IL SISTEMA DI CONTROLLO INTERNO I principali elementi del
Transcript
IL SISTEMA DI CONTROLLO INTERNO I principali elementi del
IL SISTEMA DI CONTROLLO INTERNO I principali elementi del sistema di controllo interno Bologna, 16 maggio 2006 Alessandro Capodaglio 1 INTRODUZIONE LE FRONDI FINANZIARIE 2 LE FRODI FINANZIARIE i casi IL CASO ENRON Crack da 63 miliardi di dollari – l’entità reale del passivo accumulato era stata occultata concentrandone larga parte in particolari unità giuridiche del gruppo (società di persone create dai top manager) che secondo i principi contabili americani potevano non essere ricomprese nell’area di consolidamento di bilancio. IL CASO WORLDCOM Crack da 103 miliardi di dollari. Il fondatore e CEO aveva creato un sistema di gestione incentrato sulla sua figura e priva di adeguati contrappesi in termini di responsabilità e poteri gestionali. Quando la redditività cominciò a non corrispondere più alle attese degli analisti, lo stesso CEO si adoperò per produrre un falso in bilancio, capitalizzando costi d’esercizio. 3 LE FRODI FINANZIARIE ii casi casi IL CASO PARMALAT Crack da 14 miliardi di euro più 7 miliardi di euro di obbligazioni emesse. Parmalat è sempre rimasto un gruppo a condizione familiare e la struttura di governo ha sempre mantenuto una forma piramidale chiusa sulla famiglia. La società dichiarava una liquidità superiore a 7 miliardi di euro, ma continuava a chiedere finanziamenti al mercato sotto forma di emissioni obbligazionarie. Il tutto viene scoperto all’ennesima richiesta di chiarimenti da parte della Consob. 4 LE FRODI FINANZIARIE ii fenomeni fenomeni -Manipolazioni dell’informativa contabile allo scopo di trasmettere dati sulla salute di alcune società tali da permettere il perseguimento della corsa al rialzo -Evidenziazione dell’inaffidabilità del sistema dei controlli -Evidenza su comportamenti dei top manager tesi alla massimizzazione della propria remunerazione -Cooperazione alla rappresentazione al pubblico di situazioni aziendali migliori dell’effettivo da parte degli investment bankers. 5 LE FRODI FINANZIARIE ilil carattere carattere di di sistematicit sistematicitàà - Le società coinvolte, nella maggior parte dei casi, svolgevano attività economiche nuove, per le quali era più difficile verificare il valore economico e, quindi, era necessario fare affidamento sui soggetti certificatori dell’informazione e sulla correttezza del comportamento del management -I vari scandali sono stati resi possibili tramite una rete estesa di complicità ed omissioni -Collocazione temporale del fenomeno: alla fine degli anni Novanta (le quotazioni di borsa avevano raggiungo livelli insostenibili) prima dello scoppio della bolla speculativa 6 LE FRODI FINANZIARIE le le cause cause immediate immediate I PRINCIPI CONTABILI Critica al carattere eccessivamente precettistico dei principi contabili americani rispetto agli IAS. Vale per il caso Enron. I CONTROLLI CONTABILI Le società di revisione hanno utilizzato la certificazione di bilancio come punto di entrata in relazione con le maggiori società, alle quali poi offrire servizi a maggior valore aggiunto. Per contrastare questo fenomeno (diffuso in USA), nel 2002 è stato emanato il Sarbanes Oxley Act che prevede l’incompatibilità della revisione con la fornitura di altri servizi che non siano puramente accessori. 7 LE FRODI FINANZIARIE le le cause cause immediate immediate L’OPERATO DEGLI INVESTMENT BANKERS Gli analisti “sell side” delle investment banks, che offrono ai clienti studi indipendenti sul valore delle azioni delle società, sono stati utilizzati come strumento per ottenere contratti di consulenza in cambio di giudizi particolarmente favorevoli. LA REMUNERAZIONE DEI MANAGER Si è registrata una crescita spropositata della remunerazione dei manager legata alla performance azionaria. Il modello è nato come strumento di controllo del potenziale conflitto azionisti – manager. Criticato in quanto genera comportamenti non lungimiranti, non volti alla creazione di valore. 8 LE FRODI FINANZIARIE le le cause cause immediate immediate I CONTROLLI INTERNI La grande impresa americana è tipicamente caratterizzata da un azionariato molto frazionato e da manager non proprietari che di fatto la controllano. Il Consiglio di amministrazione, nella figura dell’Audit Committee, dovrebbe rappresentare lo strumento di controllo dell’operato dei manager. Criticato l’atteggiamento passivo nei confronti dei CEO. 9 IL SISTEMA INFORMATIVO AZIENDALE LA VERIFICA DELL’ATTENBILITA’ 10 IL SISTEMA INFORMATIVO AZIENDALE Il sistema informativo aziendale è il depositario di tutte le informazioni presenti e gestite in azienda; per questa ragione è oggetto di verifica da parte del revisore Revisione dell’attendibilità dei sistemi informativi aziendali e dei correlati strumenti di reporting (bilancio): -Dimensione informativa: raccolta, trattamento ed elaborazione delle informazioni; -Dimensione organizzativa: suddivisione delle attività di rilevazione e controllo dei dati. 11 IL SISTEMA INFORMATIVO AZIENDALE ATTENDIBILITA’ DI TIPO INFORMATIVO Verifica il grado di correttezza con cui determinate informazioni forniscono adeguata rappresentazione di una specifica realtà aziendale. Un’informazione può considerarsi attendibile qualora, dal suo confronto con altri dati rappresentativi della medesima realtà, emerga una sostanziale, precisa e univoca concordanza. Il giudizio di attendibilità su una rilevazione aziendale, derivando dal confronto con altri dati, possiede le caratteristiche di un giudizio probabilistico. 12 IL SISTEMA INFORMATIVO AZIENDALE ATTENDIBILITA’ DI TIPO INFORMATIVO Quante più informazioni si possono confrontare con riferimento ad un medesimo oggetto di verifica e quanto più esse concordano, tanto maggiore sarà il grado di convincimento in merito all’attendibilità delle medesime. La verità assoluta delle informazioni non può mai essere dimostrata; si può ottenere un ragionevole e graduato convincimento che le informazioni siano sostanzialmente corrette. 13 IL SISTEMA INFORMATIVO AZIENDALE ATTENDIBILITA’ DI TIPO ORGANIZZATIVO Numerosità di sistemi di rilevazione e qualità persuasiva delle informazioni ottenute non sono sufficienti in mancanza di adeguata suddivisione organizzativa del lavoro tale per cui i diversi sistemi di rilevazione siano gestiti da operatori sostanzialmente differenti (e quindi aventi obiettivi e interessi reciprocamente contrastanti). Viene quindi innescata una serie di situazioni virtuose propedeutiche all’attività di controllo. 14 IL SISTEMA INFORMATIVO AZIENDALE ATTENDIBILITA’ DI TIPO ORGANIZZATIVO Sono stati quindi sviluppati i seguenti capisaldi di carattere organizzativo funzionali al conseguimento di un accettabile grado di attendibilità dei sistemi informativi: -Separazione dei compiti -Processi di comunicazione -Ambiente organizzativo 15 IL SISTEMA INFORMATIVO AZIENDALE SEPARAZIONE DEI COMPITI Si realizza applicando il ciclo autorizzazione – esecuzione – controllo Lo svolgimento dell’attività (esecuzione) può abbinarsi a momenti di controllo preventivo (autorizzazione) o di verifica ex-post (controllo successivo) che devono essere opportunamente eseguiti da soggetti diversi da quelli preposti alla loro esecuzione. 16 IL SISTEMA INFORMATIVO AZIENDALE PROCESSI DI ORGANIZZAZIONE La realizzazione della separazione dei compiti all’interno dell’organizzazione impone la necessità di regolare adeguatamente i flussi di informazione tra i diversi operatori in modo che essi siano indirizzati in forma corretta, appropriata e con la giusta tempistica. Progettare adeguati processi di comunicazione significa: -Definire contenuti, informazioni; tempi e modalità tecniche di flusso delle -Definire responsabilità in merito alla predisposizione, archiviazione, trasmissione, ricevimento delle informazioni 17 IL SISTEMA INFORMATIVO AZIENDALE AMBIENTE ORGANIZZATIVO o DI CONTROLLO Le particolari condizioni dell’ambiente organizzativo o di controllo in cui operano le persone che eseguono e supervisionano i controlli informativi contribuiscono in maniera fondamentale al loro corretto funzionamento. Gli elementi che determinano l’ambiente organizzativo sono: -equilibrio tra ruoli, responsabilità e autorità; -equilibrio nel sistema degli incentivi (premi/sanzioni); -equilibrio tra ruoli e competenze; -equilibrio nello stile di direzione; -integrità della direzione. 18 IL SISTEMA INFORMATIVO AZIENDALE IL BILANCIO DI ESERCIZIO SINTESI DEL SISTEMA INFORMATIVO Il controllo di attendibilità del bilancio di esercizio comporta l’effettuazione di confronti tra le informazioni contenute in esso e la realtà aziendale che esso intende rappresentare. Poiché quest’ultima non è osservabile direttamente, il revisore deve cercare opportuni confronti tra le evidenze fornite dal sistema informativo aziendale al fine di verificarne la concordanza. È necessario confrontare le informazioni contenute nel bilancio di esercizio rispetto alle evidenze raccolte ed elaborate nei sistemi contabili sottostanti e nei processi amministrativi che li alimentano. 19 IL SISTEMA INFORMATIVO AZIENDALE BILANCIO DI ESERCIZIO SISTEMI DI CO.AN. SISTEMI DI CO.GE SISTEMI INFORMATIVI DEI SINGOLI PROCESSI OPERATIVI AZIENDALI 20 IL SISTEMA DI CONTROLLO INTERNO IL MODELLO DEL RISCHIO DI REVISIONE 21 I PRINCIPI DI REVISIONE I principi di revisione danno particolare enfasi all’attività di pianificazione ai fini della valutazione del rischio, del sistema contabile e di controllo interno. -400 La valutazione del rischio e il sistema di controllo interno - 401 La revisione contabile in un ambiente di elaborazione elettronica dei sistemi informativi 22 I PRINCIPI DI REVISIONE Il revisore deve acquisire una comprensione del sistema contabile e del sistema di controllo interno della società sufficiente per poter pianificare e sviluppare un approccio di revisione efficace. A tal fine, egli deve utilizzare la propria esperienza professionale per valutare il rischio di revisione e per definire le procedure di revisione da utilizzare per ridurre il grado di rischio ad un livello accettabile. (P.r. 400) 23 IL MODELLO DEL RISCHIO DI REVISIONE RISCHIO La possibilità che una data minaccia che consegue dalle vulnerabilità di un bene, o di un gruppo di beni, si concretizzi e causi perdite o danni a quei beni. L’impatto e la portata individuale di quel rischio sono proporzionali al valore della perdita/danneggiamento, ed alla frequenza con cui si stima esso possa materializzarsi RISCHIO DI REVISIONE Possibilità che un errore significativo non sia stato individuato nel bilancio di esercizio sottoposto a verifica e che il revisore possa inconsapevolmente non essere in grado di modificare la propria opinione in merito a un bilancio d’esercizio non attendibile in misura significativa. 24 IL MODELLO DEL RISCHIO DI REVISIONE L’attività di verifica del bilancio di esercizio si svolge senza che sia esaminata la totalità delle informazioni (procedimento di verifica a campione). Sussiste sempre (ed è ineliminabile) la probabilità che il revisore esprima un giudizio positivo su un bilancio che non è rappresentazione attendibile della realtà economica dell’azienda oggetto di indagine. Passaggio dall’approccio orientato alle procedure (l’esecuzione di test di verifica in modo quasi asettico) all’approccio orientato al rischio di revisione (definizione dei programmi di verifica mirati all’individuazione di quelle aree di rischio nelle quali è maggiormente probabile il verificarsi di errori). 25 IL RISCHIO DI REVISIONE Con rischio di revisione si intende il rischio che il revisore esprima un giudizio non corretto nel caso in cui il bilancio sia significativamente inesatto. È la risultante di due differenti aspetti: - Il rischio che i valori rappresentati nelle differenti classi del bilancio siano inficiati da errori tali che, congiuntamente considerati, alternano in misura significativa la rappresentazione della situazione patrimoniale, finanziaria e reddituale dell’impresa (material misstatement risk). - Il rischio che tali errori non siano individuati dal revisore (detection risk) 26 IL RISCHIO INERENTE Attitudine di una classe di valori a presentare errori significativi indipendentemente dall’esistenza di procedure di controllo interno. Componente oggettiva: difficoltà nel pervenire ad una determinazione quantitativa oggettiva per la classe di valori esaminata per ragioni specifiche (es. complessità di calcolo, stime, operazioni inusuali) e ragioni generali (macroeconomiche, di settore, d’azienda) Componente soggettiva: situazione di opportunità/motivazione del management della società a introdurre alterazioni nella quantificazione, valutazione o classificazione di un determinato fatto, evento, saldo aziendale (miglioramento artificioso dei risultati, necessità di distribuire dividendi,etc). 27 IL RISCHIO DI CONTROLLO Rischio che un’inesattezza che potrebbe verificarsi in un conto o in una classe di operazioni e che potrebbe essere significativa, individualmente considerata o sommata ad altre inesattezze, non sia prevenuta o comunque tempestivamente individuata e corretta dai sistemi contabile e di controllo interno. Il revisore valuta l’entità di tale rischio mediante l’adeguata comprensione della struttura del sistema di controllo interno e la valutazione delle concrete modalità di funzionalità di questo (test of control). 28 IL SISTEMA DI CONTROLLO INTERNO Il sistema di controllo interno è rappresentato dalle linee di azione e dalle procedure (controlli interni) adottate dalla Direzione al fine di favorire il raggiungimento degli obiettivi aziendali e di assicurare una condotta efficiente e ordinata della propria attività. È tipicamente strutturato per assicurare il perseguimento di tre obiettivi particolari: -economicità -attendibilità dei dati -conformità alle normative applicabili 29 IL SISTEMA DI CONTROLLO INTERNO ECONOMICITA’ Tale obiettivo è volto alla verifica della coerenza delle azioni intraprese dai singoli soggetti che costituiscono la struttura organizzativa aziendale rispetto alla “missione globale” della società. Il sistema dei controlli è, quindi, orientato a valutare ciascuna unità operativa con riferimento, da un lato, al conseguimento degli obiettivi specifici ad essa assegnati (efficacia) con l’impiego delle risorse per la loro realizzazione (efficienza) e, dall’altro lato, alla considerazione dei fattori di rischio ed alla connessa probabilità del verificarsi di eventi negativi che possono influenzare il raggiungimento di quegli obiettivi. 30 IL SISTEMA DI CONTROLLO INTERNO ATTENDIBILITA’ DEI DATI È possibile distinguere le elaborazioni e le sintesi contabili aziendali aventi valenza e finalizzazione esterne (bilanci annuali, situazioni periodiche infrannuali, situazioni contabili straordinarie, ecc.) da quelle aventi valenza e finalizzazione interne (report periodici infrannuali di performance, budget, forecast, ecc.) Nel primo caso, il controllo sulla attendibilità dei dati e delle informazioni aziendali deve fare riferimento alle norme di legge e/o ai principi contabili di generale accettazione; nel secondo caso, tale controllo deve fare riferimento a prassi o procedure interne aziendali, che definiscono i criteri convenzionali per la stima dell’andamento gestionale. 31 IL SISTEMA DI CONTROLLO INTERNO CONFORMITA’ ALLE NORMATIVE APPLICABILI L’attività di controllo in esame comporta, pertanto, l’accertamento del rispetto sia della normativa che presiede in generale allo svolgimento dell’attività d’impresa sia della normativa e della regolamentazione che disciplinano lo specifico settore di attività in cui opera l’azienda. 32 IL SISTEMA DI CONTROLLO INTERNO Il sistema di controllo interno può essere così scomposto -ambiente dei controlli: insieme dei controlli generali che concorrono a dare affidamento all’organizzazione dell’azienda pur non riferendosi direttamente ad una voce di bilancio (azioni, politiche e procedure che riflettono l’attitudine generale della direzione nei confronti del sistema di controllo interno); è caratterizzato da: - Un’elevata integrità e valori etici rigorosi del management; - Un’equilibrata filosofia di controllo e stile di direzione; - La presenza di organi amministrativi indipendenti dalle direzioni esecutive; - Una struttura organizzativa che agevoli i controlli da parte del management; - Un’assegnazione equilibrata di autorità e responsabilità. 33 IL SISTEMA DI CONTROLLO INTERNO -sistema informativo aziendale: deve soddisfare particolari obiettivi conoscitivi, con riferimento tanto alle transazioni (accadimenti correlati a valori reddituali e monetari), quando ai saldi finali (accadimenti correlati ai valori patrimoniali). -attività (procedure) di controllo: procedure riferite a specifiche transazioni e saldi finali di bilancio - Adeguata separazione dei compiti - Corretta autorizzazione di tutte le operazioni - Adeguata documentazione e registrazione delle operazioni 34 IL SISTEMA DI CONTROLLO INTERNO LE PROCEDURE DI CONTROLLO I controlli rientranti nelle procedure ora descritte possono essere distinti in tre tipologie: - controlli preventivi: hanno lo scopo di individuare un problema, un’omissione o un atto illecito prima che si presenti; - controlli di rilevazione: rilevano e segnalano l’accadimento di un errore, di un’omissione o di un atto illecito; - controlli correttivi: hanno il compito di minimizzare l’impatto di una minaccia, correggere problemi evidenziati dai controlli di rilevazione. 35 IL COSO REPORT 36 IL COSO REPORT Definisce un modello di sistema di controllo interno basato su un framework di principi che hanno ispirato nel tempo le disposizioni in materia di controllo previste dai codici di corporate governance, dai principi di revisione internazionali e dalle normative nazionali. VALUTAZIONE DEI RISCHI MONITORAGGIO ELEMENTI DEL SISTEMA DI CONTROLLO AMBIENTE DI CONTROLLO SISTEMA INFORMATIVO ATTIVITA’ DI CONTROLLO 37 IL COSO REPORT La valutazione del rischio gestionale ed il monitoraggio, non citati nel principio di revisione 400 ma dal SAS (Statement on Auditing Standard) 55, costituiscono non veri e propri elementi del sistema di controllo, ma principi che devono orientare la progettazione e verifica dei fattori costituenti il sistema di controllo. -Valutazione del rischio gestionale: i controlli interni devono essere progettati prioritariamente in aderenza alle aree più critiche al punto di vista gestionale. -Monitoraggio: occorre monitorare con continuità l’adeguatezza dei controlli interni nei vari elementi di cui essi si compongono, al fine di accertare l’aderenza e l’effettivo funzionamento dei medesimi nel tempo. 38 ERM – Enterprise Risk Management Nuova versione dei principi in tema di controllo interno, che enfatizza il tema della valutazione del rischio quale pre-condizione cruciale ai fini di un efficace progettazione del sistema di controllo interno. Con ERM si intende un processo, posto in essere dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del “rischio accettabile” e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali. 39 ERM – Enterprise Risk Management Esiste un rapporto diretto tra obiettivi, ossia ciò che un’azienda si sforza di conseguire, ed i componenti dell’ERM, ovvero ciò che occorre per conseguire gli obiettivi. Questo rapporto è schematizzato in una matrice tridimensionale. 40 ERM – Enterprise Risk Management GLI OBIETTIVI DEL SISTEMA DI CONTROLLO INTERNO Le categorie di obiettivi rilevanti ai fini dell’ERM sono: -strategic: obiettivi di alto livello, correlati e di supporto alla mission aziendale; -operations: obiettivi relativi all’efficacia ed efficienza delle operazioni aziendali; -reporting: obiettivi relativi all’efficacia aziendale, sia interno sia esterno; del sistema di reporting -compliance: obiettivi relativi alla conformità delle attività aziendali rispetto alle leggi e regolamenti applicabili. 41 ERM – Enterprise Risk Management I COMPONENTI DELL’ERM Gli elementi che costituiscono il sistema di ERM sono: -internal environment (ambiente interno): comprende gli elementi dell’ambiente di controllo, ai quali si aggiungono la propensione al rischio del management e la sua filosofia in termini di risk management; -objective setting (definizione degli obiettivi): descrive il sistema degli obiettivi aziendali e correlate attitudini al rischio; 42 ERM – Enterprise Risk Management I COMPONENTI DELL’ERM -event identification (identificazione degli eventi): metodologia con cui il management identifica gli eventi che originano condizioni di rischio ovvero individua, per ogni processo, le situazioni di minaccia e opportunità. -risk assessment (valutazione del rischio): metodologia con cui il management valuta probabilità e impatto dei rischi 43 ERM – Enterprise Risk Management I COMPONENTI DELL’ERM -risk response (risposta al rischio): metodologia con cui il management individua quale reazione porre in essere con riferimento ai rischi identificati. Le opzioni di reazione ai rischi possono essere articolate in: - Acceptance: accettazione dei rischi; - Avoidance: uscita dal business/processo che originano i rischi; - Sharing: riduzione della probabilità/impatto dei rischi mediante condizione/trasferimento a terzi tramite soluzione contrattuali e assicurative; - Reduction: riduzione di probabilità/impatto dei rischi mediante attività di controllo interno. 44 ERM – Enterprise Risk Management I COMPONENTI DELL’ERM -control activities: le attività di controllo di cui alla precedente formulazione del COSO Report, con particolare enfasi alla integrazione dei controlli generali e applicativi con i processi di risk response. - I controlli generali consistono nella supervisione organizzativa del management, nell’analisi da parte degli appropriati livelli di management degli exception report, nell’analisi dei report gestionali relativi alla valutazione sia delle performance economico – finanziaria sia dei risultati operativi - I controlli applicativi si distinguono in controlli a livello di transazione (modalità di raccolta, inserimento e processazione delle informazioni elementari in ogni fase del ciclo operativo) e controlli a livello di ciclo, relativi alla modalità di elaborazione, aggiornamento, accumulazione e protezione dei dati di riepilogo delle transazioni. 45 ERM – Enterprise Risk Management I COMPONENTI DELL’ERM -information and communication (informazioni e comunicazioni): le informazioni devono essere identificate, raccolte e comunicate nei modi e nei tempi che consentono alle persone di espletare i propri compiti. Tutto il personale deve ricevere un chiaro messaggio dal top management in merito al fatto che le responsabilità dei controlli devono essere prese in seria considerazione. -monitoring (monitoraggio): attività di monitoraggio della adeguatezza di progettazione e operatività di tutti gli elementi dell’ERM, con la precisazione che esso può avvenire mediante processi di valutazione continua o separata. 46