Appunti di revisione aziendale esterna

1. Elementi di corporate governance

SISTEMA IMPRESA: aperto e dinamico, sociale, teleologico, complesso.

L’articolazione del processo decisionale nel governo aziendale: obiettivi, decisione, azione,

controllo.

Funzioni: manageriali (programmazione, organizzazione, controllo leadership) e esecutive

(produzione, finanza, marketing, sicurezza)

Funzioni di controllo: controllo dominanza e controllo vigilanza. Significato di controllo: guida,

governo, gestione, riservando quello di riscontro o di verifica alle modalità con cui questa

attività viene a svolgersi. È così una funzione essenziale del management. => separazione tra

proprietà e management.

L’incidenza dei fattori ambientali: di I grado (situazione geopolitica, sistema di valori socio-

culturali, sistema economico, ordinamento giuridico) e di II grado (imprese più diffuse,

situazione del credito e del risparmio, ruolo di portatori di interesse).

Modelli di impresa in italia e europa: public company, impresa padronale, impresa consociativa.

Priorità negli standard di corporate governance: prima variabili aziendali poi variabili di mercato

e del sistema paese; informativa aziendale più frequente poi CDA più indipendente, azioni

manageriali più efficaci e poi forme di retribuzione dei manager legate alla performance.

Armonizzazione dei sistemi di corporate governance: alla base del processo di armonizzazione

non vi è la volontà di uniformare le regole di governance, ma vi è l’opportunità di creare

un’architettura minimale di regole generali e flessibili. I principi OCSE si sviluppano attorno a 5

aree tematiche: diritti degli azionisti, equilibrato trattamento degli azionisti, ruolo degli

stakeholder nella corporate governance, trasparenza e disclosure, responsabilità dei Board.

D.lgs 6/2003 separa nettamente la funzione del controllo sull’amministrazione da quella del

controllo contabile.

Sistema latino tradizionale: assemblea soci, CDA, CS, revisore

Sistema dualistico: assemblea soci, consiglio di gestione, consiglio di sorveglianza (approva

bilancio e sorveglia sull’osservanza delle leggi), revisore;

sistema monistico: assemblea soci, CDA, comitato per il controllo sulla gestione, revisore.

Audit committee: la sua funzione è di garantire l’indipendenza dei revisori interni ed esterni e

assicurare una adeguata comunicazione tra l’alta direzione e i soggetti preposti alla revisione.

Compiti: definizione di un piano di audit aziendale con l’alta direzione, monitoraggio

dell’affidabilità del reporting esterno, discussione con gli Internal auditors in ordine all’efficacia

dei controlli interni, raccordo tra le risultanze delle attività di auditing e le istanze informative

dell’alta direzione aziendale, vigilanza sullo status di indipendenza dei soggetti preposti alla

revisione interna ed esterna, avvio di inchieste in caso di sospette attività illegali o contrarie

all’etica aziendale.

2. Elementi di corporate governante

SCIGR E AUDIT ESTERNO CDA

COLLEGIO SINDACALE

COMITATO CONTROLLO E RISCHI

Primo livello: responsabili aree operative

Secondo livello: relazioni dai modelli di compliance/governance; reporting da parte delle

funzioni aziendali con funzioni di controllo.

Terzo livello: valutazione complessiva del SCIGR da parte della funzione di internal audit.

AUDIT ESTERNO

CONSIGLIO DI AMMINISTRAZIONE

Ruoli: strategico, controllo, gestione della relazione tra impresa e stakeholder.

Composizione:

Presidente: convoca il consiglio, fissa l’ordine, coordina i lavori,

- Amm. Esecutivi: delegati dall’emittente di una società controllata con rilevanza

- strategica, ricoprono incarichi direttivi,

- Amm. Non esecutivi: arricchiscono la discussione consiliare, utili su remunerazione degli

amministratori esecutivi o sul sistema di controllo interno.

Indipendenti (autonomia del giudizio) garantisce la composizione degli interessi di

o tutti. Prevalenza della sostanza sulla forma => la qualificazione di amministratore

non esecutivo indipendente non esprime un giudizio di valore bensì una situazione

di fatto. Quando il consiglio ritenga sussistere anche in presenza di situazioni

riconducibili ad ipotesi considerate di non indipendenza, sarà sufficiente

comunicare al mercato l’esito della valutazione. Il collegio sindacale verifica la

corretta applicazione dei criteri adottati dal consiglio e le procedure di

accertamento da esso utilizzate.

o Non indipendenti: intrattengono rapporti con la società o con soggetti ad essa

legati.

Compiti: valuta l’adeguatezza dell’assetto amministrativo, organizzativo e contabile; esamina i

piani strategici, industriali e finanziari; valuta il generale andamento della gestione.

Gli organi delegati: curano che l’assetto organizzativo, amministrativo e contabile sia adeguato

alla natura e alla dimensione dell’impresa; riferiscono al CDA e al CS sul generale andamento

della gestione e sulla prevedibile evoluzione; sulle operazioni di maggior rilievo effettuate dalla

società e dalle controllate.

SOGGETTI DELEGATI => progettazione e costruzione del sistema

COMPONENTI NON DELEGATI => vigilanza permanente

COLLEGIO SINDACALE => verifica successiva

Obbligo di agire in modo informato => ciascun amministratore può chiedere agli organi delegati

che in consiglio siano fornite informazioni relative alla gestione della società.

COMITATI INDOCONSILIARI: formula proposte, raccomandazioni e pareri al fine di consentire al

CDA di adottare le proprie decisioni con maggiore conoscenza e approfondimento. Almeno 3

membri.

Comitato per la revisione dei conti: controlla lo svolgimento delle attività di revisione.

Comitato per le nomine: composto da amministratori indipendenti. Funzioni: presenta al CDA

proposte in merito alla dimensione e alla composizione dello stesso; esprime raccomandazioni in

merito alle figure professionali la cui presenza è ritenuta opportuna all’interno del consiglio;

esprime l’orientamento al numero massimo di incarichi di amministratore e sindaco; propone al

CDA candidati; valuta l’indipendenza degli amministratori prima della nomina.

Comitato per la remunerazione: almeno un componente deve possedere una adeguata

conoscenza ed esperienza in materia finanziaria o di politiche retributive. Funzioni: presenta al

cda proposte sulla remunerazione degli amministratori delegati, propone l’adozione di criteri

generali per la remunerazione dei dirigenti con responsabilità strategiche; assicura

l’allineamento della remunerazione agli interessi a medio - lungo termine degli azionisti e con

gli obiettivi fissati dal CDA.

Comitato controllo e rischi: supporta il controllo interno, l’identificazione,valutazione e

monitoraggio dei rischi aziendali, l’approvazione dei bilanci e delle relazioni semestrali, i

rapporti tra società e revisore esterno. Almeno un componente deve possedere un’adeguata

esperienza in materia contabile e finanziaria. Funzioni: seleziona e ordina le informazioni per il

consiglio. Ruoli: propositivo (indirizzare il controllo interno) e consultivo (internal audit e CDA).

Infatti approva il piano di audit preliminarmente, e incontra la società di revisione. Compiti:

valuta il corretto utilizzo dei principi contabili, esprime pareri su l’identificazione dei principali

rischi aziendali, esamina le relazioni periodiche, monitora la funzione di internal audit, riferisce

al consiglio almeno ogni 6 mesi sull’attività svolta nonché sull’adeguatezza del sistema di

controllo interno e di gestione dei rischi.

3. teorie della corporate governante

La corporate governante si occupa dei modi in cui gli investitori delle imprese si assicurano di

ottenere un ritorno sul loro investimento. Un fattore produttivo oltre al capitale è la capacità

manageriale. Tale risorsa immateriale era apportata da soggetti diversi dai soci, ovvero dai

managers : soggetti con una specifica competenza ma senza il fattore capitale. => teoria

dell’agenzia. Le asimmetrie informative generano la selezione avversa (opportunismo ex ante),

moral hazard (opportunismo ex post).

La gestione tra principal e agent dovrebbe essere assicurata dal CDA. Meccanismo di controllo:

initiation, ratification, implementation, monitoring.

Altri meccanismi di controllo: meccanismi interni, esterni, legali.

Rapporto tra saggio di partecipazione e saggio di controllo = 1 non esiste separazione tra

proprietà e controllo. Se < 1 allora c’è.

Altre teorie: il manager è visto come uno stward che cerca la cooperazione e l’interazione con i

principal, ed è orientato a creare ricchezza per gli azionisti. Stakeholder theory: viene

introdotto il finalismo allargato.

4. collegio sindacale

Composto da 3 membri nelle SPA eletta dall’assemblea dei soci e dura in carica 3 anni. Requisiti:

onorabilià e indipendenza. Non ci sono limiti al rinnovo del mandato. Rappresenta nel sistema

dei controlli un organo molto particolare, che appartiene all’azienda ma per natura e funzioni si

presenta come un soggetto esterno. Si fa portatore anche di interessi diversi da quelli degli

azionisti, come la tutela dell’affidamento dei terzi e il rispetto delle leggi. I tre pilastri su cui

deve svilupparsi il suo funzionamento sono: indipendenza, competenza e efficienza.

Compiti: vigila su l’osservanza dello statuto, l’osservanza della legge, il rispetto dei principi di

corretta amministrazione, adeguatezza della struttura organizzativa, sistema amministrativo-

contabile, sistema di controllo interno.

Il controllo di legalità si sostanzia nel controllare che le scelte gestionali siano state prese

seguendo modalità procedimentali conformi ai canoni di una gestione diligente.

L’attività di vigilanza consiste nel verificare la rispondenza della struttura organizzativa a

standards congrui, in ragione dell’attività svolta e delle dimensioni dell’impresa e, comunque,

limitatamente agli aspetti di competenza. Nel 2005 è stato introdotto per le spa quotate

l’ulteriore compito di vigilanza sulle modalità di concreta attuazione delle regole di governo

societario previste da codici di comportamento. Il collegio sindacale è stato liberato dall’attività

di controllo contabile. Se la società non è tenuta alla redazione del bilancio consolidato il

controllo contabile può essere effettuato dal collegio sindacale. In questo caso è costituito da

revisori legali iscritti nell’apposito registro.

Strumenti :

Necessari: partecipazione alle assemblee, consigli di amministrazione e comitati,

- ricevimento di informativa da parte degli amministratori sull’attività svolta e sulle

operazioni di maggior rilievo, lo scambio tempestivo di dati e informazioni rilevanti con

la società di revisione, ricevimento di informativa da parte del controllo interno, riunioni

del collegio sindacale almeno ogni 90 giorni.

Sussidiari: ciascun sindaco può: atti di ispezione e controllo, convocare il consiglio o il

- comitato esecutivo, avvalersi di dipendenti della società per l’espletamento di proprie

funzioni, avvalersi di propri collaboratori. Almeno 2 sindaci possono convocare

l’assemblea.

Aspetti fondamentali: il collegio deve disporre in anticipo di tutte le memorie che saranno

presentate nei consigli di amministrazione; deve essere posto e deve sapersi porre nella

condizione di potersi avvalere pienamente dei dipendenti della società.

Responsabilità: instaurare una piena collaborazione con i revisori interni ed esterni, accertare

che gli stessi dispongano di tutti i mezzi, autonomie e professionalità necessarie, vigilare sulla

relativa indipendenza e sull’adeguatezza dei piano di lavoro. Non possono assumere la carina in

più di 5 emittenti.

OBBLIGHI di intervento e informativa:

- Ordinari: relazione annuale all’assemblea (operazioni di maggior rilievo, atipiche,

osservazioni sulla relazione della società di revisione, rendicontazione dell’attività svolta

dal collegio e dagli altri organi, indicazioni e proposte in ordine al bilancio e alla sua

approvazione) ; obbligo di redigere il verbale delle riunioni effettuate.

Straordinari: obblighi di intervento e informativa che possono emergere dall’esistenza di

- irregolarità o su istanza di terzi (comunicazione alla CONSOB delle irregolarità

riscontrate, convocazione dell’assemblea, indagine di fatti censurabili, facoltà di

denunziare al tribunale gli amministratori in caso abbiano compiuto gravi irregolarità).

5. SCIGR E AUDIT ESTERNO

Nel 2004 il Committee of sponsoring organizations (CoSo) ha pubblicato un documento che

definisce le linee guida dl modello Enterprise Risk Management (ERM) Framework, che ha

l’obiettivo di identificare e gestire tutti quegli eventi che limitano o impediscono il

conseguimento degli obiettivi definiti dal management, allineando la strategia dell’azienda alla

sua propensione al rischio (risk appetite) e accrescendone le capacità di generare valore per gli

stakeholder.

Nel 1992 coso presentò il Coso Framework (internal control) i cui obiettivi erano:

- Fissare una definizione di controllo interno che soddisfasse la necessità delle diverse

parti interessate;

Stabilire un modello di riferimento che permettesse alle imprese di valutare il grado di

- affidabilità del controllo interno;

Fornire un linguaggio comune per la direzione, amministratori, organismi di regolazione

- delle attiività.

Coso definiva il controllo interno come un processo posto in essere dal cda, dal management e

da tutto il personale, volto a fornire una ragionevole sicurezza sul raggiungimento dei seguenti

obiettivi: efficacia ed efficienza delle attività operative, attendibilità delle informazioni in

bilancio, conformità alle leggi e alle norme vigenti.

Per raggiungere questi obiettivi il processo di controllo interno deve attuare delle operazioni

(componenti): monitoraggio, informazione e comunicazione, attività di controllo, identificazione

e valutazione dei rischi, ambiente di controllo.

Negli ultimi anni è cresciuto notevolmente l’interesse verso il tema della gestione del rischio.

CoSo ha elaborato un nuovo modello che non sostituisce il precedente ma lo incorpora. Il

management deve individuare e gestire le incertezze a cui è soggetta l’azienda, per determinare

il livello di rischio che essa è disposta ad accettare nell’attuare il processo di creazione di valore

per gli stakeholders. La gestione di un rischio aziendale è un processo, posto in essere dal cda,

dai dirigenti e da altri operatori della struttura aziendale, utilizzato per la formulazione delle

strategie in tutta l’organizzazione, progettato per individuare eventi eccezionali che possono

influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per

fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.

L’ERM è : un processo integrato e continuo che interessa tutta l’organizzazione; posto in essere

da persone; utilizzato per la formulazione delle strategie; applicato trasversalmente in tutta

l’organizzazione; progettato per individuare e gestire il rischio entro i limiti del rischio

accettabile; in grado di fornire una ragionevole sicurezza.

L’ERM del 2004 ha introdotto 3 ulteriori componenti: definizione degli obiettivi, identificazione

degli eventi, risposta al rischio (evitarlo, accettarlo, ridurlo, condividerlo).

Obiettivi del modello: strategici, operazioni, informazioni, conformità.

Componenti: ambiente interno, definizione degli obiettivi, identificazione degli eventi,

valutazione del rischio, risposta al rischio, attività di controllo, informazioni e comunicazioni,

monitoraggio.

L’utilizzo del ERM Framework permette di: sviluppare una migliore coerenza tra propensione al

rischio e strategie aziendali, migliorare il sistema decisionale,gestire più efficacemente gli

eventi imprevisti, identificare e gestire i molteplici impatti che uno stesso rischio può avere

nell’organizzazione, individuare e sfruttare le opportunità, valutare efficacemente il fabbisogno

finanziario e l’allocazione delle risorse.

LA FUNZIONE DI REVISIONE INTERNA: l’attività di controllo di III livello è volta ad individuare

andamenti anomali, violazioni delle procedure e della regolamentazione, nonché a valutare la

funzionalità del complessivo sistema dei controlli interni. L’audit interno è un’attività

indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia

e dell’efficienza di un’organizzazione. Il compito di un auditor interno è quello di supportare la

dirigenza di un’organizzazione nell’assicurare un efficace sistema di governo dei processi gestiti,

con particolare riferimento alla ricerca di un ragionevole punto di equilibrio tra il sistema di

controllo interno e gestione dei rischi. Tipologie base di audit: operativo (efficacia e efficienza

delle operazioni), di conformità (normativa esterna e interna) e delle frodi. In alcuni settori ci

dovrebbero essere anche audit tecnici.

Il responsabile: nominato dal CDA. Nelle quotate il CDA nomina e revoca il responsabile della

funzione di internal audit su proposta del amministratore del SCIGR e sul parere del comitato

controllo e rischi, assicura che lo stesso sia dotato delle risorse adeguate, ne definisce la

remunerazione.

Compiti: verifica l’operatività e l’idoneità del sistema di controllo interno e di gestione dei

rischi, non è responsabile di alcuna area operativa, ha accesso diretto a tutte le informazioni,

predispone relazioni periodiche e tempestive in caso di eventi particolari, verifica l’affidabilità

dei sistemi informativi.

Requisiti: professionalità, indipendenza e organizzazione. Può essere interno o esterno.

Fasi del processo di aud