Internal auditing
Il termine “controllo” definisce comportamenti quali la sorveglianza degli eventi, l’esercizio del potere e la verifica accurata dell’esattezza e della validità dei fatti.
Pianificazione, programmazione e controllo
Il processo di pianificazione, programmazione e controllo è inteso come l’insieme di attività aziendali volte a:
- Definire gli obiettivi strategici della gestione;
- Individuare le linee d’azione da intraprendere per raggiungere gli obiettivi;
- Redigere i programmi operativi di riferimento;
- Verificare il raggiungimento dei risultati intermedi e la costanza degli obiettivi strategici;
- Attivare le azioni correttive in caso di scostamenti dai programmi operativi o di riformulazione delle scelte strategiche.
Queste attività, strettamente connesse, costituiscono un processo unico che coinvolge tutti i responsabili ai vari livelli organizzativi e trova nel vertice aziendale il responsabile unico della costruzione, implementazione e correzione.
Controllo
Il controllo si sviluppa in tre livelli:
- Operativo, che riguarda compiti individuali e ha lo scopo di garantire che tali attività siano svolte con la prevista efficacia ed efficienza;
- Direzionale, finalizzato all’orientamento dei comportamenti individuali e organizzativi verso il raggiungimento degli obiettivi aziendali;
- Strategico, volto a verificare l’efficacia di attuazione delle strategie aziendali adottate ai vari livelli e a fornire le informazioni necessarie al loro rafforzamento o alla loro modificazione.
Controllo operativo
Il controllo operativo, che garantisce l’efficace ed efficiente svolgimento delle diverse attività quotidiane, viene realizzato dagli addetti ai lavori mediante:
- Definizione di procedure, mediante le quali valutare il grado di efficienza realizzato dai vari operatori nello svolgimento della loro attività, verificando se esse sono osservate;
- Supervisione preventiva, che rappresenta una forma di controllo ex-ante realizzata tramite la definizione di meccanismi di autorizzazione e verifica da rispettare prima dello svolgimento di particolari attività;
- Responsabilizzazione delle azioni, che consiste nell’attribuzione di piena responsabilità ai dipendenti nello svolgimento di determinati compiti;
- Limitazioni del comportamento individuale, al fine di evitare il compimento di azioni dannose per l’impresa.
Controllo direzionale
Il controllo direzionale, finalizzato al raggiungimento degli obiettivi di breve termine, è svolto attraverso strumenti amministrativo-contabili tipici, quali:
- Contabilità generale, costituita dall’insieme delle sistematiche rilevazioni contabili inerenti ai fatti amministrativi e gestionali e finalizzata al conseguimento di determinati obiettivi informativi e conoscitivi;
- Contabilità analitica, nella quale i costi vengono imputati alle singole parti in cui può essere suddivisa la struttura aziendale al fine di pervenire alla rilevazione periodica della redditività delle varie aree aziendali e confrontarla con quella attesa;
- Budget, documento contabile in cui vengono stabiliti gli atti di previsione relativi a un futuro bilancio, al fine di conseguire un determinato risultato;
- Report, strumento di analisi, controllo e proiezione dell’andamento dell’impresa risultante dall’analisi dei dati raccolti.
Controllo strategico
Il controllo strategico si realizza attraverso il confronto tra gli obiettivi e le strategie definite nei piani e gli andamenti delle variabili interne ed esterne rilevanti per il loro raggiungimento. Inoltre, non si limita a valutare i risultati conseguiti nel breve periodo, ma è diretto a sorvegliare l’andamento complessivo dei fattori interni ed esterni da cui dipende il successo delle strategie aziendali. Il controllo strategico è svolto dal vertice aziendale ed è finalizzato a verificare l’efficacia delle strategie attuate.
Tipologie di controllo
I modelli di controllo trovano il loro fondamento nella disciplina dettata dal diritto societario e delle norme comportamentali (best practice). Si parla, in questo senso, di diverse tipologie di controllo:
- Di legittimità, svolto dall’organo di controllo sull’amministrazione;
- Contabile, svolto dal revisore contabile dei conti;
- Sull’adeguatezza del sistema amministrativo-contabile e sul suo concreto funzionamento, svolto dall’organo di controllo sull’amministrazione;
- Sulle scelte di gestione, svolto dagli amministratori.
La presenza e il corretto funzionamento dei controlli costituisce una garanzia di tutela inderogabile per gli interessi dei soci, in particolare di quelli che non sono coinvolti nell’amministrazione, e dei terzi.
Sistema di controllo interno
Il sistema di controllo interno è un processo operato dal management e da altre persone finalizzato a fornire ragionevole sicurezza di poter conseguire gli obiettivi dell’organizzazione sotto i seguenti aspetti:
- Conformità a leggi, normative e contratti;
- Affidabilità del bilancio e delle altre informazioni finanziarie e operative;
- Efficacia ed efficienza delle operazioni.
Il sistema di controllo interno verifica l’adeguatezza delle informazioni fornite dal controllo direzionale, al fine di fornire ragionevole sicurezza sulle stesse; si basa:
- Sull’efficienza degli strumenti di controllo della gestione;
- Sull’efficacia delle regole di governo aziendale.
Tali aspetti costituiscono le basi su cui è edificato il sistema di controllo interno dell’impresa, che si identifica nel funzionamento dei meccanismi operativi di controllo e trova la sua origine nel modello di governo aziendale. Ogni impresa dispone infatti di un suo personale sistema di controllo interno, dato dall’insieme delle sue regole di corporate governance e dei suoi strumenti di management. Per svolgere appieno il proprio compito, il sistema di controllo interno deve essere coerente con la mission aziendale, deve risolvere i problemi delle diverse aree funzionali e creare valore orientandosi sui fattori critici di successo.
Sistema di controllo di gestione
Un sistema di controllo di gestione ha come obiettivo prioritario il supporto del vertice aziendale nella guida dell’impresa verso i propri obiettivi strategici e, in particolare, nelle scelte funzionali alla creazione di valore economico. Rispetto al sistema di controllo interno, che ha il compito di fornire ragionevole sicurezza sull’adeguatezza delle informazioni, il sistema di controllo di gestione è più indirizzato a tutti quei dati rilevanti per le decisioni del top management. Inoltre, il controllo di gestione viene svolto da soggetti responsabili specificamente di tale funzione, mentre il controllo interno viene svolto a diversi livelli da tutto il personale. Mentre il sistema di controllo interno mira a identificare e valutare i rischi aziendali, il controllo di gestione si occupa di gestire questi rischi.
Modelli di governo aziendale
Il modello di governo aziendale riguarda l’identificazione dei ruoli, delle relazioni e delle responsabilità dei diversi soggetti coinvolti nella vita aziendale. In particolare, se riferito alle imprese costituite in forma di società di capitali, richiama le attribuzioni dei manager, del consiglio di amministrazioni, degli organi di controllo, dell’assemblea dei soci e degli organi di vigilanza del mercato e degli altri soggetti pubblici o privati interessati alle sorti dell’impresa. In questo ambito, il controllo è inteso come un insieme di poteri/doveri di vigilanza e reazione in capo a diversi soggetti da contrapporre ai poteri/doveri degli amministratori. I poteri/doveri di controllo mirano ad assicurare la trasparenza, la correttezza e l’imparzialità delle attività di gestione svolta dagli amministratori. I modelli di amministrazione e controllo devono ispirarsi a regole di governo societario, dette regole di corporate governance, che garantiscono un modello organizzativo chiaro e ben definito, con adeguate ripartizioni di responsabilità e con un corretto equilibrio dei poteri.
Corporate governance
Per corporate governance si intende l’insieme delle regole alla base della gestione e del controllo delle imprese, contenute nel Codice Civile e nello statuto delle stesse. La sua struttura definisce la distribuzione dei diritti, delle responsabilità, dei compiti e dei poteri tra i membri di un’impresa. Elementi essenziali di una buona corporate governance sono:
- Un sistema di responsabilità che garantisca un’adeguata trasparenza nelle scelte strategiche e nelle operazioni in potenziale conflitto di interessi;
- La tutela degli azionisti di minoranza;
- L’effettivo funzionamento di un efficace sistema di controllo interno.
Control governance
Con control governance si fa riferimento all’insieme dei processi, dei mezzi e delle risorse presenti a tutti i livelli dell’organizzazione, che contribuiscono a dare ragionevole garanzia sul raggiungimento degli obiettivi aziendali e che qualificano il sistema di responsabilità degli organi di governance. Con control governance si intendono anche le decisioni prese dagli organi previsti dalla corporate governance: senza control governance queste non possono essere autorizzate.
Processi, procedure e protocolli
Per processo si intende un insieme di attività correlate finalizzate al raggiungimento di un obiettivo (solitamente la creazione di valore) mediante la trasformazione di input in output. In questo caso, le attività costituiscono l’unità fondamentale oltre la quale non è utile scomporre ulteriormente un processo. I processi fondamentali di un’impresa sono il sostenimento di costi e il conseguimento di ricavi:
- Tutto ciò che genera ricavi costituisce un processo attivo e il più importante di questi è detto Order to Cash (O2C);
- Tutto ciò che genera costi costituisce un processo passivo e il più importante di questi è detto Purchase to Payment (P2P).
Un processo formalizzato in appositi documenti costituisce una procedura e, una volta registrati tutti i suoi aspetti rilevanti ai fini del controllo interno (data di emissione/revisione e soggetti interessati), diviene un protocollo.
Risk management
Il risk management è un ramo della gestione che affronta, cercando di anticiparle, le conseguenze di eventi che potrebbero potenzialmente verificarsi generando risultati diversi dalle aspettative della direzione. Si definisce infatti rischio aziendale qualunque fatto o evento, di origine interna o esterna, il cui avvenimento può influire sul conseguimento degli obiettivi aziendali:
- Qualora l’impatto sia negativo, viene detto “minaccia”;
- Qualora l’impatto sia positivo, viene detto “opportunità”.
Il risk management è inoltre un processo aziendale che ricerca l’ottimizzazione del portafoglio rischi, determinando la propensione al rischio di un’impresa e la sua capacità di assorbire trasversalmente un insieme di rischi. Gestire i rischi significa svolgere una serie di attività tra loro strettamente correlate, che consentono di trasformare il profilo di rischio iniziale cui l’organizzazione è sottoposta, nel profilo di rischio più coerente con gli obiettivi aziendali. Il processo di risk management si suddivide in quattro attività:
- Identificazione;
- Valutazione:
- Primari, con alta probabilità di accadimento e alta rilevanza;
- Secondari, con alta probabilità di accadimento ma bassa rilevanza, o viceversa;
- Non rilevanti, con bassa probabilità di accadimento e bassa rilevanza.
- Gestione;
- Monitoraggio.
Le prime due attività, l’identificazione e la valutazione, rientrano nell’ambito del risk assessment.
CoSO report
Il Committee of Sponsoring Organizations (CoSO) of the Treadway Commission nasce negli USA come commissione di studio dei sistemi di controllo interno e delle regole di corporate governance. In particolare, le pubblicazioni del CoSO of the Treadway Commission costituiscono uno standard di riferimento per elaborare politiche gestionali, norme di legge e regolamenti che migliorino il controllo delle attività indirizzandole verso gli obiettivi prestabiliti. Le pubblicazioni più importanti sono:
- CoSO report del 1992, che fornisce la prima definizione di Sistema di Controllo Interno e identifica le sue cinque componenti tipiche rappresentate in forma piramidale:
- Ambiente di controllo, che costituisce la base della piramide ed è dato dall’insieme di principi, regole e valori in cui le persone operano e assumono responsabilità;
- Valutazione del rischio, che comprende tutti i meccanismi idonei a identificare, analizzare e gestire i rischi collegati al funzionamento dell’organizzazione;
- Attività di controllo, che assicurano l’efficacia delle direttive che il management emana per far fronte ai rischi identificati;
- Informazione e comunicazione, colonne portanti del sistema di controllo interno indispensabili per garantire qualità e usufruibilità a tutta l’organizzazione;
- Monitoraggio, che costituisce il vertice della piramide e comprende tutti gli strumenti di controllo delle performance e che prevede che tutte le decisioni siano prese al livello più basso possibile, compatibilmente a importanza e criticità.
- CoSO report del 2003, che definisce le componenti alla base dei controlli interni fornendo orientamenti e consigli per la comprensione dei rischi aziendali; inoltre, con il modello Enterprise Risk Management (ERM) viene descritta la matrice del rischio, formata da:
- Quattro categorie di rischi:
- Strategici;
- Operativi;
- Di report;
- Di conformità;
- Otto componenti:
- Ambiente interno (fornisce disciplina e struttura);
- Definizione degli obiettivi (presupposto per le componenti successive);
- Identificazione degli eventi;
- Valutazione dei rischi;
- Risposta ai rischi (evitarli, ridurli, condividerli o accettarli);
- Attività di controllo (atte ad assicurare l’attuazione delle risposte al rischio);
- Informazione e comunicazione;
- Monitoraggio;
- Quattro ambiti di applicazione:
- Impresa;
- Divisione;
- Unità operativa;
- Filiale.
- Quattro categorie di rischi:
- CoSO report del 2013, che aggiorna il documento del 1992 integrandolo al modello esposto nella pubblicazione del 2003.
Differenze tra CoSO report 1992 e 2013
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
Appunti di Internal Auditing
-
Appunti di Risk management e Internal Auditing
-
Internal Auditing e Controllo Interno - Appunti
-
Appunti Auditing