09 Gen IL CONTROLLO INTERNO E I SOGGETTI RESPONSABILI – UNI PILLS#24
Il controllo interno
Il controllo interno è definito nel glossario dei principi di revisione internazionali (ISA Italia) come “Il processo configurato, messo in atto e mantenuto dai responsabili delle attività di governance, dalla direzione e da altro personale dell’impresa al fine di fornire una ragionevole sicurezza sul raggiungimento degli obiettivi aziendali con riguardo all’attendibilità dell’informativa finanziaria, all’efficacia e all’efficienza della sua attività operativa ed alla conformità alle leggi e ai regolamenti applicabili”
Il controllo interno prevede diversi livelli di responsabilità in merito al suo disegno, implementazione e operatività.
Esso è configurato, messo in atto e mantenuto per affrontare i rischi connessi all’attività dell’impresa che minacciano il raggiungimento di qualunque obiettivo dell’impresa che riguardi:
– l’attendibilità dell’informativa finanziaria dell’impresa;
– l’efficacia e l’efficienza della sua attività operativa;
– la conformità alle leggi ed ai regolamenti.
La sua configurazione, messa in atto e mantenimento varia in funzione della dimensione e della complessità dell’impresa. Le imprese di dimensioni minori, infatti, possono utilizzare modalità meno strutturate nonché processi e procedure più semplici al fine del raggiungimento dei propri obiettivi.
Il controllo interno viene attuato dalla direzione, con la supervisione dei responsabili delle attività di governance e da altro personale a seconda della struttura organizzativa, della dimensione e della complessità dell’impresa. Esso trova generalmente la propria descrizione nei manuali delle direttive, dei processi e delle procedure aziendali.
Si tratta quindi di un processo integrato tra i vari livelli di responsabilità e le funzioni aziendali, il cui scopo è quello di individuare, valutare, monitorare e pervenire i possibili rischi a cui l’impresa è esposta. Un controllo interno efficiente ed efficace contribuisce all’adozione di decisioni consapevoli e coerenti con la propensione al rischio, nonché alla diffusione di una corretta conoscenza dei rischi, della legalità e dei valori aziendali.
Vengono individuate le seguenti componenti del controllo interno:
Ambiente di controllo: l’atteggiamento, la consapevolezza e le azioni dei responsabili delle attività di governance e della direzione riguardo al controllo interno ed alla sua importanza all’interno dell’impresa. L’ambiente di controllo definisce l’atteggiamento di un’organizzazione, influenzando la consapevolezza del controllo in chi vi opera. Tale componente si concretizza, per esempio, con la presenza di codice etico e la diffusione di cultura aziendale, con le modalità con cui l’impresa responsabilizza le persone nel conseguimento degli obiettivi;
Processo adottato dall’impresa per la valutazione del rischio: si tratta della base con cui la direzione o i responsabili delle attività di governance determinano i rischi da gestire. Ai fini del bilancio, tale processo include le modalità con cui la direzione identifica i rischi di business rilevanti ai fini della redazione del bilancio in conformità al quadro normativo sull’informazione finanziaria applicabile all’impresa, ne stima la rilevanza, ne valuta la probabilità di manifestazione e decide le azioni per fronteggiarli e gestirli e i relativi risultati. Per esempio, il processo di valutazione del rischio adottato dall’impresa può riguardare le modalità con cui l’impresa considera la possibilità di operazioni non registrate o identifica ed analizza le stime significative iscritte in bilancio;
Il processo adottato dall’impresa per monitorare il sistema di controllo interno: tale attività consiste nella tempestiva valutazione dell’efficacia dei controlli e nell’adozione delle necessarie azioni correttive;
Il sistema informativo e la comunicazione: i flussi informativi devono essere tali da consentire un adeguato e completo scambio di informazioni, su tutti i livelli e le funzioni aziendali, necessarie a gestire e controllare l’attività dell’impresa. Le imprese devono possedere informazioni contabili e gestionali che garantiscano adeguati processi decisionali, consentendo di definire e valutare se siano stati raggiunti gli obiettivi strategici fissati ed il rispetto della normativa di riferimento mediante appropriata reportistica contenenti dati contabili ed extracontabili;
Le attività di controllo: Sono le direttive e le procedure che aiutano a garantire che le indicazioni della direzione siano eseguite (utilizzo di sistemi IT o manuali) e che riguardano principalmente:
– la presenza di un processo di autorizzazione
– l’esame della performance;le elaborazioni informatiche;
– le riconciliazioni periodiche dei dati;
– i controlli fisici;
– la separazione delle funzioni, cioè l’assegnazione a differenti persone della responsabilità di autorizzare le operazioni, di registrare e di custodire i beni.
Come anticipato, il primo soggetto responsabile all’adozione di un controllo interno efficace ed efficiente è il consiglio di amministrazione (rectius l’imprenditore) che “ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuita’ aziendale nonche’ di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuita’ aziendale[1]”.
Limiti del controllo interno
Il controllo interno, a prescindere dalla sua efficacia, può fornire ad un’impresa solo una ragionevole sicurezza sulla realizzazione degli obiettivi aziendali. La probabilità della loro realizzazione dipende dai limiti insiti nel controllo interno stesso. Tali limiti comportano di fatto la possibilità che il giudizio umano, nel prendere decisioni, possa essere errato e che il mancato funzionamento del controllo interno possa verificarsi a causa di un errore umano. Inoltre, i controlli possono essere elusi dalla collusione tra due o più persone o mediante impropria forzatura del controllo interno da parte della direzione.
Il ruolo del collegio sindacale
Il collegio sindacale è l’organo societario che “vigila sull’osservanza della legge e dello statuto, sul rispetto dei princìpi di corretta amministrazione ed in particolare sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo concreto funzionamento.”[2]
Pertanto, si può dire che esso sia in prima battuta il principale soggetto chiamato a vigilare sul controllo interno adottato dalla società.
Nel caso di presenza di partecipazione di controllo, si segnala che il collegio “può chiedere agli amministratori notizie, anche con riferimento a società controllate, sull’andamento delle operazioni sociali o su determinati affari. Può altresì scambiare informazioni con i corrispondenti organi delle società controllate in merito ai sistemi di amministrazione e controllo ed all’andamento generale dell’attività sociale.”[3]
Il ruolo del soggetto incaricato della revisione legale
Il soggetto incaricato della revisione legale dei conti:
– esprime con apposita relazione un giudizio sul bilancio di esercizio e sul bilancio consolidato, ove redatto;
– verifica nel corso dell’esercizio la regolare tenuta della contabilità sociale e la corretta rilevazione dei fatti di gestione nelle scritture contabili.
Come previsto dall’ISA Italia 315 il soggetto incaricato della revisione legale deve svolgere appropriate procedure di valutazione del rischio per
– l’identificazione e la valutazione dei rischi di errori significativi a livello di
- bilancio e
- di asserzioni.
Tali attività avvengono mediante la comprensione del controllo interno ai fini di garantire l’affidabilità dell’informativa finanziaria adottato dalla società (indagini presso la direzione o la revisione interna e altri soggetti all’interno della società, analisi comparative, osservazioni ed ispezioni di documenti, manuali e relazioni) e, qualora previsto nella strategia di revisione, la predisposizione di test per verificare l’implementazione e l’operatività dei controlli posti in essere dalla società rilevanti per la revisione del bilancio. In tale ambito il soggetto incaricato della revisione legale acquisisce una comprensione del controllo interno ai soli fini dell’espressione di un giudizio sul bilancio e le sue procedure non sono volte all’espressione di un giudizio professionale sull’efficacia del controllo interno.
Quanto sopra viene rappresentato, come previsto nell’ISA Italia 700, a conclusione del lavoro di revisione, nell’ambito della relazione sul bilancio. Il contenuto del paragrafo “Responsabilità della società di revisione per la revisione contabile del bilancio d’esercizio” è infatti il seguente:
“Nell’ambito della revisione contabile svolta in conformità ai principi di revisione internazionali (ISA Italia), abbiamo esercitato il giudizio professionale e abbiamo mantenuto lo scetticismo professionale per tutta la durata della revisione contabile. Inoltre:
abbiamo identificato e valutato i rischi di errori significativi nel bilancio d’esercizio, dovuti a frodi o a comportamenti o eventi non intenzionali; abbiamo definito e svolto procedure di revisione in risposta a tali rischi; abbiamo acquisito elementi probativi sufficienti ed appropriati su cui basare il nostro giudizio. Il rischio di non individuare un errore significativo dovuto a frodi è più elevato rispetto al rischio di non individuare un errore significativo derivante da comportamenti o eventi non intenzionali, poiché la frode può implicare l’esistenza di collusioni, falsificazioni, omissioni intenzionali, rappresentazioni fuorvianti o forzature del controllo interno;“
“abbiamo acquisito una comprensione del controllo interno rilevante ai fini della revisione contabile allo scopo di definire procedure di revisione appropriate nelle circostanze e non per esprimere un giudizio sull’efficacia del controllo interno della Società.“
[1] Così l’art. 2086 cc a cui fa rinvio l’art. art. 2380-bis.
[2] Art. 2403 cc “Doveri del collegio sindacale”.
[3] Art. 2403 bis cc “Poteri del collegio sindacale”.