-1 Registrazione delle informazioni. 114 4. Le metodologie di revisione interna inefficienze, sprechi, inadeguatezze, conflitti d’interesse, debolezze nel controllo179. 4. Il reporting. Nella fase di reporting, l’attività di audit si focalizza sull’efficace comunicazione dei risultati, finalizzata alla ricerca di comprensione e condivisione delle criticità rilevate, nonché all’identificazione di adeguati piani di azione per il rafforzamento del sistema di controllo interno a supporto degli obiettivi aziendali180. Tale fase può essere scomposta in due momenti fondamentali: a) una riunione di presentazione dei risultati, detta exit meeting; b) lo sviluppo dell’audit report. L’exit meeting è una riunione che presenta molte caratteristiche simili a quelle della riunione di apertura, il kick off meeting, e assume una rilevanza tanto maggiore quanto maggiori sono le criticità evidenziate e gli sforzi necessari per l’attivazione di adeguati piani d’azione, in considerazione anche degli aspetti d’interfunzionalità che spesso li contraddistinguono181. Tale incontro, spesso, si svolge dopo l’effettuazione di riunioni di condivisione dei risultati, tra il team di audit e il management sottoposto ad attività di auditing, che, in genere, hanno luogo nella fase di chiusura dell’attività di verifica. Nel momento in cui si rilevano criticità che presentano caratteristiche che vanno al di là della semplice compliance a norme e procedure di area, 179 Cfr. Guida Interpretativa IIA 2060-1(2). Reporting al board e al senior management. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 340. 181 Cfr. Guida Interpretativa IIA 2440-1 Divulgazione dei risultati. 180 115 4. Le metodologie di revisione interna richiedendo quindi il coinvolgimento di diverse strutture e ambiti di responsabilità, l’exit meeting consente di coinvolgere non solo il management dell’area auditata e gli eventuali superiori, ma anche quello di strutture che gestiscono processi complementari o di supporto. L’internal auditor, infatti, tramite la formulazione di ipotesi sulle possibili azioni di mitigazione dei rischi, è in grado, solitamente, di individuare i soggetti aziendali preposti alla loro gestione. L’obiettivo dell’exit meeting è quello di presentare le stesse informazioni, rilievi e suggerimenti che dovrebbero essere esplicitati nell’audit report, ma adottando una forma di comunicazione più fluida e meno formale che consenta di focalizzare l’attenzione sui contenuti piuttosto che sulla forma. La condivisione dell’audit report, da questo punto di vista, è frequentemente caratterizzata da un’estrema attenzione alle parole, alla veste formale e alle implicazioni per l’immagine del management. La condivisione anticipata, nel corso dell’exit meeting, dei concetti che l’internal auditor desidera portare alla luce consente successivamente un più disteso confronto con il management nella fase finale di revisione dell’audit report, prima della sua emissione definitiva. L’internal auditor dovrà essere in grado di fornire verbalmente tutte le informazioni che intende riportare nell’audit report supportando eventualmente le sue conclusioni con il dettaglio risultante dalle carte di lavoro; il carattere collegiale del momento consentirà all’auditor di sfruttare le conoscenze e le competenze dei diversi partecipanti per raccogliere soluzioni a valore aggiunto182. 182 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 341. Un aspetto negativo, peraltro, è rappresentato dai potenziali conflitti che possono insorgere durante l’exit meeting tra i manager stessi. L’internal auditor ha, in questo caso, una responsabilità fondamentale nel prevenire e gestire il manifestarsi di situazioni di questo tipo, impedendo che l’incontro scateni conflitti latenti tra le parti (vedi Guida Interpretativa IIA 1000.C1-1 Principi guida per lo svolgimento di attività di consulenza degli internal auditor). 116 4. Le metodologie di revisione interna L’exit meeting dovrebbe concludersi con una definizione dei piani d’azione, almeno nelle linee generali, e con un’identificazione dei responsabili della realizzazione di ciascuna azione individuata. Qui di seguito sono elencati i principali contenuti che sono condivisi da tutte le comunicazioni di audit, sia che si tratti di un documento formale inviato ai vertici aziendali o di una presentazione informale alla conclusione dell’attività sul campo183: - una sintesi direzionale, cioè una sintesi del rapporto di audit (executive summary) ad uso dell’alta direzione dell’organizzazione e delle altre sue posizioni chiave interessate. Questa sintesi dovrebbe illustrare le risultanze più importanti, positive e negative, e individuare le opportunità di miglioramento; - l’obiettivo di audit e, ove opportuno, la spiegazione delle ragioni che hanno condotto alla sua effettuazione e ai risultati attesi; - il contesto generale del processo o dell’oggetto di audit; - se possibile, una valutazione globale in merito a rilievi, conclusioni e raccomandazioni di precedenti rapporti; - la descrizione del lavoro svolto, comprensiva dell’ambito di audit e degli eventuali limiti di tale ambito; - la descrizione dei rilievi, delle conclusioni e dei suggerimenti; - l’identificazione del piano d’azione, indicando nel modo più concreto possibile i responsabili e i tempi previsti per il completamento. Tale piano potrà prevedere azioni a breve e azioni a medio-lungo termine in quanto connesse a progetti aziendali di più ampio respiro184. Relativamente all’audit report, esso è il documento, che chiude formalmente l’intervento di audit, con il quale l’internal auditor riassume le 183 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 342-343. 184 Cfr. Guida Interpretativa IIA 2410-1 Modalità di comunicazione. 117 4. Le metodologie di revisione interna attività svolte nel corso dell’incarico, relaziona sui rilievi emersi e propone le proprie raccomandazioni. Tale documento costituisce una prova durevole dell’attività di audit effettuata e ne consente la valutazione da parte di soggetti terzi. L’audit report può presentare finalità diverse e differenti stili a seconda dei destinatari a cui si rivolge: - l’audit report rivolto al vertice aziendale, solitamente si presenta in versione sintetica, focalizzandosi solo sui principali aspetti che possono essere ritenuti significativi a tale livello; - l’audit report rivolto ai responsabili di processi o di Funzioni aziendali sono invece mirati a far comprendere i punti di debolezza del sistema di controllo interno dell’attività o dei processi di riferimento. In generale, un audit report dovrebbe articolarsi secondo la seguente struttura185. - titolo del report e oggetto dell’intervento, utile per consentire ai destinatari un immediato inquadramento dei contenuti e degli obiettivi dell’intervento di audit; - indicazione dei destinatari, quindi manager operativi dell’area soggetta ad audit e/o responsabili dell’esecuzione delle azioni correttive, nonché i superiori gerarchici di questi; - indicazione delle strutture aziendali coinvolte e periodo dell’intervento; - indicazione dell’ambito dell’audit e periodo di tempo coperto dalle verifiche: consente una corretta valutazione di eventuali rilievi emersi 185 È opportuno precisare che non esiste una forma unica per la stesura dell’audit report, che spesso risente della cultura e delle abitudini dell’organizzazione. In ogni caso, l’internal auditor dovrà cercare di bilanciare un adeguato contenuto informativo, che consenta a tutti i destinatari una piena comprensione dei fatti segnalati e una corretta valutazione delle criticità, con un livello di sintesi che garantisca la leggibilità complessiva del report stesso. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 345-347. 118 4. Le metodologie di revisione interna fornendo utili parametri per valutare la specificità e/o generalizzabilità dei risultati; - indicazione dell’attività di verifica effettuate: costituisce una sintesi dell’audit program applicato nel corso dell’attività di verifica ed è utile ai destinatari per valutare le modalità con cui l’internal auditor è giunto alla formulazione dei rilievi e la gravità degli stessi; - una prima valutazione di sintesi basata sui risultati delle verifiche, che rimanda ai risultati dettagliati e alle raccomandazioni che sono riportate per esteso nel prosieguo dell’audit report; - condizioni generali dell’area: si tratta di una sintesi delle condizioni dell’area critica oggetto di rilievo con evidenziazione delle divergenze tra quello che è stato riscontrato e quello che dovrebbe essere; - criticità rilevate: dovrebbe includere le verifiche effettuate e il risultato delle stesse; - cause dei rilievi: è opportuno identificare le cause dei rilievi evidenziati al fine di consentire al management la selezione di adeguate azioni correttive186; - criteri di valutazione delle criticità: vengono esplicitati i criteri di valutazione sulla base dei quali l’internal auditor decide di includere la criticità tra quelle segnalate nell’audit report187; - conseguenze dei fatti riportati: questo punto evidenzia gli impatti generati dalla criticità sull’organizzazione. Gli impatti possono essere rappresentati da perdite o mancate opportunità, oppure essere soltanto potenziali, come ad esempio nel caso di un sistema di controllo che non 186 A tal riguardo occorre fare attenzione a non ricondurre le criticità a semplici anomalie di comportamento gestionale, cosa che tenderebbe a colpevolizzare i soggetti all’interno dell’organizzazione. Tale fattispecie, in particolare, tende ad essere enfatizzata negli approcci più tradizionali di carattere ispettivo: suscitando reazioni difensive, essa rende più difficile attivare nei soggetti coinvolti un atteggiamento positivo che porti al superamento dei problemi. 187 Ai fini di tale valutazione potrebbe essere utile, per l’individuazione dei criteri da utilizzare, il ricorso a confronti tra diverse entità della stessa organizzazione (benchmarking interni) o tra realtà aziendali diverse (benchmarking esterni), così come all’opinione professionale di esperti, preferibilmente esterni all’organizzazione. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 347. 119 4. Le metodologie di revisione interna è in grado di prevenire determinati eventi a prescindere dal fatto che l’evento si sia realizzato nel corso della verifica; - raccomandazioni di audit: come già accennato, esse rappresentano uno degli elementi a valore aggiunto dell’incarico e, se pertinenti e ben bilanciati sulla base di una valutazione costi/benefici, costituiscono un’importante opportunità per l’audit nel supportare in termini consulenziali le attività operative. Nell’audit report possono essere inseriti anche aspetti positivi che apprezzano, con commenti favorevoli, l’attività svolta dal management sottoposto ad attività di audit. Alcuni di questi elementi possono essere sintetizzati qui di seguito188: - evidenziare gli obiettivi raggiunti dal management; - mettere in luce le azioni già pianificate dal management; - evidenziare i limiti di contesto su cui il management ha scarsa o nulla capacità di influire; - includere sempre i piani di azione come parte integrante del report. Infine, è possibile che il management non concordi con i rilievi sollevati nell’audit report. Tale fattispecie deve verificarsi soltanto in casi eccezionali, in quanto il processo di gestione dell’incarico di audit, come abbiamo visto nelle pagine precedenti, prevede diversi momenti di condivisione dei risultati che consentono di evitare il manifestarsi di posizioni inconciliabili al momento dell’emissione dell’audit report. 188 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 347-348. 120 4. Le metodologie di revisione interna Una tale situazione rappresenta un segnale di allarme sulla qualità del lavoro svolto e sull’affidabilità del management aziendale189. 5. Il follow up auditing. Una volta emesso l’audit report, contenente i piani d’azione da intraprendere con l’individuazione del management responsabile, la Funzione di Internal Audit deve provvedere alla pianificazione dell’attività di follow up190 che garantisce un reale valore aggiunto dell’attività di verifica con cui vengono monitorati l’efficacia e il rispetto dei tempi d’implementazione delle azioni correttive concordate nella fase precedente. La natura, l’ampiezza e la tempificazione delle attività di follow up devono essere determinate dal responsabile dell’Internal Auditing in funzione di specifiche circostanze, quali la significatività dei rilievi emersi e delle raccomandazioni effettuate, l’impegno e i costi necessari per l’attuazione delle azioni correttive, gli eventuali effetti che potrebbero manifestarsi in caso di fallimento dell’azione correttiva, la complessità di tali azioni ed il tempo necessario per il follow up. Concretamente, le diverse attività che possono essere realizzate in tale fase sono riportate qui di seguito in ordine di economicità191: - richiesta di stato di avanzamento al management: si tratta di una richiesta formale a scadenza dello stato di avanzamento delle attività pianificate dal management responsabile. Tali richieste presentano il 189 In questo caso è necessario che l’audit report preveda uno spazio adeguato per riportare le posizioni in disaccordo. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 348. 190 Lo Standard IIA 2500 Processo di monitoraggio, ci fornisce una definizione di follow up identificandolo come il processo tramite il quale l’internal auditor determina l’adeguatezza, l’efficacia e la tempestività delle azioni correttive intraprese dal management in risposta ai rilievi e alle raccomandazioni presentate. 191 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 245. 121 4. Le metodologie di revisione interna vantaggio di responsabilizzare il management senza compromettere significativamente l’immagine consulenziale dell’internal auditing e garantiscono comunque uno stimolo al completamento dei piani di azione previsti; - verifiche dei piani di azione nel corso di audit specifici: richiedono la pianificazione e l’esecuzione a scadenza di appositi interventi di audit con un programma di lavoro specificatamente orientato alla verifica dell’implementazione dei piani di azione; - verifiche dell’effettivo miglioramento del sistema di controllo interno tramite audit successivi: prevedono la formulazione di specifici test legati alla realizzazione delle azioni correttive nell’ambito dei programmi di audit, da realizzare in successivi interventi previsti per l’area stessa. Tale approccio viene spesso utilizzato quando siamo in presenza di rischi significativi, il cui mancato presidio rappresenterebbe una minaccia grave al raggiungimento degli obiettivi aziendali. In tali casi, l’assicurazione offerta da un soggetto indipendente quale l’Internal Auditing viene privilegiata rispetto alla sola responsabilizzazione del management. Se non prestato con la necessaria attenzione, il coinvolgimento forte della Funzione di Internal Auditing nel processo di follow up può determinare una deresponsabilizzazione del management dell’area oggetto dell’intervento e, inoltre, potrebbe far emergere il ruolo ispettivo e poliziesco della funzione stessa, compromettendo la sua immagine consuleziale di attività a valore aggiunto, nonché i rapporti con le Funzioni auditate. Abbiamo già evidenziato che, nel processo di follow up, l’internal auditor deve assicurarsi che siano state intraprese azioni correttive e che queste stiano ottenendo i risultati desiderati. Può verificarsi la fattispecie in cui il board o il senior management si siano assunti la responsabilità di non 122 4. Le metodologie di revisione interna intraprendere azioni correttive, accettando quindi, un livello di rischio giudicato potenzialmente eccessivo per l’organizzazione da parte del responsabile dell’Internal Auditing; in tal caso, sarà necessaria una discussione tra le due parti coinvolte e, in caso di persistenza del disaccordo, la comunicazione del problema al vertice manageriale192. L’accettazione del rischio e quindi la rinuncia da parte del management aziendale ad intraprendere azioni correttive non può essere tacita, ma deve sempre risultare da un documento formale di accettazione dello stesso da parte del vertice. Il rischio, infatti, può essere accettato soltanto in funzione di un’assunzione di responsabilità esplicita e formalizzata. 3. L’APPROCCIO RISK BASED Come descritto precedentemente, nel modello di Enterprise Risk Management (ERM) il risk assessment è parte integrante del sistema di gestione dei rischi, esso, infatti, permette di individuare e misurare i rischi pertinenti all’organizzazione. L’attività di internal auditing e il ruolo che il revisore interno è chiamato a svolgere, risultano essere propedeutici al buon funzionamento di tutto il sistema di risk management. Un buon sistema di governance fa affidamento sulla gestione dei rischi attraverso l’utilizzo di sistemi di gestione e di strumenti che consentano di aumentare la consapevolezza di tutte le possibili incertezze e degli ostacoli che si frappongono al raggiungimento degli obiettivi aziendali193. 192 Cfr. Standard IIA 2600 Accettazione del rischio da parte del management. Qualora il responsabile dell’Internal Auditing ritenga che il senior management abbia accettato un livello di rischio residuo che potrebbe essere eccessivo per l’organizzazione, ne deve discutere con il senior management. Se il disaccordo permane, il responsabile dell’Internal Audit e il senior management devono riportare il problema al board. 193 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 167. 123 4. Le metodologie di revisione interna Uno degli strumenti e delle metodologie più idonei ad identificare, selezionare, misurare e gestire i rischi esterni ed interni è il risk management che consente al management di focalizzare la propria attenzione sui rischi più significativi, tra cui anche i rischi strategici e quelli reputazionali. Rispetto all’utilizzo di una metodologia tradizionale che si incentra principalmente sul sistema formale dei controlli, tale approccio consente di porre attenzione sulla gestione dei rischi aziendali e sugli effetti che importanti cambiamenti, già intervenuti o che interverranno nell’ambiente interno o esterno all’azienda avranno sul modello di business aziendale e sulla performance dell’impresa. Il Risk based auditing identifica “il controllo come una forma di attenuazione del rischio” e pur rispettando i medesimi passi del processo di internal auditing descritto nelle pagine precedenti, adotta una nuova ottica di analisi delle problematiche, conducendo a194: - l’individuazione di variabili interne ed esterne all’organizzazione che possono incidere sulla realizzazione degli obiettivi da parte della stessa; - la quantificazione e la valutazione degli effetti in termini di probabilità di impatto, monetario o non monetario, di tali variabili sui risultati relativi ad un processo, ad una business unit o all’azienda nel suo complesso. Entrando più nel dettaglio, l’approccio basato sui rischi si articola nei seguenti momenti: 1) Identificazione degli obiettivi strategici dell’azienda e delle attività/processi per la loro realizzazione. A tal fine possono essere 194 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 167. 124 4. Le metodologie di revisione interna utilizzati diversi strumenti importanti per la governance aziendale, impiegati nell’analisi degli scenari attuali e previsionali per l’azienda tra cui, sistemi di monitoraggio dell’ambiente esterno, strumenti quali la balance scorecard, l’analisi del piano strategico e degli obiettivi di budget, interviste al management e ai responsabili operativi ed altri sistemi di pianificazione e di programmazione e controllo; 2) Identificazione delle maggiori criticità/opportunità relative al raggiungimento degli obiettivi strategici, dopo una preventiva valutazione dei punti di forza/debolezza dell’azienda, in relazione al contesto competitivo di riferimento; 3) Identificazione delle aree di rischio significative. A tal riguardo risulta determinante l’esperienza del revisore e può essere molto utile il riferimento a benchmarking settoriali; 4) Valutazione dell’adeguatezza del sistema di controllo interno per ciascuna area di rischio, in relazione ai fattori determinanti il livello di rischio stesso; 5) Mappatura dei rischi aziendali, ovvero ordinamento delle aree da monitorare in funzione della loro “vulnerabilità”; 6) Comunicazione delle opinioni e raccomandazioni in merito all’adeguatezza del sistema di controllo interno ed ai principali rischi aziendali, ai responsabili operativi e, ove necessario, agli altri organi di controllo e al vertice aziendale. L’approccio metodologico per l’identificazione e valutazione dei rischi deve consentire un adeguato coinvolgimento dei soggetti interessati, pertanto, a seconda delle esigenze aziendali e del contesto di riferimento, si possono identificare tre metodi che si contraddistinguono per un diverso grado di complessità, dinamismo e turbolenza. 125 4. Le metodologie di revisione interna - Approccio top down, dove i manager vengono significativamente guidati dall’alto nell’identificazione e valutazione dei rischi. In alcuni casi, ad esempio, i process owner devono identificare i rischi rilevanti per il processo di cui sono responsabili, facendo riferimento a un preciso questionario sviluppato a livello di corporate ed effettuarne la valutazione in base a criteri specifici; - Approccio bottom up, i manager identificano autonomamente i propri obiettivi e segnalano i rischi che possono ostacolarne il raggiungimento. In tal modo, è possibile avere un feedback sul grado di comprensione degli obiettivi aziendali da parte dei manager, verificando la coerenza tra le loro percezioni e quanto definito a livello globale; - Approccio down-bottom up, si articola in una prima fase in cui vengono definiti gli obiettivi aziendali declinati a cascata a partire dagli obiettivi strategici (fase top down) e in un secondo momento in cui, una volta definiti gli obiettivi, si procede all’identificazione dei rischi da parte delle diverse strutture aziendali (funzioni corporate, business unit, attività operative, etc.) e alla successiva valutazione per poi procedere ad un consolidamento195 a livello globale (bottom up)196. La fase di identificazione e classificazione dei rischi e valutazione e selezione degli stessi, come abbiamo appena visto, viene normalmente condotta dal management, ma tale attività di risk assessment viene condivisa con la Funzione di Internal Auditing che si trova, dunque, ad assistere attivamente nello sviluppo e nell’attuazione concreta di un approccio improntato alla gestione del rischio aziendale. 195 Il consolidamento può essere effettuato dai responsabili del processo di risk assessment senza un ulteriore coinvolgimento dei soggetti che hanno svolto le attività di identificazione e valutazione dei rischi (consolidamento non iterativo), oppure può essere attuato sulla base di un confronto tra le persone coinvolte nel processo di risk assessment, che può realizzarsi con modalità differenti a seconda delle esigenze aziendali (consolidamento iterativo). A seguito di questo confronto, si verificherà un’iterazione del processo finalizzata alla verifica e/o all’aggiustamento dei valori disallineati in maniera significativa. 196 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 169. 126 4. Le metodologie di revisione interna Secondo tale metodologia, l’internal auditor non parte da obiettivi già definiti dal management aziendale, ma si pone come un’interfaccia continua nei confronti dell’alta direzione, esercitando per essa una vera e propria attività di consulenza in merito agli ostacoli che si frappongono nel conseguimento degli obiettivi aziendali, con un’ottica di osservazione prospettica dell’impatto degli stessi sugli equilibri dell’organizzazione. L’individuazione delle unità assoggettabili ad audit tipica della metodologia di auditing tradizionale colpisce soltanto “indirettamente” le diverse Funzioni, i processi e le business unit che sono soggette ad auditing in virtù di una valutazione del rischio per unità organizzativa. In graduatoria vengono posti i rischi aziendali, misurati in termini di impatto sugli obiettivi di business complessivi e per quanto concerne la tempificazione delle attività di audit, essa non è vincolata ad un audit program rigido, ma è soggetta ad una verifica continua sul valore dell’informazione generata rispetto al tempo (e al costo) del suo ottenimento. In tale ottica, all’internal auditor sarà richiesta una valutazione sulla validità delle azioni di contenimento dei rischi aziendali e sull’efficacia dei controlli interni, pertanto, per la formulazione di ipotesi ritenute ragionevoli dovrà procedere ad una raccolta di informazioni sufficienti sull’entità dei rischi. È opportuno precisare che, la gestione integrata delle macro-categorie di rischio (tra cui, ad esempio, le categorie di Market Risk, Credit Risk e Operational Risk), e la conseguente analisi delle stesse, non può essere effettuata con una visione radiale dei rischi, come esemplificato nella Figura 6. Il punto di vista radiale, infatti, consente all’osservatore (che è posizionato al centro) di identificare e valutare solo i rischi che entrano direttamente nel proprio campo visivo: in questo modo, è possibile avere solo una conoscenza frammentaria dei rischi che possono impattare sull’azienda, 127 4. Le metodologie di revisione interna escludendo la possibilità di avere una visione organica che tenga conto delle interdipendenze tra i diversi rischi. Nell’approccio risk based la centralità dell’auditor, nello sviluppo delle strategie di ERM, richiede l’utilizzo di strumenti che consentano di identificare in maniera sistematica i rischi che possono impattare sull’azienda e di fornire una corretta valutazione delle conseguenze che questi rischi possono comportare per l’organizzazione stessa. È fondamentale scegliere un punto di vista strategico che consenta una gestione integrata dei rischi aziendali e, pertanto, l’adozione di un modello piramidale dei rischi potrebbe essere un valido strumento per valutare la possibilità di intervenire sulla probabilità di accadimento degli eventi negativi o sulla gravità del loro impatto. LA VISIONE RADIALE DEL RISCHIO ET ED IT K AR RI SK M SK CR RI IA IA OPERATIONAL RISK Fig. 6 128 4. Le metodologie di revisione interna La piramide dei rischi (Figura 7) può essere utilizzata sia nello sviluppo dell’attività di event identification, sia nella fase di risk assessment previste dal CoSO-ERM. L’event identification è una fase delicata nella definizione di una strategia ERM: è in questo momento, infatti, che gli eventi a cui l’azienda può andare incontro vengono classificati come rischi o come opportunità, in funzione del livello di risk appetite definito dal management. Una volta identificati gli eventi che possono comportare conseguenze indesiderate al raggiungimento degli obiettivi di business dell’azienda, la piramide dei rischi consente all’internal auditor di valutare gli eventi negativi in funzione della possibilità da parte del management di intervenire sulla probabilità di accadimento o sulla gravità dell’impatto dello specifico evento. Questa sistematizzazione consente all’internal auditor di monitorare costantemente i singoli eventi potenzialmente dannosi per la propria azienda. LA PIRAMIDE DEI RISCHI NELL’EVENT IDENTIFICATION MARKET RISK CREDIT RISK OPERATIONAL RISK IA IA Fig. 7 129 4. Le metodologie di revisione interna A differenza di quanto avviene con la visione radiale del rischio, in questo caso, la posizione di monitoraggio dell’auditor è collocata alla base della piramide: in questo modo, i rischi immediatamente individuabili sono quelli operativi, cioè i rischi sui quali il management può decidere di intervenire direttamente, in funzione della loro criticità, utilizzando i diversi strumenti di risk management che ha a disposizione. Una volta superati i rischi operativi, è possibile individuare i rischi di credito e i rischi di mercato. Questa visione panoramica consente all’auditor di intuire le event interdipendencies, cioè quelle “relazioni pericolose” tra i rischi individuati di cui è necessario tener conto nella fase successiva di risk assessment. A questo punto l’internal auditor può contribuire alla valutazione delle criticità dei rischi che possono impattare sull’azienda. L’assessment del rischio è un’attività particolarmente delicata, attraverso la quale il rischio in esame viene definito in funzione della relazione tra probabilità di accadimento dell’evento indesiderato e dell’impatto che questo può avere sul raggiungimento degli obiettivi aziendali. Questa operazione consente di “etichettare” il rischio in funzione della sua criticità e di collocarlo in una zona precisa della matrice del rischio (Figura 8). Tale matrice è solitamente rappresentata dallo spazio compreso tra gli assi cartesiani, con i valori di probabilità e di impatto, che si intersecano in un punto 0; lo spazio viene così diviso in quadranti (4 nel nostro caso) nei quali i rischi vengono collocati a seconda della loro criticità. 130 4. Le metodologie di revisione interna LA MATRICE DEL RISCHIO HIGH-HIGH LOW-LOW LOW-HIGH IMPATTO HIGH-LOW PROBABILITA’ Fig. 8 L’auditor deve conoscere bene l’importanza della matrice di rischio, sia come strumento operativo, sia come strumento di comunicazione al management delle criticità aziendali; criticità che nel processo di ERM devono essere stimate in funzione di quella che il CoSO-ERM definisce correlation of event, vale a dire il sistema di interrelazioni che si vengono a creare tra i rischi. Per questo sistema di relazioni l’attività di risk assessment non può essere effettuata sul singolo rischio, ma necessariamente sulla valutazione degli effetti che il verificarsi di quel rischio può comportare, tenendo conto di come questi effetti possano innescare altri eventi dannosi. In questo senso, l’utilizzo di un modello piramidale potrebbe essere utile nella creazione degli scenari di rischio e nell’individuazione dei near misses, quegli eventi (negativi) che potrebbero avvenire se si verificassero determinate condizioni. Anche in questo caso, a differenza della visione radiale del rischio, la piramide dei rischi consente all’auditor di stimare il valore del rischio in un contesto integrato, che metta in evidenza l’interdipendenza tra gli eventi 131 4. Le metodologie di revisione interna negativi e che consenta quindi di definire con maggior precisione il collocamento dello specifico rischio all’interno della matrice di rischio197. L’attenzione all’interdipendenza tra i rischi consente di “tarare” con più precisione il peso specifico di ogni rischio in funzione degli scenari che possono derivare dal verificarsi dello stesso, definendo con maggior approssimazione il valore dell’impatto complessivo che il rischio può avere sull’azienda. Quanto appena detto è essenziale per l’effettuazione di un corretto risk assessment e, inoltre, l’utilizzo di tali modelli consente di dimostrare al management come una specifica interdipendenza tra rischi giustifichi la richiesta di intervenire con investimenti atti a ridurre il verificarsi di un potenziale trigger event198. È necessario sottolineare che, l’implementazione dell’approccio risk based richiede all’internal auditor una grande esperienza ed elevate competenze professionali, oltre che un continuo dialogo con i manager e il personale operativo di riferimento. Il rapporto di audit sarà incentrato, non tanto sulle non conformità di singole attività o processi da cui poi scaturiranno controlli di remediation tipici della fase di follow up, ma si concentrerà sui rischi individuati e sulla valutazione delle politiche di gestione dei rischi intraprese, tutto ciò con la collaborazione del management e dei responsabili operativi, i cui contatti formali o informali garantiranno lo sviluppo del processo di risk management. 197 Si pensi, ad esempio, alla distruzione accidentale dei disegni (rischio operativo): essa può impattare sulla capacità di produzione dell’azienda, la quale si trova in difficoltà nella consegna del materiale ai clienti (rischio operativo) con conseguente perdita economica dovuta al pagamento delle penali previste dal contratto di fornitura del materiale (credit risk); le perdite economiche possono causare una crisi di liquidità all’azienda, la cui reputazione, nel frattempo, ha subito un calo con conseguente perdita di quote di mercato (market risk). 198 Cfr. DAL NEGRO L., “Il terremoto di Kobe, ovvero l’interdipendenza tra i rischi.”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2007 p. 32-36. 132 4. Le metodologie di revisione interna L’approccio basato sui rischi, nonostante fornisca all’organizzazione maggior valore aggiunto rispetto ad un approccio tradizionale, concentrandosi sulle aree a rischio più elevato, favorendo la condivisione delle analisi con il management operativo e presentando un’alta capacità informativa per gli operatori aziendali sulla rilevanza di meccanismi di controllo come mezzi di raggiungimento degli obiettivi, richiede all’internal auditor l’acquisizione di una serie di competenze che vanno oltre l’ambito della revisione. Sono necessari, fra le altre cose, una buona conoscenza del contesto di riferimento in cui opera l’azienda e competenze manageriali nei diversi settori gestionali che non sempre il revisore interno possiede; in questi casi, c’è il rischio che tale approccio non consenta di giungere ad una valutazione complessiva dei controlli interni. 4. IL CONTROL & RISK SELF ASSESSMENT (CRSA) Come già visto precedentemente, nell’attuale contesto economico, il tema dell’analisi dei rischi è diventato di fondamentale importanza. Lo stesso Codice di Autodisciplina, ispirandosi all’ “ERM – Integrated Framework” del 2004, propone una definizione di sistema di controllo interno da intendersi come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”. In particolare, l’adozione di un approccio basato sui rischi acquista rilevanza in termini di comunicazione al mercato; infatti, gli emittenti sono chiamati a fornire un’adeguata informativa sul livello di rischio e sui 133 4. Le metodologie di revisione interna meccanismi di risk management implementati e ciò consente di tutelare maggiormente gli investitori, che sono messi nelle condizioni di valutare i rischi del proprio investimento. Il processo di valutazione dei rischi rappresenta, quindi, sia una componente del sistema di controllo interno, sia una fase di svolgimento del risk management. Abbiamo avuto modo di osservare che il concetto di valutazione del rischio qualifica un insieme coordinato di attività inerenti l’identificazione, la misurazione e la classificazione, in base alle priorità, dei rischi aziendali. La responsabilità di tale processo, pur coinvolgendo l’intera struttura organizzativa, è comunque affidata al vertice aziendale, mentre all’internal auditor, spesso, spetta il compito di un suo monitoraggio. Tale attività ha comportato la necessità di sviluppare nuovi canali di comunicazione, tra revisori interni e management, che favorissero l’evoluzione di meccanismi operativi utili alla valutazione dei rischi. La metodologia di Control & Risk Self Assessment (CRSA) può costituire un utile ed efficiente strumento di collaborazione tra manager ed internal auditor nell’analisi e nella valutazione dei processi di risk management e controllo dell’organizzazione. Il CRSA può essere definito come una “metodologia di autodiagnosi”, caratterizzata da un’attiva partecipazione del management, che consente ai manager e ad altri soggetti operativi di un’unità organizzativa, funzione o processo, attraverso un processo strutturato e guidato, di199: - identificare gli obiettivi di business e di governo prioritari e i relativi rischi e vulnerabilità potenziali che costituiscono minacce al loro conseguimento; - valutare i processi di controllo finalizzati a mitigarli o gestirli; 199 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 247. 134 4. Le metodologie di revisione interna - sviluppare iniziative per ridurre i rischi che emergono nel corso dell’autodiagnosi; - determinare il livello di accettabilità dei rischi residui ai fini del conseguimento degli obiettivi200. La grande novità del CRSA è rappresentata dal prefisso “self”, ovvero auto-valutazione. Nel parlare di valutazione dei controlli interni, viene chiamato in causa l’intero management dell’organizzazione e i suoi gruppi di lavoro, e non l’Internal Auditing.; ed è proprio l’aspetto auto-valutativo la vera innovazione rispetto all’approccio risk based, in cui è l’Internal Auditor a valutare l’efficacia dei controlli posti in essere dall’organizzazione per raggiungere gli obiettivi stabiliti, sulla base dei rischi aziendali201. Le modalità di effettuazione del CRSA non seguono criteri predefiniti, ma si modificano per adattarsi ai continui cambiamenti dell’organizzazione in funzione del settore di appartenenza, della struttura organizzativa, del livello di empowerment del personale, dello stile manageriale e dei sistemi di formulazione di strategie e politiche. Il processo di CRSA deve, pertanto, essere calibrato in modo che si adatti alle caratteristiche di ogni struttura organizzativa, oltre che dinamico e modificabile nel tempo a fronte del continuo evolversi della stessa. Al di là dell’ampia varietà di approcci che si distinguono: per le tecniche adottate (workshop, interviste o questionari), supportate anche da varie analisi interne elaborate dal management; per il diverso grado di 200 Nel 1998, l’Institute of Internal Auditor (IIA) ha definito il CSA (allora si chiamava così) “un processo attraverso il quale si analizza e valuta l’efficacia del controllo interno con lo scopo di fornire ragionevole certezza che tutti gli obiettivi dell’organizzazione siano raggiunti.” E descrivendone le varie fasi operative precisava che il CSA è “un approccio di team, strutturato, analitico e facilitato, che utilizza le competenze degli esperti, usa l’anonimato per far emergere la verità relativamente al conseguimento degli obiettivi, identifica le cause di fondo dei rischi, e delle debolezze di controllo e fornisce informazioni quantificate per la presa di decisioni e lo sviluppo dei miglioramenti.” 201 Cfr. TORNEO M., “Introduzione al Control and Risk Self Assessment.”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 8. 135 4. Le metodologie di revisione interna coinvolgimento del management dei livelli più elevati e per il ruolo assunto dall’Internal Auditing; le caratteristiche distintive del CRSA consistono nel fatto che: • la valutazione dei rischi e dei controlli interni spetta al management; • vengono utilizzate metodologie di facilitazione, quali workshop e questionari; • l’internal auditor assume in tale approccio un ruolo di “facilitatore” e formatore sulle tematiche relative ai rischi e ai controlli. La presenza della Funzione di Internal Auditing nel CRSA non costituisce necessariamente un elemento distintivo del processo; infatti, anche se gli internal auditor risultano le figure maggiormente coinvolte, nella realtà, ai fini dell’introduzione del CRSA nelle organizzazioni, lo stesso può essere supportato da altre figure professionali interne o esterne. L’implementazione del Control & Risk Self Assessment può strutturarsi per tutte le dimensioni organizzative, quindi, per Funzioni, business unit, processi e progetti. Tale approccio consente una valorizzazione delle conoscenze e delle capacità di tutti coloro che ne sono direttamente responsabili e che conoscono a fondo le diverse problematiche di business e le procedure relative al proprio lavoro. Il CRSA, conformemente ai principi di miglioramento continuo e alla diffusione della cultura di risk management, rappresenta un valido strumento a disposizione del management aziendale per determinare un’evoluzione nella cultura del controllo dell’organizzazione ed incentivare l’empowerment del personale. I vantaggi derivanti dall’adozione del processo di CRSA possono essere così sintetizzati202: 202 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 248-249. 136 4. Le metodologie di revisione interna - una maggiore consapevolezza del risk management e del controllo dell’intera struttura organizzativa, derivante dall’apprendimento, da parte dei partecipanti, delle modalità di analisi, nonché dall’assunzione delle responsabilità in merito; - una focalizzazione dell’attenzione sui rischi e sui controlli di maggior rilievo; - una maggiore efficacia delle azioni correttive, in virtù del fatto che i partecipanti al CRSA sono, di fatto, i “proprietari” dei risultati scaturiti; - un monitoraggio e un miglioramento continuo della filiera obiettivi – rischi – controlli; - un generale rafforzamento del ruolo del management nella gestione dei rischi e dei processi di controllo, che può comportare una minore propensione a delegare tali attività a specialisti, quali gli internal auditor203. In aggiunta, il CRSA contribuisce a diffondere ed a migliorare i processi di enterprise risk management, tramite: - la sensibilizzazione del management verso il processo di risk management e il controllo interno; - la motivazione del personale nella progettazione e nell’implementazione dei processi di controllo, nonché nel miglioramento continuo dei processi operativi; - la segnalazione di eventuali malfunzionamenti e blocchi nei processi di informazione e comunicazione; 203 Con il CRSA si invita l’intera popolazione aziendale ad identificare e circoscrivere i problemi di cui è a conoscenza, in modo che ne risulti una consapevolezza condivisa e globale dei rischi, a fronte dei quali impostare con razionalità le necessarie azioni correttive. “Questo è il CRSA: un ponte. Un ponte che collega chi sa dell’esistenza di un problema ma non ha il potere di risolverlo, con chi avrebbe tutti i poteri necessari ma ignora l’esistenza del problema. Ma il CRSA è anche di più: un sistema di mappatura che consente di eliminare gran parte dei territori oscuri dove si annidano i problemi irrisolti perché ignorati.” Cfr. Conversazione con Giovanni Grossi, Presidente onorario dell’AIIA, “Una sfida insidiosa per l’internal audit.”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Gen-Apr 2007 p. 11. 137 4. Le metodologie di revisione interna - il miglioramento dei sistemi di reporting, in virtù della componente autovalutativa del management sull’adeguatezza dei controlli a presidio dei rischi. È opportuno rilevare, inoltre, che le dinamiche organizzative del CRSA, basate su un’attiva partecipazione del management e portatrici di un elevato livello di sensibilità diffusa all’interno dell’organizzazione relativamente alle interrelazioni sussistenti tra obiettivi, rischi e controlli, contribuiscono al miglioramento della qualità del processo di pianificazione strategica, se correttamente integrate all’interno dello stesso204. Per quanto riguarda, ad esempio, i rapporti con l’ambiente competitivo, il CRSA può contribuire alla definizione degli obiettivi strategici dell’organizzazione, offrendo importanti indicazioni di scenario; oppure, relativamente all’allocazione delle risorse, può incrementare la qualità del processo di selezione delle diverse opportunità di investimento, offrendo un’analisi sul rapporto tra redditività e profilo di rischio dello stesso; e non per ultimo, l’aspetto della responsabilizzazione del management i cui piani di azione elaborati nei processi di CRSA e finalizzati all’implementazione di strategie di risposta al rischio dovranno essere sottoposti a verifiche di compatibilità con altri programmi aziendali. D’altro canto, il CRSA per poter avere successo, o anche solo poter essere avviato come progetto, deve essere sperimentato in una organizzazione la cui cultura sia già orientata all’empowerment di tutti i livelli. Perché il CRSA possa effettivamente decollare è necessario, inoltre, che un clima di fiducia e di onestà abbia la meglio su una presunta “ragion d’impresa”, e che non ci siano veti e condizionamenti del vertice e del senior management sulle problematiche da affrontare. Se questi presupposti non esistono o sono di difficile realizzazione, è meglio rinunciare. Ecco perché l’applicazione del CRSA risulta 204 Cfr. S. Beretta, Valutazione dei rischi e controllo interno. Egea Edizioni, Milano, 2004. 138 4. Le metodologie di revisione interna sostanzialmente sconsigliata in quelle organizzazioni del tipo “Comando e Controllo”, in cui le decisioni e la creatività restano confinate a livello di top management, le attività di internal audit bruciano preziose energie in interventi principalmente di compliance, e l’attenzione degli stessi auditor è più sulle procedure aziendali che sugli obiettivi di business205. Alcune delle problematiche e degli ostacoli che si possono frapporre nell’implementazione del Control & Risk Self Assessment sono206: - la resistenza al cambiamento, da parte del personale dell’impresa di fronte all’adozione di nuove metodologie; - la mancata assunzione di responsabilità o impegno da parte del management; - la scarsa attendibilità dei risultati del CRSA derivante da culture aziendali poco trasparenti; - la necessità di competenze in tema di gestione dei rischi e di controlli, gestione che richiede un elevato livello di addestramento del personale e di impegno temporale ai fini dell’efficace funzionamento del processo di CRSA; - la mancanza, nell’ambito della Funzione di Internal Auditing, delle competenze necessarie allo svolgimento del ruolo di “facilitatore” o di istruttore; - la non precisa definizione e comunicazione all’interno dell’azienda delle responsabilità e delle caratteristiche del processo di CRSA, che rischia di porre la Funzione Internal Auditing in competizione con le altre aree aziendali. 205 Cfr. TORNEO M., “Introduzione al Control and Risk Self Assessment.”, Internal Audit. Corporate Governance, Risk Management e Controllo Interno. Mag-Ago 2005 p. 9. 206 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 250. 139 4. Le metodologie di revisione interna Da quanto fin qui detto, si comprende che prima di intraprendere il cammino dell’adozione del processo di CRSA, è necessario effettuare un’analisi dello “stato” in cui verte l’azienda, in modo tale da valutare se sussistono una o più delle circostanze suddette, che potrebbero condizionare in maniera rilevante la sua implementazione. 4.1. IL RUOLO DELL’INTERNAL AUDITOR NELL’APPROCCIO CRSA Il grado di partecipazione della Funzione di Internal Auditing nei progetti di CRSA varia a seconda delle circostanze. Talvolta, è previsto un impegno rilevante che comporta la sponsorizzazione, la progettazione, l’attuazione e la gestione del processo tramite la conduzione di sessioni formative, la messa a disposizione di facilitatori e di personale per la redazione di verbali e relazioni, nonché l’organizzazione per il coinvolgimento di manager e gruppi di lavoro. In altri casi, invece, il coinvolgimento dell’Internal Auditing si presenta più contenuto, limitandosi a fornire consulenza e assumendo il ruolo di parte interessata all’intero processo di valutazione, effettuando opportune verifiche per convalidarne i risultati ed esprimendo un giudizio professionale sull’adeguatezza e l’efficacia complessiva dei sistemi di controllo e di gestione del rischio. In genere, l’impegno della funzione di Internal Audit nei progetti di CRSA si posiziona all’interno di questi due punti estremi; e sulle modalità di intervento di tale Funzione esistono differenti visioni relativamente ai seguenti punti207: 207 Cfr. L. Hubbard, Control Self Assessment:guida pratica, Milano, AIIA, 2006. 140 4. Le metodologie di revisione interna 1) Il ruolo dell’internal auditing. Alcuni ritengono che la funzione non debba essere “proprietaria” finale del processo di CRSA e debba invece pianificare nel tempo il trasferimento del ruolo di “facilitatore” e di reporting interamente ai team di lavoro. Altri, invece, sostengono che l’internal auditing debba continuare a svolgere il proprio ruolo di “facilitatore” ed essere il punto di riferimento per la pianificazione e il reporting sul CRSA. Nella realtà sono poche le funzioni di Internal Auditing che hanno trasferito completamente le “proprietà” del CRSA ai team di lavoro. 2) L’attività di reporting dei risultati di CRSA. Dovrebbe essere l’Internal Auditing a presentare un rapporto al management sui risultati di un progetto, oppure lo stesso dovrebbe essere emesso dal team di lavoro. Anche l’emissione del rapporto di CRSA direttamente da parte del team di lavoro crea un ulteriore allineamento di responsabilità tra la valutazione dei controlli e il reporting, che può portare ad un maggiore impegno nell’assessment di rischi e controlli rispetto al caso in cui la responsabilità e il reporting non fanno capo alla stessa entità. Gli internal auditor possono comunque emettere un rapporto sui risultati dell’attività in generale, eventualmente poi corredati di verifiche integrative; si precisa inoltre che, dove il CRSA non è ancora prassi consolidata, svolgere attività di CRSA nell’ambito di uno specifico intervento di audit, per esempio nella fase dell’analisi preliminare, può avere effetti molto positivi. 3) La quality assurance. Alcuni sostengono che la funzione di Internal Auditing debba eseguire una valutazione globale per confermare l’affidabilità delle attività di CRSA, altri ritengono, invece, che tutto ciò non sia necessario. In realtà, la revisione del processo risulta necessaria se un self assessment entra a far parte del piano di audit al fine di fornire una 141 4. Le metodologie di revisione interna visione complessiva dei controlli interni208. Inoltre, se il CRSA sostituisce completamente un audit, dovranno essere effettuati test efficaci in varie fasi del processo. In sostanza, l’internal auditor costituisce un ausilio per il management nell’adempiere alle proprie responsabilità, in termini di mantenimento ed introduzione dei processi di controllo e di gestione dei rischi. Inoltre, è opportuno sottolineare che, il CRSA, oltre che a fornire valore aggiunto all’organizzazione tramite l’impiego di risorse specialistiche o a sostegno dell’implementazione del progetto, consente alla Funzione di Internal Auditing di conseguire dei vantaggi, quali209: - diventare il diretto utilizzatore dell’output derivante dal CRSA: i risultati prodotti nelle sue sessioni possono rivelarsi estremamente utili ai fini della definizione del piano di audit e nella fissazione delle priorità degli interventi; - migliorare l’efficienza delle proprie attività, attraverso la riduzione delle risorse dedicate alla raccolta di informazioni sui rischi e controlli e l’eventuale eliminazione di parte delle attività di test. In generale, un buon progetto di CRSA dovrebbe comportare un ampliamento dell’ambito di copertura dei processi di controllo, un miglioramento della qualità delle azioni correttive introdotte dai responsabili di processo e una maggiore concentrazione delle risorse di internal auditing sulle unità aziendali meno presidiate dal sistema di controllo interno e che, allo stesso tempo, presentano elevati rischi residuali. 208 Cfr. Professional Practies Pamphlet 98-2. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 252. 209 142 4. Le metodologie di revisione interna Nel momento in cui i responsabili della Funzione di Internal Audit non provvedono a preparare e controllare adeguatamente il proprio staff nell’implementazione del CRSA, svolgendo, quindi, un ruolo di “facilitatore” e di istruttore con scarsa preparazione e senza dotarsi di staff con skills idonei, ecco che i danni provocati all’immagine della Funzione Internal Auditing potrebbero essere considerevoli. 4.2. LE METODOLOGIE UTILIZZATE NEL CRSA I principali approcci che vengono utilizzati più di frequente per lo svolgimento del Control & Risk Self Assessment possono essere raccolti nelle seguenti tre categorie: a) Workshop approach. b) Survey approach. c) Management produced analyses. Qui di seguito forniremo alcuni approfondimenti sulle tecniche maggiormente utilizzate, in particolare il workshop e il questionario, fornendo per completezza brevi accenni anche relativamente alle analisi interne elaborate dal management. a) Il workshop approach. Il workshop, che nella realtà operativa risulta essere di gran lunga l’approccio più diffuso e apprezzato, consiste in sessioni di analisi e di discussione, opportunamente strutturate, condotte da “facilitatori”. 143 4. Le metodologie di revisione interna Si tratta, in altri termini, di riunioni di gruppo che, normalmente durano da due a quattro ore e coinvolgono da sei a quindici partecipanti, progettate allo scopo di far emergere conoscenze, percezioni e giudizi dei partecipanti sui rischi, sulle loro cause e sulle possibili conseguenze, nonché sull’adeguatezza dei controlli esistenti, in relazione a un determinato obiettivo o processo210. Con il workshop, l’identificazione degli eventi viene tracciata sulla base dell’esperienza e delle conoscenze del management, staff ed altro personale coinvolto. Infatti, attraverso la partecipazione di persone appartenenti a livelli diversi delle unità o Funzioni coinvolte, con differenti backround di esperienze o conoscenze, è possibile identificare, con dinamiche di gruppo, importanti eventi che altrimenti rischierebbero di essere omessi. Le dinamiche che si innescano, favoriscono un incremento della sensibilità verso gli aspetti riguardanti la gestione dei rischi e la criticità dei controlli, promuovendo altresì, una migliore comunicazione tra le parti e migliorando la comprensione reciproca degli effetti che le decisioni e i comportamenti di ciascuna entità possono avere sulle altre, in termini di rischi. Il ruolo di facilitatore, che provvede alla pianificazione e conduzione del workshop, viene spesso assunto dall’internal auditor a cui è richiesta un’elevata professionalità in materia. Facilitare il workshop significa, pertanto, rendere più agevole al gruppo di lavoro la valutazione degli obiettivi, dei rischi e dei controlli, facendo emergere idee, esperienze e valori che possono fungere da base per prendere decisioni condivise e per assumerne la responsabilità211. 210 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 255. 211 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 255. 144 4. Le metodologie di revisione interna L’internal auditor, pertanto, si trova nella posizione di moderatore212 della discussione sugli eventi che possono influenzare il raggiungimento degli obiettivi aziendali, nel suo complesso o della singola unità organizzativa. Al facilitatore sono richieste, al di là delle caratteristiche generali necessarie per la gestione efficace di qualsiasi meeting213, competenze specificatamente connaturate al processo di CRSA. Di seguito riportiamo alcuni momenti della gestione di un workshop su cui è opportuno porre attenzione. I. La preparazione preliminare del workshop Preliminarmente all’effettuazione della riunione formalizzata, è opportuno che l’internal auditor illustri al gruppo di lavoro, le finalità, i contenuti e i motivi per cui il progetto di CRSA viene implementato nell’organizzazione, la correlazione con l’attività di internal auditing e la destinazione dei suoi risultati; in tale introduzione sono necessari l’utilizzo di una terminologia univoca e di strumenti adatti per la raccolta di informazioni. 212 È fondamentale per una buona conduzione del workshop, che l’internal auditor sia dotato, oltre che di competenze tecniche in materia di rischi e controlli, anche di competenze socioorganizzative. Secondo una ricerca effettuata da un gruppo di studio, un facilitatore di CRSA dovrebbe essere: - dotato di caratteristiche quali prontezza, abilità, intelligenza, perspicacia; - generalista; - capace di costruire una struttura intorno ai concetti trattati; - in possesso di abilità comunicative; - capace di adattarsi in situazioni di ambiguità. (Per ulteriori approfondimenti cfr. R.P. Tritter, D.S. Zittnan, Control Self Assessment: Experience, Current Thinking and Best Practices, The IIA Research Foundation, 1996.) 213 È opportuno il riferimento a tutte quelle responsabilità relative a: - aspetti logistici del meeting, inerenti locali, materiali, dotazioni, break, pasti e quant’altro connesso all’allestimento e alla gestione di uno workshop; - gestione del processo, che implica la definizione della struttura, delle regole generali e delle finalità del meeting; - controllo della dinamica di gruppo, relativo alla gestione delle personalità, delle aspettative, dei conflitti e delle inefficienze che possono insorgere nei meeting. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 256. 145 4. Le metodologie di revisione interna In particolare, ai fini di rendere efficiente ed efficace tale processo, si procede214: • ad illustrare in anticipo ai partecipanti i contenuti e i metodi del workshop, compresi i modelli di rischio e controllo adottati; • ad effettuare un incontro con il management del gruppo di lavoro che parteciperà al meeting, per acquisire informazioni sull’attività e gli obiettivi di business ed illustrare il progetto di CRSA; • a comprendere la cultura del gruppo di lavoro, in modo tale da avere la consapevolezza del clima che si presenterà durante lo svolgimento del workshop; • a selezionare gli obiettivi e i processi da utilizzare nel workshop, per poi individuarne i partecipanti; • ad acquisire informazioni relativamente alla terminologia utilizzata dal gruppo, quindi i nomi dei processi e dei sistemi informatici, nonché di eventuali precedenti audit o analisi; • predisporre la logistica del meeting e comunicare, per tempo, la data della sua effettuazione; • predisporre un’agenda, che rappresenti una guida alle diverse sessioni di workshop. 214 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 256-257. 146 4. Le metodologie di revisione interna II. La gestione del workshop Essa fa riferimento, soprattutto, ad aspetti inerenti la gestione delle dinamiche di gruppo, ovvero: • l’abilità nel comprendere quali domande provenienti dal gruppo devono ottenere un’immediata risposta e quali, invece, possono essere girate al gruppo stesso per rafforzarne le competenze; • la raccolta delle informazioni, con particolare riguardo alla capacità di ottenere risposte specifiche, di capire la situazione reale, di trovare l’accordo nel registrare i risultati, di osservare i partecipanti per capire quando indagare ulteriormente, quando lasciare che qualcuno assuma la guida, quando, invece, coinvolgere qualcuno nella discussione e non imporre la propria visione al gruppo; • le competenze specifiche per una presentazione efficace, quindi entusiasmo, sincerità, energia, capacità comunicative, rispetto della tempistica, utilizzo di supporti visivi, attrezzature e modalità espositive; • la gestione delle differenti personalità che partecipano al workshop e la capacità di governare eventuali situazioni critiche; • l’utilizzo della tecnologia per effettuare le votazioni215. 215 Normalmente la tecnologia impiegata si concretizza nel voto anonimo o nel sistema delle postazioni di lavoro. Il voto anonimo permette ai partecipanti di indicare preferenze, priorità, percezioni e opinioni su un determinato argomento; il sistema delle postazioni di lavoro consente ai partecipanti di scrivere le loro idee sui propri computer, collegati in rete per poter essere visualizzate su uno schermo. Molti dei risultati del workshop possono essere ottenuti mediante tecniche manuali, ma la visualizzazione e l’analisi della votazione in tempo reale consentite dai sistemi elettronici possono massimizzare i risultati. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 257. 147 4. Le metodologie di revisione interna III. Le possibili tipologie di workshop216 Il workshop può strutturarsi secondo percorsi e focus diversi a seconda degli obiettivi che si intendono perseguire, qui di seguito riportiamo dei brevi accenni su alcuni degli approcci utilizzati per condurre un’analisi CRSA. L’approccio complessivo basato sugli obiettivi aziendali prefissati, si focalizza sull’individuazione dei rischi che possono pregiudicare il raggiungimento di un determinato obiettivo aziendale, pertanto il workshop prende avvio con l’identificazione di tutti i possibili ostacoli, barriere, minacce e vulnerabilità (rischi inerenti). Successivamente, si procede all’analisi delle procedure di controllo in atto per verificarne l’idoneità al contenimento dei rischi principali, per poi determinare l’entità del rischio residuale e valutarne la tollerabilità, in funzione delle politiche aziendali. Essendo l’obiettivo finale quello di identificare l’esistenza dei rischi residuali rilevanti, questo approccio può produrre risultati più ampi rispetto alle altre metodologie, in quanto fornisce una completa identificazione dei rischi e dei controlli e si basa su un sistema di valutazione del rischio già ottimizzato. La sequenza del workshop basato sui rischi OBIETTIVO RISCHI INERENTI CONTROLLI RISCHI RESIDUI VALUTAZIONE Fig. 9 216 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 258-260. 148 4. Le metodologie di revisione interna L’approccio basato sui processi, si basa sull’analisi di un intero processo217 e delle specifiche attività che si svolgono al suo interno. Tale approccio, in genere risulta molto più familiare per i revisori interni e per il management, in quanto ha come oggetto di analisi i processi a cui tipicamente si riferisce l’attività di auditing tradizionale. Il workshop process-based, in genere include l’identificazione degli obiettivi aziendali per l’intero processo e per le varie attività che lo compongono; da qui i partecipanti al gruppo di lavoro procedono ad identificare i relativi rischi e i controlli che consentono il raggiungimento di tali obiettivi. Lo scopo dell’analisi è quello di valutare, aggiornare, convalidare e migliorare ed eventualmente semplificare l’intero processo e le singole attività che lo compongono, ottimizzandone quindi la sua gestione in un’ottica di risk management. L’approccio basato sui processi può avere una maggiore ampiezza di analisi in quanto focalizzato su una molteplicità di obiettivi all’interno del processo e può essere utilizzato dal management in progetti di reengineering e di miglioramento della qualità e, in generale, in iniziative di miglioramento continuo. Esso, inoltre, nel caso di processi trasversali alle linee funzionali, favorisce la comunicazione tra gruppi appartenenti a diverse aree aziendali, offrendo ai partecipanti l’opportunità di una maggiore comprensione delle attività del processo. 217 Per processo si intende una serie di attività a valore aggiunto, tra loro coordinate al fine di conseguire un determinato risultato. 149 4. Le metodologie di revisione interna La sequenza del workshop basato sui processi OBIETTIVI PROCESSO OBIETTIVI ATTIVITA’ RISCHI INERENTI OTTIMIZZAZIONE CONTROLLI VALUTAZIONE Fig. 10 L’approccio focalizzato sui controlli si concentra sul metodo migliore per la realizzazione degli obiettivi prefissati ed inizia con l’identificazione dei controlli in essere per il perseguimento di ciascun obiettivo aziendale, sulla base dei rischi inerenti già individuati prima dell’effettuazione del workshop. Da qui si procede all’identificazione dei relativi rischi residuali e alla conseguente valutazione delle procedure di controllo, in termini di adeguatezza, efficacia e idoneità a garantire livelli accettabili di rischio residuale. In tale approccio i principali rischi inerenti vengono identificati a seguito di analisi interne effettuate in una fase preliminare del progetto o, comunque, già disponibili. Dato che questo approccio presuppone una valida identificazione dei rischi, con il relativo disegno dei controlli per il raggiungimento degli obiettivi, esso può essere applicato in un’organizzazione che abbia già implementato un modello di rischi e di controllo. 150 4. Le metodologie di revisione interna La sequenza del workshop basato sui controlli e sui rischi residui OBIETTIVO RISCHI INERENTI CONTROLLI RISCHI RESIDUI VALUTAZIONE Workshop Fig. 11 Infine, l’approccio focalizzato sui rischi residui, è un approccio molto circoscritto, poiché si concentra sulla verifica del corretto funzionamento dei controlli in essere. I principali controlli e i rischi potenziali vengono identificati da analisi interne già disponibili o determinati durante il processo di pianificazione del progetto di CRSA. Tale identificazione preliminare può avvenire attraverso interviste con il management e i collaboratori, l’utilizzo di flowcharting o altri modelli di supporto. Il suo scopo è valutare l’efficacia dei controlli nel contenimento dei rischi e nel raggiungimento degli obiettivi fissati, dato che i controlli nel tempo sono soggetti ad un certo grado di volatilità, per cui anche quelli originariamente più efficaci possono deteriorarsi per negligenza o per effetto del contesto interno ed esterno in cui essi operano. In questi casi il rischio residuale che in passato veniva considerato accettabile per l’organizzazione potrebbe tornare a riposizionarsi attorno al livello originale di rischio inerente. Tale approccio rappresenta un punto di partenza per quelle organizzazioni che, abituate ad un audit tradizionale, intendono avviare un workshop ai fini di una totale valutazione dei rischi di business. 151 4. Le metodologie di revisione interna b) Il survey approach. Tale metodologia si basa sull’utilizzo di questionari, i quali rappresentano uno dei classici strumenti di indagine dell’attività di revisione e vengono tradizionalmente utilizzati per la comprensione del sistema di controllo interno e dei principali processi aziendali. Tali strumenti sottopongono i partecipanti ad una serie di argomenti da discutere, focalizzandosi principalmente sull’individuazione e la misurazione dei fattori di rischio e di controllo dell’organizzazione. Essi sono costituiti da un elenco di domande, che possono essere aperte o chiuse, formulate attentamente in modo da essere comprensibili ai destinatari prescelti (una o più persone interne all’organizzazione, oppure esterni, ad esempio clienti, fornitori, etc.). I questionari sono solitamente caratterizzati da domande a risposta chiusa (del tipo Sì/No, Attivato/Non Attivato), in modo tale da favorire il rapido esame delle risposte da parte dell’internal auditor. Tale tecnica contribuisce all’implementazione del CRSA, rappresentando, comunque, una forma di auto-valutazione, infatti, le domande proposte al management e ad altro personale operativo, ineriscono aspetti che contribuiscono ad una complessiva valutazione dei sistemi di controllo e di rischio. I questionari vengono solitamente utilizzati nei casi in cui la popolazione di riferimento è molto numerosa o geograficamente molto dispersa218 per partecipare ad un workshop, oppure laddove non vi sia un’adeguata cultura del controllo ed il personale risulta impreparato ad intraprendere una discussione aperta e sincera nell’ambito di un workshop; in altre circostanze legate ad esigenze di riduzioni di tempi e/o costi della raccolta di 218 Talvolta quest’ultima circostanza induce ad utilizzare il questionario come tecnica complementare allo svolgimento del workshop, soprattutto quando si necessitino delle informazioni che coprono un ampio numero di soggetti che difficilmente potrebbero essere coinvolti nel workshop. 152 4. Le metodologie di revisione interna informazioni e a difficoltà di carattere professionale, nel momento in cui non esistono le competenze necessarie alla gestione e alla conduzione di un meeting facilitato. D’altro canto, l’impiego dei questionari presenta alcuni svantaggi rispetto al workshop approach: talvolta può essere dubbia la veridicità e l’attendibilità delle risposte date dai partecipanti, soprattutto, se non seguite da un aggiornamento periodico delle stesse, inoltre, si presenta il problema dell’impossibilità di fornire chiarimenti immediati sulle risposte date, in virtù della rigidità di tale strumento ed, infine, la scarsa partecipazione potrebbe rendere la percentuale delle risposte decisamente bassa. Nella predisposizione del questionario è opportuno tener conto di alcune accortezze che potrebbero incrementarne l’efficacia, tra queste, si segnalano l’utilizzo di questionari corti e semplici, formulati con un linguaggio semplice e non condito di tecnicismi propri della revisione, lo sviluppo di un singolo argomento per ciascuna domanda, l’inserimento delle domande più semplici nella parte iniziale, l’invio personalizzato del questionario e la raccolta della modulistica personalmente da parte dello stesso internal auditor. c) Management produced analyses. Le analisi interne elaborate dal management più che descrivere un vero e proprio approccio, comprendono varie modalità con cui i gruppi di manager elaborano informazioni relative a specifici processi aziendali, attività di gestione del rischio e procedure di controllo219. Tali analisi sono di vari tipi e, spesso, integrano le due metodologie viste precedentemente, tuttavia, per le finalità informative che le 219 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 254. 153 4. Le metodologie di revisione interna contraddistinguono, possono essere ricondotte fra le tecniche proprie del CRSA. In tale categoria è possibile ricomprendere: - i questionari elaborati e gestiti dal management per approfondire particolari questioni inerenti le politiche gestionali; - i confronti tra i responsabili dell’area finanziaria prima della presentazione dei risultati di periodo; - le indagini e gli approfondimenti condotti su particolari eventi dovuti a carenza di controlli o frodi; - etc. A conclusione di questa disamina sui diversi approcci metodologici applicabili nell’implementazione del Control & Risk Self Assessment, è opportuno mettere in evidenza che l’utilizzo di tale tecniche in un’organizzazione è condizionato da molteplici fattori, tra i quali: • la cultura aziendale, è forse lo scoglio più rilevante: infatti, se essa supporta un approccio di tipo partecipativo e trasparente, il workshop non è solo preferibile, ma anche raccomandabile rispetto alle altre alternative. A tal riguardo il supporto e la comprensione dello spirito di queste iniziative da parte del management assume, infatti, grande rilevanza, condizionando, talvolta, l’applicazione dell’uno o dell’altro approccio; • le dimensioni della popolazione da coinvolgere nel progetto di CRSA: come già accennato precedentemente, quanto maggiore è il numero dei partecipanti al gruppo di lavoro, tanto più la scelta dovrà essere orientata verso i questionari; • la natura dell’attività svolta dall’azienda, anch’essa incide, senza dubbio, sulla possibilità di utilizzo di strumenti avanzati di risk 154 4. Le metodologie di revisione interna assessment, per quanto riguarda, ad esempio, le imprese del settore finanziario-assicurativo, queste da sempre hanno orientato la propria gestione sull’analisi dei rischi delle operazioni intraprese, comprendendo ben presto gli effetti devastanti provocati dal fallimento del sistema dei controlli; • le risorse della Funzione di Internal Auditing, in termini di esperienza e competenze specifiche dei revisori interni, per i quali la posizione di facilitator nella conduzione di workshop, rappresenta decisamente il ruolo più innovativo e complesso da affrontare; e dal punto di vista dei costi d’implementazione o attuazione da valutare in relazione ai benefici economici ottenibili; • l’atteggiamento assunto da parte dell’Audit Committee nei confronti dell’attuazione di nuove iniziative: questo, infatti, attraverso un’opera di sensibilizzazione del vertice aziendale può costituire una fonte di stimolo per l’implementazione di approcci innovativi di auditing. Inoltre, il passaggio dalla metodologia tradizionale, che potrebbe essere adottata in una prima fase ai fini del consolidamento della Funzione di Internal Audit, alla metodologia del CRSA, determina il rischio di un’eccessiva ingerenza da parte dell’internal auditor in un mondo spesso inesplorato con aspetti manageriali che esulano dalla professionalità del revisore interno. Tale metodologia potrebbe, infatti, generare delle condizioni sfavorevoli all’interno dell’organizzazione, nel momento in cui il management si irrigidisce di fronte alla percezione di essere valutato dall’internal auditor su competenze manageriali specifiche. 155 5. Il gruppo Guess: un player mondiale CAPITOLO 5 IL GRUPPO GUESS: UN PLAYER MONDIALE 1. IL GRUPPO GUESS Ad oggi il gruppo Guess si presenta come un grande player mondiale, fondato e controllato dai fratelli Marciano, che vede correre il proprio business come una vera e propria locomotiva, rilevando risultati, in termini di fatturato, continuamente in crescita. Il gruppo Guess si configura con una struttura organizzativa piuttosto complessa e articolata, dal punto di vista dei legami partecipativi intercorrenti tra le diverse entità societarie, le quali, in ultima analisi, dipendono tutte dalla capogruppo Guess Inc. con sede a Los Angeles. Guess svolge la propria attività nell’area geografica dell’America, dell’Europa e dell’Asia, ognuna della quali si differenzia notevolmente dal punto di vista culturale e sociale. La struttura organizzativa del gruppo varia, pertanto, a seconda delle diverse aree di business in cui esso va ad operare, infatti, ognuno dei tre continenti si caratterizza per una struttura di business propria e per canali distributivi differenti. Guess ha deciso di adottare una strategy brand molto focalizzata sulla qualità in ognuno dei segmenti in cui è presente, con licenziatari che sono più partner che fornitori, comunque sempre all’insegna del principio “one Guess, one brand”. Il mercato infatti, ha recepito questo focus strategico, che si accompagna a una segmentazione molto chiara e definita, determinando, negli ultimi due anni, un decollo del titolo quotato al New York Stock Exchange (NYSE) di 156 5. Il gruppo Guess: un player mondiale Wall Street, che ha registrato un incremento di circa il 124%391 (vedi Fig.12). L’obiettivo non è quello di essere il partner di tutti ed essere presenti ovunque, ma come dichiarato di recente in un intervista rilasciata da Paul Marciano: “vogliamo semplicemente adattarci alle diverse esigenze, ecco la necessità di produzioni con caratteristiche specifiche e differenti per l’America, l’Asia e l’Europa. Una strada diversa non esiste. Siamo molto consistent in questo e perciò abbiamo creato team eccellenti per ogni area coperta”392. GUESS’ SHARES LAST 2 YEARS TREND Fig 12 391 Cfr il sito internet http://finance.yahoo.com/ . I valori di riferimento ai fini della determinazione della percentuale di crescita del titolo GES sono quelli relativi alla chiusura in data 01/03/2006 pari a $18,38 e quelli relativi alla chiusura in data 29/02/2008 pari a $41,13. 392 Cfr. Intervista a Paul Marciano “ho un sogno firmato Guess”, Pambianco Week, Numero 17, Anno III, 1 Ott 2007, pag 6-11. 157 5. Il gruppo Guess: un player mondiale GUESS’ FINANCIAL HIGHLIGHTS In thousand Dollars Period Ending 31-Dec-06 31-Dec-05 31-Dec-04 Total Revenue Cost of Revenue 1,185,184 665,805 936,092 555,223 729,262 455,278 519,379 380,869 273,984 326,356 - 279,059 - 218,502 - 193,023 101,810 55,482 10,424 203,447 7,450 195,997 72,715 -114 2,626 104,436 6,741 97,695 38,882 - 884 56,366 5,653 50,713 21,147 - 123,168 58,813 29,566 - - - 123,168 - 58,813 - 29,566 - $123,168 $58,813 $29,566 Gross Profit Operating Expenses Research Development Selling General and Administrative Non Recurring Others Total Operating Expenses Operating Income or Loss Income from Continuing Operations Total Other Income/Expenses Net Earnings Before Interest And Taxes Interest Expense Income Before Tax Income Tax Expense Minority Interest Net Income From Continuing Ops Non-recurring Events Discontinued Operations Extraordinary Items Effect Of Accounting Changes Other Items Net Income Preferred Stock And Other Adjustments Net Income Applicable To Common Shares Fig 13 Nel continente americano il gruppo è organizzato in una serie di entità societarie deputate alla gestione del business property retail, rappresentato da negozi Guess monomarca – free standing stores393 e factory outlets – partecipati al 100% dalle diverse società del gruppo. Il mercato del retail assume un peso estremamente rilevante per l’area USA, rappresentando circa il 90% del fatturato del mercato statunitense. Alle diverse società operative specializzate nella conduzione del business retail si aggiungono, inoltre, società specificatamente deputate alla gestione delle licenze, nonché alla tutela del marchio e di altri diritti. Per quanto riguarda, invece, il mercato europeo, esso è costituito per l’80% circa dal business wholesale, il quale si compone del mercato costituito da 393 Con il termine free standing store si intedono i negozi di prima linea, ovvero tutti i negozi monomarca in cui viene esposta la collezione della stagione in corso venduta a prezzo pieno. 158 5. Il gruppo Guess: un player mondiale negozi multibrand (il cosiddetto pure wholesale) e del retail sub-licence ricompreso nel wholesale poiché, pur essendo rappresentato da negozi in franchising monomarca non di proprietà, esso viene trattato, dal punto di vista commerciale, alla stregua di un cliente distributore. In relazione al business e al canale distributivo che caratterizza il continente europeo, il gruppo si è organizzato con una società di direzione strategica – Guess Europe – e società operative dislocate nei diversi Paesi europei in charge per la conduzione della distribuzione e del business retail a livello locale. Infine, per quanto concerne il continente asiatico, esso è caratterizzato prevalentemente da un business di tipo sub-licence, costituito quindi da negozi in franchising, il quale viene gestito da due entità giuridiche di recente costituzione, dislocate a Shangai e Seul, che provvedono ad una direzione strategica e operativa dell’area orientale. Il gruppo Guess offre al mercato Europa una vasta gamma di prodotti a marchio Guess Jeans, Guess by Marciano e Guess Kids, che possono essere sintetizzati qui di seguito: • L’apparel, che comprende il denim, quindi capi in jeans, e la maglieria in generale; • Le handbags (borse); • Le footwear (scarpe); • Gli small leather goods, ovvero articoli in pelle, quali, ad esempio, portafogli, portachiavi, cinture, ecc. • watches (orologi); • eyewear (occhiali); • perfumes (profumi). 159 5. Il gruppo Guess: un player mondiale Gli articoli summenzionati sono a loro volta scomponibili fra le diverse collezioni che caratterizzano la produzione del gruppo Guess a livello mondiale. In particolare i diversi Pattern Dept. con la collaborazione del Design, Sourcing & Development Dept. provvedono alla creazione di tre diverse collezioni: • la linea Guess Jeans; • la linea Guess by Marciano (una collezione più ricercata che rappresenta la prima linea del gruppo); • la linea Guess Kids, dedicata ai più piccoli. La realizzazione di ciascuna delle tre collezioni segue un timing multiciclico tipico del fashion business che prevede la realizzazione di una collezione relativa alla stagione Fall-Winter (Autunno-Inverno) ed una relativa alla stagione Spring-Summer (Primavera-Estate); il timing sarà illustrato più dettagliatamente nelle pagine che seguono, durante la trattazione delle eventuali problematiche che potrebbero emergere in termini di approccio da utilizzare ai fini della pianificazione dell’attività di audit. 2. L’INTERNAL AUDIT DEPARTMENT NEL GRUPPO GUESS Per quanto riguarda l’organizzazione di una Funzione di Internal Audit, il numero delle soluzioni che possono presentarsi al Responsabile della Funzione è strettamente legato alle caratteristiche del business, alla struttura geografica e logistica dell’entità, ai rischi che devono essere gestiti e all’articolazione del sistema di controllo interno strutturato per la loro gestione. 160 5. Il gruppo Guess: un player mondiale L’Internal Audit Department nel gruppo Guess, si configura secondo una struttura piuttosto decentralizzata, con un dipartimento in Guess Inc. a Los Angeles che sovrintende gerarchicamente un dipartimento in Guess Europe dislocato a Lugano (Headquarter, da cui dipendono gli uffici periferici di Bologna e Firenze) ed altre due Funzioni in Asia, più precisamente a Hong Kong e Seul. Ad oggi, infatti, come la maggior parte delle strutture organizzative di dimensioni significative, è molto ricorrente la costituzione di strutture di Internal Audit dotate di vari gradi di autonomia. Infatti, analizzando l’organigramma dei diversi organi endosocietari che compongono il top management del gruppo Guess, con specifico riferimento all’area americana e all’area europea, è possibile osservare, dalla struttura di corporate governance proposta nello schema sottostante (Fig. 14), come i due dipartimenti di Internal Audit in Guess Inc. e in Guess Europe si collochino in posizione di staff rispetto al Board of Directors ed assumano, al contempo, una posizione di dipendenza funzionale dal Comitato per il controllo interno, così come previsto per le società quotate. Per garantire una adeguata indipendenza e autonomia nello svolgimento dell’attività di internal audit è necessario, come già ribadito nelle pagine precedenti, che tale Funzione riporti ad un livello dell’organizzazione che consenta il pieno adempimento delle sue responsabilità: nel nostro caso il Comitato per il controllo interno di Guess Inc., il quale è costituito esclusivamente da amministratori non esecutivi ed indipendenti, totalmente avulsi dalla attività di direzione strategica del gruppo Guess. L’Internal Audit Dept. di Guess Europe, pertanto, dovrà assicurare un adeguato flusso informativo direttamente verso l’Internal Audit Dept. di Guess Inc., il quale, a sua volta dovrà riportare al Comitato per il controllo interno. Il tal modo è esclusa qualunque forma di riporto che comporti un condizionamento all’indipendenza e all’efficacia operativa nello 161 5. Il gruppo Guess: un player mondiale svolgimento dell’attività di auditing, eliminando altresì eventuali limitazioni al proprio ambito di intervento ed ottimizzando la valutazione dei rischi ed il reporting dei risultati di tale attività. Corporate Governance – Internal Audit U.S.A. BOARD OF DIRECTORS GUESS INC AUDIT COMMITEE INTERNAL AUDIT DEPT GUESS INC VICE PRESIDENT FINANCE VICE PRESIDENT … BOARD OF DIRECTOR GUESS EUROPE VICE PRESIDENT... EUROPE INTERNAL AUDIT DEPT GUESS EUROPE OTHER FIRST LINES.. GUESS EUROPE BRANCHE GUESS EUROPE BRANCHE CFO OTHER FIRST LINES.. GUESS EUROPE BRANCHE GUESS EUROPE BRANCHE Fig 14 La logica che ha spinto l’Internal Audit Dept. di Guess Inc. verso il conferimento all’Internal Audit di Guess Europe, di un certo grado di autonomia, è strettamente legata alle complessità del business europeo. Guess Europe, infatti, come già accennato precedentemente è caratterizzata da un business totalmente diverso da quello americano: mentre essa si presenta tipicamente come una azienda wholesaler, il cui fatturato, per la maggior parte, deriva dalle vendite ai multibrand, ai distributori e ai negozi in franchising, Guess Inc. è un’azienda retailer il cui business di riferimento 162 5. Il gruppo Guess: un player mondiale è principalmente costituito dal business property retail con negozi di proprietà. Tale scelta, pertanto, deriva da una mancanza di esperienza da parte dell’Internal Audit Dept. di Guess Inc. ad operare in un’entità con caratteristiche totalmente diverse dalla propria. Tra gli altri vantaggi individuabili, possono essere ricompresi la possibilità di promuovere con maggior efficacia la cultura del controllo locale, così come l’opportunità di sfruttare la migliore comprensione dei diversi problemi locali di cui sono dotati gli internal auditor delle strutture decentralizzate. Il manager di riferimento potrà così assumere decisioni su questioni circoscritte al contesto dell’entità in cui opera, incrementando l’efficacia e l’efficienza del sistema di governo della Funzione in modo da evitare eventuali ritardi legati alla gestione dei vari passaggi, a livello centrale, connessi all’attuazione delle diverse azioni da implementare. È da sottolineare, che nonostante il riconoscimento di un centro grado di autonomia ai diversi dipartimenti di Internal Audit, il gruppo Guess ha optato, come spesso accade, per una soluzione intermedia. In particolare, i diversi responsabili di tali Funzioni sono comunque tenuti a garantire la complessiva efficacia del sistema di audit al di là degli interessi riconducibili alle singole entità societarie ed, inoltre, essi devono attenersi ad un piano di audit (Audit Plan), annualmente definito a livello di globale in Guess Inc., con la partecipazione degli stessi responsabili. Più precisamente, si tratta di riporti di carattere funzionale che sottolineano la capacità del Chief Audit Executive in Guess Inc. di orientare le attività dei diversi dipartimenti in Europa ed Asia e di monitorare a livello centrale, attraverso il riporto gerarchico, la conduzione dei diversi progetti del piano di audit definiti a livello di corporate. 163 5. Il gruppo Guess: un player mondiale 3. LA DEFINIZIONE DEL PIANO DI AUDIT La definizione del piano di audit rappresenta la sfida che periodicamente il Responsabile dell’Internal Audit deve sostenere per conciliare le risorse disponibili con le esigenze di verifica dell’organizzazione nel suo complesso394. Accade spesso che le risorse di audit a disposizione risultano insufficienti a soddisfare i fabbisogni di controllo del complessivo universo dei processi, coerentemente con un criterio di completa copertura nell’arco di un determinato periodo ed in conformità alle necessità evidenziate dal management. Secondo quanto stabilito dagli Standard Professionali, il Responsabile dell’Internal Audit deve predisporre un piano delle attività basato sull’analisi dei rischi, allo scopo di determinarne le priorità, in linea con il Mandato e con gli obiettivi dell’organizzazione395. Nel definire le priorità, gli Standard professionali suggeriscono di considerare i seguenti aspetti: • data e risultati dell’ultimo incarico; • valutazione aggiornata dei rischi esistenti e dell’efficacia dei processi di controllo e di gestione dei rischi; • richieste del board e del vertice; • attuali problematiche relative alla governance dell’organizzazione; • eventuali variazioni intervenute nell’operatività aziendale; • potenziali benefici ottenibili; • variazioni avvenute nella consistenza e nella professionalità dello staff di audit rispetto al piano precedente. 394 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 263. 395 Cfr. Guida Interpretativa IIA 2010-1 Pianificazione. 164 5. Il gruppo Guess: un player mondiale Dal punto di vista metodologico, al fine dell’identificazione delle aree prioritarie da considerare nella definizione di un piano di audit, possono essere applicati diversi approcci, tutti caratterizzati dal fatto di essere risk based. Il primo tema che ci troviamo ad affrontare nell’impostazione dell’audit Plan è quello della definizione dell’universo di audit, ovvero l’insieme delle possibili alternative di attività di audit realizzabili nell’organizzazione in cui si opera. L’universo di audit può essere composto da vari raggruppamenti di attività operative aziendali che si prestano a divenire oggetto delle attività di verifica di un singolo intervento, e per questo sono denominati “oggetti di audit”396. L’Internal Audit Plan del gruppo Guess è articolato per area territoriale (America, Europa e Asia) e, all’interno di queste, è a sua volta scomposto per entità giuridiche e quindi per processi aziendali. Non a caso una tale articolazione della pianificazione di audit è comunemente riscontrabile in quei contesti aziendali piuttosto complessi ed articolati in società giuridicamente separate. L’attenzione sui processi come oggetto privilegiato della pianificazione di internal auditing deriva dal timing che caratterizza il fashion business, il quale non si articola secondo un trend ciclico, ma si sviluppa secondo un trend multiciclico (come rappresentato in Fig. 15), pertanto, un’analisi per singolo Department non offrirebbe all’Internal Audit una visione completa delle diverse attività aziendali su cui pianificare interventi di audit. In aggiunta, tale approccio di analisi si è dimostrato molto utile per fare fronte alle frequenti evoluzioni che hanno caratterizzato il gruppo Guess in questi ultimi anni. 396 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 264. 165 5. Il gruppo Guess: un player mondiale Infatti, una pianificazione per processi aziendali ha consentito altresì di sopperire, in gran parte, ad eventuali processi di fusione o incorporazione, così come ad eventuali riorganizzazioni delle strutture aziendali guidate da esigenze di business, con la conseguente modifica delle aree di responsabilità ed una ridefinizione degli obiettivi gestiti. Usual fashion timing 01 02 03 04 05 06 07 08 09 10 11 12 Agent/Customer Sales Dept Logistic Warehouse Administration Production Order Handling FW Order Handling SS Spedizioni FW Spedizioni SS Fatturazione FW Fatturazione SS Controllo qualità FW Controllo qualità SS Customer Service FW Customer Service SS Riassortimenti FW Riassortimenti SS Fig. 15 Come evidenziato dagli Standard professionali, “l’universo di audit può comprendere componenti ripresi dal piano strategico dell’organizzazione. In tal modo, l’universo di audit rifletterà gli obiettivi complessivi del piano di business. I piani strategici spesso riflettono in qualche modo la propensione al rischio propria dell’organizzazione e il grado di difficoltà nel raggiungimento degli obiettivi stabiliti. L’universo di audit può essere influenzato dai risultati del processo di risk management. Nel definire il 166 5. Il gruppo Guess: un player mondiale proprio piano strategico, l’organizzazione deve considerare l’ambiente in cui opera, poiché è molto probabile che i fattori ambientali influiscano sull’universo di audit e sulla valutazione dei rischi ad essi connessi397”. L’Internal Audit Plan del gruppo Guess, infatti, contiene al suo interno progetti di audit che, nel suo complesso, hanno un orizzonte temporale superiore all’esercizio a cui lo stesso piano fa riferimento. Questi sono frutto di una scomposizione in un’ottica annuale dei diversi interventi di audit in relazione ai progetti pluriennali contenuti nel Three Years Plan, il piano strategico definito dal top management in cui sono stati identificati gli obiettivi di business dell’organizzazione e le strategie per il conseguimento degli stessi. In conclusione, la delimitazione degli ambiti di intervento è fondamentale per la gestione dei singoli incarichi di audit, i quali devono conciliare l’esigenza di garantire un’adeguata copertura dei rischi attraverso la verifica del sistema dei controlli, con tempi di intervento gestibili e con un ragionevole impatto sull’operatività aziendale398. 3.1. I CRITERI PER LA DETERMINAZIONE DEL PIANO DI AUDIT L’attività di pianificazione di audit analizza gli oggetti di audit che compongono l’universo di audit sulla base di un set definito di fattori la cui valorizzazione e sintesi conduce alla definizione delle priorità che consentono l’allocazione delle risorse. 397 Cfr. Guida Interpretativa IIA 2010-2 Collegamento tra piano di audit e rischi aziendali. Quando l’universo definito dagli oggetti di audit assume una dimensione tale da non poter essere coperto dalle risorse disponibili nel lasso di tempo previsto dalla pianificazione, diventa necessario ripetere, allo scadere di ogni periodo, le analisi necessarie alla definizione delle nuove priorità per il periodo successivo, garantendo man mano la complessiva revisione di tutte le attività dell’universo. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 266. 398 167 5. Il gruppo Guess: un player mondiale Essendo le diverse attività di internal auditing finalizzate al controllo interno, è naturale che le regole per l’allocazione delle stesse seguano logiche legate alla presenza di rischi inerenti o residuali; ne consegue che i criteri rispetto ai quali valorizzare i possibili oggetti di audit candidati alla verifica dovranno essere legati alla valutazione dei rischi e del sistema di controllo interno esistenti399. Tali criteri possono essere di due tipi400: • qualitativi, quando sono il risultato di una valutazione da parte degli auditor, dei manager o di altri esperti; • quantitativi, quando derivano dalla misurazione di grandezze rilevabili. I primi che si caratterizzano per la più elevata possibilità di applicarli alle varie tipologie di oggetti, presentano il rischio di una maggiore imprecisione e della mancata condivisione tra valutatori differenti; richiedono, quindi, da parte dell’internal auditor che desidera impiegarli, particolari cautele in termini di: • formalizzazione delle scale di valutazione per l’esplicitazione delle logiche sottostanti la valorizzazione del criterio; • sintesi di valutazioni effettuate da soggetti diversi per mitigare i rischi di errore di un solo valutatore; • verifica a posteriori della condivisibilità delle valutazioni da parte dei destinatari dei risultati. Nel caso di criteri quantitativi, il rischio di opinabilità può sembrare superato, ma in realtà non lo è mai completamente; è infatti raro disporre in 399 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 269. 400 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 269-270. 168 5. Il gruppo Guess: un player mondiale azienda di indicatori quantitativi (contabili, gestionali o operativi) specificatamente orientati alla rilevazione dei rischi, e risulta quindi necessario ricorrere all’utilizzo dei cosiddetti “approssimatori” o proxy, che non misurano esattamente il rischio che si desidera analizzare ma in qualche modo forniscono grandezze ad esso connesse. La scelta di un proxy, comunque, in assenza di misure specifiche introduce un elemento valutativo che allontana dalla piena oggettività anche i criteri basati sulla misurazione. Il criterio utilizzato dall’Internal Audit del gruppo Guess, per la definizione delle diverse attività da inserire nell’Audit Plan, è prevalentemente di tipo qualitativo, ad eccezione delle attività di auditing pianificate nel rispetto del Sarbanes-Oxley Act, in cui la scala di valutazione che viene utilizzata per la determinazione delle priorità è generalmente di tipo quantitativo. In particolare un determinato controllo rientra nello scope della SOX nel momento in cui questo supera una soglia di materialità determinata dall’incidenza, in percentuale, sul Net Operating Result pari a circa il 5% a livello di bilancio consolidato americano. L’Audit Plan deriva, quindi, dalle diverse valutazioni effettuate dagli Internal Audit Manager, ciascuno per l’area geografica di cui è responsabile, le quali vengono aggregate e sintetizzate a livello di corporate da parte del Chief Audit Executive di Guess Inc. che provvede, in ultima analisi, a predisporre un Piano di attività definitivo, basato sull’analisi dei rischi ed in linea con gli obiettivi dell’organizzazione, il quale viene discusso con l’Audit Committee e presentato al Board of Director. Qui di seguito riportiamo un estratto dell’Internal Audit Plan del gruppo Guess, relativo all’area europea, per il Fiscal Year 2009401: 401 Con “Fiscal Year 2009” si intende il periodo che va dal 03 Feb. 2008 al 31 Gen 2009, corrispondente con l’esercizio fiscale di Guess Inc. L’esercizio fiscale americano presenta un timing diverso dall’esercizio fiscale italiano, in quanto i mesi sono composti da 4 o 5 settimane e le chiusure dei Report mensili, trimestrali e del Financial Statement annuale avvengono sempre il giorno Sabato. Infatti, se prendiamo in considerazione, ad esempio, i valori del bilancio civilistico di Guess Italia relativo all’esercizio 2007 (01/02/2007-31/01/2008), esso contiene valori che differiscono dal corrispondente bilancio US GAAP inviato a Guess Inc. ai fini della redazione del bilancio 169 5. Il gruppo Guess: un player mondiale FY2009 PROPOSED Region Department Project Scope & Description Europe Legal / Retail Ops Sub-licensee audit Europe Retail Ops Retail Store Construction Review Europe AR/Customer Service Wholesale Process Analysis Review of the reporting and financial requirements per the agreement/lease to actual activity currently occurring Review the Retail Store Construction process including bidding, construction monitoring, and payment. Compare the Guess Europe model to Guess Corporate procedures. Review of the Customer Credit Limits, AR aging, collections, write-offs and related reserves Europe Inventory Control Inventory Processing Review the order processing, Review shipping and tracking for both wholesale and retail operations for the various product lines Europe Multiple SOX Complete all aspects of the Sarbanes Oxley compliance project including documentation, testing and evaluation of deficient controls. Europe Guess Service Co. Europe Logistics Guess Service Company Contract Review Physical Inventory Europe Multiple Walk Throughs Review the terms and conditions of the Guess Service Company Contract. Operational Observation of Physical Inventory counts at select retail and distribution center locations Financial Complete walk through documentation and provide supporting information as needed to satisfy the walk through templates provided by EY. Compliance Type Financial Operational Operational Operational Compliance (…omissis…) consolidato, in quanto quest’ultimo fa riferimento al Fiscal Year 2008 americano che va dal 04/02/2007 al 02/02/2008. 170 5. Il gruppo Guess: un player mondiale 4. LE DIVERSE TIPOLOGIE DI AUDITING IN GUESS EUROPE L’attività di internal auditing costituisce uno tra i più importanti “snodi” del sistema informativo aziendale, che vede coinvolti diversi interlocutori, alcuni dei quali di natura esosocietaria. L’ampiezza e la complessità degli incarichi assegnati ad una Funzione di Internal Audit comporta la necessità di disporre di adeguate risorse in termini sia quantitativi sia qualitativi, al fine di poter rispondere di volta in volta in maniera adeguata alle mutevoli richieste del management aziendale. Da quanto rilevato dall’esperienza dell’Internal Audit del gruppo Guess, i differenti obiettivi prefissati nel piano di audit comportano l’esigenza di attivare diverse tipologie di auditing, che si differenziano tra loro sia per quanto riguarda l’oggetto dell’audit, sia per le diverse metodologie utilizzate. Tra le diverse tipologie di auditing, considerando il caso aziendale cui facciamo riferimento in questa sede, possiamo analizzare: 1. l’operational auditing; 2. il compliance auditing; 3. l’IT auditing; 4. il fraud auditing; 5. l’audit finanziario e contabile. È opportuno precisare che tale distinzione tra le diverse tipologie di intervento non è così evidente nella realtà operativa e pertanto questo risulta possibile soltanto a livello teorico. Di fatto, questa schematizzazione delle diverse attività risulta agevole per condurre la nostra trattazione, nonostante 171 5. Il gruppo Guess: un player mondiale la consapevolezza che queste siano fortemente e necessariamente correlate tra loro. Molto spesso, nel concreto si verificano le diverse situazioni402: • un intervento di operational auditing, finalizzato alla valutazione dell’efficacia ed efficienza del sistema di controllo di un determinato processo aziendale, può, nell’ambito della propria effettiva fase di test prevedere lo svolgimento di verifiche di conformità mediante l’attività di compliance auditing; • può verificarsi la fattispecie in cui, nel corso di un intervento di audit si presenta la necessità di attivare una tipologia di audit diversa: questo è il caso, ad esempio, di un intervento di compliance auditing che fa emergere sospetti di eventi illeciti che determinano l’esigenza di svolgere, in aggiunta, un’attività di fraud auditing, oppure un’attività di operational auditing che rileva inefficienze del sistema informativo innescando un’ulteriore attività di IT auditing, ecc.; • possono essere affidati all’Internal Audit incarichi di ampiezza e difficoltà tali da richiedere lo svolgimento di diverse tipologie di attività di auditing. È da precisare, inoltre, che nel gruppo Guess, sono richieste numerose attività di auditing, a supporto della valutazione complessiva del sistema di controllo interno e del relativo risk management e, pertanto, ampi spazi sono concessi ad incarichi di natura mista. Qui di seguito proponiamo un dettaglio relativo all’impiego delle risorse nelle diverse attività di audit effettuate nel gruppo Guess (area Europa). È evidente come l’attività di compliance auditing assuma un grande peso fra le diverse attività svolte dall’Internal Audit Dept. di Lugano, Firenze e Bologna. 402 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 226-227. 172 5. Il gruppo Guess: un player mondiale Il motivo è da ricercarsi nell’importanza che ha assunto nel 2006 l’implementazione dei controlli ai fini del Sarbanes Oxley Act in Guess Italia e in Focus (con sede a Bologna), implementazione che, nel 2008, dovrà essere effettuata anche in Guess Europe mantenendo alto il peso del compliance auditing tra le attività di audit pianificate. L’impiego delle risorse nelle attività di auditing in Guess Europe403 2007 75% 2% 8% Compliance Audit Financial Audit 15% Operational Audit Other 403 L’incremento dell’impiego di risorse dedicate allo svolgimento dell’operational auditing, nel 2008, è dovuto alla pianificazione di nuovi progetti, programmati con la collaborazione dell’Internal Audit Dept. di Guess Inc. 173 5. Il gruppo Guess: un player mondiale 2008 69% 2% 10% Compliance Audit Financial Audit 19% Operational Audit Other 4.1. L’OPERATIONAL AUDITING Uno dei presupposti che sta dietro ad un buon sistema di governo delle attività aziendali è sicuramente l’analisi dei processi e la valutazione dell’efficacia e dell’efficienza della loro funzionalità in termini di risk management, nonché le relative misure di controllo per mitigare i rischi ritenuti significativi. Tale tipologia di audit tende a produrre per l’organizzazione un elevato valore aggiunto in quanto si traduce in un’analisi dei diversi processi trasversali alle Funzioni aziendali, rilevando tipicamente problematiche di integrazione ed efficienza. L’operational audit è una delle attività di audit a maggior contenuto consulenziale, in quanto valuta la strutturazione, ovvero il disegno del sistema di risk management/controllo interno del processo. A seconda dei 174 5. Il gruppo Guess: un player mondiale risultati conseguiti non è raro che da tale attività possa scaturire anche la reingegnerizzazione404 del processo stesso405. Secondo tale logica, nel gruppo Guess, ed in particolare in Guess Italia, l’entità a cui spesso faremo riferimento in questa trattazione, l’Internal Audit Department ha provveduto, inizialmente, all’elaborazione di narrative e flow chart dei diversi processi aziendali, sia processi di business, sia processi di supporto, scomposti a sua volta nelle diverse attività che collegate tra loro determinano un risultato (output) sulla base di input definiti. Qui di seguito presentiamo l’elenco dei processi406 individuati dall’Internal Audit Dept. per Guess Italia e un flow chart di dettaglio, a titolo di esempio, che potrebbe essere realizzato per sintetizzare in maniera schematica ed intuitiva lo svolgimento di alcune attività che ad una prima analisi potrebbero risultare complesse. • Active Cycle: Order to Cash (O2C); • Passive Cycle: Purchase to Pay (P2P); • Inventory (INV) • Human Resource (HR); • Financial Statement Closing Process (FSCP); • Fixed Asset; • Retail Operations; • IT Structure. 404 A tal riguardo è apprezzabile il contributo dell’Internal Audit Dept di Guess Europe e Guess Italia relativamente allo svolgimento di attività di consulenza volta all’ottimizzazione di una struttura aziendale caratterizzata da un forte “overlapping” di Funzioni dal punto di vista finanziario e commerciale. Senza entrare nel dettaglio, l’attività in questione si è concentrata principalmente sulla ridefinizione di nuovi ruoli e responsabilità con l’obiettivo di ottimizzare le diverse attività in base alle risorse a disposizione. 405 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 228. 406 Per ciascuno di tali processi è stato elaborato un narrative descrittivo del flusso di attività che compongono il processo stesso. 175 5. Il gruppo Guess: un player mondiale Active Cycle – Order Collection Agent Showroom (CS clerks) Commercial Dept Customer Service ORDER PROPOSAL ARCHIVING OF SIGNED ORDER PROPOSAL Credit Management Dept. NETORDER YES NO NEW CUSTOMER? ORDER PROPOSAL WITH JOLLY CODE NOTES CUSTOMER EVALUATION FORM ORDER PROPOSAL NOTES STEALTH ARCHIVING OF CUSTOMER EVALUATION FORM CUSTOMER CREDIT LIMIT FILE Fig. 15 L’identificazione dei diversi processi aziendali che dovranno poi essere analizzati, potrebbe mostrarsi in alcuni casi difficile e laboriosa, soprattutto quando questi presentano elementi di sovrapposizione all’interno della stessa entità aziendale, oppure quando questi si compongono di attività elementari di complessa individuazione o difficilmente separabili da altre attività collegate. Per far fronte a tali fattispecie, ostili ad una mappatura esplicita dei diversi processi, è necessario esaminare in maniera accurata le modalità di esecuzione delle attività e tutta la documentazione disponibile che le regolamenta. 176 5. Il gruppo Guess: un player mondiale L’attività di operational auditing si focalizza sull’analisi della capacità delle strutture aziendali di conseguire i propri obiettivi attraverso lo studio dei processi, già oggetto di mappatura nella fase iniziale, rilevandone eventualmente le potenziali aree di miglioramento in termini di efficienza ed efficacia. In tal modo l’operational auditing tende a verificare se i risultati fissati dall’alta direzione siano, in termini di fattibilità, perseguibili dalle diverse strutture interessate e compatibili con i processi aziendali che ne sono a supporto. Nel nostro caso, l’Internal Audit in Guess Italia, oltre che sulla verifica dell’effettiva possibilità di conseguire i risultati fissati, pone attenzione come già accennato precedentemente, alla valutazione del grado di economicità raggiunta dalle diverse strutture organizzative in termini di efficacia (grado di raggiungimento degli obiettivi) ed efficienza (costi, tempistiche, risorse utilizzate) nella realizzazione dei risultati stessi. In particolare, una volta effettuato uno studio del contesto generale del processo al fine di delineare gli obiettivi (di governo e di business) perseguiti in modo prioritario dal management, i rischi che potenzialmente possono minare il loro raggiungimento, le macrofasi del processo, le strutture aziendali coinvolte, gli attori principali, così come i sistemi informativi significativi ed il flusso informativo generale fino al top management, si procede ad un’analisi dettagliata del processo nelle sue diverse fasi con la rilevazione di eventuali carenze o difetti di strutturazione. L’attenzione si concentra, come già più volte ribadito, su quelle attività critiche, i cui rischi appaiono maggiormente rilevanti e che è opportuno misurare in termini di potenziale impatto negativo per l’organizzazione. Senza entrare nel dettaglio, elenchiamo qui di seguito una serie di carenze o difetti che possono essere rilevati nella strutturazione del sistema di controllo interno e di risk management: 177 5. Il gruppo Guess: un player mondiale • non chiarezza o coerenza tra strutture della comunicazione degli obiettivi407; • non adeguata attribuzione delle responsabilità, ricordando tra l’altro anche il rispetto della separazione dei ruoli; • inadeguata conoscenza, da parte degli attori coinvolti nel processo, delle modalità stabilite per raggiungere gli obiettivi; • monitoraggio non adeguato per stabilire in modo sistematico e continuo il progressivo raggiungimento degli obiettivi408; • sistemi informativi non integrati o non adeguati ai controlli diretti che devono essere previsti; • mancanza di idonei processi di pianificazione e di risk assessment; • controlli diretti ripetitivi, ridondanti, inadeguati o inefficienti. In conclusione, l’Internal Audit Dept., con la collaborazione del management e dei responsabili di processo, procede ad una valutazione puntuale dei diversi processi aziendali analizzati, ricercando le possibili soluzioni migliorative al fine di un’ottimizzazione dei processi stessi. L’obiettivo dell’operational auditing è, quindi, la “creazione di valore” attraverso un continuo miglioramento dei processi aziendali409. È evidente come una tale tipologia di auditing si configuri come un’attività di natura consulenziale a servizio del management e dei vertici aziendali, i quali, in condivisione con l’internal auditor, hanno la possibilità di intraprendere le azioni correttive e le linee risolutive ipotizzate. 407 A titolo esemplificativo: - il Customer Service può perseguire obiettivi di fatturato e non di margine; - il Purchasing Dept. al fine di ottenere condizioni economiche migliori, non pone attenzione alle dinamiche finanziarie (quali, ad esempio, i termini di pagamento); - una “cannibalizzazione” dei canali distributivi a causa di un carente coordinamento tra Funzioni diverse (questo è il caso in cui, ad esempio, il Direttore Commerciale wholesale decida di vendere merce all’interno di un centro commerciale in un grande Department Store e al contempo il Direttore Commerciale sublicence, progetti l’apertura di un negozio in sub-licence nello stesso centro). 408 A titolo di esempio, il buon funzionamento e l’articolazione del sistema di budgeting. 409 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 230. 178 5. Il gruppo Guess: un player mondiale Nello svolgimento di tale attività, oltre a competenze specifiche nei diversi settori di attività, uno dei fattori critici di successo, su cui l’Internal Audit nel gruppo Guess pone molta attenzione, è quello della creazione di un canale informativo trasparente volto alla massimizzazione dei risultati ottenuti tramite l’attività di auditing e di quelli ottenibili tramite il successivo piano d’azione da intraprendere in caso di criticità. In generale, infatti, la Funzione di revisione interna deve possedere spiccate doti di comunicazione che tendano a valorizzare il lavoro svolto nei confronti dei vertici aziendali e dei Responsabili di processo. 4.2. IL COMPLIANCE AUDITNG Tra le diverse attività di auditing effettuate dall’Internal Audit Department nel gruppo Guess, l’attività di compliance auditing, ovvero audit di conformità, assume un peso particolarmente rilevante fra i compiti ad essa attribuiti. In generale, tale attività si traduce nella verifica dell’osservanza delle regole relative ad un determinato processo o area di business; regole che possono essere costituite sia dalla normativa esterna, sia dalle norme interne che, in virtù del principio generale di autoregolamentazione, le organizzazioni aziendali emanano, per effetto di specifici rinvii di legge410 o sulla base esclusivamente volontaria, al fine di meglio disciplinare le diverse attività411. In Guess Italia, l’Internal Audit, conformemente alle politiche stabilite a livello di corporate, ha provveduto all’elaborazione di una serie di 410 In tal caso l’azienda è tenuta a fornire comunicazione formale agli stakeholders su modalità, mezzi controlli e responsabilità adottati per il raggiungimento degli obiettivi. 411 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 230-231. 179 5. Il gruppo Guess: un player mondiale regolamenti interni che determinano le linee di comportamento da adottare all’interno dell’organizzazione. Compongono la normativa interna: a) Principi aziendali: Guess’ mission. “Alla Guess il nostro obiettivo è quello di essere un marchio leader nell’industria e nella moda. Offriamo prodotti e servizi di una qualità e con un rigore senza compromessi, coerenti con la filosofia del nostro marchio e della nostra immagine. Ci impegniamo ad ascoltare e a soddisfare le esigenze dei nostri clienti, dei nostri dipendenti e dei nostri partners ed a rispettarne i valori individuali. Ci impegniamo a favorire la crescita personale e professionale delle persone grazie ad un ambiente in cui si è liberi di comunicare, al lavoro di squadra, alla fiducia ed al rispetto. Non smettiamo mai di dare qualcosa in cambio alla comunità, a sostenere le persone e a proteggere l’ambiente come parte delle nostre responsabilità. Restiamo fedeli ad uno spirito imprenditoriale che alimenta la nostra crescita della nostra azienda ed il valore dei nostri azionisti. Guidata da una leadership contraddistinta da sani principi morali, l’azienda accoglie in sé la diversità e coltiva la forza, l’orgoglio e la passione per far camminare una accanto all’altra la nostra vita personale e quella professionale”412. b) Politiche e linee guida. A tal riguardo un esempio emblematico è rappresentato dal Code of Counduct che pone l’accento su uno standard di condotta etica che deve permeare tutte le transazioni e le relazioni commerciali che 412 Cfr. il sito internet di Guess (sezione Italia): www.guess.com. 180 5. Il gruppo Guess: un player mondiale amministratori, responsabili e dipendenti del gruppo Guess si trovano ad intraprendere413; c) Procedure. Il Book of procedures di Guess Italia contiene una serie di regolamenti interni che disciplinano le attività che devono essere effettuate dai diversi dipartimenti aziendali (più precisamente, Amministration Dept., Commerciale, Logistic Dept., Purchasing Dept., Treasury e Credit Management, Human Resource e Finance Dept.). Qui di seguito presentiamo un estratto del Book of procedure di Guess Italia, che disciplina le diverse attività di supervisione che devono essere effettuate da parte del Chief Financial Officer. 413 Per ulteriori approfondimenti sui contenuti del Code of Conduct del gruppo Guess cfr. Paragrafo 4.4. Fraud Auditng. 181 5. Il gruppo Guess: un player mondiale 182 5. Il gruppo Guess: un player mondiale 183 5. Il gruppo Guess: un player mondiale 184 5. Il gruppo Guess: un player mondiale 185 5. Il gruppo Guess: un player mondiale 186 5. Il gruppo Guess: un player mondiale d) Disposizioni operative. In riferimento a tale categoria di regolamenti interni proponiamo qui di seguito, a titolo di esempio, il calendario relativo alle attività di chiusura del report mensile di Guess Italia, la cui supervisione è affidata all’Administration Manager, che deve garantire il rispetto della procedura operativa tramite la sottoscrizione del relativo format sottostante414. CALENDARIO ATTIVITÀ DI CHIUSURA REPORTS MENSILE Giorno dalla chiusura (Giorno chiusura = 0) Ora Attività -4 9.30 File Payroll da Studio C. x -2 Fine giornata Fatture da ricevere Cespiti ammortizzabili / Calcolo e contabilizzazione Ammortamenti / Scheda 5 x 0 0.00 Contabilizzazione e controllo di tutti i costi del personale x 0 Fine giornata Posting di tutto ciò che è stato immesso in contabilità Generale, Clienti e Fornitori. x 0 Fine giornata Stop Magazzino x 0 Fine giornata Stop alla registrazione delle fatture fornitori nel mese precedente x 1 10.00 Ratei / Risconti x 1 13.00 Stop alle registrazioni sulle banche e inizio riconciliazioni che dovranno essere terminate entro la terza settimana dal giorno 0 x Soggetto Note Responsabile Check per verifica attività 414 Il calendario riportato qui di seguito fa riferimento alle attività di chiusura del report mensile di Guess Italia del mese di Gennaio 2008, corrispondente anche alla data di chiusura del bilancio d’esercizio di tutte le società del gruppo. Il calendario è stato depurato, per motivi di riservatezza, dei nomi dei soggetti interessati e di eventuali note sulle attività da effettuare. 187 5. Il gruppo Guess: un player mondiale Controlli sulla correttezza della fatturazione, sia Italia che Estero 1 13.00 1 13.00 1 13.00 1 13.00 STOCK IN TRANSIT - Import + Oneri accessori x 1 13.00 STOCK IN TRANSIT - Denim + Oneri accessori x 1 13.00 STOCK IN TRANSIT - Scarpe + Oneri accessori x 1 15.00 Comunicazione carichi di Magazzino prodotti Focus, Fornitore (1) e Fornitore (2) x 1 Fine giornata Spedizione alle consociate dei prospetti per le riconciliazioni (entro la mattina del giorno 4 i prospetti devono essere reciprocamente confermati) x 1 Fine giornata Posting EPS x 1 Fine giornata Stima del rischio su contenziosi in corso / Compensi Legali maturati ma non ancora fatturati x 1 Fine giornata Chiusura Omaggi x 1 Fine giornata Registrazione CUT-OFF per fatture da ricevere Prodotto Focus, Fornitore (1) e Fornitore (2) x 2 9.30 Lancio Procedura AS OF x 2 10.00 CUT-OFF per fatture da ricevere Prodotto Wholesale x 2 13.00 Quadratura tra BO e PeopleSoft del fatturato del mese x 2 13.00 Query Fatturato Denim Footwear e Periferico dell'ultimo mese per il calcolo delle royalties x 2 13.00 Calcolo delle Rimanenze Finali e Costo del Venduto per negozi Italia ed Estero x 2 13.00 Calcolo delle Rimanenze Finali per linea x 2 13.00 Stock in Transit Negozi Italia x 2 Fine giornata STIME FATTURE DA RICEVERE - COSTO VENDUTO (PRODOTTO) x 2 Fine giornata Incassi Negozi x 2 Fine giornata Stop alle registrazioni delle note spese x Posting delle eventuali fatture cee ed extracee intercorrenti tra la fine del mese solare precedente e la data di chiusura del report Estrazione di tutte le spedizioni non fatturate intercorrenti tra la fine del mese solare precedente e la data di chiusura del report per la contabilizzazione delle stesse tra le fatture da emettere x x x 188 5. Il gruppo Guess: un player mondiale 2 Fine giornata Calcolo Royalties DENIM x 2 Fine giornata Calcolo Royalties FOOTWEAR e PERIFERICO x 2 Fine giornata Italy Retail Discounts x 2 Fine giornata Calcolo Riserva Shrinkage x 2 Fine giornata Logistica: importo relativo ai costi di Handling di Movimoda e di Freight Out. x 2 Fine giornata Dati Finanza (interessi, cambi, fair value, etc) x 2 Fine giornata Conversione in Euro dei saldi dei conti correnti in valuta x 2 Fine giornata STIME ALTRE FATTURE DA RICEVERE - GUESS SERVICE x 2 Fine giornata Stima delle note spese non contabilizzate - GUESS SERVICE x 2 Fine giornata Stima voci di P.L. che servono a addebito Affitto + oneri accessori da G.ITA a G.SERVICE/BARN x 3 Fine giornata Rent x (…omissis…) 189 5. Il gruppo Guess: un player mondiale e) Prescrizioni contrattuali. Un esempio emblematico, in riferimento al gruppo Guess Europe è rappresentato dagli ordini di vendita i quali possono scaturire da due tipologie di documenti: • il contratto stipulato direttamente con il cliente per forniture specifiche; • la copia commissione preparata dall’agente composta di un prospetto riepilogativo delle quantità ordinate ed un prospetto contenente le condizioni commerciali che il cliente deve sottoscrivere415. Per quanto concerne, invece, l’importanza dell’attività di compliance auditing, relativamente alla normativa esterna, questa risulta ancor più accentuata in virtù del fatto che Guess Inc. è quotata al New York Stock Exchange di Wall Street e pertanto tutto il gruppo è soggetto al rispetto del Sarbanes Oxley Act (SOX). Come già ribadito precedentemente, la normativa SOX prevede alla sezione 404, l’emissione di un’attestazione annuale416 da parte del management di 415 È da sottolineare che l’80% degli ordini ricevuti in Guess Europe sono costituiti da copie commissione preparate dall’agente. 416 Oltre all’emissione di un’attestazione annuale da parte del Management di ciascuna SEC Registrant, volta a garantire l’efficacia del sistema di controllo interno inerente il financial reporting, il Board of Director di Guess Inc. è tenuto alla pubblicazione della cosiddetta “Upstream Certification”. Essa consiste in una lettera di attestazione, da emettere di concerto con la pubblicazione del Quarterly Report contenuto nel “Form 10-Q”, in cui ogni membro dell’alta direzione (il Chief Executive Officer, il Chairman of the Board, il Chief Operating Officer e il Chief Financial Officer) assicura, in sintesi, che non vi è niente in sua conoscenza che non sia stato riportato nel financial statement. Qui di seguito riportiamo un estratto della “Upstream Certification” emessa da Guess Inc assieme alla pubblicazione del secondo Quarterly Report relativo all’esercizio 2007. “[...] I confirms, to the best of my knowledge, as of the date of this letter, the following representations: 1. The financial and supplementary information referred to above is fairly presented, does not contain misleading information, and does not omit any material information to cause them to be misleading. 2. There have been no communications from regulatory agencies or lenders concerning noncompliance with or deficiencies in financial reporting practices. 190 5. Il gruppo Guess: un player mondiale ciascuna SEC registrant, relativamente all’efficacia del sistema di controllo interno inerente il financial reporting, nonché la conseguente necessità di ottenerne una certificazione da parte della società di revisione esterna417. In altre parole, il Chief Executive Officer (CEO) e il Chief Financial Officer (CFO) sono responsabili del mantenimento di un’adeguata struttura di 3. There are no material transactions that have not been properly recorded in the accounting records underlying the financial information and financial statements referred to herein. 4. I must disclose to you: a. My knowledge of any fraud that has been perpetrated or any alleged or suspected fraud; b. My knowledge of any allegations of fraudulent financial reporting; c. My understanding about the risks of fraud in the Company, including any specific fraud risks the Company has identified to account balances or classes of transactions for which a risk of fraud may be likely to exist. 5. The Company has no plans or intentions that may materially affect the carrying value or classification of assets and liabilities. 6. I have provided you with relevant information regarding related-party transactions, including sales, purchases, loans, transfers, leasing arrangements and guarantees (whether written or oral), and amounts receivable from or payable to related parties. 7. There are no: a. Violations or possible violations of laws or regulations whose effects should be considered as a basis for recording a loss contingency. b. Other liabilities or gain or loss contingencies that are required to be accrued by FASB Statement No. 5, except as disclosed to you. 8. The Company has satisfactory title to all owned assets and there are no liens or encumbrances on such assets nor has any asset been pledged as collateral, except as disclosed to you. 9. The Company has complied with all aspects of the contractual agreements that would have a material effect on the financial information and financial statements in the event of noncompliance. 10. The accounting records underlying the financial information and financial statements represent valid claims against debtors for transactions arising on or before the balance-sheet date and have been appropriately reduced to their estimated net realizable value. 11. Receivables recorded in the financial information and financial statements represent valid claims against debtors for transactions arising on or before the balance-sheet date and have been appropriately reduced to their estimated net realizable value. 12. No events have occurred subsequent to the date of the financial information and financial statements that would have material effect on the financial information and financial statements or that should be disclosed in order to keep the financial information and financial statements from being misleading. 13. I agree to notify you in the event that any change occurs which renders inaccurate or incomplete as of that time any answers given herein. I declare under penalty of perjury that the foregoing is true and correct to the best of my knowledge.” 417 Tra i principali requisiti richiesti dalla Sezione 404 del Sarbanes Oxley Act sono contenute disposizioni in riferimento alla responsabilità del management il quale deve: - accettare la responsabilità circa l’efficacia del controllo interno sul processo di redazione del financial reporting; valutare l’efficacia dell’ “Internal Control Financial Reporting” applicando un criterio di controllo appropriato (ad esempio il modello ERM del CoSO Report); supportare tale valutazione con sufficienti evidence, compresa la relativa rappresentazione documentale; presentare una attestazione scritta circa l’efficacia del “Financial Control Internal Reporting”. 191 5. Il gruppo Guess: un player mondiale controllo interno e di reporting finanziario, essi forniscono annualmente un’assessment circa l’efficacia di questa struttura e delle procedure di emissione dei reporting, che in ultima analisi dovrà essere comprovata dalla società di revisione contabile che certifica la stessa attestazione. Qui di seguito offriamo un estratto del “Management Assessment of Sarbanes Oxley Act” redatto da Guess Inc. per l’esercizio 2006 (chiuso in data 31 Gennaio 2007). In particolare: “the purpose of this document is to: 1. outline the framework used for clarification and evaluation of Guess’s Section 404 deficiencies for 2006; 2. classify and evaluate all of the Company’s identified control deficiencies compiled subsequent to the testing, remediation and refresh testing phases of the Sarbanes-Oxley (SOX) Project.” […] Con specifico riferimento all’Italia, il Management Assessment, fornisce dettagli in merito alla conduzione del progetto SOX 404 da parte dell’Internal Audit Dept. di Guess Europe, attestando che: “The Guess Europe Internal Audit Department identified, documented and tested 159 key controls within the scope of the SOX 404 project. At the conclusion of the interim testing, ineffective controls were identified and required remediation. Upon completion of the remediation and refresh testing all 159 controls were found to be effective. Through the review of the work completed for the 2006 SOX 404 project, opportunities to introduce and improve controls for processes that were out of scope in 2006 were identified. As a direct result of the 2006 SOX 404 192 5. Il gruppo Guess: un player mondiale project, the scope of the anticipated work for 2007 will be adjusted in the following manner: • New processes will be examined/included-Financial Statement Close, Tax and Cash and Treasury processes. • Acquired and consolidated operations will be included in the 2007 test work. • Retail and wholesale operations will be assessed for possible review and testing. • Existing processes will be expanded- Order to Cash (AR), Process to Pay (AP), and Inventory (INV). The SOX related project of spreadsheet controls will be fully addressed.” […] Il documento prosegue con la specificazione dei Frameworks e degli Standard utilizzati per la valutazione delle criticità dei controlli, assicurando che: “Guess used “A Framework for Evaluating Control Exceptions and Deficiencies Version 3, dated December 20, 2004” (“Framework, Version 3”) as our framework for evaluating exceptions and deficiencies resulting from the evaluation of the Company’s internal control over financial reporting. This framework was developed by representatives from nine accounting firms including the Big Four. This document has not been updated since then, and therefore will continue to serve as a guide for the Company’s evaluation of its remaining ineffective controls. 193 5. Il gruppo Guess: un player mondiale In addition, the Company also used the Public Company Accounting Oversight Board’s (PCAOB) Auditing Standard No. 2. (“the standard”). Paragraphs 8 and 9 of the Standard define deficiencies418 [...].” 418 In particolare l’Auditing Standard No. 2 del PCAOB, ai Paragrafi 8 e 9, dispone che: “8. A control deficiency exists, when the design or operation of a control does not allow management or employees, in the normal course of performing their assigned functions, to prevent or detect misstatements on a timely basis. • A deficiencies in design exists when (a) a control necessary to meet the control objective is missing or (b) an existing control is not properly designed so that, even if the control operates as designed, the control objective is not always met. • A deficiency in operation exists when a properly designed control does not operate as designed, or when the person performing the control does not possess the necessary authority or qualifications to perform the control effectively. 9. A significant deficiency is a control deficiency, or combination of control deficiencies, that adversely affects the company’s ability to initiate, authorise, record, process, or report external financial data reliably in accordance with generally accepted accounting principles such that there is more than a remote likelihood that a misstatement of the company’s annual or interim financial statement that is more than inconsequential will not be prevented or detected. Note: the terms “remote likelihood” […] has the same meaning as the term “remote” as used in the “FAS No. 5, Accounting for Contingencies” […]. Therefore, the likelihood of an event is “more than remote” when it is either reasonably possible or probable. Note: A misstatement is inconsequential if a reasonably person would conclude, after considering the possibility of further undetected misstatements, that the misstatement, either individually or when aggregated with other misstatements, would clearly be immaterial to the financial statements. If a reasonable person could not reach such a conclusion regarding a particular misstatement, that misstatement is more than inconsequential.” 194 5. Il gruppo Guess: un player mondiale EVALUATING PROCESS/TRANSACTION-LEVEL CONTROL DEFICIENCIES Il “Management Assessment si conclude, infine, con la seguente attestazione: “[…] Therefore, on an aggregate level, the Company believes that there are compensating controls to reduce the magnitude of these exceptions to an 195 5. Il gruppo Guess: un player mondiale inconsequential level and therefore, there are deemed no significant deficiencies or material weaknesses as of January 31, 2007.” L’attività di compliance audit nel rispetto della normativa SOX, ha costituito una delle attività di primaria importanza per l’Internal Audit Dept. nel gruppo Guess, che, con l’introduzione della nuova normativa, ha dedicato gran parte delle sue risorse all’aggiornamento ed al miglioramento dei propri sistemi di controllo interno con particolare attenzione all’impatto che i rischi ad esso legati possono avere sui dati di reporting. In effetti, le conseguenze che possono derivare dal mancato rispetto delle norme esterne si manifestano, oltre che sotto forma di sanzioni di varia natura (amministrative, penali, interdittive), anche in perdite per l’organizzazione connesse ad una cattiva reputazione (è indubbio che per gli intermediari finanziari, come per molti altri settori, uno dei valori più importanti da difendere è la fiducia della propria clientela e del mercato in generale419). 419 Per le società quotate al New York Stock Exchange, la SEC dispone la pubblicazione a cadenza trimestrale di un documento denominato “Form 10-Q” composto da: - Part I: Financial Information, in cui sono presentati tutti i dati di reporting consolidati a livello di corporate; - Part II: Other Information, tra cui legal proceedings, risk factors, ecc. É da sottolineare che per il “Form 10-Q” non viene emessa alcuna opinion da parte della società di revisione incaricata della certificazione del bilancio d’esercizio, infatti, il Financial Statement contenuto nella Part I del Form riporta espressamente il termine “unaudited”. In aggiunta al Form 10-Q, ogni qual volta si verificano eventi straordinari o cambiamenti a livello di corporate, è prevista dal NYSE la pubblicazione del cosiddetto “Form 8-K”. Tale documento viene emesso tutte le volte che la società deve rendere nota al mercato una comunicazione straordinaria, tra cui ad esempio il caso di modifiche concernenti i compensi degli amministratori, oppure cambiamenti nella composizione dell’Audit Committee, operazioni di acquisizioni d’azienda, ecc. Le comunicazioni possono riguardare anche il caso in cui siano stati commessi errori nella pubblicazione dei dati di reporting, contenuti nel “Form 10-Q”; in tal caso è necessario rendere noto l’errore con un’informativa speciale, utilizzando il “Form 8-K” e procedere ad una nuova emissione del “Form 10-Q” con i dati di reporting corretti. Presentiamo qui di seguito l’estratto del “Form 8-K” relativo all’acquisizione del 75% di Focus Europe Srl da parte di Guess Europe B.V. in data 31/12/2006. “Item 8.01 Other Events. Acquisition of Focus Europe S.r.l. Effective December 31,2006, Guess?., Inc. (the “Company”), through its wholly-owned subsidiary, Guess? Europe, B.V. (“Purchaser”), completed the acquisition of 75% of the equity interest of Focus Europe S.r.l. (“Focus”) from Foucs Pull S.p.A. (“Seller”). The Focus purchase 196 5. Il gruppo Guess: un player mondiale Se è vero che il compliance auditing verifica l’osservanza delle norme, vero è anche che tale tipologia di auditing viene riconosciuta come un valido strumento di prevenzione, in grado di fornire assurance alle strutture aziendali deputate all’emanazione e all’applicazione di regolamenti interni. Un’auditing di compliance preventivo, svolto cioè senza notifica alla struttura oggetto in esame, può assolvere tipicamente il ruolo di attività ispettiva420. In aggiunta, qualora le procedure aziendali e gli altri regolamenti interni non siano aggiornati o non forniscano adeguata chiarezza sulle modalità operative della gestione dei processi, l’Internal Audit dovrà ricorrere all’operational auditing, mediante il quale attraverso l’analisi del processo e dei relativi rischi, sarà in grado di fornire le necessarie valutazioni su eventuali esigenze di completamento dell’impianto normativo interno. In virtù delle competenze acquisite relativamente all’insieme delle normative correlate ai processi che sono oggetto dell’attività di auditing, l’Internal Audit Dept. dispone spesso di un’elevata conoscenza degli aspetti normativi che si riferiscono all’organizzazione421. È da precisare, inoltre, che relativamente all’emanazione delle normative interne, l’Internal Audit non sostituisce il ruolo delle Funzioni operative a cui è deputata la responsabilità della redazione delle stesse, essa si limita ad esercitare un’attività di monitoraggio e segnalazione delle possibili agreement also provides for the acquisition of 75% of the equity interest of Focus Spain S.A. (“Focus Spain”), subject to certain closing conditions. Since 1997, the Company has licensed to Focus the rights to manufacture, distribute and retail “GUESS by Marciano” contemporary apparel in Europe, the Middle East and Asia. The acquisition of the licensee is expected to further accelerate the Company’s expansion in Europe. […] Cfr. Guess Inc., 8-K, January 08, 2007, pag.3-4. 420 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 231. 421 La Guida Interpretativa IIA 2100-5 Considerazioni legali nella valutazione dei programmi di compliance a normative di vigilanza a tale proposito riferisce: “I programmi di compliance aiutano le organizzazioni a prevenire violazioni non intenzionali, intercettare eventuali comportamenti illeciti e scoraggiare violazioni volontarie da parte dei dipendenti. Essi possono inoltre contribuire a documentare richieste di indennizzo assicurativo, a circoscrivere le responsabilità civili di amministratori e dirigenti, a creare o rafforzare l’immagine aziendale e a valutare il merito di una eventuale richiesta di risarcimento danni”. 197 5. Il gruppo Guess: un player mondiale implicazioni dell’evoluzione della normativa esterna sulla regolamentazione interna. 4.3. L’IT AUDITING Le verifiche di IT auditing in Guess hanno assunto un’importanza sempre più rilevante in virtù del rapido e crescente sviluppo della struttura del gruppo e delle sue entità economiche. In questi ultimi anni, la crescita esponenziale dei volumi delle attività aziendali a livello di gruppo, (il riferimento è, in particolare, ai mercati europei), ha determinato la necessità di implementare tecnologie informatiche, a supporto dei diversi processi e delle diverse Funzioni, sempre più all’avanguardia e sempre più complesse. Questa rapida e crescente evoluzione e diffusione delle tecnologie informatiche nella struttura aziendale ha comportato l’incremento di uno dei maggiori rischi che minacciano l’attività d’impresa, il cosiddetto “rischio informatico”. In effetti, quanto più un’organizzazione si dota di strumenti IT, tanto più deve essere elevata l’attenzione che il management dedica agli aspetti che riguardano la sicurezza informatica. Vista la difficoltà nel trattare rischi di natura informatica legati a un crescente e rapido ricorso a sofisticati strumenti di information technology, la Funzione di Internal Audit in Guess Italia, ha deciso, in questa fase di start-up, di affidare lo svolgimento dell’IT auditing ad una società esterna specializzata in Electronic Data Processing Auditing (EDP Auditing). Tale società, ponendo una particolare attenzione ai processi, ai sistemi e agli applicativi informatici utilizzati e al loro grado di sicurezza, ha condotto le verifiche di IT auditing focalizzandosi sui seguenti domini: 198 5. Il gruppo Guess: un player mondiale • la pianificazione e l’organizzazione, compresa la valutazione dei rischi. Questo dominio include strategia e tattica e ha per oggetto il modo in cui l’IT auditing può contribuire al raggiungimento degli obiettivi aziendali. Vi sono inclusi i processi di pianificazione delle risorse, di definizione dell’organizzazione e dell’infrastruttura tecnologica; • l’acquisizione e la realizzazione delle soluzioni IT, comprese la gestione delle modifiche al sistema una volta realizzato e l’ottimizzazione di soluzioni automatizzate; • l’erogazione del servizio IT e assistenza, compresa la gestione dei dati delle configurazioni, delle infrastrutture e dell’esercizio di tutti gli applicativi in essere; • l’attività di monitoraggio: tutti i processi IT devono essere valutati con regolarità nel tempo, dal punto di vista della qualità e della conformità ai requisiti di controllo. Questo dominio, pertanto, concerne la supervisione, da parte del management, dei processi di controllo e la valutazione indipendente fornita dalla società di audit esterna, con la collaborazione della Funzione di revisione interna. Nell’ambito del terzo dominio, erogazione e assistenza, risultano particolarmente importanti le attività di auditing finalizzate ad assicurare i requisiti di controllo richiesti dal modello COBIT422. Tali requisiti sono423: 422 COBIT è l’acronimo di Control Objectives for Information and related Technology ed è uno standard internazionale emanato e continuamente aggiornato dall’Information System Audit and Control Foundation (ISACF) e dal suo dipartimento di ricerca affiliato, l’IT Governance Institute. Il COBIT, che è un modello universalmente accettato come punto di riferimento per il governo e per il controllo dell’Information Technology (IT), risulta particolarmente efficace nella valutazione dei controlli interni in ambienti altamente informatizzati. La metodologia si articola in due ambiti di intervento: quello strategico, o di governo dell’IT, e quello di controllo dei processi (è su quest’ultimo ambito che la società esterna di IT auditing ha focalizzato il proprio intervento in Guess Italia). 423 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 159. 199 5. Il gruppo Guess: un player mondiale • efficienza della gestione dell’informazione attraverso l’utilizzo ottimale delle risorse, dal punto di vista sia della produttività sia dell’economicità; • efficacia dell’informativa: concerne le informazioni che devono essere rilevanti e pertinenti ai processi aziendali e che sono rese disponibili in maniera tempestiva, prive di errori, coerenti e utilizzabili; • riservatezza: ha per oggetto la protezione delle informazioni sensibili (riservate) da possibili accessi non autorizzati; • integrità delle informazioni: si riferisce all’accuratezza e alla completezza dell’informazione, nonché alla sua validità in relazione ai valori e alle aspettative aziendali; • disponibilità delle informazioni: riguarda la disponibilità dell’informazione quando richiesta dai processi aziendali, nel presente e nel futuro, nonché la salvaguardia delle risorse necessarie e delle relative capacità e funzionalità; • conformità alle regole interne ed esterne: concerne il rispetto delle leggi, dei regolamenti e degli accordi contrattuali cui è soggetta l’azienda, vale a dire i vincoli aziendali imposti dall’esterno; • affidabilità delle informazioni: si riferisce alla fornitura di appropriate informazioni alla direzione, sia per la gestione dell’azienda, sia perché essa possa far fronte alle proprie responsabilità finanziarie e agli obblighi di bilancio/statutari424. 424 È importante notare che i requisiti di efficienza, efficacia, conformità alle regole interne ed esterne ed affidabilità delle informazioni del modello COBIT corrispondono, di fatto a quelli del modello CoSO descritto precedentemente, anche se il requisito dell’affidabilità delle informazioni previsto dal COBIT è stato ampliato per comprendervi tutte le informazioni e non solo quelle di natura finanziaria. Per quanto riguarda gli altri tre requisiti, la riservatezza, l’integrità e la disponibilità delle informazioni, questi sono tipici dei modelli di controllo dell’IT; in questo modo il COBIT cerca di colmare la lacuna tra i due modelli, configurandosi come quello di riferimento per il governo dell’IT. Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 159. 200 5. Il gruppo Guess: un player mondiale In generale, l’IT auditing sta assumendo sempre più una funzione di supporto nei confronti di altre attività di auditing che necessitano di un ausilio da parte di esperti in ambito informatico. Infatti, anche nel gruppo Guess, l’attività di IT auditing, oltre a focalizzarsi sul sistema di controllo interno IT, viene impiegata anche per lo svolgimento dei cosiddetti IT general control che fanno riferimento ai vari processi aziendali diversi da quello specifico dell’Information Technology. In particolare, nello svolgimento di altre attività di auditing spesso risultano necessarie, quali attività di supporto: - auditing delle banche dati, un metodo di estrema efficacia per incarichi di audit, in cui si procede ad un’indagine dell’intera banca dati mediante applicativi per analisi di audit generalisti o sviluppati appositamente; - esame della sicurezza degli applicativi usati nel processo oggetto di audit; - verifica dell’affidabilità di funzionamento dell’interfaccia tra un sistema o una banca dati e un altro. Da quanto fino a qui detto è comprensibile come, per lo svolgimento di tali attività, siano necessarie competenze specifiche nel campo dell’informatica, nonché l’utilizzo delle metodologie di audit tradizionali. Tutto ciò, ha determinato la necessità di ricorrere alla professionalità di una società esterna specializzata in IT auditing e che affiancata alla Funzione di revisione interna di Guess, soddisfacesse le esigenze del management colmando il gap esistente tra i rischi aziendali, le esigenze di controllo e le problematiche tecniche all’interno dell’organizzazione. Nell’ambito degli ampi domini summenzionati la società di IT auditing esterna, in collaborazione con l’Internal Audit, ha provveduto 201 5. Il gruppo Guess: un player mondiale all’effettuazione di audit mirati per singoli processi IT, in quattro ambiti di intervento: 1. user access: definizione e monitoraggio dell’accesso ai sistemi informatici aziendali da parte degli utenti al fine di garantire la correttezza dei dati aziendali; 2. logical security: insieme di procedure volte a garantire la correttezza dell’archiviazione informatica dei dati, sia in termini di ripartizione delle stesse tra i vari sistemi informatici sia nell’organizzazione dei dati in eventuali cartelle dipartimentali; 3. change control: l’insieme dei controlli volti a garantire che qualsiasi modifica di software sia effettuata secondo le procedure aziendali, (a titolo di esempio: modifica report in ambiente di sviluppo, controllo in ambiente di test, rilascio finale in ambiente di produzione); 4. IT operations: l’insieme di regole e procedure volte a disciplinare l’attività all’interno dell’IT Department (il riferimento è, ad esempio, alla definizione di ruoli/responsabilità, oppure alle regole concernenti l’accesso alla sala macchine, ecc). 4.4. IL FRAUD AUDITING Il fraud auditing è una tipologia di auditing che presenta sinergie sia con il compliance auditing sia con l’operational auditing ed è volto all’identificazione e alla quantificazione delle frodi subite dall’azienda. Con il termine frode si intende una vasta tipologia di irregolarità e atti illeciti caratterizzati da un comportamento intenzionalmente finalizzato a trarre in inganno. Può essere perpetrata a vantaggio o svantaggio 202 5. Il gruppo Guess: un player mondiale dell’organizzazione e da persone operanti all’interno o all’esterno della stessa425. I diversi tipi di frode, molto spesso, sono di difficile individuazione, ma in genere l’azione fraudolenta è sempre determinata dalla volontà di attentare all’integrità del patrimonio aziendale attraverso un “aggiramento” del sistema dei controlli interni, oppure mediante lo sfruttamento di opportunità offerte da punti deboli individuati nel tessuto del sistema stesso (possono verificarsi, ad esempio, casi eclatanti, quali l’appropriazione indebita, lo spionaggio industriale, la corruzione, la falsificazione, ecc.). Non essendo ipotizzabile che l’Internal Auditing possa scovare tutte le frodi poste in essere ai danni dell’azienda, l’attività primaria dell’auditor è quella di prevenzione della frode attraverso una valutazione dell’efficacia e dell’adeguatezza del sistema di controllo interno426. L’Internal Audit Dept. nel gruppo Guess, ed in particolare in Guess Italia, ha optato per l’integrazione della valutazione del rischio frode all’interno dell’attività di operational auditing, qualora il rischio in questione sia ritenuto significativo. In generale il fraud auditing si costituisce di tre tipologie di attività molto diverse fra loro427: 1. Il fraud auditing ai fini del rafforzamento del sistema di controllo preventivo. Questo viene effettuato mediante un’analisi di processo, secondo le modalità tipiche dell’operational auditing, focalizzandosi in tutto o in parte sui rischi di frode. In tal modo l’Internal Audit Dept. è in grado di individuare e valutare in via preventiva le “aree grigie” aziendali dove 425 Cfr. Guida interpretativa IIA 1210.A2-1, Responsabilità dell’auditor in materia di identificazione della frode. 426 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 238. 427 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 239-240. 203 5. Il gruppo Guess: un player mondiale con più facilità potrebbe annidarsi un rischio di attività illecita e proporre soluzioni preventive. L’individuazione e la successiva valutazione dei rischi di frode che possono minacciare il regolare svolgimento dell’operatività aziendale condurranno l’auditor a promuovere iniziative volte ad un’attenuazione di tali rischi attraverso il miglioramento delle strategie di controllo. In tale ottica è importante, infatti, intraprendere tutte le azioni preventive necessarie a disincentivarne il compimento. Fra queste si annoverano tutti quegli accorgimenti organizzativi finalizzati al rispetto del principio della separazione dei compiti (segregation of duties), relativamente alle operazioni che incidono sul patrimonio aziendale, il quale, oltre al miglioramento della trasparenza dello svolgimento dei singoli processi, consente di ridurre il rischio di appropriazioni indebite da parte degli operatoria aziendali. 2. Il fraud auditing ai fini dell’identificazione di atti sospetti. Questo è il caso in cui emergano segnali conosciuti di allarme, i cosiddetti “red flag”, che consentono all’Internal Audit di individuare casi sospetti di illecito. I segnali di possibili azioni fraudolente possono emergere da normali controlli manageriali, da test effettuati dagli auditor o da altre fonti interne o esterne all’azienda ed in tali casi l’auditor dovrà valutare l’opportunità di avviare ulteriori approfondimenti o se segnalare, ad eventuali autorità interne all’azienda oppure allo stesso management, l’anomalia, promuovendo un’indagine investigativa mirata. Tutto ciò con l’obiettivo di prevenire e disincentivare il compimento di atti illeciti. 3. Il fraud auditing ai fini dell’investigazione di gravi sospetti di atti illeciti. All’internal auditor è richiesta una conoscenza, almeno generica, delle 204 5. Il gruppo Guess: un player mondiale diverse tipologie di frodi, dei modi con cui queste vengono commesse e degli indicatori che ne possono segnalare la presenza428. È da sottolineare che esula dall’ambito di professionalità dell’internal auditor il possesso di competenze specifiche di chi ha come responsabilità principale l’accertamento e l’investigazione delle frodi429. Tuttavia, in assenza di un’altra funzione a ciò dedicata, una volta individuato un evento di possibile frode, all’Internal Audit talvolta viene richiesto di svolgere un’indagine che permetta di accertare le effettive responsabilità interne e, per quanto possibile, esterne, quantificare i danni e determinare le azioni da proporre alle diverse Funzioni preposte agli aspetti gestionali (legale, risorse umane, ecc.). Alcuni esempi di frode che possono essere perpetrate a vantaggio dell’organizzazione sono i seguenti: • vendita o cessione di beni fittizi o non correttamente rappresentati; • pagamenti impropri, quali contribuzioni politiche illegali, tangenti, e donazioni a pubblici ufficiali o loro intermediari, a clienti o a fornitori; • rappresentazione o valutazione intenzionalmente non corretta di operazioni, attività, passività o altri risultati reddituali o patrimoniali; • transazioni con parti correlate, intenzionalmente strutturate in modo tale che una delle parti ottenga benefici non ottenibili a normali condizioni di mercato; • intenzionale omissione nella registrazione o comunicazione di informazioni significative, al fine di fornire un quadro economicopatrimoniale dell’organizzazione fittiziamente migliorato; 428 Conoscere le caratteristiche delle frodi più comuni, la loro dinamica e le modalità della loro perpetrazione rappresenta dunque il primo importante stadio per la costruzione di un sistema di salvaguardia che abbia un minimo di probabilità di successo. Cfr. G.C. Grossi, Internal Auditing. L’inizio di una nuova avventura. Milano, AIIA, 2002. 429 Cfr Standard IIA 1210.A2, Responsabilità per l’identificazione delle frodi. 205 5. Il gruppo Guess: un player mondiale • attività di business proibite, realizzate in violazione di contratti, leggi, decreti, regolamenti, e altre disposizioni sia dello Stato sia di altri enti; • frodi fiscali. Tra gli altri esempi che invece possono essere perpetrati a danno dell’organizzazione possiamo elencare: • accettazione di regali o tangenti; • dirottamento, a favore di dipendenti o di terzi, di transazioni potenzialmente profittevoli per l’organizzazione; • malversazione, ovvero appropriazione illecita di beni o denaro con susseguente alterazione di dati contabili al fine di coprire l’illecito e renderne difficile l’identificazione; • occultamento o falsificazione di dati o eventi; • richieste di pagamento per merci o servizi non realmente forniti dall’organizzazione. Nel gruppo Guess il top management ha provveduto all’emanazione di una policy concernente l’etica negli affari e la prevenzione delle frodi, il cosiddetto “Code of Conduct”, volto alla diffusione all’interno dell’organizzazione di una “cultura dell’Etica” capace di scoraggiare tra i dipendenti comportamenti impropri o addirittura dolosi. L’obiettivo di fondo è la creazione del cosiddetto “soft control” atto a promuovere il senso di responsabilità individuale a tutti i livelli gerarchici. Anche il gruppo Guess, come spesso si rileva nelle imprese di grandi dimensioni, ha ritenuto opportuno dare avvio ad un’opera di sensibilizzazione nei confronti di amministratori, responsabili e dipendenti di Guess Inc., di tutte le relative società controllate e di eventuali entità che svolgono servizi per il gruppo, diffondendo uno standard di condotta etica che deve permeare tutte le transazioni e le relazioni commerciali. 206 5. Il gruppo Guess: un player mondiale In tale codice, si forniscono, tra le altre disposizioni, quelle relative a: • situazioni di conflitto di interesse, laddove un interesse privato di una persona interferisca in qualsiasi modo con l’interesse della società; • casi di insider trading: ai dipendenti, responsabili ed amministratori che hanno accesso alle informazioni riservate, è vietato utilizzare o condividere tali informazioni ai fini dello scambio di titoli, fatta eccezione per la conduzione delle attività commerciali della società; • riservatezza delle informazioni affidate ai dipendenti della società; Tutti coloro che dovessero violare la Legge o gli standard contenuti nel Code of Conduct saranno sottoposti ad azioni disciplinari di vario grado, compreso anche il licenziamento e la destituzione dal rapporto d’impiego con la società. In conclusione, la violazione di tali regole comporta oltre alla commissione di un eventuale reato, anche il consapevole raggiro degli obiettivi aziendali danneggiandone il valore. 4.5. L’AUDIT FINANZIARIO E CONTABILE È ovvio che l’attendibilità dei flussi informativi è una qualità imprescindibile nella formulazione dei dati di bilancio. Inoltre, l’importanza e la significatività dei valori espressi in bilancio presuppongono che la sua attendibilità sia in ogni momento garantita a tutti i portatori di interessi nei confronti dell’azienda, siano essi i soci, i creditori attuali e potenziali, i 207 5. Il gruppo Guess: un player mondiale dipendenti, gli investitori, gli organi di vigilanza che a diverso titolo esercitano un controllo sulla società, il fisco, e altri soggetti ancora430. Per il gruppo Guess, soggetto alla disciplina del Sarbanes-Oxley Act in quanto quotato al New York Stock Exchange (NYSE) degli Stati Uniti, la necessità per l’Internal Audit di focalizzare la propria attenzione sui sistemi e i processi contabili è aumentata notevolmente. Ad oggi la Sezione 303 del Sarbanes Oxley Act – Corporate responsibility for Financial Report – definisce la responsabilità del CEO e del CFO sull’istituzione e sul monitoraggio: - dei controlli che sovrintendono la redazione del bilancio (internal control over financial information); - delle procedure e dei controlli finalizzati al rispetto degli obblighi informativi (disclosure and controls procedures). Mentre precedentemente all’emanazione della SOX gli amministratori si limitavano a fornire un attestazione relativamente alla provenienza del bilancio, ad oggi, il CEO sarà ritenuto responsabile per qualsiasi incongruenza o errore ritrovato nel Financial Statement. Il punto significativo dell’atto è l’attestazione della responsabilità penale del CEO e del CFO relativamente al contenuto dei bilanci e delle relazioni finanziarie delle società quotate al NYSE. Queste brevi considerazioni sono sufficienti a giustificare il motivo per cui assume sempre più rilevanza il ruolo dell’internal auditor nel fornire assurance sui dati di bilancio al top management e al dirigente preposto alla redazione dei documenti contabili societari. Naturalmente nello svolgimento dell’attività di audit finanziario e contabile è necessario un coordinamento tra l’organo di revisione interna e quello di 430 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 235. 208 5. Il gruppo Guess: un player mondiale external auditing, al fine di garantire un’adeguata copertura dei rischi concernenti l’informazione fornita attraverso il bilancio e una 431 minimizzazione nelle attività svolte . L’Internal Audit, in piena sinergia con l’attività del soggetto incaricato della revisione contabile esterna del bilancio, può effettuare auditing di natura finanziaria/contabile attraverso432: • una fattiva collaborazione con tale soggetto riguardante la verifica di determinate voci di bilancio, vale a dire un’assistenza specifica nelle verifiche programmate dal revisore contabile utili all’espletamento dell’incarico di revisione (quali ad esempio, nel caso di Guess Italia, attività di vouching su determinate poste di bilancio, attività di circolarizzazione, attività inventariali, ecc.); • la revisione dei processi aziendali di tipo amministrativo-contabile che sono alla base del sistema che formula il bilancio stesso (quali ad esempio, in Guess Italia, il processo del Financial Statement Closing Process). Le due tipologie di attività summenzionate sono assai diverse, in quanto la prima pone attenzione alla correttezza dei dati, relativi ad una specifica data (dati patrimoniali) o periodo (dati economici), prendendo in esame la documentazione a campione per accertarne l’affidabilità (“verifiche di sostanza”, o substantive testing), mentre la seconda si sofferma sull’adeguatezza del sistema generale dei controlli interni, ed in particolare su quelli aventi contenuto amministrativo-contabile. Relativamente alla seconda attività, essa fornisce un maggiore valore aggiunto per l’organizzazione, assumendo eventualmente le caratteristiche 431 Cfr. Standard IIA 2050 Coordinamento; Guida Interpretativa IIA 2050-2 Acquisizione di servizi di revisione esterna. 432 Cfr. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007, pag. 237. 209 5. Il gruppo Guess: un player mondiale di un compliance auditing o di un’operational auditing focalizzato sui processi contabili conformemente a quanto predisposto dalla summenzionata normativa del Sarbanes-Oxley Act. Lo svolgimento dell’attività di auditing finanziario e contabile richiede all’internal auditor una spiccata conoscenza dei principi contabili e di revisione, della tecnica ragionieristica, così come della disciplina giuridica del bilancio d’esercizio. Talvolta lo svolgimento di tale attività deriva da specifiche richieste da parte del vertice aziendale così come da parte del Chief Audit Executive di Guess Inc. che richiede particolari interventi su aree di bilancio considerate maggiormente a rischio e su cui si intende ottenere maggior chiarezza. 5. IL PROGETTO DI IMPLEMENTAZIONE DEL CONTROL & RISK SELF ASSESSMENT (CRSA) NEL GRUPPO GUESS Nel gruppo Guess l’implementazione della metodologia del “Control & Risk Self Assessment” (CRSA), già presentata nelle sue linee generali nel capitolo precedente, rappresenta uno dei progetti più ambiziosi pianificato dal top management per l’esercizio 2009. L’obiettivo è quello di favorire un progressivo cambiamento della cultura organizzativa, affinché tutto il personale divenga parte integrante del sistema di controllo interno, sia fortemente motivato a garantire l’effettiva applicazione delle procedure impostate ed a partecipare al loro continuo miglioramento. Il top management, dopo aver valutato l’economicità e l’efficacia dei progetti di implementazione del CRSA proposti dalle diverse società di consulenza, ha deciso di affidare tale incarico direttamente alla Funzione di Revisione Interna del gruppo. 210 5. Il gruppo Guess: un player mondiale L’Internal Audit Dept., pertanto, in qualità di sponsor del progetto, assumerà un ruolo determinante per il passaggio da una metodologia tipicamente tradizionale ad un approccio basato sui rischi in grado di fornire al management valore aggiunto nel processo di pianificazione strategica e operativa. Attualmente il progetto di implementazione del Control & Risk Self Assessment nel gruppo Guess Europe è ancora in attesa della fase di startup e pertanto non si manifesta nella sua operatività, nonostante l’Internal Audit Dept. ne abbia già pianificato le linee guida da seguire per sua conduzione. Il processo di implementazione del CRSA può essere sintetizzato in cinque macrofasi: a) Kick-off; b) Consolidation of the risks; c) Interactive Workshop; d) Definition of Action Plan; e) Monitoring. a) KICK-OFF In questa fase l’Internal Audit Dept. presenta la metodologia del Control & Risk Self Assessment ai Responsabili delle business unit e ai loro diretti collaboratori coinvolti nel progetto. Nella riunione di apertura viene presentato, oltre alla metodologia, il nuovo modello di Sistema di controllo interno basato sui rischi che si intende adottare per guidare l’autovalutazione, ponendo particolare attenzione ai benefici e ai vantaggi ottenibili dall’organizzazione stessa. Una volta che sono stati forniti dettagli in merito alla conduzione del nuovo approccio e alle finalità del progetto, l’Internal Audit Manager procede allo svolgimento di un’attività di formazione e di supporto al management 211 5. Il gruppo Guess: un player mondiale coinvolto, relativamente al progetto di identificazione degli obiettivi strategici e tattici ed in particolare all’individuazione dei “corporate risk” che possono ostacolare il raggiungimento degli stessi. In una prima fase del progetto, talvolta, per agevolare l’individuazione dei fattori interni ed esterni all’organizzazione che possono impedire il conseguimento degli obiettivi aziendali, può essere diffuso una sorta di vademecum, contenente l’indicazione di alcuni fattori di rischio che possono impattare sul corretto svolgimento della gestione aziendale. b) CONSOLIDATION OF THE RISKS È in questa seconda fase che si entra nella conduzione operativa del processo dove i Responsabili delle business unit e i loro diretti collaboratori provvedono ad evidenziare le minacce che possono pregiudicare il raggiungimento degli obiettivi aziendali e le risorse materiali ed immateriali sulle quali i rischi possono avere un impatto. L’Internal Audit Dept. assume un ruolo centrale nel processo di consolidamento dei rischi, essendo l’organo deputato a ricevere da parte di ciascun Manager, coinvolto nel processo, una “lista dei rischi individuati”. Mediamente ogni Responsabile indica 10-15 rischi ed invia l’elenco al Responsabile di progetto (nel nostro caso l’Internal Audit Manager), il quale procede all’effettuazione di un’attività di consolidamento, eliminando eventuali ridondanze (nel caso in cui, ad esempio, siano stati indicati nelle diverse liste gli stessi rischi) ed inserendo delle categorie di rischio reputati rilevanti che non sono stati identificati dagli stessi Manager. Il risultato di tale attività si traduce nella definizione di un elenco unico dei rischi, che viene nuovamente inviato al management per una valutazione in termini di probabilità di accadimento dell’evento e di impatto sulla gestione (Fig.16-17), utilizzando una scala da 1 a 5 (Fig. 16-18). 212 5. Il gruppo Guess: un player mondiale Descrizione del rischio Impatto potenziale Probabilità Fig. 16 R isk o r T h reat – Im p act o n B u sin ess P ro cesses LEVEL D E S C R IP T IO N 1 In sig n ifican t 2 M in o r 3 M o d erate 4 M ajo r 5 C ritical R IS K D E S C R IP T IO N D oes not im pact S ales & O perations N o im pact on reputation Im m aterial im pact on financial perform ance N o im pact on m arket share Issues w ould be delegated to junior m anagem ent and staff to resolve S ales & O perations unlik ely to be affected P otential im pact on reputation M inor im pact on financial perform ance C onsequences can be absorbed under norm al operating conditions S ales & O perations m ay be im pacted T here is som e im pact on reputation P otential m aterial im pact on financial perform ance M ark et share loss in the short term E vent m ay require senior m anagem ent intervention S eriously im pact S ales & O perations R eputation is affected in the short term M aterial im pact on financial perform ance S erious loss of m ark et share E vent requires S enior M anagem ent attention A dversely affect S ales & O perations S erious dim inution in reputation S ignificant and sustained im pact on financial perform ance S ustained serious loss in m arket share S ustained loss of leadership in financially viable services Fig. 17 213 5. Il gruppo Guess: un player mondiale R is k o r T h re a t – L ik e lih o o d o f O c c u rrin g LEVEL D E S C R IP T IO N 1 R e m o te E v e n t m a y o n ly o c c u r in e x c e p tio n a l c irc u m s ta n c e s L e s s th a n a 5 % c h a n c e o f o c c u rrin g in a n y ye a r O c c u rs o n c e e ve ry 2 0 ye a rs o r le s s fre q u e n tly 2 U n lik e ly E v e n t c o u ld o c c u r in s o m e c irc u m s ta n c e s 5 % -2 0 % c h a n c e o f o c c u rrin g in a n y ye a r O c c u rs o n c e e ve ry 5 to 2 0 ye a rs 3 P o s s ib le E v e n ts m ig h t o c c u r in m o s t c irc u m s ta n c e s 2 0 % -5 0 % c h a n c e o f o c c u rrin g in a n y ye a r O c c u rs o n c e e ve ry 2 to 5 ye a rs 4 L ik e ly 5 R IS K D E S C R IP T IO N E v e n t w ill p ro b a b ly o c c u r in m o s t c irc u m s ta n c e s 5 0 % -9 0 % c h a n c e o f o c c u rrin g in a n y ye a r O c c u rs o n c e e ve ry 1 to 2 ye a rs A lm o s t C e rta in E v e n t is e x p e c te d to o c c u r in m o s t c irc u m s ta n c e s M o re th a n 9 0 % c h a n c e o f o c c u rrin g in a n y ye a r O c c u rs a n n u a lly o r m o re fre q u e n tly Fig. 18 Una volta terminata tale valutazione, ha inizio una fase di elaborazione, in cui l’Internal Audit, raccolte le valutazioni effettuate dai Responsabili funzionali, procede per ogni categoria di rischio, al calcolo della media delle probabilità e dell’impatto, della deviazione standard, riportando anche il punteggio che è stato assegnato da ciascuna Funzione. In questo modo si ha la possibilità di classificare i rischi in ordine di importanza, sintetizzati nella cosiddetta ranking list, di individuare eventuali devianze nelle valutazioni che potranno essere discusse separatamente con i Manager delle diverse business unit nel corso del workshop e di stabilire l’esposizione di ciascuna area ad una specifica categoria di rischio. 214 5. Il gruppo Guess: un player mondiale c) INTERACTIVE WORKSHOP La fase successiva prevede la discussione dei risultati nel corso di un workshop al quale partecipano i Responsabili delle varie Funzioni coinvolte nel progetto. Obiettivo del workshop è quello di coprire i rischi con il ranking più alto, dato dal prodotto “impatto x probabilità”. Per scatenare la discussione un metodo può essere quello di partire da quei rischi per i quali i manager avevano singolarmente espresso valutazioni differenti. STRATEGIC SCENARIO Almost Certain Business Processes P1 - Retail Sales P2 - Wholesales Sales P3 - Human Resources P4 - Cash&T. P5 - Sourcing P6 - Finance P7 - Accounting P8 - Legal P9 - Information Systems P10 - Warehouse/Distr./Log. P11 - Asia P12 - Europe P13 - Licensing LIKELIHOOD Likely P11 Possible P9 P5 P6 P8 P3 P7 Unlikely P12 P1 P4 P2 P13 P10 Remote Insignificant Minor Moderate IMPACT Major Critical Fig. 19 215 5. Il gruppo Guess: un player mondiale Risks with high deviation WHLS PENETRATION - COORDINATION Almost Certain Business Processes P1 - Sub-licence Dir. P2 - Wholesales Dir. P3 - Fixturing Mngr. Likely LIKELIHOOD P1 P2 Possible P3 Unlikely Remote Insignificant Minor Moderate IMPACT Major Critical Fig. 20 Basandosi sulle valutazioni che sono state effettuate, sintetizzabili in grafici ad alto impatto visivo, si chiede per i rischi più significativi e per le aree maggiormente esposte, di illustrare le azioni di contenimento che si intendono porre in essere per rimuovere le cause di criticità percepite e la tempistica di attuazione delle stesse. Infatti, nel caso in cui il livello di controllo risultasse insoddisfacente, i Responsabili delle varie Funzioni dovranno indicare anche le azioni da intraprendere per ridurre il rischio al di sotto della soglia di accettabilità. Il processo di self assessment si conclude con la predisposizione di un rapporto la cui struttura è riportata in Fig. 21. 216 5. Il gruppo Guess: un player mondiale Criticità Attività da realizzare Data di conclusione Follow-up Fig. 21 Come già accennato nel capitolo precedente, il ruolo assunto dall’Internal Auditor nella conduzione del workshop risulta uno dei fattori critici di successo per il buon esito del processo di CRSA. Egli, infatti, deve essere in grado di “facilitare” il workshop agevolando il gruppo di lavoro nella valutazione degli obiettivi, dei rischi e dei controlli, facendo emergere idee, esperienze e valori che possono fungere da base per prendere decisioni condivise e per assumerne la responsabilità. d) DEFINITION OF ACTION PLAN Una volta che i rischi sono stati individuati e valutati, il Responsabile di ciascuna business unit è chiamato a definire il piano di azione (Action Plan) che dovrà essere implementato per rimuovere le criticità riscontrate, nonché la data di completamento dell’intervento e le misure temporanee nel fronteggiare delle minacce rilevate. 217 5. Il gruppo Guess: un player mondiale Guess Europe – CRSA: Action Plan Commercial Risk Control description Responsibility Deadline 1 2 3 4 5 6 7 8 Fig. 22 I piani di azione con i risultati dell’autovalutazione e le azioni di mitigazione dei rischi predisposte dalle unità organizzative vengono inviate al Responsabile dell’Internal Audit Dept. il quale poi provvederà a presentare al top management una valutazione sintetica degli elementi critici di maggiore rilevanza riscontrati nel corso dell’assessment e dei piani di azione predisposti dai Manager di Funzione. Dopo che i piani di azione vengono approvati, i Responsabili di processo dovranno provvedere all’implementazione dello stesso nei tempi stabiliti. e) MONITORING Infine la fase di monitoring prevede un monitoraggio continuo da parte della Funzione di Internal Audit del sistema di controllo interno al fine di garantire l’attendibilità dei risultati prodotti dal CRSA. 218 5. Il gruppo Guess: un player mondiale La verifica si traduce nello svolgimento di un’attività di quality assurance, diretta ad accertare se è stata riscontrata l’esistenza dei controlli definiti nell’Action Plan e se sono stati effettuati i test da esso previsti. Laddove sono stati definiti degli interventi per ricondurre il rischio entro limiti definiti come “accettabili”, il Responsabile dell’Internal Audit, in sede di stesura del piano annuale di audit, prevede le attività di follow-up che dovranno essere svolte. Generalmente tali attività sono condotte su base semestrale e sono dirette ad assicurare che le azioni programmate a seguito del CRSA siano state eseguite correttamente e nei tempi previsti. Nel corso di tali verifiche si accerta, inoltre, con il responsabile del processo, se sono sorti ulteriori fattori di rischio, in modo da aggiornare la mappa dei rischi inerenti alla specifica Funzione e, qualora risultasse necessario, da richiedere al management l’impostazione di ulteriori azioni correttive. È da sottolineare comunque, che il processo di aggiornamento dei fattori di rischio che possono impattare sull’attività aziendale avviene al di fuori degli interventi di follow-up, con cadenza almeno semestrale o annuale. L’approccio utilizzato nella pianificazione degli audit è, come già descritto nel capitolo precedente, di tipo risk-based, in quanto le risorse vengono allocate in relazione al grado di rischio associato ai diversi processi. Talvolta, la definizione dell’Audit Plan annuale potrebbe derivare dall’applicazione di un modello formale che prevede che la probabilità che un processo possa essere soggetto a revisione dipende da: • fattori di rischio identificati (quali ad esempio instabilità organizzativa, liquidità e convertibilità, impatto sul bilancio e sull’immagine della società); • valutazioni negative emerse nel corso dell’attività di CRSA; 219 5. Il gruppo Guess: un player mondiale • significatività del processo; • tempo trascorso dall’ultimo intervento di audit o dall’ultimo Control Assessment Review. Per ogni processo, si provvede all’assegnazione di un valore in relazione a ciascuno dei parametri summenzionati, cosicché si ottiene una graduatoria dei processi in funzione del sistema di rating adottato, che serve ad individuare le priorità di intervento e, dunque, a selezionare le unità da sottoporre ad audit. In effetti, l’85% circa delle risorse viene allocato in funzione di tale graduatoria, mentre le restanti sono disponibili per le verifiche richieste dall’alta direzione o per interventi non programmati che si rendessero necessari nell’esercizio successivo. Le indicazioni emerse in sede di autovalutazione ed i piani di azione che sono stati definiti vengono presi in considerazione anche al momento della pre-review degli interventi di audit. Nella fase preparatoria dell’intervento, si acquisiscono i rapporti predisposti al termine dell’ultimo CRSA effettuato, si analizzano le criticità che erano state riscontrate nel corso dell’autovalutazione e si realizza un follow-up sul piano di azione in precedenza elaborato per verificarne la corretta attuazione. In conclusione, l’applicazione sistematica del CRSA permette di ridurre il livello di incertezza delle decisioni prese dai Responsabili delle business unit, tramite l’acquisizione di una maggiore consapevolezza dei rischi, di migliorare le modalità secondo cui le attività di revisione sono pianificate e di creare un rapporto più collaborativo fra gli auditor e il management di Funzione. 220 L’attività di internal audit in un gruppo internazionale. Il caso Guess. CONCLUSIONI L’esperienza svolta nell’Internal Audit Department del gruppo Guess ha determinato uno stimolo per approfondire i contenuti e la natura dell’attività di internal auditing, il cui compito, come abbiamo visto nel corso della trattazione, è quello di valutare e contribuire a migliorare i processi di risk management, di controllo interno e di corporate governance dell’organizzazione, attraverso un approccio professionale sistematico che crea valore aggiunto. La complessità del panorama normativo in virtù della recente regolamentazione societaria nazionale ed internazionale ha richiesto un rinnovamento delle attività di internal auditing attraverso la definizione di un buon sistema di governance e controllo che integri adeguatamente business e compliance. Si impone, pertanto, un forte cambiamento culturale all’interno dell’organizzazione, che coinvolge in maniera significativa la Funzione di Internal Audit che, attraverso le attività di assurance e consulenza, è chiamata ad offrire il proprio contributo decisivo alla gestione e progettazione di un Sistema di Controllo Interno in grado, non solo di rispondere a vincoli normativi, ma anche di gestire in maniera integrata la molteplicità dei rischi aziendali. La Funzione di Internal Audit del gruppo Guess si trova a dover sopperire ad una complessità organizzativa accentuata da differenti tipologie di business e canali distributivi che caratterizzano i tre continenti in cui il gruppo va ad operare, in particolare quello americano, europeo e asiatico. A questo si aggiungono i processi di fusione o incorporazione, nonché altre operazioni straordinarie guidate da esigenze di business, che, in questi ultimi anni, hanno mantenuto alta la dinamicità del gruppo, determinando una modifica delle aree di responsabilità ed una ridefinizione delle varie attività ed obiettivi nelle diverse entità giuridiche. 221 L’attività di internal audit in un gruppo internazionale. Il caso Guess. In tale contesto, risulta notevole da parte dell’Internal Audit Dept. l’impiego di risorse volte ad un adeguamento e monitoraggio continuo del Sistema di Controllo Interno per evitare che l’insorgenza di ulteriori fattori di rischio pregiudichi il suo efficace e corretto funzionamento. Tra le diverse attività di audit pianificate dal gruppo Guess (in riferimento soprattutto all’area europea), l’attività di compliance auditing e operational auditing hanno assunto un’importanza notevole in virtù della necessità di implementare un efficace sistema di controllo inerente il financial statement in linea con le disposizioni del Sarbanes-Oxley Act del 2002 e di mantenere aggiornata la strutturazione, ovvero il sistema di risk management/controllo interno, dei diversi processi aziendali. Nel contempo, l’Internal Audit del gruppo Guess sta dedicando parte delle sue risorse, ad uno dei progetti più ambiziosi, la cui fase di start-up è stata pianificata dal top management (in riferimento all’area europea) per l’esercizio 2009, ovvero l’implementazione della metodologia del Control & Risk Self Assessment (CRSA), il quale sarà determinante per il passaggio da una metodologia tipicamente tradizionale ad un approccio basato sui rischi (risk based). La logica è quella di promuovere un’apertura verso l’implementazione di attività di management audit svolte dalla stessa Funzione di revisione interna in grado di fornire al Board una consulenza di tipo strategico ad alto valore aggiunto per il processo di pianificazione. La scommessa dell’Internal Audit Dept. del gruppo Guess si traduce nel percorrere linee evolutive all’avanguardia, conformemente alle dinamiche della struttura organizzativa del gruppo, alle politiche del top management e alla diffusione della “cultura del controllo”, che garantiscano una gestione dei rischi di business nonché dei processi di Self Assessment in grado di fornire una visione integrata della governance aziendale. In virtù della sua recente costituzione (Maggio 2006) la Funzione di Internal Audit si pone l’obiettivo di offrire una consulenza giovane nei 222 L’attività di internal audit in un gruppo internazionale. Il caso Guess. metodi che, capitalizzando gli investimenti fatti fino ad oggi sul Sistema di Controllo interno del gruppo, dia impulso a nuovi progetti per sfruttare appieno i cambiamenti del contesto ambientale di riferimento e per confermare il favorevole trend di crescita del gruppo Guess nell’area europea. Università degli Studi di Firenze, Marzo, 2008 ALBERTO LO DICO 223 L’attività di internal audit in un gruppo internazionale. Il caso Guess. BIBLIOGRAFIA Associazione Italiana Internal Auditors (AIIA), Position Paper “D. Lgs. 231/2001. Responsabilità amministrativa delle società: modelli organizzativi di prevenzione e controllo”, Collana Professionale, n. 4, ottobre 2001, www.aiiaweb.it. Associazione Italiana Internal Auditors (AIIA), Institute of Internal Auditors (IIA), Position Paper, “Il ruolo dell’Internal Auditing nell’Enterprise-Wide Risk Management”, settembre 2004; trad. it.: Institute of Internal Auditors, “The Role of Internal Auditing in Entreprise-Wide Risk Management.”, 2004, www.aiiaweb.it. Associazione Italiana Internal Auditors (AIIA), “Internal Audit. Corporate Governance, Risk Management e Controllo Interno.”, n.52, maggio-agosto 2005; n.53, settembre-dicembre 2005; n.54, gennaio-aprile 2006; n.55, maggio-agosto 2006; n.56, settembre-dicembre 2006; n.57, gennaio-aprile 2007; n.58, maggio-agosto 2007; n.59, settembre-dicembre 2007; n.60, gennaio-aprile 2008. Associazione Italiana Internal Auditors (AIIA), in collaborazione con Politecnico di Milano, rapporto di ricerca “Enterprise Risk Management, Risk Assessment e Internal Auditing”, marzo 2006, www.aiiaweb.it. Associazione Italiana Internal Auditors (AIIA), Corporate Governance Paper “Approccio integrato al Sistema di Controllo Interno ai fini di un’efficace ed efficiente governo d’impresa”, www.aiiaweb.it. 224 L’attività di internal audit in un gruppo internazionale. Il caso Guess. Associazione Italiana Internal Auditors (AIIA), Institute of Internal Auditors (IIA), “Guide Interpretative (Practice Advisories) per la Pratica Professionale dell’Internal Auditing”, www.aiiaweb.it. Associazione Italiana Internal Auditors (AIIA), Institute of Internal Auditors (IIA), “Standard internazionali per la Pratica Professionale dell’Internal Auditing”, www.aiiaweb.it. Baraldi M., Paletta A., Zagnini M., “Corporate governance e sistema di controllo interno”, Franco Angeli, Milano, 2004. Beretta S., “Valutazione dei rischi e controllo interno”, Milano, Egea Edizioni, 2004. Borsa Italiana S.p.A., Comitato per la Corporate Governance (a cura di), “Codice di Autodisciplina”, Milano, marzo 2006, www.borsaitaliana.it. Carna A. R., “La responsabilità amministrativa degli enti. Aspetti economico aziendali”, Rivista italiana di ragioneria e di economia aziendale, luglio-agosto 2004. Carolyn A. Dittmeier, Internal Auditing. Chiave per la corporate governance. Egea Edizioni, Milano, Marzo 2007. Codice Civile e leggi complementari, 2007. Committee of Sponsoring Organisation of the Treadway Commission (COSO), “Internal Control. Integrated Framework, AICPA, 1992”, tradotto ed integrato in PricewaterhouseCoopers, “Il sistema di controllo interno. Progetto Corporate Governance per l’Italia”, Milano, Il Sole 24 Ore, 2002. 225 L’attività di internal audit in un gruppo internazionale. Il caso Guess. Committee of Sponsoring Organisation of the Treadway Commission (COSO), “Enterprise Risk Management. Integrated Framework”, settembre 2004; ed. it. a cura di AIIA e PricewaterhouseCoopers, La gestione del rischio aziendale, Milano, Il Sole 24 Ore, 2006, www.coso.org. Consiglio Nazionale dei Dottori Commercialisti (CNDC), “Guida operativa sulla vigilanza del sistema di controllo interno”, ottobre 2000. Consiglio Nazionale dei Dottori Commercialisti (CNDC), “Principi di comportamento del Collegio Sindacale nelle società di capitali con azioni quotate nei mercati regolamentati”, ottobre 2000. Consiglio Nazionale dei Dottori Commercialisti (CNDC), Principio di revisione n. 600, “L’utilizzo del lavoro di revisione interna”, ottobre 2000. D. Lgs. 8 giugno 2001, n. 231, “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”. D. Lgs. 17 gennaio 2003, n. 6, “Riforma organica della disciplina delle società di capitali e società cooperative, in attuazione della legge 3 ottobre 2001, n. 366”. De Loach J.W., “Enterprise Wide Risk Managememnt”, Londra, Financial Times-Prentice Hall, 2000. European Confederationof Institutes of Internal Auditing (ECIIA), Position Paper “Il ruolo dell’Internal Auditing in Europa”, ottobre 2005; trad. it. A 226 L’attività di internal audit in un gruppo internazionale. Il caso Guess. cura di AIIA, ECIIA, “Internal Auditing in Europe”, febbraio 2005, www.aiiaweb.it e www.eciia.org. Financial Accounting Standards Boards (FASB), Statement of Financial Accounting Standard (SFAS) No. 5 “Accounting for Contingencies”. Fortunato S., “Il contributo della funzione di internal audit alla gestione di impresa” Rivista dei Dottori Commercialisti, giugno 2006. Gleim I.N., “CIA Review”, Gleim Plublications, 2004. Grossi G. C., “Internal Auditing. L’inizio di una nuova avventura”, Milano, AIIA, 2002. Guess Inc., Investor Relations, www.guessinc.com. Guess Inc., La mission, www.guess.it. Hubbard L., “Control Self-Assessment: guida pratica”, Milano, AIIA, 2006. Information System Audit and Control Foundation (ISACF), “IT Governance Institute, Control Objective for Information and related Technology (COBIT), III ed., luglio 2000, www.isaca.org, www.Itgovernance.org; trad. it. a cura di Associazione Italiana Information System Auditors (AIEA) e di ISACA, delegazione di Milano, luglio 2002, www.aiea.it. Institute of Internal Auditors (IIA), Position Statement “The Role of Internal Audit in Enterprise-Wide Risk Management”, 29 settembre 2004, www.theiia.org. 227 L’attività di internal audit in un gruppo internazionale. Il caso Guess. Institute of Internal Auditors (IIA), “Internal Audit’s Role in Section 302 and 404 of the Sarbanes-Oxley Act”, 26 maggio 2006, www.theiia.org. Legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”. Magnate P., “Modelli per la prevenzione della responsabilità delle imprese”, Contabilità, finanza e controllo, n. 5/2005. Intervista a Paul Marciano: “Ho un sogno firmato Guess”, Pambianco Week, n. 17, ottobre 2007. Parmeggiani F. “I modelli di controllo prescritti dal D. Lgs. 231/01 in materia di responsabilità amministrativa delle società”, marzo 2007. Power M. “The Audit Society. Rituals of Verification”, Oxford University Press Inc., New York; trad. it. “La società dei controlli” a cura di Panozzo F., Edizioni Comunità, Torino, 2002. Public Company Accounting Oversight Board (PCAOB), Auditing Standard no. 2, www.pcaobus.org. Regolamento di attuazione del decreto legislativo 24 febbraio 1998, n. 58, concernente la disciplina degli emittenti (adottato da CONSOB con delibera 14 maggio 1999, n.11971, e successivamente modificato con delibere 6 aprile 2000, n.12475; 18 aprile 2001, n.13086; 3 maggio 2001, n. 13106; 22 maggio 2001, n.13130; 5 giugno 2002, n. 13605; 12 giugno 2002, n. 13616; 4 febbraio 2003, n. 13924; 27 marzo 2003, n. 14002; 23 dicembre 2003, n. 14372; 11 agosto 2004, n. 14692; 13 ottobre 2004, n. 14743; 14 aprile 2005, n. 14990). 228 L’attività di internal audit in un gruppo internazionale. Il caso Guess. Regolamento recante norme di attuazione del decreto legislativo 24 febbraio 1998, n. 58, del decreto legislativo 24 giugno 1998, n. 213, in materia di mercati (adottato da CONSOB con delibera del 23 dicembre 1998, n. 11768, e successivamente modificato con delibere 20 aprile 2000, n. 12497; 18 aprile 2001, n. 13085; 10 luglio 2002, n. 13659; 4 dicembre 2002, n. 13858; 27 marzo 2003, n. 14003; 25 giugno 2003, n. 14146; 5 dicembre 2003, n. 14339; 23 marzo 2005, n. 14955). Sacrestano A., “Dipendenti, reati da prevenire”, Il Sole 24 Ore. Norme e tributi, 14 maggio 2007, n. 131. Sarbanes-Oxley Act of July, 30, 2002. Testo Unico della Finanza (TUF), “Testo Unico delle disposizioni in materia di intermediazione finanziaria”, D. Lgs. 58/1998. Tritter R. P., Zittnan D. S., “Control Self Assessment: Experience, Current Thinking and Best Practices”, The IIA Research Foundation, 1996. Yahoo, Finance, http://it.finance.yahoo.com/. 229