La revisione ed il sistema di controllo interno delle aziende: il
Transcript
La revisione ed il sistema di controllo interno delle aziende: il
UNIVERSITA’ DEGLI STUDI DI TORINO FACOLTA’ DI ECONOMIA TESI DI LAUREA Marcello Donalisio ANNO ACCADEMICO 2009 – 2010 0 UNIVERSITA’ DEGLI STUDI DI TORINO FACOLTA’ DI ECONOMIA CORSO DI LAUREA IN BUSINESS ADMINISTRATION TESI DI LAUREA TITOLO LA REVISIONE ED IL SISTEMA DI CONTROLLO INTERNO DELLE AZIENDE: IL RUOLO DELL’INTERNAL AUDITOR E DEL CFO, LE LORO SPECIFICITA’ E LE LORO RESPONSABILITA’. IL CASO: M SPA Relatore: Prof. Alain Devalle Correlatore esterno: Dott. Marco Ortalda Candidato: Marcello Donalisio ANNO ACCADEMICO 2009/10 1 Ringraziamenti Desidero innanzitutto ringraziare il Professor Alain Devalle per i preziosi insegnamenti durante i due anni di laurea specialistica oltre che quelli della laurea triennale e le per le numerose ore dedicate alla mia tesi. Inoltre, ringrazio sentitamente il Dott. Marco Ortalda che è stato sempre disponibile a dirimere i miei dubbi durante la stesura di questo lavoro. Inoltre, vorrei esprimere la mia sincera gratitudine alla mia compagna di corso e di vita Agnese per i numerosi consigli durante la ricerca. Infine, ho desiderio di ringraziare con affetto i miei genitori, Angioletta e Silvio, e mio fratello, Fabio, per il sostegno ed il grande aiuto che mi hanno dato ed in particolare per essermi stati vicino ogni momento durante questo anno di lavoro ed i precedenti anni della mia vita. 2 Indice Introduzione _________________________________________________________7 1. I principi contabili italiani riferiti alle principali aree di criticità del bilancio IV direttiva CEE _______________________________________________________14 1.1. La situazione in Italia________________________________________________ 14 1.2. I principi contabili introdotti dalla Comunità Europea: gli IAS/IFRS _________ 20 1.3. Le disponibilità liquide: il principio nazionale OIC 14 e quanto previsto dai principi contabili internazionali IAS/IFRS ____________________________________ 24 1.3.1. 1.3.2. Il principio nazionale OIC 14 _______________________________________________ 24 I principi contabili internazionali: il concetto di strumento finanziario ________________ 29 1.4. Le rimanenze di magazzino: il principio nazionale OIC 13 ed il principio contabile internazionale IAS 2______________________________________________________ 35 1.4.1. 1.4.2. Il principio nazionale OIC 13 _______________________________________________ 36 I principi contabili internazionali applicati alle rimanenze di magazzino: lo IAS 2 _______ 40 2. I principi di revisione: il rischio del revisore nel giudizio di aree semplici ma critiche ____________________________________________________________45 2.1. Le società di revisione ed i principi di revisione _________________________ 45 2.2. Spa Un caso particolare di analisi: la società di revisione PricewaterhouseCoopers __________________________________________________________________ 48 2.2.1. 2.3. La PwC Audit Guide _____________________________________________________ 49 La PwC audit guide ed i test richiesti per la voce “Disponibilità liquide” _____ 50 2.3.1. 2.3.2. 2.3.3. 2.3.4. Le riconciliazioni bancarie _________________________________________________ 50 Il cut-off delle banche_____________________________________________________ 54 La circolarizzazione delle banche ___________________________________________ 55 La conta di cassa________________________________________________________ 56 2.4. La PwC audit guide: i test richiesti per le rimanenze di magazzino per ottenere conforto circa l’applicazione dei principi richiesti dalla legge ___________________ 58 2.4.1. Le procedure d’inventario del cliente_________________________________________ 59 2.4.2. Il programma dell’inventario________________________________________________ 60 2.4.3. Il tracing _______________________________________________________________ 61 2.4.3.1. Il bridging __________________________________________________________ 61 2.4.4. Il cut off _______________________________________________________________ 62 3. Le misure per la riduzione del rischio: gli strumenti utilizzati dal revisore nell’analisi del cliente ________________________________________________64 3.1. L’approccio di audit utilizzato dalla società di revisione PricewaterhouseCoopers _________________________________________________ 64 3.2. Il concetto di rischio ________________________________________________ 69 3.2.1. Il concetto di significatività – materialità di errore di bilancio_______________________ 72 3.2.1.1. La overall materiality _________________________________________________ 74 3.2.1.2. La performance materiality ____________________________________________ 75 3.2.1.3. La de minimis SUD posting level ________________________________________ 76 3.2.2. La rete dei processi ______________________________________________________ 78 3.2.2.1. I controlli sulle applicazioni ____________________________________________ 81 3.2.2.2. Obiettivi di controllo relativi alle transazioni ________________________________ 82 3.2.2.3. Obiettivi di controllo relativi alle transazioni ________________________________ 83 3.2.2.4. Controlli sui software utilizzati dalla società (ITGC)__________________________ 84 3 3.2.2.5. 3.2.2.6. 3.3. I processi di controllo sulle disponibilità liquide _____________________________ 87 I processi di controllo sulle rimanenze di magazzino_________________________ 89 Gli strumenti utilizzati dal revisore per la valutazione del rischio ___________ 90 3.3.1. La Business Analysis Framework (BAF) ______________________________________ 91 3.3.1.1. Le analytical procedures ______________________________________________ 95 3.3.2. La Audit Comfort Matrix (ACM) _____________________________________________ 96 3.3.3. La Summary of Comfort (SOC) ____________________________________________ 100 3.4. Le asserzioni di bilancio ____________________________________________ 102 3.4.1. 3.4.2. 3.5. L’audit comfort cycle ____________________________________________________ 102 Le asserzioni __________________________________________________________ 104 La frode__________________________________________________________ 107 3.5.1. 3.5.2. 3.5.3. La responsabilità del management aziendale _________________________________ 112 La responsabilità del revisore _____________________________________________ 113 La componente dello scetticismo professionale nel lavoro del revisore _____________ 115 3.6. Le novità della legislazione in ambito di revisione contabile: il Decreto Legislativo n. 39/2010 ___________________________________________________ 116 4. Il sistema di controllo interno utilizzato dalle imprese: il ruolo dell’internal auditor e del CFO nell’organizzazione dei processi interni _________________122 4.1. Il sistema di Corporate Governance __________________________________ 122 4.1.1. 4.1.2. 4.1.3. 4.2. Il modello tradizionale ___________________________________________________ 124 Il modello monistico _____________________________________________________ 124 Il modello dualistico _____________________________________________________ 126 Il sistema informativo aziendale______________________________________ 126 4.2.1. Il sistema informativo operativo ____________________________________________ 128 4.2.1.1. Il sistema informativo operativo a supporto delle aree funzionali ______________ 129 4.2.1.2. Il sistema informativo operativo a supporto dei processi _____________________ 130 4.2.1.2.1. Il sistema informativo operativo a supporto dei processi: il sistema informativo legacy _______________________________________________________________ 130 4.2.1.2.2. Il sistema informativo operativo a supporto dei processi: il sistema informativo integrato o Enterprise Resource Planning _______________________________________ 131 4.3. Il rischio in economia aziendale: il concetto di Enterprise Risk Management 133 4.3.1. Il rischio nell’attività di impresa ____________________________________________ 133 4.3.2. La gestione ed il controllo dei rischi aziendali: il risk management_________________ 136 4.3.2.1. Definizione dell’ERM ________________________________________________ 136 4.3.2.1.1. Gli obiettivi aziendali ______________________________________________ 138 4.3.2.1.2. Le componenti del rischio __________________________________________ 138 4.3.2.1.3. I livelli organizzativi________________________________________________ 140 4.3.2.2. Perché introdurre l’ERM in azienda _____________________________________ 140 4.3.2.3. Principali tipologie di rischi aziendali ____________________________________ 141 4.4. Il sistema di controllo interno nelle aziende ed i collegamenti con l’ERM____ 142 4.4.1. Definizione ____________________________________________________________ 142 4.4.1.1. Efficacia del sistema di controllo interno _________________________________ 145 4.4.2. Ambiente di controllo ____________________________________________________ 146 4.4.2.1. Integrità e valori etici ________________________________________________ 146 4.4.2.1.1. Consiglio di amministrazione o audit committee _________________________ 148 4.4.2.1.2. Struttura organizzativa _____________________________________________ 149 4.4.2.1.3. Attribuzione di poteri e responsabilità _________________________________ 149 4.4.2.1.4. Politiche e prassi di gestione delle risorse umane ________________________ 151 4.4.2.2. Valutazione _______________________________________________________ 151 4.4.3. Risk assessment _______________________________________________________ 152 4.4.3.1. Definizione degli obiettivi _____________________________________________ 152 4.4.3.2. Identificazione degli eventi ____________________________________________ 155 4.4.3.3. Valutazione del rischio _______________________________________________ 158 4 4.4.4. Attività di controllo ______________________________________________________ 160 4.4.4.1. Risposta al rischio __________________________________________________ 160 4.4.4.2. Le attività del controllo interno _________________________________________ 162 4.4.5. Informazioni e comunicazione _____________________________________________ 167 4.4.5.1. La comunicazione interna ____________________________________________ 170 4.4.5.2. La comunicazione esterna ____________________________________________ 171 4.4.6. Monitoraggio __________________________________________________________ 172 4.4.7. Limiti del controllo interno ________________________________________________ 174 4.4.8. Rapporto costi-benefici __________________________________________________ 176 4.5. Il sistema di controllo nell’economia aziendale _________________________ 178 4.5.1. Act 4.6. L’evoluzione dell’ERM e del sistema di controllo interno negli Stati Uniti: il Sarbanes-Oxley _____________________________________________________________________ 181 Le principali figure preposte ai sottosistemi di controllo aziendale in Italia __ 183 4.6.1. Il decreto legislativo n. 58/1998: l’introduzione della figura dell’internal auditor _______ 184 4.6.2. La legge n. 262 del 28 dicembre 2005: l’introduzione della figura del Dirigente preposto188 4.6.2.1. Il ruolo della funzione amministrazione, finanza e controllo __________________ 190 4.6.2.2. Il CFO come analista e consulente interno aziendale _______________________ 194 4.6.2.3. Il CFO come misuratore delle performance e regolatore delle funzioni del management addetto alla funzione di gestione amministrativa-contabile-finanziaria ________ 196 4.6.2.4. Il CFO come regolatore del rischio _____________________________________ 198 4.6.3. L’Organismo di vigilanza introdotto dalla legge 231/2001________________________ 199 5. Il caso aziendale: la società M Spa ________________________________203 5.1. La società ________________________________________________________ 203 5.1.1. Market overview________________________________________________________ 203 5.1.1.1. Regulatory environment ______________________________________________ 204 5.1.1.2. Macroeconomic environment __________________________________________ 209 5.1.2. Strategy ______________________________________________________________ 212 5.1.3. Value creating activities __________________________________________________ 213 5.1.4. Financial performances __________________________________________________ 215 5.2. Il rischio di frode __________________________________________________ 216 5.2.1. 5.2.2. Considerazione dei fattori che portano a rischio di frode ________________________ 216 Analisi del sistema di controllo interno della società ____________________________ 217 5.3. La valutazione del sistema di controllo interno della società ed i relativi processi che alimentano i principali cicli aziendali ___________________________________ 219 5.3.1. Il processo del ciclo attivo ________________________________________________ 221 5.3.1.1. Il sistema informativo adottato dalla società ______________________________ 228 5.3.2. Il processo del ciclo passivo ______________________________________________ 232 5.3.3. Il processo della tesoreria ________________________________________________ 237 5.3.4. Il processo del magazzino ________________________________________________ 242 5.3.4.1. Descrizione inventory process _________________________________________ 242 5.3.4.2. Ricevimento della merce _____________________________________________ 247 5.3.4.3. Movimentazioni interne ______________________________________________ 251 5.3.4.4. Le uscite di magazzino e le vendite _____________________________________ 252 5.4. La valutazione da parte dell’auditor esterno dei principali rischi dopo la valutazione dei processi aziendali: la costruzione dell’Audit Comfort Matrix ______ 254 5.4.1. I test di dettaglio dell’auditor esterno ________________________________________ 258 5.4.1.1. I test sul ciclo attivo _________________________________________________ 258 5.4.1.1.1. Le substantive analytical procedures __________________________________ 258 5.4.1.1.2. Il fondo svalutazione crediti _________________________________________ 261 5.4.1.2. I test sul ciclo passivo _______________________________________________ 263 5.4.1.2.1. La circolarizzazione dei fornitori______________________________________ 263 5.4.1.2.2. Merci in viaggio __________________________________________________ 265 5.4.1.2.3. Cut off acquisti ___________________________________________________ 267 5.4.1.2.4. Test passività non registrate ________________________________________ 268 5 5.4.1.2.5. Test fatture da ricevere ____________________________________________ 269 5.4.1.3. I test sul ciclo del magazzino __________________________________________ 270 5.4.1.3.1. L’inventario fisico _________________________________________________ 270 5.4.1.3.2. La valorizzazione delle materie: esempio delle materie prime ______________ 275 5.4.1.3.3. L’obsolescenza di magazzino: l’esempio sui prodotti finiti__________________ 277 5.4.1.4. I test sul ciclo finanziario _____________________________________________ 280 5.4.1.4.1. Analisi della fluttuazione dei finanziamenti passivi _______________________ 280 5.4.1.4.2. Check del costo ammortizzato sui finanziamenti _________________________ 282 5.4.1.4.3. Covenants sui finanziamenti passivi __________________________________ 284 5.5. 6. Il caso di frode ____________________________________________________ 286 Conclusioni___________________________________________________293 Bibliografia ________________________________________________________295 6 Introduzione Le aziende sono un “complesso dei beni organizzati dall’imprenditore per l’esercizio dell’impresa”1. La definizione di azienda differisce sostanzialmente da quella di impresa e di società. L’impresa è infatti “l’esercizio professionale di una attività economica organizzata al fine dello scambio di beni e servizi”2. Il termine società indica invece il contratto con cui “due o più persone conferiscono beni o servizi per l’esercizio in comune di un’attività economica”3. Ad ogni modo, esse sono organizzazioni di persone e di beni economici, che, attraverso una serie coordinata di operazioni, mirano al soddisfacimento dei bisogni umani. Nel corso di questa ricerca il candidato si propone di analizzare quello che è un aspetto rilevante di tali entità: il sistema di controllo interno che esse adottano per analizzare l’ambiente in cui le imprese operano ed il modo in cui gestiscono i vari rischi aziendali. Tutte le imprese condividono alcune caratteristiche che le accomunano. Innanzitutto esse sono un insieme di elementi diversi ed interrelati tra loro ed appaiono, per quanto di piccole dimensioni siano, un’entità complessa. L’impresa è quindi un sistema formato dagli elementi che lo compongono e dalle relazioni che esistono tra tali elementi4. Inoltre le imprese hanno il medesimo fine di realizzare e vendere un prodotto ad un cliente e vivono solamente attraverso una serie continua di scambi con l’ambiente circostante: è per tale ragione che le imprese sono dei sistemi aperti (cioè un insieme di elementi integrati ed interdipendenti in costante rapporto di scambio con l’ambiente esterno). Le imprese raggruppano differenti aspetti organizzativi e sono la rappresentazione dell’evoluzione storica delle metodologie organizzative applicate alla realtà. In base alla tipologia di organizzazione dei diversi aspetti aziendali, ciascuna impresa differisce dalle altre per adattarsi a quelle che sono le condizioni ambientali presenti nel contesto economico di riferimento ed in base anche alla grandezza (tale indice viene misurato in termini di espansione territoriale oltre che di influenza sull’ambiente economico 1 Definizione art. 2555 Codice civile Definizione art. 2082 Codice civile 3 Definizione art. 2247 Codice civile 4 Dipartimento di Economia Aziendale, Lezioni di economia aziendale, G. Giappichelli Editore, Torino, 2003 2 7 circostante). In particolare per ambiente economico si intende tutto quanto circonda l’azienda che influisce sulla sua struttura e sul suo comportamento, cioè sui suoi elementi costitutivi e sulla sua attività5. Le aziende al fine di adeguarsi e muoversi più agevolmente nell’ambiente economico in cui operano hanno adottato modelli organizzativi differenti: storicamente il primo modello, quello più naturale, prevede la divisione dei compiti tra le diverse funzioni aziendali, nelle quali viene posto personale specializzato6. Questa suddivisione rappresenta un modo naturale di interpretare il funzionamento dell’impresa, pensando cioè alle sue funzioni fondamentali, definite anche come “aree funzionali”. La ripartizione funzionale raggruppa diversi vantaggi. I più importanti sono i seguenti: Raggruppamento di risorse omogenee nella medesima unità organizzativa (maggiore specializzazione); Sfruttamento delle economie di scala in ciascuna funzione (maggior efficienza). Vi sono anche però due svantaggi che rappresentano i punti di debolezza dell’organizzazione per funzioni: Scarsa attenzione all’unitarietà aziendale e conseguente esclusiva enfasi sui risultati di funzione (si rischia di perdere di vista la soddisfazione del cliente, che rappresenta l’obiettivo di lungo periodo dell’azienda scarsa efficacia); Inelasticità rispetto ai mutamenti ambientali e scarsa innovazione per sovraccarico della gerarchia (scarsa flessibilità). L’evoluzione ha invece portato ad una gestione di carattere più procedurale: infatti l’obiettivo finale complessivo e non quello della singola funzione permette un maggiore coordinamento ed il perseguimento di un comune obiettivo. L’organizzazione per processi permette di seguire, monitorare e gestire l’intero flusso delle attività che compongono il processo stesso e l’utilizzo delle risorse che, dato un 5 L’ambiente si divide in particolare in due livelli di analisi differenti: L’ambiente generale, che è l’ambiente del sistema Paese in cui l’azienda ha sede e principalmente opera; L’ambiente specifico, che rappresenta il contesto più particolare e ristretto entro cui opera ogni singola impresa ed è rappresentato tipicamente dal settore e dal mercato in cui ciascuna impresa esercita la propria attività. 6 F. Culasso, Sistema – impresa e gestione per processi, Giappichelli Editore, Torino, 1999 8 certo input iniziale, portano alla realizzazione di un output, oggetto di scambio (interno o esterno) e come tale di valore per il cliente7. Il funzionamento corretto dei processi consente infatti di soddisfare le attese del cliente (con conseguente creazione di valore8 e soddisfacimento delle attese degli azionisti) e permette un maggiore coordinamento tra le diverse attività dell’azienda, che comporta una maggiore flessibilità organizzativa (gli svantaggi presentati dal modello funzionale vengono quindi coperti dall’adozione di una organizzazione incentrata sui processi, se ben implementata). Il modello di gestione dell’impresa per processi è spesso accompagnato da metodologie di misurazione di performance e di raggiungimento degli obiettivi. Tali metodologie hanno permesso l’introduzione in azienda di strumenti molto utili alle finalità dell’organizzazione dei processi e, quindi, del soddisfacimento finale delle attese degli stakeholders9. Il più importante strumento utilizzato dalle aziende per ottenere misurazioni di performance e definizione degli obiettivi è la balanced scorecard. Tale strumento permette di misurare i flussi di cassa con opportuni indicatori in modo da fissare dei target e misurare i corrispondenti risultati10. Ritornando al concetto di funzioni, la presente ricerca si propone di analizzare ciò che perlopiù concerne la funzione amministrazione e controllo nelle società e quindi il processo di formazione dell’informativa di bilancio. La funzione amministrativa in senso stretto si occupa di tutto ciò che riguarda la tenuta della contabilità ed i relativi adempimenti, disciplinati dalle leggi civili e dalle norme fiscali. Il suo compito principale è la produzione di informazioni, economico – finanziarie ma anche di altra natura, rivolte agli stakeholder (portatori di interesse come in precedenza definiti) dell’azienda. Il controllo riguarda invece per un lato l’accertamento 7 F. Culasso, Sistema – impresa e gestione per processi, Giappichelli Editore, Torino, 1999 Appare necessario in questa sede distinguere tra utile d’esercizio e creazione di valore: il primo è la differenza tra ricavi e costi, qualora positiva, che si deduce dal prospetto di Conto Economico d’Esercizio e che riguarda quindi una grandezza creata riguardante il breve periodo (grandezza flusso creata negli ultimi 12 mesi); la seconda è la grandezza che riguarda la formazione di ricchezza, duratura nel tempo, che garantisce sviluppo e sopravvivenza e che riguarda grandezze non esclusivamente monetarie 9 Con tale termine vengono individuati i soggetti portatori di interessi nei confronti di un’iniziativa economica (ad esempio clienti, fornitori, banche, azionisti, ecc.) (come definito in W.M. Evan, A stakeholder approach on modern corporation: the kantian capitalism, 1984) 10 L. Brusa, Attuare e controllare la strategia aziendale. Mappa strategica e balanced scorecard, Giuffrè editore, Milano, 2007; R.S. Kaplan, D.P. Norton, The balanced scorecard, Harvard Business School Press, 1996 8 9 che la gestione aziendale si svolga in condizioni di efficienza ed efficacia, coerentemente con gli obiettivi esplicitati in sede di pianificazione strategica (controllo di gestione), e dall’altro il monitoraggio del sistema organizzativo interno, il suo corretto funzionamento per garantire un flusso informativo veritiero e per essere compliante con quanto richiesto dalle leggi e la sua eventuale implementazione (internal audit)11. La figura e l’importanza della funzione amministrazione e controllo è stata in parte “svalutata” nel corso degli ultimi anni per via della non corretta informativa fornita da alcune aziende a causa di dirigenti aziendali non all’altezza del loro ruolo e a situazioni di frode occorse per via delle scarse misure anti-frode e gli scarsi controlli interni posti in essere. Tale argomento è diventato attuale e molto importante ai fini della rappresentazione corretta e veritiera del bilancio d’esercizio12. Pertanto è diventato di fondamentale importanza porre all’interno delle imprese un sistema di adeguato monitoraggio del rischio. Con la parola rischio si vuole indicare la distribuzione dei possibili scostamenti dai risultati attesi per effetto di eventi di incerta manifestazione, interni o esterni al sistema aziendale13. Il rischio in economia aziendale condiziona la sopravvivenza delle imprese e va quindi gestito con le più opportune politiche. Nella storia più recente delle imprese sono stati peraltro diffusi diversi fattori che hanno provocato eclatanti danni agli investitori (ad esempio un sistema di controllo interno non adeguato, flussi informativi non gestiti nella maniera corretta, …). I fattori che hanno permesso lo sviluppo del rischio sono differenti, a partire dal sistema macroeconomico (globalizzazione, crisi finanziarie, ...). Si è reso quindi necessario l’intervento da parte delle istituzioni politiche per definire nuove regole in tema di Corporate Governance e di controllo interno. Si sono quindi diffusi nel mondo diversi interventi normativi, tra i quali il COSO Report (1992) e la legge Sarbanes – Oxley Act (SOX USA – 2002), che riguardano l’informativa su risk management e l’introduzione della responsabilità penale per l’Amministratore delegato ed il Direttore 14 Amministrativo . Con questa legge viene inoltre aumentata la responsabilità degli 11 Dipartimento di Economia Aziendale, Lezioni di economia aziendale, G. Giappichelli Editore, Torino, 2003 12 Come richiesto dal Codice civile italiano che, al secondo comma, cita: “Il bilancio deve essere redatto con chiarezza e deve rappresentare in modo veritiero e corretto la situazione patrimoniale e finanziaria della società e il risultato economico dell’esercizio” 13 F. Culasso, Gestione del rischio e controllo strategico. Un’ottica sistemica aziendale, Giappichelli Editore, Torino, 2009 14 Legge Stati Uniti d’America del senatore P. Sarbanes, 30 luglio 2002 10 auditor esterni delle aziende e viene intensificata la necessità di monitorare e separare i loro servizi tra consulenza e revisione, viene inoltre creato un board indipendente che si occupi del monitoraggio delle società di revisione, viene prevista la certificazione da parte del senior corporate management della veridicità del bilancio annuale e delle relazioni finanziarie delle società quotate e viene prevista la full disclosure15 delle transazioni off-balance sheet e di altre obbligazioni che possono influenzare e mistificare le condizioni finanziarie della corporation16. Gli interventi normativi sono stati presenti anche in Italia ed i più importanti sono: Legge Draghi (1998), che riguarda il sistema di controllo interno ed il Collegio sindacale delle società quotate17; Responsabilità penale degli enti (2001), che riguarda i modelli di organizzazione e di controllo interno18; Riforma del risparmio (2005), che riguarda l’introduzione nelle aziende della figura del Dirigente Preposto alla redazione dei documenti contabili e societari (CFO)19; D.Lgs. n. 39 del 27 gennaio 2010 (si veda il capitolo 3 per un maggiore approfondimento circa tale argomento). Le disposizioni legislative appena citate non prevedono nessun obbligo di introduzione all’interno dei sistemi aziendali di alcun controllo. Laddove però la realtà, vista la dimensione, il contesto e la quantità di flussi informativi, richiedesse un sistema più complesso ed articolato al fine di prevenire i possibili rischi di informativa errata, l’impresa deve implementare un sistema di controllo interno adeguato. Per un’approfondita analisi sulle richieste delle leggi e sugli adempimenti di grandi realtà aziendali oltre che sull’eventualità di non essere compliante con un adeguato sistema di controllo interno, si rimanda al capitolo quarto della trattazione. Il presente lavoro si propone quindi di analizzare il sistema di controllo interno posto in essere da imprese di grandi dimensioni per cercare di comprendere come il flusso 15 Con tale termine si vuole indicare che tutte le transazioni off-balance sheet e tutte le informazioni che potrebbero influenzare le condizioni finanziarie della società dovranno essere rese pubbliche sia nelle relazioni annuali che in quelle semestrali 16 Articolo del 2 marzo 2004, Sarbanes-Oxley Act e trasparenza in USA, pubblicato su sito internet www.irtop.com, sito che si occupa di tutte le news riguardanti gli investor relations 17 Fonte D.Lgs. n. 58/1998 18 Fonte D.Lgs. n. 231/2001 19 Fonte Legge n. 262/2005 11 informativo possa ritenersi quello corretto ed il sistema di controllo interno in base alla specifica legislazione di settore. La comparazione del sistema di controllo interno delle imprese viene contrapposto nell’analisi al controllo esterno posto in essere dalle società di revisione dei conti. Queste società devono essere iscritte in un apposito Albo tenuto dalla Consob20 ed hanno il compito di controllare la regolare tenuta della contabilità sociale e la corretta registrazione dei fatti di gestione nelle scritture contabili, informando senza indugio il Collegio sindacale e la Consob (ove applicabile) dei fatti che ritenga censurabili, nonché quello di verificare che il Bilancio d’esercizio, e l’eventuale Bilancio consolidato, corrispondano alle risultanze delle scritture contabili e alle norme che li disciplinano21. La società di revisione riceve l’incarico dall’Assemblea dei Soci previo parere del Collegio sindacale22. L’incarico dura tre esercizi e non può essere rinnovato più di due volte alla stessa società, qualora si tratti di revisione obbligatoria ad una società quotata23, mentre può essere rinnovato ogni tre esercizi senza limiti per gli incarichi di revisione volontaria24. L’incarico può comunque essere revocato prima della scadenza prevista nel solo caso in cui ricorra una giusta causa (sempre previo parere del Collegio sindacale). Al termine di ogni esercizio la società di revisione esprime un giudizio sul Bilancio che viene formalizzato in una apposita relazione. Tale documento viene allegato al Bilancio e depositato presso la sede della società durante i 15 giorni che precedono l’Assemblea che approva il Bilancio e finchè il medesimo non è approvato25. Il presente lavoro si propone quindi altresì di confrontare le tecniche usate dal revisore esterno per ottenere assurance sulle informazioni con quella dell’ente interno all’azienda preposto alla verifica del sistema di controllo interno. L’analisi di specifici casi aziendali aiuterà nella comprensione delle differenze, delle peculiarità e della metodologia di controllo al fine di garantire una corretta emissione 20 Commissione Nazionale per le Società e la Borsa, istituita con la legge n. 216 del 7 giugno 1974, è un’autorità amministrativa indipendente, dotata di personalità giuridica e piena autonomia con la legge 281 del 1985, la cui attività è rivolta alla tutela degli investitori, all’efficienza, alla trasparenza e allo sviluppo del mercato mobiliare italiano (fonte sito internet www.consob.it, sito della Commissione Nazionale per le Società e la Borsa) 21 Commissione paritetica per la statuizione dei principi di revisione, Obiettivi e principi generali della revisione contabile del bilancio 22 Fonte art. 159 D.Lgs. 58/1998 23 Fonte art. 155 TUIF 24 Fonte art. 2409-bis e 2409-ter Codice civile 25 Fonte art. 156 comma 5 D.Lgs. 58/1998 12 dell’informativa di bilancio nei confronti di un mercato sempre più attento al rispetto delle leggi da parte delle organizzazioni ed alle certificazioni esterne oltre che a sistemi di controllo interni che garantiscano la correttezza dei flussi informativi che risultano importanti per gli investitori esterni per diverse finalità. 13 1. I principi contabili italiani riferiti alle principali aree di criticità del bilancio IV direttiva CEE 1.1. La situazione in Italia La legislazione italiana prevede che per la redazione del Bilancio d’esercizio e di quello consolidato (e quindi per l’emissione di informativa da parte delle società verso l’esterno) vada utilizzato quanto previsto dal Codice civile agli art. 2423 e seguenti, sino all’art. 2435 bis. Le norme del Codice civile relative alla redazione del Bilancio d’esercizio definiscono i seguenti aspetti: Le finalità del Bilancio d’esercizio, che rappresentano le linee guida che devono orientare gli amministratori nella redazione del Bilancio d’esercizio. Esse dettano le regole generali e sono sovraordinate rispetto a tutte le altre regole relative al bilancio; I principi di redazione, che rappresentano orientamenti di carattere più tecnico relativi alla redazione del Bilancio d’esercizio; I principi contabili, che rappresentano norme tecnico-applicative per la rilevazione delle operazioni di gestione, per la redazione degli schemi di bilancio e per la valutazione degli elementi patrimoniali attivi e passivi. Essi consentono l’applicazione pratica delle finalità e dei principi di redazione del Bilancio d’esercizio. All’art. 2423 del Codice civile prevede che “gli amministratori debbano redigere il bilancio di esercizio, costituito dallo stato patrimoniale, dal conto economico e dalla nota integrativa. Il bilancio deve essere redatto con chiarezza e deve rappresentare in modo veritiero e corretto la situazione patrimoniale e finanziaria della società e il risultato economico dell’esercizio. […]”26. Il postulato della chiarezza implica la redazione del Bilancio d’esercizio in una forma tale da rendere agevole la lettura delle informazioni contenute nel bilancio stesso. Il rispetto degli schemi di Bilancio che prevedono l’iscrizione nell’ordine indicato dagli art. 26 Fonte art. 2423 Codice civile. Si precisa inoltre che vengono riportati solo gli stralci degli articoli considerati importanti ai fini dell’analisi 14 2424 (Stato patrimoniale) e 2425 (Conto economico) e separata delle voci27 oltre che il divieto di compensazione delle partite28, consente agli schemi di esplicare per intero la capacità informativa relativamente alla rappresentazione della situazione patrimoniale e finanziaria della società e al risultato d’esercizio. Il postulato della rappresentazione veritiera e corretta implica invece attendibilità del Bilancio d’esercizio e si riferisce alla rappresentazione della situazione patrimoniale e finanziaria e del risultato economico dell’impresa. Per rappresentazione veritiera non significa pretendere dai redattori del bilancio l’esposizione di una verità oggettiva, impossibile da raggiungere con riferimento ai valori stimati29. Al contrario l’aggettivo veritiero obbliga i redattori del bilancio ad operare correttamente le stime ed a rappresentare adeguatamente il risultato di tali stime. Le finalità del bilancio costituiscono le linee guida per la redazione del Bilancio d’esercizio e prevedono l’obbligo di derogare alle norme specificatamente previste qualora, in casi eccezionali30, l’applicazione di una delle norme non consenta una rappresentazione veritiera e corretta31. L’eventuale utilizzo della deroga deve comunque essere motivato in Nota integrativa, all’interno della quale devono essere anche indicati gli effetti sulla rappresentazione della situazione patrimoniale, finanziaria e del risultato economico32. All’art. 2423 bis vengono invece riportati i principi di redazione del bilancio, che sono il principio della continuità, della prudenza, della competenza, della valutazione separata 27 Il raggruppamento delle voci si ha nel momento in cui due o più voci previste dagli schemi vengono sostituite da una sola voce. L’art. 2423 ter consente il raggruppamento di voci solo qualora l’importo delle voci sia irrilevante ai fini della chiarezza o quando il raggruppamento favorisca la chiarezza (in questo secondo caso è necessario indicare in Nota integrativa distintamente le voci oggetto del raggruppamento) 28 Esso consiste nella somma algebrica di elementi di segno contabile opposto. Esso può essere inteso in senso contabile (compensazione di valori di segno contabile opposto) o in senso giuridico (compensazione di voci previste per legge all’attivo e al passivo dello Stato patrimoniale o in diverse poste del Conto economico). Ai fini del rispetto del postulato della chiarezza è rilevante il solo compenso di partite in senso giuridico 29 Si pensi ad esempio ai fondi per accantonamenti di vario genere esposti in bilancio: essi sono per definizione delle poste valutative, per i quali la legge non detta criteri di valutazione specifici per gli accantonamenti, nella valutazione dei quali occorre quindi tenere presente i principi generali del bilancio (ref. Principio contabile italiano n. 19) 30 Ad esempio costituisce caso eccezionale il terreno la cui destinazione viene variata dal piano regolatore da agricola ad edificabile, con conseguente incremento sostanziale del valore di iscrizione in bilancio del terreno 31 Fonte art. 2423 Codice civile, quarto comma 32 Va specificato inoltre che gli utili derivanti dall’applicazione della deroga non sono distribuibili se non in misura corrispondente dal valore recuperato dall’eventuale alienazione 15 degli elementi eterogenei delle singole voci e della costanza dei criteri di valutazione33 34 . Nello specifico, il principio della continuità prevede che con il termine Bilancio d’esercizio ci si riferisca al bilancio di una impresa in funzionamento e che nella valutazione degli elementi del patrimonio sia necessario tener conto della prospettiva della continuazione dell’attività35. Non è possibile continuare ad utilizzare le regole del Bilancio d’esercizio quando nell’impresa viene meno il presupposto della continuità aziendale36. Il principio della prudenza è invece volto ad evitare che la valutazione delle attività e delle passività porti a sopravvalutazioni del reddito e del patrimonio37. E’ quindi necessaria l’iscrizione in bilancio di tutte le perdite, anche se solo presunte, e di tutti i rischi prevedibili e la non iscrizione in bilancio degli utili non ancora realizzati. Il principio della competenza è diretto alla determinazione del reddito prodotto nell’esercizio come differenza tra il flusso dei ricavi ed il flusso dei costi relativi alla gestione, indipendentemente dalla loro manifestazione numeraria. Per quanto riguarda i ricavi, essi si considerano economicamente conseguiti nel periodo amministrativo in cui è stato completato il processo produttivo dei beni o dei servizi ed è avvenuto lo scambio cono terze economie38. Nel caso in cui i ricavi si riferiscano a due o più esercizi è necessario effettuarne una ripartizione tra i vari periodi amministrativi. I costi devono essere invece imputati nell’esercizio in cui i relativi fattori produttivi hanno concorso alla determinazione dei ricavi, in quanto essi sono remunerazione di fattori produttivi e pertanto vanno registrati nell’esercizio ove hanno ceduto la loro utilità: si parla infatti di correlazione tra ricavi e costi iscritti in Conto economico. La correlazione può essere effettuata per associazione di causa ad effetto (quando è 33 Il principio contabile italiano n. 11 (Bilancio d’esercizio: finalità e postulati) individua ulteriori principi di redazione quali la neutralità, la significatività e la rilevanza, la verificabilità dell’informazione e la prevalenza della sostanza sulla forma. In particolare quest’ultima voce implica che la rappresentazione delle operazioni avvenga a prescindere dagli aspetti formali/giuridici e che al contrario si basi esclusivamente su quelli sostanziali 34 Fonte art. 2423 bis Codice civile 35 Ad esempio non è possibile valutare i beni strumentali al valore di realizzo diretto sul mercato, in quanto essi verranno realizzati indirettamente attraverso i ricavi di vendita dei beni 36 In tali casi risulta necessario redigere il Bilancio d’esercizio utilizzando i criteri propri dei Bilanci di liquidazione 37 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il bilancio d’esercizio 2010. Principi, struttura e valutazioni, Euroconference editore, Verona, settembre 2009 38 Fonte Principio italiano n. 11 (Bilancio d’esercizio: finalità e postulati); per tale principio, lo scambio si considera effettuato per i beni al momento della consegna o della spedizione, mentre, per quanto riguarda i servizi, il momento dello scambio coincide con l’effettuazione della prestazione 16 possibile identificare il momento in cui il fattore produttivo cede la propria utilità, trasformandosi in beni o in servizi) o sulla base di una ripartizione (ogni qual volta il fattore produttivo cede la sua utilità in più esercizi). In taluni casi può non essere possibile una correlazione con i ricavi (ad esempio costi per ricerche capitalizzati ed iscritti tra le immobilizzazioni immateriali ma non più in grado di cedere utilità); in questi casi il costo va iscritto nel conto economico dell’esercizio nel quale ci si rende conto della cessazione dell’utilità. Il principio della valutazione separata degli elementi eterogenei ricompresi nelle singole voci è invece volto ad evitare che vengano effettuate compensazioni tra utili non realizzati relativi ad alcuni elementi del patrimonio aziendale e perdite presunte relative ad altri elementi patrimoniali. Infine il principio della costanza dei criteri di valutazione degli elementi patrimoniali prevede che essi non possono essere modificati da un esercizio all’altro se non in casi eccezionali, motivando l’applicazione della deroga in Nota integrativa oltre che l’influenza del cambiamento del criterio di valutazione sulla situazione patrimoniale e finanziaria e sul risultato economico. Figura 1.1 - Esempio di cambiamento del criterio di valutazione del magazzino, con il passaggio dalla valutazione delle rimanenze con il metodo LIFO a quella con il metodo FIFO39 Storico acquisti materie prime società che compongono la valutazione a LIFO 0,86 Indice di conversione LT to KG Data LT KG Prodotto PZ/LT PZ/KG costo acq €/Lt costo acq €/Kg 9-set-97 14.970 12.874 Gasolio 0,372 0,433 5.574 5.574 6-ott-97 16.929 14.559 Gasolio 0,367 0,427 6.210 6.210 13-nov-97 16.615 14.289 Gasolio 0,362 0,421 6.021 6.021 4-dic-97 17.063 14.674 Gasolio 0,354 0,412 6.047 6.047 14-gen-98 16.556 14.238 Gasolio 0,366 0,426 6.059 6.059 16-gen-98 16.356 14.066 Gasolio 0,365 0,45 5.973 5.973 22-feb-98 16.878 14.515 Gasolio 0,355 0,413 5.995 5.995 28-apr-98 16.674 14.340 Gasolio 0,378 0,440 6.309 6.309 5-mag-98 16.597 14.273 Gasolio 0,373 0,434 6.194 6.194 18-lug-98 16.200 13.932 Gasolio 0,439 0,510 7.109 7.109 4-ago-98 16.810 14.457 Gasolio 0,429 0,499 7.215 7.215 29-set-98 17.304 14.881 Gasolio 0,445 0,518 7.704 7.704 39 Per la spiegazione di tali criteri di valutazione delle rimanenze di magazzino, si veda il paragrafo 1.4. Le rimanenze di magazzino: il principio nazionale OIC 13 ed il principio contabile internazionale IAS 2 17 22-ott-98 17.309 14.886 Gasolio 0,427 0,497 7.394 7.394 24-nov-98 16.615 14.289 Gasolio 0,408 0,475 6.786 6.786 28-dic-98 17.307 14.884 Gasolio 0,399 0,464 6.902 250.183 215.157 Totale 97.492 56.228 kg Quantità alla data di chiusura dell'esercizio Valutazione LIFO 12874 * 0,433 + 14559 * 0,427 + 14289 * 0,421 + 14506 * 0,412 = 23.781 Valutazione FIFO 6.902 97.492 Il magazzino risulta iscritto in bilancio in base al valore rimanenze dei primi acquisti effettuati Valore magazzino in € al 31 dicembre 1998 14884 * 0,464 + 14289 * 0,475 + Il magazzino risulta iscritto in bilancio in base al valore rimanenze degli ultimi acquisti effettuati 14886 * 0,497 + 12169 * 0,518 = 27.386 § Valore magazzino in € al 31 dicembre 1998 § TM: § Si rimanda al paragrafo 1.4. Le rimanenze di magazzino: il principio nazionale OIC 13 ed il principio contabile internazionale IAS 2 per una spiegazione circa le differenze a SP e CE delle valutazioni con il criterio LIFO e FIFO Fonte: elaborazione propria su dati inventati Mantenere costanti i criteri di valutazione permette di evitare di utilizzare il cambiamento dei criteri di valutazione come mezzo per effettuare politiche di bilancio. Il cambiamento di un criterio di valutazione deve essere applicato retroattivamente40. Ciò significa che il nuovo principio contabile trova applicazione an anche su fatti ed operazioni avvenuti negli esercizi precedenti a quello in cui interviene il cambiamento come se il nuovo principio fosse stato sempre applicato. L’applicazione retrospettiva comporta la necessità di determinare l’effetto cumulativo derivante derivante dal cambiamento di principio all’inizio dell’esercizio che deve essere iscritto come provento o onere nell’area straordinaria (si rimanda al a sottoparagrafo numero 1.4.1. Il principio n nazionale OIC 13 ed in particolare all’Esempio all’ 1.1 - Passaggio da LIFO a FIFO per prendere visione dell’esempio relativo al cambiamento della valutazione delle rimanenze con relativo effetto cumulativo derivante dal cambiamento di principio all’inizio dell’esercizio). 40 Fonte Principio rincipio contabile italiano n. 29: Cambiamenti di principi contabili, cambiamenti di stime contabili, correzione di errori, eventi e operazioni straordinari, fatti intervenuti dopo la data di chiusura dell’esercizio 18 Al terzo livello nelle norme che regolano la redazione del bilancio d’esercizio si collocano i principi contabili, ovvero le regole per la formazione del Bilancio d’esercizio che trovano il fondamento logico nei postulati del Bilancio d’esercizio. I principi contabili riguardano l’intero processo formativo del Bilancio d’esercizio: essi possono pertanto avere ad oggetto la rilevazione contabile delle operazioni di gestione, la redazione del Bilancio d’esercizio, la valutazione delle attività e delle passività costituenti il patrimonio di bilancio. I principi contabili sono oggetto dell’art. 2426 del Codice civile per quanto riguarda la valutazione delle singole voci ma sono integrati, laddove necessario, da principi contabili di generale accettazione, frutto del lavoro della dottrina e delle associazioni dei professionisti contabili nazionali ed internazionali41. Il Codice civile prevede come criterio base di valutazione il costo che, in linea di massima, non può mai essere superato42. In taluni casi il costo deve essere ridotto per essere allineato ad un minor valore di mercato. Il valore di mercato non viene mai utilizzato per individuare incrementi di valore, in quanto ciò sarebbe in contrasto con il principio della prudenza. Gli articoli del Codice civile precedentemente analizzati fanno parte del Titolo V Delle Società, Capo V – Società per azioni, Sezione IX. – Del bilancio, ed esplicano inoltre il contenuto del Bilancio d’esercizio43, in termini di singoli schemi44 e dei documenti 41 Tali principi sono chiamati OIC che precede il numero di rifermento del principio stesso (es. OIC 14 per le disponibilità liquide) e sono i principi contabili nazionali. L'Organismo Italiano di Contabilità (OIC) nasce dall'esigenza, avvertita dalle principali parti private e pubbliche italiane, di costituire uno standard setter nazionale dotato di ampia rappresentatività con il fine di esprimere le istanze nazionali in materia contabile. L' OIC si è costituito, nella veste giuridica di fondazione, il 27 novembre 2001. Esso predispone i principi contabili per la redazione dei bilanci d'esercizio e consolidati delle imprese, dei bilanci preventivi e consuntivi delle aziende non profit e delle amministrazioni pubbliche, nazionali e locali. Inoltre, l' OIC, coordinando i propri lavori con le attività degli altri standard setter europei, nel rispetto delle norme di legge e regolamentari vigenti, fornisce il supporto tecnico per l'applicazione in Italia dei principi contabili internazionali e delle direttive europee in materia contabile. L' OIC svolge altresì un'opera di assistenza al legislatore nazionale nell'emanazione delle norme in materia contabile e connesse per l'adeguamento della disciplina interna di bilancio alle direttive europee e ai principi contabili internazionali omologati dalla Commissione Europea. I principi contabili dell'OIC sono soggetti al parere della Banca d'Italia, della CONSOB, dell'ISVAP e dei Ministeri competenti nella fattispecie. L'eventuale parere negativo delle istituzioni anzidette è pubblicato congiuntamente al principio contabile approvato dal Comitato Esecutivo 42 Fonte art. 2426 Codice civile 43 Art. 2423 comma 1 Codice civile, che stabilisce che “gli amministratori devono redigere il bilancio di esercizio, costituito dallo stato patrimoniale, dal conto economico e dalla nota integrativa” 44 Art. 2424 Codice civile, Stato patrimoniale, che rappresenta la situazione patrimoniale dell’impresa, individuando le attività, le passività ed il patrimonio netto; art. 2425 Codice civile, Conto economico, che rappresenta il risultato economico conseguito nell’esercizio mediante l’individuazione di ricavi e costi attinenti al periodo amministrativo considerato; art. 2427 e 2427 bis Codice civile, Nota integrativa, che consente di illustrare analiticamente i principi ed i criteri utilizzati nella determinazione del reddito e del patrimonio 19 obbligatori relativi al bilancio45, i documenti raccomandati dai principi contabili italiani46, gli obblighi informativi in situazioni specifiche (ad esempio la redazione del Bilancio d’esercizio in forma abbreviata per le società di modesta dimensione47) e gli adempimenti per il bilancio (ad esempio il deposito del bilancio48 e la sua pubblicazione49). 1.2. I principi contabili introdotti dalla Comunità Europea: gli IAS/IFRS Per la redazione di taluni bilanci è oggi necessario fare invece riferimento ad altri principi contabili, già presenti prima che il loro utilizzo fosse reso obbligatorio dalla Comunità Europea. Infatti a partire dall’esercizio avente inizio il 1 gennaio 2005 alcune società europee (ed anche italiane) devono o possono abbandonare il modello di bilancio basato sul Codice civile e determinare il proprio patrimonio e reddito in maniera sostanzialmente differente da quanto scaturirebbe applicando le Direttive comunitarie. Per principi contabili internazionali si intendono gli International Accounting Standards (IAS), gli International Financial Reporting Standards (IFRS) e le relative Interpretazioni (SIC/IFRIC), emessi dall’Accounting Standards Boards (IASB)50 e dall’International Financial Reporting Interpretations Committee (IFRIC). 45 Quali la relazione sulla gestione (art. 2428 Codice civile), gli allegati al bilancio (art. 2429 del Codice civile) e la relazione del Collegio sindacale e/o Revisore contabile (art. 2429 Codice civile) 46 Prospetto delle variazioni di patrimonio netto e rendiconto finanziario 47 Secondo l’art. 2435 bis Codice civile, per essere considerati società di modesta dimensione occorre, se non si abbiano emesso titoli negoziati in mercati regolamentati, nel primo esercizio o successivamente per due esercizi successivi non superare i limiti seguenti: Totale attivo Stato patrimoniale: 4.400.000 euro; Totale ricavi delle vendite e delle prestazioni Conto economico: 8.800.000 euro; Dipendenti occupati in media durante l’esercizio: 50 unità. 48 L’art. 2429 del Codice civile prevede che il bilancio deve essere comunicato dagli amministratori al Collegio sindacale con la relazione almeno 30 giorni prima di quello fissato per l’Assemblea che deve discuterlo. Il bilancio deve restare depositato in copia nella sede della società con la relazione di amministratori, sindaci e del soggetto incaricato del controllo contabile, durante i 15 giorni che precedono l’Assemblea e finchè sia approvato al fine di permettere ai soci di prenderne visione 49 L’art. 2435 del Codice civile stabilisce che entro 30 giorni dall’approvazione devono essere depositati a cura degli amministratori presso l’Ufficio del Registro delle imprese i seguenti documenti: Una copia del bilancio; Le relazioni di amministratori, sindaci e revisori contabili; Il verbale di approvazione dell’Assemblea 50 Lo IASB è un organo indipendente di formazione della Fondazione IFRS. I suoi membri (al momento 15) sono responsabili dello sviluppo e della pubblicazione degli IFRS, inclusi quelli per le piccole-medie imprese, e per l’approvazione di interpretazioni degli IFRS, sviluppato dalla IFRS Interpretations Committee (precedentemente chiamata IFRIC). Lo IASB opera a stretto contatto con gli stakeholders di tutto il mondo, inclusi investitori, analisti, legislatori, business leader ed esercenti la professione contabile 20 Tuttavia i principi contabili internazionali emanati dallo IASB non sono immediatamente utilizzabili dalle società europee. Tali principi, infatti, devono dapprima essere accettati dalla Comunità Europea attraverso il meccanismo di omologazione, che ha l’obiettivo di verificare che gli IAS/IFRS: Non siano in contrasto con le Direttive comunitarie; Rispondano ai criteri di comprensibilità, pertinenza, affidabilità e comparabilità richiesti dall’informazione finanziaria necessaria per adottare le decisioni economiche e valutare l’idoneità della gestione. I principi contabili internazionali così omologati vengono poi tradotti nelle lingue ufficiali della Comunità Europea e pubblicati sulla GUCE51: solo a questo punto possono essere utilizzati dalle società per la preparazione dei loro bilanci. La scelta della Comunità Europea di obbligare o consentire ad alcune società l’utilizzo degli IAS/IFRS è motivata dalla necessità di armonizzare l’informazione finanziaria presentata dalle società europee. L’obiettivo è pertanto quello di garantire un elevato livello di trasparenza e comparabilità dei bilanci e l’efficiente funzionamento del mercato comunitario dei capitali e del mercato interno. L’obbligo di applicazione degli IAS/IFRS è previsto per ogni esercizio finanziario avente inizio a partire dal 1 gennaio 2005 per le società soggette al diritto di uno Stato membro qualora alla data del bilancio consolidato i loro titoli siano ammessi alla negoziazione in un mercato regolamentato di un qualsiasi Stato membro. L’ambito obbligatorio di applicazione è quindi rappresentato dai bilanci consolidati dei gruppi quotati in una borsa europea52. Le opzioni possibili per gli Stati membri sono invece due differenti: Gli Stati membri possono consentire o prescrivere alle società quotate di redigere il loro Bilancio d’esercizio e alle società non quotate di redigere il bilancio consolidato e/o il Bilancio d’esercizio conformemente ai principi contabili internazionali53; Gli Stati membri possono posticipare l’inizio dell’obbligo di adottare i principi contabili internazionali agli esercizi aventi inizio a partire dal 1 gennaio 2007 51 Gazzetta Ufficiale della Comunità Europea Fonte art. 4 Regolamento CE 1606/2002 53 Fonte art. 5 Regolamento CE 1606/2002 52 21 alle società i cui soli titoli di debito sono quotati o i cui titoli sono ammessi alla negoziazione pubblica in un paese terzo e che, a tal fine, hanno applicato principi riconosciuti internazionalmente a partire da un esercizio finanziario iniziato prima della data di pubblicazione del Regolamento nella GUCE54. In Italia l’esercizio dell’opzione prevista dall’art. 5 del Regolamento CE 1606/2002 è avvenuta in due fasi distinte: la legge delega comunitaria del 2003 prevede l’obbligo di adottare i principi contabili internazionali nella redazione del Bilancio d’esercizio delle società quotate, nella redazione del Bilancio d’esercizio e consolidato delle società aventi strumenti finanziari diffusi presso il pubblico55, nella redazione del Bilancio d’esercizio e consolidato delle banche ed intermediari finanziari sottoposti a vigilanza da parte della Banca d’Italia, nella redazione del Bilancio consolidato delle società che esercitano attività di assicurazione56 e, infine, nella redazione del Bilancio d’esercizio delle società quotate e delle società aventi strumenti finanziari diffusi presso il pubblico che esercitano attività di assicurazione solo nel caso in cui non redigano il bilancio consolidato. E’ prevista anche la facoltà di adottare i principi contabili internazionali nella redazione del Bilancio d’esercizio o consolidato delle società diverse da quelle assicurative e da quelle che possono redigere il Bilancio in forma abbreviata57; il decreto legislativo del 2005 di attuazione della legge delega comunitaria precedentemente esplicata ha disciplinato le opzioni in tema di utilizzo dei principi contabili internazionali nella redazione del Bilancio d’esercizio e consolidato da parte delle società italiane58. 54 Fonte art. 9 Regolamento CE 1606/2002 L’art. 116 del D.Lgs. del 24 febbraio 1998, n.58 e l’art. 2 bis del Regolamento Consob 11971/1999, n. 14372 stabiliscono che sono emittenti di strumenti finanziari presso il pubblico gli emittenti italiani che contestualmente: Abbiano azionisti diversi dai soci di controllo in numero superiore a 250, che detengano complessivamente una percentuale di capitale sociale almeno pari al 5%; Non abbiano la possibilità di redigere il bilancio in forma abbreviata ai sensi dell’art. 2435 bis primo comma (per il dettaglio di tali limiti si veda la nota n. 48) 56 Come previsto dal D.Lgs. 173 del 26 maggio 1997 e dal punto A dell’allegato I del D.Lgs. del 17 marzo 1995, n. 174 (assicurazioni sulla durata della vita umana) 57 Fonte legge delega n. 306/2003 58 Fonte D.Lgs. 38/2005 55 22 Figura 1.2 - Rappresentazione della modalità di adozione dei principi contabili internazionali da parte dei soggetti italiani Tipologie di società Bilancio consolidato IAS Bilancio d’esercizio IAS a. Società quotate Obbligo dal 2005 Facoltà da 2005 Obbligo da 2006 b. Società con strumenti finanziari diffusi tra il pubblico Obbligo dal 2005 Facoltà da 2005 Obbligo da 2006 Obbligo dal 2005 Facoltà da 2005 Obbligo da 2006 d. Società assicurative Obbligo dal 2005 Obbligo da 2006 Se quotate e non optano per il bilancio consolidato e. Società incluse nel bilancio consolidato di società sub a, b, c e d Facoltà da 2005 Facoltà da 2005 Facoltà da 2005 Facoltà da 2005 Se optano per il consolidato g. Società diverse dalle precedenti incluse nel bilancio consolidato di società sub f - Facoltà da 2005 h. Società diverse dalle precedenti non incluse in un bilancio consolidato - Facoltà dall’esercizio individuato con apposito decreto - Divieto c. f. i. Banche italiane, capogruppo di gruppi bancari, SIM, SGR, finanziarie, istituti di moneta elettronica Società che redigono il bilancio consolidato diverse dalle società sub a, b, ced Società che possono redigere il bilancio abbreviato Fonte: P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 Per talune aziende è diventato obbligatorio pertanto l’utilizzo di tali principi mentre per altre rimane facoltativo. Tra le aziende che possono esercitare l’opzione di utilizzo facoltativo dei principi IAS/IFRS ve ne sono alcune che li utilizzano per permettere ai lettori dei bilanci di poter fare delle comparazioni con le aziende dello stesso settore di appartenenza (ad esempio la società Ferrero Spa redige il Bilancio d’esercizio in base ai principi contabili internazionali, seppur non quotata e non obbligata, per via dei propri competitor di settore, quali ad esempio la società Nestlè che è quotata sul mercato azionario). In tutte le aziende i principi per la redazione del Bilancio d’esercizio (nazionali o internazionali) devono comunque essere seguiti ed applicati nel modo più corretto possibile. Vi sono taluni principi sbagliando l’applicazione dei quali si potrebbero commettere errori di tipo significativo (e cioè tali da inficiare il giudizio del lettore del bilancio). Basti pensare ad esempio ad aree apparentemente semplici, ad esempio quelle riferite 23 all’iscrizione di fondi (ad esempio fondi svalutazione di crediti troppo bassi rispetto agli effettivi recuperi di credito futuri). Ad ogni modo alcune aree sono indicate come più delicate non tanto per la difficoltà della loro valutazione in bilancio, ma piuttosto perché considerate importanti a livello di analisi e di informativa fornita dal bilancio di una società. Per questo motivo si è scelto di analizzare le richieste dei principi contabili applicati a due aree di bilancio importanti come le disponibilità liquide e le rimanenze di merci. 1.3. Le disponibilità liquide: il principio nazionale OIC 14 e quanto previsto dai principi contabili internazionali IAS/IFRS I principi contabili nazionali ed internazionali risultano come detto di fondamentale importanza ai fini dell’emissione corretta dell’informativa di bilancio delle aziende. In alcuni ambiti i principi contabili sono di facile applicazione ma l’eventualità di presenza di informazioni sbagliate ha effetti di indurre in una direzione sbagliata i lettori di bilancio. E’ questo il caso dell’informativa richiesta alle società riguardante le disponibilità liquide detenute dalla società presso la propria sede, le proprie succursali o su conti correnti esterni (ad esempio bancari o postali). 1.3.1. Il principio nazionale OIC 14 L’informativa richiesta alle società circa la presenza di denaro con immediata disponibilità è raggruppata all’interno dello schema di Stato patrimoniale italiano alla voce dell’attivo circolante59 ed in particolare alle voci: C) Attivo circolante IV – Disponibilità liquide 1) Depositi bancari e postali 2) Assegni 3) Denaro e valori in cassa La somma complessiva di quanto raggruppato alla voce C) IV– risulta di notevole importanza per gli stakeholder dell’azienda. Su tale valore essi calcolano diversi indici che permettono di evidenziare quale sia la posizione finanziaria della società con 59 Esso comprende tutti gli elementi attivi del patrimonio che presumibilmente ritorneranno in forma liquida nel breve periodo, cioè ritorneranno in forma monetaria in un tempo non superiore all’anno 24 l’obiettivo di sapere se l’impresa sarà in grado di disporre della liquidità necessaria per estinguere i suoi debiti in tempo. Questo è il motivo per il quale sia gli analisti finanziari, sia le banche sono interessati a varie misure della liquidità: essi sanno che le imprese illiquide hanno maggiori probabilità di fallire e di essere insolventi. Va sottolineato che comunque, poiché le misure della liquidità variano frequentemente, esse possono diventare poco attendibili in breve tempo. L’analisi finanziaria esamina quindi l’attitudine dell’azienda a fronteggiare i fabbisogni finanziari senza compromettere l’equilibrio economico della gestione60. Essa è un’analisi di tipo dinamico61 che può essere esaminata nel dettaglio solo attraverso l’analisi dei flussi62. Uno tra gli indicatori più importanti è rappresentato dalla posizione finanziaria netta. Essa indica la disponibilità di liquidi da parte dell’impresa e viene calcolata nel modo seguente63: Disponibilità liquide + crediti finanziari a breve e a medio-lungo termine posizione finanziaria netta (PFN) = Debiti finanziari a breve, a medio e a lungo termine Se il saldo derivante dall’applicazione di tale formula è positivo, vuol dire che l’impresa ha una disponibilità finanziaria pari al valore ottenuto. Se negativo, essa è soggetta a un indebitamento finanziario per l’ammontare indicato. Questo indicatore risulta quindi di fondamentale importanza per gli analisti finanziari in quanto esso permette di desumere la situazione delle finanze dell’impresa e gli obblighi che devono essere assunti nel breve-medio periodo (qualora la PFN sia negativa). La PFN positiva evidenzia al contrario una situazione in cui le eccedenze di liquidità presenti nelle casse dell’impresa o destinate ad entrarvici nel futuro più immediato, 60 Va evidenziato che l’equilibro economico e quello finanziario all’interno di un’impresa sono due grandezze completamente differenti. In Dipartimento di Economia Aziendale, Lezioni di economia aziendale, G. Giappichelli Editore, Torino, 2003 viene fatta la distinzione tra: Economico, rappresenta quell’equilibrio che misura la relazione esistente tra flusso di costi e flusso di ricavi dell’esercizio (all’interno del Bilancio d’esercizio tale correlazione è misurata nel prospetto di Conto economico) Finanziario, rappresenta quell’equilibrio che misura la relazione esistente tra flusso di entrate monetarie e flusso di uscite monetarie (all’interno del Bilancio d’esercizio tale correlazione è misurata nel prospetto di Rendiconto finanziario) 61 Detta analisi per flussi, che sono la ricostruzione della differenza tra quanto presentato da un’azienda all’inizio di un periodo di analisi fino a ciò che viene presentato alla fine di tale periodo 62 Astolfi, Barale & Ricci, Entriamo in azienda 3. Imprese industriali, sistema informativo di bilancio e imposizione fiscale – Tomo 1, Tramontana, Milano, 2004 63 G. Ferrero, F. Dezzani, P. Pisoni, L. Puddu, Analisi di bilancio e rendiconti finanziari, Giuffrè editore, Milano, 2006 25 possono essere investite per acquisire capitale immobilizzato o comunque asset che permettono all’impresa di creare valore nel corso del tempo. Alcune indicazioni possono tuttavia essere ottenute anche costruendo opportuni indici: molto importante è il quoziente di liquidità immediata64. Le attività maggiormente liquide di un’azienda sono la cassa e le attività finanziarie facilmente liquidabili. Tale indice viene calcolato come segue: Cassa + attività finanziarie a breve termine quoziente di liquidità immediata = Passività correnti Va sottolineato che il risultato di tale indice non sempre esprime una reale situazione aziendale di solvibilità. Infatti gli indici di liquidità possono essere falsati se al numeratore si indica denaro liquido derivante da prestiti ottenuti che, in attesa di un prossimo utilizzo, sono depositati nei c/c bancari e postali65. Lo studio dei flussi correlato a quello degli indici consente però di conoscere la provenienza dei fondi liquidi. L’analisi di tali flussi ed indici richiede quindi che alla base vi siano informazioni attendibili. Se le informazioni non fossero invece veritiere e corrette, esse potrebbero portare a giudizi fuorvianti e perciò il flusso informativo che alimenta tali voci deve essere ben monitorato e testato in modo da produrre informazioni attendibili. La rappresentazione in bilancio avviene, come richiesto dal principio, anche per le disponibilità passive (ad esempio debiti per conti correnti bancari scoperti). All’interno del Bilancio d’esercizio IV direttiva, tale classificazione avviene all’interno del passivo, nelle voci seguenti: D) Debiti 4) Debiti verso banche Il principio OIC 14 nello specifico richiede innanzitutto che la valutazione delle disponibilità liquide sia effettuata al valore nominale delle stesse (denaro e valori bollati). In particolare l’OIC richiama l’art. 2426 del Codice civile che al punto 8 prevede che i crediti “devono essere iscritti secondo il valore presumibile di realizzazione” (questo vale per depositi bancari, depositi postali, assegni). Viene altresì richiamato 64 65 R.A. Brealey, S.C. Myers, F. Allen, S. Sandri, Principi di finanza aziendale, McGraw-Hill, Milano, 2006 Gli indici di liquidità sono numerosi, ma non si ritiene in questa sede necessario farne ulteriore analisi 26 l’art. 2423 del Codice civile, riferito ai principi generali di redazione del Bilancio d’esercizio66. Il sistema amministrativo-contabile dell'impresa deve avvalersi di un controllo interno affidabile tale da consentire la possibilità di verificare, mediante rilevazioni elementari o prospetti di riconciliazione, che i saldi siano reali e rispondenti a valori riscontrati67. I conti accesi alle disponibilità liquide devono comprendere tutti i movimenti di numerario avvenuti entro la data di bilancio. Non è corretto considerare come disponibilità liquide, con corrispondente riduzione dei crediti, le rimesse di numerario ricevute in cassa o in banca in data posteriore a quella di chiusura dell'esercizio, anche se il loro giorno di valuta è anteriore a tale data. Analogamente, non è corretto diminuire i fondi liquidi, con corrispondente riduzione dei debiti, per rimesse di numerario uscite dalla cassa o disposte con assegni o bonifici bancari in data posteriore a quella di bilancio. In conclusione, i saldi dei conti bancari devono tener conto di tutti gli assegni emessi e dei bonifici disposti entro la data di chiusura dell'esercizio e degli incassi effettuati dalle banche o altre istituzioni creditizie ed accreditati nei conti prima della chiusura dell'esercizio, anche se la relativa documentazione bancaria è pervenuta nell'esercizio successivo. I fondi esistenti all'estero (essi vengono valutati al cambio in vigore alla data di chiusura dell'esercizio68) che non possono essere rimpatriati a causa di restrizioni valutarie, ma che si prevede verranno utilizzati ai fini della gestione locale, vanno normalmente indicati in nota integrativa e, se di ammontare particolarmente rilevante, in apposita sottovoce dello stato patrimoniale. In caso di difficoltà di utilizzo e di rimpatrio di tali fondi, essi vanno valutati al presumibile valore di realizzo stimato alla fine dell'esercizio. Le disponibilità liquide esposte nello stato patrimoniale si presumono essere immediatamente utilizzabili per qualsiasi scopo dell'impresa. 66 Per visionare approfonditamente quanto richiesto dall’articolo, si veda il paragrafo 1.1. La situazione in Italia 67 Fonte OIC 14: Disponibilità liquide 68 In conformità con quanto previsto dall’OIC 26, Operazioni e partite in moneta estera 27 Di conseguenza, eventuali disponibilità liquide vincolate, o non immediatamente utilizzabili o utilizzabili solo per specifici scopi, devono avere, se di ammontare rilevante, una evidenziazione separata nella nota integrativa. Non è accettabile effettuare in bilancio una compensazione tra conti bancari attivi e passivi, anche se della stessa natura e tenuti presso la stessa banca, in quanto tale prassi comporterebbe la compensazione di una attività con una passività, fra l'altro derivanti da posizioni di debito e di credito a tassi di solito non equivalente. In Nota integrativa, oltre a quanto già indicato inerente la natura di eventuali fondi vincolati e i conti all'estero che non possono essere trasferiti o utilizzati a causa di restrizioni valutarie del paese estero o per altre cause, vanno fornite informazioni circa l'utilizzo di eventuali sistemi di cash pooling69 e, comunque, se rilevante, ogni tipo di rapporto ove sono coinvolte imprese controllate, collegate, controllanti e quelle sottoposte al controllo di queste ultime, nonché se diverse, imprese che rientrano sotto la stessa attività di direzione e coordinamento. Sulla base di quanto previsto dal principio contabile nazionale OIC 14, si sviluppano diverse aree che richiedono maggiore attenzione da parte dell’azienda ai fini della corretta e veritiera rappresentazione dei fatti occorsi durante l’esercizio. In particolare, come si evince da quanto richiesto dal principio, la rappresentazione a cavallo di esercizio richiede particolari regole che vanno seguite e rispettate in modo da non incorrere in errori che portino a situazioni sbagliate (e ad una informativa distorta nei confronti degli investitori). Le società devono quindi porre una maggiore attenzione a quelle che sono le transazioni che occorrono a fine esercizio e che sono disposte a fine esercizio seppur vengano rappresentate sull’estratto conto bancario della banca solo nel mese successivo a quello di chiusura. I test svolti dai revisori esterni circa quest’area di bilancio prendono in considerazione i più differenti aspetti in modo da garantire al lettore di bilancio un’informativa non fuorviante e che non possa influenzarne le scelte in maniera errata. Per visionare tali test, si rimanda alla lettura del paragrafo 2.3. La PwC audit guide: i test richiesti per le 69 L’accordo di cash pooling consiste nell’accentrare in capo ad un unico soggetto giuridico la gestione delle disponibilità finanziarie di un gruppo societario, al fine di ottenere la miglior gestione della tesoriera aziendale con relazione ai rapporti in essere tra le società aderenti al gruppo e gli istituti di credito (Articolo di M. Tidona, Il cash pooling tra le società appartenenti ad un gruppo, Milano, 16 dicembre 2000) 28 disponibilità liquide per ottenere compliance sull’applicazione dei principi (capitolo successivo). 1.3.2. I principi contabili internazionali: il concetto di strumento finanziario Gli schemi di bilancio redatto in conformità ai principi IAS/IFRS differiscono sostanzialmente dalla rappresentazione prevista dal Codice civile per i bilanci redatti secondo i principi contabili nazionali (ref. Art. 2424, 2425 e 2427 Codice civile, paragrafo 1.1. La situazione in Italia). Infatti lo schema di Stato patrimoniale70 prevede due possibili criteri di classificazione delle voci anziché uno solo: Classificazione sulla base del ciclo operativo, tipico delle società esercenti attività a carattere industriale, che prevede una suddivisione delle attività e delle passività tra correnti e non correnti; Classificazione delle attività e delle passività sulla base della loro liquidità (tipico delle Società ad intermediazione mobiliare e delle banche). Siccome lo IAS 1 stabilisce che, in linea di massima, la classificazione da utilizzare è quella basata sul ciclo operativo, mentre quella in base alla liquidità è da utilizzarsi solo quando fornisca informazioni più rilevanti e significative, e visto che le attività analizzate nel presente lavoro sono a carattere perlopiù industriale, si è deciso di analizzare esclusivamente la rappresentazione secondo il ciclo operativo. Sono considerate correnti quelle attività che: Siano possedute per la vendita e il consumo che si suppone vengano realizzate nel normale svolgimento del ciclo operativo71; Siano possedute principalmente per essere negoziate; Si suppone debbano essere realizzate entro dodici mesi dalla data del bilancio; Siano sotto forma di denaro o di altro mezzo equivalente non vincolante per quanto riguarda il loro utilizzo72. 70 Fonte IAS 1: Presentazione del bilancio; Framework per la preparazione e la presentazione del bilancio 71 Definizione di ciclo operativo IAS 1: “Il tempo intercorrente tra l’acquisizione dei materiali che entrano nel processo produttivo e la loro realizzazione in denaro o in altro strumento prontamente convertibile in denaro 29 Tutto ciò che non rientra nelle precedenti categorie di attività non è considerato attività corrente. Per quanto riguarda le voci rappresentate nel passivo, la suddivisione è sostanzialmente la stessa e riguarda ciò che viene considerato corrente e ciò che non viene considerato tale. Come si evince dall’analisi di ciò che rientra tra le attività correnti, si può notare che le attività rappresentate sotto forma di denaro sono ivi ricomprese nello schema di Stato patrimoniale73. Anche i principi utilizzati per la redazione del bilancio differiscono parzialmente da quelli previsti dal Codice civile italiano. In particolare nella redazione di un bilancio IAS/IFRS è necessario considerare: Le assunzioni di bilancio74: Competenza economica: gli effetti delle transazioni e degli altri eventi sono rilevati al momento della loro manifestazione economica (accrual basis); Continuità aziendale: il bilancio deve essere redatto nella prospettiva della continuazione dell’attività (going concern). Le caratteristiche qualitative del bilancio: Comprensibilità: vi deve poter essere immediata comprensione delle informazioni contenute nel bilancio da parte di lettori robusti in senso economico; Significatività: un evento viene considerato significativo qualora rilevante; Attendibilità: un’informazione è attendibile se è priva di errori o distorsioni rilevanti e se gli utilizzatori possono fare affidamento su essa; Comparabilità: essa fa riferimento alla necessità per gli utilizzatori di comparare i bilanci di una stessa impresa nel corso del tempo e di 72 Fonte IAS 1: Presentazione del bilancio Lo schema di Stato patrimoniale IAS richiede che vi sia una rappresentazione dal contenuto minimo, al quale possono essere fatte integrazioni ove ritenuto necessario ai fini di una migliore rappresentazione per il lettore del bilancio. Al punto i del contenuto minimo è prevista la rappresentazione delle “Disponibilità liquide e mezzi equivalenti” 74 Fonte IAS 1: Presentazione del bilancio; Framework per la preparazione e la presentazione del bilancio 73 30 imprese tra loro differenti al fine di valutare le situazioni patrimoniali, finanziarie e le risultanze economiche degli esercizi. I criteri base di valutazione ovvero del fair value, cioè il corrispettivo al quale una attività può essere scambiata o una passività estinta tra parti consapevoli ed indipendenti (esso equivale quindi al valore di mercato)75. Viene mantenuto il criterio del costo privilegiato da principi italiani solo come alternativa all’utilizzo del fair value per la valutazione di talune poste di bilancio (es. immobilizzazioni materiali76) o la valutazione esclusiva di altre poste di bilancio (es. rimanenze di magazzino77). Figura 1.3 - Differenze tra il bilancio secondo il Codice civile e il bilancio secondo gli IAS/IFRS Codice civile IAS/IFRS Utilizzatore principale del bilancio Creditore Investitore Nozione di reddito/patrimonio Reddito prodotto Patrimonio effettivo Reddito potenziale Patrimonio potenziale Postulato prevalente Prudenza Competenza Criterio base di valutazione Costo Fair value Documenti che compongono il bilancio (obbligatori) Stato patrimoniale Conto economico Nota integrativa Stato patrimoniale Conto economico Prospetto delle variazioni del PN Rendiconto finanziario Note al bilancio Fonte: P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 I principi contabili internazionali di rifermento per l’iscrizione delle disponibilità liquide all’interno del bilancio redatto secondo gli IAS/IFRS sono differenti: IAS 32 (Strumenti finanziari: esposizione in bilancio); IAS 39 (Strumenti finanziari: rilevazione e valutazione); IFRS 7 (Strumenti finanziari: informazioni integrative); IAS 7 (Cash flow). 75 Fonte IAS 39: Strumenti finanziari: rilevazione e valutazione Fonte IAS 16: Immobili, impianti e macchinari 77 Fonte IAS 2: Rimanenze 76 31 Lo strumento finanziario in generale è qualsiasi contratto che dà origine a un’attività finanziaria per un soggetto e a una passività finanziaria o a uno strumento rappresentativo di capitale per un altro soggetto78 79. Nella definizione di strumento finanziario non rientrano soltanto le disponibilità liquide, ma anche i crediti, i debiti, i titoli di debito e di capitale, i derivati, ecc. . In particolare però per attività finanziaria, si intende qualsiasi attività che sia disponibilità liquide80. Anche nella definizione di passività finanziaria si richiama il concetto di passività quale obbligazione contrattuale a consegnare disponibilità liquide a un’altra entità81 82. Le disponibilità sono costituite dalla cassa e dai crediti bancari a vista. Per cassa si intende il denaro in moneta nazionale ed in valuta straniera detenuto dall’impresa83. I valori bollati, che in Italia sono generalmente accomunati alla cassa, non rientrano nel concetto di cassa secondo i principi internazionali perchè non sono convertibili in denaro contante, ma costituiscono il pagamento anticipato di un servizio che sarà ottenuto in futuro (i valori bollati che costituiscono oggetto dell’attività commerciale sono considerati rimanenze valutate al costo84). Le disponibilità liquide sono definite come investimenti a breve termine molto liquidi, facilmente convertibili in ammontari noti di denaro e soggetti ad un rischio insignificante di cambiamenti di valore. Deve inoltre essere presentata una riconciliazione del saldo riportato sullo Stato patrimoniale con l’equivalente presentato nel rendiconto finanziario. La classificazione come disponibilità di un investimento a breve dipende non solo dalla rispondenza alla definizione, ma anche dal fine per il quale è detenuto l’investimento. Per essere classificati come parte delle disponibilità, gli investimenti a breve termine devono essere acquistati e venduti, generalmente, nell’ambito dell’attività di gestione 78 Uno strumento rappresentativo di capitale è qualsiasi contratto che rappresenti una quota ideale di partecipazione residua nell’attività dell’entità dopo aver estinto tutte le sue passività (IAS 32) 79 Fonte IAS 32: Strumenti finanziari: esposizione in bilancio 80 Punto a. paragrafo 11 IAS 32, definizione di attività finanziaria 81 Punto a. paragrafo 11 IAS 32, definizione di passività finanziaria 82 La definizione specifica di attività finanziaria e di passività finanziaria indicata dallo IAS 32 non viene riportata in quanto non significativa ai fini dell’analisi 83 PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010 84 Fonte IAS 2: Rimanenze 32 della tesoreria, piuttosto che come parte dell’attività operativa, di investimento o di finanziamento. Le disponibilità possono essere classificate, ai fini della valutazione, come crediti e prestiti, attività detenute fino a scadenza o come investimenti disponibili per la vendita. Questa classificazione degli investimenti a breve non impedisce comunque di esporli nello Stato patrimoniale come parte delle disponibilità. La caratteristica a breve termine delle disponibilità è generalmente individuata con una scadenza non superiore ai tre mesi dall’acquisto. La classificazione di un investimento come disponibilità non è limitata agli investimenti presso istituzioni finanziarie, come le banche o il tesoro dello stato. Gli strumenti di debito emessi da un’impresa possono essere classificati tra le disponibilità se soddisfano la definizione di disponibilità. Anche le azioni privilegiate redimibili potrebbero essere classificate come disponibilità. Un’impresa può classificare tra le disponibilità anche gli scoperti bancari a vista se il management li utilizza come parte della strategia di tesoreria piuttosto che come parte della strategia di finanziamento. Questi ultimi scoperti sono classificati nello Stato patrimoniale come passività sulle quali maturano interessi invece che come disponibilità. La cassa viene rilevata quando è ricevuta e le disponibilità quando viene effettuato l’investimento o il deposito. Anche se generalmente la rilevazione non dà problemi, si deve prestare attenzione ad alcune particolarità. Per esempio laddove vi siano restrizioni particolari (ad esempio per via di leggi in diversi Paesi) deve esserne fornita adeguata informativa. I titoli non possono essere classificati come disponibilità se ci sono preoccupazioni che l’emittente possa non rimborsare il titolo alla scadenza. Essi dovrebbero invece essere classificati come investimenti detenuti fino alla scadenza o disponibili per la vendita. Le disponibilità devono essere rilevate inizialmente per l’ammontare di denaro ricevuto in contanti o depositato in un conto corrente dell’impresa. Le altre disponibilità devono essere inizialmente rilevate al costo. Il costo equivale al fair value del corrispettivo pagato per acquistare le disponibilità. Gli scoperti bancari classificati tra le disponibilità devono essere rilevati inizialmente per l’ammontare di capitale da rimborsare al finanziatore. 33 Gli ammontari in valuta straniera devono essere convertiti nella moneta di conto al tasso di cambio del momento dell’incasso. Le disponibilità depositate presso un’altra entità dovrebbero riflettere i flussi di cassa che ci si attende di ricevere da tale entità. Il saldo dovrebbe cessare di soddisfare la definizione di disponibilità se sorgono serie preoccupazioni sul merito di credito dell’altra entità. Il saldo dovrebbe essere riclassificato come disponibile per la vendita e svalutato al valore attuale dei futuri flussi di cassa attesi. La rappresentazione nel bilancio prevede che le disponibilità devono essere presentate in una linea separata dello Stato patrimoniale e nelle Note devono essere fornite le seguenti informazioni: descrizione dei saldi inclusi tra le disponibilità; spiegazione della classificazione degli investimenti a breve suddivisi tra disponibilità e altri investimenti; riconciliazione tra le disponibilità incluse nel rendiconto finanziario e l’ammontare esposto nello Stato patrimoniale; termini e condizioni delle disponibilità, come per esempio i tassi d’interesse e la scadenza media; restrizioni sull’uso del denaro e delle disponibilità all’estero85. Quando un’attività o una passività finanziaria è contabilizzata per la prima volta, deve essere valutata al fair value più i costi di transazione che sono direttamente attribuibili all’acquisto dell’attività o all’emissione della passività. La valutazione successiva degli strumenti finanziari in sede di redazione del bilancio dipende dalla categoria nella quale l’impresa ha classificato lo strumento finanziario86. Sono previste quattro categorie di classificazione87: attività e passività finanziarie al fair value rilevato in conto economico (Fair value through profit and loss – FVTPL); investimenti detenuti fino alla scadenza (Held to maturity – HtM); 85 PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 87 Fonte IAS 39: Strumenti finanziari: rilevazione e valutazione 86 34 finanziamenti e crediti (Loans and receivables); attività finanziarie disponibili per la vendita (Available for sale – AfS). Figura 1.4 - La valutazione degli strumenti finanziari88 Categoria Criterio di valutazione Fair value Incrementi/decrementi di fair value inseriti in conto economico Costo ammortizzato Impairment test FVTPL HtM Loans and receivables Costo ammortizzato Impairment test AfS Fair value Incrementi/decrementi di valore inseriti in una riserva di patrimonio netto Impairment test Costo ammortizzato Passività finanziarie non incluse tra i FVTPL Fonte: P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 I principi contabili italiani non contengono regole minuziose come quelle contenute nello IAS 32 e nello IAS 39. Infatti essi considerano facenti parte della categoria solo i depositi bancari e postali, gli assegni, il denaro e i valori in cassa, ma non i titoli scadenti entro tre mesi89. L’OIC 14 considera tra le disponibilità liquide i depositi vincolati classificabili tra le attività correnti, cioè scadenti entro l’esercizio successivo. I depositi vincolati con scadenza oltre l’esercizio successivo devono essere classificati invece tra le immobilizzazioni finanziarie. 1.4. Le rimanenze di magazzino: il principio nazionale OIC 13 ed il principio contabile internazionale IAS 2 Sempre importante per i lettori di bilancio risulta conoscere la capacità della società di far ruotare le merci detenute nel proprio magazzino. La valutazione corretta o sbagliata dello stesso può inficiare il giudizio dei lettori, orientandolo verso resoconti completamente errati (si pensi al caso di un’azienda di petrolio che valuta le proprie rimanenze al costo delle prime giacenze: si noterà subito che il magazzino risulta fortemente svalutato rispetto al reale valore di mercato). 88 89 In questa sede non si ritiene necessario ai fini dell’analisi approfondire ulteriormente tali concetti Fonte OIC 14: Disponibilità liquide 35 Quest’area risulta molto rischiosa per differenti motivi, ad esempio la possibilità di perdere o non conteggiare il materiale presente presso i magazzini di proprietà, o di contarne in eccesso con successiva rappresentazione in bilancio di un magazzino gonfiato di materiale non presente nella realtà, ecc. . 1.4.1. Il principio nazionale OIC 13 L’area inerente le rimanenze di magazzino è rappresentata in bilancio90 all’interno dell’attivo, ed in particolare viene rappresentata nel seguente modo: C) Attivo circolante I – Rimanenze: 1) Materie prime, sussidiarie e di consumo 2) Prodotti in corso di lavorazione e semilavorati 3) Lavori in corso su ordinazione 4) Prodotti finiti e merci 5) Acconti La normativa contabile riferita a tali voci si scinde in diversi principi: in particolare la voce inerente le commesse C) I – 3) è normata da uno specifico principio differente da quello riguardante le rimanenze di merci, materie e prodotti finiti (si tratta nello specifico del principio contabile nazionale OIC 23: Lavori in corso su ordinazione). Tale differenziazione occorre anche nei principi internazionali IAS/IFRS (principio di riferimento IAS 11: Lavori su ordinazione). L’esposizione nel Conto economico prevede che il valore delle rimanenze venga ricompreso nel valore della produzione, per quanto riguarda le variazioni delle rimanenze di prodotti in corso di lavorazione, semilavorati e finiti (voce A) 5)), e venga ricompreso tra i costi della produzione per quanto riguarda le variazioni di materie prime, sussidiarie e di consumo e delle merci (voce B) 11))91. Per tale voce è importante considerare l’iscrizione dei soli costi del materiale di proprietà dell’impresa92, seppur in viaggio verso l’azienda stessa. 90 Art. 2424 Codice civile Art. 2425 Codice civile 92 Più precisamente va considerato il passaggio del rischio in capo all’acquirente, che generalmente avviene con il passaggio di proprietà. Per determinare tale momento sono importanti gli incoterms, che definiscono il momento di passaggio della proprietà con tutti i rischi e benefici annessi 91 36 Per permettere una corretta rilevazione delle quantità fisiche, è necessario effettuare una conta fisica almeno una volta l’anno alla data di riferimento del bilancio di quanto presente nei magazzini di proprietà, e dotarsi dei un sistema affidabile di scritture contabili di magazzino93. La valutazione delle rimanenze presenti in magazzino avviene secondo le seguenti regole94: Le rimanenze sono iscritte al costo di acquisto o di produzione ovvero al valore di realizzazione desumibile dall’andamento del mercato, se minore; tale minor valore non può essere mantenuto nei successivi bilanci se ne sono venuti meno i motivi. I costi di distribuzione non possono essere computati nel costo di produzione95; Il costo dei beni fungibili può essere calcolato alternativamente con il metodo: Media ponderata; LIFO (last in first out; ultimo entrato primo uscito); FIFO (first in first out; primo entrato primo uscito). Le configurazioni di costo possibili sono: Costo di acquisto, per cui si intende il prezzo effettivo di acquisto più gli oneri accessori; Costo di fabbricazione, per cui si intende il costo di acquisto definito nel punto precedente più le spese industriali di produzione e trasformazione. In caso di minor valore corrente, rispetto al costo d'acquisto o di produzione, occorre svalutare il magazzino; tale minor valore non può essere mantenuto nei successivi bilanci se ne sono venuti meno i motivi. Inoltre il principio prevede che i criteri di valutazione si applicano a ciascuna delle voci di magazzino indipendentemente dalla loro dislocazione fisica. La valutazione del magazzino al minore tra costo e mercato deve avvenire utilizzando sempre gli stessi metodi, cioè con uniformità di criterio. Nei casi eccezionali in cui si 93 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il bilancio d’esercizio 2010. Principi, struttura e valutazioni, Euroconference editore, Verona, settembre 2009 94 Art. 2426 Codice civile paragrafi 9 e 10 95 La valutazione delle rimanenze di magazzino al prezzo di vendita non è considerato corretto in quanto anticipa utili non realizzati. Essa è pertanto in contrasto con i postulati del Bilancio d’esercizio 37 cambia il metodo di applicazione del principio, ad esempio passando a valutare le rimanenze dal metodo di costo LIFO a FIFO, si deve determinare l’effetto del cambiamento. La rettifica che si origina, qualora risulti significativa, deve essere appropriatamente contabilizzata ed evidenziata in bilancio insieme al fatto del cambiamento96. L’applicazione retrospettiva comporta quindi la necessità di determinare l’effetto cumulativo derivante dal cambiamento di principio all’inizio dell’esercizio. Tale effetto deve essere iscritto come provento o onere nell’area straordinaria. Esempio 1.1 - Passaggio da LIFO a FIFO Rimanenze iniziali Rimanenze finali Differenza Valutazione a LIFO 1600 2000 400 Valutazione a FIFO 2200 2800 600 Differenza da valutazioni 600 800 200 La differenza tra la valutazione a LIFO e quella con il FIFO deve essere rilevata come rettifica dei saldi d’apertura e costituisce l’effetto cumulativo di inizio esercizio. Tale effetto deve essere iscritto nell’area straordinaria come provento, con la seguente scrittura contabile: Variazione rimanenze a Proventi straordinari a Variazione rimanenze 600 A fine esercizio: Rimanenze Fonte: elaborazione propria 2800 97 Per lo svolgimento dell'inventario fisico risulta necessario considerare alcuni accorgimenti procedurali che ne permettono l'effettuazione. Essi si possono riassumere nei seguenti98: tenere nei limiti del possibile la produzione ferma; assegnare personale competente; predisporre un programma d'inventario fisico ben dettagliato da spiegare agli addetti; 96 Fonte OIC 29: Cambiamenti di principi contabili, cambiamenti di stime contabili, correzione di errori, eventi e operazioni straordinari, fatti intervenuti dopo la data di chiusura dell’esercizio 97 Per semplicità di rappresentazione, non si tiene conto dell’effetto delle imposte differite 98 Fonte OIC 13: Le rimanenze di magazzino 38 effettuare le conte con adeguata documentazione; ad esempio con schede conta prenumerate il cui utilizzo sia ben controllato; analizzare gli scostamenti di entità rilevante tra quantità fisiche e quantità per rilevazioni permanenti; introdurre tutti quegli accorgimenti necessari per separare i periodi contabili, ossia rendere operanti quelle procedure necessarie per assicurare che le operazioni di ricevimento e di spedizione avvenute nei periodi precedente e successivo alla data dell'inventario fisico (ed alla chiusura dell'esercizio se l'inventario fisico verrà effettuato a data diversa) siano state propriamente contabilizzate. Talvolta le società procedono ad effettuare un inventario fisico a rotazione (o su base ciclica), per ulteriormente cautelarsi da errori eventuali di conta del magazzino o perché le dimensioni, la pluralità di magazzini ed i flussi in entrata e in uscita di merci sono così grandi da richiedere una procedura di conta aggiuntiva. Alcuni accorgimenti procedurali da tener presente da parte delle imprese che, mantenendo rilevazioni molto accurate di magazzino e disponendo di un sistema di controllo interno ben strutturato e documentato, effettuano un inventario fisico a rotazione, sono i seguenti: predisporre un programma di conta ben dettagliato, tenendo conto nel predisporre tale programma, della velocità di rotazione delle giacenze, del valore dei vari tipi di materiali, merci ecc. in modo tale da assicurare la conta delle giacenze di maggior valore ad una data non lontana da quella di bilancio; assegnare personale competente; documentare le conte e le eventuali riconciliazioni (stati di concordanza) che possono rendersi necessarie tra quantità fisiche e quantità per rilevazioni permanenti se queste ultime non sono aggiornate all'ultimo movimento; rettificare le quantità indicate nelle rilevazioni permanenti in base alle risultanze della conta. Se tali scostamenti sono significativi, individuare e modificare le cause degli scostamenti. Il verificarsi di scostamenti rilevanti è sintomatico di procedure di controllo interno non efficienti e pongono l'impresa di fronte alla necessità di procedere all'inventario fisico alla chiusura dell'esercizio. 39 1.4.2. I principi contabili internazionali applicati alle rimanenze di magazzino: lo IAS 2 La classificazione all’interno dello schema di Stato patrimoniale del bilancio redatto secondo i principi contabili IAS/IFRS, prevede all’interno del suo contenuto minimo la voce “g. Rimanenze”, che comprende l’iscrizione di beni posseduti per la vendita nel normale svolgimento dell’attività, per essere impiegate nei processi produttivi per la vendita e sotto forma di materiali o forniture di beni da impiegarsi nel processo di produzione o nella prestazione di servizi99. La classificazione di tale voce è ricompresa tra le attività correnti100. Nella valorizzazione del costo di iscrizione delle rimanenze si deve tenere conto di alcuni costi e di alcuni aspetti particolari che sono trattati in modo specifico da altri principi contabili. E’ il caso di: oneri finanziari (trattati dallo IAS 23); contributi pubblici (trattati dallo IAS 20); accantonamenti per costi prevedibili (trattati dallo IAS 37). Nell’ambito di applicazione dei principi contabili internazionali per l’area delle rimanenze, lo IAS 2 non si applica a: attività biologiche connesse all’attività agricola (si applica lo IAS 41, Agricoltura); strumenti finanziari (si applica lo IAS 39). Inoltre lo IAS 2 non si applica alla valutazione delle rimanenze presso: produttori di prodotti agricoli e forestali; intermediari (broker) e commercianti all’ingrosso (trader)101. Le rimanenze sono beni posseduti per la vendita nel normale svolgimento dell’attività, impiegati nei processi produttivi per la vendita o sotto forma di materiali o forniture di beni da impiegarsi nel processo di produzione o nella prestazione di servizi102. Le rimanenze comprendono: 99 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 100 Si veda per la spiegazione della classificazione all’interno del bilancio redatto secondo i principi contabili IAS/IFRS il sottoparagrafo 1.3.2. I principi contabili internazionali: gli IAS/IFRS 101 PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010 102 Definizione IAS 2: Rimanenze 40 merci acquistate e possedute per una successiva rivendita, senza o con limitati costi di trasformazione (ad esempio merce acquistata da un dettagliante e posseduta per la rivendita); gli approvvigionamenti: materie prime e materie sussidiarie; altre materie, quali per esempio i materiali di consumo, che non entrano direttamente nella composizione del prodotto fabbricato dall’impresa ma rappresentano materiali che vengono consumati e che pertanto entrano nel processo produttivo solo in via indiretta; terreni ed altri beni immobili posseduti per la rivendita; prodotti finiti o semilavorati realizzati dall’impresa103. Nel caso di prestatori di servizi le rimanenze includono i costi del servizio per i quali l’impresa non ha ancora contabilizzato il rispettivo ricavo. Un’impresa deve rilevare le rimanenze quando ha il controllo della rimanenza, si attende che la stessa generi benefici economici futuri e il costo delle rimanenze può essere misurato attendibilmente. Le imprese contabilizzano le rimanenze quando si attendono di ottenere benefici dal loro uso o dall’eventuale vendita a clienti104. La valutazione iniziale delle rimanenze è al costo; successivamente alla contabilizzazione iniziale l’impresa deve valutare le rimanenze al minore tra il costo e il valore netto di realizzo. Il costo delle rimanenze include il costo di tutti i materiali che entrano direttamente nella produzione e i costi di trasformazione di questi materiali in prodotti finiti105. I principi contabili internazionali consentono delle opzioni contabili in tema di valutazione delle rimanenze (FIFO e costo medio ponderato) e pertanto viene richiesto che la scelta tra le classificazioni o i criteri di rappresentazione sia basata su quella che 103 Tale categoria include anche i beni in viaggio PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010 105 Fonte IAS 2: Rimanenze 104 41 meglio possa rappresentare gli elementi che hanno determinato il risultato economico dell’impresa106. Il costo delle rimanenze di beni fungibili deve essere determinato adottando il metodo FIFO (first in first out) o il metodo del costo medio ponderato. Il costo delle rimanenze di beni non fungibili deve essere determinato adottando il metodo della specifica identificazione del costo. Un’impresa deve utilizzare il medesimo metodo per tutte quelle rimanenze che hanno natura e uso simile per l’impresa; per le rimanenze con natura e uso differente può essere giustificato l’utilizzo di metodi differenti. Tuttavia la semplice differenza dovuta alla collocazione geografica delle rimanenze non è sufficiente per giustificare l’adozione di metodi differenti. Qualsiasi metodo applicativo venga utilizzato da un’impresa, questa deve applicarlo in modo coerente e costante nel tempo. Gli IFRS non consentono l’utilizzo del metodo LIFO (last in first out) per la determinazione del costo delle rimanenze. La scelta di eliminare il metodo LIFO, rientra nell’obiettivo generale dello IASB di ridurre o eliminare le alternative contabili; le motivazioni addotte a supporto di tale decisione riguardano il fatto che il metodo LIFO, non fornisce una rappresentazione attendibile dei reali flussi delle giacenze ed il costo del venduto viene valutato sulla base di prezzi non attuali (ciò comporta un’assunzione poco realistica del flusso dei costi, come visto nel paragrafo 1.1. La situazione in Italia all’interno del presente capitolo alla Figura 1.1). L’obbligo di valutare le rimanenze al minore tra il costo e il valore netto di realizzo comporta la contabilizzazione delle perdite di valore quando queste si manifestano. L’indicazione della necessità di svalutare le rimanenze in quanto il loro costo non risulta più recuperabile può derivare dal declino dei prezzi di vendita o dall’aumento dei costi stimati di completamento o dai costi stimati per realizzare la vendita107. Il costo delle rimanenze può non essere recuperabile anche quando alcuni prodotti risultano, in tutto o in parte, danneggiati, od obsoleti o possono essere detenuti in quantità che non potranno essere vendute in un periodo ragionevole. 106 107 Framework per la preparazione e la presentazione del bilancio F. Dezzani, P. Biancone, D. Busso, IAS/IFRS, Wolters Kluver Italia, 2010 42 In tali circostanze le rimanenze devono essere svalutate al di sotto del costo fino al valore netto di realizzo. L’ammontare della svalutazione deve essere determinato sulla base di una valutazione eseguita bene per bene. Nel caso in cui invece la diminuzione del prezzo delle materie prime e dei materiali di consumo indichi che il costo dei prodotti finiti sarà superiore al valore di netto realizzo, le materie prime e i materiali di consumo devono essere svalutati fino al loro valore di netto realizzo, la miglior misura disponibile di tale valore è rappresentata dal costo di sostituzione108. Esempio 1.2 - Svalutazione di magazzino Costo Costo di sostituzione Prezzo di vendita del prodotto finito Costi di completamento 20 18 22 5 Il valore netto di realizzo è pari a euro 17 (euro 22 - euro 5, prezzo di vendita stimato meno i costi di completamento e di vendita). Il costo di sostituzione del prodotto in giacenza è pari a 18, conseguentemente deve essere effettuata una svalutazione di euro 2. Fonte: PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010 La principale differenza tra i principi contabili internazionali e quelli nazionali consiste nell’eliminazione della possibilità di utilizzare il criterio del LIFO per la valutazione delle rimanenze di magazzino per via degli effetti discorsivi precedentemente descritti. Il cambiamento di criterio utilizzato per la valutazione delle rimanenze obbligato per talune società dall’introduzione dell’obbligo di utilizzo degli IAS/IFRS deve essere trattato con la seguente scrittura (si riprenda l’esempio 1.1 all’interno del presente capitolo al precedente paragrafo per la visione dei dati)109. 108 PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010 Lo IAS 8: Principi contabili, cambiamenti nelle stime e errori prescrive che “un cambiamento di principio contabile deve essere applicato retroattivamente, a meno che l’ammontare delle eventuali rettifiche che si riferiscono a esercizi precedenti non sia determinabile con ragionevolezza. Qualsiasi rettifica che ne derivi deve essere rilevata come rettifica al saldo d’apertura degli utili portati a nuovo.” Inoltre l’informazione comparativa deve essere rettificata, a meno che ciò non sia possibile 109 43 Esempio 1.3 - Rilevazione in apertura del passaggio da criterio LIFO a FIFO La differenza tra la valutazione a LIFO e quella con il FIFO deve essere rilevata come rettifica dei saldi d’apertura, senza transitare da conto economico, ma con addebito alla posta di patrimonio netto “Utili perdite a nuovo” (Riserva). Conseguentemente gli utili e le perdite riportate a inizio esercizio si incrementeranno. La variazione tra il valore delle rimanenze alla data di apertura e chiusura di bilancio (pari a 600) sarà rilevata nel conto economico dell’anno precedente. Verranno alimentate quindi le seguenti scritture contabili: Variazione rimanenze a Riserve 600 Per visionare la scrittura di fine esercizio, si veda l’esempio 1.1 all’interno del presente capitolo al precedente paragrafo (la scrittura di chiusura è infatti la medesima) Fonte: elaborazione propria 110 La valutazione errata delle rimanenze di magazzino (ed in particolare la contropartita economica di variazione delle rimanenze rispetto al precedente esercizio) influenza l’EBIT111 e l’EBITDA112. L’EBIT coincide con il reddito operativo che viene calcolato sottraendo al fatturato i costi operativi esterni, il costo del lavoro, gli ammortamenti e le svalutazioni. L’EBIT rappresenta il principale indicatore della capacità dell’impresa di produrre reddito con la sua attività operativa, senza considerare i componenti di reddito di natura finanziaria, quelli straordinari e le imposte sul reddito. L’EBITDA coincide invece con il margine operativo lordo o MOL, che viene calcolato sottraendo al fatturato i costi operativi esterni ed il costo del lavoro, ma non gli ammortamenti e le svalutazioni. Il margine operativo lordo (MOL o EBITDA) consente di verificare se la società realizza un’eccedenza di risultati dalla sola gestione ordinaria, esclusi gli ammortamenti e le svalutazioni. L’EBITDA risulta quindi estraneo alle eventuali politiche di bilancio fatte su ammortamenti e svalutazioni e può essere calcolato anche come la somma tra il reddito operativo e gli ammortamenti e svalutazioni113. Per via delle informazioni delicate riferite a tale area ed alla difficoltà che talvolta vi può essere nella gestione, spesso le rimanenze di merci sono un’area rischiosa e bisogna porre delle corrette procedure di inventariazione delle giacenze e fare gli opportuni calcoli al fine di valutare scostamenti e porre in essere procedure che permettano una rilevazione precisa ed accurata nel calcolo di quanto presente in magazzino. 110 Per semplicità di rappresentazione, non si tiene conto dell’effetto delle imposte differite Earning before interest and taxes 112 Earning before interest, taxes, depreciation and amortization 113 G. Ferrero, F. Dezzani, P. Pisoni, L. Puddu, Analisi di bilancio e rendiconti finanziari, Giuffrè editore, Milano, 2006 111 44 2. I principi di revisione: il rischio del revisore nel giudizio di aree semplici ma critiche 2.1. Le società di revisione ed i principi di revisione I principi contabili elencati ed analizzati nel precedente capitolo sono strettamente collegati ad un’altra categoria di principi: quelli di revisione. Tali principi sono quelli a cui devono attenersi le società di revisione, in qualità di revisore indipendente terzo del bilancio delle società. Gli organi di controllo della società sono differenti a seconda che quest’ultima sia quotata o meno114, del tipo di società scelta dall’imprenditore (per esempio Snc, Spa, ecc.) e per via della grandezza della stessa (laddove i flussi informativi interni che costituiscono il bilancio sono maggiori, la società deve dotarsi di un sistema di controllo interno più articolato, in modo da prevenire eventuali errori). In generale gli organi di controllo previsti dalla legge sono: Il Collegio sindacale (previsto sia per le società quotate che non quotate dal Codice civile115); Società di revisione (obbligatorie solamente per le società quotate)116; Internal auditing (introdotto per individuare i rischi legati ai processi operativi e legato alle società quotate; si veda il capitolo 4 della presente trattazione per maggiori approfondimenti)117; Comitato per il controllo interno (adesione facoltativa per le società quotate)118; Organismo di vigilanza (adesione facoltativa e legato alle società quotate; esso può anche coincidere con l’Internal audit; si veda il capitolo 4 della presente trattazione per maggiori approfondimenti)119. 114 Per società quotata si intende un ente i cui titoli di capitale e di debito sono ammessi alla negoziazione presso una borsa valori (fonte sito internet www.consob.it, sito della Commissione Nazionale per le Società e la Borsa) 115 Art. 2435 bis Codice civile 116 Introdotte dal Decreto del Presidente della Repubblica n.136/1975, ormai abrogato e sostituito dal D.Lgs. 58/1998 117 Introdotte dal Decreto del Presidente della Repubblica n.136/1975, ormai abrogato e sostituito dal D.Lgs. 58/1998 118 Codice di autodisciplina in applicazione del D.Lgs. n. 24/2002 45 L’agire di questi organi di controllo interno è a loro volta monitorato da altri organismi nazionali quali: la Consob120, la Banca d’Italia, l’ISVAP121 ed il Covip122 123. Le società di revisione dei conti analizzano il bilancio delle aziende con l’obiettivo di garantire l’attendibilità delle informazioni in esso contenute affinchè risulti corretto e veritiero e che non infici in maniera significativa le decisioni degli stakeholder della società (si rimanda al capitolo 1 per le specifiche circa tale punto)124. Il soggetto incaricato del controllo contabile deve: Verificare con periodicità almeno trimestrale la regolare tenuta della contabilità sociale e la corretta rilevazione nelle scritture contabili dei fatti di gestione125; Verificare se il Bilancio d’esercizio e l’eventuale Bilancio consolidato corrispondano alle risultanze delle scritture contabili e degli accertamenti eseguiti e se sono conformi alle norme che li disciplinano. L’attività di controllo contabile si conclude con la redazione di una relazione in cui viene espresso un giudizio professionale sul Bilancio d’esercizio e, eventualmente, sul Bilancio consolidato126. Il giudizio può essere: Senza rilievi (conformità alle norme che disciplinano la redazione dei bilanci); Con rilievi (mancanza di conformità alle norme per via di disaccordo su criteri adottati, errori, inadeguatezza informativa e limitazioni al processo di revisione per impedimenti e limitazioni nell’acquisizione di elementi probativi) Negativo (applicazione non corretta dei criteri contabili o inadeguata informazione tali da rendere inattendibile il bilancio); Impossibilità di esprimere un giudizio (limitazioni alle procedure di revisione tali da far mancare elementi indispensabili per un giudizio)127. 119 D.Lgs. 231/2001 Commissione Nazionale per le Società e la Borsa, la cui attività è rivolta alla tutela degli investitori, all’efficienza, alla trasparenza e allo sviluppo del mercato mobiliare italiano (fonte sito internet www.consob.it, sito della Commissione Nazionale per le Società e la Borsa) 121 Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo 122 Commissione di vigilanza sui fondi pensione 123 In tale sede non si ritiene necessario approfondire ulteriormente le peculiarità ed i compiti di tali organi 124 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il bilancio d’esercizio 2010. Principi, struttura e valutazioni, Euroconference editore, Verona, settembre 2009 125 In conformità a quanto previsto dal primo comma dagli articoli 2409-ter lettera a) del Codice Civile e seguenti 126 Comunicazione Consob n. DAC/99088450 del 1999 per le società quotate; D.Lgs. n. 32/2007 per le società non quotate 120 46 La società di revisione emette inoltre un giudizio di coerenza tra la relazione sulla gestione ed il bilancio128. La relazione finale della società di revisione riporta al secondo paragrafo il richiamo dei principi e criteri per la revisione contabile raccomandati dalla Consob, indicando che tali principi sono stati seguiti per condurre l’esame di bilancio. I principi di revisione sono nati verso la metà degli anni ’70, emanati dal Consiglio nazionale dei Dottori commercialisti e dal Consiglio nazionale dei Revisori contabili. Essi costituiscono un punto di rifermento vincolante per le società di revisione, anche per i lavori di revisione volontaria. In particolare i principi di revisione sono diversi ma hanno il comune obiettivo di definire gli standard in base ai quali deve essere commisurato il livello qualitativo della revisione e di statuire gli standard per limitare la discrezionalità del revisore. I principi generali della revisione contabile del bilancio sono indicati sui principi129 e sono: Indipendenza (formale e sostanziale); Integrità (onestà intellettuale); Obiettività (imparzialità); Competenza (da mantenere); Diligenza (propria); Riservatezza (salvo eccezioni); Professionalità; Rispetto dei principi tecnici. Tutte le società di revisione devono attenersi a tali principi e sono responsabili sotto il profilo civile per la mancata o erronea applicazione dei principi di revisione con conseguenze sulla correttezza del giudizio espresso e sotto il profilo penale per false relazioni o comunicazioni, ostacolo all’attività delle autorità pubbliche di vigilanza, rapporti patrimoniali illeciti con la società, compensi illegalmente percepiti ed uso e divulgazione di notizie riservate. 127 F. Bava, A. Devalle, Le relazioni al bilancio degli organi di controllo, Euroconference, Verona, 2009 Principio di revisione n. 001, 2009, adottato da Consob con delibera n. 16801, 2009 129 Doc. 200 – Obiettivi e principi contabili della revisione contabile del bilancio 128 47 Gli obiettivi della revisione contabile sono acquisire ogni elemento necessario per consentire al revisore di esprimere un giudizio se il bilancio è redatto, in tutti gli aspetti significativi, in conformità al quadro normativo di riferimento130. I principi di revisione vengono costantemente rinnovati al fine di allinearsi a quanto previsto dai principi di revisione internazionali di revisione, gli ISA131. 2.2. Un caso particolare di analisi: la società di revisione PricewaterhouseCoopers Spa In Italia e nel mondo sono presenti diverse società di revisione (a livello nazionale sono 22132), anche se generalmente per gli operatori del settore le principali sono quattro e sono definite spesso le Big four. In particolare: PricewaterhouseCoopers (dipendenti nel mondo 163 mila, ricavi annui 2009 26,2 mld dollari USD)133; Deloitte & Touche (dipendenti nel mondo 168 mila, ricavi annui 2009 26,1 mld dollari USD)134; Ernst & Young (dipendenti nel mondo 144 mila, ricavi annui 2009 21,4 mld dollari USD)135; KPMG (dipendenti nel mondo 135 mila, ricavi annui 2009 20,1 mld dollari USD)136. Tra le quattro leader del mercato, si è scelto di analizzare la metodologia utilizzata dalla più grande in termini di fatturato: la PricewaterhouseCoopers Spa. Va comunque sottolineato che la differenza di approccio tra le diverse Società di revisione iscritte all’Albo speciale tenuto dalla Consob non è molta: infatti nello stabilire la propria metodologia di lavoro tutte devono attenersi, come precedentemente anticipato, ai principi di revisione. 130 Doc. 200 – Obiettivi e principi contabili della revisione contabile del bilancio International standards on auditing 132 Fonte sito internet www.consob.it, sito della Commissione Nazionale per le Società e la Borsa 133 Fonte sito internet www.pwc.com, sito ufficiale della Società di revisione PricewaterhouseCoopers 134 Fonte sito internet www.deloitte.com, sito ufficiale della Società di revisione Deloitte & Touche 135 Fonte sito internet www.ey.com, sito ufficiale della Società di revisione Ernst & Young 136 Fonte sito internet www.kpmg.com, sito ufficiale della Società di revisione KPMG 131 48 2.2.1. La PwC Audit Guide La metodologia di revisione PricewaterhouseCoopers è chiamata PwC audit. Questa metodologia è basata sulle norme di revisione internazionali (ISA), sui principi di revisione italiani e su “best practise” maturate operando da anni nel settore. La Guida di revisione PwC spiega la metodologia PwC e fornisce un approccio comune in materia di revisione per le società facenti parte del network. La Guida espone in maniera dettagliata gli strumenti ed i test da applicare sul bilancio nel corso dell’attività di audit e, oltre ai criteri di controllo, questa Guida analizza anche la gestione dei rischi e l’indipendenza del revisore (richiamata nel paragrafo 2.1. del presente capitolo). In particolare, il rischio che il revisore deve fronteggiare nel corso del proprio lavoro è quello che l’informativa finale non sia corretta ed il lettore del bilancio possa essere sostanzialmente inficiato nelle proprie decisioni di investimento. La gestione dei rischi prevista nella PwC audit guide prevede quindi che, sulla base del bilancio da analizzare137, vada analizzato il rischio che il revisore corre nell’emettere un giudizio non corretto, e questa operazione deve essere fatta preliminarmente rispetto all’inizio dell’attività di audit (intesa come raccolta della documentazione probatoria e dei test di dettaglio svolti sulle varie aree di bilancio per comprendere se la loro iscrizione è corretta). L’approccio descritto nello specifico utilizzato dalla PricewaterhouseCoopers verrà analizzato in maniera più completa nel capitolo successivo. I rischi di revisione sono comunque strettamente correlati a quelli che sono gli obiettivi finali del revisore. Genericamente essi sono già stati esposti all’interno del paragrafo 2.1. . In ogni caso, gli obiettivi del revisore sono anche riepilogati all’interno del format per l’emissione del giudizio finale sul bilancio (opinion). Infatti al punto 1 viene dichiarato che “la responsabilità della redazione del bilancio compete agli amministratori”. E’ comunque della società di revisione “la responsabilità del giudizio professionale espresso sul bilancio e basato sulla revisione contabile”. Al punto 2 della relazione del revisore viene esplicitato che l’esame è condotto “secondo i principi e criteri per la revisione contabile raccomandati dalla Consob” e che in conformità a tali principi e criteri, la revisione è “pianificata e svolta al fine di acquisire 137 Ad esempio una distinzione è tra un bilancio di una società industriale e quello di una banca 49 ogni elemento necessario per accertare se il bilancio non sia viziato da errori significativi e se risulti, nel suo complesso, attendibile”. Nel giudizio finale, viene anche esposto che le verifiche vengono comunque fatte a campione sulla base dei criteri previsti dai principi di revisione. 2.3. La PwC audit guide ed i test richiesti per la voce “Disponibilità liquide”138 L'obiettivo fondamentale delle analisi da effettuarsi sui saldi bancari consiste nel verificare che i dati di bilancio siano autentici, correttamente registrati e sommati. L'asserzione139 dell’autenticità è soddisfatta tramite le conferme dirette dalle banche e la conta delle giacenze di cassa detenute dalla società. L'asserzione della corretta registrazione e della correttezza della somma è soddisfatta invece tramite la verifica delle riconciliazioni bancarie, la richiesta di conferme dirette dalla banca circa quanto riportato in bilancio dalla società, la verifica della correttezza del cut-off finanziario e la verifica della conversione in euro dei saldi in valuta estera (per verificare la corretta applicazione del tasso di cambio). L’area delle banche è quella cui va posta maggiore attenzione in quanto presenta la maggiore componente di rischio, poiché in caso di anomalie o eccezioni, l’area banche è quasi sempre implicata. Preliminarmente, così come per tutte le aree e come vedremo nel seguente capitolo, andrà valutato il sistema di controllo interno posto in essere dalla società, il mapping dei conti utilizzati, i transitori, ecc. . 2.3.1. Le riconciliazioni bancarie La riconciliazione permette di ricostruire le cause delle differenze tra le risultanze contabili ed il saldo riportato nell'estratto conto inviato dalla banca. Vi sono due motivi che possono generare differenze: Registrazioni in contabilità che non sono ancora state effettuate dalla banca, tipicamente: assegni emessi e non ancora addebitati sul conto; 138 Fonte per l’intero paragrafo: PricewaterhouseCoopers, PwC audit guide, 2010 Le asserzioni di bilancio utilizzate nella procedura di audit per stabilire come testare un saldo vengono definite nel capitolo successivo 139 50 bonifici bancari non ancora addebitati sul conto; Registrazioni già effettuate dalla banca, ma non ancora effettuate in contabilità, tipicamente: interessi maturati; bonifici da clienti. Occorre comunque sottolineare che non tutti gli errori possono essere individuati tramite la verifica della corretta predisposizione delle riconciliazioni bancarie, in quanto possono esserci operazioni (erroneamente) non registrate né dalla società né dalla banca. Le riconciliazioni devono essere predisposte periodicamente (di solito trimestralmente o mensilmente a seconda della dimensione e complessità dell'azienda) per tutti i conti bancari: c/c, c/anticipi, conti in valuta estera, conti ri.ba.140. Tutte le riconciliazioni richiedono inoltre di essere controfirmate a dimostrazione che sono state vistate da un apposito responsabile (può essere il direttore finanziario ove presente od il responsabile amministrativo). La predisposizione periodica e tempestiva di questi prospetti di raccordo, nonché la pronta indagine e sistemazione delle voci individuate come errate, costituisce un elemento imprescindibile del sistema di controllo nell'area banche per qualunque società141. Operativamente la guida richiede che vengano effettuate diverse attività al fine di verificare le riconciliazioni bancarie. Tali operazioni sono: ottenere le riconciliazioni bancarie di tutti i conti; verificare la correttezza dei saldi (contabilità ed e/c) e le somme; testare a campione gli importi ritenuti significativi. Nell’ottenimento delle riconciliazioni di tutti i conti, bisogna assicurarsi che la società abbia predisposto i prospetti anche per i conti a saldo zero, perché, ai fini del controllo che viene effettuato, si avrà evidenza che anche quel conto è stato monitorato. Una volta ottenuto il prospetto di riconciliazione, la prima verifica che si deve effettuare è la spunta del saldo in contabilità (con la scheda contabile che deve quadrare con il 140 141 Conti in cui sono registrati gli anticipi per ricevute bancarie PricewaterhouseCoopers, Quick wins 2008, 2008 51 bilancio di verifica) e del saldo da e/c (che deve quadrare con l’e/c della banca). Inoltre va eseguita la somma degli importi in riconciliazione per verificare che sia stata correttamente predisposta. I documenti da verificare devono essere sempre quelli originali. Secondo i criteri di significatività142, bisogna infine selezionare gli importi in riconciliazione ed andare a testare, mediante presa visione di opportuna documentazione di supporto, la correttezza o meno dell’iscrizione dell’importo in riconciliazione. Va tenuto presente che: per i pagamenti la data di contabilizzazione è quella della disposizione ordinata dalla società, a prescindere dalla data di esecuzione da parte della banca (così come previsto dal principio contabile nazionale analizzato nel capitolo 1); per gli incassi fa fede la data di contabilizzazione da parte della banca sull’estratto conto. Non fa fede la data valuta, la data corretta è la data operazione. Unica eccezione a questo principio è rappresentata dalle operazioni con carte di credito, per le quali si considera l’incasso e il pagamento al momento della transazione. Pertanto, se su un prospetto di riconciliazione si trovano operazioni registrate dalla banca e non dalla società, si è probabilmente di fronte ad un errore. Nella selezione degli importi da esaminare non è sufficiente basarsi esclusivamente sull’importo e selezionare per le verifiche i più alti, ma anche su altre caratteristiche, quali anzianità della posta in riconciliazione. Nel caso di operazioni registrate dalla società e non dalla banca è necessario assicurarsi il recepimento della registrazione da parte della banca nell’estratto conto del mese successivo. Le competenze bancarie sono una delle poste che si trovano frequentemente nei prospetti di riconciliazione, in quanto le società devono contabilizzarli a fine periodo, ma non è detto che le banche li registrino sull’estratto conto del periodo. Se non vi sono disallineamenti tra il saldo riportato sull’estratto conto e la contabilità generale, ci 142 Tale concetto verrà meglio spiegato nel capitolo successivo 52 si deve accertare che la banca le abbia registrate nell’e/c, altrimenti si è di fronte ad un errore da parte della società. Figura 2.1 - Esempio di prospetto di riconciliazioni bancarie Importi in €/000 Verifiche: importi in valore assoluto > 50% importi in riconciliazione Il delta è dovuto a: a) b) c) d) Saldo coge al 31 dicembre 2010 Accrediti non registrati dalla società Accrediti non registrati dalla banca Addebiti non registrati dalla società Addebiti non registrati dalla banca 356 28 § Saldo c/c banca X al 31 dicembre 2010 384 TM: § Verificato l'importo più elevato presente in riconciliazione. Dettaglio importi in riconciliazione: Disposizione di pagamento verso fornitore A del 28 dicembre 2010 Disposizione di pagamento verso fornitore J del 30 dicembre 2010 16 ç 12 ç Verificata disposizione di pagamento alla banca X della società del 28 dicembre 2010 per materiale acquistato Verificata registrazione su e/c bancario avventa il giorno 3 gennaio 2011 Fonte: elaborazione propria su dati inventati Figura 2.2 - Prospetto di riepilogo per le riconciliazioni bancarie A Srl - Riconciliazioni bancarie al 31 dicembre 2010 Importi in €/000 Verificati importi in riconciliazione > 10 €/000 Banca Banca A Banca B Banca C Banca D Banca E Numero c/c Saldo Coge al 31 dicembre 2010 12 23 45 76 96 99 Banca E Totale Disp. Liquide Depos. Bancari e C/C T.M.: § # a § 364 908 333 276 43 68 1.992 E/C Banca al 31 dicembre 2010 § § § § § 53 Note # # # # # # -48 1 -3 -43 § 364 956 332 279 86 68 a 2.085 a (93) as BdV al 28 febbraio 2010 as E/c bancario al 28 febbraio 2010 footed PwC verificato PwC Fonte: elaborazione propria su dati inventati Delta - § § 2.3.2. Il cut-off delle banche L'obiettivo del cosiddetto “test di cut-off finanziario” è quello di verificare che i saldi bancari iscritti in bilancio tengano conto di tutti e soli i movimenti finanziari aventi competenza anteriore o corrispondente al giorno di chiusura dell'esercizio sociale. Come sopra sinteticamente espresso quindi, i saldi dei conti bancari devono tenere conto di tutti gli assegni emessi e dei bonifici disposti entro la data di chiusura dell'esercizio e degli incassi effettuati dalle banche od altre istituzioni creditizie ed accreditati nei conti prima della chiusura dell'esercizio, anche se le contabili bancarie sono pervenute nell'esercizio successivo. Al fine di verificare la presenza di errori di cut - off finanziario e la corretta applicazione della società del principio di competenza, si deve ottenere dalla società stessa copia degli estratti conto bancari / remote banking relativi al mese successivo a quello di chiusura. Da questi estratti conto vanno verificate le disposizioni di pagamento delle operazioni registrate durante i primi giorni del mese, di importo più elevato, ottenendo dalla Società la relativa documentazione di supporto (disposizioni di pagamento). A questo punto, per tutte le operazioni selezionate occorrerà verificare quando la società ha effettuato la registrazione e se è stato correttamente applicato il principio di competenza. Questa attività di controllo può essere svolta correttamente soltanto coordinandola con la verifica delle riconciliazioni (è con le riconciliazioni che si verifica il cut off relativo a operazioni registrate a cavallo d’esercizio da una delle due controparti e non dall’altra). 54 Figura 2.3 - Esempio di test di cut-off finanziario Test Cut Off finanziario Selezionati pagamenti > 10 €/000 (per i primi 15 giorni di gennaio 2010) Importi in €/000 Banca Importo Descrizione Data Data registrazione disposizione banca pagamento Data registrazione in Co.ge del Pagamento Competen za FY 2009 Competen za FY 2010 Banca A 33 Assegni circolari 4-gen-10 2-gen-10 gen-10 X Banca A 49 N. 3 disposizioni 4-gen-10 2-gen-10 gen-10 X Banca B 47 N. 2 effetti ritirati 4-gen-10 2-gen-10 gen-10 X Banca B 39 N. 1 bonifico 4-gen-10 2-gen-10 gen-10 X Banca C 77 Bonifico 11-gen-10 5-gen-10 gen-10 X Banca C 30 Girofondo 10-gen-10 5-gen-10 gen-10 X Banca C 75 Riba 2-gen-10 31-dic-09 gen-10 Banca C 60 Bonifico 9-gen-10 5-gen-10 gen-10 X Banca C 33 Riba 8-gen-10 2-gen-10 gen-10 X Banca C 54 Riba 4-gen-10 2-gen-10 gen-10 X Banca C 13 Riba 3-gen-10 2-gen-10 gen-10 X Banca C 38 Girofondo 3-gen-10 31-dic-09 dic-09 Fonte: elaborazione propria su dati inventati X Errore 75 X Totale 75 2.3.3. La circolarizzazione delle banche Tale procedura consiste nell'inviare a tutte le banche presso cui la società ha acceso dei conti bancari a fine periodo (e quelle estinte durante l’anno) una lettera standard al fine di ottenere informazioni, codificate già da tempo in un apposito modulo ABI. La risposta della banca deve essere analizzata ed indagata in ogni sua informazione e deve esserne verificata la corrispondenza in bilancio, sia per quanto indicato negli importi di conto corrente che per quanto riguarda eventuali fidi, garanzie, ecc. . Tutte queste informazioni vanno verificate con l’e/c della banca. Per i fidi occorre visionare anche le lettere della banca in cui si autorizza la concessione del fido. Per i conti chiusi nel corso dell'esercizio, occorre verificare il dato con la lettera di chiusura del conto inviata alla banca e con l’e/c di chiusura. Riguardo invece le garanzie prestate dalla banca per conto della società, le fideiussioni/lettere di patronage ecc. vanno verificate visionando la lettera originale della garanzia. Per gli effetti e documenti della società presso la banca per lo sconto, l'accredito s.b.f. o l'incasso (es. ri.ba.) la risposta banca (generalmente un saldo) va quadrata con le 55 distinte di presentazione, ovvero l’elenco degli effetti che la società ha presentato per l’incasso. L’elenco nominativo dei titoli e loro valore va quadrato con gli e/c che la banca invia alla società. Le altre informazioni presenti sul modulo della banca vanno verificate con l’opportuna documentazione a supporto. 2.3.4. La conta di cassa Si tratta di una procedura di revisione che consente di raggiungere un elevato livello di “audit satisfaction”, per quanto riguarda in particolare l'asserzione dell'esistenza143. Se svolta nel giorno di chiusura dell'esercizio, permette di ottenere un riscontro diretto del saldo di bilancio. Se invece effettuata ad una data successiva, occorrerà effettuare il cosiddetto "roll-back". In sostanza, bisogna ottenere la ricostruzione di tutti i movimenti verificatisi dalla chiusura dell'esercizio fino alla data della conta e verificare alcuni di essi con la relativa documentazione di supporto (es. ricevute di prelievo autorizzate, contabili per i reintegri, ecc.). Nel caso in cui in cassa vi siano delle giacenze in valuta, queste devono formare oggetto di conta separata e deve essere effettuato un adeguato follow-up della valorizzazione delle stesse nel bilancio in euro, convertendole al tasso di cambio di chiusura periodo, esattamente come per i saldi bancari. 143 Per un’analisi specifica sulle operazioni di bilancio si rimanda al capitolo seguente 56 Figura 2.4 - Esempio riepilogo conta cassa fatta nel giorno di chiusura A Spa Conta di cassa del 31 dicembre 2010 € Quantità 500 200 100 50 20 10 5 2 1 0,50 0,20 0,10 0,05 0,02 0,01 Assegni 3 4 65 2 4 3 67 54 24 54 32 12 365 Totale Valore A 300,00 200,00 1.300,00 20,00 20,00 3,00 33,50 10,80 2,40 2,70 0,64 0,12 365,00 2.258,16 A T.M. A As scheda contabile al 31 dicembre 2010 Personale PwC Personale della società Nome Cognome Nome Cognome Firma Firma Fonte: elaborazione propria su dati inventati Successivamente va visionato il libro cassa (un registro in cui sono annotati tutti i movimenti di cassa) o documenti sostitutivi (archivio delle ricevute). Bisogna quindi procedere a selezionare da questi registri le movimentazioni più significative dalla data di conta a quella di chiusura di bilancio. 57 Figura 2.5 - Esempio roll-back roll A Spa Conta di cassa del 31 gennaio 2010 € Quantità 500 200 100 50 20 10 5 2 1 0,50 0,20 0,10 0,05 0,02 0,01 Assegni 3 4 65 2 4 3 67 54 24 54 32 12 365 Totale Valore A 300,00 200,00 1.300,00 20,00 20,00 3,00 33,50 10,80 2,40 2,70 0,64 0,12 365,00 2.258,16 A T.M. A As scheda contabile al 31 gennaio 2010 Verifiche movimenti > 500 € Movimenti 31 dicembre 2009 - 31 gennaio 2010 Entrate gennaio 342,10 567,88 § Uscite gennaio § 982,01 111,76 909,98 1093,77 Totale B C 2.441,95 Ok con scheda contabile 31 dicembre 2009 (A-B+C) TM: § Verificati PwC 567,88 = reintegro del 12 gennaio 2010. Ok con e/c 2 gennaio ge 2010 982,01 = pagamento fattura del 13 gennaio 2010. Ok con fattura n. 2 verso fornitore X Fonte: elaborazione propria su dati inventati 2.4. La PwC audit guide: i test richiesti per le rimanenze di magazzino per ottenere conforto circa l’applicazione dei principi richiesti dalla legge144 Come visto all’interno del capitolo 1, per verificare le giacenze presenti nel magazzino sono previste procedure di inventariazione fisica del materiale145. 144 Fonte per l’intero paragrafo: PricewaterhouseCoopers, PwC audit guide,, 2010 58 La procedura dell’inventario fisico permette di verificare l’esistenza e la correttezza della quantità di merci/materie prime/prodotti ecc. presente nel magazzino contabile della società. Avendo per oggetto grandezze fisiche, il valore dei beni serve come base per la selezione, ma l’obiettivo che si pone il test è inerente solo alle quantità. Il prezzo, o più in generale il valore dei beni, viene testato con altre procedure, che verranno esposte successivamente. Lo svolgimento della procedura prevede alcune fasi quali: Revisione delle procedure dell’inventario del cliente; Programma di lavoro dell’inventario; Tracing dell’inventario; Cut off di magazzino. 2.4.1. Le procedure d’inventario del cliente La prima attività che vede coinvolto il revisore è quella della revisione delle procedure d’inventario fisico. Vi sono alcune cose da considerare per valutare l’accuratezza della procedura ad esempio: Che sia conosciuta dai partecipanti; Che preveda l’apposizione di cartellini o altri segni identificativi dei materiali nel magazzino; Che per tutti i prodotti che arrivano durante l’inventario sia previsto uno stock separato, magari con apposizione di cartellini indicanti di non inventariare; Che le istruzioni prevedano sempre una conta di verifica delle differenze riscontrate. La valutazione delle istruzioni permetterà di fare più o meno affidamento sul comportamento della società e di conseguenza di selezionare un campione da verificare più o meno ampio. 145 OIC 13: Le rimanenze di magazzino 59 La società può svolgere sia l’inventario in un unico periodo (per esempio a fine anno) oppure applicare una procedura di inventario ciclico, attraverso una conta a campione dei codici per assicurarsi della corretta giacenza a rotazione nel corso dell’esercizio. 2.4.2. Il programma dell’inventario Il personale della società di revisione, dopo aver ricevuto i tabulati di magazzino, selezionerà dei codici a campione da contare. L’inventario fisico può essere sostanzialmente di due tipi: Procedurale; A copertura. Nel primo tipo di inventario l’obiettivo è quello di capire, attraverso la verifica, se le procedure seguite dalla società sono corrette, avendo come evidenza un certo numero di prodotti contati. Questo tipo di inventario si effettua di solito presso clienti di grandi dimensioni. Nell’inventario a copertura invece l’obiettivo è quello di avere assicurazione che una percentuale significativa del valore di magazzino esista. In entrambi i casi, in genere, i codici selezionati dal tabulato146 avranno come base di selezione il loro valore totale a magazzino. Insieme al personale del magazzino il revisore verifica che fisicamente le risultanze dei tabulati corrispondano alla merce presente in magazzino. La conta viene effettuata dalla società, il revisore provvede solo a supervisionare e verificare la correttezza della quantità contate. Durante la fase di conta bisogna tener presente che il magazzino deve essere chiuso, cioè che non vi siano movimenti di carico e scarico di merce perché questo potrebbe pregiudicare la giacenza contata. Il revisore deve inoltre prestare attenzione ad identificare le caratteristiche “qualitative” della merce che viene contata (es. per notare se vi sono segni di particolare obsolescenza, merce danneggiata o altro). 146 Il tabulato di magazzino non è altro che un elenco dettagliato dei materiali presenti nel magazzino della società, con indicazione del codice, della descrizione del prodotto, della quantità giacente, dell’unità di misura e del valore 60 Va inoltre ottenuta documentazione di supporto relativamente ad eventuale merce in viaggio, merce in deposito e merce in conto vendita. Per merce in viaggio si intende la quantità di merce non ancora pervenuta presso la società ma di cui la società risulta già proprietaria (se il momento di passaggio di proprietà è la data di spedizione). Per merce in deposito si intendono invece i prodotti di terzi stoccati presso i magazzini della società (da non includere nella conta fisica) o prodotti della società immagazzinati presso magazzini esterni (da includere nella conta fisica e da verificare mediante procedura di circolarizzazione del depositario od eventualmente mediante inventario fisico presso quest'ultimo). Per merce in c/vendita si intendono infine le quantità fatturate ma non ancora spedite. Potrebbero costituire un errore di cut off. Tali prodotti devono essere tenuti ben separati dalla società. Analizzando la documentazione di supporto il revisore deve poter concludere sulla loro inclusione o meno nelle risultanze dell'inventario fisico a seconda che il trasferimento della proprietà si sia già verificato. 2.4.3. Il tracing Questo test si effettua in sede di final audit147 sul bilancio alla data di chiusura. Lo svolgimento è piuttosto semplice: esso richiede l’utilizzo del tabulato finale di magazzino della società in quadratura con il bilancio. Non appena ottenuto, il revisore deve verificare che le quantità contate in sede di inventario fisico siano state correttamente riportate dalla società. 2.4.3.1. Il bridging Nel caso in cui la data di inventario fisico non coincida con la data di chiusura del bilancio, sarà inoltre necessario, una volta effettuato il tracing, effettuare anche il bridging dell'inventario fisico; vale a dire, attraverso l'analisi documentale di ogni tipo di movimento (acquisti, vendite, carichi e scarichi a/da produzione, trasferimenti a/da depositi, ecc) intercorsi tra la data di inventario e la data di bilancio, essere in grado di concludere sulla correttezza della quantità alla data di bilancio. 147 Il final audit viene generalmente effettuato dopo un certo periodo dalla data di chiusura temporale della società, per permettere alla stessa di effettuare tutta la chiusura dei conti e preparare tutta la documentazione che sarà poi oggetto di analisi da parte del revisore esterno 61 Figura 2.6 - Esempio di bridging del magazzino A Spa Audit al 31.03.2010 Tracing di magazzino Valori in € Criterio di selezione verifiche: Delta valorizzato > 10 €/000 DATI INVENTARIO FISICO DI MAGAZZINO + + + + DATI BRIDGING ì è ò @ @ à @ Prodotto Prod finiti Prod finiti Prod finiti Q.TA' PREINVENT. Cod Descriz UM (a) 2 a M2 83 3 b KG 40 6 c KG 35 Q.TA soc A Post Q.TA invent PWC (b) (c) 85 85 40 40 31 31 Delta (ca) 2 (4) Delta (c-b ) - Quant al 31/3 ($) 85 40 33 Delta ($-&) 2 Prod finiti 4 d M2 56 49 49 (7) - 29 (20) Verifica PwC § Mat prima Mat prima Mat prima Mat prima 8 22 99 88 e r t o KG KG M2 KG 70 4 3 43 66 4 4 38 66 4 4 38 (4) 1 (5) - 66 3 4 38 (1) - ç - Delta valorizzato movimenti 25/03/2010 (giorno inventario fisico di magazzino) - 31/03/2010 TM: ç § + ì è ò @ à + @ Valore Unitario 791 1.652 2.040 Delta valorizz 4.081 1.085 (21.700) 800 11.475 11.128 1.203 (11.475) (29.094) Bolla n. 9 del 29.03 per 10 mq; bolla n.10 del 30.03 per 10 mq Verificato ordine di produzione controfirmato 31.03.2010 Ok con tabulati di magazzino Ok con tabulato pre inventariale (24 marzo 2010) Ok con tabulato post inventariale (25 marzo 2010) Ok con conta fisica PwC 25 marzo 2010 Footed PwC Ok con tabulato fine esercizio (31 marzo 2010) Fonte: elaborazione propria su dati inventati 2.4.4. Il cut off Per effettuare il test di cut off di magazzino il revisore deve richiedere alla società copia delle prime e delle ultime bolle di entrata e di uscita del materiale (il loro numero può variare in funzione della significatività, generalmente è 5, che vuole dire un ammontare totale di 20 bolle). Ottenute le bolle, il revisore provvede a verificare il rispetto del principio della competenza, verificando che i carichi e gli scarichi di magazzino corrispondano con le date in cui la merce è o meno di proprietà della società. 62 Figura 2.7 - Test di cut off di magazzino sulle vendite A Spa Test sul cut-off di magazzino USCITA MERCI BOLLA D'USCITA Numero Data Data reg. Cliente Incoterm148 Contab. generale Ultime di dicembre 99 31-dic-05 98 31-dic-05 97 31-dic-05 96 31-dic-05 95 31-dic-05 s Spa e Spa i Spa s Spa o Spa Franco destino149 Franco destino Franco fabbrica (EXW)150 Franco a bordo (FOB)151 Franco fabbrica (EXW) 31-dic-05 31-dic-05 31-dic-05 31-dic-05 1-gen-06 Prime di gennaio 1 1-gen-06 2 1-gen-06 3 1-gen-06 4 1-gen-06 5 2-gen-06 s Spa o Spa y Spa t Spa r Spa Franco a bordo (FOB) Franco a bordo (FOB) Franco destino Franco fabbrica (EXW) Franco a bordo (FOB) 1-gen-06 1-gen-06 2-gen-06 3-gen-06 3-gen-06 TM: § a b c a b c § Errore di cut off di magazzino Arrivo a destinazione: 31 dic 2005 --> ok, no errore di cut off Arrivo a destinazione: 2 gen 2006 --> errore di cut off Inizio trasporto: 31 dic 2005 --> ok, no errore di cut off Fonte: elaborazione propria su dati inventati 148 Con tale termine si indica il momento del passaggio della proprietà dei beni oggetto dello scambio, con il passaggio dei relativi rischi e benefici 149 Tale incoterm stabilisce che il passaggio della proprietà e dei connessi rischi e benefici avviene solamente quando la merce avrà raggiunto il luogo di destinazione, e cioè il magazzino del compratore 150 Tale incoterm stabilisce che il passaggio della proprietà e dei connessi rischi e benefici avviene immediatamente, all’atto di uscita dallo stabilimento del venditore (data di emissione della bolla) 151 Tale incoterm stabilisce che il passaggio della proprietà e dei connessi rischi e benefici avviene nel momento in cui viene murata la nave con la quale la merce viene trasportata e parte dal molo 63 3. Le misure per la riduzione del rischio: gli strumenti utilizzati dal revisore nell’analisi del cliente 3.1. L’approccio di audit utilizzato dalla società di revisione PricewaterhouseCoopers L’attività di auditing consiste nello svolgimento di una complessa procedura di analisi in classi di transazioni che ha per scopo la riduzione ad una soglia ragionevolmente accettabile del rischio che i documenti finanziari possano presentare dei dati non corretti (a seguito di errori materiali e/o frodi) i quali potrebbero fuorviare il giudizio di tutti quegli stakeholder aziendali che fanno affidamento su di essi per compiere delle scelte in campo economico e finanziario. La diffusione del modello di corporate governance152 fondato sulla separazione tra la proprietà e la gestione dell’impresa ha richiesto nel corso degli ultimi decenni una crescita imponente dell’attenzione rivolta dal mercato e dagli organi di vigilanza alle problematiche concernenti la trasparenza, l’affidabilità e la chiarezza dei prospetti e dei dati finanziari presentati dalle aziende (soprattutto da quelle quotate). Gli scandali finanziari che si sono susseguiti negli ultimi anni hanno comportato l’emanazione di regolamenti in ambito internazionale volti a promuovere una maggiore etica nel mondo degli affari ed un rispetto più ampio per gli investitori (come visto nel capitolo introduttivo della presente analisi). Questi scandali sono costati agli investitori diversi miliardi di dollari153, perché hanno generato il crollo dei titoli azionari delle società interessate senza che il risparmiatore fosse stato adeguatamente informato dalle società di rating, dagli organi di vigilanza e dalle società di revisione (spesso colluse). I provvedimenti legislativi voluti da diversi Paesi, quali tra i primi gli USA, mirano ad intervenire, come visto nel primo capitolo, a chiudere alcuni “buchi” nell’attività di controllo, al fine di migliorare la corporate governance e garantire la trasparenza delle scritture contabili e dei prospetti finanziari, agendo tuttavia anche dal lato penale, con l’incremento della pena nei casi di falso in bilancio e simili (in Italia in 152 Per approfondire tali concetti, si veda il capitolo successivo Si riporta tale valuta e non quella corrente del nostro Paese (Euro) in quanto i primi ed i principali scandali a livello finanziario sono avvenuti in USA 153 64 quegli anni il falso in bilancio veniva di fatto depenalizzato154). Viene inoltre aumentata la responsabilità degli auditor all’atto della revisione contabile. La maggiore attenzione rivolta alla trasparenza ed alla chiarezza ed affidabilità dei prospetti finanziari, unite al processo di globalizzazione economico-finanziaria, hanno obbligato le società di revisione ad adeguare la propria attività e le proprie metodologie in conformità (compliance) con i principi etici, gli standard, le leggi ed i regolamenti professionali riconosciuti a livello internazionale nel campo dell’audit (ISAs International Standards on Auditing emanati dallo IAASB International Auditing and Assurance Standards Board). Il fulcro dell’attività di audit secondo la metodologia PricewaterhouseCoopers è costituito dal cosiddetto audit comfort cycle al quale si accompagnano le procedure analitiche ed i test di dettaglio. Si tratta di un’attività ciclica e dinamica che consente di pervenire ad un grado di conoscenza dell’azienda e dei suoi business process (corroborato dall’acquisizione delle evidenze e delle prove sostanziali necessarie) sufficientemente approfondito per ritenere di poter ragionevolmente (e in conformità con gli ISAs o ai principi contabili155) affermare che i dati finanziari presentati dalla società sono attendibili ed esenti da errori materiali che ne potrebbero modificare i valori al punto da dar vita ad una rappresentazione economica, contabile e finanziaria dell’azienda non corrispondente al vero e pertanto fuorviante. L’obiettivo del revisore non è quello di verificare che tutti i valori indicati in bilancio siano corretti al centesimo, bensì di garantire che tali dati esprimano in modo attendibile e rappresentativo il risultato economico/finanziario conseguito dall’impresa al termine del periodo di riferimento e che pertanto possano essere utilizzati come base affidabile per prendere decisioni che vedono coinvolta la società stessa (si tratti di decisioni di investimento, di finanziamento, piuttosto che misurazioni della performance aziendale o del management, oppure ancora computi di carattere fiscale e tributario ecc., così come già accennato al capitolo 1). L’audit comfort cycle deriva il suo nome dal fatto che si tratta di un’attività che si ripete ciclicamente (difatti nel corso del suo svolgimento si ritorna spesso sulle fasi precedenti le quali continuano ad aggiornarsi anche grazie alle informazioni acquisite negli step successivi mediante un processo adattivo che si realizza come un work in progress) e 154 Sito internet www.economicamente.biz/?p=3173, che riporta un articolo riguardante la modalità di revisione della principale firm del settore, PricewaterhouseCoopers Spa 155 Per un maggiore approfondimento di tale tematica, si rimanda al capitolo 1 di tale trattazione 65 che si pone l’obiettivo iniziale di comprendere, valutare e validare il livello di comfort che è possibile ottenere dal sistema di controlli interno istituito dall’impresa (laddove tale sistema esista). In relazione alla maggiore o minore affidabilità attribuita al sistema di controlli interno si decide se sia opportuno propendere per un’attività di audit basata principalmente sulle procedure analitiche (poco onerose e poco affidabili), oppure sui test di dettaglio (i quali garantiscono un risultato molto più attendibile, ma richiedono un enorme dispendio di risorse e di tempo). Durante gli incontri iniziali (gli initial meetings) tra l’engagement team e il management della società soggetta a revisione, si definisce lo scope dell’analisi156. In questo stadio hanno luogo le cosiddette preliminary analytical procedures (obbligatorie in base ai principi di revisione). La definizione dello scope è legata al tipo di azienda, al settore di appartenenza, agli obiettivi di audit, alla storia pregressa, al professional judgement e a numerosi altri fattori. In questa fase si realizzano delle indagini conoscitive che partono dalla comprensione della natura dell’entity, del business aziendale e del settore di appartenenza. Si analizzano quindi gli obiettivi e le strategie aziendali ed i rispettivi rischi di business, le metodologie contabili adottate, le misurazioni e le review delle performance finanziarie ecc. allo scopo di pervenire ad una rappresentazione chiara della configurazione dell’impresa e delle sue caratteristiche basilari. Le informazioni relative ai rischi di business risultano di particolare rilevanza soprattutto laddove si riscontrino delle connessioni con quelli di audit. Le prime attività di inquiry servono a verificare che all’interno dell’azienda sia stato istituito un sistema di controlli interno ed in caso affermativo se tale framework sia più o meno allineato alle esigenze di audit. Difatti, sovente capita che la società si sia dotata di un sistema di controlli interno efficiente ed efficace, ma in tutto o in parte inadeguato a coprire i rischi di audit. Ciò si verifica quando il management si è posto nella fase di pianificazione ed allestimento del sistema stesso degli obiettivi differenti rispetto a quelli di audit. Lo studio del sistema di controllo interno non può prescindere dall’analisi dei suoi cinque componenti principali che costituiscono il cosiddetto Internal Control-Integrated Framework by COSO: Il Control Environment; L’Information and Communication; Il Risk Assessment; Le Control Activities; Il Monitoring of Controls. 156 Delimitazione del campo d’azione dell’audit in modo da concentrare lo sforzo e le risorse sulle sole aree di effettivo interesse 66 Ognuno dei cinque componenti di controllo interno è importante per ogni obiettivo elevato livello di detta entità e le componenti sono applicati a tutti i livelli dell'organizzazione (ossia, al soggetto e / o processi aziendali a livello). Il quadro COSO indirizza operazioni aziendali dell'entità, la loro necessità di preparare bilanci affidabili, e la conformità alle leggi e ai regolamenti ai quali l'ente è soggetto. Con tale framework si ottiene una comprensione di come l'entità implementa i componenti di controlli interni, per aiutare il revisore a valutare il rischio e determinare l’approccio di revisione. L’obiettivo primario è la zona di informativa finanziaria, ma va anche considerato il rispetto di leggi e regolamenti, che hanno un significato finanziario di riferimento, al fine di rispondere meglio ai rischi identificati. Se si guarda a una qualsiasi delle categorie, ad esempio, per valutare l'affidabilità delle relazioni finanziarie dell'entità, tutte e cinque le componenti del controllo interno devono essere presenti e funzionano in modo efficace. Figura 3.1 - Il COSO Report Fonte: PricewaterhouseCoopers Spa Con il control environment ci si riferisce alle caratteristiche dell’ambiente di controllo dell’azienda nel suo complesso (adozione, diffusione e condivisione di principi etici, cultura della legalità ecc.). Questo ambiente di controllo si riferisce in particolare a: 67 Capire e valutare il sistema di controllo interno. In particolare il revisore deve valutare: La cultura di onestà ed il comportamento etico presente in azienda ed introdotto dal management; L’efficacia dei controlli interni e gli eventuali ammanchi dovuti a deficiencies del sistema di controllo che vanno monitorate ed auditate più accuratamente; L’effetto dell’ambiente di controllo interno sull’informativa finanziaria emessa all’esterno ed il rischio di errore significativo (per il concetto di significatività si rimanda ai successivi paragrafi nel presente capitolo)157. L’information and communication ha ad oggetto l’analisi del sistema informativo aziendale (indicato con l’acronimo ITGC, Information Technology General Controls, che indica i controlli che si applicano a tutti i componenti di sistemi, processi e dati per una determinata organizzazione od un determinato ambiente di tecnologia dell’informazione; il suo obiettivo è di garantire il corretto sviluppo e realizzazione delle applicazioni, nonché l’integrità dei programmi, file di dati ed operazioni del computer158). Il revisore inerentemente a questo ambiente di controllo valuta come il sistema informativo aziendale funziona, e cioè si provvede a comprendere come l’informativa finanziaria viene generata, dalle radici (emissione di fattura e relativa registrazione contabile a sistema), fino ad alimentare il Bilancio d’esercizio159. Col termine risk assessment ci si riferisce alle modalità, ai presupposti ed agli obiettivi che il management ha considerato nell’accertamento dei rischi interni (in special modo di quelli chiave). Questa fase risulta molto delicata in quanto il revisore deve cercare di160: Identificare i rischi di business rilevanti ai fini dell’emissione dell’informativa corretta; Stimare la significatività del possibile impatto di tali rischi; 157 Fonte ISA 315.A71, che richiede che una evidenza significativa di audit deve essere ottenuta da una combinazione di richieste in base al rischio emerso dall’analisi delle procedure. Per esempio, attraverso richieste al management ed ai dipendenti aziendali, il revisore può capire come il management aziendale provvede a comunicare la view sul business ed il comportamento etico da tenere 158 Fonte sito internet: www.wikipedia.org, enciclopedia telematica 159 Fonte ISA 315.18 160 Fonte ISA 315.15 68 Stimare la probabilità che i rischi si verifichino; Decidere circa le azioni da intraprendere per ripararsi dal rischio161. Qualora l’entità abbia in atto un sistema di controllo interno, il revisore deve valutare l’entità di tale sistema a prevenire il rischio162. Le control activities sono invece le attività di controllo poste in essere dal management, ivi comprese le procedure e le policy (se opportunamente formalizzate). Il revisore deve cercare di comprendere tali procedure di controllo e procedere con la selezione dei controlli considerati più rilevanti ai fini della probabilità che il rischio si verifichi ed influenzi in maniera significativa l’informativa emessa dalla società163. Infine, l’analisi completa del sistema di controllo interno esamina il monitoring, ossia l’attività di monitoraggio dei controlli stessi (controllo dei controlli)164. Il revisore deve in questo caso capire le attività di controllo interno poste in essere dalla società al fine di avere un grado di assurance sufficiente per assicurare che l’informativa finanziaria non sia influenzata da errori significativi. Il revisore deve inoltre essere in grado di capire come le iniziative che l’entità ha intrapreso al fine di rimediare eventuali mancanze nelle procedure di controllo poste in essere165 166. 3.2. Il concetto di rischio Per riuscire ad ottenere un elevato grado di assurance della veridicità e della correttezza dell’informativa emessa dal cliente, il revisore deve procedere a pianificare accuratamente ed a gestire il rischio con una adeguata politica. Il processo di revisione inizia quindi con l’attività di pianificazione del rischio. Nell’attività di revisione pianificare vuole dire sviluppare una strategia generale ed un approccio dettagliato tenendo conto della natura, della tempistica e dell'ampiezza delle procedure 161 Tali concetti verranno ripresi ed analizzati in maniera più approfondita nei capitoli successivi Fonte ISA 315.16 163 Fonte ISA 315.20 164 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 165 Fonte ISA 315.22 166 Per una più approfondita analisi sul sistema di controllo interno delle imprese e sul COSO Report, si veda il capitolo 4 della presente trattazione 162 69 di revisione. Il revisore deve pianificare lo svolgimento della revisione in maniera efficiente e nei tempi opportuni167. La pianificazione è effettuata attraverso la definizione di una strategia generale (piano generale di revisione) ed un programma dettagliato di revisione (piano di lavoro operativo). La definizione della strategia generale di revisione si effettua attraverso: la conoscenza dell’impresa168; la conoscenza della composizione dei sistemi contabile e di controllo interno; la conoscenza dei rischi e la significatività; la pianificazione attraverso l’analisi della natura, della tempistica e dell’ampiezza delle procedure di revisione; il coordinamento, la direzione, la supervisione e il riesame del lavoro, … . Il programma dettagliato di revisione predisposto deve sicuramente includere le descrizioni di natura, ampiezza e tempistica delle procedure di revisione necessarie per realizzare il piano generale di revisione. Il programma di revisione può inoltre definire per ogni area di bilancio: obiettivi di revisione; procedure di revisione. Il piano generale ed il programma di revisione debbono essere aggiornati in base alle necessità intervenute nel corso del lavoro di revisione. La pianificazione è quindi un processo continuo, che dipende dal cambiamento delle condizioni o dal verificarsi di risultati inattesi nell’applicazione delle procedure di revisione. La pianificazione consente quindi di conoscere e gestire in maniera adeguata il rischio. Nella predisposizione del programma di revisione, il revisore deve considerare la specifica valutazione del rischio intrinseco, del rischio di controllo e dei risultati attesi dallo svolgimento delle procedure di validità. Il rischio generale di revisione è il rischio che il revisore esprima un giudizio non corretto nel caso in cui il bilancio sia significativamente inesatto. Le componenti del 167 Fonte PricewaterhouseCoopers Spa Nei paragrafi successivi al presente capitolo verrà approfondita la metodologia di conoscenza del business del cliente da parte del revisore 168 70 rischio di revisione sono tre: il rischio intrinseco, il rischio di controllo e il rischio di individuazione169. Il rischio intrinseco è la suscettibilità di un saldo di un conto o di una classe di operazioni in essere inesatte e quindi generare, singolarmente o aggregati ad altri saldi di conti o classi di operazioni, inesattezze significative in bilancio. Il rischio di controllo è il rischio che un’inesattezza, che potrebbe verificarsi in un conto o in una classe di operazioni e che potrebbe essere significativa, individualmente considerata o sommata ad altre inesattezze, non sia prevenuta o comunque tempestivamente individuata e corretta dai sistemi contabile e di controllo interno. Il rischio di individuazione è infine il rischio che le procedure di validità eseguite dal revisore non evidenzino un’inesattezza significativa, individualmente considerata o aggregata ad altre inesattezze, presente in un saldo di un conto o in una classe di operazioni. Figura 3.2 - Il sistema di controllo sui rischi dell’azienda Fonte: PricewaterhouseCoopers Spa Un Key risk è quel rischio per il quale si riscontrano le tre caratteristiche precedentemente elencate. Nella rilevazione dei rischi tuttavia non bisogna trascurare completamente i rischi non materiali, in quanto, può capitare che tali rischi possano, cumulativamente, superare abbondantemente le soglie di materialità170. 169 170 PricewaterhouseCoopers, PwC audit guide, 2010 Per approfondire ulteriormente questo concetto, si rimanda al sottoparagrafo successivo 71 Sulla base dell’eventuale individuazione di un rischio, il revisore deve indicare quando devono essere svolte le procedure di conformità171 e le procedure di validità172, nonché la collaborazione che si aspetta di ottenere dal personale della società, la disponibilità di assistenti ed il coinvolgimento di altri revisori e di consulenti esterni. La pianificazione non è quindi soltanto un processo statico e preliminare ma un processo dinamico che va monitorato ed eventualmente adeguato in base al maggiore livello di conoscenza e variabili che si riscontrano durante il lavoro; come visto, infine, la pianificazione va rivista anche in sede finale e prima di esprimere il giudizio professionale sul bilancio, in modo da riscontrare eventuali mancanze iniziali e punti di criticità, individuati durante le analisi successive. 3.2.1. Il concetto di significatività – materialità di errore di bilancio Nello svolgimento del lavoro, il revisore deve valutare, con riferimento allo specifico incarico, la significatività e la sua correlazione con il rischio di revisione. Secondo gli IAS/IFRS, un’informazione è significativa se la sua mancanza o la sua imprecisa rappresentazione potrebbe influenzare le decisioni economiche degli utilizzatori sulla base del bilancio173. La significatività dipende dalla dimensione e dalla natura della voce in esame da valutare nelle particolari circostanze della sua omissione o imprecisione174 175. Il concetto di significatività è un elemento critico e decisivo nella delimitazione del campo di osservazione che sarà necessario e sufficiente indagare per avere adeguata assicurazione circa le conclusioni da raggiungere. 171 Procedure di controllo che, in aggiunta all'ambiente dei controlli, sono definite dalla Direzione per garantire con ragionevole certezza il raggiungimento di specifici obiettivi 172 Procedure di conformità svolte per acquisire elementi probativi sull’efficacia dei controlli. In particolare esse riguardano: la struttura dei sistemi contabile e di controllo interno, al fine di comprendere se siano adeguatamente progettati per prevenire o individuare e correggere errori significativi; la continuità di applicazione dei controlli nel periodo esaminato. 173 Fonte IAS 1 174 Secondo il Framework parr. 26-27 l’informazione è qualitativamente significativa quando è in grado di influenzare le decisioni economiche degli utilizzatori aiutandoli a valutare gli eventi passati, presenti o futuri oppure confermando o correggendo valutazioni da essi effettuate precedentemente 175 Il concetto di significatività è intimamente connesso con quello di rilevanza. L’informazione è rilevante se la sua omissione o errata presentazione può influenzare le decisioni economiche degli utilizzatori prese sulla base del bilancio (fonte IAS 1) 72 La significatività non è un concetto assoluto ma va definito in maniera relativa, vale a dire sia rispetto al bilancio della società revisionata che rispetto al bilancio consolidato del gruppo176. L’utilizzo degli elementi significativi è la base sia per la definizione del campo di osservazione (cosa indagare) ed è anche la chiave di lettura degli eventuali errori (come concludere). La significatività non è solo riferita all’ammontare degli elementi ma anche alla natura dei medesimi. E’ significativa per esempio anche una variazione di ammontare non rilevante ma inusuale e anomala per l’attività tipica esercitata dall’azienda. L'obiettivo del revisore è quello di applicare il concetto di significatività (o come chiamata in revisione, materialità che indica l’errore massimo accettabile e che non influenza l’informativa di bilancio) in modo appropriato la pianificazione ed esecuzione della verifica177. Anche se di informativa finanziaria si può discutere di rilevanza in termini diversi, in genere viene considerato materiale ciò che: Tramite errori, anche le omissioni, individualmente o in forma aggregata, possa influenzare le decisioni economiche degli utilizzatori prese sulla base del bilancio; Giudizi sulla materialità sono fatti alla luce delle circostanze circostanti, e sono influenzati dalla dimensione o la natura di un errore, o una combinazione di entrambi. Il livello di materialità dei rischi e dei valori di bilancio da esaminare viene fissato già nella fase di definizione dello scope dell’audit attraverso il calcolo della overall materiality e della performance materiality. La prima si riferisce al bilancio inteso nel suo complesso e viene determinata mediante il ricorso a dati provenienti dai benchmark di riferimento, alla cosiddetta rule of thumb, ossia una regola generica valida un po’ per tutte le aziende che appartengono ad una stessa categoria (ad es. il 5% del PBT178 o lo 0,5% delle revenues per le aziende profit ecc.). Prioritario in queste circostanze è chiaramente il giudizio professionale. 176 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 177 Fonte ISA 320.8 178 Profit before taxes 73 Il concetto di rilevanza è applicato dal revisore sia nella pianificazione ed esecuzione del controllo, che nel valutare l'effetto di errori individuati e non rettificati179. Al fine di valutare e rispondere ai rischi di errori significativi, vengono valutati: i prospetti informativi finanziari nel loro complesso; classi di transazioni, i saldi di conto o divulgazioni; determinate categorie di operazioni, saldi dei conti o informazioni; gli effetti degli errori180. A questo punto della valutazione, tramite l’ausilio di appropriati template, il revisore è in grado di stabilire la materialità inerente il bilancio che revisiona. Le materialità calcolate sono, tre differenti tra loro sia concettualmente che come importo, ma sono determinate in maniera sequenziale. 3.2.1.1. La overall materiality La overall materiality è la soglia al di sopra della quale l’errore sul bilancio visto nel suo complesso viene giudicato significativo181. Essa viene determinata facendo leva sul giudizio professionale del revisore, sulla base dei risultati dell’analisi del rischio individuati dalle procedure analitiche sul bilancio, sulla base delle dimensioni della società e dell’ambiente in cui opera. La materialità è inoltre calcolata tenendo conto degli eventuali effetti che un errore sul bilancio provocherebbe sui lettori del bilancio. Per essere determinata, la overall materiality necessità dell’individuazione di un singolo valore di partenza, quale può ad esempio essere l’utile ante imposte o il fatturato (questo valore viene scelto in base a quanto risulta significativo per il business dell’entità cliente182). Su tale valore di partenza si stabilisce generalmente una percentuale che viene applicata per determinare il valore complessivo della overall materiality. Anche la scelta della percentuale implica un giudizio professionale da parte del revisore: si provi a pensare a quanto l’influenza cambierebbe qualora la soglia percentuale di errore venisse stabilita nel 10% piuttosto che nel 5%; infatti supponendo l’applicazione di tale percentuale ad un totale di fatturato stimato in 100 mll di euro, 179 Fonte ISA 320.5 PricewaterhouseCoopers, PwC audit guide, 2010 181 Fonte ISA 320.10 182 Fonte ISA 320.A3 180 74 vorrebbe dire che il bilancio evidenzia errori significativi a partire dalla soglia di 10 mll di euro piuttosto che di 5 mll. La scelta del livello percentuale è influenzato da molteplici fattori, a partire dal mercato del cliente, la quantità di flussi che compongono il bilancio, la carenza di controlli interni adeguati, … . La scelta della percentuale può anche essere differente di esercizio in esercizio per lo stesso cliente, sulla base di una maggiore o minore rischiosità. Esempio 3.1 - Overall materiality Overall Materiality Totale ricavi 3.567.983 Rule of thumb 1% Calcolo dell’overall materiality 35.680 Il cliente è un’organizzazione che punta a fare profitto Spiegazione: Si rileva che per il calcolo della materialità sono stati utilizzati i valori del bilancio provvisorio alla data di chiusura. Il benchmark individuato è rappresentato dai total revenue selezionato per i seguenti motivi: - Rappresenta per la sua natura ed il suo valore la quota maggiormente rappresentativa per questa tipologia di società Overall materiality definitiva 35.000 - Nel recente passato il rischio di errore si è maggiormente riscontrato in questa area di bilancio Fonte: elaborazione propria su dati inventati 3.2.1.2. La performance materiality La performance materiality è determinata dal revisore per avere assurance del fatto che non vi sia rischio di errori che possono significativamente influenzare il lettore del bilancio e determina la natura, tempistica e lo scopo di tutte le successive analisi di audit183. Tale materialità è impostata in modo da ridurre a un livello sufficientemente basso la probabilità che l'aggregato dei conti esposti in bilancio in una sola voce non sia corretto e che gli errori non rilevati in bilancio superino la soglia di tolleranza per il bilancio nel suo complesso. Maggiore è il grado di comfort ottenuto dall’analisi del sistema di controllo interno e più alta sarà la percentuale applicata per il calcolo della performance materiality (ossia più larghe saranno le maglie della rete utilizzata per setacciare il bilancio alla ricerca del material mistatement). Viceversa nel caso contrario. La determinazione della rilevanza delle prestazioni non è un semplice calcolo meccanico e comporta l'esercizio del giudizio professionale, come per il calcolo della 183 Fonte ISA 320.11 75 overall materiality. Esso è influenzato da una comprensione del revisore dei conti dell'ente, aggiornato durante l'esecuzione delle procedure di valutazione dei rischi, nonché sulla base della natura e dell'entità di errori individuati in precedenti controlli184. La performance materiality viene utilizzata per decidere quali conti presenti sul bilancino di verifica e quali classi di transazioni vanno selezionati al fine di essere esaminati. Essa aiuta a stabilire quale deve essere l’estensione del lavoro necessaria ai fini della riduzione del rischio di audit185. Tale materialità viene generalmente stabilita sulla base di una percentuale che permetta di arrivare ad una soglia inferiore rispetto alla overall. Generalmente la soglia è ricompresa tra il 50 ed il 75% della overall materiality. I fattori che influenzano la scelta di tale percentuale sono molteplici, tra cui: Gli errori ed i rischi evidenziati nel passato; La overall è particolarmente alta o bassa (e viene adeguata tramite la performance per ottenere una maggiore assurance). Esempio 3.2 - Performance materiality Performance Materiality Enter haircut % 25% Calcolo performance materiality 26.250 Performance materiality definitiva 26.000 Frequenza di aggiustamenti nel passato? Basso Rischio di audit Medio Fonte: elaborazione propria su dati inventati 3.2.1.3. La de minimis SUD posting level Il revisore deve determinare una soglia minima al di sotto della quale gli errori vengono considerati banali e non possono influenzare il lettore del bilancio nel suo giudizio sulla società, neanche qualora essi venissero accumulati e sommati tra loro186. Per determinare il livello della de minimis SUD posting level viene utilizzata una percentuale di calcolo direttamente sulla overall materiality. La determinazione della percentuale da utilizzare presuppone l’utilizzo del giudizio professionale da parte del 184 Fonte ISA 320.A12 PricewaterhouseCoopers, PwC audit guide, 2010 186 Fonte ISA 450.5 185 76 revisore. I fattori che vanno considerati per la determinazione di tale percentuale sono i seguenti187: Il numero e l’ammontare degli errori dei precedenti esercizi, corretti o non; I risultati della risk assessment determinate nella fase iniziale così come precedentemente spiegato; Le aspettative da parte del cliente di cosa verrà eventualmente comunicato per la correzione. Normalmente la de minimis SUD posting level viene determinata in una percentuale che si aggira intorno al 5% della overall materiality (e può essere maggiore o minore per via dei fattori in precedenza elencati). La de minimis SUD posting level potrebbe richiedere aggiustamenti verso il basso della soglia di sopportazione durante l’audit. Per esempio laddove venissero individuati moltissimi errori sotto la soglia in principio determinata, la soglia può essere determinata qualora il revisore necessiti di un maggior livello di assurance dalle analisi effettuate per essere certo che l’informativa non sia sostanzialmente errata. Esempio 3.3 - De minimis SUD posting level materiality De minimis SUD posting level Enter SUD % 10% Is there any overall risk assessment? N/A De minimis SUD posting level 3.500 Aspettative e disponibilità del cliente a correggere gli errori 3.500 - Il cliente comunicherà le differenze nel loro complesso, ad eccezione di quelle non materiali - Alta disponibilità a correggere gli errori Enter SUD Fonte: elaborazione propria su dati inventati 187 PricewaterhouseCoopers, PwC audit guide, 2010 77 Figura 3.3 - Percentuale da applicare in caso di calcolo della de minimis SUD posting level materialità Numero e ammontare degli errori 0% Gli audit precedenti sull’entità spesso danno luogo ad aggiustamenti materiali 3% Gli audit dell’entità spesso danno luogo ad aggiustamenti. Gli ammontari non sono materiali Risk assessment Alto rischio di errori materiali. Multi-location audit con molti component reporting inclusi nel macro gruppo di audit. Numero significativo di rischi identificati 5% Gli aggiustamenti di audit sono aspettati su ogni esercizio. Gli ammontari non sono materiali Revenue recognition è un presunto rischio significativo. 10% Gli aggiustamenti di audit sono virtualmente assenti Basso rischio di errore materiale al di fuori della modalità di accertamento delle Rischio revenue recognition significativo di e del rischio di Rischi significativi management management addizionali override of controls override of identificati dietro controls. presunte revenue recognition e rischi Ambiente con significativi per via efficacy entity level di possibile controls management override of controls Fonte: PricewaterhouseCoopers, PwC audit guide, 2010 3.2.2. La rete dei processi In azienda vengono implementati diversi controlli interni per prevenire i diversi rischi di errore. Così come indicato in Figura 3.2 a pagina 66, laddove i controlli fossero labili in alcuni punti o per alcune aree, si incrementerebbe il rischio di controllo (una delle tre componenti del rischio per il revisore come precedentemente analizzato) e questo porterebbe come visto ad abbassare le soglie di materialità al fine di analizzare più voci possibile per trovare gli errori ed avere sufficiente assurance sulle diverse poste rappresentate in bilancio. Al fine di evitare uno spreco di risorse ed un disagio eccessivo per la società cliente, l’attività di audit tende a focalizzarsi comunque soprattutto sulla identificazione dei rischi chiave di audit, cioè su quei rischi che se trascurati possono generare errori materiali o frodi188. In questo modo si riesce a garantire ai fruitori dei prospetti finanziari 188 Si rimanda ai successivi paragrafi per un approfondimento circa tali tematiche 78 un’assurance accettabile perché anche nel caso in cui fossero sfuggiti alle maglie del detection risk degli errori legati a rischi non materiali, l’impatto sui valori finali non sarebbe tale da influire in modo significativo sul giudizio e sull’indicazione fornita dai financial statements. L’analisi del sistema di controllo interno e del sistema contabile sono quindi elementi centrali da tenere in considerazione nel processo di pianificazione. L’affidamento del revisore, l’elevato grado di rassicurazione ottenuto nei confronti dei controlli interni posti in atto dalla Direzione della società, rappresenta l’elemento cruciale per la definizione del piano operativo di revisione. L’analisi del sistema di controllo interno è il primo passo per la definizione della natura delle procedure da sviluppare (intese alternativamente come procedure di conformità o di validità). Il sistema contabile in particolare rappresenta l'insieme di procedure e metodi utilizzati dalla società per elaborare le varie operazioni al fine di produrre i dati contabili; tale sistema identifica, aggrega, analizza, calcola, classifica, registra, sintetizza e riporta operazioni e ogni altro tipo di evento o fatto amministrativo. Il sistema dei controlli interni è rappresentato invece dalle linee d'azione e dalle procedure (controlli interni) adottate dalla Direzione al fine di favorire il raggiungimento degli obiettivi aziendali e di assicurare una condotta efficiente e ordinata della propria attività189. Se dopo aver compreso il sistema di controllo interno, si ottiene un basso livello di rassicurazione (sui controlli di ambiente e sui controlli aggiuntivi messi in atto dalla Direzione per consentire con ragionevole certezza il raggiungimento di obiettivi specifici), si svilupperà un efficace lavoro attraverso l’effettuazione di procedure di validità, mirate a testare gli elementi probatori documentali ecc. . Al contrario, se dopo aver compreso il sistema di controllo interno, si ottiene un elevato livello di rassicurazione, si svilupperà un piano di lavoro basato principalmente sull’effettuare procedure di conformità mirate a verificare l’efficacia dei controlli interni190. 189 PricewaterhouseCoopers, PwC audit guide, 2010 Si ribadisce che le procedure di conformità sono volte ad acquisire elementi probativi sull’efficacia dei controlli; in particolare esse riguardano: la struttura dei sistemi contabile e di controllo interno, al fine di comprendere se siano adeguatamente progettati per prevenire o individuare e correggere errori significativi; la continuità di applicazione dei controlli nel periodo esaminato 190 79 Le aziende moderne e soprattutto quelle di grosse dimensioni, sono poi caratterizzate dal ruolo fondamentale svolto dall’ambiente informatico per l’elaborazione dei dati contabili e la produzione di reports191 ad hoc (per esempio: scadenziario clienti, analisi utilizzo fidi per elasticità di cassa, ecc.). La complessità degli ambienti informatici è un elemento che influenza l’attività di revisione; la valutazione dell’ambiente informatico deve essere svolta considerando che quest’ultimo può influire: sulle procedure seguite dal revisore nell’analisi del sistema contabile e del sistema di controllo interno; sulla valutazione del rischio intrinseco e di controllo, che concorrono alla determinazione del rischio di revisione; sull'identificazione ed il successivo svolgimento delle procedure di conformità e di validità più idonee a raggiungere gli obiettivi di revisione. Le procedure di controllo della società dovrebbero comunque essere disegnate in modo da assicurare che le transazioni siano autorizzate e siano state riflesse nel sistema contabile in modo completo ed accurato. Nel disegnare le procedure di controllo, il management dovrebbe considerare gli obiettivi di controllo, con riferimento alle caratteristiche del settore cui la società appartiene. Inoltre nel disegnare il sistema di controllo, il management dovrebbe tenere in considerazione fattori relativi all'organizzazione dell'amministrazione e dell'area EDP192, la quale contribuisce all'effettiva operatività delle procedure di controllo. L'organizzazione e la gestione di queste funzioni dovrebbero essere appropriate alla dimensione ed alla complessità del business. I controlli di monitoraggio comprendono la regolare attività di supervisione delle attività svolte dal management aziendale al fine di identificare errori risultanti da mancanza o non operatività di controlli sulle applicazioni o controlli in ambito EDP oppure problemi esistenti nel sistema contabile. Essi coprono sia obiettivi finanziari/di bilancio, sia operativi/gestionali. I controlli di monitoraggio si compongono di analisi eseguite dagli utenti su tabulati o, altre forme di informazioni prodotte dal sistema. I controlli di monitoraggio possono 191 Si rimanda all’analisi effettuata sul COSO Report nei precedenti paragrafi per un maggiore approfondimento di questo ambiente di controllo 192 Electronic Data Processing, sigla che, sin da prima dell’avvento dei personal, identifica l’informatica, e cioè l’elaborazione di dati tramite elaboratori elettronici (fonte sito internet, www.pc-facile.com, glossario informatico 80 provvedere a fornire assicurazione sulla normale operatività dei controlli designati per le applicazioni e per il computer e possono includere: consapevolezza del management o di un supervisor, che i dati prodotti dal sistema ed utilizzati nelle normali attività della società sembrano corretti, basandosi su altre informazioni delle quali siano consapevoli attraverso la loro conoscenza del business; consapevolezza del management o di altri supervisor, dell'efficacia dei controlli sulle applicazioni; consapevolezza del management o di altri supervisor, dell'effettiva operatività dei controlli sul computer. I controlli di monitoraggio dovrebbero avere natura di attività periodica, ma possono essere anche continuativi ed essere composti da valutazioni effettuate dal management e/o, se del caso, dall'eventuale reparto di revisione interna: dovrebbero comunque essere documentati. I controlli di monitoraggio sul computer si riferiscono alle attività sul computer nel loro complesso, le quali spesso riguardano più cicli. 3.2.2.1. I controlli sulle applicazioni I controlli sulle applicazioni (Application Controls) sono procedure atte ad assicurare l'integrità dei dati contabili e quindi raggiungere gli obiettivi di controllo per transazioni derivanti da cicli193. Alcuni di questi controlli sono effettuati manualmente, per esempio l'autorizzazione manuale di una fattura per il pagamento oppure la riconciliazione manuale di una banca. Altri controlli sono effettuati invece da programmi computerizzati, per esempio l'abbinamento automatico di una fattura di acquisto con la bolla d'entrata merce e la preparazione di tabulati di eccezioni: queste procedure sono dette procedure di controllo automatiche. Molti controlli applicativi saranno eseguiti dagli utenti, ma dipenderanno da procedure automatiche, essendo una combinazione di procedure automatiche e manuali, per esempio l'esame di una lista di eccezioni prodotte direttamente dal computer. Le procedure di controllo relative ad una applicazione dovrebbero raggiungere i seguenti obiettivi di controllo: 193 PricewaterhouseCoopers, PwC audit guide, 2010 81 Obiettivi di controllo relativi a particolari tipi di transazioni (quali ad esempio le autorizzazioni, la completezza e l’accuratezza dell’input, ecc.); Obiettivi di controllo relativi al ciclo nel suo complesso (quali ad esempio l’integrità dei dati fissi, la completezza e l’accuratezza degli aggiornamenti, la protezione delle informazioni, ecc.). Con l'evoluzione dei sistemi informatici, assistiamo oggi, di fatto, alla sempre maggiore attribuzione al computer di un ruolo di generatore di informazioni e di controllo. Il revisore è quindi particolarmente interessato alle procedure automatiche in quanto il loro corretto e continuo funzionamento incide in modo particolarmente significativo sul giudizio di affidabilità che viene espresso sul sistema di controllo interno194. 3.2.2.2. Obiettivi di controllo relativi alle transazioni Questi obiettivi di controllo hanno come scopo la verifica del completo ed accurato processo autorizzativo delle transazioni. In particolare: Autorizzazione. I controlli sulle autorizzazioni sono disegnati per assicurare che le informazioni siano protette contro modifiche non autorizzate, venga garantita la dovuta riservatezza (Privacy) e venga assicurata la protezione fisica delle attività della società. Tra le procedure di controllo: accesso ristretto, segregazione dei compiti. Il processo di autorizzazione può anche essere effettuato attraverso procedure automatiche; Completezza dell'input. Questi controlli sulla completezza dell'input sono disegnati per assicurare che tutte le transazioni siano registrate, inserite ed accettate dal sistema una ed una sola volta. Tra le procedure di controllo ricordiamo: abbinamenti con informazioni contenute in altri archivi all'interno del sistema, controllo sulla sequenza di numeri di documenti, controllo one-by-one delle transazioni registrate con la documentazione di supporto; Accuratezza dell'input. Questi controlli sull'accuratezza dell'input sono disegnati per assicurare che informazioni chiave all'interno della singola transazione siano registrate accuratamente. I controlli disegnati per assicurare la completezza input, per esempio one-by-one, possono in taluni casi assicurare anche l'accuratezza di tali informazioni. Controlli specifici possono tuttavia essere 194 Per visionare gli obiettivi di revisione si rimanda ai paragrafi successivi 82 utilizzati per assicurare tale obiettivo di controllo. Molti di questi controlli possono essere effettuati direttamente dal sistema computerizzato in maniera automatica o semiautomatica; Validità. I controlli sulla validità sono disegnati per assicurare che le transazioni non siano fittizie e che facciano riferimento alla società. Tipiche procedure di controllo sono le autorizzazioni eseguite da un responsabile sui tabulati delle eccezioni (ore lavorate superiori ad un livello considerato medio/accettabile). 3.2.2.3. Obiettivi di controllo relativi alle transazioni Questi obiettivi di controllo si riferiscono al ciclo nel suo complesso e presuppongono: Integrità dei dati fissi. Controlli sull'integrità dei dati fissi sono disegnati per assicurare che i cambi ai dati fissi siano autorizzati, siano stati accuratamente immessi nel sistema e che non vi siano cambi a tali dati senza autorizzazione; Completezza ed accuratezza dell'aggiornamento. I controlli sulla completezza ed accuratezza dell'aggiornamento devono assicurare che tutte le transazioni registrate siano accettate dal sistema e che gli aggiornamenti vengano effettuati negli archivi appropriati ed in modo accurato. Esempi di procedure di controllo aventi tale natura sono i totali di controllo (batch total), che possono essere rappresentati da totali calcolati manualmente e confrontati con totali derivanti da procedure automatiche di ricalcolo; Completezza ed accuratezza dei dati accumulati. I controlli sui dati accumulati hanno come obiettivo di assicurare che i dati una volta che hanno aggiornato gli archivi, rimangano corretti e correnti negli archivi; Protezione dei beni e delle informazioni. I controlli sulla protezione dei beni e delle informazioni devono proteggere contro cambi non autorizzati dei dati, assicurare la confidenzialità delle informazioni e la protezione fisica dei beni (es. cassa ed inventario). Questi obiettivi di controllo sono logicamente influenzati dalla natura della società e dal settore in cui opera. Di conseguenza il modo con cui tali obiettivi di controllo vengono applicati dipendono dal settore e necessitano di essere adattati alle differenti esigenze. 83 3.2.2.4. Controlli sui software utilizzati dalla società (ITGC) Frequentemente i controlli sulle applicazioni sono raggiunti da procedure manuali che vengono eseguite in relazione o, dipendono, da procedure contabili e/o di controllo automatiche. La verifica dei cosiddetti “ITGC” è necessaria per assicurare che queste procedure operino correttamente. Essi includono: Manutenzione dei programmi. I controlli sulla manutenzione di applicazioni esistenti devono assicurare che i cambi effettuati sulle procedure automatiche siano appropriati e siano implementati correttamente. Questi controlli fanno riferimento alle modifiche dei programmi, piuttosto che a programmi interi, e devono assicurare che le modifiche siano adeguatamente disegnate, testate ed implementate; Sviluppo ed implementazione. I controlli sullo sviluppo e l'implementazione di nuove procedure hanno anch'essi l'obiettivo che le procedure automatiche siano appropriatamente disegnate ed implementate, ed includono controlli sulla definizione iniziale del sistema e sulla documentazione del programma e del sistema e procedure per assicurare che solo programmi autorizzati vengano trasferiti in produzione. Inoltre nel caso di applicazioni che vanno a sostituire applicazioni utilizzate precedentemente, devono assicurare che i dati siano accuratamente trasferiti dalla precedente applicazione alla nuova; Sicurezza. I controlli sulla sicurezza devono assicurare che l'accesso al computer, ai programmi ed alle informazioni sia garantito e consentito alle sole persone preposte. La restrizione degli accessi è spesso garantita attraverso una combinazione di controlli a livello di sistema, di applicazione e di accesso fisico. Il management dovrebbe assicurare l'appropriato accesso attraverso la definizione del rischio, delle richieste e delle responsabilità di ogni singolo utente. Il management inoltre dovrebbe prevedere un disaster recovery plan195; Operazioni col computer. I controlli sull'operatività del computer devono assicurare che le informazioni siano processate sull'archivio corretto, che sia possibile ripristinare il sistema in caso di errore e che i programmi vengano eseguiti nella sequenza adeguata. 195 Per disaster recovery si intende l’insieme delle misure tecnologiche atte a ripristinare sistemi, dati ed infrastrutture necessarie all’erogazione di servizi di business a fronte di gravi emergenze. Tale sistema viene pianificato in anticipo allo scopo di evitare disastri con pesanti perdite di dati (fonte sito internet www.wikipedia.com, enciclopedia telematica) 84 Questa metodologia di controllo è applicabile sia in un ambiente in cui vengono utilizzati pacchetti software acquistati esternamente sia quando la società adotta sistemi sviluppati internamente. Tuttavia l'estensione e la rilevanza di tali obiettivi di controllo saranno influenzati da tale tipo di ambiente. In particolare, le procedure di controllo connesse alla manutenzione, o lo sviluppo ed implementazione di package, saranno meno estensive sulla base dell'assicurazione data direttamente dal fornitore esterno. La comprensione del sistema da parte del revisore è normalmente ottenuta mediante una serie di interviste alla direzione ed al personale della società, finalizzate alla descrizione, mediante note o, in genere, diagrammi, del flusso informativo196 e dei controlli che la società ha effettivamente adottato per garantire la correttezza del sistema informativo in oggetto. Per facilitare il lavoro di comprensione, il flusso informativo aziendale nel suo complesso può essere distinto in "cicli" o in "applicazioni". Ciascuna applicazione tratta una parte del flusso informativo e si pone in diretta corrispondenza con le diverse voci del bilancio. Ovviamente la quantità di applicazioni presenti in un sistema dipenderà dalla natura e complessità dell'attività svolta dalla società. Una volta compreso il sistema, il revisore deve valutarne l'affidabilità, ossia deve misurarne la capacità di fornire informazioni accurate e complete. Ne consegue che le diverse tecniche di controllo che possono essere applicate dalle società perseguono, generalmente, il fine di limitare il rischio che un errore possa manifestarsi e non il fine di eliminarlo in modo assoluto. La scelta di una tecnica di controllo dipende dal rapporto costo/beneficio. Ossia è funzione: 196 Con flusso informativo si intende un processo logico mediante il quale un particolare evento viene identificato, rilevato e registrato nel sistema attraverso una o più fasi. Esempio: il flusso relativo agli acquisti di merci e prodotti passa normalmente attraverso le seguenti diverse fasi: identificazione del bisogno emissione dell'ordine al fornitore arrivo della merce - emissione della bolla di entrata registrazione in contabilità magazzino convalida della fattura registrazione in contabilità generale pagamento della fattura registrazione del pagamento in contabilità generale 85 del giudizio che il management della società esprime sul rischio di errore e sulla misura dei danni che tale errore può causare; del costo che è necessario sostenere per implementare e mantenere una tecnica di controllo che limiti il rischio di errore. Comprendere il sistema implementato internamente alle società significa quindi: individuare l'applicazione in funzione di un saldo di bilancio; individuare le transazioni e le informazioni pertinenti l'applicazione; individuare quali procedure automatiche intervengono nel sistema ed in che misura; individuare gli archivi che contengono dati significativi; individuare le tecniche di controllo adottate allo scopo di garantire l'affidabilità del sistema; descrivere il processo o flusso delle informazioni. Valutare i sistemi significa invece verificare la rispondenza delle tecniche di controllo agli obiettivi prefissati. Per ciascuna applicazione significativa (o classe di transazioni significativa) deve essere preparato un diagramma generale di flusso per fornire al revisore informazioni sui sistemi contabili, nonché sulla natura e sul valore stimato delle transazioni che passano attraverso gli stessi. Le transazioni che sono al di fuori del flusso principale delle informazioni, come ad esempio le rettifiche o le variazioni ai dati permanenti, possono essere documentate, se necessario, con note descrittive supplementari. Ogni diagramma di flusso deve, quindi, descrivere il flusso delle transazioni significative dall'origine fino alla registrazione in contabilità generale e, per quanto ci riguarda come revisori, ogni diagramma di flusso è destinato a costituire la documentazione minima di supporto alla scelta di una determinata strategia di revisione. Il rischio di controllo dipende quindi dai diversi processi presenti in azienda: infatti laddove la struttura aziendale è complicata ed i flussi informativi sono numerosi, viene richiesto un maggiore monitoraggio per ottenere assurance circa la compliance dell’informativa emessa all’esterno. 86 Si riportano nei paragrafi successivi due esempi di processi e dei relativi rischi inerenti il controllo dell’informativa sulle due aree già visionate a livello di richieste di principi contabili e di test di audit197: le disponibilità liquide e le rimanenze di magazzino198. 3.2.2.5. I processi di controllo sulle disponibilità liquide Le imprese, come visto nei precedenti paragrafi, devono porre in essere un adeguato sistema di controlli interni per permettere di avere un adeguato livello di assurance circa l’informativa presentata all’esterno199. Sul sistema di controlli interni relativo all’area di bilancio delle disponibilità liquide il revisore deve: Capire e documentare: I processi, i sottoprocessi di business e le singole transazioni, a partire da come esse sono inizializzate, registrate, controllate e riportate in contabilità (automaticamente o manualmente); Le attività di controllo implementate dal management per ottenere un adeguato livello di comfort; Valutare il disegno di controlli rilevanti ai fini dell’audit (piano di audit); Confermare le seguenti registrazioni: Implicazioni con il piano di audit; Implicazioni per il reporting da emettere all’esterno, per lo stakeholder200. Il revisore provvede a conseguire gli obiettivi in precedenza esposti in differenti modi. Ad esempio si può cominciare con la definizione esplicita degli obiettivi del lavoro per poi passare alla definizione della metodologia (ad esempio “Il lavoro di analisi è stato effettuato mediante intervista con il personale di riferimento. I dipendenti coinvolti nella rilevazione e nel testing sono stati i seguenti: …”). Una volta definita la metodologia, si passa alla fase di understanding del processo, con la descrizione dei compiti che sono suddivisi all’interno dell’area finanza tra le diverse 197 Per una maggiore chiarezza, è necessario precisare che i test di dettaglio di audit sono successivi in ordine di tempo al piano di audit così come descritto nel presente capitolo 198 Per un approfondimento di tali tematiche si rimanda al capitolo 1 e 2 della presente trattazione 199 Tale tematica verrà meglio approfondita nel capitolo 4 200 PricewaterhouseCoopers, PwC audit guide, 2010 87 persone e sotto-funzioni. Ad esempio generalmente l’Ente Tesoreria svolge attività di Back Office articolabili nelle seguenti macro aree: monitoraggio e quantificazione dei flussi giornalieri di fabbisogno/surplus; controlli di linea; disposizioni. Il monitoraggio e la quantificazione dei flussi giornalieri di fabbisogno/surplus originati dalle previsioni societarie, dai cash pooling e dalle operazioni finanziarie, costituiscono attività finalizzate all'ottimizzazione, per data valuta, dei saldi dei conti correnti bancari. I controlli di linea sono costituiti dalle attività che presidiano il riscontro delle operazioni e dalla riconciliazione delle operazioni effettuate con il sistema bancario. Tali attività vengono svolte all’interno dei seguenti processi: riscontro e conferma delle operazioni finanziarie; riconciliazione delle operazioni effettuate con il sistema bancario. La predisposizione delle disposizioni è finalizzata alla movimentazione dei flussi monetari in uscita dai conti correnti domiciliati presso il sistema bancario e/o Società/Divisioni e riguardano: girofondi tra conti correnti bancari e/o societari; regolamento delle operazioni finanziarie stipulate con Controparti autorizzate. La fase di evaluating del processo presuppone invece la valutazione del sistema di controlli interni che si è proceduto a mappare tramite la procedura di understanding dei processi. 88 Esempio 3.4 - Understanding e evaluating processi di controllo interno disponibilità liquide La gestione dei pagamenti ai fornitori Understanding Obiettivo Obiettivo di controllo Soltanto le fatture considerate pagabili entrano nella procedura di pagamento Controll o chiave Sì Descrizione Attività di controllo Il sistema identifica automaticament e le fatture pagabili C Financial Statements Assertions201 A V R A C C O A E/ O E/ O P D Tip o R O Ma Frequ V n/A enza ut R O Aut Settim anale Documen tazione del controllo Configura zione di sistema Responsabile del cotrollo Configurazione di sistema Evaluating Disegno del controllo 202 PwC WTT Procedure PwC ha verificato in data 02/03/04, alla presenza dell'operatore della Contabilità Fornitori (Sig. A) il disegno del controllo, mediante observation. PwC ha verificato il matching fra la fattura e l'ordine d'acquisto relativamente all'ordine 01658 del 28/12/03 (fornitore 83 N Spa). ). Il sistema esegue il matching automatico della fattura con il relativo ordine d'acquisto associato. In caso di matching mancato la procedura emette un messaggio d'errore bloccante, al fine di non registrare una fattura relativa a merce non richiesta dalla società Valutazione del disegno Carenze Disegno adeguato - Fonte: elaborazione propria su dati PricewaterhouseCoopers rielaborati 3.2.2.6. I processi di controllo sulle rimanenze di magazzino Sul sistema di controlli interni relativo all’area di bilancio delle rimanenze di magazzino il revisore deve sostanzialmente operare nello stesso modo utilizzato per valutare i processi ed i relativi di controllo predisposti dalla società per l’area delle disponibilità liquide. Vanno quindi innanzitutto tutto definiti gli obiettivi obietti e la metodologia per poi passare direttamente, come già visto in precedenza, alla fase di understanding del processo. 201 Tali asserzioni verranno spiegate approfonditamente all’interno di questo capitolo nei successivi paragrafi 202 Walkthroughs procedures: esse sono procedure con le quali il revisore prende visione con la società del modo che essa ha di operare relativamente alle differenti attività che compongono un processo. Con il walkthroughs si permette quindi al revisore di ottenere un grado massimo di understanding dei processi. Il lavoro può essere svolto sul sistema della società o su un sistema ambiente costruito ad hoc ed uguale al principale, in modo da non influenzare il sistema originale originale con l’immissione di dati che per sbaglio potrebbero essere salvati o registrati, seppur dati di prova 89 Importante anche al fine della comprensione dell’area delle rimanenze di merci, così come dell’area delle disponibilità liquide, vi è la la fase di understanding dei sistemi informatici utilizzati dalla società al fine di raggruppare tutta l’informativa di magazzino e presidiare il rischio di errore. Dopo la fase di understending, così come già per le disponibilità liquide, viene la fase di evaluating del sistema di controllo interno posto in essere dalla società ai fini di ottenere comfort sui dati esposti nell’informativa finanziaria. Esempio 3.5 - Understanding e evaluating processi di controllo interno magazzino Entrata merci Understanding Financial Statements Assertions Obiettivo Obiettivo di controllo Contr Descrizione ollo Attività di chiave controllo La data di No ricevimento della merce è successiva alla data di emissione del Ddt Il sistema verifica che la data del DdT inserito dall’Addetto al Ricevimento sia antecedente alla data di ricevimento della merce C A V R A C CO A V A E P R / V D O O CO Tip o Ma Frequenz n/A a ut Documentaz ione del controllo Responsabile del cotrollo A Configurazio ne di sistema Configurazione di sistema Ad evento Evaluating Disegno del controllo PwC WTT Procedure Valutazione del disegno Carenze PwC ha verificato in data 09/01/09 alla presenza del responsabile del Receiving Dept. (Sig. I)) il disegno del controllo mediante inquiry/observation. PwC ha ripercorso la registrazione dell'entrata ll'entrata merce del rimesso 56 del fornitore 8992 (U S.r.l.). ). In seguito al tentativo da parte dell'Operatore e di registrare il rimesso con data del DdT successiva alla data di ricevimento della merce il sistema ha emesso un messaggio d'errore bloccante Disegno parzialmente adeguato PwC ha verificato che è possibile da parte del Magazzino bypassare il controllo attraverso il comando 'Forzatura' presente a sistema Fonte: elaborazione propria su dati PricewaterhouseCoopers rielaborati 3.3. Gli strumenti utilizzati dal revisore per la valutazione del rischio Per essere compliante con quanto previsto dai relativi principi in materia di revisione contabile di bilancio nonché ottenere una certa assurance sui dati finanziari emessi dalle società all’esterno, le società di revisione utilizzano certi strumenti di an analisi che 90 permettono di conoscere il cliente e pianificare nella maniera più corretta ed adatta l’attività di audit. Gli strumenti utilizzati dalla società di revisione PricewaterhouseCoopers sono i seguenti: la Business Analysis Framework, la Audit Comfort Matrix e la Summary of Comfort203. 3.3.1. La Business Analysis Framework (BAF) La BAF permette di conoscere a fondo il business del cliente e le sue dinamiche. Questa fase viene effettuata in sede di intervento preliminare. L’obiettivo del revisore è quello di identificare il rischio di errori significativi che vi possono essere sull’informativa finanziaria emessa dalla società, sia dovuti a casi di frode che ad errori. Il revisore deve quindi conoscere l’entità nel suo complesso ed il business nel quale opera, i relativi rischi nonché l’ambiente circostante del quale la società fa parte e dal quale è influenzata. Il revisore deve anche comprendere il sistema dei controlli interni, costruendo una base di lavoro al fine di valutare l’adeguatezza degli stessi e le possibili carenze204. Al fine di capire l’entità nel suo complesso, l’ambiente nel quale opera che la circonda ed il sistema di controlli interni adottati, si deve sviluppare un processo di raccolta, aggiornamento ed analisi dell’informazione che continua anche durante l’attività di audit vera e propria, dopo la fase preliminare. Il revisore così facendo riesce a costruire una cornice con la quale pianificare l’attività di audit ed esercitare il proprio giudizio professionale, ad esempio quando205: Viene determinate il rischio di errori materiali sul Bilancio d’esercizio; Viene determinata la materialità (così come spiegato nei paragrafi precedenti in base a quanto previsto dal principio ISA 320); Viene considerata l’appropriatezza delle selezioni, valutata correttamente l’applicazione delle policy di contabilità e l’adeguatezza dell’informativa finanziaria; 203 Tali strumenti hanno denominazioni differenti per le altre società di revisione ma sono simili nella sostanza 204 Fonte ISA 315.3 205 Fonte ISA 315.A1 91 Vengono identificate le aree dove possono essere necessari maggiori test di audit, per esempio le transazioni con parti correlate, l’appropriatezza dell’assunzione da parte del management aziendale dell’assunzione di going concern (continuità aziendale nel tempo206) o la considerazione di transazioni anomale per il business nel quale la società opera, ecc.; Vengono sviluppate delle aspettative tramite l’ausilio di preliminary analytical procedures207; Viene preparato un piano di risposta di audit per i rischi di errore, comprensivo di ulteriori procedure di audit da effettuare per ottenere sufficienti ed appropriate evidenze di audit; Viene valutata la sufficienza e l’appropriatezza delle evidenze di audit ottenute. Il revisore deve utilizzare il proprio giudizio professionale al fine di determinare l’estensione dell’understanding necessario al fine di essere conforme con quanto richiesto dai principi di revisione. La profondità del livello di understanding richiesto è comunque inferiore a quanto conosciuto dal management aziendale con riferimento alla propria azienda e all’ambiente circostante. In particolare il revisore deve capire il rischio di business attraverso la ricerca e l’analisi di entità ed ambiente, dei regolamenti, delle leggi, della natura dell’entità, delle policy aziendali (ad esempio policy etiche), degli obiettivi e delle strategie dell’entità oltre che di altri fattori interni ed esterni eventualmente utili a comprendere l’entità nel suo complesso. Un diverso ambiente nel quale l’impresa opera influenza in maniera significativa l’entità per via di leggi e regolamenti. L’ambiente deve quindi essere capito con cura al fine di capire quale può essere il rischio che concerne con l’entità. A seconda dell’ammontare delle informazioni richieste per attuare la procedura di understanding, il revisore deve utilizzare le differenti fonti che ha a disposizione per ottenere la necessaria informazione. Vi è poi un template da completare che permette di raggruppare tutte le informazioni raccolte sulla società: la BAF. Al fine di attuare l’understanding è necessario utilizzare una o più delle seguenti risorse: 206 207 Si veda il capitolo 1 per un maggiore approfondimento circa tale punto Si veda il sottoparagrafo successivo per un maggiore approfondimento 92 Conoscere le fonti di informativa del management e altre informazioni esterne, quali ad esempio giornali di categoria, informazioni su competitor e reporting di broker, …; questo servirà al fine di raccogliere le informazioni a disposizione della società; Discutere con personale chiave interno e consulenti esterni circa il funzionamento delle differenti funzioni, tra cui quella finanza (con relativi finanziamenti ottenuti ed investimenti attuati ed in previsione); Considerare il benchmark di performance finanziarie; Ottenere e leggere l’informativa emessa dalla società all’esterno (ad esempio comunicazioni); Ottenere pareri e consulenza da parte di esperti laddove necessario; Rivedere le carte del precedente anno (laddove il revisore fosse nuovo, è necessario dedicare maggiore sforzo a questa attività)208. L’incontro con personale che non lavora nell’area di bilancio e lo scambio di informazioni permette inoltre di imparare molto di più circa il business della società e può aiutare ad identificare nuove visuali ed opportunità da condividere con il management aziendale. Facendo quindi leva sulle conoscenze pregresse e sull’esperienza di società operanti in simili ambiti, permette al revisore di avere una buona visione di partenza anche sulla strategia che la società potrebbe adottare. Dunque il punto di vista da tenere in considerazione nella formazione della BAF è il più indipendente possibile ed è un mix di conoscenze ed esperienze personali, acquisite dal management, acquisite da terzi esterni e da personale della società operante nell’area contabilità o meno. Questo permetterà di comprendere la modalità di valutare ed attuare analisi contro il verificarsi del rischio e controllare l’ambiente circostante da parte del management aziendale. E’ quindi necessario per il revisore agire con scetticismo professionale209, paragonando la view personale con quella del management della società. L’incontro con il management permette inoltre al revisore di capire la tipologia di organizzazione dell’entità e di identificare le differenti unit. Il revisore cerca quindi di 208 209 PricewaterhouseCoopers, PwC audit guide, 2010 Tale concetto verrà approfondito nei successivi paragrafi 93 capire quali sono rischi considerati significativi dal management aziendale in relazione con gli obiettivi di business, e le procedure che il management ha messo in piedi al fine di mitigare i rischi individuati. Le procedure di controllo ben delineate permettono al revisore di valutare l’efficacia delle stesse al fine di mitigare i rischi significativi. Tale approccio permette al revisore di condurre un’attività di audit focalizzandosi sui rischi individuati ed a mantenere una sorta di controllo sulla gestione del rischio da parte dell’azienda. Tali informazioni vengono sintetizzate quindi in un documento chiamato BAF (Business Analysis Framework), contenente notizie legate alla overview del mercato, la strategia, le attività che creano valore aggiunto e le performance finanziarie. La BAF serve quindi per: Identificare i problemi e valutare i rischi connessi all’incarico; Pianificare ed effettuare la revisione in modo efficace ed efficiente; Valutare in modo più consapevole gli elementi probativi emersi nello svolgimento dell’incarico di revisione; Fornire una migliore prestazione al cliente; Valutare il rischio intrinseco ed il rischio controllo; Esaminare i rischi dell’attività del cliente e la risposta data loro dalla Direzione; Effettuare la pianificazione generale del lavoro di revisione e la relativa programmazione; Determinare il livello di significatività ed accertarsi, nel corso del lavoro, che il livello prescelto risulti congruo; Valutare le risultanze del lavoro di revisione per stabilire la correttezza e la validità delle asserzioni di bilancio; Valutare le stime contabili e le attestazioni della Direzione; Identificare le aree dove si può rendere necessario un intervento particolarmente approfondito e specialistico; Identificare le parti correlate e le operazioni poste in essere con tali parti; 94 Riconoscere le informazioni contraddittorie (per esempio, dichiarazioni errate o false); Riconoscere situazioni non usuali o anomale (per esempio frodi210 o altri atti non conformi a leggi o regolamenti, relazioni inattese fra i dati statistici sull’attività operativa e i dati di bilancio)211. Esempio 3.6 - BAF Categorie della BAF ed elementi di supporto: Documentazione della fase di understanding del cliente e dell’ambiente circostante Impatto di audit (per esempio key risks/materialità/preliminary analytics) Ambiente competitivo Ambiente legislativo La competizione settoriale è molto forte. Nuovi competitors sono entrati sul mercato nel corso dell’esercizio Ambiente macroeconomico Deboli barriere all’entrata Rischio di deliberata manipolazione delle vendite al fine di raggiungere i target o rischio di sconti inappropriati/non autorizzati al fine di incrementare le vendite Il management potrebbe sovrastimare vendite e crediti Market Overview Strategia Obiettivi Struttura organizzativa Attività che creano valore Clientela Persone Catena di fornitori Il Board non esercita un ruolo significativo nella revisione delle attività della compagnia La focalizzazione su tali obiettivi potrebbe incrementare la probabilità che il management sovrastimi le vendite e/o sottostimi i costi Il prodotto cambia molto spesso (seguendo gli ultimo trend fashion della moda) Non sono presenti codici di condotta scritti formali; nonostante ciò, la cultura aziendale rispecchia valori etici e di condotta del business con integrità Adeguamento della provvigione per l’obsolescenza inventariale Ottimizzazione dell’inventario Al fine di incrementare i ricavi e di competere sul mercato, il manager responsabile del reparto marketing e vendite ha il permesso di concedere sconti commerciali laddove fosse ritenuto opportuno Il manager responsabile del marketing e delle vendite ha un certo range di azione nel decider e monitorare l’andamento delle vendite e delle attività promozionali. Questo incrementa la possibilità di frodi Ambiente generic, sociale ed impegno etico Performance finanziarie Posizione finanziaria Profilo di rischio Performance economiche Fonte: elaborazione propria su dati PricewaterhouseCoopers Spa 3.3.1.1. Le analytical procedures Le procedure analitiche, come definite dagli standard di revisione, hanno per oggetto la valutazione dei saldi di bilancio attraverso uno studio di possibili interrelazioni tra dati finanziari e non finanziari. Operativamente, le procedure analitiche comportano la comparazione del saldo oggetto di analisi (es. il saldo clienti) sia con dati di bilancio (es. il saldo clienti al periodo precedente) che con grandezze di tipo qualitativo (es. l’indice dei giorni medi di incasso o la comparazione con i dati di budget). 210 Per un maggiore approfondimento circa tale tematica, si vedano i paragrafi successivi al presente capitolo 211 PricewaterhouseCoopers, PwC audit guide, 2010 95 Le preliminary analytical procedures sono attuate nella fase preliminare della revisione, insieme con la costruzione della BAF. Esse implicano quattro step logici da seguire: Sviluppare una aspettativa; l’aspettativa è la previsione che il revisore sviluppa sul saldo o sull’indice che sta analizzando. Per poterla sviluppare correttamente bisogna conoscere a fondo il business del cliente e le sue dinamiche (BAF); Definire la soglia; sulla base delle aspettative sviluppate bisogna decidere qual è l’ammontare delle differenze emerse, tra il confronto del saldo oggetto di esamina ed il valore cui lo si sta comparando, che si ritiene necessario investigare ulteriormente; Calcolare le differenze; il calcolo della differenza riguarda lo scostamento tra il valore che ci si aspetta di avere per quel saldo (aspettativa, primo bullet point) con il valore che compare in bilancio; Investigare le differenze e trarre conclusioni212. Esempio 3.7 - Preliminary analytical procedures Current Current Varianza 31-dic-06 31-dic-07 Euro 15 28 13 % 86,7% Linea di credito 44 47 3 6,8% Inusuale o non aspettata? Sì No Spiegazione X L’aumento del denaro liquido è soprattutto collegato all’aumento nei volumi di vendita, sebbene importanti investimenti siano stati elargiti in corso d’anno X Debito a lungo termine 25 26 1 4,0% X Bilancio Denaro e valori equivalenti Fonte: elaborazione propria su dati inventati 3.3.2. La Audit Comfort Matrix (ACM) I rischi chiave e quelli ritenuti in qualche modo significativi vengono riportati in una matrice detta ACM (Audit Comfort Matrix). All’interno di una tabella vengono riportate per ciascun ciclo aziendale inserito nello scope213 (revenue and receivables, purchase and payables, inventory, treasury ecc.) gli obiettivi del controllo analizzato, la descrizione del controllo esistente, le eventuali deficiency riscontrate, la tipologia di controllo (manuale o automatico), la frequenza, gli obiettivi del processo informativo 212 213 PricewaterhouseCoopers, PwC audit guide, 2010 Si rimanda ai successivi paragrafi per un approfondimento 96 meglio noti con l’acronimo CAVR214 (completeness, accuracy, validity e restricted access), l’impatto che i rischi individuati secondo questi obiettivi possono determinare a livello di financial statement assertions ed infine i test realizzati per validare i controlli interni ed i rispettivi risultati. L’attività viene condotta percorrendo gli step appena elencati per ciascun tipo di controllo esaminato e per ogni attività che costituisce il processo o ciclo aziendale considerato215. L’utilizzo dell’ACM aiuta il revisore: A collegare la fase di understanding della società con l’impatto provocato sull’audit; A collegare i rischi significativi con le relative risposte di audit; A collegare il lavoro da fare alle varie aree ed asserzioni216 di bilancio; Ad avere una overview sull’approccio di audit riferito alla copertura dei rischi significativi. La ACM fa quindi parte della strategia di audit217. Essa permette di evidenziare la risposta di audit ai rischi ritenuti significativi218. L’ACM è un documento creato durante la fase di pianificazione ed è basato sulla BAF, sulle analytical procedures. L’ACM è aggiornata mano mano che l’audit si sviluppa con ulteriori informazioni raccolte riguardanti obiettivi, rischi e controlli con le relative risposte al rischio da parte della società. La ACM è generalmente dettagliata nel modo seguente: Obiettivi di business (non espressamente richiesto dai principi di revisione); gli obiettivi di business possono essere definiti ad alto (missione aziendale) od a più basso livello (operazioni per essere compliante con la mission aziendale). Solamente gli obiettivi aziendali che hanno un impatto sull’audit vanno registrati nell’ACM; Rischi di business (non espressamente richiesto dai principi di revisione); per rischi di business si intende qualunque cosa che possa ostacolare il raggiungimento da parte dell’entità dei propri obiettivi, ivi inclusi quelli strategici, 214 Si vedano i paragrafi successivi per un approfondimento PricewaterhouseCoopers, PwC audit guide, 2010 216 Si vedano i paragrafi successivi per un ulteriore approfondimento 217 Fonte ISA 300 218 Fonte ISA 315.32 215 97 operativi, finanziari e di compliance. Non tutti i rischi di business si trasformano necessariamente in rischi significativi per l’audit. L’ACM registra solamente quei rischi di business che hanno impatto sull’audit, sia del corrente che del futuro periodo di revisione e che potrebbe essere necessario riportare all’entità ai fini di un’implementazione del sistema di controlli interni. Un rischio di business può potenzialmente trasformarsi in uno o più rischi di audit ed anche uno o più rischi di business possono formare un rischio di audit unico; Rischi significativi (richiesto ove applicabile); si riportano i rischi che possono impattare significativamente sull’informativa di bilancio. Tali rischi richiedono una maggiore attenzione da parte del revisore. Si riportano inoltre le aree di bilancio che possono essere influenzate in maniera significativa qualora tali rischi si verificassero. Tutti i rischi significativi individuati devono essere riportati nella ACM. Infine qualora venissero individuati rischi significativi durante lo svolgimento del lavoro di revisione, il revisore deve considerare il rischio di business conseguente all’eventuale verificarsi del rischio e come è collegato agli obiettivi di business; va inoltre valutato se il rischio va comunicato alla società; Risposta e controlli posti in essere dal management aziendale (obbligatorio qualora venga identificato un rischio); la responsabilità di gestire i rischi di business attraverso l’implementazione di un adeguato sistema di controlli interni e monitoraggio dei rischi, è in capo al management aziendale. Il management implementa generalmente una serie di controlli interni atti a prevenire eventuali effetti importanti qualora il rischio si verificasse; al contrario però, laddove il management valutasse gli effetti che possono scaturire dal verificarsi del rischio non significativi, potrebbe non avere implementato un sistema di controlli interni atto a prevenire qualunque rischio. Va quindi valutata la risposta ai rischi significativi posti in essere dal management. Va indicato inoltre quando il revisore decide di testare i controlli chiave al fine di valutarne l’efficacia. Anche questa sezione dell’ACM va aggiornata durante l’audit. Per considerare la risposta del management, va inoltre compreso e valutato l’allineamento tra obiettivi, rischi e controlli. Il management pone infatti in essere un’organizzazione fatta di persone, processi e controlli che devono svolgersi secondo quanto previsto in un certo modo al fine di mitigare il rischio di non raggiungere gli obiettivi di business. Il revisore deve quindi anche valutare 98 l’allineamento della missione219, strategia220 e degli obiettivi che l’entità persegue con quanto effettivamente esercitato sul campo dal personale della società. Se non vi è allineamento, il controllo potrebbe risultare ineffective; Aree ed asserzioni del Bilancio d’esercizio (richiesto laddove sia stato individuato un rischio significativo); il revisore deve individuare quelle che sono le aree di bilancio a rischio di informativa errata qualora il rischio si verificasse e prepara una lista delle asserzioni che non sarebbero rispettate; Audit approach (obbligatoria laddove si fosse individuato un rischio significativo); il revisore riporta in tale sezione il lavoro di audit richiesto al fine di avere assurance contro errori significativi a seguito del verificarsi del rischio significativo. Il lavoro può essere svolto o attraverso le fasi di understanding e valutazione oltre che test del sistema di controlli inerenti l’area potenzialmente a rischio che ottenendo evidenze di audit. Per tutti i rischi significativi va valutato il disegno di controlli posto in essere dalla società per prevenire il verificarsi del rischio. Il disegno delle più rilevanti attività di controllo va valutato e va deciso quando esso non risulta sufficiente in quanto non in grado di coprire tutti i rischi e quando va quindi implementato. Qualora il controllo sembri funzionante, esso va comunque testato; Riportare al cliente; tale sezione raggruppa e riassume ciò che è emerso dalle precedenti sections dell’ACM e che viene riportato al cliente. Ciò che viene riportato riguarda l’individuazione di rischi significativi di business che non sono stati considerati tali dalla società in quanto non è stato implementato alcun sistema di controllo in grado di prevenire l’effettuazione del rischio. Vengono 219 La missione (o scopo) di un’organizzazione o impresa è il suo scopo ultimo, la giustificazione stessa della sua esistenza, e al tempo stesso ciò che la contraddistingue da tutte le altre (fonte definizione sito internet: www.wikipedia.org, enciclopedia telematica) 220 Insieme di decisioni aziendali con le seguenti caratteristiche (fonte L. Brusa, Attuare e controllare la strategia aziendale. Mappa strategica e balanced scorecard, Giuffrè editore, Milano, 2007): sono le più direttamente strumentali agli obiettivi di fondo dell’azienda; hanno essenzialmente per oggetto: i segmenti di mercato da servire (o di utenza nelle Amministrazioni Pubbliche); i prodotti (beni o servizi) da offrire; gli anelli della catena produttiva da gestire in proprio (o quelli da delegare a fornitori esterni e con i quali vi siano relazioni/accordi); sono prese dall’alta direzione (anche se possono trarre origine da ovunque all’interno dell’organizzazione); sono destinate a dare un volto durevole all’azienda 99 inoltre riportate le deficiency di controlli interni e gli eventuali disallineamenti tra gli obiettivi, i rischi individuati ed i controlli posti in essere221. Esempio 3.8 - ACM Obiettivi di business Rischio di business Key Risks Controlli posti in Asserzioni essere dal soddisfatte management nel Financial Reporting Approccio di audit Da riportare al cliente Incrementare i profitti attraverso l'aumento dei margini. Viene deciso di ridurre i costi delle materie prime attraverso la ricerca di nuovi fornitori La ricerca di nuovi fornitori ed il cambiamento potrebbe provocare una diminuzione della qualità del materiale utilizzato e rischio per il tasso di cambio -Conversione della moneta a fine esercizio; -Rischio di frode circa la selezione dei fornitori - Ricalcolo del cambio a fine esercizio per tutte le operazioni con i nuovi fornitori fatto dal financial controller, firmato e caricato a sistema per poterne prendere visione - Ricontrollo della selezione in base ai criteri previsti da parte del CFO e controfirmato dallo stesso Bisogna procedere a ricalcolare alcuni importi relativi alle nuove forniture e a controllare il tasso di cambio utilizzato. Inoltre va valutato se l'autorizzazione a caricare a sistema la documentazione spetta a tutti o si accede tramite password. Bisogna inoltre considerare se il sistema può essere forzato o meno. Qualora il management fosse sotto pressione per raggiungere i risultati, ci potrebbe essere un rischio che vengano scelti i fornitori in base a parametri non corretti. Bisogna rivedere la documentazione relativa Eventuali carenze di procedura/disall ineamenti con quanto previsto per controllare il rischio Debiti verso fornitori: Accurancy Completenes s Right & Obligation Fonte: elaborazione propria su dati inventati 3.3.3. La Summary of Comfort (SOC) I modelli di SOC possono essere utilizzati alternativamente per le singole voci di bilancio o per i livelli di processo di business. Infatti molte voci riportate sul Bilancio d’esercizio derivano da transazioni di processo ed il collegamento tra le transazioni e le singole voci è quindi molto importante. Perciò il revisore deve utilizzare il proprio giudizio professionale per valutare quando abbia più senso preparare una SOC sui processi di business o sulle voci di bilancio, o una combinazione di entrambi. La SOC va preparata abbinando ad ogni voce/processo evidenziato le asserzioni, ma soltanto quelle principali che caratterizzano la voce o il processo stesso. Si possono poi preparare delle SOC specifiche per ogni voce di bilancio per riassumere tutte le asserzioni che vengono trattate in quello specifico contesto. Le SOC hanno tutte alcune caratteristiche comuni: L’indicazione dell’area/processo di bilancio al quale ci si riferisce ed il relativo ammontare di bilancio; 221 PricewaterhouseCoopers, PwC audit guide, 2010 100 Il rischio di errori materiali; descrivendo in maniera veloce i rischi che possono esistere all’interno di una classe di bilancio o di un processo, si permette di valutare se le procedure di audit minime a garantire assurance sono sufficienti o se sono necessarie procedure ulteriori (per esempio laddove si fosse identificato un rischio di valutazione errata delle rimanenze di magazzino per via di obsolescenza di prodotti, deve essere fatto un ulteriore lavoro di analisi successiva circa tale punto per ottenere adeguata assurance sull’asserzione di bilancio della valuation); Vengono identificate le principali asserzioni di bilancio che sono abbinate ad ogni voce o processo; L’indicazione delle procedure di audit in tre distinte categorie: controlli, substantive analytics222 e substantive tests of details223; laddove il revisore ottenga un adeguato comfort dall’analisi dei controlli interni posti in essere dalla società, verranno svolte più substantive analytics piuttosto che test di dettaglio e viceversa. Il revisore può inoltre decidere di aggiungere eventualmente altre caratteristiche laddove esse fossero necessarie alla formazione di una SOC completa: Un confronto completo tra le differenti voci che alimentano il bilancio di verifica per l’anno corrente e l’anno precedente (tale raffronto è denominato lead schedule); questo potrebbe essere necessario per visualizzare nel dettaglio tutte le asserzioni che influenzano ciascuna informazione che va a confluire nel Bilancio d’esercizio; L’indicazione del lavoro svolto dall’internal audit dell’azienda piuttosto che dal revisore; L’indicazione dei report manageriali utilizzati, qualora fossero utili per raccogliere evidenze di audit; Una conclusione in merito ai risultati del lavoro circa le macro-voci di bilancio significative, i processi e le asserzioni più rilevanti che influenzano il bilancio. 222 Si vedano i precedenti paragrafi che trattano delle analytical procedures per un approfondimento su tale tematica 223 I test di dettaglio sono stati approfonditi all’interno del capitolo 2 di tale trattazione 101 Esempio 3.9 - SOC Area di bilancio: Esercizio del bilancio Immobilizzazioni materiali 8 Rischio di errori significativi Le immobilizzazioni materiali potrebbero non esistere Le immobilizzazioni materiali potrebbero non essere di proprietà della società Non tutti i conti di immobilizzazioni materiali sono inclusi nel bilancio d’esercizio Non tutti i conti di immobilizzazioni materiali sono stati appropriatamente classificati in bilancio Il cut-off potrebbe non essere corretto Esercizio Variazione passato Variazione % 7 1 14,3% C A CO E/O R&O V PD Comfort ottenuto dai controlli Revisione delle capitalizzazioni Esaminare gli ordini di acquisto Substantive analytical review Spese di ristrutturazione Svalutazione Substantive tests of details Riconciliazione dei valori delle immobilizzazioni materiali tra libro cespiti e contabilità Disposizioni Passività non registrate X X X X X X X X X X X X X X X X X Fonte: elaborazione propria su dati PricewaterhouseCoopers adattati 3.4. Le asserzioni di bilancio 3.4.1. L’audit comfort cycle Dopo aver utilizzato gli strumenti a propria disposizione nelle fasi preliminari dell’audit, il revisore arriva a determinare quello che è chiamato l’audit comfort cycle. L’audit comfort cycle si compone di 4 fasi: scoping, understanding, evaluating e validating. La definizione dello scope serve a delimitare l’attività di audit alle sole aree di interesse (nell’ottica della massima efficienza ed efficacia). L’understanding mira alla comprensione della struttura organizzativa del sistema di controllo interno (framework), degli obiettivi, delle procedure, dei rischi chiave e delle responsabilità previste e formalizzate (come già visto nei precedenti paragrafi). L’evaluating invece costituisce lo step successivo di valutazione dell’efficacia dei controlli interni posti in essere dal management e consente di esprimere un giudizio finale in merito al livello di comfort che si ricava nello svolgimento dell’attività di audit (già visto nell’analisi degli strumenti che il revisore utilizza per ripararsi dal rischio di errori significativi). Dopodichè, si procede con le attività di validazione dei controlli individuati, in modo da raccogliere delle evidenze che attestino la validità e la veridicità di quanto appreso nella fase cognitiva. 102 Figura 3.4 - Audit comfort cycle Fonte: PricewaterhouseCoopers, PwC audit guide, 2010 Maggiore è il comfort ottenuto dall’analisi dei controlli interni e minore sarà il dettaglio delle attività successive di revisione, ossia, si potranno svolgere un maggior numero di procedure analitiche ed un minor numero di test di dettaglio (sicuramente più onerosi in termini di tempo e di risorse)224. Dall’evaluating e dal validating si perviene al giudizio relativo al livello di comfort che si può ottenere dal sistema di controlli interni. Terminato l’audit comfort cycle e compilate le audit comfort matrix225 (una per ogni ciclo analizzato), si decide se proseguire l’audit ricorrendo ad un mix di substantive analytical procedures e tests of detail con ago della bilancia più spostato verso le prime o verso i secondi. 224 Sito internet www.economicamente.biz/?p=3173, che riporta un articolo riguardante la modalità di revisione della principale firm del settore, PricewaterhouseCoopers Spa 225 Si vedano i paragrafi precedenti del presente capitolo per approfondire ulteriormente tali concetti 103 Maggiore è il grado di comfort ottenuto dallo studio degli internal controls e maggiore sarà l’impiego delle substantive analytical procedures in luogo degli onerosi test di dettaglio che ricordiamo sono obbligatori per le verifiche che fanno capo ad attività e controlli legati a rischi chiave. Le substantive analytical procedures non hanno il carattere della obbligatorietà secondo quanto prescritto dai principi di revisione quando vengono utilizzati come test di dettaglio e si realizzano sempre in quattro step (così come le preliminary226 e le final): creazione di un’aspettativa indipendente, fissazione del livello di threshold e delle differences significative, misurazione del fenomeno, confronto con i livelli di verifica e conclusioni. Esempi di procedure analitiche sono: trend analysis, ratio analysis, analisi di ragionevolezza, analisi di inferenza, scanning analytics ecc. I substantive tests of detail227 invece sono generalmente suddivisi in tre categorie: targeted tests, accept and reject tests e sample tests. I primi sono quelli più consigliati e si focalizzano su una parte della popolazione da esaminare selezionata in base ad un valore o una caratteristica che accomuna gli item che la compongono (omogeneità). Un esempio potrebbe essere una classificazione del tipo ABC. Gli accept and reject test sono maggiormente indicati quando bisogna verificare la presenza di una determinata caratteristica all’interno di una popolazione da esaminare, ossia, quando l’oggetto del test non è un valore finanziario. I sample test si basano invece sul metodo dell’estrazione campionaria statistica e non. 3.4.2. Le asserzioni La valutazione dei possibili rischi di errore significativi sul Bilancio d’esercizio viene fatta come visto sulla SOC, che utilizza le asserzioni di bilancio per stabilire dove l’impatto del rischio andrebbe a provocare un errore e dove pertanto il revisore deve porre attenzione. Il revisore deve identificare e valutare il rischio di ogni possibile errore materiale a livello delle asserzioni per classe di transazione o voce di bilancio, al fine di disegnare le basi delle future procedure di audit228. 226 Si rimanda al sottoparagrafo 3.3.1.1. per visionare l’approfondimento e l’esempio di analytical procedures 227 Si rimanda al capitolo 2 per una più approfondita analisi 228 Fonte ISA 315.25 104 Assumendo la responsabilità che le informazioni emesse corrispondono alla realtà, il management aziendale implicitamente o esplicitamente tiene conto delle asserzioni di bilancio, riguardanti l’esistenza, la misurazione, la presentazione e la registrazione dei diversi elementi sul bilancio e su tutta l’informativa229. Le asserzioni usate dal revisore per considerare le differenti tipologie di possibili errori che possono verificarsi si dividono in tre categorie230: Asserzioni circa classi di transazioni ed eventi occorsi durante il periodo di audit, che includono Occurrence le transazioni e gli eventi registrati nel periodo hanno pertinenza con l’entità; Completeness tutte le transazioni e gli eventi che dovrebbero essere registrati lo sono stati; Accuracy l’ammontare e gli altri dati relativi alle transazioni ed eventi sono stati registrati appropriatamente; Cut-off le transazioni e gli eventi sono stati registrati nel periodo contabile corretto; Classification le transazioni e gli eventi sono stati classificati nella voce di bilancio corretta; Asserzioni circa voci di bilancio presentate a fine esercizio, che includono Existence attivo, passivo e patrimonio netto esistono; Rights and obligations l’entità detiene la proprietà o il controllo dei diritti su attività e passività che sono obbligazioni assunte per l’entità stessa; Completeness tutte le attività, le passività ed il patrimonio netto che dovrebbero essere registrati lo sono stati; Valuation and allocation le attività, le passività ed il patrimonio netto sono iscritti nel Bilancio d’esercizio al valore appropriato e tutti gli aggiustamenti necessari sono appropriatamente registrati; Asserzioni circa la presentazione e le registrazioni in bilancio, che includono 229 230 Fonte ISA 315.A110 Fonte ISA 315.A111 105 Occurrence and rights and obligations gli eventi registrati e le transazioni sono effettivamente accadute e sono di pertinenza dell’entità; Completeness tutte le registrazioni che dovrebbero essere registrate nel Bilancio d’esercizio lo sono state; Classification and understandability le informazioni finanziarie sono presentate nel modo appropriato e descritte e registrate in modo chiaro; Accurancy and valuation le informazioni finanziarie e non sono registrate in maniera corretta e rappresentano il giusto ammontare. Il revisore può utilizzare le asserzioni così come precedentemente descritto o può esprimerle in modo differente. Per esempio alcune di esse potrebbero essere combinate tra loro231. Questo è possibile al fine di semplificare l’utilizzo delle asserzioni di bilancio nella pratica. Generalmente esse vengono combinate tra loro in questa maniera: Asserzione di bilancio implicita Asserzione PwC Abbreviazione Accuracy Accurancy A Completeness Completeness C Cut-off Cut-off CO Existence/Occurrence E/O Presentation and disclosure PD Right and obligations Right and obligations RO Valuation and allocation Valuation V Existence Occurrence Classification Understandability Al fine di giungere ad una conclusione sulla veridicità e correttezza del Bilancio d’esercizio o meno nella sua interezza, il revisore considera molto importanti le asserzioni di bilancio. E’ per questa ragione che un numero significativo di procedure di audit sono disegnate al fine di rispondere al rischio di errore significativo identificato a livello di analisi del rispetto delle asserzioni. Relativamente ai rischi di errore significativo individuati a livello di analisi delle asserzioni di bilancio è necessario collegare in maniera adeguata i rischi ed i test sui controlli e le relative substantive audit procedures che sono collegati ad una asserzione specifica. Per esempio, l’osservazione del magazzino dà una forte e diretta evidenza 231 Fonte ISA 315.A112 106 circa l’esistenza delle rimanenze di magazzino stesse e può fornire anche alcune importanti indicazioni circa la valutazione delle rimanenze (si pensi a materiale individuato chiaramente obsoleto). Per questa ragione, al fine di stabilire una chiara correlazione tra la valutazione del rischio di possibili errori significativi ed ulteriori procedure di audit da attuare, va detto che le procedure di valutazione finale del rischio sono fatte a livello di asserzioni. Per esempio qualora si fosse individuato eventuale materiale obsoleto tra le rimanenze di magazzino, l’asserzione della valuation permette di stabilire un collegamento tra il rischio e le relative procedure da attuare per ottenere comfort232. Gli elementi probativi selezionati, indagati e analizzati per una o più voci di bilancio dovranno soddisfare le asserzioni.. Tornando alle asserzioni di cui sopra, mentre sei vengono valutate (e devono essere provate) a livello di singoli componenti, la presentation & disclosure richiede invece uno sguardo al bilancio nel suo complesso. E’ importante quindi per il revisore, prima di iniziare il lavoro di test, capire verso quali obiettivi per valutare le singole voci ci si vuole indirizzare al fine di ottenere una adeguata assurance. 3.5. La frode Il termine frode indica un atto intenzionale fatto da uno o più individui facenti parte del management, di coloro che sono incaricati della governance della società, dei dipendenti, incluso l’utilizzo di inganni ed escamotages al fine di ottenere un vantaggio personale ingiusto o illegale233. Gli obiettivi del revisore concernenti tale punto sono differenti ed in particolare riguardano234: L’identificazione del rischio e la valutazione di possibili significativi errori materiali dovuti a frode; 232 PricewaterhouseCoopers, PwC audit guide, 2010 Fonte ISA 240.11 234 Fonte ISA 240.10 233 107 L’ottenimento di appropriate e sufficienti evidenze di audit riguardanti la valutazione dei rischi di possibili significativi errori materiali dovuti a frode, attraverso il disegno e l’implementazione di appropriate risposte di audit; L’appropriatezza della risposta di audit ad eventuale frode o sospetta tale evidenziata durante la procedura di revisione. Gli errori nel Bilancio d’esercizio possono scaturire da frode o errore non dovuto a frode. Il fattore tra loro distintivo riguarda l’intenzionalità o meno di porre in essere l’azione che ha portato all’errore significativo di bilancio235. Il revisore è responsabile secondo i principi ISA della frode che causa errori materiali sull’informativa di bilancio emessa dalla società. Vi sono in particolare due tipi di errori intenzionali rilevanti per i revisori che sono: Errori risultanti da un reporting finanziario redatto in modo fraudolento; Errori risultanti da indebita appropriazione degli asset della società. Sebbene il revisore possa sospettare o, in rari casi, identificare la frode, egli non ha il potere di fare alcuna accusa di tipo legale circa quando la frode si sia effettivamente verificata236. La frode, in entrambi i casi in precedenza delineati, comprende incentivazione o pressione per far commettere la frode stessa. Per esempio237: L’incentivazione o la pressione a redigere un reporting finanziario fraudolento può esistere quando il management è sotto pressione, dovuta a soggetti terzi esterni od interni all’entità, per via dell’obiettivo di raggiungere un risultato di utile o di altri indicatori finanziari o economici (in realtà non raggiunto), che possa portare a negative conseguenze per il management stesso qualora non raggiunto; La percezione di opportunità di commettere frode potrebbe esistere qualora un individuo creda di poter scavalcare il sistema di controlli interni, ad esempio perché egli occupa una posizione rilevante di fiducia oppure ha le conoscenze necessarie per conoscere le specifiche mancanze nel sistema dei controlli interni; 235 Fonte ISA 240.2 Fonte ISA 240.3 237 Fonte ISA 240.A1 236 108 I dipendenti potrebbero commettere un atto fraudolento per via della loro attitudine, carattere o dei loro valori personali che permettono loro di commettere un atto disonesto in maniera consapevole ed intenzionale. Ad ogni modo, anche gli individui più onesti possono commettere un atto di frode in un ambiente che li costringe ad operare sotto pressione, considerata dai soggetti stessi ingiusta ed eccessiva. Gli errori non voluti, come detto, non sono un atto di frode. La frode è un atto intenzionale e soventemente coinvolge un occultamento intenzionale dei fatti. Gli errori sono definite come non intenzionali omissioni di voci o registrazioni che dovevano alimentare il Bilancio d’esercizio. Gli errori potrebbero riguardare: Errori di raccolta o di lavorazione dei dati che alimentano il Bilancio d’esercizio; Una stima contabile non ragionevole che scaturisce da una sbagliata interpretazione dei fatti; Errori nell’applicazione di principi contabili relativamente ad ammontari da iscrivere, classificazioni, presentazione sul bilancio, ecc.238. L’intenzionalità è spesso difficile da determinare, particolarmente in materia di stima contabile e di applicazione dei principi contabili239. Per esempio, una stima contabile non ragionevole potrebbe essere sia intenzionale che non. L’audit non è disegnato per determinare l’intenzionalità ma il revisore necessita di capire gli intenti al fine di individuare gli impatti sulle procedure di audit. Il reporting finanziario fraudolento include quindi errori ed omissioni commessi in maniera intenzionale che possono trarre in inganno l’utilizzatore dell’informativa di bilancio. Ad esempio qualora il management influenzasse in maniera fraudolenta la rappresentazione del risultato d’esercizio, si potrebbero ottenere più facilmente finanziamenti dall’esterno oppure avere una minore imposizione fiscale240. Il management potrebbe attuare tali “aggiustamenti” in maniera anche graduale per via delle pressioni e degli incentivi che, però, potrebbero anche avere l’effetto di incrementare tali azioni. Una situazione del genere può capitare nel caso in cui, per via delle pressioni di aspettative di mercato o del desiderio di massimizzare i compensi 238 PricewaterhouseCoopers, PwC audit guide, 2010 Si rimanda al capitolo 1 della presente trattazione per un approfondimento sui principi contabili 240 Fonte ISA 240.A2 239 109 variabili basati sulle performance di risultato, il management intenzionalmente assume una posizione fraudolenta manipolando materialmente l’informativa. Il reporting finanziario redatto in maniera fraudolenta potrebbe essere compiuto nei seguenti modi241: Manipolazione, falsificazione o alterazione di registrazioni contabili o di documentazione a supporto dalla quale viene dedotta l’informativa di bilancio; Rappresentazione errata o omissione intenzionale dal bilancio di eventi e transazioni o altre informazioni significative; Applicazione errata intenzionale dei principi contabili relativamente ad ammontari, classificazioni e rappresentazione in bilancio. La frode può anche, come accennato in precedenza, essere commessa dal management aziendale che conosce i controlli interni e le loro carenza ed è in grado di scavalcarli. Le tecniche per aggirare il sistema di controllo interno sono molteplici242: Registrazione di journal entries243 fittizie, in modo particolare verso la chiusura dell’esercizio, al fine di manipolare i risultati operativi e di raggiungere altri obiettivi (come precedentemente spiegato); Aggiustamenti non appropriati e giudizi modificati usati per stimare le poste di bilancio; Ritardata registrazione sul bilancio di eventi e transazioni che si sono verificate nel periodo di riferimento; Mancata presentazione di fatti che possono avere un significativo effetto sugli ammontari registrati in bilancio; Transazioni complesse che sono strutturate in maniera da fuorviare il lettore del bilancio ed il revisore sull’effettiva posizione finanziaria e sulle performance finanziarie dell’entità; 241 Fonte ISA 240.A3 Fonte ISA 240.A4 243 La caratteristica di journal entries fraudolente o altri simili aggiustamenti hanno spesso caratteristiche ben identificabili. Ad esempio possono includere entrate fatte con contropartita conti strani, non usuali, o voci non utilizzate in precedenza, fatte da individui che tipicamente non registrano sul libro giornale, registrate alla fine del periodo o come aggiustamenti post chiusura con poche o nessuna spiegazione o descrizione, fatte sia prima che durante la preparazione del Bilancio d’esercizio e che non hanno nessun numero di conto collegabile, o che contengono numeri che si ripetono o sempre le stesse cifre finali 242 110 Alterazione di registrazioni e termini collegati a transazioni significative e inusuali. L’appropriazione indebita degli asset societari si riferisce invece a colui che, senza averne il diritto, si impossessa come se fosse un ladro degli asset della società. Ciò accade spesso in piccole realtà e generalmente coinvolge dipendenti che si appropriano indebitamente di basse cifre. In ogni caso, può anche riguardare il management di una società che risulta in grado di appropriarsi in maniera indebita degli asset in modo da essere difficilmente scoperto. L’appropriazione indebita degli asset può avvenire in diversi modi244: Sottraendo entrate (per esempio appropriazione indebita di crediti verso clienti o deviando le entrate su conti bancari personali); Rubando asset materiali di proprietà della società od immobilizzazioni immateriali (per esempio, rubare rimanenze di magazzino per uso personale o vendita, rubando rottami da rivendere, accordarsi con un competitor fornendo informazioni su dati tecnologici importanti in cambio di denaro); Effettuare forme di pagamento da parte della società per beni e servizi in realtà mai ricevuti (per esempio, pagamenti a venditori fittizi, pagamenti a dipendenti fittizi, ecc.); Utilizzare gli asset societari per scopi personali (per esempio dare garanzia tramite asset societari al fine dell’ottenimento di un prestito personale o alle parti correlate). L’appropriazione indebita degli asset è spesso accompagnata da registrazioni false o documenti che attestano la perdita di asset o che sono stati emessi senza le dovute autorizzazioni. In molti casi, l’appropriazione indebita degli asset potrebbe anche non causare un errore significativo od un’omissione di informativa sul Bilancio d’esercizio. In ogni caso, va considerato che l’appropriazione indebita potrebbe essere considerata materiale solamente vista la sua natura piuttosto che la sua grandezza monetaria, ad esempio per il coinvolgimento di management a capo della gestione aziendale, oppure perché ha implicazioni di legge, o perché può provocare la perdita della buona reputazione dell’azienda sul mercato. Vi è anche la possibilità che la frode di apparente basso 244 Fonte ISA 240.A5 111 importo ed impatto sul bilancio scoperta sia solamente l’inizio di un effetto a catena che sommato può portare ad effetti disastrosi. In alter parole, la scoperta di frode che inizialmente può sembrare poco influente può essere indicazione di problemi molto più significativi con ampie implicazioni sull’entità e la sua informativa. 3.5.1. La responsabilità del management aziendale La responsabilità primaria per la prevenzione della frode è in capo alle persone facenti capo alla governance della società ed al management aziendale. E’ importante che il management, che ha la visione di coloro che sono incaricati della governance societaria, faccia un grande sforzo ai fini di prevenire la frode stessa e la possibilità che essa prenda forma all’interno della società. Per fare questo il management può avere bisogno di deterrenti che convincano gli individui presenti nell’entità a non commettere atti di frode per via della probabilità di essere scoperti e puniti. La prevenzione della frode parte comunque dalla cultura che si crea e che viene alimentata dal management della società all’interno dell’organizzazione aziendale stessa tra i dipendenti, che deve essere una cultura di onestà e di comportamento etico. Le persone incaricate della governance della società devono porre attenzione alla possibilità che i controlli interni possano essere scavalcati o che i processi presentino alcuni punti in cui vi può essere un’influenza da parte del management aziendale, ad esempio laddove i bonus manageriali siano legati all’ottenimento di risultati di bilancio, il che può influenzare la corretta e veritiera informativa di bilancio245. La responsabilità di cui è incaricata la governance societaria o il management può essere varia e differente da entità a entità e da paese a paese, per via della compliance richiesta da diverse leggi e da codici etici scritti sulla base di differenti culture. Ciò che è importante è che il management instauri un ben radicato insieme di valori a partire dai dipendenti tramite corsi sull’etica e sul modo di operare dell’azienda nel business. La creazione di una cultura di onestà e di un comportamento etico all’interno della società comprende: La creazione di un ambiente positivo di lavoro; 245 Fonte ISA 240.4 112 L’assunzione e la preparazione dei dipendenti in maniera appropriata; La conferma periodica dei dipendenti circa le loro responsabilità; L’assunzione di azioni adeguate nel caso di frode sospetta o scoperta246. Il mantenimento di un sistema di controlli interni adeguato che dia una ragionevole assurance deve essere oggetto di valutazione di coloro che fanno parte della governance della società, sotto la supervisione del management. L’assurance circa il sistema di controlli interni si intende con riferimento a: Affidabilità del collegamento con il financial reporting; Efficacia ed efficienza delle operazioni; Conformità alle leggi ed ai regolamenti applicabili. La formazione di un ambiente di controllo e mantenere vivo il rispetto delle policy e delle procedure è responsabilità del management aziendale. Tale responsabilità comprende il mantenimento del sistema di controlli interni al fine di perseguire l’obiettivo di emettere informativa all’esterno veritiera e corretta. 3.5.2. La responsabilità del revisore Il revisore è responsabile dell’eventuale frode che può verificarsi in azienda e pertanto necessita di ottenere un adeguato grado di assurance sul fatto che l’informativa finanziaria giudicata nel suo complesso sia priva di errori significativi dovuti a frode. Come spiegato nei precedenti paragrafi c’è il rischio che, nonostante l’audit sia impostato ed effettuato in compliance con i principi ISA, per via di una limitazione inerente dell’audit, degli errori materiali possano non essere individuati247. Il potenziale effetto di limitazioni di tale genere è particolarmente significativo nel caso di errori derivanti da frode. Il rischio di non individuare un errore materiale derivante da frode è più alto del rischio di non individuare un errore materiale derivante da errori veri e propri, non commessi in maniera volontaria. Questo è dovuto al fatto che la frode può coinvolgere schemi organizzati e disegnati accuratamente per non permettere di essere individuata, oppure la volontariamente mancata registrazione di transazioni ed 246 247 PricewaterhouseCoopers, PwC audit guide, 2010 Fonte ISA 240.5 113 ancora la rappresentazione fuorviante intenzionale dei fatti al revisore. Questi tentativi sono tanto più difficili da individuare quanto maggiore è la collusione. La collusione potrebbe causare la convinzione nel revisore che l’evidenza di audit raccolta sia reale quando in realtà è falsa ed inventata. La difficoltà del revisore nello scoprire la frode dipende da fattori quali l’abilità del soggetto, la frequenza delle manipolazioni, il grado di collusione coinvolta, la grandezza dell’importo manipolato e la seniority delle persone coinvolte: infatti è molto più facile scoprire una frode reiterata nel tempo piuttosto che valutare l’eventuale frode nelle stime contabili (in quanto risulta difficile la distinzione con l’errore)248. Inoltre, risulta più difficoltoso, ad esempio, per il revisore individuare un errore materiale risultante da frode del management piuttosto che dei dipendenti, in quanto il management è in una posizione in grado di manipolate direttamente od indirettamente le registrazioni oppure scavalcare i controlli interni e le procedure atte a prevenire frodi di tipo similare effettuate dal personale dipendente della società249. Quando si ottiene un ragionevole grado di assurance, il revisore è comunque responsabile del mantenimento di scetticismo professionale, atto a ragionare sulla possibilità da parte del management di aver scavalcato il sistema di controlli interni250. Ovviamente il management aziendale ed i dipendenti coinvolti in una situazione di frode tendono a mettere in atto ulteriori comportamenti al fine di nascondere la frode che stanno perpetuando. La frode può essere occultata con: Evidenze nascoste; Informazione non corretta in risposta alle richieste; Falsificazione della documentazione (per esempio i dipendenti od i membri del management che si appropriano indebitamente di denaro potrebbero provare a nascondere il loro furto tramite firme elettroniche su autorizzazioni di approvazione false); Collaborazione tra management, dipendenti e terze parti (per esempio tramite tale collaborazione potrebbe essere che falsa documentazione ed evidenze 248 Fonte ISA 240.6 Fonte ISA 240.7 250 Fonte ISA 240.8 249 114 vengano presentate dalla società al revisore e che spiegazioni simili ma fuorvianti circa risultati attesi o inattesi vengano fornite da più di un individuo dell’entità; un esempio di collaborazione tra il management e le terze parti potrebbe invece portare a false conferme dalle stesse ottenute tramite procedura di circolarizzazione); Management in grado di scavalcare controlli interni che appaiono operare in maniera efficace (per esempio, il management coinvolto in situazioni fraudolente potrebbe registrare journal entries fittizie o alterare documenti di consegna della merce)251. La possibilità di commettere atti fraudolenti è tanto inferiore quanto maggiormente il management aziendale promuove standard etici, implementa e monitora controlli automatici e manuali appropriati di prevenzione della frode e prevede deterrenti contro l’attuazione della frode stessa. 3.5.3. La componente dello scetticismo professionale nel lavoro del revisore Il revisore nello svolgimento del lavoro di audit deve mantenere un atteggiamento professionale e scettico al fine di riconoscere e valutare l’eventuale possibilità che vengano commessi errori materiali dovuti a frode, al di fuori della considerazione che il revisore può avere della società vista la sua passata esperienza252. A meno che il revisore non abbia valide ragioni per presupporre il contrario, egli deve accettare le registrazioni ed i documenti fornitigli come reali. Soltanto laddove le circostanze evidenzino la possibilità che la documentazione fornita per la revisione possa essere contraffatta e falsa, il revisore deve provvedere ad investigare in maniera più approfondita253. Laddove le risposte del management aziendale o delle persone addette alla governance della società alle richieste siano inconsistenti, il revisore deve provvedere ad investigare ulteriormente254. Mantenere un atteggiamento professionale scettico richiede un continuo chiedersi da parte del revisore di quando le informazioni e le evidenze di audit ottenute evidenzino 251 PricewaterhouseCoopers, PwC audit guide, 2010 Fonte ISA 240.12 253 Fonte ISA 240.13 254 Fonte ISA 240.14 252 115 che un errore dovuto a frode potrebbe esistere. Va inoltre considerata l’attitudine delle informazioni ad essere utilizzate come evidenze di audit e quindi vanno valutati i controlli sottostanti alla preparazione di tale documentazione. Per via delle caratteristiche della frode è quindi molto importante per il revisore mantenere un atteggiamento di scetticismo professionale quando viene valutato il rischio di possibile errore volontario255. 3.6. Le novità della legislazione in ambito di revisione contabile: il Decreto Legislativo n. 39/2010 L’entrata in vigore del D.Lgs. n.39/2010 ha apportato notevoli modifiche alle procedure di revisione nonché agli standard qualitativi previsti dalla revisione contabile stessa. In particolare le modifiche si sono concentrate su taluni aspetti: ad esempio i controlli contabili previsti dalla procedura di revisione contabile di bilancio. I controlli contabili sono attuati dai revisori in maniera periodica: in particolare essi sono attuati con cadenza trimestrale e servono ad effettuare un controllo periodico circa la corretta rilevazione dei fatti di gestione della società e della regolare tenuta della contabilità sociale256. L'attività di controllo contabile, che ha ora preso il nome di revisione legale257, è ormai disciplinata unicamente dal decreto legislativo 39/2010. In particolare l’esercizio della revisione legale è riservato ai soggetti iscritti nel Registro258, per la cui iscrizione sono previsti molteplici requisiti per le persone fisiche259. Uno degli aspetti più importanti su cui la riforma si basa è il presupposto che l'attività svolta dai revisori sia soggetta a un periodico controllo di qualità. Ecco perché talvolta è opportuno affrontare il tema della revisione partendo "dal fondo", e cioè dalle norme sui controlli e sulle sanzioni: sapere quali aspetti della propria 255 Fonte ISA 240.A7 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il bilancio d’esercizio 2010. Principi, struttura e valutazioni, Euroconference editore, Verona, settembre 2009 257 Fonte art. 2328 Codice civile 258 D.Lgs. n.39/2010, art. n.2 259 Si rimanda alla lettura dell’art. n.2 del D.Lgs. n.39/2010 per prendere eventualmente visione dei requisiti richiesti per l’iscrizione per l’esercizio alla revisione contabile, in quanto non importante ai fini della presente analisi 256 116 attività verranno verificati è il primo elemento da considerare proprio per organizzare al meglio l'attività stessa260. L’articolo 20 è dedicato interamente al controllo di qualità. Gli aspetti di fondo possono essere così riassunti: chi è iscritto al registro dei revisori è soggetto a un controllo ogni sei anni (tre se l'attività di revisione riguarda società quotate ed enti assimilati); il controllo verrà effettuato da persone fisiche in possesso di requisiti di esperienza e professionalità; l'attuazione pratica della disposizione è demandata a un provvedimento del Ministero dell'Economia. L’analisi viene incentrata sugli elementi indicati dal decreto come aspetti rilevanti sui quali il controllore dovrà esprimere la sua valutazione261. Si tratta dei seguenti aspetti: conformità ai principi di revisione; requisiti di indipendenza; quantità e qualità delle risorse impiegate; corrispettivi per la revisione. Nel caso delle società di revisione viene considerato anche il sistema interno di controllo della qualità. Il controllore provvederà a verificare la congruità delle risorse a disposizione del revisore con il numero degli incarichi svolti. Se il revisore è un soggetto singolo, infatti, esiste un limite fisiologico rappresentato dall'obbligo di svolgere le verifiche periodiche di revisione262. Se invece il revisore si avvale di altri soggetti263 occorre che essi forniscano risorse adeguate sia dal punto di vista quantitativo sia dal punto di vista qualitativo. Ciascun revisore dovrà essere quindi in grado di produrre un elenco delle persone di cui si avvale per lo svolgimento degli incarichi, con l'indicazione delle relative qualifiche professionali e del tempo da essi dedicato alla revisione. Inoltre, trattandosi di fatto di un "team di revisione", dovranno anche essere adottate le procedure che assicurano la 260 P. Ceppellini, R. Lugano, Un voto all'attività del revisore, Il sole 24 ore, 13 maggio 2010 D.Lgs. n.39/2010, art. n.20, comma n.5 262 D.Lgs. n.39/2010, art. n.14 263 Fonte art. 2403 bis Codice civile, comma n.4 261 117 verifica delle qualità delle persone, la loro direzione e la loro supervisione da parte del revisore264. Il revisore dovrà esporre inoltre i corrispettivi stabiliti per ciascun incarico, motivandone la quantificazione. Il controllore dovrà verificare i seguenti aspetti265: corrispettivo non subordinato a condizioni; corrispettivo non determinato in funzione dei risultati della revisione; corrispettivo non dipendente da prestazioni di servizi diversi dalla revisione (anche alle altre società del gruppo); corrispettivo quantificato in modo da garantire la qualità e l'affidabilità del lavoro di revisione. Tutte queste verifiche garantiscono sicuramente un maggiore grado di indipendenza nella revisione del Bilancio d’esercizio da parte del revisore esterno. Quindi il sistema di controllo deve essere indipendente dai revisori legali e dalle imprese di revisione contabile controllate ed è soggetto al controllo pubblico; il suo finanziamento deve essere sicuro ed esente da qualsiasi influenza indebita da parte dei revisori legali. Chi effettua i controlli deve avere formazione ed esperienza professionale adeguate in materia di revisione legale e di informativa finanziaria, nonché una formazione specifica in materia di controllo della qualità. Il controllo include una valutazione della conformità ai principi di revisione e ai requisiti di indipendenza applicabili, della quantità e qualità delle risorse investite, dei corrispettivi per la revisione nonché del sistema interno di controllo della qualità nell'impresa di revisione contabile. Il controllo della qualità è oggetto di una relazione con conclusioni; ha luogo almeno ogni sei anni; i risultati globali del sistema di controllo della qualità sono pubblicati annualmente. Le raccomandazioni formulate a seguito dei controlli della qualità sono recepite dal revisore legale o dall'impresa di revisione contabile entro un termine ragionevole, pena l'applicazione di sanzioni. 264 265 Fonte ISA 220 D.Lgs. n.39/2010, art. n.10, commi n.9 e 10 118 Al fine di rilevare eventuali situazioni di incompatibilità tra società di revisione e potenziale cliente il decreto ha ad oggetto la verifica degli organi di amministrazione e controllo della società potenziale cliente e, limitatamente alle sole società italiane, delle sue controllanti, delle controllate e delle società partecipate e partecipanti con diritti di voto superiori alla soglia del 20%. Con riferimento alla sola società potenziale cliente vengono richieste anche le informazioni relative alla direzione aziendale ed ai soggetti che svolgono funzioni tali da consentire l’esercizio di un’influenza diretta sulla preparazione delle registrazioni contabili e del bilancio della società stessa. Per quanto riguarda le società estere, la verifica viene effettuata mediante sottoscrizione periodica di un’apposita dichiarazione cumulativa da parte dei revisori Soci di tutte le Società di revisione appartenenti ad un network. La verifica in conformità a quanto previsto presuppone l’ottenimento dell’organigramma della struttura del gruppo, comprendente la società capogruppo ultima (italiana o estera) e tutte le società italiane, che soddisfino uno o più dei seguenti requisiti: siano controllanti o controllate, dirette ed indirette, del/i potenziale/i cliente/i della Società di revisione; siano partecipanti o partecipate dirette ed indirette, del/i potenziale/i cliente/i della Società di revisione con diritti di voto superiori al 20%; siano soggetti giuridici che procedono all’assegnazione dell’incarico di revisione legale dei conti ai sensi dell’articolo 14 del D.Lgs. 39/2010 e dell’articolo 155 del D.Lgs. 58/1998, come modificato dal D.Lgs. 39/2010 (dopo l’entrata in vigore del D.Lgs. 39/2010 la comunicazione a Consob266 è ora richiesta anche per gli incarichi conferiti dagli emittenti di cui all’art. 116 del TUF – Emittenti strumenti finanziari diffusi tra il pubblico –). Al termine della procedura di verifica, il Compliance Office, previa ricezione dell’esito dello svolgimento della procedura procede all’invio al cliente della dichiarazione di insussistenza cause di incompatibilità. Nel corso degli esercizi per i quali è stato conferito incarico di revisione ai sensi degli articoli 14 del D.Lgs. 39/2010 e 155, 165 e 165-bis del D.Lgs. 58/1998, come modificato dal D.Lgs. 39/2010, al variare delle informazioni richieste in sede di conferimento di incarico relative agli organi di amministrazione e controllo e della 266 D.Lgs. n.58/1998, art. n.162, comma 3 bis 119 direzione aziendale o in caso di variazione della struttura del gruppo di riferimento il cliente fornirà comunicazione di dette variazioni al revisore al fine di consentire l’avvio delle opportune verifiche di insussistenza cause d’incompatibilità. Al fine di garantire il completamento della procedura prima del conferimento dell’incarico di revisione il revisore deve richiedere l’avvio del processo di verifica insussistenza267. Il revisore è responsabile per qualsiasi circostanza sopraggiunta e non comunicata o per il mancato aggiornamento nel tempo delle informazioni raccolte in sede di conferimento incarico, oltre che della raccolta di informazioni non sufficienti. Il mancato rispetto degli adempimenti contenuti nel decreto è sanzionabile con i provvedimenti disciplinari previsti per le violazioni dai rispettivi Codici di Comportamento. Per quanto riguarda le società che ricadono nella definizione di Entità di Interesse Pubblico ai sensi dell'articolo 16 del decreto 39/2010268, esse non sono soggette all'applicabilità della legge Draghi e pertanto seguono, in tale ambito, le verifiche da svolgersi per le società soggette a revisione legale dei conti ai sensi dell'articolo 2409 bis del Codice civile. Il decreto si propone inoltre di regolare gli aspetti significativi inerenti agli indici di anomalia contabile per combattere il riciclaggio269. L'aspetto più delicato riguarda gli obblighi antiriciclaggio cui sarebbe chiamato ad adempiere colui che ricopra il ruolo di revisore contabile. L'apparente esclusione dei Collegi sindacali dagli obblighi di antiriciclaggio270 deve essere oggetto di valutazione sulla base dei nuovi indirizzi forniti dal decreto sulla revisione legale271. La revisione legale delle società può essere affidata oltre che a un revisore anche al Collegio sindacale. In quest'ultima ipotesi, il Collegio agisce in qualità di revisore legale e verifica la regolare tenuta della contabilità sociale e la corretta rilevazione dei fatti di gestione nelle scritture contabili. Ne deriva che l'esonero dagli obblighi antiriciclaggio può essere fatto valere per tutti quei Collegi sindacali i cui membri non esercitano il 267 D.Lgs. n.39/2010, artt. n.10 e 17 E che non siano riconducibili alle tipologie di incarico per attività di revisione ai sensi della Legge Draghi (artt. 155, 165 e 165-bis del D.Lgs. 58/1998) 269 Decreto della Giustizia, 16 aprile 2010 270 D.Lgs n. 231/2007, art. n.52 271 B. Santacroce, L'antiriciclaggio può coinvolgere i sindaci-revisori, Il sole 24 ore, 6 maggio 2010 268 120 controllo contabile, posto che per coloro che esercitano il controllo c'è un'assimilazione sostanziale con la figura del revisore contabile, rientrante tra i soggetti destinatari degli obblighi antiriciclaggio272. Con le nuove norme scompare inoltre il libro della revisione contabile273. Una volta adottati in sede comunitaria, i nuovi principi di revisione saranno dotati di efficacia normativa e, quindi, il loro mancato rispetto da parte del revisore potrà determinare in capo allo stesso specifiche responsabilità274. 272 D.Lgs n. 231/2007, art. n.13 L. De Angelis, C. Feriozzi, Principi internazionali come leggi, Italia oggi, 4 maggio 2010 274 Circolare Assonime n. 16, “Il testo unico della revisione legale”, 3 maggio 2010 273 121 4. Il sistema di controllo interno utilizzato dalle imprese: il ruolo dell’internal auditor e del CFO nell’organizzazione dei processi interni 4.1. Il sistema di Corporate Governance La Corporate Governance, sul piano economico aziendale, deve partire dalla identificazione del soggetto che esercita il governo dell’impresa e che si assume la responsabilità delle scelte aziendali. Il governo dell’impresa è una funzione che è attribuita al soggetto economico che si identifica con la persona od il gruppo di persone che hanno ed esercitano il potere, subordinatamente ai vincoli d’ordine giuridico e morale a cui sono sottoposti275. Risulta evidente lo stretto legame esistente tra Corporate Governance e gestione dei rischi (approccio maggiormente efficace al fine di garantire il corretto funzionamento del sistema di controlli interni) che si configura non tanto come una tecnica di gestione operativa quanto piuttosto come una componente essenziale del governo d’impresa legata allo sviluppo costante dei sistemi di management ed avente notevole impatto organizzativo. Un’efficace Corporate Governance si basa sull’integrazione dei sistemi di gestione dei rischi e di controllo interno che realizzano la cosiddetta risk and control Governance che è l’insieme dei processi, mezzi e risorse che, presenti a tutti i livelli dell’organizzazione, danno ragionevoli garanzie in relazione al raggiungimento degli obiettivi aziendali. All’interno della risk and control Governance la gestione dei rischi (ERM) e il controllo interno assumono la connotazione di strumenti con cui gli organi di governo adempiono alle proprie responsabilità in termini di correttezza gestionale, trasparenza delle informazioni, efficienza ed efficacia276. 275 276 P. Onida, Economia d’azienda, Utet, 1965 C. Dittmeier, Internal auditing, Egea, Milano, 2007 122 Figura 4.1 - Corporate Governance e risk and control Governance Corporate Governance Risk and control Governance Entreprise risk management Sistema di controllo interno Meccanismi organizzativi di governo e coordinamento Fonte: V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 Mentre la Corporate Governance si riferisce ad elementi essenziali di natura societaria in materia di composizione e ruolo del Consiglio di amministrazione e dell’Organo di controllo, relativamente al governo ed al controllo strategico dell’impresa, la risk and control Governance focalizza l’attenzione sui reali mezzi a disposizione del vertice aziendale per rendere effettivamente operante il governo societario a tutti i livelli operativi. Per comprendere pienamente le caratteristiche dei modelli di Corporate Governance adottabili dalle imprese è necessario analizzare i sistemi di amministrazione e controllo previsti dal diritto societario. In Italia la riforma del Codice civile ha introdotto nuovi modelli di governo: mentre per le società a responsabilità limitata è previsto il solo modello tradizionale, per le società per azioni sono previsti ben tre modelli adottabili (tradizionale, monistico e dualistico)277. 277 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 123 4.1.1. Il modello tradizionale Il modello tradizionale è quello adottato dalle società quando non previsto diversamente dallo statuto. Nel modello tradizionale sono presenti il Consiglio di amministrazione, l’Assemblea dei soci e gli organi di controllo. L’assemblea dei soci nomina sia l’organo amministrativo che il Collegio sindacale e l’eventuale organo di controllo contabile. Il Collegio sindacale è tenuto a vigilare sull’osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione e sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e sul concreto funzionamento278. Il controllo contabile può essere attribuito al Collegio sindacale qualora la società non faccia ricorso al mercato del capitale di rischio e non sia tenuta alla redazione del bilancio consolidato. Nelle società a responsabilità limitata, invece, il controllo contabile è esercitato dal Collegio sindacale se lo statuto non dispone diversamente. Figura 4.2 - Il modello di Governance tradizionale Assemblea degli azionisti o dei soci Controllo sull’amministrazione Collegio sindacale Consiglio di amministrazione Controllo contabile Collegio sindacale Direzione generale Revisore persona fisica o società di revisione Funzioni aziendali, divisioni, ecc. Società di revisione Fonte: V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 4.1.2. Il modello monistico Il modello monistico prende come riferimento il modello anglosassone. Esso prevede un organo gestionale (il Consiglio di amministrazione), al suo interno un organo di controllo sulla gestione (il Comitato per il controllo sulla gestione) e un organo incaricato del controllo contabile. 278 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il bilancio d’esercizio 2010. Principi, struttura e valutazioni, Euroconference editore, Verona, settembre 2009 124 Il Comitato per il controllo sulla gestione è composto da amministratori qualificati. Il Consiglio di amministrazione ha il compito di amministrare la società ed è composto da almeno un terzo dei componenti in possesso dei requisiti di indipendenza previsti dal primo comma dell’articolo 2399 del Codice civile per i sindaci, devono cioè essere indipendenti rispetto agli altri amministratori componenti il Consiglio di amministrazione, sia della società, sia di quello controllate o controllanti o sottoposte a comune controllo. Il Comitato per il controllo sulla gestione viene nominato dal Consiglio di amministrazione, salvo diversa disposizione dello statuto. Nelle società che fanno ricorso al capitale di rischio il numero dei componenti non può essere inferiore a tre. Il Presidente viene eletto al suo interno a maggioranza assoluta dei suoi membri. Il Comitato è costituito da componenti del Consiglio di amministrazione in possesso dei requisiti di onorabilità e professionalità stabiliti dallo statuto e dei requisiti di indipendenza, che non siano membri del comitato esecutivo ed ai quali non siano attribuite deleghe o particolari cariche e comunque non svolgano funzioni attinenti alla gestione dell’impresa o di società che la controllano o ne sono controllate. Il Comitato vigila sull’adeguatezza della struttura organizzativa della società, del sistema di controllo interno e del sistema amministrativo e contabile, nonché sull’idoneità a rappresentare correttamente i fatti di gestione e svolge i compiti affidatigli dal Consiglio di amministrazione279. Figura 4.3 - Il modello di Governance monistico Assemblea degli azionisti o dei soci Consiglio di amministrazione Controllo contabile Revisore persona fisica Controllo sull’amministrazione Società di revisione Comitato per il controllo sulla gestione Funzioni aziendali, divisioni, ecc. Fonte: V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 279 Art. 2409-octiesdecies Codice civile 125 4.1.3. Il modello dualistico Il modello dualistico prevede un organo di gestione (il Consiglio di gestione), un organo di controllo sulla gestione (il Consiglio di sorveglianza) ed un organo incaricato del controllo contabile. Esso è di stampo tedesco. Il Consiglio di sorveglianza svolge funzioni di controllo, nomina e revoca i componenti del Consiglio di gestione, approva il Bilancio d’esercizio e quello consolidato se previsto, esercita le funzioni del Collegio sindacale, promuove l’esercizio dell’azione di responsabilità nei confronti dei componenti del Consiglio di gestione, ecc.280 . Esso riunisce quindi le funzioni del Collegio sindacale e, in parte, quelle dell’Assemblea. Il Consiglio di gestione si sostituisce invece al Consiglio di amministrazione ed è composto da almeno due soggetti anche non soci eletti dal Consiglio di sorveglianza. Esso si occupa dell’amministrazione dell’impresa e quindi del compimento delle operazioni necessarie all’attuazione dell’oggetto sociale. Figura 4.4 - Il modello di Governance dualistico Assemblea degli azionisti o dei soci Controllo contabile Revisore persona fisica Consiglio di sorveglianza Controllo sull’amministrazione Società di revisione Consiglio di gestione Funzioni aziendali, divisioni, ecc. Fonte: V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 4.2. Il sistema informativo aziendale L’evoluzione dell’importante ruolo che in azienda ha assunto sempre più la necessità di fornire un’informativa corretta all’esterno è stata supportata dallo sviluppo della tecnologia informativa. Essa ha infatti proposto costantemente soluzioni software e 280 Art. 2409-terdecies Codice civile 126 hardware sempre più potenti e sofisticati al fine di sostenere la competitività aziendale281. Al fine di giungere ad un sistema informativo adeguato, le aziende implementano in prima battuta il loro sistema organizzativo e quello di management con il fine di coordinare tutti i problemi che possono caratterizzare la vita dell’entità. In particolare, l’organizzazione pone attenzione sui problemi relativi ad inserimento e coordinazione delle risorse umane dell’azienda. Per essa le persone costituiscono l’elemento umano dell’azienda medesima e vengono fra di loro coordinate sia come organi operanti a diversi livelli secondo un ordinamento gerarchico, sia nelle diverse funzioni che gli organi stessi ricoprono in relazione alle necessità imposte dall’attuazione dei processi aziendali. Rispetto alla gestione, l’organizzazione riveste una funzione strumentale che ne condiziona la configurazione, sollecitandola o limitandola nelle alternative, in relazione alle diverse esigenze della gestione. Al fine di conseguire i risultati programmati è quindi necessario non soltanto perseguire e mantenere un’efficienza operativa, ma anche un’efficienza organizzativa, che consente, sotto il profilo della rilevazione, la misurazione dei risultati della gestione aziendale282. Un sistema organizzativo ben implementato all’interno dell’azienda permette di formare un insieme di obiettivi misurati tramite il raggiungimento della performance da KPI e controbilanciati da KRI283, che contribuiscono con i primi a formare un modello integrato di gestione dell’organizzazione al fine del perseguimento degli obiettivi con copertura dei rischi284. La gestione dell’azienda riguarda, invece, l’attività amministrativa direttamente rivolta a realizzare l’oggetto economico dell’azienda ed il complesso di operazioni economiche da cui questa stessa attività risulta caratterizzata definendo per tale via il modello di business dell’impresa. La presenza di coordinamenti reciproci genera l’interdipendenza tra gestione, rilevazione ed organizzazione. 281 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 282 G. Ferrero, Impresa e management, Giuffrè editore, Milano, 1980 283 Key risk indicators; con questo acronimo si indicano i misuratori del rischio aziendale che riassumono la probabilità che il rischio si verifichi, la stima e la valutazione dell’impatto che avrebbe qualora si verificasse, ecc. e che quindi devono essere valutati e contrastati con politiche preventive e di protezione 284 F. Culasso, Gestione del rischio e controllo strategico. Un’ottica sistemica aziendale, Giappichelli Editore, Torino, 2009 127 L’efficacia della gestione è infatti strettamente collegata alla corretta definizione degli organi e delle funzioni, così come la gestione stessa condiziona l’idoneità strutturale dell’azienda, che deve essere disegnata in relazione alla dimensione ed alla complessità della gestione aziendale285. Al fine di svolgersi in modo consapevole e per raggiungere gli obiettivi aziendali, l’attività del management ha la necessità di disporre di informazioni provenienti dall’interno e dall’esterno dell’impresa. Le informazioni vengono prodotte nell’ambito del sistema informativo aziendale, che rappresenta l’insieme delle informazioni necessarie al management per svolgere l’attività d’impresa, l’organo o la funzione necessari per gestire tale informazione e lo strumento per la rilevazione dei singoli fatti amministrativi. Le soluzioni informatiche che sono nate sono volte a rispondere agli adempimenti richiesti da determinate normative o da un commitment proveniente dalle diverse funzioni aziendali sempre più pressante per poter avere a disposizione dati di maggiore dettaglio sui processi di gestione. Per tale via si sono aggiunte sempre più applicazioni che in alcuni casi hanno fatto perdere di vista la visione complessiva della produzione, gestione e comunicazione delle informazioni aziendali. L’esigenza di procedere verso un processo di integrazione dei diversi strumenti per ricostruire la visione d’insieme non si è fatta attendere e l’attenzione sulla performance ha costituito il fattore comune di quanto era già stato applicato con viste di tipo organizzativo o gestionale286. 4.2.1. Il sistema informativo operativo Il sistema informativo operativo rappresenta un sotto-sistema del sistema informativo aziendale nel suo complesso ed ha l’obiettivo di rilevare i dati che attengono alle attività primarie aziendali e di creare conoscenza alimentando la base di dati transazionale che permanentemente viene gestita dal sistema287. L’architettura dei sistemi informativi operativi è costituita dalla base di dati (o database), dove vengono memorizzati i diversi dati raccolti, e dalle attività dalle quali nasce la rilevazione dei dati quali le operazioni di acquisto, di vendita, ecc. . 285 A. Devalle, Il sistema informative aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano, 2006 286 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 287 G. Bracchi, G. Motta, Processi aziendali e sistemi informativi, Franco Angeli, 2001 128 La struttura ed i metodi di progettazione di tali sistemi informativi seguono una logica che sottintende grandi volumi di rilevazioni e quindi sono tendenzialmente standardizzati, ad elevato contenuto tecnico ed orientati alla soluzione di problemi specifici. Le caratteristiche di tali sistemi sono le seguenti: Forniscono informazioni all’intero sistema impresa in modo generale, ma normalmente riescono a fornire direttamente dati personalizzati ai fini decisionali per gli utenti delle singole aree funzionali; Necessitano di procedure standard essendo nati per gestire una notevole quantità di dati e quindi devono ricorrere a procedure rigide di elaborazione e comunicazione al fine di essere efficienti; Comportano un elevato costo in caso di cambiamento in quanto ogni cambiamento comporta molteplici modifiche nel sistema; Generano la necessità di numerosi programmi applicativi specifici all’interno delle aree gestionali, generalmente non comunicanti tra loro288. 4.2.1.1. Il sistema informativo operativo a supporto delle aree funzionali I sistemi informativi operativi impostati secondo le logiche di tipo funzionale si pongono come obiettivo prioritario la gestione di informazioni quantitativamente rilevanti con cicli di registrazione routinaria dei dati: rientrano in questa categoria, per esempio, il sistema della contabilità generale, il sistema della contabilità industriale, il sistema delle paghe e dei contributi e così via. In relazione all’architettura del sistema informativo, ogni singolo applicativo rileva determinate operazioni che vengono salvate in uno specifico archivio. Di conseguenza, per ogni applicativo presente all’interno dell’impresa esiste un determinato archivio o database289. 288 A. Devalle, Il sistema informativo aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano, 2006 289 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 129 Figura 4.5 - Architettura del sistema informativo per aree funzionali Applicativo per la contabilità generale Applicativo per la gestione della produzione Applicativo per la gestione commerciale Database di contabilità generale Database per la gestione della produzione Database per la gestione commerciale Fonte: A. Devalle, Il sistema informativo aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano, 2006 Questo sistema ha il grande svantaggio di non avere un orientamento sui processi, diventato fondamentale per resistere alle sfide competitive dell’ambiente di mercato attuale, come evidenziato nel capitolo introduttivo. Esso non prevede, come si vede bene in figura, una integrazione tra le diverse applicazioni, così che bisogna prevedere ulteriori lavori di controllo che potrebbero essere evitati ed il relativo rischio che siano commessi errori di immissione dei dati dall’esterno. Inoltre i dati, per fornire supporti utili al management, vanno riorganizzati e devono perciò prevedere sistemi di coordinamento tra i diversi applicativi, alla base, molto ben sviluppati. Il sistema informativo in azienda implementato in questo senso fornisce una minore assurance sui dati assunti per via del maggiore rischio di immettere dati sbagliati. Inoltre tale sistema depotenzia il sistema di controlli interni, che, come detto, dovrà essere potenziato con aumento di costi e perdite di tempo con attività ripetitive di monitoraggio. 4.2.1.2. Il sistema informativo operativo a supporto dei processi Il sistema informativo a supporto dei processi operativi si divide a sua volta in sistema legacy e sistemi Enterprise Resource Planning (ERP). 4.2.1.2.1. Il sistema informativo operativo a supporto dei processi: il sistema informativo legacy Il sistema informativo legacy nasce dall’esigenza di far comunicare gli applicativi delle diverse aree funzionali al fine di poter gestire i diversi processi. Di conseguenza, i 130 sistemi informativi legacy nascono per aggregazioni successive di componenti che, di volta in volta, si è cercato di collegare tra loro attraverso delle interfacce290. La mancanza di un collegamento ha portato spesso a definire architetture informatiche stratificate, con la conseguenza che uno stesso dato doveva essere inserito nel sistema più volte, andando a risiedere in archivi differenti291. Inoltre, i diversi sistemi informativi sono stati sviluppati per settori aziendali specifici, per cui non riuscivano a cogliere le importanti correlazioni esistenti tra le attività che attraversavano orizzontalmente i confini funzionali; in questo modo il monitoraggio dei processi risultava difficoltoso. Per ovviare a questo problema si è proceduto con costanti interventi da parte degli specialisti informatici, che hanno portato al sostenimento di costi molto alti. Anche i tempi necessari ad aggiornare i diversi sottosistemi si sono progressivamente allungati, divenendo sempre meno adeguati alle esigenze di reattività che gli elevati livelli di coordinamento invece richiedono. Figura 4.6 - Architettura dei sistemi legacy Applicativo per la contabilità generale Applicativo per la gestione della produzione Applicativo per la gestione commerciale Database di contabilità generale Database per la gestione della produzione Database per la gestione commerciale Fonte: P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 4.2.1.2.2. Il sistema informativo operativo a supporto dei processi: il sistema informativo integrato o Enterprise Resource Planning L’evoluzione dei sistemi informativi integra i diversi sistemi a presidio di determinate aree (ad esempio la contabilità generale). In questo modo un sistema centrale unico riesce ad integrare ed a comunicare le informazioni provenienti dai vari sottosistemi evitando rilevazioni multiple degli stessi dati. In secondo luogo si cerca di rendere gli utenti finali meno dipendenti dagli esperti informatici nella fase di comunicazione ed elaborazione dei dati; in questo modo si vuole permettere all’utente di raccogliere delle 290 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 291 A. Mucelli, I sistemi informativi integrati per il controllo dei processi aziendali, Giappichelli, 2000 131 informazioni aggregandole secondo un percorso ispirato a logiche di flessibilità informativa. Tale sistema informativo prende il nome di sistema informativo integrato Enterprise Resource Planning (ERP)292. Si tratta di soluzioni applicative concepite in modo da integrare su base aziendale l’insieme dei processi operativi ed amministrativi ed al contempo le diverse aree di funzione attraverso i diversi moduli a presidio di ogni area funzionale. Gli ERP rappresentano le più recenti soluzioni globali di pacchetti software applicativi finalizzati ad integrare tutte le principali funzioni aziendali. I sistemi ERP si basano sull’infrastruttura tecnologica client-server, ritenuta attualmente la più idonea a supportare le crescenti esigenze di livello di servizio richieste dagli utenti. Le tecnologie client-server consentono di realizzare una gestione distribuita dei processi di elaborazione delle informazioni. In tal modo il carico di lavoro connesso alle diverse operazioni svolte dal sistema nel suo complesso si presenta suddiviso tra il server e uno o più personal computer (i cosiddetti client). Gli ERP si estendono a tutte le aree funzionali attraverso moduli contigui. La caratteristica dell’univocità dei dati riduce la necessità di svolgere operazioni di riconciliazione dei dati con le informazioni disseminate tra i vari moduli del sistema. La condivisione della base dati consente di sincronizzare processi interdipendenti293. Inoltre la condivisione dei dati riduce il numero di immissione degli stessi comportando maggiore efficienza al processo. I sistemi ERP sono composti da sottoinsiemi applicativi ciascuno dei quali è posto a presidio di aree funzionali e operative specifiche. Ogni modulo gestisce funzionalità autonome, anche se in alcuni casi il pieno impiego delle potenzialità offerte dal modulo è subordinato all’attivazione di altri moduli collegati. La configurabilità conferisce inoltre flessibilità ai sistemi ERP, poiché consiste nella possibilità lasciata all’utente finale di definire le caratteristiche funzionale dei moduli attivati in accordo con la struttura dei processi operativi dell’azienda294. I benefici ottenibili tramite l’implementazione di un sistema di tipo ERP piuttosto che un sistema differente sono sicuramente molti, ad esempio: 292 K. Laudon, Management information systems, Prentice Hall, 2004 G. Bracchi, C. Francalanci, G. Motta, Sistemi informativi e aziende in rete, McGraw-Hill, 2001 294 A. Devalle, Il sistema informativo aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano, 2006 293 132 Forte integrazione; le applicazioni sono collegate tra loro in un insieme coordinato. Tutti i moduli lavorano insieme invece di funzionare come applicazioni separate, eliminando attività doppie di controllo e verifica: un solo sistema informativo ed una sola base dati; Ricchezza di funzionalità; le applicazioni sono state sviluppate con riferimento a pratiche e comportamenti operativi consolidati (le cosiddette best practices); Orientamento al processo; un software ERP è un software progettato con focalizzazione non sulle sole singole funzioni tradizionali, ma sull’intero processo e questo favorisce la CS295. Tali sistemi forniscono quindi il più alto grado di assurance contro il verificarsi il rischio di errore: si pensi ad esempio all’immissione iniziale di dati inerente una fattura. Prima che la stessa sia pagata, molti altri dipendenti potranno verificare che i dati immessi sono corretti. Tali verifiche possono anche essere implementate in modo automatico con controlli effettati dal sistema stesso, in modo che agisca in maniera auto-bloccante laddove i dati immessi non si parlino tra loro e vi siano delle discrepanze. Questo sistema è pertanto implementato in molte aziende al giorno d’oggi, soprattutto entità di grandi dimensioni, per via della sua propensione a gestire una grandissima mole di dati che riesce a raggruppare e permette di visionare a tutti i livelli in maniera completa le informazioni necessarie (a meno di autorizzazioni di accesso previste dalla società). 4.3. Il rischio in economia aziendale: il concetto di Enterprise Risk Management 4.3.1. Il rischio nell’attività di impresa Qualunque impresa a prescindere dal settore di appartenenza opera in una situazione di incertezza, poiché è sottoposta a condizioni di rischio296. Le condizioni di incertezza nelle quali operano le imprese possono essere distinte in condizioni oggettive e soggettive di incertezza. Le prime sono costituite dall’inconoscibile in senso assoluto, cioè l’incertezza che deriva ad esempio dai limiti conoscitivi riconducibili allo stato attuale della scienza. In tale situazione tutti gli operatori economici sono posti allo stesso livello informativo. 295 296 F. Culasso, Sistema – impresa e gestione per processi, Giappichelli Editore, Torino, 1999 G. Ferrero, Impresa e management, Giuffrè editore, Milano, 1980 133 Le condizioni di incertezza soggettive sono invece collegate all’insufficienza di informazioni possedute dal soggetto decisore in relazione agli altri soggetti, sia per negligenza sia per limitatezza di risorse297. Rispetto alla loro origine, i rischi possono essere classificati in rischi di natura economica ed extra-economica298. I primi derivano dalla variabilità delle condizioni di esistenza e di operatività economica dell’impresa, ad esempio, le condizioni di operatività dell’ambiente generale (modifiche sull’andamento dell’economia, crisi di mercato, ecc.), mentre i rischi di natura extra-economica riguardano incertezze non legate alle condizioni di esistenza e di operatività dell’impresa, come il rischio di calamità naturali, ecc. . Comunque, la manifestazione dei rischi di natura extraeconomica provoca degli effetti di tipo economico. All’interno del rischio economico è possibile distinguere tra il rischio economico generale d’impresa ed i rischi particolari d’impresa299. Il primo sfugge a forme di valutazione da parte del management aziendale, poiché è caratteristica connaturata all’esistenza stessa dell’impresa. Tuttavia è però possibile indagare sulle singole manifestazioni di potenziali rischi al fine di tentare, ove possibile, di eliminare l’eventualità o la probabilità della loro manifestazione o limitarne le conseguenze negative. Il rischio di commettere errori non è certamente eliminabile in senso assoluto, poiché è insito nelle caratteristiche dell’uomo, ma l’introduzione di opportune attività di controllo all’interno dei processi certamente limita la probabilità della sua manifestazione sotto forma di errori e disfunzioni. A volte è invece possibile eliminare alcuni rischi, come, ad esempio, nel caso delle attività di controllo automatiche di quadratura dei dati svolte dal sistema informativo che consentono l’eliminazione del rischio di squadratura (a condizione naturalmente del corretto funzionamento del sistema informativo). Nel corso degli ultimi anni le imprese hanno prestato una sempre maggiore attenzione alle strategie di valutazione dei rischi, un’attività che costituisce parte integrante del sistema di controllo interno aziendale. 297 V. Cantino, Rischio di cambio, Giuffrè editore, Milano, 2000 G. Ferrero, Istituzioni di economia d’azienda, Giuffrè editore, Milano, 1980 299 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 298 134 In relazione al grado di incertezza di verificarsi del rischio va distinto tra il rischio statico, quasi dinamico (o incertezza probabile) ed il rischio dinamico (o incertezza assoluta)300. Il rischio statico è caratterizzato dalla possibilità di conoscere la distribuzione probabilistica degli accadimenti che possono generare i rischi d’azienda. Il rischio quasi dinamico riguarda invece i molti eventi che non possono essere interpretati sulla base di schemi di tipo probabilistico poiché sono caratterizzati dalla mancata conoscenza della distribuzione probabilistica degli eventi futuri, ma tale distribuzione può essere individuata attraverso diverse tecniche, quale, ad esempio, il fondamento dell’esperienza derivante dal passato (ad esempio il rischio di insolvenza dei clienti dell’impresa). Si definiscono invece rischi di tipo dinamico gli eventi per i quali vi è assoluta impossibilità di previsione; di conseguenza tali rischi possono essere affrontati esclusivamente ricorrendo a strumenti di valutazione quali l’intuito personale. Sul piano operativo, il management deve mettere in atto, all’interno dei processi e delle combinazioni di processi, delle modalità di valutazione dei rischi in relazione agli obiettivi generali dell’impresa ed attivare un sistema di gestione e controllo dei rischi medesimi. Infine occorre valutare se il livello di rischio complessivo, che l’impresa ha acquisito dai singoli processi e combinazioni di processi che originano rischi particolari, è coerente con gli obiettivi generali che l’impresa si è prefissata. Per tale ragione occorre ancora un controllo di sintesi del sistema di controllo dei rischi particolari d’impresa301. 300 F. Dezzani, Rischi e politiche d’impresa, Giuffrè editore, Milano, 1971 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 301 135 Figura 4.7 - Il sistema dei rischi nella gestione dei processi aziendali Condizioni oggettive di incertezza Condizioni soggettive di incertezza Condizioni di incertezza della gestione aziendale Rischio di natura extraeconomica di natura economica Durabilità dell'impresa Rischio economico generale Rischio particolare 1 Rischio particolare 2 Rischio particolare 3 Rischio particolare 4 Processi e combinazioni di processi Organi e funzioni aziendali Controllo di sintesi del sistema di controllo dei rischi Fonte: V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 4.3.2. La gestione ed il controllo dei rischi aziendali: il risk management 4.3.2.1. Definizione dell’ERM La gestione del rischio aziendale è un processo, posto in essere dal Consiglio di amministrazione, dal management e da altri operatori della struttura aziendale che è utilizzato per la formulazione delle strategie in tutta l’organizzazione ed è progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali302. Un sistema di gestione dei rischi aziendali deve quindi considerare i seguenti aspetti: 302 Definizione de Committee of Sponsoring Organizations of the Treadway Commission Report (COSO), La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, Il sole 24 ore, Milano, 2006 136 Rappresenta un processo continuo e pervasivo che interessa tutta l’impresa e deve essere articolato nelle singole unità e ricomposto ad un livello corporate; E’ svolto da persone che occupano posizioni organizzative a tutti i livelli della struttura aziendale; E’ utilizzato come base per la formulazione delle strategie; E’ progettato per identificare rischi potenziali che potrebbero influire sull’attività aziendale e per ridurli entro i limiti del rischio accettabile; È in grado di fornire un sistema di reporting tale da informare adeguatamente il Consiglio di amministrazione ed il management sul livello di sicurezza raggiunto303. Esiste una relazione molto stretta tra sistema gestione dei rischi e sistema di controllo interno. Infatti il controllo interno è parte integrante del sistema di gestione e controllo dei rischi (Enterprise Risk Management). La gestione dei rischi rappresenta inoltre l’approccio più corretto e maggiormente efficace per garantire la realizzazione ed il corretto funzionamento del sistema di controllo interno. Diventa dunque responsabilità dei vertici aziendali conoscere i rischi che possono compromettere il raggiungimento degli obiettivi dell’organizzazione, nonché le azioni da compiere in merito al loro contenimento o alla loro gestione. Per assicurare che le diverse politiche di gestione dei rischi, definite e deliberate, vengano implementate con criteri di efficienza ed efficacia, i vertici aziendali devono poi porre in essere azioni specifiche di revisione periodica sull’affidabilità dei sistemi di identificazione e valutazione dei rischi, sull’efficacia dei sistemi di controllo interno tesi a monitorare l’evoluzione dei rischi e su piani d’azione che consentano di colmare carenze o di rimediare a fallimenti nei sistemi esistenti di gestione del rischio304. La definizione di ERM racchiude i concetti chiave su come le imprese gestiscono il rischio, fornendo una base per la sua applicazione pratica nelle diverse organizzazioni, industrie e settori. Tale definizione si focalizza sul raggiungimento degli obiettivi, e fornisce una base per valutare l’efficacia della gestione del rischio d’impresa. Sulla 303 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 304 S. Beretta, Valutazione dei rischi e controllo interno, Milano, Egea, 2004 137 base di tale definizione, è stato sviluppato un modello di ERM, che è costituito da tre dimensioni correlate: Gli obiettivi; Le componenti del rischio; I livelli organizzativi. 4.3.2.1.1. Gli obiettivi aziendali All’interno di ogni organizzazione, il management fissa gli obiettivi strategici ed operativi. Il processo di ERM è impostato in modo da perseguire gli obiettivi aziendali rientranti nelle seguenti quattro tipologie: Strategici, obiettivi di alto livello e generali definiti dai massimi vertici aziendali, sono conformi alla mission aziendale e volti a supportarla; Operativi, riguardano le specifiche aree aziendali e la possibilità che le risorse possano essere utilizzate in modo efficace ed efficiente; Di reporting, si riferiscono al grado di certezza ed affidabilità delle informazioni gestite dall’azienda e dei dati contenuti nel reporting; Di conformità, sono relativi al rispetto ed alla applicazione delle normative e dei regolamenti da parte dell’azienda. L’ERM intende fornire una ragionevole certezza che sebbene taluni obiettivi ed associati rischi possano risentire di agenti esterni, tutti i livelli aziendali si muovono nella stessa direzione per il raggiungimento degli obiettivi stessi. 4.3.2.1.2. Le componenti del rischio Le componenti del rischio sono otto, ed in particolare: Ambiente interno, che comprende lo stile di un’organizzazione, esamina la filosofia del rischio aziendale e il livello di propensione al rischio, l’integrità e i valori etici; Fissazione degli obiettivi, che riguarda la definizione degli obiettivi prima che il management possa identificare eventi potenziali che incidano sul loro 138 raggiungimento. L’ERM prevede che il management esegua un processo di definizione degli obiettivi, e che gli obiettivi scelti supportino e siano allineati con la mission aziendale, e siano coerenti con il livello di rischio residuo che l’impresa ha deciso di accettare; Identificazione dell’evento, in quanto sia gli eventi interni che quelli esterni che possono ostacolare il raggiungimento degli obiettivi dell’impresa, devono essere identificati, distinguendo tra rischi ed opportunità. Le opportunità sono ricondotte alla strategia del management o al processo di definizione degli obiettivi; Valutazione del rischio, e cioè i rischi sono analizzati considerando la probabilità e l’impatto, allo scopo di determinare la loro gestione. Sono valutati sia i rischi inerenti sia quelli residuali; Risposta al rischio, e cioè il management seleziona le possibili risposte al rischio identificato (evitare, accettare305, ridurre, trasferire306) sviluppando una serie di azioni per allineare i rischi ai livelli di tollerabilità accettabile e al livello di propensione al rischio; Attività di controllo, che raggruppa le politiche e le procedure fissate ed implementate al fine di verificare che le risposte al rischio siano effettivamente ed efficacemente messe in atto; Informazione e comunicazione, che implica che laddove vengano identificate informazioni rilevanti, esse vanno acquisite e comunicate secondo una modalità e una struttura tali da mettere in grado il personale che le riceverà di assolvere alle proprie responsabilità. Un’efficace comunicazione deve essere intesa anche in senso più ampio, deve essere in grado di arrivare ad ogni livello; Monitoraggio, che riguarda le modifiche da effettuare al sistema di ERM, laddove esse fossero ritenute necessarie307. 305 Qualora l’eliminazione o la riduzione del rischio risultasse più costosa che il mantenimento del rischio stesso, il management potrebbe razionalmente accettare l’esposizione al rischio stesso 306 Il rischio può essere trasferito in due diversi modi (fonte F. Culasso, Gestione del rischio e controllo strategico. Un’ottica sistemica aziendale, Giappichelli Editore, Torino, 2009): trasferimento nel tempo (autoassicurazione), che implica l’accantonamento a fondi da parte della società in base alla percezione propria della probabilità di verificarsi del rischio nel futuro; trasferimento nello Spazio, il rischio viene trasferito ad un’entità esterna (impresa di assicurazione) 307 Amministrazione & Finanza ORO, Enterprise risk management, Casistiche aziendali di rischi operativi, Modello quantitativo di analisi del rischio operativo, IPSOA, Milano, 2007 139 4.3.2.1.3. I livelli organizzativi Altro aspetto da considerare nell’analisi delle componenti di rischio aziendali sono i vari livelli organizzativi di cui si compone la società, a significare che il processo è posto in essere da persone. Persone che si trovano in ogni livello organizzativo verticale e trasversale all’organizzazione, dal Consiglio di amministrazione al management ed a tutti coloro che operativamente contribuiscono allo svolgimento delle attività quotidiane. Attraverso le responsabilità di ciascuno ed il compimento delle proprie attività si attivano i meccanismi del processo di gestione dei rischi. L’aspetto più critico nella introduzione del processo di ERM è relativo all’integrazione delle informazioni e dei processi aziendali, infatti è abbastanza comune individuare nella mancanza di flussi informativi sufficienti o processi non efficienti, una delle difficoltà principali nella gestione integrata dei rischi. L’ERM fornisce gli strumenti ed i meccanismi necessari alle persone per comprendere il rischio nel contesto degli obiettivi aziendali e la responsabilizzazione della singola persona/funzione nella ownership della gestione del rischio. Le persone devono comprendere come le proprie responsabilità ed attività influenzano il raggiungimento degli obiettivi aziendali in relazione alla strategia definita dai vertici. Nella fase iniziale di introduzione del processo ERM assume rilevante importanza il sensibilizzare e rendere consapevoli tutti i livelli organizzativi dell’azienda sulle singole specifiche responsabilità per ottenere successo. 4.3.2.2. Perché introdurre l’ERM in azienda I motivi che conducono un’azienda a gestire i propri rischi in modo integrato e con una visione di portafoglio rischi sono numerosi ed in parte già anticipati, tuttavia su alcuni di questi vale la pena concentrare maggiormente l’attenzione. Le numerose normative emesse recentemente volte ad incrementare l’efficienza nella gestione dei rischi e del sistema dei controlli interni hanno costretto i vertici direzionali ad affrontare la tematica in modo strutturato, implementando funzioni ad hoc e processi specifici. In particolare, negli ultimi anni numerosi scandali finanziari hanno coinvolto gruppi aziendali nazionali ed internazionali provocando danni finanziari ed economici ai 140 numerosi stakeholders ed una destabilizzazione dell’intero sistema economico. Le reazioni dei Paesi sono state differenti, ed hanno generalmente portato all’emissione di ulteriore normativa cui viene oggi richiesta la compliance sotto tutti gli aspetti previsti308. Un’altra motivazione è da ricercare nei risultati prodotti da un approccio integrato alla gestione dei rischi aziendali; infatti tale cambiamento di strategia conduce a definire con cognizione e responsabilità il livello di rischio che s’intende affrontare e quindi conseguentemente supportare la riduzione della volatilità degli utili che può tradursi in una potenziale diminuzione del costo del capitale. Dietro a questa tesi possiamo ritrovare il semplice concetto legato alla remunerazione spettante a coloro che investono i propri capitali in attività caratterizzate da alta volatilità dei risultati finanziari. Un sistematico coinvolgimento di tutte le funzioni aziendali ad ogni livello di responsabilità, contribuisce significativamente ad identificare e rilevare con accuratezza l’esposizione al rischio complessiva, comportando un miglioramento nel processo decisionale e nell’allocazione di capitale. 4.3.2.3. Principali tipologie di rischi aziendali Partendo dal presupposto che la gestione dei rischi coinvolge tutte le aree aziendali e che il processo dell’ERM è finalizzato al conseguimento degli obiettivi aziendali rientranti nelle categorie sopra menzionate, è utile a questi fini individuare le principali categorie di rischi presenti in azienda. I rischi strategici riguardano gli obiettivi aziendali di medio-lungo periodo. La manifestazione di un rischio strategico può essere di differente tipo ed effetto, da un rischio politico ad uno legale, ai cambiamenti di mercato. Gli sviluppi del mercato possono inoltre portare ad una potenziale riduzione del capitale disponibile, in quanto mutamenti sociali e trend culturali potrebbero influenzare la domanda. Un altro rilevante rischio strategico è quello legato alla reputazione di un’azienda, che può inficiare in modo sostanziale il valore economico del brand e la sua immagine pubblica. I rischi operativi sono in parte comuni nelle aziende e poi specifici in base al business dell’azienda stessa, sono relativi alle attività day by day e quindi ad un uso efficiente 308 Si rimanda ai successivi paragrafi al fine di prendere visione in maniera approfondita della normativa di riferimento 141 delle risorse. Questa categoria di rischi interessa l’operatività del business e le aree ad essa collegate. I rischi normativi e contrattuali derivano dalla necessità di ciascun business di operare in conformità con le normative e le regolamentazioni nazionali ed internazionali di differente tipo. In primis ci sono quelli specifici del business e del settore merceologico dell’azienda e poi a seguire tutte le altre normative comuni a tutte le organizzazioni. L’information risk è connesso alla capacità dell’azienda di generare dati ed informazioni attendibili e di dare sia all’interno sia all’esterno un’informativa coretta, affidabile e tempestiva. Questo rischio si riferisce anche al reporting aziendale e può comportare una minore capacità di pianificazione e budgeting e/o anche ad errori contabili. In generale, il rischio di perdere o non avere efficienti fonti informative si a derivanti da fattori esterni o da fattori interni all’azienda può portare a significative difficoltà informative e richiede di essere gestito309. 4.4. Il sistema di controllo interno nelle aziende ed i collegamenti con l’ERM 4.4.1. Definizione Come visto, il controllo interno è un processo, svolto dal Consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie: Efficacia ed efficienza delle attività operative; Attendibilità delle informazioni di bilancio; Conformità alle leggi e ai regolamenti in vigore310. Questa definizione riflette alcuni concetti fondamentali: Il controllo interno è un processo311 (il controllo interno non è un evento isolato o una circostanza unica, bensì una serie di azioni che riguardano tutta l’attività aziendale. Queste azioni sono pervasive e sono connesse al modo in cui le 309 Amministrazione & Finanza ORO, Enterprise risk management, Casistiche aziendali di rischi operativi, Modello quantitativo di analisi del rischio operativo, IPSOA, Milano, 2007 310 PricewaterhouseCoopers, Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali, Il sole 24 ore, Milano, 2006 311 Sebbene definito “un processo”, il controllo interno può essere considerato come un insieme di processi 142 attività sono gestite. Le attività aziendali, che si svolgono nell’ambito di una o più unità organizzative o funzioni, sono gestite mediante i processi fondamentali di pianificazione, di esecuzione e di monitoraggio. Il controllo interno è una parte di questi processi e si integra con essi, consente loro di funzionare, ne controlla l’andamento e ne verifica la pertinenza. Esso è uno strumento di cui dispone il management, non un sostituto dell’attività direzionale); Il controllo interno è svolto da persone (il controllo interno è attuato dal Consiglio di amministrazione, dal management e da altre persone. E’ realizzato da individui, che operano in un’azienda, attraverso ciò che essi fanno e dicono. Sono gli individui che stabiliscono gli obiettivi dell’impresa ed attivano i meccanismi di controllo); Il management e il Consiglio di amministrazione possono attendersi dal sistema di controllo interno una sicurezza ragionevole, ma non assoluta (la probabilità di realizzazione degli obiettivi risente dei limiti insiti in tutti i sistemi di controllo. Questi limiti riguardano il fatto che i giudizi esercitati nel prendere una decisione potrebbero rivelarsi errati, che le persone responsabili di istituire i controlli devono considerare i relativi costi e benefici e che potrebbero verificarsi disfunzioni a causa di omissioni umane, come semplici errori e sviste. Inoltre, come visto nel capitolo precedente, i controlli possono essere elusi dalla collusione di due o più persone o dalla capacità del management di aggirare il sistema di controllo interno); I sistemi di controllo interno sono rivolti alla realizzazione di obiettivi in una o più categorie, distinte ma sovrapponibili (ogni azienda definisce la sua missione312, stabilendo degli obiettivi che desidera raggiungere e le strategie per realizzarli. Gli obiettivi possono riferirsi sia all’azienda che ad attività specifiche all’interno della stessa. Molti obiettivi sono in ogni caso comuni a tutte le aziende – quali per esempio raggiungere e mantenere una buona reputazione nell’ambiente economico in generale e presso i propri clienti in particolare –. Ai fini di questo studio gli obiettivi rientrano in tre categorie: Attività operative, relative all’impiego efficace ed efficiente delle risorse aziendali; 312 Per un approfondimento circa tale concetto, si veda il capitolo 3 della presente trattazione 143 Informazioni di bilancio, relative alla redazione e pubblicazione di bilanci affidabili; Conformità, relative all’osservanza da parte dell’azienda delle leggi e dei regolamenti in vigore). Questa definizione include i sottosistemi del controllo interno. Infatti ci si può anche concentrare unicamente per esempio sui controlli relativi alle informazioni di bilancio, oppure su quelli riguardanti la conformità a leggi e regolamenti, e così via. Analogamente ci si può concentrare sui controlli di specifiche unità o attività aziendali. Il sistema di controllo interno è parte integrante delle attività operative ed esiste per fondamentali ragioni economiche. Tale sistema raggiunge il massimo della sua efficacia quando è integrato nell’infrastruttura organizzativa e fa parte della cultura aziendale. Il controllo come parte integrante dei processi aziendali può incidere direttamente sulla capacità di un’azienda di raggiungere i propri obiettivi e facilitare le sue iniziative in materia di qualità. La ricerca della qualità si ricollega direttamente al modo in cui le aziende sono gestite e controllate. Le iniziative sulla qualità divengono parte del tessuto connettivo ed essenza di un’azienda allorchè: La leadership dell’alta direzione assicura che la qualità è un valore che pervade tutta l’attività aziendale; Sono stabiliti gli obiettivi di qualità in relazione alla raccolta e all’analisi delle informazioni così come agli altri processi; La conoscenza delle iniziative dei concorrenti e delle attese della clientela stimola le azioni dirette a migliorare continuamente la qualità. Questi fattori di qualità sono paralleli a quelli che determinano l’efficacia di un sistema di controllo interno. Infatti, il controllo interno non solo fa parte integrante dei programmi di qualità, ma ne è di solito un fattore critico di successo313. L’integrazione dei sistemi di controllo interno nel contesto aziendale provoca lo sviluppo di nuovi controlli necessari a nuove attività. Questo adeguamento automatico 313 I fattori critici di successo sono variabili necessarie per ottenere, mantenere o rafforzare il vantaggio competitivo su un mercato (fonte C. Hofer, D. Schendel, Strategy formulation: analytical concepts, West Publishing, 1977) 144 potenzia la flessibilità e la competitività delle aziende, provocando quindi importanti ripercussioni sul contenimento dei costi e sui tempi di risposta ai cambiamenti314. Il controllo interno influenza le azioni delle persone. Esso tiene infatti conto del fatto che le persone non sempre si comprendono e non sempre si comportano o si scambiano comunicazioni in modo coerente. Ogni individuo apporta l’esperienza e le competenze tecniche che gli sono proprie e ha particolari necessità e priorità. Questo stato di cose e il controllo interno si influenzano reciprocamente. Le persone devono conoscere le proprie responsabilità e i limiti dei propri poteri. Di conseguenza è necessario che sussista una relazione chiara e netta tra le mansioni delle persone, il modo in cui queste vengono svolte e gli obiettivi aziendali. 4.4.1.1. Efficacia del sistema di controllo interno Sistemi di controllo interno di aziende diverse funzionano a livelli di efficacia diversi. Analogamente un determinato sistema può funzionare diversamente in periodi differenti. Un sistema di controllo interno si può ritenere efficace quando assicura ragionevolmente al Consiglio di amministrazione ed al management aziendale che con riferimento alle tre categorie di obiettivi riportate sul COSO Report315: Essi comprendono in quale misura si stanno conseguendo gli obiettivi operativi aziendali; I bilanci pubblicati vengono predisposti in modo attendibile; Le leggi ed i regolamenti in vigore vengono rispettati. Sebbene il controllo interno sia un processo, la sua efficacia è uno stato o una condizione in cui tale processo si trova in un determinato momento. La valutazione dell’efficacia di un sistema di controllo interno è un giudizio soggettivo fondato sulla presenza dei cinque componenti del COSO Report e sul loro valido funzionamento. L’efficacia del loro funzionamento fornisce un livello di sicurezza ragionevole sul raggiungimento di una o più categorie di obiettivi indicate. I componenti del controllo interno costituiscono pertanto anche dei criteri di efficacia. 314 The Committee of Sponsoring Organizations of the Treadway Commission, Internal control – Integrated framework, 1992 315 Per visualizzare tali obiettivi, si veda il paragrafo 3.1. della presente trattazione 145 Siccome i controlli possono servire a scopi diversi, quelli svolti all’interno di un componente possono soddisfare gli obiettivi dei controlli presenti in un altro componente. Inoltre i controlli possono essere più o meno efficaci per fronteggiare un particolare rischio e pertanto dei controlli complementari, ciascuno con una limitata efficacia, possono risultare globalmente soddisfacenti. Per una qualsiasi delle tre categorie di obiettivi (per esempio quella relativa ai controlli sui bilanci) dovranno essere soddisfatti i cinque criteri per poter concludere che il controllo interno relativo ai bilanci sia efficace. 4.4.2. Ambiente di controllo L’ambiente di controllo è un elemento importantissimo della cultura di un’organizzazione, poiché determina il livello di sensibilità del personale alla necessità di controllo. Esso costituisce le fondamenta di tutti gli altri componenti del controllo interno e fornisce disciplina ed organizzazione. I fattori che influenzano l’ambiente di controllo sono l’integrità, i valori etici e la competenza del personale, la filosofia e lo stile del management, le modalità di delega delle responsabilità, ecc. . L’ambiente di controllo esercita un’influenza profonda sul modo in cui le attività sono strutturate, gli obiettivi stabiliti e i rischi valutati. Inoltre esso influisce sulle attività di controllo, sui sistemi informativi e di comunicazione e sulle attività di monitoraggio. Questo vale non solo per la loro progettazione, ma anche per il loro funzionamento quotidiano. L’ambiente di controllo è influenzato dalla storia e dalla cultura dell’azienda e incide, a sua volta, sulla sensibilità del personale alle esigenze di controllo; esse sono consapevoli del fatto che il Consiglio di amministrazione e il management devono dare il buon esempio. A tal fine elaborano politiche e procedure appropriate, spesso accompagnate da un codice di condotta, che favoriscono l’adesione ai valori dell’organizzazione e la collaborazione al raggiungimento degli obiettivi. 4.4.2.1. Integrità e valori etici Gli obiettivi di un’azienda e i metodi utilizzati per realizzarli sono basati sulle priorità, sui giudizi di valore e sullo stile di management. Queste priorità e giudizi di valore, che si traducono in un codice di condotta, riflettono l’integrità e l’etica dei dirigenti. 146 Dato che la buona reputazione di un’azienda è preziosa, il codice di condotta deve andare al di là del semplice rispetto della legge. Nel giudicare la reputazione delle migliori aziende, la comunità si aspetta qualcosa di più della mera osservanza delle leggi. L’efficacia delle procedure di controllo interno è funzione dell’integrità e dei valori etici delle persone che creano questi controlli, li amministrano e li sottopongono a monitoraggio. L’integrità e i valori etici sono elementi essenziali dell’ambiente di controllo ed incidono significativamente sulla progettazione, sull’amministrazione e sul monitoraggio di altri componenti del sistema di controllo interno. L’integrità è una condizione del comportamento etico in tutti gli aspetti dell’attività aziendale. L’etica contribuisce in modo rilevante all’efficacia delle politiche e dei sistemi di controllo messi a punto da un’azienda ed influisce sui comportamenti che sfuggono ai sistemi di controllo, per quanto essi siano sofisticati316. E’ spesso difficile stabilire valori etici di riferimento, a causa degli interessi dei molti soggetti coinvolti. In effetti l’etica della direzione dell’azienda deve rispondere agli interessi di questa ma anche alle preoccupazioni dei restanti stakeholders. Conciliare queste posizioni può diventare uno sforzo complesso e frustrante, in quanto gli interessi spesso divergono. L’etica e l’integrità dei dirigenti sono frutto della cultura aziendale. Questa include le norme etiche e di condotta, come anche i metodi utilizzati per comunicare e rinvigorire le stesse nella pratica. Formalizzando le politiche, il management precisa la sua volontà. La cultura aziendale determina ciò che realmente avviene, quali regole vengono applicate, escluse o non rispettate. L’alta direzione svolge un ruolo di primo piano nella determinazione della cultura aziendale, a cominciare dal Ceo317. In effetti, questi ultimi rappresentano generalmente le personalità dominanti di un’azienda e ne definiscono spesso il carattere etico. Certi fattori legati all’organizzazione potrebbero incidere sulla probabilità di pratiche fraudolente e discutibili in materia di presentazione delle informazioni di bilancio. Anche il rispetto delle regole etiche può essere influenzato da questi fattori. Le persone possono commettere atti disonesti, illeciti o contrari all’etica semplicemente perché l’azienda in cui lavorano li sollecita in tal senso. Per esempio, insistere sui 316 317 Affermazione della Commissione Treadway Chief executive officier, in Italia l’Amministratore delegato 147 risultati, specialmente a breve termine, favorisce un ambiente nel quale il prezzo da pagare in caso di insuccesso è molto alto. Od ancora, controlli inesistenti o inefficaci, come una scarsa divisione dei compiti in aree rischiose, costituiscono una tentazione o un’attrattiva per appropriazioni indebite o per mascherare risultati inefficienti. L’eliminazione o la riduzione di tali incentivi e tentazioni, al fine di limitare i comportamenti irregolari, possono richiedere tempi molto lunghi. 4.4.2.1.1. Consiglio di amministrazione o audit committee L’ambiente di controllo e la cultura aziendale sono largamente influenzati dal Consiglio di amministrazione e dall’audit committee318. L’esperienza e la levatura morale dei loro membri, la loro indipendenza dal management, il loro livello d’impegno e di supervisione nella conduzione aziendale, il loro rigore nei controlli delle operazioni come anche l’adeguatezza delle loro azioni sono fattori rilevanti dell’ambiente di controllo. Allo stesso modo, deve essere considerata la loro volontà di affrontare e seguire con il management questioni difficili legate alle strategie ed alla performance. L’interazione tra il Consiglio di amministrazione o l’audit committee e i revisori interni ed esterni è un fattore altrettanto decisivo per l’ambiente di controllo. Per la sua importanza, un Consiglio di amministrazione o un organo similare attivo e coinvolto (con un adeguato grado di competenza tecnica e manageriale, abbinato con la necessaria statura morale ed intellettuale, così da poter adeguatamente adempiere le proprie responsabilità di governo, guida e supervisione) costituisce un fattore critico dell’efficacia del controllo interno. E’ anche indispensabile che il Consiglio di amministrazione sia composto, in parte, da amministratori non esecutivi perché essi possano esaminare accuratamente le attività del management, presentare un altro punto di vista, reagire con coraggio di fronte a comportamenti non corretti. I dirigenti ed il personale aziendale giocano spesso un ruolo importante in seno al Consiglio di amministrazione, apportando le loro conoscenze nel corso delle riunioni. Tuttavia, un equilibrio dovrà essere rispettato. Sebbene le piccole e medie aziende abbiano delle difficoltà ad attrarre amministratori non esecutivi o sopportarne il costo, anche se non è generalmente il caso delle grandi organizzazioni, è importante che questi abbiano 318 PricewaterhouseCoopers, Il controllo interno per l’attendibilità del financial reporting. Strumenti di riferimento per il management, COSO Committee of Sponsoring Organizations of the Tradeway Commission, Il sole 24 ore, Milano, 2008 148 almeno un peso significativo in seno al Consiglio di amministrazione. Il numero degli amministratori non esecutivi sarà proporzionato alla situazione specifica aziendale ma, come regola generale, la presenza di più di un amministratore non esecutivo è necessaria per assicurare un equilibrio nel Consiglio di amministrazione. 4.4.2.1.2. Struttura organizzativa La struttura organizzativa di un’azienda fornisce il quadro nel quale le attività necessarie alla realizzazione degli obiettivi generali sono pianificate, eseguite, controllate e monitorate319. Le attività possono articolarsi secondo la cosiddetta catena del valore: il ricevimento, la produzione, la spedizione, il marketing, la vendita e l’assistenza320. Si possono anche avere delle attività di supporto, come l’amministrazione, la gestione delle risorse umane, la ricerca e sviluppo. La realizzazione di una struttura adeguata implica la definizione delle principali linee gerarchiche. Per esempio, il servizio di revisione interna dovrebbe poter comunicare liberamente con un dirigente che non sia direttamente coinvolto nella redazione del bilancio e che abbia sufficiente autorità per assicurare un’adeguata area di interesse degli interventi revisionali e il follow-up dei rilievi e delle raccomandazioni. La struttura organizzativa di un’azienda è strettamente correlata alle sue necessità. L’adeguatezza di una struttura organizzativa dipende in parte dalla dimensione e dalla natura delle sue attività. Un’organizzazione molto strutturata, con livelli gerarchici e con responsabilità stabiliti, si adatta bene a un’azienda di grandi dimensioni con numerose divisioni e con filiali e attività all’estero. Tuttavia, ciò potrebbe impedire ad una piccola azienda di disporre dei flussi informativi necessari. In tutti i casi, qualunque sia la struttura, le attività di un’azienda dovranno essere organizzate in modo da facilitare l’attuazione delle strategie formulate per conseguire particolari obiettivi. 4.4.2.1.3. Attribuzione di poteri e responsabilità Questo aspetto dell’ambiente di controllo riguarda l’attribuzione dei poteri e delle responsabilità per le attività operative, la definizione delle linee gerarchiche che consentono di far fluire le informazioni e le regole in materia di approvazioni. Questo 319 320 F. Culasso, Sistema – impresa e gestione per processi, Giappichelli Editore, Torino, 1999 M.E. Porter, Competitive advantage, The free press, 1985 149 aspetto riguarda anche il modo in cui i singoli e i gruppi sono incoraggiati a prendere iniziative per affrontare e risolvere i problemi, come anche i limiti imposti all’autorità esercitata da individui e gruppi. Infine, tale aspetto copre le politiche che descrivono le prassi aziendali appropriate, le conoscenze e le competenze dei principali responsabili come anche i mezzi per svolgere le loro mansioni. Le aziende tendono sempre più ad assegnare le responsabilità ai dirigenti di livello meno alto, in modo che le persone più vicine all’operatività partecipino al processo decisionale. Un’azienda può seguire questo approccio per essere più orientata al mercato o focalizzata sulla qualità. Per far ciò, l’azienda deve essere in grado di identificare i cambiamenti di priorità nelle opportunità di mercato, nelle relazioni commerciali e nelle attese del pubblico e di reagire di conseguenza. La delega dei poteri e delle responsabilità spesso è concepita per incoraggiare, entro certi limiti, l’iniziativa degli individui. Tale delega implica che il controllo centrale abbandoni certe decisioni trasferendole a livelli più bassi, a individui che sono più vicini alle operazioni quotidiane od ordinarie dell’azienda. La principale difficoltà risiede nel fatto che le responsabilità dovrebbero essere delegate solo nei limiti degli obiettivi da realizzare. Per far ciò, è necessario assicurarsi che l’assunzione dei rischi sia basata su robuste pratiche di identificazione e riduzione del rischio, incluso il relativo dimensionamento e il raffronto tra potenziali costi e benefici, al fine di assumere le decisioni migliori per l’azienda. Un’altra difficoltà è di essere certi che tutto il personale comprenda gli obiettivi dell’azienda. E’ essenziale che ciascun individuo sia cosciente dei legami esistenti tra le sue azioni e quelle degli altri e del contributo delle stesse alla realizzazione degli obiettivi. Talvolta la delega dei poteri è accompagnata o deriva da una semplificazione o da un appiattimento intenzionale della struttura. I cambiamenti di struttura, realizzati al fine di stimolare la creatività, incoraggiare l’iniziativa e migliorare la capacità di reazione, possono rafforzare la competitività e accrescere il livello di soddisfazione della clientela. Un aumento dei poteri esige implicitamente un livello di competenza più elevato, come pure un accrescimento delle responsabilità. Esso richiede anche l’elaborazione di procedure efficaci che consentano al management di monitorare i risultati. In effetti la decentralizzazione dei poteri, anche se favorisce la presa di 150 decisioni che tengono meglio conto delle condizioni del mercato, può accrescere il numero di decisioni erronee o imprevedibili. Il fatto che il personale riconosca che può essere ritenuto responsabile ha una grande influenza sull’ambiente di controllo. 4.4.2.1.4. Politiche e prassi di gestione delle risorse umane Le politiche di gestione delle risorse umane servono anche a comunicare al personale il livello di integrità, di comportamento etico e di competenza che l’azienda si aspetta. Queste politiche comprendono le assunzioni, la gestione delle carriere, la formazione, le valutazioni del personale, gli incontri di verifica con il personale, le promozioni, le remunerazioni e le azioni correttive321. Per esempio, una politica rivolta ad assumere le persone in base alla dimostrazione di comportamenti etici e di integrità nel passato testimonia la volontà dell’azienda di circondarsi di persone degne di fiducia. Le prassi di assunzione che prevedono interviste formali e analitiche ai candidati e un’ampia presentazione della storia dell’azienda, della sua cultura e del suo stile di management, dimostrano che l’azienda è impegnata verso il suo personale. Allo stesso modo, le politiche di formazione che forniscono indicazioni sui ruoli e sulle responsabilità in prospettiva e che prevedono dei corsi di formazione e seminari rilevano i livelli di performance e di comportamento che l’azienda si aspetta dal suo personale. I sistemi di remunerazione competitiva che prevedono l’erogazione di premi, servono a motivare il personale e ad accrescere la performance a livelli ottimali. Infine i provvedimenti disciplinari servono a far comprendere che non saranno tollerate violazioni delle regole di comportamento stabilite dall’azienda. Gli studi e la formazione, quale che sia la loro natura, scolastici, autodidattici o formazione sul lavoro, devono preparare il personale dell’azienda ad adattarsi alle trasformazioni dell’ambiente. Devono inoltre rafforzare la capacità dell’azienda di avviare iniziative per il miglioramento della qualità. Per permettere ciò, il processo formativo previsto in azienda deve essere continuo. 4.4.2.2. 321 Valutazione F. Culasso, Sistema – impresa e gestione per processi, Giappichelli Editore, Torino, 1999 151 Per determinare che esista un positivo ambiente di controllo è necessario ciascun fattore dell’ambiente stesso. I punti di seguito riportati sono alcuni esempi di fattori di cui bisogna tener conto al fine di giudicare l’efficacia dell’ambiente di controllo. Essi non sono tuttavia applicabili a tutti i tipi di aziende: Valutare se esistono un codice di condotta ed altre norme relative a prassi aziendali accettabili e a comportamenti etici e morali e se queste vengono messe in pratica; Valutare se esistono analisi delle conoscenze e delle capacità necessarie per svolgere una mansione in modo adeguato; Valutare se il Consiglio di amministrazione e l’audit committee sono sufficientemente indipendenti dalla direzione per sentirsi liberi di porre tutte le domande necessarie, anche le più delicate, e se tengono riunioni periodiche con il direttore amministrativo, il responsabile della contabilità ed i revisori interni ed esterni; Valutare se il management aziendale è coinvolto spesso in operazioni ad alto rischio o, al contrario, si mostra generalmente prudente; Valutare se la struttura organizzativa è adeguata ed assicura il flusso delle informazioni necessarie per la gestione delle attività; Valutare se esistono e se sono adeguate le azioni correttive intraprese in caso di violazione di norme procedure. Qualora tali punti evidenziassero che il sistema di controllo interno del fattore ambiente è implementato adeguatamente, ciò significherebbe che l’azienda è in grado di perseguire il raggiungimento dei propri obiettivi circa tale fattore. 4.4.3. Risk assessment 4.4.3.1. Definizione degli obiettivi La missione aziendale indica ciò che un’organizzazione aspira a realizzare. Partendo dalla missione, il management definisce gli obiettivi strategici, formula la strategia e determina i relativi obiettivi operativi, di conformità e di reporting. Mentre la missione e gli obiettivi strategici sono normalmente immutabili, cioè non soggetti a significative variazioni nel tempo, le strategie e molti degli obiettivi correlati sono più dinamici e 152 soggetti a rettifiche al cambiare delle condizioni interne ed esterne. Quando queste condizioni variano, le strategie e gli obiettivi correlati sono riallineati con gli obiettivi strategici. E’ di cruciale importanza definire gli obiettivi giusti che devono essere allineati alla strategia scelta e supportarla. Focalizzandosi innanzitutto sugli obiettivi strategici e sulla strategia, l’azienda è in grado di sviluppare gli obiettivi correlati, riguardanti l’azienda nel suo complesso, il raggiungimento dei quali crea e preserva il valore dell’azienda. Gli obiettivi definiti a livello aziendale sono collegati e integrati con gli obiettivi ancora più specifici che fluiscono, a cascata, per tutta la struttura organizzativa e danno luogo a sotto-obiettivi, definiti per le varie tipologie di attività. Quando gli obiettivi sono coerenti con le prassi e la performance di periodi precedenti, i collegamenti tra le attività sono ben conosciuti. Invece, quando gli obiettivi si discostano dalle prassi storiche dell’azienda, il management deve provvedere a detti collegamenti, altrimenti corre maggiori rischi. Gli obiettivi devono essere chiari e misurabili: il personale di tutti i livelli deve avere una buona conoscenza degli obiettivi perché essi devono essere in grado di influenzarli ed inoltre deve avere una univoca comprensione di ciò che si dovrà realizzare. Gli obiettivi si possono raggruppare in alcune grandi categorie: Obiettivi operativi; riguardano l’efficacia e l’efficienza delle attività operative aziendali. Questi obiettivi variano in funzione delle scelte fatte dal management riguardo la struttura organizzativa e i livelli di performance che si desidera raggiungere; Obiettivi di reporting; riguardano la redazione di report attendibili ai fini inteni ed esterni; Obiettivi di conformità; riguardano l’osservanza delle leggi e dei regolamenti applicabili all’azienda322. Alcuni obiettivi dipendono dal business dell’azienda. Per esempio, alcune società sono obbligate a presentare certe informazioni alle agenzie addette alla protezione dell’ambiente, e così anche le società quotate in borsa devono depositare certi report e informazioni presso le autorità di vigilanza dei mercati borsistici. Questi obblighi imposti dall’esterno sono fissati per legge e/o regolamento. Al contrario gli obiettivi operativi, 322 PricewaterhouseCoopers, Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali, Il sole 24 ore, Milano, 2006 153 come pure quelli concernenti il report direzionale interno, sono prevalentemente basati sulle preferenze, sui giudizi e sullo stile di direzione. Essi si differenziano ampiamente da un’azienda all’altra semplicemente perché le persone possono scegliere obiettivi diversi. Un obiettivo di una categoria può sovrapporsi o supportare un obiettivo di un’altra. Per esempio, informare il responsabile di una unità operativa che controlla le attività produttive può essere utile sia per conseguire obiettivi operativi che di reporting. Gli obiettivi devono essere complementari e collegati tra loro. Tra i suoi obiettivi però un’azienda deve saper scegliere quelli che detengono un maggiore grado di importanza assegnato dall’impresa stessa oltre che una priorità più elevata di realizzo. Gli obiettivi che rientrano nella precedentemente elencata categoria di reporting, qualora l’azienda implementi e mantenga un efficace sistema di ERM, forniscono una ragionevole sicurezza del loro conseguimento. Diverso è il caso degli obiettivi strategici e operativi. Il conseguimento di questi obiettivi è solo in parte sotto il controllo dell’azienda. Ciò significa che l’azienda è soggetta ad eventi esterni che non sono sotto il suo controllo. Può darsi che essa abbia anche considerato alcuni di questi eventi nel suo processo di definizione degli obiettivi trattandoli come poco probabili, ma elaborando, comunque, un piano di emergenza nel caso si verificassero. Tuttavia questo piano può solo attenuare l’impatto degli eventi esterni. Esso non garantisce la realizzazione degli obiettivi. L’ERM applicato all’attività operativa mira principalmente a sviluppare, in tutte le aree aziendali, obiettivi e traguardi tra loro coerenti, a identificare i fattori chiave di successo, a valutare i rischi ed elaborare risposte ben ponderate, a implementare le risposte appropriate al rischio e a fissare i necessari controlli, e comunicare, nei tempi dovuti, al management la performance e le aspettative. Per quanto concerne gli obiettivi strategici e operativi, l’ERM può solo garantire una ragionevole sicurezza che il management e, nel suo ruolo di vigilanza il consiglio di amministrazione, siano tempestivamente informati della misura in cui si stanno conseguendo gli obiettivi. Il management deve accertare che gli obiettivi siano allineati con il rischio accettabile stabilito dall’azienda. Disallineamenti potrebbero significare che l’azienda non sta assumendo abbastanza rischi nel perseguire i suoi obiettivi o, al contrario, sta assumendo rischi eccessivi. Un ERM efficace non indica al management quali obiettivi deve scegliere, ma si limita ad allineare gli obiettivi strategici con la missione aziendale 154 e ad assicurare che la strategia selezionata e i relativi obiettivi siano coerenti con il livello di rischio accettabile fissato dall’azienda. Il rischio accettabile, definito dal management con la supervisione del consiglio di amministrazione, costituisce un paramento importante di riferimento per la formulazione delle strategie. Le aziende possono esprimere il rischio accettabile come bilanciamento tra crescita, rischio e profittabilità oppure come misura del valore aggiunto creato per gli stakeholder, rettificato dal livello di rischio assunto. L’ERM, impiegato nel processo di definizione degli obiettivi, aiuta il management a selezionare una strategia coerente con il livello di rischio accettabile. Laddove il rischio legato ad una strategia non fosse coerente con il livello di rischio accettabile, la strategia formulata inizialmente deve essere modificata ed adattata. Il rischio considerato accettabile dal management aziendale, oltre che con la strategia è strettamente correlato con la tolleranza, e cioè con il livello di variazione accettabile quando si consegue un obiettivo. La misurazione della performance costituisce un ausilio per assicurare che i risultati realizzati siano all’interno della tolleranza al rischio. Nel determinare la tolleranza al rischio, il management considera l’importanza degli obiettivi ad esso relativi e la allinea con il rischio accettabile. Operando entro i limiti della tolleranza al rischio si assicura al management che l’azienda non oltrepassi il livello di rischio accettabile; il che, a sua volta, costituisce una conferma che verosimilmente l’azienda raggiungerà i suoi obiettivi. 4.4.3.2. Identificazione degli eventi Un evento è un fatto o un accadimento originato da fonti interne od esterne che incide sull’implementazione della strategia oppure sul conseguimento degli obiettivi. Gli eventi possono avere un impatto positivo o negativo, oppure entrambi323. Il management nell’identificare un evento è sicuro solo della sua incertezza: non sa se l’evento accadrà e quando accadrà e il suo preciso impatto nel caso si verificasse. In particolare il rischio si differenzia per: La sua natura, cioè l’indicazione della tipologia di rischio che può verificarsi; 323 Il sole 24 ore, La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, Milano, 2006 155 La sua magnitudo, cioè l’estensione e l’impatto che il verificarsi del rischio avrebbero nell’azienda; La sua probabilità, cioè il rapporto sulla base del quale il rischio può verificarsi o meno. Risulta comunque difficile per il management aziendale individuare tutti gli eventi che possono impattare sull’impresa, in quanto alcuni risultano inizialmente imprevedibili o di difficile rilevazione. E’ per questo che il management aziendale deve porre la maggiore attenzione possibile nella rilevazione degli eventi rischiosi, al fine di non trovarsi impreparato senza eventuali piani di risposta al rischio. Una miriade di fattori esterni (ambiente economico, politico, tecnologico e sociale circostante all’ambito operativo dell’impresa) ed interni originano gli eventi che influiscono sull’implementazione della strategia e sul conseguimento degli obiettivi. Come parte dell’ERM, è fondamentale che il management acquisisca conoscenza di questi fattori e della tipologia di eventi a essi riferibili. Gli eventi sono comunque anche originati dalle scelte fatte dal management ed i n particolare sul modo in cui tali scelte opereranno in futuro. Le scelte condizionano la creazione di fattori interni quali le infrastrutture, il personale, i processi e la tecnologia. L’individuazione dei fattori interni ed esterni è utile per individuare efficacemente gli eventi. Una volta che sono stati individuati i principali fattori, il management può valutarne la significatività e dirigersi su quegli eventi che possono pregiudicare il conseguimento degli obiettivi. Inoltre gli eventi, oltre a essere identificati a livello aziendale, possono essere identificati a livello di singola attività, il che costituisce un ausilio per indirizzare la valutazione del rischio sulle principali unità operative o funzioni quali le vendite, la produzione, il marketing, lo sviluppo tecnologico, la ricerca e lo sviluppo di nuovi prodotti, … . Una metodologia per identificare gli eventi può consistere in una combinazione di tecniche, insieme a strumenti di supporto. Le tecniche per identificare gli eventi considerano sia il passato che il futuro. Le tecniche basate sugli eventi passati e sui trend storici possono analizzare, per esempio, l’andamento nel tempo delle perdite su crediti, le oscillazioni dei prezzi, … . Le tecniche basate sugli eventi futuri possono analizzare, per esempio i cambiamenti demografici, i vincoli dei nuovi mercati, … . 156 Le tecniche hanno un livello di sofisticazione molto variegato e possono anche variare in base all’area in cui sono impiegate. Alcune considerano un’analisi dettagliata dei dati e ordinano gli eventi individuati partendo dal basso e dirigendosi verso l’alto della struttura organizzativa; altre procedono invece nel senso inverso. Un esempio di tecniche di identificazione degli eventi è costituito dalle analisi interne. Queste analisi possono essere elaborate in concomitanza con il processo di pianificazione e controllo. Un altro esempio è la tecnica delle analisi del flusso di processo. Essa mette insieme input, fasi, responsabilità e output che compongono un processo e ne esamina fattori interni ed esterni che li influenzano. All’interno di tale analisi vengono quindi identificati gli eventi che potrebbero pregiudicare il conseguimento degli obiettivi di processo. L’ampiezza delle analisi, la tempistica ed i metodi per identificare gli eventi variano da un’azienda all’altra. Il management deve selezionare le tecniche che più si adattano alla sua filosofia di gestione del rischio e si assicura che l’azienda sviluppi le capacità necessarie per identificare gli eventi e che gli strumenti di supporto siano disponibili. Inoltre va considerato che spesso gli eventi non accadono come fatti isolati, ma che un evento può provocarne un altro e più eventi possono verificarsi tutti nel medesimo momento. Nell’identificare gli eventi, il management deve quindi capire come gli eventi sono correlati ed interdipendenti tra loro. Si può quindi determinare dove è o più conveniente dirigere gli sforzi per gestire il rischio. 157 Figura 4.8 - Categorie di eventi Fattori esterni Fattori interni Economici disponibilità di capitali emissione di prestiti, insolvenze Concentrazione Liquidità mercati finanziari Disoccupazione Concorrenza fusioni/acquisizioni Infrastrutture disponibilità di risorse materiali potenzialità delle risorse materiali accesso ai capitali Complessità Ambientali inquinamento e rifiuti Energia catastrofi naturali sviluppo sostenibile Politici cambiamenti nel contesto politico Legislazione politiche pubbliche Regolamentazione Sociali Demografici comportamento dei consumatori nazionalità dell'azienda Privacy Terrorismo Personale potenzialità delle risorse umane frodi salute e sicurezza Processo risorse disegno esecuzione fornitori/dipendenze Tecnologia integrità dei dati disponibilità dei dati e dei sistemi scelta del sistema sviluppo diffusione manutenzione Tecnologici Interruzioni commercio elettronico dati esterni tecnologia emergente Fonte: Il sole 24 ore, La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, Milano, 2006 Gli eventi con un impatto positivo rappresentano opportunità o compensazioni di impatti negativi generati dai rischi. L’opportunità è la possibilità che un evento accada ed incida positivamente sul conseguimento degli obiettivi e sulla creazione di valore. Gli eventi che rappresentano opportunità richiedono un riesame della strategia formulata in precedenza o del processo di definizione degli obiettivi in atto, in modo che si possano definire i necessari interventi per cogliere le opportunità che si presentano. 4.4.3.3. Valutazione del rischio I fattori esterni e interni determinano la tipologia degli eventi che si possono verificare e la misura in cui questi incidono sugli obiettivi aziendali. Sebbene alcuni fattori siano 158 comuni a tutte le aziende che operano in un settore, gli eventi che si verificano spesso sono peculiari alle singole aziende, a causa degli obiettivi da esse definiti e delle scelte effettuate nel passato. Il management nel valutare il rischio considera la combinazione di potenziali eventi futuri relativi all’azienda ed alle sue attività nel contesto degli elementi che contribuiscono a formare il suo profilo di rischio, quali la dimensione, la complessità delle operazioni ed il grado di regolamentazione del settore. Nel valutare il rischio, il management valuta gli eventi previsti ed inattesi. Molti eventi sono routinari e si verificano con una certa frequenza e sono già considerati nei programmi operativi e nei budget mentre altri sono inaspettati. Il management valuta il rischio di eventi potenziali inattesi e di eventi potenziali possibili che possono avere un impatto significativi sull’azienda. Il management considera sia il rischio inerente che il rischio residuo. Il rischio inerente è il rischio che un’azienda assume quando il management non attiva alcun intervento per modificarne la probabilità e l’impatto. Il rischio residuo è il rischio che rimane dopo che il management ha attivato una risposta al rischio. La valutazione del rischio è effettuata in primo luogo in termini di rischio inerente. Una volta che la risposta al rischio è stata attivata, il management determina il rischio residuo. Il management utilizza spesso indicatori di performance per determinare la misura in cui un obiettivo è stato o sarà conseguito e normalmente utilizza le stesse unità di misura quando deve determinare l’impatto potenziale di un rischio sul conseguimento di un obiettivo specifico. La stima delle probabilità e dell’impatto (definita magnitudo nel sottoparagrafo precedente) del rischio è spesso determinata utilizzando dati relativi ad eventi già accaduti (storici), che costituiscono una base più obiettiva rispetto a stime totalmente soggettive. Si deve comunque prestare particolare attenzione quando si utilizzano eventi passati per prevedere gli accadimenti futuri, dato che i fattori che influenzano gli eventi possono variare nel tempo. La metodologia di valutazione del rischio aziendale si articola in una varietà di tecniche qualitative e quantitative. Il management utilizza spesso le tecniche qualitative quando la tipologia dei rischi da valutare non si presta a essere quantificata oppure quando sono necessari un certo numero di dati affidabili che risultano indisponibili o molto onerosi. Le tecniche quantitative solitamente sono più precise e sono impiegate in attività più complesse e sofisticate ad integrazione delle tecniche qualitative. Alcuni 159 esempi di tecniche quantitative utilizzati dalle aziende sono la tecnica del benchmarking (processo basato sulla collaborazione di un gruppo di aziende indirizzato su eventi specifici e processi, che compara misure e risultati ed identifica opportunità di miglioramento), modelli probabilistici (che aggregano una serie di eventi e l’impatto conseguente con la probabilità che questi eventi accadano sulla base di certe ipotesi) e modelli non probabilistici (che adottano ipotesi soggettive per la stima dell’impatto degli eventi senza quantificarne alcuna probabilità). 4.4.4. Attività di controllo 4.4.4.1. Risposta al rischio Le risposte al rischio individuato dall’impresa si suddividono in differenti categorie di appartenenza: Evitare il rischio, in base a cui si possono eliminare attività che generano rischi ad alta probabilità o magnitudo; Ridurre il rischio, che riguarda l’assunzione di azioni intraprese al fine di ridurre la probabilità o l’impatto del rischio, oppure entrambi; Condividere il rischio, trasferendo lo stesso nello Spazio (ad esempio ad imprese assicurative) o nel tempo (ad esempio con la costituzione di fondi); Accettare il rischio, non sono intraprese azioni per incidere sulla probabilità o sulla magnitudo del rischio. La risposta di evitare il rischio nasce dal fatto che non si è riusciti a trovare un’opzione valida che riduca l’impatto e la probabilità del rischio ad un livello accettabile. Le risposte di ridurre e condividere il rischio riducono il rischio residuo ad un livello che è in linea con la tolleranza al rischio desiderata. Nel formulare la risposta al rischio, il management deve considerare: Gli effetti delle risposte potenziali sulla probabilità e sull’impatto del rischio; I costi verso i benefici delle risposte potenziali; Possibili opportunità di conseguire ugualmente gli obiettivi aziendali che vanno oltre la gestione degli specifici rischi. 160 I rischi inerenti sono analizzati e le risposte valutate al fine di determinare un livello di rischio residuo che sia in linea con la tolleranza al rischio dell’azienda. Spesso una qualunque delle diverse risposte è in grado di portare il rischio residuo in linea con la tolleranza al rischio e certe volte un’aggregazione di più risposte fornisce un risultato ottimale. Nel valutare le risposte alternative al rischio, il management ne determina l’effetto sia sulla probabilità che sull’impatto, ed è ben consapevole che una risposta può incidere sulla probabilità e sull’impatto in modo diverso. Nell’analizzare le risposte al rischio, il management può considerare gli eventi passati ed i trend e gli scenari potenziali futuri. Nel valutare le risposte alternative, il management normalmente determina i loro effetti potenziali utilizzando le stesse unità di misura adottate per quantificare i relativi obiettivi. Il secondo punto dell’elenco precedente inerente i fattori da considerare nell’attuare una specifica politica di risposta al rischio, va considerato che le risorse sono sempre limitate e le aziende devono considerare i costi ed i benefici delle risposte alternative al rischio. Generalmente risulta più semplice quantificare con sufficiente accuratezza i costi e non i benefici. Vengono considerati i costi diretti imputabili alla risposta alternativa e, laddove fosse possibile, tutti i costi indiretti. Alcune aziende considerano anche i costi opportunità collegati con l’impiego delle risorse. In alcuni casi risulta comunque difficile quantificare la risposta al rischio. Le difficoltà riguardano i tempi e gli sforzi considerevoli richiesti per quantificare una particolare risposta. Il versante dei benefici, come detto, è di più difficile stima e spesso comporta una valutazione più soggettiva. In molti casi i benefici di una risposta al rischio possono essere valutati nel contesto dei benefici che derivano dal conseguimento degli obiettivi relativi. Quando si esamina il rapporto costi-benefici, il considerare i rischi interconnessi tra loro consente al management di aggregare le risposte di riduzione e di compartecipazione al rischio. La risposta al rischio non si deve limitare unicamente alla riduzione del rischio identificato, ma deve anche tenere conto delle nuove opportunità che si presentano per 161 l’azienda. Il management può identificare risposte innovative che potrebbero essere completamente nuove all’azienda o anche al settore in cui questa opera. Una volta che gli effetti delle varie risposte alternative al rischio sono stati valutati, il management decide le modalità di gestione del rischio, selezionando le risposte, o una combinazione di risposte, che consentono di allineare la probabilità e l’impatto del rischio alla tolleranza al rischio. Valutare le risposte alternative al rischio inerente richiede l’esame di ulteriori rischi che potrebbero derivare dalla risposta che si vuole dare. Questo esame può generare un processo iterativo attraverso il quale il management, prima di decidere in via definitiva, analizza questi ulteriori rischi, inclusi anche quelli che potrebbero non essere di immediata evidenza. L’ERM richiede che il rischio sia considerato in una prospettiva che considera l’azienda nel suo complesso. Normalmente, il manager adotta un approccio con il quale il rischio è prima esaminato a livello di ciascuna unità operativa, dipartimento o funzione. Il senior management, disponendo di un quadro d’insieme dei rischi delle singole unità, è in grado di stabilire se il rischio residuo a livello aziendale è allineato con il rischio accettabile, espresso in termini generali, e con gli obiettivi a esso relativi. Una volta che il management ha attuato tutta la procedura di selezione della risposta al rischio, può risultare necessario sviluppare un piano di implementazione per attuarla. Una parte critica del piano di implementazione è la definizione delle attività di controllo di cui si parlerà nel sottoparagrafo successivo. 4.4.4.2. Le attività del controllo interno Le attività di controllo sono le politiche e le procedure, ovvero le azioni svolte dalle persone per realizzare le politiche, direttamente o tramite applicazioni tecnologiche, destinate ad assicurare l’attuazione delle risposte al rischio scelte dal management. Le attività di controllo si possono suddividere in quattro categorie in base alla natura degli obiettivi dell’azienda ai quali esse si riferiscono: strategiche, operative, di reporting e di conformità. Sebbene alcune attività di controllo si riferiscano specificatamente a una categoria, spesso però si possono sovrapporre. Secondo le circostanze, una specifica attività di controllo può contribuire alla realizzazione di obiettivi che ricadono in più categorie. 162 Dopo aver selezionato le risposte al rischio, il management identifica le attività di controllo che aiutano ad assicurare che le risposte al rischio siano eseguite correttamente e nei tempi previsti324. Nel selezionare le attività di controllo, il management determina quindi il modo in cui le attività di controllo sono connesse tra loro. Come accade per la selezione della risposta del rischio, dove è valutata la correttezza della risposta e il rischio residuo, così anche per la selezione delle attività di controllo si dovrà valutare la loro pertinenza e appropriatezza con la risposta al rischio e con il relativo obiettivo. Le attività di controllo costituiscono infatti una parte importante del processo attraverso il quale le aziende si adoperano per conseguire i loro obiettivi. Esistono varie descrizioni delle tipologie di attività di controllo, tra cui controlli preventivi, successivi, manuali, informativi e controlli gestionali. Le attività di controllo interno si possono anche classificare in funzione di specifici obiettivi, come quello di assicurare la completezza e l’accuratezza dell’elaborazione dei dati. Alcune delle attività di controllo comunemente svolte sono le seguenti: Analisi svolte dall’alta direzione, le performance realizzate sono analizzate raffrontandole con i budget, con le proiezioni, con i risultati dei periodi precedenti e con i risultati dei concorrenti. Si esamina l’andamento delle principali iniziative adottate (come per esempio comparazione dei costi) per determinare in che misura gli obiettivi siano stati conseguiti. Si monitorano i piani di realizzo per lo sviluppo di nuovi prodotti, per gli accordi di joint venture o per i finanziamenti; Processi informativi, una varietà di controlli sono realizzati per verificare l’accuratezza, la completezza e l’autorizzazione delle operazioni. I dati registrati sono soggetti a check e confrontati con file di controllo approvati. L’ordine di un cliente, per esempio, è accettato solo dopo essere stato associato ad un cliente approvato e ad un limite di credito. I controlli sui processi informativi sono necessari per via dell’ampio affidamento che viene fatto sugli stessi, sia al fine di gestire un’azienda sia al fine di realizzare obiettivi di reporting e di conformità. Le attività di controllo sui sistemi informativi si possono ripartire in due ampi gruppi, che congiuntamente alle procedure di controllo manuale, consentono, 324 PricewaterhouseCoopers, Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali, Il sole 24 ore, Milano, 2006 163 operando tutti insieme, di assicurare la completezza, l’accuratezza e la validità dell’informazione: Controlli generali, che si applicano alla quasi totalità dei sistemi ed assicurano il loro corretto e continuo funzionamento e riguardano i controlli relativi alla gestione ed alle infrastrutture dell’information technology, gestione della sicurezza, acquisizione dei software, sviluppo e manutenzione. Questi controlli si applicano a tutti i sistemi, dai mainframe ai client/server, ai computer fissi e portatili e sono a titolo esemplificativo: - Gestione dell’information supervisione, il technology, monitoraggio ed il viene effettuata reporting alle la attività dell’information technology ed alle iniziative di miglioramento; - Gestione della sicurezza, controlli logici all’accesso come password sicure limitano l’accesso alla rete, al database ed a determinati livelli delle applicazioni. Le user account ed i relativi controlli agli accessi privilegiati, aiutano a limitare l’accesso, da parte degli utenti autorizzati alle sole applicazioni o funzioni di applicazioni di cui hanno bisogno per lo svolgimento del proprio lavoro. Gli internet firewalls e reti virtuali private proteggono i dati da accessi esterni non autorizzati; - Acquisizione, sviluppo e manutenzione del software, i controlli sono compresi in un processo definito per la gestione dei cambiamenti, compresa la richiesta della documentazione, test di accettazione degli utenti, stress test e valutazioni del rischio di progetto. Gli sviluppatori di software lavorano solo in ambienti separati di sviluppo/test e non hanno accesso all’ambiente di produzione. I controlli su cambiamenti di sistema includono richieste di autorizzazione ai cambiamenti, la review dei cambiamenti, approvazioni, documentazione, testing, implicazioni dei cambiamenti sulle altre componenti dell’information technology, risultati di stress testing e protocolli di implementazione. Controlli applicativi, che includono le procedure automatizzate, all’interno di applicazioni software, per controllare le elaborazioni delle varie 164 operazioni. Essi servono a verificare la completezza, l’accuratezza, l’autorizzazione e la validità dei dati rilevati e processati. Questi controlli assicurano che i dati siano catturati o generati quando richiesto, le applicazioni di supporto siano disponibili e gli errori di interfaccia siano rintracciati rapidamente. Un obiettivo fondamentale dei controlli applicativi è quello di prevenire l’inserimento di dati erronei nel sistema, come anche di individuare e correggere gli errori una volta che siano stati inseriti. Per fare ciò, gran parte dei controlli sono supportati da procedure automatizzate, che verificano la struttura, l’esistenza, la ragionevolezza dei dati ed è incorporato nell’applicazione già durante la fase del suo sviluppo. Alcuni esempi di controlli applicativi sono elencati di seguito: - Controllo di quadratura, gli errori si possono rilevare riconciliando gli ammontari immessi nel processo elaborativo, sia manualmente che automaticamente, con un totale di controllo. Per esempio il numero delle operazioni di vendita di una società sono processate e trasferite dal sistema di registrazione ordini on line al sistema di fatturazione. La società provvede a quadrare automaticamente il totale del numero delle operazioni processate dal sistema di registrazione ordini on line con il numero delle operazioni trasferite nel sistema di fatturazione; - Check digit, i dati inseriti nel processo sono validati tramite calcolo. Per esempio, i codici delle parti di ricambio acquistati da una società contengono un check digit per individuare e correggere ordini di acquisto con codici errati; - Test di ragionevolezza sui dati, sono comparati i dati rilevati con i livelli di ragionevolezza attuali o frutto di trend storici; - Test logici, il controllo include l’utilizzo di una serie di limiti o valori o test alfanumerici. Ad esempio si può individuare un errore nell’inserimento dei dati qualora tutti i numeri inseriti debbano contenere sei digit e non tutti li contengano; Controlli fisici, attrezzature, scorte, titoli, denaro ed altre attività sono protetti fisicamente e periodicamente soggetti a conta fisica e confrontati con le risultanze contabili; 165 Indicatori di performance, l’analisi comparata di diversi insiemi di dati, operativi o finanziari, l’esame delle correlazioni e le conseguenti azioni investigative o correttive. Indagando sui risultati inattesi o su tendenze anomale, il management identifica le situazioni che evidenziano un’inadeguata capacità di portare a termine dei processi chiave, il che può significare che la realizzazione degli obiettivi è alquanto improbabile. Il modo in cui il management utilizza le suddette informazioni, solo per decisioni operative oppure per il follow up di risultati inattesi evidenziati dal sistema di reporting, determina se l’analisi degli indicatori di performance serve solo a fini operativi oppure anche per controllare la correttezza del reporting; Separazione dei compiti, al fine di ridurre il rischio di errori ed irregolarità, i compiti sono ripartiti o segregati tra più persone. Per esempio, la responsabilità di autorizzare operazioni, di contabilizzarle e di gestirle deve essere suddivisa tra persone diverse. La persona che autorizza le vendite a credito non deve essere responsabile della tenuta della contabilità clienti, né deve avere accesso agli incassi. Analogamente, gli addetti alle vendite non devono avere la possibilità di modificare gli archivi relativi ai prezzi dei prodotti o alle percentuali delle provvigioni. Questi controllo rappresentano solo una piccola parte dei numerosi controlli normalmente svolti dal personale a vari livelli organizzativi, che servono a far rispettare i piani di azione stabiliti ed a indirizzare le aziende verso il conseguimento dei loro obiettivi. Spesso, come detto, è attuata una combinazione di controlli per far fronte alle relative risposte al rischio. Le attività di controllo includono controlli preventivi per bloccare certe operazioni prima di essere effettuate e controlli successivi per identificare altre operazioni in tempo utile. Le attività di controllo aggregano controlli automatici e manuali, compresi i controlli automatici volti ad assicurare che tutte le informazioni siano catturate correttamente e le procedure di routine che consentono ai responsabili di autorizzare o approvare le decisioni di investimento. Le attività di controllo si basano normalmente su due elementi: le politiche, che definiscono ciò che si deve fare, e le procedure che realizzano in pratica le politiche. In molti casi, le politiche da adottare vengono comunicate verbalmente. La politica non scritta può risultare efficace se è di applicazione consolidata e facile da recepirsi 166 oppure, nel caso di piccole aziende, che dispongono di canali di comunicazione che coinvolgono un numero limitato di manager dove l’interazione e la supervisione del personale non presenta difficoltà. Scritta o non scritta, comunque, una politica deve essere attuata totalmente, seriamente e con coerenza. E’ essenziale che, qualora emergano rilievi dall’applicazione delle procedure, essi siano indagati e siano oggetto di appropriate azioni correttive, tali azioni variano a seconda delle dimensioni e della struttura aziendale. Così in una grande società esse si possono basare su processi di reporting formalizzati (le unità operative indicano le ragioni per cui gli obiettivi non sono stati conseguiti e i provvedimenti adottati per rimediarvi), mentre in una piccola impresa individuale, il titolare incontra personalmente il direttore di produzione per discutere sui problemi emersi e sugli interventi da attivare per porvi rimedio. Dato che ogni azienda ha i propri obiettivi e metodi per realizzarli, si noteranno sempre delle differenze nelle risposte al rischio e nelle relative attività di controllo. Ogni azienda è gestita da persone diverse che attivano i controlli secondo valutazioni personali. Inoltre, i controlli riflettono l’ambiente ed il settore in cui opera l’azienda come pure la dimensione e la complessità della sua organizzazione, la natura e la portata delle sue attività, la sua storia e la sua cultura. Infine, grandi e complesse organizzazioni con diverse attività normalmente affrontano problemi di controllo più difficili rispetto alle piccole e semplici organizzazioni con meno attività variegate. 4.4.5. Informazioni e comunicazione Tutte le aziende devono identificare e raccogliere una vasta gamma di informazioni relative ad eventi esterni ed interni ed alle attività pertinenti alla gestione aziendale. Queste informazioni devono essere trasmesse al personale nei modi e nei tempi necessari per consentire agli stessi di adempiere le proprie responsabilità riguardanti l’ERM e altre responsabilità loro assegnate. E’ necessario che le informazioni siano infatti diffuse a tutti i livelli della struttura organizzativa per identificare, valutare e rispondere ai rischi, e per gestire l’azienda. Ad esempio informazioni economico-finanziarie attendibili sono fondamentali per la pianificazione ed il budget, la definizione dei prezzi, la valutazione della performance 167 dei fornitori, la valutazione di joint venture e di alleanze e una serie di altre attività gestionali. Analogamente, le informazioni concernenti l’attività operativa aziendale sono fondamentali per l’elaborazione dei bilanci ed altri report. Le informazioni provengono da varie fonti interne ed esterne e facilitano l’elaborazione di risposte ai cambiamenti che si manifestano negli ambienti interni ed esterni delle aziende. Una sfida per il management è di trasformare un grande volume di dati in informazioni che aiutano l’azione. Questa sfida è realizzata quando si crea una infrastruttura di sistemi informativi che originano, raccolgono, processano, analizzano e diffondono, tramite report, le informazioni rilevanti. Questi sistemi informativi sono spesso considerati nel contesto della elaborazione dei dati di origine interna. I sistemi informativi trattano anche di informazioni su eventi esterni, per esempio, dati economici specifici di un settore o di un mercato che segnalano variazioni nella domanda dei prodotti e dei servizi trattati, dati sull’evoluzione delle preferenze della clientela o della domanda, informazioni sui prodotti e sulle iniziative della concorrenza e sui progetti di legge e sui regolamenti in corso di elaborazione325. La progettazione di un’architettura di sistemi informativi e l’acquisizione di tecnologia sono aspetti importanti della strategia di un’azienda e la scelta della tecnologia da adottare può essere cruciale per il conseguimento degli obiettivi. Le decisioni riguardanti la scelta e l’implementazione della tecnologia dipendono da numerosi fattori quali gli obiettivi aziendali, le esigenze espresse dal mercato ed i modi in cui si svolge la concorrenza. Mentre i sistemi informativi sono fondamentali per un’efficace gestione del rischio, le tecniche adottate per gestire il rischio possono essere utili nel selezionare le giuste tecnologie. I sistemi informativi sono spesse volte totalmente integrati con numerosi aspetti delle operazioni. Queste applicazioni facilitano l’accesso all’informazione, prima intrappolata negli archivi funzionali e dipartimentali, rendendola disponibile per un ampio e diffuso uso da parte del management. Per rendere efficace l’ERM, le aziende raccolgono e utilizzano dati attuali e storici. I dati storici consentono di comparare la performance consuntivata con i target, i programmi e le aspettative. Essi indicano i livelli di performance che si possono 325 Amministrazione & Finanza ORO, Enterprise risk management, Casistiche aziendali di rischi operativi, Modello quantitativo di analisi del rischio operativo, IPSOA, Milano, 2007 168 raggiungere al variare delle condizioni, consentendo, così, al management di identificare correlazioni e tendenze e fare previsioni sulla performance, i dati storici possono, inoltre, allertare in anticipo il management su eventi potenziali che potrebbero pregiudicare il raggiungimento degli obiettivi. I dati attuali o correnti consentono a un’azienda di determinare se la sua attività si sta svolgendo entro la tolleranza al rischio definitiva. Questi dati consentono, inoltre, al management di ottenere in tempo reale la situazione dei rischi in essere a livello di processo, di funzione o di unità e di rilevare scostamenti dagli obiettivi attesi. Gli sviluppi dei sistemi informativi hanno accresciuto la capacità di molte organizzazioni di misurare e monitorare la performance e di elaborare informazioni analitiche a livello aziendale. La complessità e lì integrazione dei sistemi sono in continua evoluzione specialmente nelle organizzazioni che utilizzano nuove tecnologie per tenersi al passo con questa evoluzione. Tuttavia, il crescente affidamento sui sistemi informatici a livello strategico e operativo comporta nuovi rischi che devono essere integrati nell’ERM. L’infrastruttura del sistema informativo attinge e raccoglie i dati nei tempi e con il grado di dettaglio coerente con le necessità dell’azienda di identificare, valutare e rispondere al rischio e rimanere nei limiti della tolleranza al rischio. La tempestività del flusso informativo deve essere coerente con il tasso di cambiamento dell’ambiente interno ed esterno. L’infrastruttura dei sistemi informativi trasforma i dati grezzi in informazioni specifiche che aiutano il personale a gestire il rischio e ad adempiere ad altre responsabilità. Le informazioni sono fornite nel modo e nei tempi tali da consentire l’azione ed essere utilizzabili agevolmente e attribuibili a specifiche responsabilità. I sistemi avanzati di raccolta, elaborazione e conservazione dei dati hanno provocato una crescita esponenziale dei volumi di dati. Quando sono disponibili molti dati per più persone in un’organizzazione, la sfida per il management è di evitare un sovraccarico di informazioni assicurando che i flussi informativi recepiscano solo le informazioni giuste, destinate alle persone giuste e disponibili nei tempi dovuti. Quando si sviluppa un’infrastruttura informativa e conoscitiva, si devono determinare distintamente i requisiti informativi per gli utenti sia persone sia dipartimenti e le informazioni necessarie ai diversi livelli della struttura organizzativa. 169 Un’altra caratteristica importante che deve essere valutata da parte del management aziendale è quella riferita alla qualità delle informazioni. L’affidabilità dei dati diviene critica nelle aziende quando aumenta la loro dipendenza da sistemi informativi sofisticati e dai dati derivanti da processi decisionali automatizzati. Dati errati possono dar luogo a mancata identificazione dei rischi oppure a valutazioni inadeguate e decisioni sbagliate. Per valutare la qualità delle informazioni è necessario analizzare l’appropriatezza del contenuto, la tempestività dell’informazione, l’attualità della stessa, l’accuratezza e l’accessibilità. Per ottenere dati di qualità, le aziende stabiliscono programmi di gestione dei dati applicabili a tutta l’azienda, che comprendono l’acquisizione, la conservazione e la diffusione delle informazioni rilevanti. Senza questi programmi, il sistema informativo potrebbe non fornire le informazioni che il management e il personale necessitano. Ottenere le informazioni giuste, nei tempi giusti e nei luoghi giusti, è essenziale per l’efficacia dell’ERM. 4.4.5.1. La comunicazione interna La comunicazione specifica e diretta, proveniente dal management, ha una forte influenza sui comportamenti del personale in special modo per quanto concerne le sue aspettative e responsabilità. Questa comunicazione riguarda una chiara enunciazione della filosofia della gestione del rischio e del relativo approccio e una chiara delega di autorità, la comunicazione relativa ai processi ed alle procedure deve essere coerente con la cultura che si desidera realizzare. La comunicazione deve trasmettere efficacemente l’importanza e la rilevanza di un’ERM efficace, gli obiettivi aziendali, il rischio accettabile e la tolleranza al rischio, ruoli e responsabilità del personale nell’attivare e supportare i componenti dell’ERM. E’ molto importante che i messaggi siano trasmessi in maniera chiara ed efficace. Inoltre devono essere chiare le correlazioni presenti tra le diverse attività svolte dal personale che formano i diversi processi aziendali. Questa conoscenza è essenziale per identificare i problemi o per determinare le cause e le conseguenti azioni correttive. 170 Il personale che tratta direttamente le operazioni aziendali (personale operativo) e affronta giornalmente problemi operativi importanti, è spesso nella migliore posizione per rilevare i problemi nel momento in cui sorgono, e i canali di comunicazione dovrebbero garantire che questo personale possa comunicare informazioni sui rischi attraverso le unità organizzative, i processi, o funzioni. Affinchè le informazioni siano comunicate, è fondamentale che l’azienda disponga di canali di comunicazione accessibili a tutti e sia disponibile ad ascoltare ciò che ognuno può aver da dire. 4.4.5.2. La comunicazione esterna Le comunicazioni sono appropriate non soltanto quando avvengono all’interno dell’azienda, ma anche con l’esterno. Con canali di comunicazione aperti, i clienti ed i fornitori possono fornire informazioni molto significative sul disegno o sulla qualità dei prodotti e servizi, consentendo all’azienda di conoscere l’evoluzione della domanda e delle preferenze della clientela. Per esempio, i clienti ed i fornitori quando contestano o fanno domande sulle spedizioni, sulle ricezioni, sulla fatturazione o su altre attività, spesso fanno emergere problemi operativi, ed eventuali frodi o altre prassi illecite, il management deve essere pronto a riconoscere le conseguenze dei casi emersi, indagare ed attivare i necessari provvedimenti correttivi, considerando l’impatto sui bilanci e sul rispetto delle leggi e regolamenti come pure sugli obiettivi operativi. Anche le comunicazioni con i soci, le autorità di vigilanza e terzi esterni costituiscono informazioni rilevanti rispetto alle loro necessità, in modo che essi possano rapidamente rendersi conto delle circostanze e dei rischi che l’azienda affronta. Le comunicazioni possono assumere diverse forme: ad esempio vi possono essere comunicazioni attuate via mail, con manuali, fogli esposti sul luogo di lavoro, ecc. . Il modo in cui il management si comporta con il personale può costituire un potente messaggio. Le azioni del management sono, a loro volta, influenzate dalla storia e dalla cultura aziendale, e dai modi in cui i loro predecessori gestivano situazioni analoghe. 171 4.4.6. Monitoraggio Il management deve sempre determinare se l’ERM continua a funzionare efficacemente nel tempo. Il monitoraggio può essere effettuato in due modi: con attività continue o con valutazioni separate. Generalmente, l’ERM è strutturato per auto monitorarsi in modo continuo. Quanto maggiore è l’estensione e l’efficacia del monitoraggio continuo, tanto minore è la necessità di valutazioni separate. Spetta al management giudicare la frequenza delle valutazioni separate necessarie per fornire una ragionevole sicurezza sull’efficacia dell’ERM. Il monitoraggio continuo è integrato nelle normali attività operative dell’azienda. Esso è svolto in tempo reale, consentendo così di reagire dinamicamente ai cambiamenti delle condizioni, ed è radicato nei processi aziendali. Di conseguenza, è più efficace del monitoraggio svolto tramite valutazioni separate. Dato che queste ultime sono effettuate a posteriori, le eventuali carenze sono spesso identificate più rapidamente dal monitoraggio continuo, che permette inoltre di agire in maniera più rapida sui processi implementati non in maniera corretta e di limitare gli effetti negativi. Molte attività svolte in un’azienda servono a monitorare l’efficacia dell’ERM nel corso delle normali attività operative. Le attività di monitoraggio continuo sono generalmente svolte dai responsabili di linea o responsabili di attività di supporto, che esaminano attentamente le implicazioni delle informazioni ricevute. Analizzando le connessioni, le incoerenze e altre implicazioni rilevanti, essi individuano problemi e anomalie che esaminano a fondo. Alcuni esempi di monitoraggio continuo sono: I manager, esaminando i report utilizzati per la gestione corrente, possono individuare inesattezze o anomalie rispetto ai risultati previsti. L’elaborazione completa e tempestiva dei report e la soluzione di queste divergenze migliorano l’efficacia del processo; Gli internal auditor e i revisori esterni e i consulenti forniscono regolarmente raccomandazioni sul modo in cui i processi di gestione del rischio possono essere migliorati. I revisori focalizzano la loro attenzione, in modo rilevante, sui rischi chiave, sulla risposta relativa e sulla programmazione delle attività di controllo. Le potenziali carenze vengono identificate e vengono identificate e vengono di conseguenza raccomandati al management interventi correttivi 172 alternativi, spesso accompagnati dall’analisi costi-benefici, utile per selezionare l’alternativa più vantaggiosa. Gli internal auditor o il personale che esercita funzioni di verifica possono essere in particolar modo efficaci nel monitorare le attività di un’azienda326. Le valutazioni dell’ERM variano per ambito e frequenza, in funzione della significatività dei rischi dell’importanza delle risposte al rischio e dei controlli conseguenti. La valutazione dell’ERM è un processo a sé stante. Mentre gli approcci e le tecniche variano, questo processo dovrebbe essere supportato da un certo rigore e da certi principi fondamentali a esso inerenti. Chi esegue una valutazione deve capire le singole attività svolte dall’azienda e ciascun componente dell’ERM soggetto a valutazione. Chi valuta deve rilevare come il sistema funziona effettivamente ed il modo in cui funziona da un punto di vista concettuale. E’ disponibile un’estesa varietà di metodi e strumenti di valutazione come check-list, questionari e diagrammi di flusso. Alcune aziende confrontano il loro processo di gestione del rischio con quello di altre aziende. La documentazione dell’ERM varia a seconda della dimensione dell’azienda, della complessità della gestione e di altri fattori similari. Le grandi organizzazioni generalmente dispongono di manuali delle politiche gestionali, di organigrammi formali, di mansionari, di istruzioni operative, di diagrammi del sistema informativo e così via. Le piccole aziende normalmente dispongono di minore documentazione. Molti aspetti del loro processo di gestione del rischio aziendale sono informali e non documentati anche se sono eseguiti regolarmente e sono molto efficaci. Queste attività possono essere sottoposte a un controllo a campione (test) allo stesso modo delle attività documentate. Le carenze dell’ERM possono emergere da varie fonti, come le procedure di monitoraggio continuo, le valutazioni separate e le segnalazioni effettuate da soggetti esterni. Una delle migliori fonti d’informazione sulle carenze del processo di gestione del rischio aziendale è proprio lo stesso processo. L’attività di monitoraggio continuo di un’azienda, comprese le attività manageriali e la supervisione giornaliera del 326 PricewaterhouseCoopers, Il controllo interno per l’attendibilità del financial reporting. Strumenti di riferimento per il management, COSO Committee of Sponsoring Organizations of the Tradeway Commission, Il sole 24 ore, Milano, 2008 173 personale, consentono di ottenere informazioni direttamente da coloro che sono coinvolti nelle attività aziendali. Queste informazioni sono ottenute in tempo reale e possono consentire rapide identificazioni delle carenze. Le valutazioni separate del processo di gestione del rischio aziendale costituiscono un’altra fonte d’informazione sulle problematiche inerenti a questo processo. Le valutazioni svolte dal management, dagli internal auditor o da altre funzioni possono rilevare aree che richiedono miglioramenti. I terzi, quali i clienti, i fornitori, i revisori esterni, le autorità di vigilanza e altri che intrattengono rapporti di affari con l’azienda, spesso forniscono importanti informazioni sul funzionamento del processo di gestione del rischio aziendale. Tutte le carenze rilevate nell’ERM in grado di incidere sulle capacità dell’azienda di sviluppare e realizzare la sua strategia e di fissare e conseguire i suoi obiettivi dovranno essere segnalate tramite relazioni a coloro che sono in grado di prendere i necessari provvedimenti. Nel decidere che cosa comunicare, è necessario tenere conto delle implicazioni delle problematiche emerse. E’ fondamentale non solo segnalare una particolare operazione o evento, ma anche formulare proposte di modifiche delle procedure potenzialmente inadeguate. Fornire le necessarie informazioni sulle carenze dell’ERM ai soggetti giusti è cruciale. Si devono stabilire protocolli per identificare quali informazioni sono necessarie a un particolare livello della struttura organizzativa per rendere efficace il processo decisionale. Questi protocolli sono basati sul principio che un manager deve ricevere le informazioni che gli sono necessarie sia per influire sulle azioni o sul comportamento delle persone che operano sotto la sua responsabilità, sia per realizzare gli obiettivi specifici. 4.4.7. Limiti del controllo interno Il sistema di controllo interno, per quanto ben progettato e gestito, può fornire ai dirigenti e agli amministratori solo una ragionevole sicurezza sulla realizzazione degli obiettivi aziendali. La probabilità di questa realizzazione risente dei limiti insiti in tutti i sistemi di controllo interno. Nel considerare i limiti del controllo interno si devono tenere presenti due concetti: 174 Il controllo interno, anche se efficace, agisce a livelli diversi con riferimento ai diversi obiettivi. Per quanto riguarda gli obiettivi di efficacia ed efficienza della gestione operativa di un’azienda (realizzazione della sua missione, degli obiettivi di redditività e simili) il controllo interno può aiutare il management nel venire a conoscenza dei progressi più o meno realizzati. Non può invece fornire alcuna sicurezza, anche se ragionevole, che gli obiettivi stessi saranno conseguiti; Il controllo interno non può fornire la sicurezza assoluta nei confronti di nessuna delle tre categorie di obiettivi. La prima serie di limitazioni dipende dal fatto che alcuni eventi sfuggono assolutamente ad ogni potere di controllo del management (come già descritto nei paragrafi precedenti). Quanto alla seconda, si identifica con l’assioma che nessun sistema potrà mai fare tutto ciò per cui è stato predisposto. Il meglio che ci si può attendere da un sistema di controllo interno è l’ottenimento di una ragionevole sicurezza327. L’effetto congiunto di controlli mirati a una molteplicità di obiettivi e la natura multifunzionale dei controlli riducono certamente il rischio che un’azienda possa mancare i propri obiettivi. Inoltre le normali attività giornaliere e le responsabilità delle persone operanti ai diversi livelli di un’organizzazione sono rivolte al raggiungimento degli obiettivi aziendali. Tuttavia, a causa di limiti intrinseci, non sussiste alcuna garanzia che non si produca mai, per esempio, un evento incontrollabile, un errore, un’errata segnalazione. Anche un valido sistema di controllo interno, insomma, può venire meno al suo compito. Una sicurezza ragionevole non è mai assoluta. Ad esempio, qualora anche vi fossero sistemi di controllo interno ben concepiti, potrebbe accadere che tali sistemi possano essere oggetto di disfunzioni o debolezze. Il personale potrebbe interpretare male le istruzioni, compiere errori di giudizio, sbagliare per distrazione o stanchezza. Inoltre il personale incaricato di attività di controllo, potrebbe svolgere questo compito in maniera non appropriata oppure modifiche al sistema potrebbero essere attuate prima che il personale sia stato addestrato per reagire adeguatamente ai segnali di malfunzionamento dei sistemi. Un sistema di controllo interno risulta comunque tanto efficace quanto lo sono i responsabili del suo funzionamento. Anche nelle aziende meglio controllate, con un 327 PricewaterhouseCoopers, Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali, Il sole 24 ore, Milano, 2006 175 elevato grado di integrità e di sensibilizzazione al controllo, un manager può essere in grado di derogare al controllo interno. Con il termine “deroga” si intende il mancato rispetto delle politiche e delle procedure di controllo, per scopi illeciti, per trarne personale vantaggio oppure per presentare migliori risultati di bilancio o dissimulare la non conformità agli obblighi di legge. Un capo di divisione o di unità, oppure un membro dell’alta direzione, può farlo per molte ragioni328. Le deroghe possono anche consistere in dichiarazioni consapevolmente inesatte a banche, legali, revisori e venditori e nella deliberata emissione di documenti falsificati come ordini di acquisto o fatture di vendita. La deroga non va confusa con gli interventi compiuti dal management per modificare a fini leciti le politiche o le procedure prescritte. Questi interventi si rendono necessari per gestire transazioni straordinarie e atipiche oppure eventi in relazione ai quali il normale sistema di controllo è inadeguato. Tutti i sistemi di controllo interno devono prevedere l’intervento eccezionale del management, perché nessun sistema può essere impostato in modo da prevenire qualunque situazione. Queste iniziative del management sono generalmente manifeste e documentate o comunque portate a conoscenza del personale interessato, mentre le deroghe non vengono pubblicizzate, nell’evidente intento di nasconderle. Infine, atti di collusione tra due o più individui possono sfociare in deficienze di controllo. Persone che agiscono di comune accordo per commettere e occultare un atto soggetto a controllo possono spesso alterare dati contabili o altre informazioni in modi non individuabili dal sistema di controllo. Si ha collusione, per esempio, tra un dipendente addetto a un’importante funzione di controllo e un cliente, un fornitore o un altro dipendente. Su livelli differenti, diversi responsabili di divisione o di settori di vendita possono accordarsi nell’eludere i controlli, affinchè i risultati realizzati possano apparire conformi agli obiettivi di budget o a quelli assegnati per le incentivazioni. 4.4.8. Rapporto costi-benefici Le risorse sono sempre limitate. Le aziende devono pertanto tenere conto del rapporto tra costi e benefici dei controlli che si vogliono attivare. 328 Per un maggiore approfondimento si rimanda al paragrafo 3.5. La frode 176 Nel decidere l’attivazione di un determinato controllo si dovrà pertanto considerare il rischio di insuccesso e gli effetti potenziali, unitamente ai suoi costi di attuazione. Per un’azienda industriale, per esempio, può non valere la pena di istituire un sofisticato sistema di monitoraggio per le scorte di materie prime a basso costo, non deperibili e di facile reperimento e stoccaggio. L’analisi dei costi e benefici per l’attuazione dei controlli si effettua con diversi gradi di precisione. In generale è più facile affrontare l’aspetto dei costi, che in molti casi si possono quantificare con una certa precisione. Solitamente si tiene conto di tutti i costi diretti, connessi alla costituzione del sistema di controllo, e dei costi indiretti effettivamente misurabili. Alcune aziende tengono conto anche dei costi-opportunità collegati all’impiego delle risorse. In alcuni casi, però, la quantificazione dei costi può essere più difficile. Può essere difficile quantificare il tempo e lo sforzo da dedicare a determinati fattori dell’ambiente di controllo, come l’importanza attribuita dal management ai valori etici o la competenza del personale, la valutazione dei rischi, la raccolta di informazioni esterne, come le ricerche di mercato sull’evoluzione delle preferenze della clientela. La valutazione dei benefici poi è ancora più soggettiva. L’utilità di efficaci programmi di addestramento è senz’altro evidente, ma difficile da quantificare. Per stabilire i vantaggi potenziali si possono comunque considerare alcuni fattori: la probabilità di insorgenza di situazioni indesiderabili, le caratteristiche delle attività e i possibili effetti finanziari o gestionali sull’azienda. La complessità intrinseca alla determinazione costi-benefici aumenta per effetto dell’integrazione dei controlli con la gestione aziendale. Quando i controlli sono integrati, o sono incorporati nei processi aziendali e manageriali, è difficile isolarne sia i costi che i benefici. La determinazione del rapporto costi-benefici varia notevolmente anche in funzione delle caratteristiche dell’azienda. Per esempio un sistema computerizzato che elabora informazioni sulla frequenza degli ordini da parte dei singoli clienti, sull’importo unitario degli ordini e sul numero degli articoli per ciascun ordine è di grande importanza in una società di vendite per corrispondenza, ma non in una che, ad esempio, produce barche a vela personalizzate. Il problema è trovare il giusto equilibrio. Un controllo eccessivo è dispendioso e controproducente. 177 4.5. Il sistema di controllo nell’economia aziendale Le componenti del sistema di controllo interno possono essere classificate in due distinte categorie329: Le componenti di struttura, che riguardano un aspetto soggettivo; Le componenti di processo, che riguardano un aspetto oggettivo. Tra le componenti di struttura sono considerate quelle riferibili al contesto organizzativo, ovvero gli elementi che soltanto in via mediata costituiscono elementi del sistema di controllo, in quanto si tratta di aspetti di natura organizzativa (come la struttura organizzativa, lo stile di leadership) e di processi dell’impresa non direttamente legati alle funzioni degli organi del controllo interno (come il controllo di gestione e la gestione del personale), ovvero l’insieme delle condizioni ambientali peculiari della singola organizzazione all’interno del quale si definisce e realizza il sistema di controllo interno. Rispetto al modello di Coso Report, tra le componenti di struttura sono stati considerati: L’ambiente di controllo; L’informazione e la comunicazione. Tra le componenti di processo sono invece considerati quei processi direttamente posti in essere o comunque dipendenti dalla responsabilità degli organi del controllo interno e finalizzati a consentire al sistema di raggiungere e mantenere nel tempo l’efficacia. Essi sono: La valutazione dei rischi; Le attività di controllo; Il monitoraggio. Il risk and control governance si realizza attraverso l’interazione delle diverse componenti che costituiscono il sistema di gestione dei rischi all’interno dei processi e delle combinazioni di processo e/o delle funzioni in cui è articolata l’impresa. Un’altra chiave di lettura potrebbe identificare delle unità organizzative con dei responsabili di processo a livello interfunzionale come ad esempio il responsabile del ciclo attivo o del 329 F. Bava, Il controllo del sistema di controllo interno, Giuffrè editore, Milano, 2005 178 ciclo passivo che funzionalmente coinvolge la gestione degli approvvigionamenti, l’amministrazione, finanza e controllo e la funzione commerciale330. Il sistema di gestione e di controllo dei rischi deve essere consolidato a livello corporate e deve essere in grado di rappresentare agli organi di direzione aziendale la situazione complessiva del rischio residuo accettabile che l’impresa considera coerentemente con il proprio piano strategico. Un sistema di controllo interno ben implementato, come precedentemente evidenziato, deve possedere un sistema di elementi interrelati ed interdipendenti tra loro. L’eventuale debolezza di un componente si riflette inevitabilmente sull’affidabilità complessiva del sistema, così come la positiva interazione tra gli elementi costitutivi consente al sistema di controllo interno di rafforzarsi e raggiungere una maggiore efficacia. Il sistema di controllo interno delle imprese non può comunque garantire il raggiungimento degli obiettivi aziendali, ma può soltanto porre le condizioni per prevenire ad una ragionevole certezza del loro raggiungimento, non esistendo strumenti e strategie in grado di garantire il successo aziendale. Il termine “controllo” concerne l’attività ispettiva e di vigilanza oppure assume un valore di guida e di governo dell’impresa secondo l’accezione di derivazione anglosassone. Il sistema di controllo interno interessa entrambe le nozioni di controllo: Un controllo di tipo ispettivo, ad esempio l’attività di verifica senza preavviso effettuata dagli internal auditor finalizzata ad evitare frodi; Il controllo come guida per il governo dell’impresa, ad esempio la verifica del corretto impiego delle risorse finalizzata al raggiungimento degli obiettivi aziendali. Nel corso del tempo, il sistema di controllo interno ha assunto il significato più ampio del termine, fino a costituire un elemento primario al fine di consentire una corretta gestione aziendale volta al raggiungimento degli obiettivi di business. Il termine “interno” invece è espressione della volontà decisionale dell’azienda, indica un controllo che opera nel tessuto della struttura aziendale a tutela dei vincoli di aderenza agli obiettivi interni, delle condizioni di regolarità formale e sostanziale. 330 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 179 La definizione di sistema di controllo interno mette quindi in risalto il carattere di processo trasversale del sistema poiché, per essere efficace, deve coinvolgere tutti gli organi e le funzioni aziendali. Al fine di conseguire i risultati programmati è quindi necessario non soltanto perseguire e mantenere un’efficienza operativa, ma anche un’efficienza definibile organizzativa, che consente la misurazione dei risultati della gestione aziendale. Gli organi del controllo interno influenzano la gestione attraverso la previsione di attività di controllo all’interno dei processi operativi e la previsione di nuovi processi, come nel caso dei processi di monitoraggio del corretto funzionamento del sistema di controllo interno medesimo. La funzione di controllo interno assume il ruolo proprio volto ad assistere il vertice aziendale nel processo di risk and control governante attraverso il monitoraggio, l’analisi, la valutazione e le raccomandazioni di miglioramento, nell’ambito di un flusso informativo e di reporting strutturato. Come visto, il vertice aziendale, ed in particolare il Consiglio di amministrazione, sono responsabili dell’implementazione di un sistema efficace di controllo interno, che garantisca che i rischi nel loro insieme siano adeguatamente gestiti. Il sistema di gestione dei rischi posto in essere nell’impresa deve riferirsi a molteplici evidenze di conformità richieste da normative esterne o disposizioni interne all’impresa. La funzione del controllo interno, svolgendo un’attività di assurance indipendente ed obiettiva, consente di assistere il management a tutti i livelli organizzativi dell’impresa fornendo raccomandazioni di miglioramento del processo di gestione e controllo dei rischi. Attraverso la propria attività di assurance e consulenza, l’internal auditing contribuisce alla gestione del rischio in diversi modi: esso si adatta nel tempo e nelle modalità operative senza seguire uno schema predefinito ma seguendo le finalità del piano strategico dell’impresa331. Va comunque ricordato che prima di introdurre qualsiasi tipologia di controllo interno, si deve procedere ad una valutazione dell’idoneità delle procedure esistenti a fronteggiare il rischio dopo aver correttamente mappato tutti i processi a rischio ed aver analizzato i rischi potenziali. Successivamente a tale fase è necessario valutare quelli che sono i rischi residui e valutare l’efficienza di porre in essere delle procedure di controllo efficaci332. 331 332 Guida interpretativa AIIA 2100-3, Ruolo dell’internal auditing nel processo di Risk management Per un maggiore approfondimento si veda il paragrafo 4.4.8. Rapporto costi-benefici 180 4.5.1. L’evoluzione dell’ERM e del sistema di controllo interno negli Stati Uniti: il Sarbanes-Oxley Act A seguito dei noti scandali finanziari internazionali i diversi legislatori nazionali hanno risposto con la rivisitazione delle norme sulla corporate governante al fine di rafforzare i sistemi di controllo delle società e mettere in risalto gli specifici ambiti di responsabilità del management nel caso di frodi. Il primo paese a modificare la legislazione vigente e ad adattarla alle problematiche attuali sono stati gli Stati Uniti d’America. L’amministrazione americana nel 2002 ha emanato un provvedimento chiamato Sarbanes Oxley Act che rafforza il sistema dei controlli interni ed esterni e richiede in particolare agli amministratori di rinforzare il sistema di controllo interno dell’azienda e ai revisori esterni una maggiore indipendenza. Il Sarbanes-Oxley Act introduce un modello di Corporate Governance basato sulla responsabilizzazione del management verso gli stakeholders ed in particolare nell’ambito della comunicazione economico-finanziaria. Tale modello ha un impatto rilevante sul sistema di controllo interno e sulla struttura organizzativa delle società: infatti, attribuendo al management una responsabilità diretta sui dati economicofinanziari pubblicati e sulla capacità del sistema di controllo interno di garantire la correttezza di tali dati, il Sarbanes Oxley Act ha comportato una riorganizzazione dei sistemi di controllo interno ed una ridefinizione degli organi di governante. La normativa si applica a tutte le società emittenti, statunitensi o straniere che: Abbiano emesso titoli quotati su un qualunque mercato regolamentato statunitense; Anche se non quotate, abbiano un patrimonio superiore a 10 milioni di dollari e numero di azionisti maggiore di cinquecento; Abbiano il fine di procedere ad una offerta pubblica di securities sul mercato statunitense, evidenziata dal deposito di un registration statement. Il Sarbanes-Oxley Act introduce diversi contenuti che rivoluzionano la legislazione precedentemente adottata e ne restringono le maglie (esso è soprattutto rivolto a garantire una maggiore tutela per gli azionisti): 181 Costituzione di un nuovo comitato di controllo sulle attività delle società di revisione, il PCAOB333, che ha i seguenti compiti: Registrazione delle società di revisione che operano presso società quotate; Fissazione degli standard di revisione con apposito regolamento, ai fini di garantire controllo qualità, etica ed indipendenza; Conduzione di ispezioni presso le società registrate; Eventuale applicazione di sanzioni alle società registrate; Elevazione degli standard professionali e di qualità della revisione; Introduzione di nuovi principi di revisione; Controllo sull’applicazione delle regole introdotte334. Maggiore indipendenza e qualità della revisione garantita agli investitori per via degli obblighi di indipendenza richieste ai revisori335; Regolazione dell’attività di un organo di controllo interno, l’Audit Committee. Esso ha il compito di adottare procedure idonee a ricevere e trattare ogni denuncia o problematica di natura contabile rilevata dai dipendenti o dall’internal auditing; L’introduzione di obblighi e responsabilità che sono state attribuite al CEO ed al CFO e che possono dare luogo, in caso di violazione, a sanzioni penali rilevanti; tali figure hanno l’obbligo di certificare l’informativa di bilancio e dei report. In particolare essi devono certificare che: Hanno revisionato tutti i report; Non risulti loro che vi siano informazioni errati sui report tali da rendere il documento fuorviante; Il sistema di controllo interno dell’impresa, del quale sono i diretti responsabili, sia implementato correttamente e funzionante al fine di produrre adeguate e corrette informazioni sulla società e le controllate; 333 Public Company Accounting Oversight Board V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 335 A titolo esemplificativo, non è possibile esercitare alcuna attività di consulenza nelle società in cui si opera l’attività di revisione contabile 334 182 Hanno comunicato ogni inefficienza ed inefficacia rilevata nel sistema di controllo interno ai revisori esterni ed all’Audit Committee oltre che ogni reato o violazione. Indicazione delle tutele da assumere nei confronti dei dipendenti che collaborano o forniscono informazioni utili ad indagini rivolte ad accertare i reati societari o contabili (es. frodi amministratori); Indicazione delle sanzioni penali per determinati reati societari e contabili336 e delle disposizioni finalizzate a rendere più severe le sanzioni nei confronti di coloro che commettono reati societari o contabili o ne ostacolano l’accertamento. 4.6. Le principali figure preposte ai sottosistemi di controllo aziendale in Italia L’attività di controllo è condizionata dal contesto giuridico normativo in cui opera l’impresa; essa è collegata sia alle regole di corporate governante che alle altre norme che impongono un obbligo di predisporre adeguate procedure di controllo volte a prevenire il verificarsi di particolari eventi. In Italia il sistema di controllo interno delle imprese è stato quindi significativamente influenzato da interventi del legislatore. Le novità introdotte nell’ultimo decennio riguardano: La legge 262 del 28 dicembre 2005 che ha istituito la figura del Dirigente Preposto alla redazione dei documenti contabili e societari; Il D.Lgs. n. 231/2001 con riferimento alla responsabilizzazione dei comportamenti posti in essere dai dipendenti delle imprese; Il D.Lgs. n. 58/1998, con l’introduzione della funzione dell’internal auditor (Legge Draghi). Ne deriva che le imprese hanno l’obbligo di rispondere a specifici adempimenti garantendo la conformità (o compliance) dei comportamenti attuati alle specifiche normative. I sottoparagrafi seguenti analizzano le più importanti novità introdotte da tali 336 Il primo reato contemplato è la distruzione, falsificazione od alterazione di documenti contabili (fonte Sarbanes-Oxley Act) 183 leggi e le figure professionali che si sono formate nei contesti aziendali ai fini di garantire una compliance con la normativa. 4.6.1. Il decreto legislativo n. 58/1998: l’introduzione della figura dell’internal auditor Con l’introduzione della Legge Draghi, si è richiesta la figura dell’internal auditor per le società quotate. L’internal auditor è definito come “colui che è preposto ai controlli interni”337. L’internal auditing è un organismo indipendente che svolge un’attività obiettiva di assurance e consulenza, finalizzata a migliorare efficacia ed efficienza dell’organizzazione. Esso assiste la società nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a migliorare i processi di controllo interno posti in essere dall’azienda dopo averli valutati ed a gestire i rischi338. L'attività di internal auditing è regolata a livello internazionale dagli standard di riferimento dell’internal auditing, emanati dall'Institute of internal auditors (IIA): essi indicano agli auditor il livello minimo di prestazioni accettabili o prestazioni attese necessarie ad ottemperare alle responsabilità assegnate, di informare gli organi direttivi delle aziende, management e organi di controllo interessati339. Il responsabile dell’internal auditor viene anche spesso identificato nelle società quotate come il preposto al sistema di controlli interni della società. Il controllo che effettua l’internal auditing viene definito operativo, in quanto si sostanzia nell’insieme delle verifiche finalizzate a proteggere l’azienda dal manifestarsi dei rischi operativi, volto alla salvaguardia di efficacia ed efficienza. Il rischio operativo è il rischio di perdite che risulta da inefficienze o inadeguatezze di processi, persone, sistemi o eventi esterni340. I controlli operativi consistono in attività quali: L’individuazione dei rischi legati ai processi operativi; 337 Fonte D.Lgs. n. 58/1998 art. n. 150 Traduzione italiana della definizione del Board of Directors dell’Institute of Internal auditor 339 Fonte sito Internet www.theiia.org 340 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 338 184 Il controllo dell’efficacia delle attività di controllo implementate per gestire tali rischi; Il monitoraggio della correttezza dello svolgimento dei processi aziendali. L’internal auditor è una figura indipendente nel senso che tale ruolo deve essere caratterizzato da neutralità. I servizi di assurance menzionati in precedenza circa la definizione di quanto svolto dall’internal auditor comprendono tutte le attività utili a migliorare la qualità delle decisioni e la qualità dell’informazione. Essi possono quindi rendere accessibili nuove informazioni, rendere tempestivamente disponibili quelle esistenti oppure migliorare l’affidabilità o la rilevanza, ad esempio: Servizi di risk assessment, finalizzati ad assicurare che l’azienda abbia un quadro completo dei propri rischi e sistemi adeguati per gestirli; Business performance measurement, volti a garantire la coerenza degli obiettivi aziendali; Test sull’affidabilità dei sistemi informativi aziendali. L’attività dell’internal audit, che concerne principalmente nella raccolta di evidenze, nel campionamento statistico e in un approccio sistematico tipico della metodologia di audit, non si limita alla sola valutazione dei rischi aziendali e della loro entità, ma propone soluzioni atte a eliminare o ridurre criticità. L’attività di monitoraggio dell’internal auditing mira a verificare il rispetto di regole e direttive che l’azienda ha deciso di adottare e l’internal auditor agisce anche come consulente interno, con l’obiettivo di prevenire i fenomeni mediante la verifica della funzionalità dei meccanismi di controllo e di gestione dei rischi. Inoltre, la funzione di internal audit deve anche vigilare sul rispetto e l’applicazione della normativa proveniente dall’ambiente politico circostante alla società. L’assegnazione di ulteriori compiti non direttamente connessi allo svolgimento di attività di controllo deve essere valutata attentamente ed in ogni caso non si può trattare di un’attività connessa allo svolgimento di attività operative. In caso contrario, si potrebbe determinare la coincidenza tra soggetto controllore e soggetto controllato, in contrasto con quanto previsto dai regolamenti Consob circa l’indipendenza di giudizio. 185 Sul piano organizzativo, la funzione dell’internal auditing è un organo di staff posto alle dirette dipendenze del Vertice esecutivo aziendale, poiché deve operare a loro supporto ed a tutto campo sul monitoraggio del sistema di controllo interno. L’internal auditor deve procedere, come detto, alla valutazione ed all’adeguamento del sistema di controllo interno posto in essere dalla società. Per fare ciò risulta necessario suddividere il lavoro in diverse fasi che vanno dall’assessment all’analisi della situazione, alla mappatura dei processi, alle azioni correttive da porre in essere al fine di rendere la struttura adeguata ed infine al monitoraggio del funzionamento del sistema posto in essere, intervenendo laddove siano evidenziate nuove carenze non notate in precedenza. Figura 4.9 - Fasi operative tipiche dei progetti di valutazione ed adeguamento del sistema di controllo interno contabile-amministrativo Assessment Analisi Obiettivi Definire il perimetro di intervento (scoping) e, sulla base di questo, programmare le attività (planning) Attività Mappatura dei processi Azioni correttive Monitoraggio Verificare il grado di allineamento della società ai requisiti previsti dal sistema di controllo interno (COSO) Mappatura del financial reporting process e degli altri processi alimentati Implementazione delle azioni correttive in relazione alle opportunità di miglioramento individuate Verificare l'effettiva operatività del sistema di controllo interno Identificazione di informativa finanziaria, dei processi rilevanti e della normativa Rilevazione degli elementi del sistema di controllo interno Valutare adeguatezza del sistema di controllo interno in termini di processi, rischi e controlli Supporto nell'implementazione Attività di test di azioni correttive Fonte: Documento di ricerca Assirevi 341 n. 102, con adattamenti Nella fase di assessment l’articolazione delle attività è la seguente: Identificazione dei soggetti coinvolti e censimento della documentazione del sistema amministrativo-contabile; Individuazione dei principali processi aziendali; Identificazione di atti e comunicazioni di carattere finanziario; 341 Associazione Italiana Revisori Contabili, un'associazione privata senza scopo di lucro fondata nel 1980 (fonte sito Internet www.assirevi.it) 186 Predisposizione del catalogo dei processi relativo al sistema amministrativocontabile; Pianificazione di dettaglio delle attività e definizione dei protocolli di comunicazione all’interno del team di lavoro e verso l’esterno. Con la fase successiva (analisi) si entra nel merito di quelle che sono le effettive attività poste in essere ed i processi che la società adotta al fine di monitorare i possibili rischi e porre concretamente in essere le attività di controllo interno. Le attività che vengono svolte in questa fase possono essere riassunte nelle seguenti: Predisposizione di una check-list di rilevazione sulla base della definizione degli strumenti di rilevazione delle informazioni posta in essere nella fase di assessment; Individuazione delle persone destinatarie della check-list ed invio della stessa; Descrizione dello stato attuale del sistema di controllo interno derivante dalle informazioni estratte dalla check-list; Rilevazione del grado di allineamento del sistema di controllo interno in essere rispetto agli obiettivi del controllo interno (definiti dal COSO Report ed analizzati nei precedenti paragrafi). Nella terza fase (quella inerente la mappatura dei processi) vengono invece solitamente svolte le seguenti attività: Analisi delle procedure amministrative e contabili in essere e di quelle utilizzate per l’emissione di informativa di carattere finanziario in generale; Individuazione ed analisi dei rischi dei controlli di processo e dei rischi che possono comportare informativa errata per via di un sistema informativo non implementato in maniera corretta; Svolgimento di un’analisi di scostamenti che evidenzi le maggiori differenze e l’indicazione delle aree alle quali si riferiscono, per poter essere oggetto di un successivo intervento. Questo consente di effettuare una riduzione degli assorbimenti patrimoniali, per perdite inattese e di effettuare una misurazione e gestione dei rischi operativi. 187 La quarta fase (quella inerente alle azioni correttive da porre in essere nel caso il sistema di controllo interno abbia mostrato alcune carenze) richiede diverse attività che si possono riassumere nelle seguenti: Definizione del piano di azione che deve essere utilizzato; Realizzazione delle azioni correttive previste dall’action plan; Predisposizione delle direttive e delle procedure interne alle quali la società od il gruppo devono attenersi al fine di essere compliante alle disposizioni di legge. L’ultima fase che deve essere posta in essere al fine di rendere efficace il sistema di controllo interno riguarda il monitoraggio dello stesso, che viene posto in essere tramite le seguenti attività: Predisposizione di un piano periodico di verifiche; Svolgimento delle verifiche previste dal piano; Analisi delle criticità emerse e sintesi degli ulteriori punti di miglioramento individuati. 4.6.2. La legge n. 262 del 28 dicembre 2005: l’introduzione della figura del Dirigente preposto L’introduzione della figura del Dirigente preposto alla redazione dei documenti contabili e societari ha allineato l’Italia alla prassi internazionale dove la figura del Chief Financial Officier (CFO) era già presente all’interno delle società quotate. La norma in oggetto ha contribuito ad avviare un processo di modifica nel sistema di governance previsto all’interno delle imprese italiane, per via della modifica apportata al ruolo del controllore del sistema di controllo interno (come spiegato nel precedente paragrafo, l’internal auditor) e del gestore, responsabile a sua volta del proprio sistema di controllo (Dirigente preposto). Con l’introduzione di tale nuova figura il legislatore si propone di aumentare la trasparenza informativa societaria e di rendere più efficace il sistema dei controlli interni delle società. Il Dirigente preposto diventa quindi corresponsabile dell’informativa economico-finanziaria emanata dalla società con il proprio Bilancio d’esercizio nei confronti degli stakeholders: egli diventa l’affidatario della funzione di predisposizione della redazione della documentazione contabile della società. 188 Le novità più importanti introdotte dalla norma sono le seguenti: Obbligo di previsione nello statuto della società dei requisiti di professionalità del Dirigente preposto, nonché delle modalità di nomina; Obbligo di accompagnare gli atti e le comunicazioni della società diffuse sul mercato con una dichiarazione scritta del Dirigente preposto che ne attesta la corrispondenza alle risultanze contabili; Attribuzione al Dirigente preposto della responsabilità di predisporre adeguate procedure amministrative e contabili per la formazione di ogni comunicazione di carattere finanziario; Obbligo di attestazione, con apposita relazione allegata al Bilancio d’esercizio e ad eventuali altre comunicazioni di carattere finanziario emesse verso l’esterno (ad esempio Bilancio consolidato), dell’adeguatezza e dell’effettiva applicazione delle procedure amministrative e contabili nel corso dell’esercizio e della loro idoneità a fornire la rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria dell’impresa e del gruppo. L’attestazione deve essere emessa sulla base di un modello stabilito dalla Consob con regolamento; Applicazione al Dirigente preposto delle disposizioni che regolano la responsabilità degli amministratori342. Il Dirigente preposto necessita di realizzare determinate procedure e processi che si concretizzano quindi nelle seguenti attività: Individuazione di adeguati flussi procedurali, amministrativi e contabili; Accertamento della capacità del sistema di controllo interno (per tale attività è necessaria la consulenza con l’internal auditor aziendale); Compliance alle norme di legge (in particolar modo alla legge sul Risparmio, che contiene informazioni di carattere patrimoniale-economico-finanziario). Il Dirigente preposto assume evidenza del proprio operato con una attestazione che è parte integrante del bilancio. Tale attestazione è stata pubblicata nel 2007 dalla Consob. Essa attesta che il Bilancio d’esercizio, l’eventuale Bilancio consolidato e l’eventuale relazione semestrale rappresentano un quadro fedele di quanto 342 Fonte D.Lgs. n. 262 del 28 dicembre 2005 189 effettivamente avvenuto nel corso dell’esercizio ed attesta l’adeguatezza (sulla base delle caratteristiche dell’impresa) e l’effettiva applicazione delle procedure amministrative e contabili per la formazione dell’informativa finanziaria di bilancio emessa verso l’esterno. Essa attesta infine che l’informativa corrisponde alle risultanze dei libri e delle scritture contabili e che sia redatta al fine di fornire una rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria dell’emittente e delle eventuali imprese incluse nel processo di consolidamento. Viene firmata dal Dirigente preposto. La formulazione dell’attestazione può alle volte includere anche la possibilità di riportare eventuali osservazioni e commenti su aspetti rilevanti e/o problematiche emerse nell’ambito delle verifiche svolte dal Dirigente preposto o dagli organi di controllo per portare l’attenzione su quelle carenze che sono state individuate ed informarne i terzi, lettori dell’informativa finanziaria. 4.6.2.1. Il ruolo della funzione amministrazione, finanza e controllo Le novità legislative, come visto, hanno quindi introdotto una maggiore responsabilità in carico alla funzione amministrazione, finanza e controllo, il cui responsabile, il CFO, deve gestire e guidare l’organizzazione delle performance attraverso il tipico ciclo amministrativo, quali i processi di budgeting, forecasting e planning, deve definirne e monitorarne le azioni correttive e partecipare alla definizione delle strategie e dei piani di azione conseguenti oltre che identificare le metriche chiave necessarie per garantire che l’azienda sia focalizzata sul raggiungimento dei suoi obiettivi strategici e comunicare le informazioni critiche di performance343. Il ruolo chiave della funzione amministrazione, finanza e controllo è quindi la definizione della strategia, degli obiettivi e dei piani d’azione, che rendono il CFO l’interlocutore ideale per avviare il processo di gestione integrata di performance e compliance. 343 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 190 Figura 4.10 - Il sistema dei controlli Consiglio di amministrazione Comitati di vigilanza/audit Collegio sindacale Alta direzione Internal auditing Flussi informativi Risk management Funzione di compliance Livelli Business lines Service lines Fonte: Elaborazione propria su P. Sassi, La funzione di compliance ed il raccordo con le altre funzioni aziendali, 2007 La figura rappresenta la posizione della funzione di amministrazione, finanza e controllo all’interno dell’impresa, e cioè una funzione alle dirette dipendenze degli organi di governo e della direzione aziendale, coinvolta direttamente sulle linee di business con una funzione di servizio integrata, per quanto riguarda la compliance e la valutazione dei rischi, in un sistema di controllo coordinato nel suo complesso dalla funzione di internal auditing. uditing. Tale impostazione riflette quanto può essere applicato per il CFO con la previsione di un ruolo attivo nel predisporre un adeguato sistema di controllo interno volto a tutelare i terzi sull’attendibilità delle informazioni. Le principali relazioni,, funzionali alla misurazione delle performance ed alla compliance integrate nel sistema dei controlli aziendali, possono essere344: La relazione con gli organi societari, societari, cioè all’interno della struttura organizzativa vi deve essere la definizione, nell’ambito nell’ambito del disegno complessivo della governance dell’azienda, del modello delle relazioni gerarchiche e funzionali tra il CFO e tutti coloro che svolgono attività di controllo, siano essi organi sociali, 344 ANDAF, Il dirigente Preposto alla redazione dei documenti contabili e societari societari, 2007 191 funzioni aziendali, ovvero altri enti interni ed esterni alla società, che a vario titolo siano interessati a tale attività. Inoltre occorre che sia assicurato il coordinamento per svolgere le diverse attività di controllo ed infine deve essere garantito un sistematico e tempestivo flusso informativo tra i diversi soggetti coinvolti. Per quanto attiene ai rapporti tra il CFO ed il Consiglio di amministrazione è necessario prevedere un flusso informativo periodico non superiore al trimestre345, al fine di esplicare: Le modalità con cui viene svolta l’attività di gestione e controllo del processo di predisposizione dell’informativa finanziaria; Eventuali criticità emerse nel periodo; I piani eventualmente predisposti al fine di superare le criticità emerse; Le modalità di impiego delle risorse a disposizione; La relazione con le altre funzioni aziendali coinvolte nel processo di produzione dei flussi informativi ed organizzativi, tipicamente con l’area dei sistemi informativi aziendali (analizzata nel paragrafo 4.2. e nei sottoparagrafi successivi), il controllo di gestione (esso viene monitorato dal controller, il quale svolge i compiti di supportare il vertice nell’individuazione dei fattori critici di successo e nella realizzazione della mappa strategica, nell’identificazione dei parametri obiettivo di performance e di rischio, per ciascun fattore critico di successo, e nella realizzazione pratica della balanced scorecard globale ed integrata, di predisporre e diffondere le linee guida per l’intera struttura circa la stesura della balanced scorecard dei differenti centri di responsabilità, dei piani operativi e dei budget, di controllare l’andamento degli indicatori di performance e degli indicatori di rischio dell’azienda e dei differenti centri di responsabilità, analizzando le cause dei possibili scostamenti e proponendo interventi correttivi ed aggiornamenti ed, infine, di produrre e diffondere il reporting globale aziendale346) e l’organizzazione e lo sviluppo delle risorse umane. Per quanto attiene ai rapporti tra la funzione amministrazione, finanza e controllo e la funzione organizzazione o altre funzioni preposte all’emissione delle procedure, si osserva che il ruolo svolta da tale funzione in materia di procedure interne non 345 Fonte art. 154 D. Lgs. N. 58/1998 F. Culasso, Gestione del rischio e controllo strategico. Un’ottica sistemica aziendale, Giappichelli Editore, Torino, 2009 346 192 sempre risulta univoco ed omogeneo nelle diverse realtà aziendali. In particolare detta funzione può procedere alla redazione ed emissione delle procedure o limitarsi a coordinarne la predisposizione. Appare pertanto evidente come la funzione organizzazione o le altre funzioni aziendali che predispongono ed emettono le procedure aziendali debbono coordinarsi con la funzione che presidia gerarchicamente il personale dipendente per quel che riguarda la predisposizione delle procedure amministrative e contabili o le procedure operative che raccolgono, catalogano, controllano dati ed informazioni che hanno impatto nel bilancio e nell’informativa economica, patrimoniale e finanziaria. Viene quindi individuato nel CFO una responsabilità di carattere organizzativo volta a prevedere un suo diretto coinvolgimento nel garantire un adeguato governo delle attività operative e gestionali che abbiano poi riflessi amministrativo-contabili; La relazione con gli organi del controllo e compliance, ovvero il raccordo che vi deve essere tra il CFO e gli organi deputati a controllare i sotto-sistemi di controllo governati dai singoli process owner al fine di rendere efficace il sistema di controllo e di renderlo compliante alle norme che impattano sull’intera impresa. In particolare si tratta di definire le relazioni con l’internal auditor e con l’Organismo di vigilanza previsto dalla legge 231/2001. Occorre considerare che gli investimenti sullo sviluppo del sistema di controllo interno, indipendentemente dalle previsioni normative, devono avere come obiettivo modelli organizzativi interni in una logica di compliance integrata, assicurando la conformità al sistema normativo senza tuttavia trascurare gli obiettivi di performance. Infatti, solo le imprese ben organizzate e capaci di creare valore saranno in grado di sopravvivere in un mercato globale e competitivo. Vanno quindi ben determinate le relazioni che vi sono tra i seguenti elementi: Gli strumenti di gestione, organizzazione e misurazione della performance delle imprese sviluppati coerentemente con i modelli di business e di corporate governance; I sistemi di controllo interno integrati nei processi di gestione e di organizzazione; La compliance a disposizioni interne all’impresa ed alla normativa che condiziona il soggetto giuridico. 193 Il risultato finale è un sistema di controllo coerente con il modello di corporate governance che integra strumenti di misurazione della performance aziendale e la compliance alle normative interne ed esterne. 4.6.2.2. Il CFO come analista e consulente interno aziendale Diverse ricerche mostrano che molti CFO variano il proprio ruolo da specialisti in accounting a strategici consulenti di business347. In realtà però il CFO rimane sempre il maggiore specialista all’interno dell’impresa in materia di accounting e con la responsabilità, come visto, sulle procedure implementate al fine di gestire il rischio. Il CFO però diventa sempre più un analista di numeri in prospettiva di sviluppo di business futura, che può influenzare le scelte del board sulla base delle proprie esperienze maturate nel business e delle sue conoscenze pregresse. Il CFO ha bisogno di tracciare il giusto equilibrio tra controlli e decisioni che possano essere di supporto al business, circondarsi di persone che abbiano grandi competenze e capacità, capire come utilizzare nel modo più efficiente ed efficace possibile gli strumenti tecnologici a disposizione ed essere un consulente sempre più importante per quanto riguarda le decisioni di business da prendere. Figura 4.11 - Il modello emergente per il ruolo finanziario Funzione finanziaria poco centralizzata Contabilità e controlli con centri di servizio condivisi Decisioni con l'ausilio del proprio team Best practice: improvement Supporto decisionale Alto Analista e consulente Problem solving Business partner Coinvolgimento in decisioni di business Ruolo di supporto al proprio team Performance inaccettabile Amministrazione Accounting e reporting Compliance e controlli Ruolo funzionale di back office Basso Controllo Basso Alto Fonte: Adattamento su J. Hope, Reinventing the CFO. How financial managers can transform their roles and add greater value, Harvard business school press, Boston Massachusetts, 2006 347 J. Hope, Reinventing the CFO. How financial managers can transform their roles and add greater value, Harvard business school press, Boston Massachusetts, 2006 194 La figura rappresenta il giusto equilibrio che il CFO cerca di trovare nei modelli di business emergenti. Per circondarsi di persone che siano capaci e competenti, il CFO deve sottolineare le caratteristiche da trovare fin da subito, in modo che con il recruitment le persone vengano selezionate nella maniera corretta ed adatte al ruolo da occupare. Riguardo le persone presenti nell’azienda, il CFO deve cercare di migliorare le capacità di comunicazione presenti all’interno dell’impresa e le loro abilità di insegnamento e di trasmissione di competenze ed informazioni importanti. La condivisione ed il lavoro in team risultano quindi fondamentali ai fini di una costruzione di una buona organizzazione e di ottenere buoni risultati rispetto agli obiettivi prefissati. Inoltre il CFO deve assicurarsi che i manager finanziari dei quali si circonda per il presidio dell’area finanza siano persone con elevate competenze non solo tecniche ma anche derivanti da un elevato grado di esperienza che gli permetta di comprendere il business dell’impresa nella maniera corretta. In questo modo il CFO è sicuro di costruire un team di qualità elevata che può affrontare le problematiche e rendere efficaci le procedure poste in essere all’interno dell’impresa. Lo scopo del CFO è quindi quello di essere un membro di fiducia oltre che indispensabile al fine dello sviluppo di un buon team di persone all’interno dell’impresa con differenti e complementari skills. Questo non può essere comunque raggiunto qualora all’interno dell’azienda non sia implementato un buon sistema di controlli interni. Va inoltre ridotta la funzione centralizzata della finanza: risulta necessario dotarsi di numerosi manager gestori di team operativi in diversi settori geografici (quando vi sia una grande realtà aziendale). Il core group centrale risulta necessario sono ai fini di operate in eccellenza, impostando e mantenendo elevati standard qualitativi. Il CFO deve comunque porre la massima attenzione in caso di outsourcing in modo da non creare confusione (e quindi maggiori costi) nei processi. E’ quindi di fondamentale importanza per la figura del CFO aziendale guardare dietro e dentro ai numeri: essi risultano soltanto indicatori che mostrano, qualora letti ed interpretati nella maniera corretta, la possibile presenza ad esempio di potenziali passività emergenti che potrebbero impattare in maniera pesante sulle decisioni strategiche. 195 4.6.2.3. Il CFO come misuratore delle performance e regolatore delle funzioni del management addetto alla funzione di gestione amministrativa-contabilefinanziaria La figura del CFO tipicamente presiede sistemi di misurazione di performance manageriale che coinvolgono piani strategici, obiettivi e risorse. Per riuscire a misurare nella maniera più corretta i piani strategici di sviluppo di business aziendale, il CFO deve cercare di vedere le performance contabili non nei termini dell’obiettivo di raggiungere i target prefissati, ma in termini di miglioramento relativo laddove possibile rispetto ai precedenti periodi contabili (es. esercizi precedenti). Il CFO deve quindi cercare di immaginare la situazione con il senno di poi e disegnare le misure adatte a prevenire i rischi che vi possono essere. Il CFO deve ricordare che il raggiungimento degli obiettivi come unico parametro di misurazione soffoca l’ambizione e l’innovazione delle persone che concentrerebbero la totalità delle proprie energie verso un unico fine. Questo sicuramente non permetterebbe alle persone di essere motivate verso il costante e continuo miglioramento inteso in termini di innovazione. Ridisegnare i processi è anche una modalità per modificare gli stessi qualora non siano performanti. Nel fare ciò, la figura del CFO è molto importante e deve cercare di fornire il proprio apporto sulla base dell’esperienza maturata nel business e nel settore. All’interno dei processi sarebbe infatti auspicabile far divenire il processo check-aimplan-act un processo di utilizzo comune e condiviso all’interno dell’impresa. Per essere efficace tale processo deve essere ben compreso dalle persone all’interno dell’azienda oltre che deve essere implementato in maniera da essere utilizzato con continuità. Figura 4.12 - Pianificazione: un processo continuo Management Cambiamento Monitoraggio Check Aim Frontline team Act Plan Forecast Fonte: Adattamento su J. Hope, Reinventing the CFO. How financial managers can transform their roles and add greater value, Harvard business school press, Boston Massachusetts, 2006 196 L’attività di check consta nel chiedersi da parte dell’impresa: dove sta operando l’azienda in questo momento? Come sembra essere il futuro vicino? Quali sono le capacità competitive? L’attività di aim consta invece nello step successivo al primo, ed in particolare riguarda lo scopo nel senso stretto della società, e quindi le modalità di definizione della parola successo per l’impresa applicata alla realtà nella quale l’azienda opera. L’azienda deve chiedersi se la strada che sta percorrendo la porterà a raggiungere quelli che sono gli obiettivi di medio termine e se la strategia necessiti di essere modificata. Il plan è il terzo step sul quale l’impresa necessita di focalizzarsi. L’impresa deve cercare di capire quali azioni (qualora ce ne siano) essa necessita di prendere al fine di migliorare le proprie performance, quali risorse risultano necessarie e quale impatto avrebbero le eventuali azioni intraprese sulle performance. Per act si intende invece il quarto ed ultimo step che necessita di considerazione da parte della società. Essa deve cercare di capire come dovrebbe eseguire i piani previsti e come gestire il business nel quale l’impresa stessa opera nel migliore dei modi. L’impresa necessita inoltre di preparare un sistema di budget rolling, in maniera che lo stesso si adegui e si aggiorni in base ai cambiamenti del business. Tale sistema di budget deve essere implementato a favore dei middle managers locali e non di uno staff centrale, il cui compito risulta più quello di cercare di rendere performanti le unità locali ed organizzare il sistema al fine di essere compliance con la normativa e con gli obiettivi di business oltre che essere performante. Inoltre tali budget devono essere preparati in maniera da avere obiettivi perseguibili, e cioè devono essere focalizzati su pochi key drivers piuttosto che su molti dettagli che potrebbero risultare difficili da raggiungere. La base di controlli deve essere impostata in maniera giornaliera o settimanale, in modo da controllare con una certa frequenza l’evoluzione dell’impresa e riuscire ad individuare quelli che si presentano come rischi di business per tempo, in modo da poter agire su essi nel modo migliore e più tempestivo possibile. Il controllo, così come la metodologia di misurazione della performance, deve essere implementata a livello locale sui differenti team più che sulla singola persona, in modo da cercare di premiare il lavoro di squadra che può portare a risultati più efficaci oltre che con una maggiore efficienza. 197 4.6.2.4. Il CFO come regolatore del rischio Il ruolo del CFO è strettamente collegato a quello delle altre figure presenti all’interno dell’organigramma aziendale che si occupano di gestire il rischio. Come si è già ampiamente analizzato risulta infatti necessario un sistema di procedure che permetta di attestare sulla compliance alla normativa interna ed esterna all’azienda. Il CFO risulta infatti collegato in maniera stretta a funzioni quali ad esempio quella dell’internal auditor: l’analisi, la valutazione, il monitoraggio e l’eventuale miglioramento dei processi aziendali può infatti permettere all’impresa di evitare situazioni di rischio di emettere una non corretta informativa a carattere economico-finanziario, che si verificherebbe qualora le procedure fossero implementate in una maniera non corretta. L’eventuale presenza di rischi non individuati potrebbe provocare molteplici danni: maggiore inoltre è il tempo di risposta al rischio, maggiori sono gli impatti cui il rischio porterebbe. Figura 4.13 - I problemi di una risposta lenta Primi segnali d’allarme Opzioni di risposta Tempo 0 Tempo 1 Impatto CE Tempo 2 Tempo 3 Tempo 4 Fonte: Adattamento su J. Hope, Reinventing the CFO. How financial managers can transform their roles and add greater value, Harvard business school press, Boston Massachusetts, 2006 Al fine di gestire il rischio nella maniera più efficiente ed efficace possibile, il CFO deve cercare di porre in essere i più elevati standard di etica all’interno dell’impresa, oltre che un adeguato sistema di reporting e di comportamento da parte del personale dipendente atto a prevenire situazioni quali quelle di frode. Al fine di porre in essere un sistema di reporting adeguato è necessario, come già visto, provvedere ad implementare un sistema di internal audit interno indipendente che riporti direttamente al board. Il CFO deve anche essere un personaggio diffidente di tutti quei target che sono troppo aggressivi e che richiamano l’utilizzo di molti incentivi. Tali target possono prevedere il raggiungimento di obiettivi elevati al fine di accontentare gli azionisti di riferimento e gli stakeholders in generale dell’impresa, ma ciò è rischioso perché potrebbe portare 198 all’omissione di talune informazioni piuttosto che alla manipolazione di queste a fini personali. Il CFO deve quindi cercare di gestire tutti i rischi che possono intaccare l’organizzazione nel suo complesso. Per fare ciò è necessario: Definire quelli che sono i rischi prioritari (quali ad esempio rischi che possono portare la compagnia al fallimento qualora si verificassero o rischi che potrebbero pesantemente danneggiarla); Stabilire una soglia di tolleranza al rischio; Stabilire le modalità di identificazione del rischio; Stabilire le modalità di mitigazione del rischio. La fase di risk management nel suo complesso deve essere chiara al CFO, che deve poterla integrare al processo di planning strategico dell’azienda, in modo da definire la correlazione tra gli obiettivi di business specifici, correlati ai relativi rischi che possono intaccare le sorti dell’azienda ed i loro relativi piani di risposta348. 4.6.3. L’Organismo di vigilanza introdotto dalla legge 231/2001 L’evoluzione del sistema di controllo interno delle imprese è stato influenzato in modo significativo dal D.Lgs. n. 231/2001, in quanto finalizzato a ridurre il rischio di commissione di reati da parte di soggetti che operano all’interno delle imprese. Esso ha introdotto, per la prima volta nel nostro ordinamento, la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito. La norma sanziona particolari fattispecie di reati estendendo la responsabilità all’impresa che per poter esimersi da detta responsabilità deve mettere in atto un adeguato modello organizzativo di prevenzione349. I reati elencati e trattati dalla norma sono molteplici: Reati contro la Pubblica amministrazione; Reati in tema di falsità di monete ed in valori bollati; Reati societari previsti dal Codice civile; 348 L. Brusa, Attuare e controllare la strategia aziendale. Mappa strategica e balanced scorecard, Giuffrè editore, Milano, 2007 349 Fonte D.Lgs. n. 231/2001 199 Reati di terrorismo e di eversione dell’ordine demografico; Reati contro la personalità individuale; Abuso di mercato; Reati transnazionali; Reati di omicidio colposo e lesioni colpose gravissime, in violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro350; Reati di ricettazione, riciclaggio e impiego di denaro e beni di provenienza illecita351. La responsabilità amministrativa è autonoma, ma deriva comunque necessariamente dalla condotta di un soggetto persona fisica. La responsabilità dell’ente è configurabile nei casi in cui: Sia stato commesso un reato per il quale la norma prevede la responsabilità dell’ente; Tale reato sia stato commesso nell’interesse o a vantaggio dell’ente. Nell’ambito della corporate governance aziendale la norma assume un rilevante ruolo in quanto viene introdotto un importante elemento: l’adozione da parte dell’azienda di modelli di organizzazione, gestione e controllo esonera, sotto determinate condizioni, dalla responsabilità e dalle relative sanzioni pecuniarie ed interdittive, e cioè dalla responsabilità amministrativa. Il decreto funge quindi da riparo nei confronti di eventuali sanzioni. L’impresa deve: Individuare tutte quelle attività che possono condurre alla commissione dei reati tutelati dalla norma; Prevedere dei protocolli specifici finalizzati a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire; Individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali reati; Individuare un organismo a cui affidare il compito di vigilare sul funzionamento e l’osservanza del modello e di curarne l’aggiornamento; 350 351 Fonte legge n. 123/2007 Fonte legge n. 231/2007 200 Prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza del modello; Introdurre un sistema disciplinare interno idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. L’adozione del modello di controllo interno atto a prevenire gli atti è facoltativo e non imposto con carattere di obbligatorietà dalla legge. L’eventuale mancata adozione non è soggetta ad alcuna sanzione, ma espone l’ente alla responsabilità per gli illeciti realizzati da amministratori e dipendenti. Il sistema di controllo deve garantire la ragionevole sicurezza della non possibilità di verificarsi dei reati previsti dalla norma. A fatti avvenuti, il giudice può essere chiamato a giudicare l’efficacia del sistema di controllo interno in essere. Il sistema di prevenzione viene giudicato accettabile quando non può essere aggirato se non intenzionalmente. L’idoneità del modello viene giudicata sulla base delle caratteristiche specifiche della società. Come visto, infatti, definire il rischio accettabile è un’operazione preliminare, ed esso è ritenuto accettabile quando i controlli aggiuntivi costano più della risorsa da proteggere. Il sistema di controllo interno preventivo deve essere quindi in grado di: escludere che un qualunque soggetto operante all’interno dell’ente possa giustificare la propria condotta adducendo l’ignoranza delle direttive aziendali; evitare che, nella normalità dei casi, il reato possa essere causato dall’errore umano (dovuto anche a negligenza) nella valutazione delle direttive aziendali. Il modello deve fare in modo che un soggetto che intenda commettere il reato non debba limitarsi a volerlo, ma per attuare il suo proposito deve essere necessario aggirare fraudolentemente attraverso artifizi o raggiri le indicazioni dell’ente. Una volta adottato il modello di controlli interni più idoneo alla realtà dell’impresa, essa deve affidare il compito di vigilare sul funzionamento e l’osservanza del modello e di curarne l’aggiornamento ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo352. L’affidamento di detti compiti a tale organismo ed il corretto ed efficace svolgimento degli stessi sono presupposti indispensabili per l’esonero dalla 352 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 201 responsabilità. Inoltre l’organismo preposto alla vigilanza del modello deve anche periodicamente valutare e verificare l’efficacia dello stesso. All’Organismo di vigilanza possono essere conferiti differenti compiti che possono essere classificati nel modo seguente: Vigilanza sull’effettività del modello, la verifica sulla coerenza tra comportamenti concreti nella realtà e modello previsto sulla “carta”; Disamina in merito all’adeguatezza del modello, ossia alla sua reale capacità di prevenire i comportamenti non voluti; Analisi circa il mantenimento nel tempo dei requisiti di solidità e funzionalità del modello; Sviluppo del necessario aggiornamento del modello, nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti. Da un’analisi effettuata sulle principali società quotate di mercato, è emerso che in 19 casi sulle 234 società che hanno comunicato di aver adottato il modello, l’Organismo di vigilanza si identifica con il Comitato di controllo interno, mentre in soli 3 casi esso si identifica con la funzione di internal auditing353. La scelta di investire il Comitato di controllo interno del ruolo di Organismo di vigilanza deve essere attentamente valutata dall’azienda, dal momento che tale organo è composto interamente da amministratori (seppure non esecutivi ed in maggioranza indipendenti). Pertanto sussiste il rischio che con riferimento ad alcune decisioni si vengano a concretizzare conflitti di interesse. Per quanto riguarda invece la funzione di internal auditing, la società deve valutare se la funzione è adeguatamente potenziata nella composizione (inserendo ad esempio risorse con le necessarie competenze), se è opportunamente posizionata nella scala gerarchica e se è dotata di risorse adeguate. In questo modo, l’Organismo di vigilanza è completamente esterno ai fatti aziendali ed ha il solo scopo di valutazione ed implementazione del sistema. 353 PricewaterhouseCoopers, Decreto legislativo 231/2001. Indagine nell’ambito delle società quotate, sito internet www.pwc.com 202 5. Il caso aziendale: la società M354 Spa 5.1. La società Per riuscire a valutare nel modo corretto come un’azienda opera e qual è il miglior sistema di controlli interni da implementare al fine di coprire i rischi è necessario sia per l’azienda sia per la società di revisione contabile, determinare esattamente ambiente in cui la società opera. Tale metodologia di approccio parte da lontano così come richiesto dal COSO Report (si veda il capitolo 4 della presente trattazione)355. Per comprendere la società è necessario impostare una market overview: il caso analizzato dimostra in particolare come l’analisi dell’ambiente di controllo, una delle componenti del COSO Report (si veda il capitolo 4 al riguardo) sia fondamentale per l’implementazione di un adeguato sistema di controllo interno atto anche a prevenire situazioni di frode. 5.1.1. Market overview Il primo modo utile ai fini di una maggiore comprensione della società consiste nell’analisi del competitive environment. In particolare per quanto riguarda la società M Spa, il volume d'affari mondiale del settore occhialeria (occhiali da vista, da sole e lenti a contatto) risulta pari a circa 7,5 miliardi di euro, di cui il 30% del mercato riguarda gli occhiali da sole e il restante 70% riguarda la vista. La produzione italiana nel 2006 è risultata pari a 2,5 €/Mld con un incremento del 17,4% rispetto al 2005. Figura 5.1 - Mercato settore occhialeria Fonte: PricewaterhouseCoopers, 2007 354 Il caso M Spa è un caso reale, il cui nome reale della società non può però essere nominato per mancanza di autorizzazione 355 Fonte ISA 315 203 I principali Paesi concorrenti sono: Cina [30%], USA [7%], Francia [6%] e Germania [5%]. A fronte di un mercato mondiale stimato sui 9 miliardi di euro, l’Italia ne rappresenta oltre il 27%. Nella fascia alta e di lusso del mercato poi, considerando che le griffe concesse in licenza sono circa 300 e l’Italia ne produce oltre il 50% (154), la produzione italiana copre quella mondiale per una cifra stimata intorno al 70-75%356. I principali competitors aziendali sono diverse aziende, ed in particolare L, D, A, S, B. Sulla base delle stime elaborate internamente M ritiene di avere una quota del mercato mondiale del segmento Fashion&Luxury pari al 5% circa, tale quota scende al 1,7% considerando anche i segmenti Casual&Trend. 5.1.1.1. Regulatory environment Il gruppo è soggetto alle diverse normative applicabili nei paesi nei quali esso opera in tema di tutela sanitaria, ambientale e di sicurezza, nonché in tema di tutela dei diritti di privativa industriale e di origine delle merci. Storicamente, la necessità di conformarsi a tali esigenze non ha avuto effetti rilevanti sull’attività del gruppo. Il Gruppo M realizza e/o commercializza col proprio nome prodotti disciplinati dalle disposizioni delle seguenti Direttive comunitarie: Direttiva Europea 89/686/CEE Dispositivi di protezione individuale (DPI) per occhiali da sole, maschere da sci, caschi da ciclo e caschi da sci Direttiva Europea 93/42/CEE Dispositivi medici per le montature da vista Direttiva Europea 94/27/CE Contenuto e rilascio di nickel consentiti negli oggetti a continuo e prolungato contatto con la pelle (es. occhiali da sole e montature da vista) Direttiva Europea 1999/44/CE Aspetti della vendita e delle garanzie dei beni di consumo per tutti i prodotti M Direttiva Europea 2001/95/CE Sicurezza generale dei prodotti Ciascuna di queste direttive trova poi applicazione, per i singoli prodotti, in specifici standard promulgati dal CEN (Comitato Europeo di Normazione) su mandato della Commissione Europea. 356 Fonte sito Internet www.anfao.it 204 Solamente per la produzione delle montature da vista è necessaria, ed è stata fatta, l’iscrizione presso il Ministero della Salute italiano di M in qualità di fabbricante di questo particolare tipo di dispositivi medici. Oltre a stabilire i requisiti minimi dei prodotti, le stesse direttive prevedono che il produttore attivi un sistema di sorveglianza post vendita del mercato per evidenziare quanto prima anomalie che a seconda della loro gravità devono o meno essere comunicate anche all’Autorità Pubblica. M ottempera a quest'obbligo principalmente attraverso i rapporti con l’Ente certificatore e la funzione rappresentata dalle Linee Verdi. Il rischio di non compliance delle leggi suindicate è giudicato complessivamente come medio/basso, in virtù: Della conoscenza storica del cliente; Della conoscenza del settore; Del fatto che talune normative (protezione ambientale, leggi che regolano i produttori) sono di fatto inapplicabili nel caso specifico o non applicabili in assenza di operazioni di concentrazione (antitrust). Altre norme specifiche: Compliance con normativa tributaria: è necessario accertare che le stime prodotte in relazione al carico d'imposte dirette - qualora significativamente influenzate da particolari tematiche che necessitano di interpretazioni - siano state svolte in accordo con la normativa vigente; Compliance con normativa giuslavoristica (sicurezza sul posto di lavoro, parità di trattamento sul posto di lavoro): si svolgono inquiries con il personale dirigente dell'Ufficio Human Resources di M Spa, con particolare riferimento alle posizioni aperte di contenzioso con dipendenti/dirigenti, nell'ambito dell'analisi del fondo rischi ed oneri del personale; Compliance con normativa di settore: oltre ad indagare presso l'Ufficio Servizi Affari Legali interno di M Spa circa eventuali sanzioni comminate dalle Autorità Amministrative (p.es. norme comunali, etc.) nell'ambito dell'analisi del fondo rischi ed oneri, si svolgono inquiries con la Direzione Operation circa eventuali rischi potenziali rivenienti dall'attività metalmeccanica dell'azienda. 205 In ottemperanza alle raccomandazioni di cui all'art. 10 del Codice di Autodisciplina di Borsa Italiana elaborata dal Comitato per la Corporate Governance nel marzo 2006, il CdA di M Spa ha nominato un Comitato audit (compliance rispetto alle richieste inerenti la corporate governance). Tale comitato che ha funzioni consultive e propositive nei confronti del CdA si occupa di analizzare le problematiche e istruire le pratiche rilevanti per il controllo delle attività aziendali. In particolare come previsto dal citato art. 10, detto comitato deve: Assistere il CdA nel definire le linee di indirizzo del sistema di controllo interno e verificarne periodicamente l'adeguatezza e l'effettivo funzionamento, assicurandosi che i principali rischi aziendali siano identificati e gestiti in modo adeguato; Valutare il piano di lavoro preparato dai preposti al controllo interno e ricevere le relazioni periodiche degli stessi; Valutare unitamente ai responsabili amministrativi di M e ai revisori, l'adeguatezza dei principi contabili utilizzati e la loro omogeneità rispetto a quelli utilizzati dalle società controllate ai fini della redazione del bilancio consolidato; Valutare le proposte formulate dalla società di revisione per ottenere l'affidamento del relativo incarico e verificarne l'operato; Valutare il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella lettera di suggerimenti; Riferire al CdA, almeno semestralmente e comunque in occasione dell'approvazione del progetto di bilancio e della relazione semestrale, sull'attività svolta e sull'adeguatezza del sistema di controllo interno; Svolgere gli ulteriori compiti che sono a esso attribuiti dal CdA. In linea con l'art. 10, il comitato per il controllo interno è composto da 3 amministratori non esecutivi indipendenti, che eleggono al loro interno un presidente. Alle adunanze del comitato partecipano il presidente del Collegio sindacale o altro sindaco da questi designato. Possono altresì partecipare il presidente del CdA e l'AD, altri membri del Collegio sindacale, il preposto al controllo interno, il direttore finanziario, il direttore amministrativo, rappresentanti della società di revisione e ogni altra persona di cui il comitato ritenga opportuna la presenza in relazione alla materia da trattare. Per l'espletamento dei suoi compiti il comitato per il controllo interno può avvalersi sia di 206 dipendenti di M sia di professionisti esterni, purchè adeguatamente vincolati alla necessaria riservatezza. Il Comitato Audit di M Spa è composto da tre amministratori indipendenti. Essendo M Spa una società per azioni quotata in un mercato regolamentato gestito da Borsa Italiana, lo statuto di M Spa vigente è conforme alla normativa vigente (TUF e Regolamento Emittenti). La società ha provveduto con assemblea ad adeguare il proprio Statuto alle disposizioni della legge 28 dicembre 2005 n. 262 (cd Legge sulla Tutela del Risparmio) così come modificata dal D. Lgs. n. 303 del 29 dicembre 2006. Le modifiche al Nuovo Statuto rispetto allo statuto vigente di M sono introdotte proprio per uniformare le disposizioni statutarie di M alle novità introdotte dalla Legge sul Risparmio, in modo da rendere il Nuovo Statuto pienamente conforme alla normativa applicabile alle società quotate. Fra i cambiamenti più significativi apportati al Nuovo Statuto in adempimento delle disposizioni della Legge sul Risparmio si segnalano: L'introduzione di un meccanismo di voto per lista per la nomina dei membri del CdA volto a permettere alla minoranza di nominare un consigliere; La possibilità di convocare il CdA a richiesta anche di un solo membro del Collegio sindacale; La presidenza del Collegio sindacale riservata al sindaco nominato dalla minoranza; Le modalità di nomina del dirigente preposto alla redazione dei documenti contabili societari. Con riferimento all'osservanza da parte di M Spa alle norme vigenti in materia di governo societario, si segnala inoltre che il CdA di tale società: Ha approvato un Regolamento Internal Dealing. Tale regolamento recepisce e dà applicazione a quanto previsto dall'art. 114 comma 7 del TUF e dagli articoli 152-sexies e seguenti del Regolamento Emittenti, al fine di assicurare una corretta ed adeguata trasparenza informativa nei confronti del mercato in merito a operazioni effettuate da soggetti interni all'Emittente su titoli della Società; Ha approvato un Regolamento interno disciplinante il trattamento delle informazioni riservate, la cui divulgazione, attraverso comunicati stampa redatti 207 secondo gli schemi di comunicato price-sensitive emanati da Borsa Italiana Spa, avviene secondo la seguente procedura: Il comunicato stampa è approvato dai Responsabili, in loro assenza dal Direttore Generale della società se è nominato; Il comunicato stampa è diffuso dall'Investor Relations Officer mediante comunicazione alla Consob ed alla Borsa Italiana tramite il sistema NIS (Network Information System) che provvede automaticamente ad inviare il comunicato alle agenzie di stampa; L'Investor Relations Officer verifica lo stato di diffusione del comunicato da parte di Borsa Italiana Spa; L'Investor Relations Officer provvede a far pubblicare tempestivamente il comunicato sul sito internet della società; L'Investor Relations Officer cura la comunicazione agli investitori istituzionali e alla comunità finanziaria. Con riferimento alle disposizioni del D. Lgs. 8 giugno 2001 n. 231 disciplinante la responsabilità amministrativa delle persone giuridiche, si segnala che la società è inoltre dotata di un modello di organizzazione, gestione e controllo predisposto ai sensi della legge 231/2001. ll modello organizzativo è oggetto di periodica revisione in conseguenza dell'esperienza applicativa e degli aggiornamenti successivi alla prima definizione dell'impianto del D.Lgs. n. 231/2001, nonchè delle estensioni normative dello stesso ad ulteriori fattispecie. Vigila sul funzionamento e sull'osservanza del modello un apposito Organismo di Vigilanza, composto da due amministratori indipendenti (uno dei quali membro del Comitato per il Controllo Interno) e dall'internal auditor. Tale composizione assicura la contestuale presenza nell'Organismo di Vigilanza delle diverse competenze professionali che concorrono al controllo della gestione sociale. L'OdV riferisce al CdA, al CCI e per la corporate governance e al Collegio sindacale in ordine alle attività di verifica compiute e al loro esito. Il Modello, essendo allineato ai principi espressi nei documenti emanati da Confindustria in materia (cd. Linee Guida) è da considerare quale strumento adeguato al raggiungimento degli obiettivi fissati dalla normativa in argomento. 208 Infine, con riferimento alle operazioni con parti correlate, la società è dotata di un regolamento interno che assicura la trasparenza e la correttezza sostanziale e procedurale delle operazioni con parti correlate. Esso si conforma sostanzialmente alle raccomandazioni in tema di operazioni con parti correlate stabilite dal Codice di Autodisciplina di cui all'art. 9. M ha aderito al Nuovo Codice di Autodisciplina, adottando i provvedimenti volti ad adattare la propria governance alle nuove o mutate raccomandazioni di cui al nuovo quali ad esempio quelle relative alla composizione del Comitato per le remunerazioni e all'ampliamento dei compiti del Comitato audit, e ai termini per il previo deposito delle liste dei candidati alle cariche sociali. 5.1.1.2. Macroeconomic environment La produzione dell’occhialeria italiana (circa 1.100 aziende per un totale di 18.000 occupati), è stata di 2.495 milioni di euro, con un incremento del 17,4% rispetto al precedente esercizio. A fronte di un mercato mondiale stimato sui 9.000 milioni di euro, l’Italia ne rappresenta oltre il 27%. Nella fascia alta e di lusso del mercato poi, considerando che le griffe concesse in licenza sono circa 300 e l’Italia ne produce oltre il 50%, la produzione italiana copre quella mondiale per una cifra stimata intorno al 70-75%. Il buon momento dell’occhialeria italiana è testimoniato anche dai dati sull’occupazione che, dopo molti anni, è tornata a crescere (+6,5%), seppur non ancora in maniera strutturale. A beneficiare di queste performance sono state in primo luogo le aziende leader del settore, ma anche le medie aziende e le piccole che hanno saputo rinnovarsi e puntare sulla qualità del prodotto italiano, sebbene sia innegabile la difficoltà di alcune a sopravvivere in un universo globalizzato. La bilancia commerciale italiana del settore occhialeria chiude il 2006 con un risultato positivo (circa 1.414 milioni di euro in attivo il saldo export-import). Le esportazioni, di montature, occhiali da sole e lenti sono cresciute del 18,2% rispetto al 2005 e ben del 34,8% se rapportate al 2004. Significativo, a confermare la vivacità del mercato, anche l’aumento delle importazioni a +34,3% sul 2005, superando quota 657 milioni di euro. Le esportazioni si sono attestate a oltre 2.070 milioni di euro, 320 milioni di euro in più rispetto al 2005. Per quanto riguarda gli occhiali da sole, l’export nel 2006 è cresciuto 209 del 23% rispetto al 2005, attestandosi a quasi 1.354 milioni di euro. L’export delle montature fa segnare una crescita più contenuta, ma oltremodo significativa (+10,5%) chiudendo l’anno a oltre 675 milioni di euro. Le importazioni italiane di occhiali da sole e montature, nel 2006, sono state per il 70,3% provenienti dall’area asiatica, quasi totalmente Asia Orientale (69,9%) e in aumento del 45,9% rispetto al 2005, mentre quelle provenienti dall’Europa hanno rappresentato il 27,4%, anch’esso in aumento del 23,7% rispetto al 2005. Europa e America si confermano i principali mercati per le esportazioni italiane Area di riferimento per le nostre esportazioni nel 2006 si conferma l’Europa, con una quota del 49,1% (39,9% in riferimento alla UE-15, 42,3% per la UE-25) e una crescita del 18,9% rispetto al 2005. La quota dell’export destinata al mercato americano si è attestata al 32,2% e le esportazioni sono cresciute del 17,7% rispetto al 2005. Da segnalare la performance dell’export in Centro e Sud America, dove si è registrato un +41,5% per un’area che pesa per oltre 4 punti percentuali rispetto all’export italiano di occhiali da sole e montature. Nell’area asiatica, dove si è diretto il 13,9% dell’export totale del settore montature/occhiali da sole, si è registrata una crescita del 25,9% rispetto al 2005. Negli Stati Uniti (primo mercato di riferimento con una quota di oltre il 27%) l’export complessivo del sole-vista ha fatto segnare un +13,2% rispetto al 2005, con gli occhiali da sole in grande spolvero (+20%) rispetto alle montature (+0,4%). A livello di esportazioni mondiali del settore (circa 7.600 milioni di euro) l’Italia è al primo posto, con una quota di mercato che supera il 27,3% in termini di valore e al terzo posto in termini di volumi, dove Cina e Hong Kong sono leader indiscussi. Riferita agli occhiali da sole, la quota di mercato dell’export italiano in valore sale al 48,6%, per le montature si attesta al 26,7%. Dietro l’Italia Cina e Hong Kong, che, nonostante volumi molto maggiori, non intaccano i primati italiani. Nel 2006 il mercato interno si è attestato a una quota di oltre 1.081 milioni di euro, in aumento del 25,2% rispetto al 2005. In riferimento al sell-in dei diversi comparti, nei punti vendita sono entrate oltre 17 milioni di lenti oftalmiche (+4,5% rispetto al 2005), per un valore complessivo di 272 210 milioni e 64 mila euro (+5,5% rispetto al 2005). Da segnalare, nel comparto, la crescita vicina al 10% delle lenti progressive, tipologia che ha raggiunto nel 2006 una quota di mercato del 12,6%, lontana dalle medie europee (circa 20%), ma sulla quale stanno puntando molto sia le aziende produttrici che la distribuzione. Per quanto riguarda le montature da vista e gli occhiali da sole, il sell-in nel 2006 si è suddiviso in quote di mercato del 40% e 60% rispettivamente. Complessivamente hanno raggiunto la distribuzione interna oltre 17 milioni e 68 mila paia di occhiali, in particolare 6 milioni e 688 mila montature da vista e 10 milioni e 380 mila paia di occhiali da sole, il tutto per un valore di 794 milioni e 939 mila euro. Circa l’80% del mercato mondiale è fatto da occhiali da vista e lenti, con una crescita pari a 1,1 % in media l'anno, mentre il restante 20% è fatto dagli occhiali da sole, con una crescita in volume annua pari al 3%. I mercati strategici sono l'Europa e gli USA. La Cina rientra nei mercati di consumo emergenti e la domanda da parte del consumatore finale in tale mercato è prevista in forte crescita. Il mercato è formato principalmente da luxury brands357. Sulla base degli elementi a disposizione, vengono identificati i seguenti rischi chiave: Il settore ha concesso, nel passato, termini di pagamento molto dilazionati, in particolare nel mercato italiano. Questo ha comportato una crescita costante del capitale circolante netto accompagnata da situazioni di scaduto a volte pesanti. Tale situazione ha indotto i principali players ha rivedere le proprie politiche di credito; Le difficoltà nelle vendite hanno comportato situazioni di performance economiche negative per le società estere controllate. Questo comporta il rischio di svalutazione delle stesse società (impairment test); Il Gruppo deve gestire il fenomeno dell'obsolescenza commerciale delle merci a rimanenza, principalmente indotto dal fenomeno della moda, e valutare compiutamente il valore di realizzo di tali assets. Tali rischi possono portare ad errori di tipo significativo, ed in particolare il loro impatto potrebbe condizionare le seguenti valutazioni: Capitale circolante netto - in particolare la voce Crediti commerciali; 357 Fonte sito Internet www.anfao.it 211 Posizione Finanziaria Netta; Valutazione partecipazioni; Valutazione magazzino. Con riferimento all’ambito trattato, non viene individuata nessuna particolare propensione alla frode a livello di settore. 5.1.2. Strategy Con riferimento all’ambito strategico adottato dalla società, i fatti più importanti relativamente al 2006 sono stati: Aumento di capitale conclusosi con l’integrale sottoscrizione delle azioni ordinarie (del valore nominale di Euro 0,26 ciascuna) oggetto dell’offerta in opzione; A seguito di analisi approfondite è stato deciso di riorganizzare profondamente la partecipata C; di conseguenza le relative attività e passività,destinate ad essere cedute o dismesse, al 31/12/06 sono state iscritte e distintamente evidenziate nello stato patrimoniale del bilancio tra quelle possedute per la vendita secondo quanto disposto dai principi contabili; E’ stata costituita nel corso del mese di dicembre 2006 la nuova società M Japan Co. Ltd., partecipata per il 40% da M Spa e per il 60% dalla società giapponese O. L’apertura di tale filiale consentirà, nel medio periodo, al Gruppo M di rafforzare la propria presenza in Giappone, uno dei più importanti mercati mondiali per i beni di lusso. Gli obiettivi futuri della società sono così sintetizzabili: Ricerca di nuove licenze e sviluppo di quelle in portafoglio; Sviluppo dimensionale e qualitativo della struttura distributiva, per supportare gli obiettivi di crescita con particolare attenzione al mercato americano e Far East; Rafforzamento del know-how di ideazione e sviluppo del prodotto, risorsa distintiva dell'azienda; Potenziamento della struttura produttiva in Italia per sostenere la crescita del volume del prodotto "Made in Italy"; 212 Adeguamento delle strutture (marketing services) al fine di supportare la crescita dei fatturati e di offrire un livello di servizio eccellente; Miglioramento complessivo dei margini, attraverso il contenimento nel medio periodo del costo di produzione, l'innovazione del prodotto e miglioramento dell'efficienza. L’organigramma organizzativo aziendale evidenzia che tutti i membri del management sono in azienda da diversi anni ed hanno pertanto acquisito un alto livello di competenza. La remunerazione dipende in parte dai risultati ottenuti dall'azienda. I rischi chiavi identificati riguardano il fatto che La società è quotata dal 1999. La compagine azionaria vede un patto parasociale di voto e di blocco pari al 76,18% del capitale sociale suddivise in maniera paritetica principalmente da due Gruppi di Soci. Va sottolineato tuttavia che la società si avvale di una serie di organismi (Comitato di controllo interno - Collegio sindacale) che vigilano sul rispetto della corporate governance e che il CDA è composto anche da amministratori indipendenti il rischio individuato è considerato limitato. Con riferimento a questo ambito non sono stati individuati particolari rischi di frode. 5.1.3. Value creating activities Il successo del gruppo M è in parte dovuto alla sua capacità di introdurre prodotti dal design innovativo, alla continua ricerca di nuovi materiali e di moderni processi produttivi. Il management del gruppo ritiene che il futuro successo del gruppo dipenderà anche dalle suddette capacità oltre che all'abilità ad adeguarsi ai mutevoli gusti dei consumatori, anticipando i cambiamenti nelle tendenze della moda e reagendo in modo tempestivo. M acquista le materie prime da oltre 1000 suppliers, di cui da 20 a 50 sono considerati "strategic suppliers". Il mercato delle lenti è molto concentrato, i fornitori sono pochi e questo crea per la società alcuni problemi. Spesso risulta difficile sostituire un fornitore storico, che non riesce a far fronte ad una specifica fornitura, con delle tempistiche che permettano di soddisfare le scadenze di consegna del prodotto finito assai pressanti. Si rileva inoltre una forte concentrazione dei fornitori nel mercato della plastica. 213 Le lavorazioni che vengono effettuate all'esterno sono le seguenti: Finissaggio; Galvanica; Produzione diretta del prodotto finito in caso di occhiali iniettati. L'acquisto di occhiali viene effettuato principalmente da fornitori cinesi, che hanno tempi di produzione piuttosto brevi (circa 2 mesi), e riguarda principalmente le linee di prodotto a basso prezzo; il ricorso a fornitori Italiani è meno usato; il mercato dei fornitori è molto frammentato e ciascun fornitore ha delle peculiari caratteristiche che lo contraddistinguono nella produzione di uno specifico prodotto. Con riferimento al brand della società, esso è composto da 2 Housebrand (M e C) e dai marchi in licenza. La marketing structure consiste in 300 direct and indirect sellers dei quali 100 sono presso M USA branch, e vi sono oltre 50.000 points of sale che orbitano nel mondo M. La clientela principale risulta essere composta quindi dalle grandi catene distributrici e dal singolo punto vendita. Di conseguenza il credito risulta molto frastagliato e di non facile monitoraggio. A livello mondiale M ha circa 860 dipendenti. Ci sono circa 300 sales staff occupati direttamente o indirettamente. Al 31 dicembre 2006 il numero medio dei dipendenti del Gruppo è passato da 1.005 unità dell'esercizio 2005 a 821 unità occupate nel corso del 2006. Figura 5.2 - Statistiche sui dipendenti Fonte: PricewaterhouseCoopers, 2007 Con riferimento all’ambito delle attività che generano valore ai fini aziendali, sono stati identificati i seguenti rischi chiave: 214 Il settore dell’occhiale, seppur altamente concentrato su pochi players, si presenta altamente competitivo nella gestione e nel mantenimento dei contratti di licenza delle griffes. Infatti, uno dei fattori critici di successo delle aziende del settore è la capacità di rinnovare a scadenza le licenze; La società ha annunciato la dismissione del comparto invernale. Il rischio è legato al trattamento contabile dell'operazione; La necessità di innovare annualmente le linee potrebbe comportare il rischio di elevato slow moving a magazzino. Tali rischi possono comportare un impatto su aree quali quella delle vendite, dei crediti detenuti in portafoglio dalla società, del magazzino e delle partecipazioni. Non viene comunque identificato alcuna propensione particolare alla frode a livello di settore. 5.1.4. Financial performances Le performances finanziarie della società vengono considerate sulla base del profilo di rischio della stessa e del gruppo. Il rischio finanziario della società non è molto elevato, seppur bisogna prestare attenzione all’elevato grado di indebitamento della stessa oltre che alla presenza di covenants sui finanziamenti. Tali covenants sono presenti comunque solamente su alcuni e non sulla totalità dei finanziamenti, seppur, laddove presenti, il loro mancato rispetto può comportare l'immediato rimborso del finanziamento (oltre che la classificazione a breve del debito). L’impatto che il rischio che emerge dalla società in base al proprio profilo finanziario, può impattare in maniera significativa sull’indicatore di posizione finanziaria netta. Con riferimento alle accounting polizie, non si registrano storicamente aggressive or highly conservative accounting policies. Le policies sono in linea con gli IAS/IFRS. Così come per gli altri ambiti analizzati, la società non presenta particolari situazioni di propensione alla frode individuata a livello di settore. 215 5.2. Il rischio di frode Dopo aver svolto un’analisi preliminare dell’ambiente in cui opera la società, è possibile individuare per i controllori (siano essi interni o esterni) gli eventuali controlli necessari per ridurre il rischio di possibili frodi. La valutazione e le politiche di risposte sono richieste, come già visto nel terzo capitolo, dagli ISA (International Standard Audit) 240 e 315. In particolare, nel caso analizzato, i revisori della società M Spa hanno effettuato la valutazione del rischio di frode nel modo presentato nei sottoparagrafi successivi. 5.2.1. Considerazione dei fattori che portano a rischio di frode La natura del business e la tipologia organizzativa della Società è tale che non emergono particolari condizioni interne od esterne alla società che possano far pensare ad un elevato rischio di frode. Se è vero che la struttura di governance del gruppo e della capogruppo vedono coinvolti membri della famiglia, azionista di riferimento, tale per cui potrebbe essere latente il rischio di "vedere" l'azienda come un bene di famiglia, è anche vero che la Società ha iniziato a dotarsi di codici di comportamento e comitati preposti alla governance che di fatto dovrebbero limitare tale rischio. I comitati sono costituiti da managers indipendenti e professionals di nota fama, che consentono di mantenere uno stile di governance equilibrato ed imparziale. Inoltre il CdA è formato in prevalenza da consiglieri non esecutivi (otto), la maggioranza dei quali (cinque) si qualificano come indipendenti. Negli anni passati non sono stati rilevati problemi di frode. Si è fatta un’analisi sui rischi di frode possibili: Appropriazione indebita degli asset: MEDIO; errori sul financial statement: BASSO; Incentivi e pressione da parte del management, inclusa la possibile aggressività nelle politiche di accounting, opportunità e cultura generale diffusa nell’ambiente che permetta ai manager di commettere la frode più facilmente: BASSO. Da un’inchiesta effettuata con il management della società emerge che nessuno è al corrente di frodi o errori che si siano verificati in tempi recenti. Inoltre il management non ha identificato particolari aree di bilancio o transazioni da considerarsi 216 particolarmente a rischio. Il management reputa che il sistema di controllo interno attualmente in essere, tenuto conto anche delle dimensioni aziendali, consenta di monitorare l'attività aziendale in maniera adeguata e di evitare i principali rischi di frode. La società risulta inoltre dotata di diverse figure che compongono il controllo interno. Tali figure sono composte dall’internal audit, il Comitato per il controllo interno ed il Collegio sindacale. L'area di bilancio che potrebbe essere maggiormente soggetta ad appropriazione indebita è il magazzino, considerato l'elevato appeal del prodotto e la relativamente facile appropriazione. La società effettua comunque inventari periodici nonchè un inventario nel corso del mese di dicembre che di fatto dovrebbe limitare il rischio di errata rappresentazione in bilancio del valore del magazzino. Inoltre l'area è soggetta a videosorveglianza e, quindi, l'appropriazione di quantitativi significativi di merci non dovrebbe essere possibile. Non si evidenziano altri conti di bilancio particolarmente soggetti al rischio di frode. La società non ha istituito uno specifico programma antifrode. Essa infatti ritiene che i controlli già in essere siano sufficienti per limitare tale rischio. La società si è inoltre dotata di una funzione di internal audit, di un Organismo di vigilanza, di un Comitato per il controllo interno. Inoltre ha sottratto ai Consiglieri delegati le decisioni che concernono le operazioni significative nonchè determinate decisioni che concernono operazioni con parti correlate. Attività di analisi sul rischio di frode vengono effettuate anche a livello di singole società del gruppo. 5.2.2. Analisi del sistema di controllo interno della società Di seguito si riporta un’analisi del controllo interno e della società di revisione specifico sugli elementi da considerare nell'ambito della valutazione del rischio di frode. In primo luogo va individuata l’eventuale presenza di incentivi: Gli incentivi al management sono legati al budget. La situazione mostra dei risultati molto in miglioramento rispetto al precedente esercizio. Per il topmanagement non vi sono differenze nei parametri di calcolo; 217 Differenziazioni negli obiettivi a seconda della specificità di alcuni dipendenti soprattutto dell'area vendite. Occorre far notare che, come in altre realtà, il management è incentivato sulla base dei risultati aziendali. Tali risultati sembrano in ogni caso raggiungibili ed il processo di pianificazione e budgeting viene concordato ai vari livelli. Risulta comunque remota la possibilità che l'influenza diretta del management possa utilizzare i dati contabili per scopi personali. Non risulta presente un piano aziendale antifrode. Il management della società ritiene che il rischio di frode sia tenuto sotto controllo grazie al sistema codificato dei controlli interni e al codice di comportamento in vigore presso la Società. La società utilizza come programma per la contabilità e per il consolidato l’ERP SAP. La società presenta sistemi contabili integrati e, di conseguenza, viene fatto un limitato uso di eventuali file esterni al sistema informatico. Il bilancio deriva interamente dalla scritture contabili appostate e non sono presenti aggiustamenti extra contabili. Tale metodologia di utilizzo del sistema informativo non permette di effettuare particolari scritture contabili manuali che potrebbero inficiare la correttezza dei dati prodotti dal sistema stesso. Inoltre il bilancio della società è soggetto ad un numero limitato di stime, correlabili essenzialmente alla valutazione del fondo svalutazione magazzino, del fondo svalutazione crediti e del fondo minimo garantito royalties/passività. I costi/ricavi del bilancio derivano infatti perlopiù da transazioni ordinarie. Da analisi che vengono effettuate a campione e periodicamente sui saldi presenti in bilancio e sulle relative registrazioni contabili di dettaglio che li alimentano, non si evidenziano operazioni di carattere significativo o inusuale. I revisori esterni della società, così come il sistema di controllo interno, tiene anche conto delle revenue recognition che la società contabilizza: essi valutano infatti la bontà dei ricavi iscritti, la metodologia di fatturazione, il processo che porta all’iscrizione dei ricavi stessi ed i diritti che comportano l’iscrizione di componenti positivi di reddito per la società. Con riferimento a tale ambito, non sono emerse mai problematiche particolari circa il cut-off vendite. La rilevazione dei ricavi è di tipo standard e non richiede accertamenti particolari. 218 Infine la regolamentazione del settore dell’occhialeria presente in Italia non comporta particolari leggi o regolamenti che potrebbero portare a sorgere rischi specifici. In base alle analisi svolte il rischio di frode è considerato dal revisore “limitato”. Non sono mai emerse situazioni di errore rilevante o frode nella storia passata della società. Deve essere comunque mantenuto dal sistema di controllo interno della società e dalla società di revisione un elevato senso critico e scetticismo professionale, soprattutto nelle aree valutative, dove è presumibile che il rischio di errore sussista. 5.3. La valutazione del sistema di controllo interno della società ed i relativi processi che alimentano i principali cicli aziendali I principi ISA 315, 330 e 500 richiedono che dopo la fase di comprensione dell’ambiente in cui opera la società venga effettuata una successiva fase di valutazione delle di controllo interno implementate dalla società stessa. Nel valutare il sistema dei controlli interni dell’azienda, le attività di audit interno ed esterno considerano i principali rischi aziendali, e cioè quelli che, qualora non funzionassero nella maniera corretta, potrebbero portare alla rappresentazione di dati contabili errati, che inficerebbero in maniera significativa gli investitori nelle loro scelte. I principali cicli aziendali della società M Spa risultano essere i seguenti: Ciclo attivo; Ciclo passivo; Ciclo magazzino; Ciclo tesoreria. Tali cicli di processo vengono individuati come i principali della società in quanto essi risultano piuttosto complessi, con un insieme elevato di autorizzazioni e di iter da seguire al fine di permettere al processo di andare a buon fine (in particolare tale aspetto si riferisce ai cicli attivo e passivo della società). Il ciclo tesoreria è molto importante di default: infatti in ogni società la gestione finanziaria corretta porta alla sopravvivenza dell’azienda stessa mentre una sola buona gestione reddituale non accompagnata da una sufficientemente corretta gestione della liquidità aziendale non porta a buoni risultati, ma può addirittura portare le società al fallimento. 219 Infine il ciclo magazzino è considerato importante nella società M Spa per motivi che dipendono dalla tipologia di prodotto venduto. La società M Spa vende un prodotto che nel contesto italiano ha un certo valore, che dipende da quanto il mercato valuta il settore dell’occhialeria nel complesso. Il magazzino è composto da occhiali di diverse tipologie: il mercato dell’occhiale richiede prodotti alla moda e, laddove rimanga dell’invenduto, il magazzino può arrivare a contenere dei prodotti ancora utilizzabili ma rivendibili a più basso prezzo rispetto ai periodi precedenti, visto il veloce evolversi della moda e del mercato. I prodotti considerati obsoleti per l’andamento della moda dell’occhialeria in un paese possono però essere considerati validi e di moda in altri paesi. Il prodotto che quindi in Italia ha perso valore, ha in realtà un valore molto maggiore e può essere rivenduto su mercati differenti a prezzi più elevati. Per questo motivo diventa fondamentale monitorare il magazzino nella maniera corretta e porre in essere adeguate procedure di controllo, al fine di evitare situazioni di frode dovute all’appetibilità del prodotto in alcuni mercati esteri (ad esempio est europeo). I controlli applicativi per la società M Spa sono costituiti da controlli svolti dalle persone coinvolte nelle procedure medesime e da controlli informatici resi possibili dal sistema informativo gestionale e dal sistema contabile. Essi consentono di prevenire errori significativi relativi alle principali asserzioni di bilancio per cui il rischio di controllo è basso. Inoltre la società dispone di un controllo di gestione che provvede a monitorare i principali indicatori societari sia di M Spa che delle società del Gruppo e trimestralmente, ai fini del Regolamento Consob, viene predisposta una situazione dell'andamento della società. Sulla base dei processi principali individuati precedentemente, la società ha impostato diversi controlli sulle varie attività. Di seguito, si riporta il lavoro di comprensione e valutazione dei controlli chiave posti in essere dalla società per quanto riguarda le diverse aree. 220 5.3.1. Il processo del ciclo attivo Per quanto riguarda la gestione degli ordini di vendita, gli utenti accedono al sistema attraverso User Id e password personale. Il sistema blocca gli accessi di utenti non autorizzati. L'emissione dell’ordine viene effettuata dall’agente tramite l’ausilio di un opportuno modulo standard. Il customer service della società, giornalmente, carica gli ordini a Sap in stato Ordine Bloccato. Il customer service effettua stampa degli ordini e controlla su cartaceo la correttezza dei dati anagrafici, delle condizioni di pagamento, delle eventuali note inserite sull'ordine o in anagrafica cliente. Il customer service lancia la transazione "Modifica Ordine" ordine per ordine al fine di inserire le spese di spedizione, eventuali righe d'ordine per omaggi \ materiale pubblicitario; sblocca quindi l'ordine. Gli ordini dall’estero vengono ricevuti via fax, mail o posta ordinaria. L'autorizzazione all'inserimento a sistema avviene da parte dell'Export Area Manager, via mail. Può accadere che l'ordine venga raccolto in occasione delle fiere. In questo caso l'addetto compila un modulo che verrà poi conservato. Viene inserito un ordine per ogni data di consegna. Il campo del prezzo nell'inserimento dell'ordine si compila in automatico andando a pescare direttamente dal listino prezzi a cui è agganciata l'anagrafica del cliente. Il campo del prezzo è modificabile, ma il sistema tiene traccia del prezzo proposto e del prezzo inserito a sistema. Generalmente non si effettuano modifiche di prezzo. Il campo che viene modificato, invece, è quello relativo agli sconti. E' possibile, infatti, inserire uno sconto diverso rispetto a quello previsto dalla tabella degli sconti caricata a Sap. L'operatore infatti può inserire uno sconto specifico. Tale causale va ad annullare gli sconti previsti a sistema e ad assegnare alle fatture relative all'ordine lo sconto specifico caricato. Questa transazione viene utilizzata in occasione di promozioni particolari che vengono fatte in determinati periodi dell'anno o nel caso di cambio di gruppo d'acquisto con quindi cambio degli sconti abbinati. Non è necessaria un'autorizzazione per l'inserimento di sconti specifici e non vengono estratti report con gli ordini per i quali è stata inserita tale causale. 221 Non vengono gestite conferme d'ordine provenienti dall’Italia. L'agente riceve una mail di conferma in automatico una volta che è stato inserito a sistema. Gli agenti possono monitorare a sistema (sistema agenti) il proprio portafoglio ordini. Una volta inserito l'ordine estero, invece, ne viene inviata conferma al cliente, comprendendo anche gli altri ordini aperti dello stesso cliente, via mail con in copia l'area manager. Le modifiche all'ordine vengono richieste via fax; il customer service effettua la modifica \ cancellazione dell'ordine a sistema ed archivia le comunicazioni. Il controllo di validità degli ordini Italia inseriti a sistema avviene per singolo ordine al momento dell'emissione. Il customer service, ogni tre mesi, controlla gli ordini aperti, stampando la lista degli ordini da evadere da sistema, controllando la validità degli ordini. Per gli ordini estero, invece, settimanalmente il customer service stampa la lista degli ordini aperti per cliente e controlla la validità e le date di consegna di tali ordini. Quindi la invia al cliente (per quei clienti che chiedono tale servizio). Tabella 5.1 - Business process: ordini di vendita Subprocesso/ Transazion e Restrizione accesso al sistema Inserimento ordini di vendita Italia Descrizione dell’attività di controllo, incluso il suo obiettivo Rischio: Personale non autorizzato può effettuare operazioni non consentite a sistema Controllo esistente: Il sistema blocca gli accessi gli utenti non autorizzati Rischio: L'ordine non è autorizzato ovvero incompleto Controllo Obiettivo informativ o C, A, V, RA Contribuzion Frequenz e alle a dei asserzioni di controlli bilancio C, A, CO, EO, RO, VA, CL Preventiv eo Detenctiv e Automatic o or Manuale RA C, A, EO, RO As needed P A C, V C,EO As needed P A 222 esistente: Le richieste d'ordine degli agenti sono bloccate in automatico da Sap fino a che non avviene il controllo su ogni singolo cliente e il rilascio da parte del Customer Service Rischio: Inserimento ordini di L'ordine non è vendita autorizzato Controllo esistente: La documentazione cartacea relativa a ciascun ordine viene conservata e vi viene apposto un timbro con il n. dell'ordine e la data di inserimento a Sap Rischio: Inserimento ordini di L'ordine non è vendita estero autorizzato ovvero incompleto Controllo esistente: Gli ordini estero sono autorizzati dall'Export Area Manager via mail (se ordini fatti direttamente dal cliente) Rischio: Conferma e avanzamento L'ordine non è ordine stato inserito correttamente Controllo esistente: Gli ordini ricevuti vengono confermati al cliente via mail Cancellazione / Rischio: modifica ordine Gli ordini potrebbero essere modificati/blocca V C, A As needed P M V C, A As needed P M C, A C, A As needed P M V A, C, EO As needed P M 223 Monitoraggio periodico ti in uno stadio avanzato di produzione Controllo esistente: Il customer service controlla la validità delle richieste alla modifica d'ordine ricevute, e procede con la registrazione a sistema Rischio: Gli ordini inseriti a sistema non sono validi Controllo esistente: Italia: Il customer service, ogni 3 mesi, controlla gli ordini aperti, stampando pending da sistema, controllando la validità degli ordini. Estero: Mensilmente il customer service stampa la lista degli ordini aperti e controllo validità e data di consegna di tali ordini Tali controlli non vengono formalizzati V CO, C, A Quarterly P M Fonte: elaborazione propria su dati PricewaterhouseCoopers, 2007 L’analisi della gestione dell’area ciclo attivo per quanto riguarda il sub processo “gestione ordini di vendita” richiama diversi punti di miglioramento, ed in particolare: Il customer service gestisce sia le anagrafiche clienti che l'inserimento degli ordini di vendita, quindi c’è una sovrapposizione di compiti; Non esiste un controllo che verifichi che tutti gli ordini ricevuti dall'estero siano stati inseriti a sistema; Il campo del prezzo nell'ordine è modificabile; 224 Il controllo periodico degli ordini aperti non viene formalizzato. Per quanto riguarda invece il sub processo “fatturazione e spedizione” gli utenti accedono al sistema attraverso User Id e password personale. Il sistema blocca gli accessi gli utenti non autorizzati. Il sistema blocca in automatico le spedizioni per le quali si sfora il fido e per quei clienti per i quali c'è uno scaduto superiore a 30gg (estero) o 180gg (Italia). Nel caso di blocco il magazzino avvisa l'uffico Recupero Crediti il quale sblocca o meno la spedizione sulla base delle comunicazioni intercorse con gli agenti o gli export di riferimento. Il customer service, controllando la lista degli ordini aperti, effettua una richiesta, via mail, di impegno della merce alla logistica. La logistica effettua l'allocazione massiva, ed impegna la merce in magazzino: l'ordine passa in stato "Allocato". Il customer service crea le consegne in base alle scadenze ordini. Tali dati vengono importati sul gestionale di magazzino, creando delle liste di prelievo. Le liste vengono stampate automaticamente in magazzino, dove l'operatore, attraverso un lettore di codice a barre, recupera il materiale. Tale materiale viene fatto passare su un banco in cui sono presenti due lettori ottici: al passaggio della merce il sistema registra in automatico l'uscita merci e stampa in automatico la bolla di accompagnamento (ddt). Nel caso di ordini estero, il sistema genera solamente la packing list. La creazione della bolla e lo scarico da magazzino avviene in maniera manuale durante il processo di fatturazione. Per gli ordini Italia, il monitoraggio degli ordini da evadere viene effettuato direttamente dalla logistica. Il customer service Italia ha facoltà di effettuare allocazione solo per singolo ordine. Tale attività viene effettuata in caso di particolari urgenze. Mensilmente l'addetto alla fatturazione per la zone Italia visualizza tutte le bolle di vendita emesse nel periodo e non fatturate. L'operatore seleziona le bolle e lancia la fatturazione massiva. Le fatture vengono stampate. L'operatore provvede a spedire via posta ordinaria le fatture emesse. Nel caso in cui sia prevista la fatturazione immediata (es. per pagamento con contrassegno), il sistema, al momento di emissione della bolla, provvede automaticamente ad emettere la fattura nel terminale di chi ha effettuato l'uscita merci. L'informazione relativa alla modalità di fatturazione viene recuperata dal sistema dall'ordine di vendita. 225 L'addetto alla fatturazione per l’estero riceve la lista di prelievo, packing list, ed eventuali altre informazioni (es. peso, dimensioni). L'addetto richiama a sistema la consegna - lista di prelievo (pre-bolla), modifica la consegna inserendo peso, colli, condizioni di trasporto e spedizioniere. Quando giunge lo spedizioniere, la consegna viene confermata e viene stampata la bolla di accompagnamento (Ddt). L'addetto recupera il numero di consegna a sistema, inserendo le spese di trasporto, i dati dell'eventuale lettera di credito, eventuali sconti commerciali (accrediti extragestione sconti ordinari). Infine stampa la fattura in molteplici copie. Allega alla fattura le istruzioni di trasporto, timbrate e siglate dall'addetto, la packing list, copia del Ddt firmato dal vettore. La documentazione viene inviata al magazzino e una copia archiviata. Il sistema non consente l'annullamento delle fatture emesse. In caso di necessità di annullamento, è necessario procedere con la procedura relativa all'emissione di nota di accredito. La contabilizzazione delle fatture Italia avviene automaticamente al momento dell'emissione. La contabilizzazione delle fatture estero viene lanciata giornalmente in modo manuale dall'addetto alla fatturazione estero richiamando tramite un report le fatture emesse non contabilizzate. Nel caso in cui le fatture non vengano contabilizzate, il sistema continuerà a visualizzare in tale report le fatture da contabilizzare. Mensilmente l'addetto alla fatturazione lancia una transazione di controllo contabilizzazione delle fatture emesse. Il controllo avviene a video. 226 di avvenuta Tabella 5.2 - Business process: fatturazione e spedizione Subprocesso/ Transazione Descrizione dell’attività di controllo, incluso il suo obiettivo Restrizione accesso Rischio: al sistema Personale non autorizzato può effettuare operazioni non consentite a sistema Controllo esistente: Il sistema blocca gli accessi gli utenti non autorizzati Rischio: Emissione fatture Italia Non tutta la merce è fatturata Controllo esistente: Il sistema, attraverso la transazione VF07, recupera tutte le bolle di vendita non fatturate, e i relativi dati su quantità (da bolla) e prezzo (da ordine). Se una bolla di vendita non viene selezionata dall'utente, essa continuerà ad apparire nel report "Bolle da Fatturare". In caso di fatturazione immediata il sistema stampa automaticamente la fattura in magazzino in fase di emissione della bolla Rischio: Emissione fatture estero Non tutta la merce è fatturata Controllo esistente: L'addetto alla fatturazione controlla che i dati del ddt cartaceo firmato dal vettore coincida con il ddt a sistema (da cui viene lanciata fattura) e con la packing list. La documentazione viene firmata ed archiviata Annullamento fatture Rischio: emesse Numerazione protocollo errata Controllo esistente: Il sistema non permette di annullare una fattura emessa Rischio: Contabilizzazione fatture Italia Non tutte le fatture vengono contabilizzate Controllo esistente: Le fatture vengono contabilizzate automaticamente al momento dell'emissione Rischio: Contabilizzazione fatture estero Non tutte le fatture vengono contabilizzate Controllo esistente: Mensilmente l'operatore effettua controllo a video sull'avvenuta contabilizzazione di tutte le fatture emesse mediante l'estrazione di tutte le fatture emesse non contabilizzate Rischio: Preparazione ed evasione ordini Il sistema permette di creare liste di prelievo da magazzino solo a fronte di un ordine di vendita emesso a sistema Controllo esistente: ll sistema permette di creare liste di prelievo da magazzino solo a fronte di un ordine di vendita emesso a sistema 227 Obietti Contribu Freq P vo zione uenz inform alle a dei o ativo asserzio contr C, A, ni di olli D V, RA bilancio R As P needed A o M A C, A CO, C, A As P A needed C, A A As P A needed C, A, V C As P A needed C C, A, CO, Monthly P A RO C C, A, Monthly D A CO, RO C RO As P A needed Preparazione ed evasione ordini Preparazione ed evasione ordini Rischio: A C, A As P A Non tutte le merci spedite sono accuratamente registrate nel needed periodo di competenza Controllo esistente: All'uscita dal magazzino, le merci vengono monitorate attraverso 2 lettori ottici che registrano l'uscita merci. Il sistema emette in automatico il Ddt al momento dell'uscita merce Rischio: A RO As P A Vendite a clienti insolvente needed Controllo esistente: Il sistema blocca la spedizione nei casi in cui venga sforato il fido e per tutti i clienti per i quali c'è uno scaduto superiore a 30 gg (Italia) e 180gg (estero) Fonte: elaborazione propria su dati PricewaterhouseCoopers, 2007 Così come per il precedente sub processo oggetto di analisi, anche per il sub processo “fatturazione e spedizione” è possibile osservare alcuni punti di miglioramento. In particolare: Mancata segregazione delle funzioni sulle emissioni di fatture estero: chi emette la fattura effettua anche lo scarico di magazzino; L'addetto alla fatturazione estero ha accesso alla modifica delle righe ordineconsegna e fattura per eventuali esigenze commerciali. Tali modifiche vengono tracciate a sistema. Non è formalizzato l'iter autorizzativo di tali modifiche. Per quanto riguarda la review sulla completezza e accuratezza del ciclo si rilevano delle carenze sicuramente migliorabili sul sistema di controllo interno, ma non tali da farlo ritenere nel suo complesso non affidabile. I rilievi procedurali emersi dall'analisi delle attività di controllo non sono dunque tali da poter generare errori significativi sul bilancio e, comunque, sono compensati dall'ampiezza dei controlli di monitoraggio effettuati dai responsabili delle funzioni aziendali relative. 5.3.1.1. Il sistema informativo adottato dalla società Oltre ai processi, come evidenziato al capitolo 4, è importante comprendere e valutare il sistema informativo nel suo complesso ed i processi di business correlati, al fine di avere una chiara visione delle modalità di integrazione dei compiti e delle attività 228 affidate alle persone e delle procedure automatiche di controllo poste in essere dalla società, che sono quelle che forniscono il più elevato grado di assurance. L'infrastruttura IT di M è gestita da un unico ufficio IT, il quale gestisce sia l'area delle Applications che il Networking. Il responsabile risponde direttamente alla Direzione, la società risulta essere quindi sempre aggiornata sulle necessità dei Sistemi Informativi. Gli investimenti, soprattutto relativamente al gestionale SAP, sono continui. L'ufficio è composto di sei persone controllate in modo informale ma continuo dall'IT manager (controllo interno buono e commisurato alle dimensioni della società). Le relazioni con la società esterna sono invece formalizzate e regolamentate da un contratto. La sicurezza è sufficientemente garantita da una gestione puntuale degli account sia a livello di rete che di ERP e da una buona protezione della rete interna. Un primo punto di attenzione che emerge dall’analisi del sistema informativo aziendale riguarda l’assenza di un piano formale di Business Continuity. Tale mancanza porta a dei possibili rischi: poiché l’attività aziendale è fortemente dipendente dal proprio sistema informativo aziendale, la mancanza anche parziale di alcune funzionalità del sistema potrebbe avere delle ricadute rilevanti sull’attività di business dell’azienda. La società necessita quindi di effettuare un miglioramento del processo, che potrebbe essere realizzato nel seguente modo (implementando il Business Continuity plan): la società dovrebbe realizzare una Business Impact Analysis, ed una Risk Analysis. Nella BIA si determina l’impatto sull’organizzazione della mancanza di alcune o tutte le funzionalità del sistema informativo e si determinano i massimi intervalli di tempo in cui può essere accettabile non disporre di ogni funzionalità. Nella Risk Analysis vengono identificati i possibili rischi collegati al sistema informativo ed i controlli che possono ridurli, valutando inoltre i costi di questi controlli. Successivamente può essere realizzato un BCP (Business Continuity Plan). Per le fasi di pianificazione, implementazione e valutazione del BCP occorre uniformità di vedute soprattutto sui seguenti punti: Le policy che regoleranno tutte le attività di continuity e recovery; Apparati alternativi per eseguire i compiti e le attività (al limite anche cartacei); Risorse informatiche critiche da mettere a disposizione (cioè dati e sistemi); Persone responsabili per il completamento delle attività; 229 Il programma temporale delle attività, completo delle priorità stabilite. Per quanto riguarda eventuali sviluppi e modifiche di software presenti in società ed implementati nel corso dell’esercizio, emergono diversi punti di attenzione: Non esiste una procedura formale per la gestione delle modifiche applicative; A fronte di una richiesta di modifica non viene preparato un piano di test preventivo e normalmente non viene tenuta traccia dei risultati dei test effettuati. Da tali punti possono emergere diversi rischi. In particolare, con riguardo al primo punto l’assenza di una precisa procedura per la gestione degli interventi di manutenzione incrementa il rischio che non tutte le modifiche al sistema siano propriamente autorizzate ed attuate in maniera controllata. Tale rischio può essere coperto tramite modifiche al sistema informativo, che vanno effettuate in maniera controllata, al fine di non comprometterne la stabilità e la sicurezza. Vanno effettuate sulla base di formali procedure di autorizzazione al fine di assicurarsi che i cambiamenti siano: Autorizzati; Documentati; Attuati in maniera controllata. La società dovrebbe pertanto prevedere la realizzazione di una procedura formale per la gestione delle modifiche agli applicativi. Con riguardo al secondo punto di attenzione emerso in sede di comprensione del sistema informativo della società, vi è il rischio che la modifica potrebbe non essere verificata in maniera esaustiva e si potrebbe rivelare inadeguata o non soddisfare completamente le esigenze degli utenti. Al fine di coprire il rischio che emerge, nuove procedure dovrebbero prevedere la realizzazione di un piano di test (eventualmente realizzato con la collaborazione dell’utente) per ogni modifica significativa. Diversi punti di attenzione sono emersi all’attenzione dei revisori, con riferimento alla gestione degli accessi alle piattaforme logistiche della società. In particolare: Il personale dei Sistemi Informativi ha utenze con profili SAP ALL, anche nell'ambiente di produzione SAP; 230 Esiste in SAP una gestione dei ruoli degli utenti. La segregazione dei ruoli aziendali e delle relative autorizzazioni non è però sottoposta ad una procedura periodica, in capo ai responsabili business, che ne riveda le autorizzazioni concesse a ciascun utente in relazione al proprio ruolo aziendale; La gestione delle password sull'applicativo gestionale-contabile SAP può essere migliorata e non è conforme ai requisiti della legge sulla Privacy (D.Lgs. 196/03). In particolare: SAP: lunghezza minima password impostata a 3 caratteri e nessuna scadenza impostata; A mitigare il rischio la policy sulle password del dominio hanno lunghezza minima impostata a 8 caratteri e scadenza impostata a 90 gg. Con riferimento al primo punto di attenzione, il rischio è che vengano apportate, al sistema gestionale di produzione, delle modifiche non autorizzate. Per coprirsi da tale rischio è necessario, qualora si confermi la necessità di mantenere profili SAP ALL per tutte le utenze IT, prevedere una mappatura delle aree/dati maggiormente critici e attivare dei log che rilevino eventuali modifiche di questi da parte dei super user. Questi log (exception report) devono essere rivisti periodicamente dal management ed approvati. Il rischio collegato al secondo punto che emerge dalle analisi riguarda la mancanza di revisione periodica delle autorizzazioni concesse ai singoli utenti, che può portare ad una non conformità delle abilitazioni con le mansioni previste e ad un fisiologico e progressivo allargamento nel tempo di tali autorizzazioni (“security creeping”). L’insufficiente segregazione dei ruoli all’interno del sistema contabile-gestionale può esporre l’azienda al rischio di operazioni non autorizzate. Alcuni utenti possono tecnicamente effettuare operazioni non autorizzate non attinenti la propria funzione. Sarebbe pertanto opportuno definire una procedura formale che preveda una revisione almeno annuale di tutti i profili autorizzativi concessi nel sistema contabile-gestionale SAP R/3. Tale revisione andrebbe effettuata dai responsabili delle varie aree/uffici con il supporto del personale IT. 231 Con riferimento al terzo punto su cui va posta attenzione, la mancanza di regole stabilite per il periodico cambiamento e la presenza di password di lunghezza inadeguata, porta a rendere più semplice eventuali tentativi di accesso non autorizzati e meno sensibili gli utenti nel corretto mantenimento delle password. La mancata adozione delle Misure Minime di sicurezza ex Art 17 e Allegato tecnico B del D.Lgs. 196/03, può comportare, nel caso di violazioni accertate sul trattamento dei dati sensibili e personali, misure penali ed amministrative. Nella costruzione delle password deve essere quindi prevista: Una lunghezza minima di caratteri (almeno 8 ex D.Lgs. 196/99); Una periodica scadenza (ogni tre mesi). 5.3.2. Il processo del ciclo passivo Per quanto riguarda la gestione dell’anagrafica dei fornitori, il Responsabile dell'Ufficio interessato richiede l'inserimento di un nuovo fornitore inviando un modulo prestampato. Il modulo è vistato solo dal Responsabile dell'Ufficio interessato se il fornitore ha un tempo di pagamento tra i 90 e i 120 giorni, altrimenti il modulo deve essere vistato anche dal Responsabile Amministrativo. Inoltre i listini dei fornitori vengono concordati dai Responsabili degli Uffici interessati. La modifica dei listini viene autorizzata dal Responsabile Operations. I controlli in essere sono: Gli utenti accedono al sistema Sap tramite username e Id personali; L'accesso al menu per l'inserimento e le modifiche delle anagrafiche fornitori è limitato ad un utente dell'Ufficio Acquisti, al Responsabile Amministrativo e a due utenti dell'Ufficio Amministrativo addetti ai pagamenti dei fornitori. Il sistema blocca l'accesso agli utenti non autorizzati; La modifica \ inserimento di anagrafiche fornitori è gestito tramite modulo apposito autorizzativo. Nel caso in cui i termini di pagamento siano inferiori a 120gg per servizi e 90gg per merci è richiesta l'autorizzazione del CFO; 232 Il sistema segnala all'utente, attraverso un messaggio di blocco, il tentativo di duplicare un valore già esistente nel campo PIVA/ Codice Fiscale; La modifica\inserimento dei listini viene autorizzata dal Responsabile Operations. Per quanto riguarda invece le Richieste di Acquisto, l'acquisto di codici non codificati passa attraverso la compilazione di una richiesta di acquisto con l'apposita transazione SAP dal Responsabile dell'Ufficio richiedente. La richiesta deve essere approvata dal Responsabile Operations, dal Responsabile Ufficio Prodotto, a seconda di quale ente effettua la richiesta, e dal Controller per la verifica con il budget. Se la richiesta supera i 30.000 € deve essere approvata dal Direttore Operations. Una volta ottenuta l'approvazione da entrambi la RdA viene confermata e non può più essere modificata. I controlli in essere sono: Le RdA sono autorizzate a sistema da parte del Responsabile dell'ufficio competente; Non è possibile emettere ordini con SAP per articoli se il fornitore non è stato preventivamente inserito in anagrafica. L'acquisto di codici codificati passa attraverso la compilazione di un ordine di acquisto con l'apposita transazione SAP dal Responsabile del relativo prodotto. La suddivisione delle competenze è: packaging, materie prime (plastiche), terminali, lenti, prodotto finito Italia e Far East. La richiesta deve essere approvata dal Responsabile Operations. Se la richiesta supera i 30.000 € deve essere approvata dal Direttore Operations. Se l'ordine arriva dall'Ufficio Marketing e supera i 30.000 €, questo deve essere approvato dal Direttore Amministrativo. Una volta ottenuta l'approvazione da entrambi la RdA viene confermata e non può più essere modificata. L'ordine viene generalmente inviato via fax, in alcuni casi via e-mail. Una copia dell'ordine viene archiviata. I controlli in essere sono: Le richieste di acquisto di importo fino a 30.000 Euro sono autorizzate dal Responsabile Operations; 233 Per le forniture il cui costo complessivo sia superiore a 30.000 Euro deve essere approvata oltre che dal Responsabile Operations anche dal Presidente; Il sistema SAP impone durante la compilazione degli ordini di acquisto di inserire obbligatoriamente informazioni essenziali quali fornitore, data di consegna, codice articolo e quantità, richiamando in automatico condizioni di vendita e prezzi; La transazione SAP è attiva solo ai Responsabili dei relativi prodotti; I codici di prodotti sono legati al fornitore dal quale ci si approvvigiona: in caso di errore di digitazione SAP non consente la valorizzazione delle quantità riportate nell'ordine; Le richieste di acquisto vengono autorizzate dal controller per il rispetto del budget. Il controller approva le RdA a sistema apponendo un flag autorizzativo. L'utente dell'Ufficio Amministrativo a fine mese stampa lo scadenziario e spunta le fatture che devono essere pagate. A questo punto dopo aver attentamente verificato la completezza delle fatture spuntate e aver ricevuto l'autorizzazione dal Direttore Generale per pagamenti sotto gli 800.000€ complessivi o l'autorizzazione dall'AD Finance se superiori, procede al pagamento automatico. I pagamenti avvengono attraverso bonifici bancari o Ricevuta Bancaria (RiBa). I controlli in essere sono: Tutte le disposizioni di pagamento, RiBa o bonifici bancari, vengono autorizzate dal Direttore generale se inferiori a 800.000 Euro, dal Presidente se compresi tra 800.000 e 1.000.000 Euro, dall' AD Finance se superiori; Tutti gli sbocchi dei fornitori al pagamento sono approvati da un Responsabile; I pagamenti effettuati in chiusura del periodo sono analizzati per assicurare la corretta e completa registrazione per competenza. La fattura arriva all'Ufficio Controllo Fatture Passive per l'Italia e all'Ufficio Acquisti per le fatture estere, dove l'utente provvede a confrontare la fattura con la bolla di consegna e il carico a magazzino. Qualora il confronto dia esito positivo la fattura viene contabilizzata. Nel caso in cui il confronto sia negativo, la registrazione viene bloccata dal sistema. Se la differenza è nelle quantità, viene prima verificata telefonicamente la differenza con il magazzino, qualora la differenza rimanga viene emessa una richiesta 234 di nota di credito/debito, calcolata dal sistema, su un apposito modulo che deve essere vistato dal Responsabile Operations. La fattura viene registrata, così come è arrivata dal fornitore, ma rimane bloccata ai pagamenti finché il fornitore non emette una nota di credito. L'utente a questo punto allega la bolla di consegna, la registrazione della fattura e l'eventuale nota di credito/debito e lo consegna all'Ufficio Amministrazione che si occupa dei pagamenti. All'arrivo della fattura del fornitore, l'operatore procede con la registrazione a sistema. I controlli in essere sono: Il sistema contabile impedisce la registrazione di fatture da parte di un fornitore non inserito nell'anagrafica; Ad ogni fattura merci viene allegata la bolla per consegna di merci; Esistono alcune tipologie di fatture per le quali la contabilizzazione è manuale (senza ordine e/o entrata merci). Per tali fatture è prevista la firma autorizzativa di un Responsabile; Mensilmente l'Amministrazione lancia un report da sistema che valorizza tutte le bolle di entrata merce per le quali non è ancora pervenuta fattura del fornitore. Il report viene controllato e un operatore provvede alla contabilizzazione manuale delle fatture da ricevere; Il sistema automaticamente blocca le fatture con importo diverso dall'ordine di acquisto, mettendole in stato R-Bloccato. La società pone inoltre in essere anche dei controlli relativi agli eventuali adjustments da effettuare. In particolare, essi sono: Le partite pagate non vengono più proposte dal sistema (al fine di evitare pagamenti doppi); I movimenti di contabilità fornitori aggiornano automaticamente la contabilità generale; Mensilmente viene effettuata una riconciliazione tra i conti correnti bancari e i conti banca in contabilità; 235 Semestralmente l'Amministrazione controlla che i conti transitori banche siano a zero. Anche nel momento dell’entrata della merce nel magazzino ci possono essere errori di diverso tipo, che farebbero risultare giacenze contabili differenti da quelle effettivamente fisicamente presenti. La società necessita quindi di porre in essere alcuni controlli anche con riferimento alla ricezione merci, ed in particolare: L'accettazione merci controlla che la quantità e la qualità della merce corrisponda con quanto indicato in bolla; L'operatore appone il timbro e la firma sul documento. La società pone infine in essere una serie di controlli al fine di monitorare le giacenze di magazzino. Essi si possono riassumere nei seguenti controlli: Stampa e controllo di un tabulato riportante: il portafoglio ordini di Prodotti Finiti aperti, le date di consegna previste ed il nominativo dei produttori e lo stato di avanzamento del prodotto; Stampa e controllo di un tabulato riportante: le materie prime ancora mancanti in magazzino e le date di consegna previste; Stampa e controllo di un tabulato riportante: le quantità mancanti di prodotti finiti ordinati a terzisti e le date di consegna previste; Stampa e controllo di un tabulato riportante: le materie in magazzino ed il loro valore; Stampa e controllo di un tabulato riportante: le materie prime ordinate ai fornitori, il nominativo dei fornitori, le date previste di consegna. Tutti i controlli descritti vengono posti in essere da M Spa e dai propri auditor interni al fine di avere sotto controllo le situazioni ed evidenziare eventuali carenze nei sistemi per andare a capire, laddove si presentasse un problema, l’entità dell’influenza dello stesso sulla rappresentazione dei dati economico-finanziari societari oltre che cercare di comprendere come ed in quali punti sarebbe possibile implementare azioni al fine di migliorarlo e rendere nel complesso il sistema ancora più affidabile. Dall'attività di analisi della mappatura esistente e dal testing dei controlli individuati non emergono eccezioni tali da rendere il sistema di controllo della società non affidabile. Tuttavia vanno segnalati alcuni elementi critici: 236 Relativamente all'inserimento delle anagrafiche, è possibile che quanto inserito a sistema differisca da quanto autorizzato, piuttosto che vengano inserite \ modificate anagrafiche fornitore senza la necessaria autorizzazione; Relativamente alla gestione degli ordini di acquisto, è possibile che vengano effettuate modifiche non autorizzate. Con riferimento al primo punto, il controllo relativo alla verifica effettuata dal richiedente dell'inserimento in anagrafica tra la stampa prevista da SAP e i dati corrispondano riportati sul modulo di richiesta è assente. La verifica viene effettuata a video nel momento in cui vengono inseriti i dati a sistema. Sarebbe quindi necessario creare un workflow autorizzativo a sistema per il rilascio delle anagrafiche, eliminando così la gestione "parallela" cartaceo-sistema. Il secondo punto risulta anch’esso critico in quanto non esiste un iter autorizzativo formalizzato per le modifiche agli ordini già esistenti. Sarebbe anche in questo caso necessario creare un workflow autorizzativo a sistema per l'autorizzazione alla modifica degli ordini. Inoltre con riferimento alle forniture il cui costo complessivo sia superiore a 30.000 €, non è presente un controllo atto ad assicurare che gli ordini di acquisto rilasciati a sistema corrispondano con quanto autorizzato dal Responsabile Operations e dal Presidente su carta. Sarebbe quindi necessario, alternativamente: Creare a sistema un workflow autorizzativo; Creare un controllo periodico attraverso un report riepilogativo degli ordini rilasciati. 5.3.3. Il processo della tesoreria La società predispone ogni lunedì un prospetto indicante la situazione finanziaria con la finalità, interna, di evidenziare settimanalmente le disponbilità finanziarie della società. Tale prospetto viene verificato dal CFO. Ogni rapporto con gli istituti bancari viene gestito direttamente dal CFO che ha il potere di firma per la stipulazione di nuovi contratti, per la richiesta di nuovi fidi, ... . In termini numerici è stabilito che il CFO può autorizzare pagamenti fino a 800.000 euro e tutti i girofondi tra banche e società del gruppo. Per i pagamenti superiori a 1.000.000 euro è richiesta l'autorizzazione dell'AD. 237 L'analisi dei poteri di firma viene effettuato una volta all'anno in occasione della chiusura del bilancio. Viene conservato la copia dei moduli con cui è stato fatto il deposito dei poteri per ciascun conto. In caso di modifica viene inviata copia dei verbali del CdA e conservato l’invio. La società ha in essere più finanziamenti passivi. Tutti i documenti di ciascuno di questi finanziamenti sono conservati in apposite cartelline. La gestione dei pagamenti degli interessi e delle quote capitali viene aggiornata di volta in volta su un file excel in cui vengono riepilogati tutti i movimenti dei finanziamenti in essere, in accordo con i piani di ammortamento previsti per ciascun finanziamento. Gli interessi vengono registrati in contabilità nel momento in cui la banca effettua l'addebito in conto. Ogni mese viene effettuato lo stanziamento dei ratei passivi chiedendo alla banca di riferimento il tasso da applicare. Il calcolo viene gestito su file excel. Sui finanziamenti sono previsti dei covenant. Il CFO fa il calcolo su file excel. I dati vengono poi comunicati alle banche. Le stesse banche poi provvedono ad effettuare loro stesse il calcolo con i dati dei bilanci pubblicati. Con rifermento alle garanzie poste in essere dalla società, si tiene aggiornato il prospetto delle fidejussioni in essere. Tale prospetto viene verificato ed aggiornato periodicamente. Anche in questo caso tutta la documentazione viene conservata in apposite cartelline. La società non produce un report ufficiale relativamente alla posizione finanziaria, ma solamente report ad uso interno. Tale documentazione è di necessaria implementazione al fine di migliorare la qualità e la completezza dell’informativa (tramite l’ausilio di un report periodico). Con riferimento al subprocesso delle transazioni di tesoreria, la società effettua diverse operazioni che possono essere analizzate nel seguente modo: Pagamenti terzi; Riba passive; Incassi; Riba attive; Assegni. 238 Con riferimento alle operazioni societarie inerenti i pagamenti verso terzi, vi sono diverse tipologie di pagamenti. La principale distinzione tra le operazioni si riferisce alle operazioni effettuate dalla società per pagamenti effettuati nei confronti di fornitori italiani oppure di fornitori esteri. Le date di pagamento fornitori sono fissate per entrambe le tipologie di fornitore per la fine del mese. Per quanto riguarda i fornitori italiani, l'effettivo pagamento è fatto il 5 del mese successivo. Alla fine del mese del pagamento di competenza viene lanciata una stampa da sistema dello scadenziario fornitori per il mese considerato. La lista ottenuta viene spuntata con la presa visione ed il controllo delle relative fatture. Se vengono trovate delle mancanze o delle incongruenze tra cartaceo e stampa da scadenziario vengono subito indagate; ad esempio ci può essere l'errore nel posizionare le diverse fatture nel raccoglitore con scadenza diversa da quella effettivamente riportata. Con la quadratura completa tra fatture e scadenziario, viene lanciato in SAP il programma "pagamento" che prepara una distinta di tutte le fatture che devono essere pagate (uguale con lo scadenziario). Questa lista viene stampata e, con tutte le fatture allegate, viene portata dal CFO della società ai fini dell’ottenimento dell'autorizzazione al pagamento. Ottenuta l'autorizzazione viene fatto l'ordine di pagamento tramite home banking (in amministrazione vi è un unico utente autorizzato al pagamento tramite l’home banking). Infine, come ultimo passaggio, viene portata al CFO della società una copia dell'estratto conto del relativo pagamento e la lista dell'ordine firmata in precedenza dallo stesso. In questo modo c'è la possibilità di effettuare un controllo sulla completezza dei pagamenti effettuati. Un'ulteriore verifica viene fatta il giorno successivo al pagamento. Viene infatti verificato che la disposizione di pagamento sia stata rispettata. Per i fornitori esteri, l'iter seguito è il medesimo. L'unica differenza è che al momento del pagamento viene inviata dalla banca una mail di conferma. Il giorno successivo, con un'altra mail, viene spedita la contabile di pagamento e si verifica la correttezza dei pagamenti. 239 Per la gestione delle riba passive l'iter seguito è lo stesso che per il pagamento dei fornitori. L'unica differenza riscontrata consiste nel fatto che oltre al tabulato scadenziario la spunta di verifica viene fatta anche con la lista presente in estratto conto nell’home banking aziendale. Per quanto riguarda invece la gestione degli incassi, ogni mattina vengono verificate e stampate dall’home banking tutte le operazioni effettuate nel giorno precedente. La gestione degli incassi provenienti da clienti esteri è invece differente, con un diverso iter procedurale da seguire. Solitamente la banca su cui arriva l'accredito dall'estero telefona alla società per avere informazioni sulla transazione. Con l'arrivo della contabile vengono fatti dei controlli sulle commissioni riportate e, se tutto è in linea, viene archiviata. Per quanto riguarda invece la gestione delle RiBa attive, ogni fine mese viene rielaborato da sistema il portafoglio clienti e vengono presentate sulle diverse banche gli effetti relativi. Per l'incasso degli stessi o per gli eventuali insoluti avviene tutto in automatico: in base alle registrazioni effettuate da home banking viene aggiornato SAP. Infine la società gestisce la contabilizzazione degli assegni nel seguente modo: All'arrivo degli assegni viene preparata in un apposito format di SAP la distinta di presentazione alla banca. In questo modo viene fatta una scrittura "transitoria" con la quale si scarica il cliente e si carica la cassa assegni; Con la presentazione in banca della distinta e l'avvenuto versamento si chiude la cassa assegni (un conto transitorio) e viene accreditato il relativo importo. Il pagamento dei dipendenti viene gestito dalla società tramite la ricezione dei cedolini per ogni singolo dipendente ed i dati vengono riepilogati in due file excel contenenti tutte le generalità necessarie ai fini dell’effettuazione del pagamento. Ciascuno dei due file in formato excel contiene il riepilogo dei pagamenti da effettuare da un conto corrente bancario differente. Tali file vengono poi copiati in un dischetto che viene archiviato dalla società; quindi essi vengono caricati per dare le disposizioni di pagamento. Tali file sono modificabili ed in particolare essi possono essere rivisti nei seguenti campi: conto corrente, banca, valuta, modalità di pagamento, importo. Viene quindi effettuata un'unica quadratura tra 240 il totale costi dai due file excel ed il totale dai cedolini. Non viene formalizzato il controllo sul contenuto del file del pagamento. Fatte le modifiche, attraverso l'apposita funzione, viene autorizzato il pagamento da un dipendente della funzione personale della società (al fine di autorizzare il pagamento è necessario l’inserimento di una password). Dopo che l’autorizzazione è stata emanata, viene comunicata alla tesoreria la necessità di effettuare l'invio del pagamento alle banche. La tesoreria non ha accesso a nessun dato e non può effettuare un controllo sul totale pagato; essa ha solo la possibilità di effettuare l'invio dei file caricati precedentemente. Va sottolineato che la disposizione di pagamento non viene autorizzata da nessun responsabile. L’ufficio del personale provvede quindi a telefonare telefona alla banca ed a comunicare l'importo della disposizione del pagamento. Tabella 5.3 - Business process: treasury and payment transactions Subprocesso/ Transazione Restrizione all'accesso Spunta stampa saldi in scadenza Descrizione dell’attività di controllo, incluso il suo obiettivo Obiettivo informativo C, A, V, RA Contribuzione alle asserzioni di bilancio C, A, CO, EO, RO, VA, CL Frequenza dei controlli P A or or D M Rischio: accessi non autorizzati Controllo: Il sistema paghe permette l'accesso mediante password e ID solo a 3 persone dell'uffico personale. Il sistema permette l'invio del pagamento solamente a una persona Rischio: pagamento partite in scadenza Controllo: Alla fine del mese del pagamento di competenza viene lanciata una stampa da sistema dello scadenziario fornitori per il mese considerato. La lista ottenuta viene spuntata con la presa visione ed il controllo delle relative fatture R C, A, EO As needed P A C, A C, A mensile P M 241 Autorizzazione pagamento Verifica disposizione pagamento Verifica distina Riba passive E/C Quadratura totale cedolini - file pagamenti Quadratura debito Rischio: autorizzazione pagamento partite in scadenza Controllo: Viene stampata la lista e, con tutte le fatture allegate, viene portata al CFO per l'autorizzazione al pagamento. Ottenuta l'autorizzazione viene fatto l'ordine di pagamento tramite home banking Rischio: mancato addebito pagamenti disposti Controllo: Il giorno successivo al pagamento viene verificato che la disposizione di pagamento sia stata rispettata. Tale controllo non viene formalizzato Rischio: non completezza della distinta riba passive Controllo: Effettuata la spunta di verifica con la lista presente in estratto conto sull’home banking per verificare la completezza dei pagamenti Rischio: inserimento importi non corretti Controllo: Viene effettuata una quadratura tra il totale costi dai due file excel ed il totale dei cedolini. Tale controllo fatto a video non viene formalizzato Rischio: rilevazione non corretta dei pagamenti Controllo: Viene verificato dopo il pagamento che tutti i debiti verso i dipendenti si siano azzerati V E/O mensile P A C,A C,CO mensile D M C,A C,A mensile D M C, A, V C, A, CO, EO Monthly P M C, A C, A, CO, EO Monthly D M Fonte: elaborazione propria su dati PricewaterhouseCoopers, 2007 Dall’analisi accurate del processo di gestione finanziaria della società non sono emersi significativi punti di attenzione. 5.3.4. Il processo del magazzino 5.3.4.1. Descrizione inventory process La società, come precedentemente spiegato, risulta essere proprietaria di un magazzino molto appetibile, per via del valore dello stesso soprattutto su mercati esteri (ad esempio l’est europeo) piuttosto che sul mercato nazionale. Al fine di monitorare la merce presente in magazzino, la società mette quindi in piedi una serie di controlli volti a garantire il più elevato grado possibile di assurance. 242 Per prima cosa il ciclo del magazzino viene scomposto nei differenti centri di costo dai quali risulta composto, al fine di monitorare il dettaglio e l’effettivo responsabile del centro stesso. Ai fini di monitorare correttamente la situazione e di fornire una corretta rappresentazione gestionale, il magazzino viene scomposto nei seguenti centri di costo: operation, reparto tecnico produttivo, reparto tecnico, reparto di monitoraggio della qualità di processo, acquisti e programmazione, finissaggio, plastica, materie prime, programmazione, assemblaggio, burattatura358, presse, logistica. Il volume delle transazioni effettuate dalla società è molto elevato e quindi il numero di articoli detenuti all’interno del proprio magazzino è consistente, nell'ordine di 10.000, di cui attivi 3.500 circa. La società si avvale di circa 40 terzisti che quindi fungono anche da depositari. Non vi sono tuttavia depositari in senso stretto. La società lavora per magazzino al 99%. Tale dato indica che la società lavora pochissimo sulla base di ordini specifici. Gli inventari fisici (come visto una procedura che permette di monitorare l’esistenza del materiale e l’accuratezza delle relazioni contabili) vengono svolti mediamente una volta all'anno per la chiusura dell'esercizio. In aggiunta a tale procedura, risulta posto in essere qualche controllo di efficienza sui prodotti finiti durante l'esercizio. Il numero di fornitori di cui la società si avvale per le lavorazioni esterne è variabile, sulla base delle esigenze produttive. L'anagrafica prodotti è creata, viene gestita ed aggiornata dall'ufficio tecnico. L'accesso all'anagafica è consentito tramite password che il sistema richiede di cambiare ogni 90 gg. ln circostanze particolari il file può essere modificato dal responsabile della logistica e dall'ufficio acquisti (in questo caso solo per modificare le caratteristiche delle materie prime da acquistare). Le modifiche apportate possono essere verificate in quanto esiste la possibilità di stampare un record indicante gli aggiornamenti apportati. Tutti gli aggiornamenti avvengono on line. 358 Lavorazione meccanica di finitura superficiale (definizione fonte sito internet: www.wikipedia.org, enciclopedia telematica) 243 Per quanto riguarda la distinta base, essa viene creata dall’ufficio tecnico che predispone una scheda tecnica per ogni modello di occhiale. Una volta creata la stessa viene alimentata sia dall'ufficio acquisti (costo standard delle materie prime e delle lavorazioni) sia dall'ufficio tempi e metodi (tempi e costi dei diversi cicli di lavorazione). Si tratta di una distinta base scalare che può essere esplosa in più livelli. Si possono distinguere tre distinte base a seconda del tipo di prodotto: P: codice prodotto finito; L: codice conto/lavoro; A: codice di acquisto. Nel calcolo del costo complessivamente attribuibile ad un prodotto, entrano sia i costi degli stampi sia il ribaltamento degli overheads. Per quanto riguarda la gestione dei movimenti del magazzino, la procedura seguita dalla società è la seguente: Vi è un ordine di produzione di livello superiore che identifica le quantità da produrre (la società lavora "per magazzino"); All'inserimento dell'ordine superiore si crea un "impegno" che identifica le quantità di materiali del livello sottostante che devono essere utilizzati; Nel caso in cui questi ultimi siano disponibili e non siano impegnati da altri ordini di produzione, vengono impegnati dall'ordine suddetto. Nel caso in cui non siano liberi si crea un ordine per i materiali dello stadio di produzione sottostante e così via a cascata fino ad arrivare alla materia prima che, se non è sufficiente, viene acquistata tramite l'inserimento di un ordine d'acquisto; Nel caso di "impegno" di materiali, si crea una bolla interna di ordine-lavoro tramite la quale avvengono i passaggi da un magazzino ad un altro (ad esempio dal magazzino materie prime al conto lavoro e da questo al magazzino prodotti finiti); non ci sono mai momenti in cui la merce non sia ubicata (cioè o è in produzione o si trova in un magazzino) e il versamento avviene sempre in automatico; 244 Lo scarico della materia prima e gli impegni dei materiali avvengono in automatico alla conferma della bolla interna di ordine-lavoro; Sono possibili forzature (autorizzate dai responsabili di cui sopra); Le lavorazioni esterne sono gestite da un ordine di conto lavoro che impegna la merce e che crea in automatico una bolla di trasferimento che gestisce il passaggio dal magazzino interno al magazzino del terzista; quando la merce ritorna in azienda e passa il controllo qualità, avviene lo scarico del conto lavoro ed il passaggio al magazzino interno. L'inventario fisico avviene in unica soluzione per la chiusura dell'esercizio (inventario completo). In corso d'anno, nei periodi in cui la produzione ha una fase di calo, vi sono dei controlli a campione per valutare l'allineamento tra il fisico ed il contabile. La procedura inventariale risulta essere formalizzata. Le ubicazioni sono diverse nel senso che ci sono più magazzini. Tuttavia la società non fa uso di cartellini inventariali nel corso della conta fisica359 fatta eccezione per il magazzino dei prodotti finiti. I cartellini, tuttavia, non sono gestiti a sistema. La valorizzazione del magazzino viene fatta dal sistema in modo automatico con frequenza mensile. La società effettua i controlli sulle quantità (tramite l'inventario fisico ed il conseguente adeguamento del contabile al fisico) e sui valori (tramite le verifiche periodiche del CED per valutare la correttezza della procedura di determinazione del costo medio). Inoltre a fine anno (o in periodi infrannuali) vengono effettuate delle quadrature a livello overall per verificare la ragionevolezza dei costi standard ed i costi di iscritti in contabilità generale. Le materie prime presenti nel magazzino vengono valutate al costo d'acquisto al quale si sommano gli oneri accessori e si sottraggono gli sconti commerciali. Le rimanenze iscritte come semilavorato vengono valutate sulla base dello stato di avanzamento della distinta base. Infine i prodotti finiti vengono valutati al costo medio ponderato. La società effettua delle campagne promozionali saltuarie per smaltire lo slow moving di alcuni codici a magazzino, previa autorizzazione della direzione. 359 L’utilizzo dei cartellini risulta utile ai fini di permettere una conta più corretta e di non sbagliarsi contando due volte la stessa rimanenza 245 Il costo medio orario della manodopera diretta e indiretta viene comunicato dall'ufficio personale all'ufficio tempi e metodi. Il costo medio orario viene costruito ad inizio anno sulla base dei costi e delle ore lavorabili a budget. Solamente a fine anno è quindi possibile verificare se da tale stima si sia verificato un sotto/sovra assorbimento di costi. A seconda che si tratti di un ciclo standard oppure automatico l'ufficio tempi e metodi ribalta anche una certa percentuale di inefficienze che può variare da uno 0% (cicli automatici) ad un massimo del 15% per alcuni cicli standard. In questo modo vengono ribaltate sul magazzino delle inefficienze produttive non ammesse dai principi contabili, ma utilizzate a livello gestionale. Esiste un costo standard stabilito ad inizio anno per quanto riguarda la valorizzazione della materia prima. Il sistema tuttavia consente di avere in ogni momento il costo medio effettivo. E’ da rilevare che la società calcola il costo medio della materia prima per singola ubicazione e ciò potrebbe comportare delle incongruenze di valutazione di materie con lo stesso codice ma ubicazioni differenti. Il costo effettivo dello stampo viene diviso per il numero di pezzi che si prevede di vendere complessivamente a budget. In questo modo viene calcolato un costo medio a pezzo che viene ribaltato sul costo del prodotto. I costi effettivamente ribaltati dipendono quindi dalla previsione sui pezzi venduti, un'eventuale sovra/sotto stima comporterebbe un sotto/sovra assorbimento. Per quanto riguarda gli overheads costs, viene calcolata un’incidenza media rispettivamente sui costi totale di materia prima - costi di lavorazione - costi di acquisto prodotto finito. Sulla base di tali percentuali, inserite a sistema, avviene il ribaltamento degli overheads. Periodicamente tale analisi viene rivista e valutata l'opportunità di aggiornare le percentuali a sistema. Gli overheads vengono caricati sui semilavorati al momento del prelievo a fronte di un ordine di lavorazione. 246 Non vengono invece caricati oneri accessori (costi di trasporto e dazi) sulle materie prime in anticipo rispetto al loro versamento in produzione con il quale vengono versate in un nuovo codice di semilavorati. Il sistema effettua un confronto automatico tra il costo medio dei carichi a magazzino ed il costo standard ogni volta che un ordine di produzione viene interamente versato. Nel caso in cui ci sia una variazione superiore al 5% il sistema effettua una rettifica automatica per riportare il medio al costo standard. Per i prodotti finiti per i quali l'ordine di produzione è ancora aperto a fine anno in quanto il lotto non è stato ancora interamente versato, si possono verificare errori di sistema nel calcolo del costo medio (può venire versato l'intero costo dei materiali del lotto sui soli prodotti versati). Per questo viene fatta da parte del controllo di gestione una verifica mensile dei codici con scostamento standard-effettivo per deposito superiore ai 5.000 Euro. Vengono inoltre rettificati tutti i codici con valore unitario negativo. Il controllo di gestione interno sta inoltre intensificando i controlli su tali problematiche abbassando ogni mese il livello di materialità delle proprie analisi, al fine di avere sempre più in mano una gestione corretta del processo e monitorata in ogni sua fase, anche nelle fasi maggiormente carenti. 5.3.4.2. Ricevimento della merce Il ricevimento della merce da parte della società include diversi rischi che sono stati individuati dalla stessa. Al fine di procedere ad una loro copertura tramite le attività di controllo interno, è necessario individuare tutti i rischi che potrebbero inficiare in maniera significativa la correttezza e veridicità dell’informativa finanziaria. In primo luogo, va evidenziato il sistema di restrizioni di accesso al sistema. Il rischio è che il personale non autorizzato possa effettuare delle operazioni di entrata merce. I controlli chiave sono costituiti dal fatto che il sistema gestionale SAP limita al personale autorizzato mediante USER ID e password la possibilità di accedere al sistema e di effettuare le operazioni di entrata merce. Il sistema di stoccaggio limita al personale autorizzato mediante USER ID e password la possibilità di accedere al sistema e di effettuare le movimentazioni di magazzino. 247 Risulta importante da considerare anche l’entrata merce di prodotti finiti alla piattaforma logistica. All’arrivo del vettore nel magazzino accettazione, l'utente controlla i colli con quanto riportato sulla bolla e richiama la BEM (Bolla Entrata Merci) dal sistema. Con la pistola a radiofrequenza viene richiamata la BEM e vengono scannerizzati i codici a barre dei vassoi entrati. Il sistema segnala un warning se mancano dei codici o se ci sono codici non previsti o in sovrannumero (+10%). I prodotti arrivano dalla produzione o dal magazzino. I controlli fisici vengono effettuati o in uscita dalla produzione o dal magazzino quindi non nel magazzino. I vassoi possono arrivare già con il codice a barre interno di M indicante il singolo vassoio con il modello oltre che con il codice a barre indicante il modello o può essere incollato e stampato al momento nel magazzino. L'utente carica fisicamente a magazzino la merce e la colloca nello scaffale determinato dal sistema; a questo punto scannerizza il codice a barre della posizione e il sistema associa così definitivamente il vassoio con la sua posizione. Il rischio inerente a tale procedura riguarda il fatto che i materiali ricevuti potrebbero non corrispondere a quelli ordinati e le differenze non essere registrate tempestivamente; inoltre i beni potrebbero non essere registrati nel corretto periodo di competenza. I controlli posti in essere dall’azienda per ripararsi dal rischio sopra evidenziato sono differenti: Controllo di correttezza e completezza della merce ricevuta con il documento di trasporto tramite pistola a radiofrequenza; Esistenza ordine di acquisto: nel caso venga inserito un ordine errato, il sistema blocca l’operazione di entrata merce; Verifica correttezza e completezza informazioni della bolla con BEM (SAP); Nel caso di differenze tra BEM e ricevuto superiori a una soglia di tolleranza (+10% o anche un solo pezzo), il sistema segnala tale differenza tramite un warning e blocca il carico a magazzino fino allo sblocco da parte dei responsabili; L’addetto al magazzino non può modificare la BEM; 248 Richiamo su StockSystem del pre-carico tramite BEM e verifica correttezza e completezza del pre-carico. Il secondo rischio che può sorgere inerentemente all’entrata merce dei prodotti finiti alla piattaforma logistica riguarda l’eventuale disallineamento delle giacenze tra i due sistemi di gestione del magazzino. Anche in questo caso la società pone in essere i controlli chiave adeguati ai fini della copertura del rischio. Essa controlla la completezza del trasferimento dati: il personale dei sistemi informativi verifica l'allineamento del sistema gestionale SAP con il sistema di gestione delle scorte di magazzino. Ogni fine giornata viene verificata la chiusura del magazzino di transito. Un altro aspetto da valutare nel sistema di controlli interni al fine di ottenere un grado sufficientemente elevato di assurance ai fini della redazione dell’informativa finanziaria riguarda l’entrata merce di prodotti finiti da terzisti. Il magazzino è di transito dove i prodotti provenienti dall'Asia e dall'Italia vengono controllati fisicamente per verificarne la qualità. I prodotti provenienti dall'Asia vengono controllati a campione mentre quelli provenienti dall'Italia vengono controllati al 100%. I prodotti idonei vengono poi consegnati alla piattaforma logistica. Il rischio è che i materiali ricevuti non corrispondono a quelli ordinati e le differenze non vengono registrate tempestivamente; inoltre i beni potrebbero non essere registrati nel corretto periodo di competenza. I controlli chiave effettuati dalla società riguardano il check del controllo fisico dell’integrità della merce ricevuta ed il controllo di correttezza e completezza della merce ricevuta con il documento di trasporto; la società verifica inoltre la correttezza e completezza informazioni del documento di trasporto con ordine di acquisto. Un altro aspetto da tenere in considerazione da parte della società circa le entrate merci a magazzino riguarda l’entrata merce di materiale pubblicitario e di materiale per confezionamento e imballaggio a piattaforma logistica. All’arrivo del vettore nel magazzino accettazione, l’addetto alla ricezione controlla il materiale con quanto riportato sul documento di trasporto e firma la bolla. L'utente controlla i colli con quanto riportato sulla bolla e richiama la BEM (Bolla Entrata Merci) dal sistema. Con la pistola a radiofrequenza viene richiamata la BEM e vengono scannerizzati i codici a barre dei 249 vassoi entrati. Il sistema segnala errore se mancano dei codici. I codici vengono stoccati nel magazzino fisico e, da un punto di vista logico, nel magazzino di SAP. I vassoi possono arrivare già con il codice a barre interno di M oltre che con il codice a barre indicante il vassoio con il modello. L'utente carica fisicamente a magazzino la merce e la colloca nello scaffale determinato dal sistema; a questo punto scannerizza il codice a barre della posizione e il sistema associa così definitivamente il vassoio con la sua posizione. Il rischio associato a tali operazioni è che i materiali ricevuti non corrispondano a quelli ordinati e che le differenze non vengano registrate tempestivamente; inoltre i beni non sono registrati nel corretto periodo di competenza. Gli auditor della società effettuano quindi un controllo di correttezza e completezza della merce ricevuta con il documento di trasporto. Per testare inoltre l’esistenza ordine di acquisto, è impostato un sistema che automaticamente effettua una verifica: nel caso venga inserito un ordine errato, il sistema blocca l’operazione di entrata merce. Per quanto riguarda infine l’operazione di entrata resi a piattaforma logistica, il cliente che rende la merce solitamente decide di restituire il pezzo difettato senza che sia intercorsa alcuna comunicazione preliminare con l’azienda o con una comunicazione molto sommaria. L’ufficio dell’after sales della logistica (che gestisce anche questo genere di controversie) riceve la merce da sostituire e ne dà notizia al customer service Italia con un modulo con la descrizione dei modelli e dello stato degli stessi, perché possa dare avvio al processo di reso. Il customer service Italia crea un ordine di reso per sostituzione. L’ordine di reso è il riferimento rispetto al quale deve essere creata la consegna della merce difettata restituita dal cliente. Dopo la creazione dell’ordine di reso, la Logistica può avviare il processo di entrata delle merci creando il relativo documento di consegna. Il processo di reso si chiude con la registrazione dell’entrata merci in SAP e il contestuale carico in magazzino. A questo punto il customer service Italia può procedere alla sostituzione. Quando viene concessa l’autorizzazione per un reso dalle filiali o dai distributori, il customer service Italia crea un ordine di reso a sistema; il numero dell’ordine corrisponde al numero di autorizzazione e viene pertanto inviato al cliente come riferimento per la spedizione della merce. Il cliente spedisce la merce in reso, indicando sul modulo di reso il numero dell’ordine di reso ricevuto dal customer service. La merce 250 in reso arriva all’ufficio after sales della logistica che verifica l’esistenza della documentazione accompagnatoria (bolla e modulo reso) e confronta i dati della spedizione con i dati registrati nel corrispondente ordine di reso inserito a sistema. Se le verifiche fatte a sistema sono positive, gli operatori della logistica possono avviare la merce al processo di consegna in entrata; in caso di incongruenze invece possono anche respingere la merce al mittente: di norma, però nei casi di resi estero, soprattutto dalle filiali, ciò non succede e la merce viene comunque fatta entrare. Il cliente riceve la merce respinta. Quando la merce in reso viene accettata, la logistica può avviare il processo di entrata delle merci creando il relativo documento di consegna. Il processo a magazzino si chiude con la registrazione dell’entrata merci in SAP e il contestuale carico in giacenza. Il rischio di tali operazioni consta nel fatto che i codici caricati a magazzino non siano esattamente quelli resi, pertanto i materiali ricevuti non corrisponderebbero a quelli dell'ordine di reso e le differenze non verrebbero segnalate al sistema. Gli auditor interni della società, per ripararsi da tale rischio, hanno quindi impostato un sistema di controllo, che viene eseguito manualmente dall'utente del magazzino che compila il modulo prestampato da inviare al customer service. Egli deve infatti controllare il reso con la consegna di reso di SAP e può caricare il magazzino solo se le due coincidono. Altrimenti spetta al customer service decidere se cambiare la consegna di reso o non accettare il reso. 5.3.4.3. Movimentazioni interne Anche per quanto riguarda le movimentazioni di merce all’interno della società, vi è il rischio che il personale non autorizzato possa effettuare operazioni di movimentazione merce. Per scongiurare tale rischio, gli auditor hanno impostato alcuni controlli chiave che riguardano l’apposizione di limiti di accesso al sistema. Il sistema gestionale SAP limita infatti al solo personale autorizzato mediante USER ID e password la possibilità di accedere al sistema e di effettuare le operazioni di entrata merce. Il sistema di stoccaggio limita inoltre al personale autorizzato mediante USER ID e password la possibilità di accedere al sistema e di effettuare le movimentazioni di magazzino. 251 Le movimentazioni interne piattaforma logistica avvengono per spostamento di prodotti per il confezionamento o per l'imballaggio prima della spedizione. Tutte le movimentazioni avvengono con una picking list generata dal sistema con la quale l'utente va a prelevare i vassoi. La picking list è caricata a sistema e quindi anche sulla pistola, l'utente stampa la picking list, legge i codici a barre quindi il sistema segnala il percorso da eseguire per il prelievo. Durante i prelievi l'utente scannerizza i codici a barre dei codici. Il magazzino è suddiviso su due livelli, sul primo livello avvengono il ricevimento merci e lo stoccaggio dei codici da confezionare e le movimentazioni per il confezionamento delle linee; inoltre in tale magazzino vengono anche stoccati gli astucci e gli imballi. Al secondo livello avviene lo stoccaggio di tutte e due le linee: linea secondaria e linea confezionata. Questo livello è suddiviso logicamente in due sotto magazzini: magazzino picking con i codici da prelevare per la spedizione ed il magazzino scorte per i codici di scorta. C'è inoltre il magazzino parti di ricambio gestito da un altro modulo nel sistema. Le movimentazioni su questo livello sono lo spostamento dei codici da un magazzino ad un altro ed il relativo spostamento dei codici. Il rischio che si presenta in questo caso è che tutti i movimenti di materiali non siano supportati da richieste di trasferimento valide ed autorizzate, registrate tempestivamente in modo accurato e completo. Per non permettere che tale rischio comporti un errore, gli auditor della società effettuano un controllo di completezza del trasferimento dati: il personale dei sistemi informativi verifica l'allineamento tra il gestionale SAP e il sistema di prelievo della merce dal magazzino. Inoltre tutte le movimentazioni vengono registrate in modo automatico sul sistema di carico e scarico del magazzino, che è impostato in maniera da controllare in automatico quali non vengano eseguite. 5.3.4.4. Le uscite di magazzino e le vendite Per permettere una corretta gestione dell’uscita di merce per vendita diretta o spedizione a filiali da piattaforma logistica, la società ha impostato il gestionale SAP attraverso una transazione che trasforma gli ordini in consegne da evadere. 252 Le consegne vengono importate nel sistema di gestione del magazzino sottoforma di picking list. L'utente preleva con la picking list e la pistola a radiofrequenza i codici dal magazzino e li porta sul banco di controllo. Qui i codici vengono controllati da un altro utente che verifica la completezza del prelievo con la pistola e la picking list a monitor. Se il prelievo risulta completo dalla scannerizzazione della pistola allora avviene rilasciato dal sistema la conferma della consegna e da SAP viene scaricato il magazzino. A questo punto SAP genera anche la documentazione necessaria per la consegna: codice a barre per lo spedizioniere con indirizzo e dati prodotto (ad es. peso) e la bolla di accompagnamento (Ddt). Se la picking list non può essere completata viene modificata la consegna su SAP. Il rischio di tale procedura è che i prodotti inviati al cliente non siano gli stessi della picking list. Viene quindi posto in essere un duplice controllo chiave: il primo è eseguito dall'utente che preleva e che scannerizza i codici a barre dei prodotti prelevati; la pistola scarica automaticamente dalla picking list memorizzata i codici prelevati. Il secondo è eseguito al banco di controllo dove un altro utente scannerizza i codici a barre degli stessi prodotti e a monitor verifica la corrispondenza con la picking list. Quest'ultimo controllo annulla la possibilità che nel picking si fosse scannerizzato un codice diverso da quello effettivamente prelevato. L’uscita merce per ricambi da piattaforma logistica viene effettuata dal sistema gestionale SAP attraverso una transazione che trasforma gli ordini in consegne da evadere. Le consegne vengono importate sottoforma di picking list. L'utente preleva, in modo robotizzato, i codici segnalati e dà la conferma dei prelievi effettuati. Quando il prelievo è terminato, il sistema dà la conferma a SAP dell'avvenuta consegna e da SAP viene scaricato il magazzino. A questo punto SAP genera anche la documentazione necessaria per la consegna: codice a barre per lo spedizioniere con indirizzo e dati prodotto (ad es. peso) e il Ddt. Il rischio è che i ricambi caricati nel magazzino ricambi non corrispondano effettivamente a quelli dell'ordine di vendita. Inoltre può anche succedere che i ricambi vengano inviati ad un cliente diverso da quello presente nell'ordine di vendita e l'invio non sia autorizzato. 253 La società pone in essere alcuni controlli chiave per scongiurare il verificarsi del rischio. Innanzitutto deve essere presente l’autorizzazione alla spedizione da sistema. In secondo luogo viene effettuato un controllo di completezza ed accuratezza di quanto richiesto da spedire e quanto viene predisposto per la spedizione. 5.4. La valutazione da parte dell’auditor esterno dei principali rischi dopo la valutazione dei processi aziendali: la costruzione dell’Audit Comfort Matrix La società pone in essere una struttura che sia in grado di evidenziare i vari passaggi che le diverse pratiche aziendali comportano. Le diverse attività, a partire dall’input di entrata fino all’output finale, costituiscono il processo (come già definito nei precedenti capitoli). I processi chiave della società, individuati nel paragrafo precedente, devono essere compresi ai fini di effettuare una valutazione corretta dei rischi che permangono in capo alla società circa eventuali lacune di processo (o al peggio carenze di disegno). Dopo aver compreso nello specifico i processi, l’auditor procede con la valutazione di tutti quei rischi che vengono considerati chiave, nel senso che potrebbero portare ad un errore che inficia in maniera significativa ed errata la situazione patrimoniale, economica e finanziaria della società. Per fare ciò l’auditor, come visto nel capitolo 3 di tale trattazione, si avvale di strumenti quali l’audit comfort matrix. L’ACM preparata dalla società di revisione nei confronti della società M Spa contempla diversi key risks, per i quali viene valutata la risposta effettuata dal management della società tramite l’ausilio di controlli specifici al fine di non permettere che il rischio porti ad errori materiali. 254 Tabella 5.4 - L’audit comfort matrix di M Spa Obiettivo di business Ricerca di nuove licenze e sviluppo di quelle già in portafoglio Rischio di business Ottenimento licenze con elevate royalties e/o minimi garantiti Key Risks Controlli Asserzioni e posti in relativa area di essere dal bilancio managemen t Specie in Royalties: A, C, CO, occasione del E, V fine esercizio il management della società analizza l'andamento delle vendite per singola griffe valutando e negoziando con il licenziante eventuali impatti di minimi garantiti I contratti di licenza con i detentori delle griffes prevedono generalmente (oltre che la compartecipazion e alle spese pubblicitarie del licenziante) il riconoscimento di royalties minime garantite annue che, in occasione di vendite al di sotto delle attese, potrebbero far sorgere un'obligation in capo al licenziatario. Nel corso del Vendite Tipicamente il I crediti sono 2006 la società effettuate a settore tenuti sotto ha definito un distributori dell'occhialeria- osservazione business plan /clienti non luxury concede con stretto 2006-2008 con solvibili significative monitoraggio l'obiettivo di una dilazioni da parte del crescita notevole commerciali al management del fatturato canale retail. Tali della società grazie alle nuove dilazioni da una che provvede griffe acquisite. parte permettono ad attivare le L'obiettivo per il alla società di eventuali 2007/2008 è ampliare le quote azioni di quindi quello di di mercato ma recupero per vedere un potrebbero le posizioni aumento comportare incerte considerevole eventuali perdite del fatturato su crediti. Nel corso del Considerando Le partecipazioni Il 2006 la società che la vengono valutate management ha definito un struttura del in base procede ad business plan gruppo vede all'impairment analizzare i 2006-2008 con un'unica unità test effettuato con risultati actual l'obiettivo di una produttiva cadenza almeno prodotti dalle crescita notevole mentre le altre annuale. Nel partecipate del fatturato società corso del 2006 tramite il grazie alle nuove svolgono alcune controllo di griffe acquisite. principalmente partecipazioni gestione. Per L'obiettivo per il solo attività hanno subito il periodo 2007/2008 è commerciale. delle svalutazioni 2005-2008 il quindi quello di Il mancato CdA della vedere un raggiungiment società ha aumento o degli approvato un 255 Approccio di audit Verifica della ragionevolezza del calcolo delle royalties e della loro completezza attraverso l'analisi degli accordi con i licenzianti F.do svalutazione crediti/Crediti Analisi e verifica della ragionevolezza del f.do svalutazione crediti stimato dalla società Bilancio separato: Partecipazioni Verifica, mediante supporto del corporate finance, dei test di impairment effettuati dalla società. Verifica della ragionevolezza dei budget usati per il calcolo dell'impairment considerevole del fatturato Rafforzamento del know how di ideazione e sviluppo del prodotto / Innovazione continua delle linee Negli anni passati la società ha effettuato importanti acquisizioni in America e Francia per ampliare la propria gamma di prodotti e la sua presenza nelle aree ritenute più strategiche Ottenimento, anche attraverso il ricorso all'indebitamento finanziario, di sufficienti risorse per supportare l'attività della società e l'incremento di fatturato prefissato a business plan obiettivi di business plan potrebbe comportare una perdita di valore delle subsidiaries business plan dettagliato per le società del gruppo. Il management provvede, laddove, è necessario ed in base ai dati actual a rivedere il business plan triennale approvato Breve ciclo di Il gruppo deve Il gruppo F.do obsolescenza di Test Nrv, vita delle linee gestire il implementa, in magazzino/Rimanenz verifica e analisi occhiali fenomeno Italia, politiche e di magazzino ragionevolezza (soprattutto dell'obsolescenza commerciali di f.do per quanto commerciale smaltimento obsolescenza di riguarda gli delle merci a dell'eccedenza magazzino occhiali da rimanenza, attivando il sole) / principalmente canale outlet Obsolescenza indotto dal con vendite a magazzino fenomeno della stock moda, e valutare compiutamente il valore di realizzo di tali assets. Rischio che gli Il bilancio A livello locale Bilancio consolidato: Analisi e investimenti consolidato il management Immobilizzazioni verifica, con il effettuati non evidenzia evidenzierà le immateriali: supporto del permettano di significativi azioni V, RO corporate raggiungere i importi riferibili ad correttive più finance, degli ricavi futuri avviamenti pagati appropriate impairment stimati e marchi/licenze nelle effettuati dalla riconosciuti in circostanze società occasione di svolgendo un acquisizioni test di passate. Con impairment l’andamento delle vendite 2007 e le possibili cessioni il valore di tali intangible potrebbe risultare non recuperabile Ottenimento di Alcuni significativi I covenants Debiti vs banche: Verifica del risorse finanziamenti sono oggetto CO, PD, A, C rispetto dei finanziarie presentano dei di continuo covenants. collegate a covenants il cui monitoraggio. Verifica dei possibili mancato rispetto Nel corso del rimborsi covenants il può comportare 2006 la effettuati nel cui mancato l'immediato società ha corso rispetto può rimborso del effettuato un dell'esercizio. comportare finanziamento aumento di Verifica della esborsi (oltre che la capitale corretta finanziari classificazione a sociale di 28 contabilizzazion breve del debito) Euro/mio con e del debito l'obiettivo di residuo con la migliorare i metodologia propri rates e dell'amortized 256 di conseguenza evitare eventuali sforamenti dei covenants Cercare, A causa Nel corso degli I contratti di Derivati/F.di rischi ed attraverso dell'aleatorietà esercizi finanza oneri: contratti di dello precedenti la innovativa e la V, PD, A, C finanza strumento società ha loro innovativa di possono stipulato contratti valutazione coprirsi da generarsi di finanza sono eventuali passività per innovativa costantemente oscillazioni sui la società speculativi con monitorati dal rischi di tasso in diverse banche. management. particolare sul Nel corso del fronte 2007 è dell'indebitament prevista la o bancario stesura di una apposita procedura interna per la loro valutazione N/a Rischio di La struttura di La società ha Bilancio frode governance del iniziato a consolidato/bilancio gruppo e della dotarsi di separato capogruppo codici di vedono coinvolti comportament membri di due o e comitati famiglie come preposti alla azionisti di governance riferimento, tale che di fatto per cui potrebbe dovrebbero essere latente il limitare il rischio di rischio di "vedere" l'azienda frode. I come un bene di comitati sono famiglia costituiti da managers indipendenti e professionals di nota fama, che consentono di mantenere uno stile di governance equilibrato ed imparziale. Inoltre il CDA è formato in prevalenza da consiglieri non esecutivi (otto), la maggioranza dei quali (cinque) si qualificano come 257 cost Verifica anche attraverso il supporto del corporate finance della corretta valutazione degli strumenti derivati in essere alla data del bilancio Colloqui con il management e test di dettaglio (per esempio sondaggi di conformità, riconciliazioni bancarie, circolarizzazion e clienti/fornitori) N/a Revenue recognition Rischio che i ricavi della società non siano correttamente stanziati per competenza indipendenti. L'emissione Ricavi della fattura è contestuale a quella del ddt. Il rischio di eventuali problemi di cut off è quindi limitato Colloqui con il management nell'ambito del rischio di frode. Circolarizzazion e dei principali clienti, test di cut off di fine anno Fonte: elaborazione propria su dati PricewaterhouseCoopers, 2007 5.4.1. I test di dettaglio dell’auditor esterno Come già visionato all’interno dei capitoli precedenti (in particolare, si rimanda al capitolo 2 della trattazione) il revisore esterno effettua una serie di test di dettaglio con i quali è in grado di evidenziare a campione gli eventuali errori presenti sul bilancio ed è in grado di esprimere il proprio giudizio professionale. I test vengono svolti per ogni area di bilancio, ma in particolare la quantità di tali test ed il dettaglio sul quale basarsi ai fini dello svolgimento del lavoro di audit viene deciso sulla base del rischio e della possibilità di fare affidamento sui processi. Nei sottoparagrafi successivi, si riporta l’esempio di alcuni dei test di dettaglio eseguiti dalla società di revisione PricewaterhouseCoopers sul bilancio della M Spa ai fini dell’emissione del proprio giudizio professionale, sulla base delle eventuali carenze individuate nel disegno o nella realizzazione dei processi, precedentemente valutati (sulla base dell’impostazione che il sistema di controllo interno della società ha introdotto nella stessa, al fine da ripararsi da eventuali errori significativi e che potrebbero inficiare il giudizio del lettore del bilancio). 5.4.1.1. I test sul ciclo attivo 5.4.1.1.1. Le substantive analytical procedures Sulla voce dei crediti verso i clienti iscritti in bilancio, la prima cosa da fare è effettuare una valutazione sui giorni medi di incasso dei crediti, al fine di crearsi un’aspettativa sull’ammontare dei crediti che ci si aspetta siano iscritti in bilancio. 258 Esempio 5.1 - Analisi giorni medi di incasso i dei crediti Voce – Crediti (€/000) 31.12.2007 Ricavi ITALIA Ricavi ESTERO 10.681 11.727 Fatturato Italia + IVA al 20% Fatturato estero 12.817 11.727 gg medi attesi PwC 31.12.07 90 Crediti verso terzi attesi PwC 5.525 Crediti ITALIA bive 31.12.07 Crediti ESTERO bive 31.12.07 3.342 Delta Delta % (204) -4% 2.387 Fonte: elaborazione propria La prima cosa da fare successivamente riguarda seguire i quattro step di cui al paragrafo 3.3.1.1. della presente trattazione: Sviluppare un’aspettativa: sulla base del trend storico e dei giorni medi di incasso dei crediti commerciali verso terzi è emerso che in generale la società ha accorciato i tempi dal momento momento della fatturazione a quello dell'incasso del credito. Da discussione con la società è emerso che la situazione dei crediti risulta molto positiva rispetto all'aumento considerevole del fatturato. Questo deriva principalmente da: nuova politica dei capi cap area vendita di eliminare ciò che non risulta economicamente redditizio redditizi puntando alla qualità e non solo alla quantità; ciò è dettato anche dai nuovi requisiti previsti nei contratti stipulati con i vari licenzianti; aumento degli incassi per via del positivo positivo andamento delle vendite; costante monitoraggio dei crediti da parte dell'ufficio clienti e legale, che ha aumentato l'attività per ottenere pagamenti tramite vie legali. Tutte queste condizioni hanno portato a creare un'aspettativa di ulteriore diminuzione dei giorni iorni medi di incasso; 259 Definire una soglia di significatività dell’errore: tale soglia è stata scelta sulla base di quanto previsto per la planning materialità; Computare l’eventuale differenza riscontrata: non sono state riscontrate significative differenze rispetto all’aspettativa definita; Non serve investigare le differenze, in quanto non presenti. Infine viene investigato l’andamento dei crediti commerciali, oggetto della verifica, nel corso dell’ultimo esercizio, rapportato con il precedente. Esempio 5.2 - Andamento crediti commerciali Voce - Crediti 31.12.2007 30.06.2007 31.12.2006 30.06.2006 Delta '07/'06 Delta % '07/'06 CREDITI COMMERCIALI CLIENTI TERZI 8.729 11.183 8.917 9.374 -188 -2% di cui ITALIA 6.342 8.125 6.878 7.009 -536 -8% di cui ESTERO 2.387 3.057 2.040 2.364 347 17% CREDITI COMMERCIALI VERSO IMPRESE GRUPPO 6.898 6.739 5.490 4.922 1.407 26% Crediti comm I/C 6.898 6.739 5.490 4.922 1.407 26% 15.627 17.921 14.408 14.295 1.219 8% TOTALE CREDITI COMMERCIALI Voce - Fatturato 31.12.2007 30.06.2007 31.12.2006 30.06.2006 Delta '07/'06 Delta % '07/'06 RICAVI VERSO TERZI 22.408 13.624 18.651 10.369 3.757 20% di cui ITALIA 10.681 6.583 10.505 5.994 176 2% di cui ESTERO 11.727 7.041 8.146 4.376 3.581 44% RICAVI INTERCOMPANY 33.758 18.473 23.556 12.224 10.202 43% TOTALE RICAVI DELLE VENDITE E DELLE PRESTAZIONI 56.166 32.097 42.207 22.593 13.959 33% Fatturato Italia + IVA al 20% 3.662 2.257 3.602 2.055 60 2% Fatturato estero 3.351 2.012 2.327 1.250 1.023 44% Voce - Analisi gg incasso medi 31.12.2007 30.06.2007 31.12.2006 30.06.2006 Delta '07/'06 Delta % '07/'06 Calcolo gg medi di dilazione di incasso Italia su crediti puntuali 623 648 687 614 (64) -9% Calcolo gg medi di dilazione di incasso Italia su crediti medi 650 604 1.510 2.399 (860) -57% Calcolo gg medi di dilazione di incasso Estero su crediti puntuali 256 274 316 340 (59) -19% Calcolo gg medi di dilazione di incasso Estero su crediti medi 238 243 676 1.185 (438) -65% 260 Calcolo gg medi di dilazione incasso terzi su crediti puntuali 448 472 541 510 (93) -17% Calcolo gg medi di dilazione di incasso Intercompany su crediti puntuali 74 66 84 72 (10) -12% Fonte: elaborazione propria I crediti commerciali aumentano del 2% rispetto al 31 dicembre 2006, mentre il fatturato aumenta del 26% rispetto allo stesso periodo dello scorso anno: infatti i giorni medi di dilazione sono in costante diminuzione rispetto al precedente esercizio. Si segnala la forte diminuzione dei giorni medi di incasso sia dei clienti intercompany che dei clienti terzi. Si devono distinguere: Crediti verso società intercompany: i giorni di dilazione sono migliorati notevolmente rispetto al precedente esercizio; Terzi: I ricavi verso terzi aumentano di circa il 20% rispetto al 31 dicembre 2006. Tale forte aumento del fatturato non è stato seguito da un aumento dei crediti commerciali verso terzi. Tale discordanza è dovuta alla variazione dei giorni di incasso dei crediti. 5.4.1.1.2. Il fondo svalutazione crediti Un’analisi ulteriore sull’ammontare iscritto tra i crediti in bilancio è composto dalla valutazione della congruità del fondo svalutazione crediti. Tale posta va iscritta con segno negativo nell’attivo dello stato patrimoniale, in modo da stornare quei crediti o parte di essi sulla base della loro probabilità di incasso. 261 Esempio 5.3 - Movimentazione del fondo svalutazione crediti Movimentazione 2007: Tassato Movimentazione fondi Fiscale Totale Fondo apertura (01/01/07) Utilizzi Accantonamento 400.773 (49.767) 59.666 72.508 (72.508) 68.906 473.282 -122.275 128.571 Totale Fondo a bilancio (31/12/07) 410.672 68.906 479.578 Incrementi 01.01 - 30.06 Decrementi 01.01 - 30.06 44 20 64 (46) (46) Conto (€/000) Saldo 31.12.06 Fondo fiscale Fondo tassato Totale 73 395 468 Saldo 30.06.07 72 415 487 Incrementi 01.07 - 31.12 Decrementi 01.07 - 31.12 25 11 36 (27) (14) (41) Saldo 31.12.07 69 412 482 Fonte: elaborazione propria L'accantonamento del fondo svalutazione crediti del 2007 è composto da: Svalutazione dei crediti al legale: la società applica una svalutazione pari al 70% dei crediti al legale Italia e del 80% dei crediti al legale estero; Svalutazione dei crediti non al legale: la società applica una svalutazione specifica per singola posizione sulla base dell'analisi dell'ageing dei crediti; Svalutazione specifica dei crediti verso agenti con i quali la società non ha più rapporti; Svalutazione generica dello 0,5% sui crediti non indagati specificamente (nel 2006 tale svalutazione era pari a 0,3%). Per verificare la correttezza del saldo del fondo svalutazione crediti a fine esercizio si è ottenuto dalla società il dettaglio dei clienti al legale che la società ha svalutato e si sono verificate le note fornite dai legali in merito a tali crediti. Quindi si è assegnata una percentuale di svalutazione specifica per ciascuna posizione. Si è inoltre ottenuto dalla società l'ageing al 31 dicembre 2007 sia Italia che estero e lo si è quadrato con i valori presenti sul bilancio di verifica alla stessa data. Si sono quindi selezionati i crediti scaduti superiori alla de minimis materiality sia per l'Italia che per l'estero. Sul saldo scaduto Italia rimanente, poichè superiore alla performance materiality, si è applicato un audit-sampling. Ciascuna posizione così individuata è 262 stata discussa con il credit manager e confrontata con eventuali svalutazioni specifiche applicate dalla società. Infine si è ottenuto dalla società il calcolo del fondo svalutazione crediti degli agenti cessati e si è verificata la correttezza dell'accantonamento. Esempio 5.4 - Accantonamento al fondo svalutazione crediti 2007 Coy 125.190 47.741 33.920 91.016 110.760 50.880 459.508 Cl. contenzioso domestici Cl. contenzioso estero Svalutazione agenti Svalutazione clienti Italia Svalutazione clienti estero Svalutazione generica - PwC 119.654 44.447 47.731 91.016 106.436 50.880 460.164 656 Sottostima Fonte: elaborazione propria Come si può vedere dalla tabella sopra riportata il fondo svalutazione PwC è sostanzialmente in linea con quello calcolato dalla società. Si sottolinea che nell'esercizio la società ha aumentato la % di svalutazione generica passando dallo 0,3% allo 0,5%. Da colloquio con la società è emerso che tale scelta è legata alla particolare congiuntura del mercato che vede un aumento di clienti di piccole dimensioni in difficoltà economiche. Ciò è testimoniato dall'aumento dei giorni medi di incasso registrato nei mesi di ottobre, novembre e dicembre. 5.4.1.2. I test sul ciclo passivo 5.4.1.2.1. La circolarizzazione dei fornitori Al fine di effettuare la procedura di circolarizzazione dei fornitori (per testare l’esistenza del credito e l’iscrizione in bilancio del corretto importo di debito), PricewaterhouseCoopers ha ottenuto il bilancio di verifica dalla società ed il tabulato con l’elenco delle partite di debito. Quadrato il valore, i fornitori sono stati selezionati sulla base dell’ammontare di debito iscritto dalla società (in quanto non sono state rilevate partite più rischiose di altre, che sarebbero state selezionate insieme agli importi maggiormente significativi). Sono stati selezionati i fornitori aventi un saldo al 31 263 ottobre 2007 superiore o uguale alla performance materiality, raggiungendo una copertura sul saldo complessivo pari al 30% (i soggetti selezionati sono 5). Il saldo residuo non testato risulta materiale: tale saldo è stato verificato mediante la selezione di ulteriori item secondo altri criteri di selezione. Esempio 5.5 - Riepilogo circolarizzazione fornitori FORNITORI Conferma saldo al 31.12.2007 Descrizione fornitore Invio Saldo al 31.12.2007 Risposta Q ﻼ W E R T Y U I O ﻼ ﻼ ﻼ ﻼ ﻼ ﻼ ﻼ ﻼ ﻼ ﻼ ﻼ ﻼ ﻼ 11.945 192.109 76.301 14.837 132.378 4.968 36.827 592 64.206 9 6 613.539 Risposte Concordanti ﻼ Risposta al 31.12.2007 Riconciliate Senza risposta Saldo senza risposta Saldo coperto % Copertura ﻼ 11.945 10.000 84% ﻼ 14.837 11.000 74% ﻼ 4.968 4.566 92% ﻼ ﻼ 1 5 3 Fonte: elaborazione propria 264 153.110 460.429 28.800 ﻼ ﻼ ﻼ ﻼ 5.833 502 15.440 11.945 165.874 14.837 103.578 4.968 30.994 90 48.766 26.234 76.301 Procedure Alternative Delta Esempio 5.6 - Riconciliazione partite fornitori ﻼOk con partitario fornitori al 31.12.2007 RICONCILIAZIONI FORNITORI EUR 192.109 ﻼ W In estratto conto Fornitore ma non in e/c Coy: In e/c Coy, ma non in e/c fornitore: ToT fatture per cui il fornitore ha emesso Riba 165.000 Fatture con scadenza successiva al 31.12.07 che il fornitore ha chiuso al momento dell'emissione della riba SALDO da risposta FORNITORE: 26.234 874 delta non materiale Fonte: elaborazione propria Esempio 5.7 - Procedure alternative sul saldo fornitori PROCEDURE ALTERNATIVE Q 11.945 Fatture verificate Data Importo 31.10.2007 3.702 30.09.2007 4.388 31.10.2007 1.910 N. 3 2 88 N. Reg. 2 5 13 10.000 Saldo al 31.12.07 Copertura % Copertura 11.945 10.000 84% Fonte: elaborazione propria 5.4.1.2.2. Merci in viaggio Relativamente alla merce in viaggio per acquisto merce, si è ottenuto il dettaglio estratto da sistema delle entrate merce a magazzino avvenute successivamente al 31 dicembre 2007 e con data documento antecedente. Inoltre si è ottenuto dalla società il dettaglio delle fatture per acquisto merci stanziate come merci in viaggio ma non presenti in quanto in deposito presso terzi (per cui senza bolla di spedizione di dicembre). 265 La società evidenzia particolari ritardi nel processare i resi che arrivano dai clienti Italia. Questo perchè una volta che a magazzino entra il reso con Ddt, il responsabile deve verificare fisicamente la scatola di reso e la corrispondenza con il Ddt, controllare il modello, compilare un modulo e inoltrare alla contabilità clienti modulo e Ddt. La contabilità clienti procederà quindi a verificare l'autorizzazione al reso, verifica quando tali articoli erano stati venduti al cliente, a che prezzo, e quindi si decide il valore da riaccreditare. Una volta deciso il riaccredito la contabilità clienti carica a magazzino i singoli articoli occhiale e provvede all'emissione della nota di accredito. Il tutto può comportare ritardi anche di 3/4 mesi. Da aprile quindi la contabilità ha implementato un sistema su SAP per evitare che a magazzino vi fossero eccessive giacenze di merce resa ma non ancora processata e quindi caricata. Ciò per evitare quello che poteva comportare una sottostima delle note di accredito da emettere e del magazzino. La procedura prevede che non appena vi è l'entrata della merce resa con il Ddt a magazzino il personale del magazzino inserisce un ordine a sistema che riporta la data di inserimento d'ordine (essa inoltre rappresenta nella teoria la data di acquisizione della proprietà da parte di M trattandosi di resi di Italia). E' possibile quindi estrarre un report da sistema che evidenzia gli ordini aperti per resi già a magazzino ma non a sistema. Quando il magazziniere fisicamente apre il pacco e controlla gli articoli compila il modulo e lo invia assieme al Ddt alla contabilità clienti. Inoltre prima di inviare il reso a M il cliente deve ottenere da parte dell'agente l'autorizzazione scritta al reso che invierà a M assieme al Ddt e alla merce resa (pena il mancato riconoscimento del reso da parte della M Spa). Pertanto la contabilità clienti ha già in mano autorizzazione, Ddt e controllo del magazziniere. Quindi procede con la conferma dell'ordine a sistema inserendo i codici degli articoli resi (ciò va a valorizzare il magazzino) e ad effettuare la nota di accredito per il prezzo riconosciuto al cliente. Per determinare i resi al 31 dicembre pertanto la società procede: Estraendo le note di accredito emesse fino a fine gennaio 2008 su Ddt con data antecedente ma il cui ordine è stato confermato (e quindi caricata la merce) successivamente il 31 dicembre. Di queste note di accredito la contabilità sa già che prezzo ha riconosciuto al cliente e a che costo deve valorizzare tali codici; Estrae quindi tutti gli ordini aperti fino a fine gennaio. Sottrae tutti gli ordini contabilizzati post 31 dicembre (trattasi di Ddt con data gennaio o comunque arrivati post 31 dicembre e quindi non ancora di proprietà della contabilità) ed 266 ottiene il residuo di merce resa a magazzino non ancora inserita in giacenza. Viene valorizzata ad un prezzo netto (per le note di accredito da emettere) e ad un costo unitario (per la merce in viaggio) da statistica Italia fornito dal controller. Non vi sono quindi rischi di sottostima della merce a magazzino e delle note di accredito da emettere al 31 dicembre 2007 se non per eventuali ulteriori spedizioni di resi che giungono in M dopo il 31 dicembre con Ddt datato antecedentemente, ma tale evenienza risulta del tutto eccezionale e comunque, trattandosi di reso Italia, la proprietà diventa di M nel momento dell'arrivo a magazzino, indipendentemente dalla data posta sul Ddt. 5.4.1.2.3. Cut off acquisti Al fine di monitorare il rispetto del principio di competenza da parte della società, sugli acquisti viene effettuato dagli auditor il test di cut off. Esso permette di verificare che tutti i ricavi iscritti in bilancio siano correttamente iscritti secondo tale principio. Tale test consente di verificare che: Le vendite effettuate prima della data di chiusura di bilancio, e le correlate attività (crediti verso clienti), siano incluse nel bilancio; Le vendite effettuate dopo la data di chiusura del bilancio, e le correlate attività (crediti verso clienti), non siano incluse nel bilancio. Si è quindi proceduto a definire il periodo di tempo da esaminare per verificare la competenza delle vendite. Questo intervallo è stato definito in relazione alla tipologia di business del cliente. Si è poi preso visione dell’elenco delle condizioni contrattuali di vendita, utile al fine di verificare quando si trasferisce la proprietà della merce. Si è quindi ottenuta dalla contabilità un'estrazione riportante tutti i carichi di magazzino dal 15 dicembre 2007 al 15 gennaio 2008, con abbinata la data di registrazione della fattura. E' stata quindi effettuata una verifica sulla correttezza, in termini di cut off, di tali voci. Si sono selezionate le seguenti fattispecie di entrate merci: 267 Entrate merci di dicembre con registrazione fattura di gennaio ---> verificato lo stanziamento a fatture da ricevere; Entrate merci di dicembre con bolla di dicembre con o senza registrazione della fattura ---> verifica dello stanziamento a fatture da ricevere; Entrate merci di gennaio con bolla di dicembre con o senza registrazione della fattura ---> verifica dello stanziamento a merce in viaggio. Esempio 5.8 - Cut off acquisti Data Carico Bolla Bolla Fornit Fatt Data bolla Data fatt Data reg 1 10 7 18/12/2007 03/01/2008 31/12/2007 16/01/2008 2 23 87 18/12/2007 03/01/2008 31/12/2007 16/01/2008 3 65 5 21/12/2007 07/01/2008 31/12/2007 16/01/2008 6 33 44 20/12/2007 07/01/2008 31/12/2007 16/01/2008 4 76 29 21/12/2007 07/01/2008 31/12/2007 16/01/2008 5 55 2 27/12/2007 07/01/2008 28/12/2007 16/01/2008 Note PwC Verificato stanziamento a FDR al 31.12.07 e a merce in viaggio Verificato stanziamento a FDR al 31.12.07 e a merce in viaggio Verificato stanziamento a FDR al 31.12.07 e a merce in viaggio Verificato stanziamento a FDR al 31.12.07 e a merce in viaggio Verificato stanziamento a FDR al 31.12.07 e a merce in viaggio Verificato stanziamento a FDR al 31.12.07 e a merce in viaggio Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 5.4.1.2.4. Test passività non registrate Come già illustrato per il test di cut off delle vendite, anche con questa analisi si condivide l’obiettivo di verifica della competenza. Si è quindi ottenuto dalla contabilità il registro IVA acquisti. Il criterio di selezione che è stato utilizzato ai fini della selezione è l’imponibile superiore alla de minimis materiality (€ 50.000). La base di selezione è stato il registro dell’IVA, considerando anche i saldi relativi a fatture agenti e royalties. Per le fatture di competenza 2007 è stato verificato l'effettivo stanziamento a fatture da ricevere. 268 Esempio 5.9 - Test passività non registrate N. fattura Data doc Totale Fattura Imponibile 31.01.2008 11 31/01/2008 35.609 29.674 2008 16.01.2008 8 11/01/2008 34.867 29.056 2008 31.01.2008 3 15/01/2008 28.413 23.677 2007 31.01.2008 2 09/01/2008 25.818 21.515 2008 31.01.2008 6 31/01/2008 25.721 21.434 2008 31.01.2008 7 18/01/2008 23.772 19.810 2007 Data reg Competenza 174.200 F/R Stanziamento Delta x 23.675 2 x 19.815 (5) Delta N/M (3) Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 5.4.1.2.5. Test fatture da ricevere Lo scopo di questo test infatti è quello di visionare dei documenti che giustifichino l’importo che l’azienda ha iscritto nel bilancio. Si è proceduto quindi con l’ottenimento del conto iscritto a bilancio di verifica della società alla data di chiusura su file (conto “Fornitori fatture da ricevere”). Si è in seguito ottenuto il dettaglio degli stanziamenti effettuati negli anni precedenti, ma ancora in essere alla data di chiusura del bilancio. Sono stati quindi selezionati i saldi superiori alla de minimis materiality (€50.000) ad esclusione di quelli già indagati in sede di test passività non registrate (si ricorda che con tale test è possibile sovrapporre la verifica di alcuni documenti. Per non effettuare quindi lo stesso lavoro più volte, è più efficace effettuare una selezione senza tenere in considerazione delle fatture già selezionate con il test analizzato all’interno del precedente sottoparagrafo). Nel caso la fattura risulti già pervenuta presso la società, se ne è presa visione. In caso contrario, si è ottenuto il riscontro documentale a riprova della ragionevolezza dello stanziamento. 269 Esempio 5.10 - Test fatture da ricevere N. doc. 1 2 3 4 5 Data doc. 31/12/2007 31/12/2007 31/12/2007 31/12/2007 31/12/2007 Importo in contabilità (128.888) (84.047) (80.000) (78.795) (67.993) Descrizione Costi Marketing per pubblicazioni su riviste Sconti a clienti di fine anno Contratto con società di ricerca del personale Costi Marketing per pubblicazioni su riviste Costi per contratti vari Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 5.4.1.3. I test sul ciclo del magazzino 5.4.1.3.1. L’inventario fisico Data la significatività del valore del magazzino nel bilancio della M Spa, si è deciso di effettuare l'inventario fisico alla data di chiusura dei magazzini di fine anno 2007. L'inventario ha riguardato sia materie prime che semilavorati che prodotti finiti, vista la concentrazione presente in magazzino di tali materie, la cui sommatoria in valore dà luogo a risultati significativi ai fini dell’espressione di un giudizio finale sulla correttezza del bilancio. La società ha effettuato le conte in differenti giorni per via della grande quantità di codici da contare e per la dislocazione delle materie in più magazzini. Ai fini dell’effettuazione dell’inventario fisico di fine esercizio, la società ha seguito una procedura ben precisa, pianificata a priori. Il primo punto previsto dalla società riguarda l’attribuzione delle responsabilità dell’attuazione dell’inventario. Si decide di nominare quindi le diverse persone responsabili (a capo dei responsabili viene posto il responsabile del magazzino). In secondo luogo vengono nominati i diversi responsabili sulla base delle differenti materie da contare (per esempio si è nominato un responsabile per quanto riguarda le materie prime, uno per quanto riguarda i prodotti finiti ed uno per i semilavorati). Sono stati quindi nominati i diversi magazzinieri che provvederanno ad effettuare la conta fisica sotto la guida dei diretti superiori, i responsabili precedentemente nominati. Per poter compiere tutte le attività necessarie atte a snellire e facilitare le operazioni di identificazione (conta, pesatura e registrazione della quantità) è stato predisposto uno scadenzario con tutti gli obiettivi da realizzare in previsione dell'inventario fisico. I 270 responsabili devono inoltre assicurarsi che esistano i mezzi per la conta, la movimentazione e l'identificazione fisica dei materiali e che i beni da inventariare siano predisposti in modo da facilitare le operazioni di conta, ovvero i materiali devono essere raggruppati per magazzino e per reparto di produzione, in modo ordinato ed in lotti omogenei per codice e tipo articolo. Nell'ambito dello stesso magazzino o reparto, le merci aventi lo stesso codice devono, possibilmente, avere quindi una sola localizzazione. La sistemazione deve essere tale da permettere l'ispezione e lo spostamento ai fini della conta. Viene inoltre stabilita una data entro la quale tutti i reparti produttivi dello stabilimento devono provvedere a versare a magazzino tutti i prodotti finiti in modo da avere nei reparti una minore quantità in giacenza. Viene infine deciso che la produzione degli stabilimenti sia ferma durante lo svolgimento delle operazioni inventariali. In secondo luogo vengono definite le sedi e le date precise in cui l’inventario deve essere effettuato. Al fine di facilitare lo svolgimento delle operazioni inventariali è necessario il rispetto delle date accordate, in modo da permettere alla conta tutta l’attenzione e la precisione dovuta. Vengono anche quindi definite le date entro le quali possono essere effettuate le ultime spedizioni, le ultime ricezioni e le ultime registrazioni a sistema. Circa le rettifiche inventariali da effettuare, si è stabilito di nominare dei collaboratori del coordinatore al fine di garantire l’immediata autorizzazione delle stesse mano a mano che vengono forniti i documenti compilati di rilevazione fisica. Il terzo punto riguarda la decisione dei beni da inventariare. Viene quindi deciso che sono da inventariare le materie prime e componenti d'acquisto, i prodotti finiti, i prodotti in corso di lavoro, la merce di proprietà della società presso terzi ed il materiale pubblicitario. Le categorie dei materiali da inventariare con le procedure indicate sono le seguenti: Materie prime e componenti d'acquisto: devono essere inventariati tutti i materiali esistenti nei vari magazzini materie prime. Ove il materiale non risulti ancora codificato, sarà responsabilità dell’ufficio acquisti provvedere alla codifica prima dell'inizio delle conte fisiche; 271 Magazzino prodotti finiti: devono essere inventariati tutti i prodotti finiti presso i magazzini compresi i prodotti finiti resi da clienti, se di proprietà della società; Prodotti in corso di lavoro: devono essere certificati i prodotti e la relativa quantità in corso di lavoro risultanti dalle bollettine di produzione. Eventuali materiali eccedenti dovranno essere restituiti al magazzino materie prime; Merce di proprietà della società presso terzi: deve essere attuata la procedura d’inventario per tutta la merce di proprietà della società che alla data di inventario fisico si trova, per qualsiasi motivo, presso terzi (conto deposito, conto lavorazione, conto riparazione, merce in visione, presso agenti, ecc.); Materiali Pubblicitario: devono essere inventariati tutti i materiali pubblicitari esistenti e giacenti nei magazzini. E’ stato discussa poi la procedura da seguire in merito alla conta dei beni da non inventariare. Si è quindi deciso che non devono essere inventariati: Beni facenti parte del capitale fisso aziendale (attrezzature, stampi); Materiali d’infermeria; Materiali per pulizie uffici e stabilimento; Materiale di cancelleria; Materiali ausiliari; Merci di proprietà di terzi in giacenza presso le sedi d'inventario. Le merci di proprietà di terzi, giacenti nell'ambito delle sedi d’inventario, devono essere ben identificate e separate dalle merci di proprietà della società; sulle stesse deve essere apposta un'opportuna indicazione dalla quale si possa desumere il fornitore, la quantità della merce ed il titolo in virtù del quale sono in possesso della M Spa. Successivamente la società ha proceduto con la discussione e la decisione della procedura da adottare circa la preparazione e la distribuzione dei documenti di inventario. Si è deciso che predisporre i documenti, moduli e tabulati necessari per l'inventario e provvedere, tramite i responsabili d’inventario, alla loro distribuzione alle squadre di conta e di controllo sia compito del responsabile di magazzino generale, coordinatore della conta. 272 Si sono quindi definiti differenti prospetti al fine di procedere alla conta, il primo riguardante la composizione delle squadre di conta, il secondo riguardante la movimentazione dei tabulati avvenuta nell’esercizio. Prima di distribuire i tabulati alle squadre di conta i responsabili dell'inventario hanno inoltre avuto il compito di compilare la prima parte del prospetto di movimentazione dei blocchetti. E’ stato poi discussa la composizione ed i compiti precisi affidati alle squadre addette al controllo. Le squadre di conta devono effettuare una seconda conta a campione significativo con l’indicazione degli articoli riscontrati e le quantità relative. Le squadre di conta, inoltre, sono tenute a verificare che per tutti i materiali da inventariare sia stato effettuato il riscontro fisico e siano stati compilati e firmati correttamente i documenti d’inventario. Successivamente si è discusso circa il processo di controllo di compilazione dei documenti e raccolta dei documenti a fine inventario. Quando i tabulati d’inventario saranno resi compilati, il coordinatore dovrà verificare che i dati corrispondano a quelli memorizzati nella contabilità di magazzino. Al termine dell’inventario, dopo aver verificato che tutto il materiale è stato inventariato, il responsabile dell’inventario deve accertarsi di aver ricevuto tutti i tabulati dalle squadre addette alle conte; essi dovranno poi procedere con la compilazione della seconda parte del modulo che riassume i movimenti dei tabulati. Tale prospetto deve essere preparato in triplice copia (due copie per un controllo interno della M Spa e una copia verrà ritirata al termine dell’inventario dai revisori). Viene quindi discusso l’aggiornamento delle giacenze contabili dei magazzini e dei reparti di produzione degli stabilimenti. Il coordinatore a seconda dell’inventario di riferimento, dopo l'elaborazione delle scritture di rettifica, verificherà le seguenti liste di controllo: Tabulato delle giacenze contabili per codice articolo; Tabulato delle giacenze contabili per magazzino; Tabulato delle giacenze fisiche rilevate durante l'inventario per magazzino e per codice articolo; 273 Tabulato di confronto delle quantità fisico contabile per magazzino e codice articolo; Tabulato di confronto delle quantità fisico contabile per codice articolo; Tabulato di confronto dei valori fisico/contabile per magazzino e codice articolo; Tabulato di confronto dei valori fisico/contabile per codice articolo. L'obiettivo è di indagare le discordanze significative tra l'inventario contabile e quello fisico in modo da evitare la presenza di errori significativi. Infine si è proceduto con la discussione circa le merci di proprietà della società in giacenza presso terzi (in conto deposito, conto lavorazione, conto riparazione, merci in visione, prodotti presso agenti, ecc.). E' necessario che i rispettivi supporti contabili (cioè schede, libri bollati, tabulati) vengano prontamente aggiornati con gli ultimi movimenti in entrata ed in uscita dai depositi ad una data specificata dalla società. La responsabilità di controllare questo aggiornamento è in capo ai responsabili dell’inventario. A tutti i terzi che hanno merce in deposito di proprietà della M Spa, dovrà essere inviata una lettera con la quale si richiede l'inventario fisico; per gli agenti l’inventario fisico è richiesto, così come è richiesta la compilazione su di una copia commissione riferente ad ogni singola collezione, del numero di pezzi in loro possesso. Nel caso siano presenti depositi significativi, il responsabile dell'inventario deve valutare l’opportunità di procedere alla ispezione fisica delle merci direttamente da parte di personale della M Spa. I vari responsabili devono preoccuparsi di ottenere tutte le risposte inviando, se necessario, una seconda richiesta, solleciti telefonici, ecc. . Le risposte ricevute dai terzi rappresenteranno il dato di riscontro delle nostre giacenze contabili alla data di inventariarizzazione e vengono riconciliate dal coordinatore con le quantità indicate nei tabulati preparati per l’inventario di M Spa. Qualora chi effettua il conteggio fisico trovi materiali non presenti sul documento inventariale, è tenuto a trascrivere su un foglio, che gli verrà consegnato, l’esatto codice del materiale, l’unità di misura e la quantità conteggiata. 274 L’operatore, ovvero colui che inserirà i dati a sistema, genererà un nuovo documento inventariale per i materiali trovati, indicando sul foglio stesso, il numero del documento inventariale creato. 5.4.1.3.2. La valorizzazione delle materie: esempio delle materie prime Le materie prime vengono valorizzate al costo medio di acquisto ponderato dell'anno, determinato in base alle fatture di acquisto. Il costo medio viene determinato secondo il seguente criterio: (Valore delle giacenze iniziali + Acquisti dell'anno valorizzati al costo medio di acquisto)/(Totale delle quantità in giacenza all'inizio dell'anno + totale delle quantità acquistate nell'anno). Per alcuni codici, per i quali esiste un accordo di sconto a fine anno con il fornitore, la società carica non con il prezzo di fattura, bensì con il costo di acquisto al netto dello sconto. Sono stati selezionati due codici dai tabulati di materia prima, ed è stato selezionato il primo codice per giacenza in termini di valore. Essendo le materie prime dislocate all’interno di due magazzini differenti, si sono selezionati in realtà i primi codici dai due tabulati di materia prima. Essendo la metodologia di formazione del costo medio ponderato annuo un algoritmo automatico di SAP, si è però ritenuto sufficiente ripercorrere tale calcolo per un solo codice di magazzino. Per i due codici selezionati si è ottenuto quindi l'elenco di tutti i movimenti che hanno determinato una variazione del costo medio (ossia acquisti ed eventuali rettifiche di valore) con il relativo costo. Si è quindi provveduto ad effettuare un ricalcolo del costo medio confrontandolo con quello determinato dal sistema. Se il codice ha subito movimentazioni in entrata nell'anno, è stato verificato il corrispondente documento fiscale (ad esempio una fattura) per avere conferma dei costi di acquisto che hanno partecipato alla determinazione del costo medio finale. Si sottolinea inoltre che a partire dal 2007 la società ha provveduto a ribaltare anche sui codici di materia prima la corrispondente quota di overheads calcolata per il 2007 275 (dalla verifica dei costi overheads actual calcolati per l'audit sull’esercizio precedente emergevano le seguenti percentuali di incidenza dei costi indiretti: Materie prime 6%; Produzione 31%; Prodotti finiti 20%. Pertanto al costo medio ponderato determinato sui movimenti di acquisto delle materie prime si deve considerare un +6% di overheads). Con riferimento al primo codice oggetto di analisi, non vi è stata nessuna movimentazione di acquisto nell'anno, pertanto il costo medio ponderato al 31/12/2007, è lo stesso del 31/12/2006 (differisce esclusivamente per il 6% degli overheads). Con riferimento al secondo codice, si è ottenuto il file di movimentazione degli acquisti 2007. Si è quindi ricalcolato il costo medio ponderato per l'esercizio 2007 testando con i relativi documenti i movimenti che hanno generato una variazione del costo medio ponderato. Esempio 5.11 - Calcolo del prezzo medio ponderato unitario Magazzino 31-dic-06 C/visione fornitore Imballi 31-dic-07 C/visione fornitore Imballi Giacenza pmp unitario 10 1,50 20 1,50 30 1,50 15 25 40 1,65 1,65 1,65 Pmp 15 3 30 3 45 25 3 41 66 3 ok con tabulato di magazzino al 31/12/2006 3 ok con tabulato di magazzino al 31/12/2007 Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 276 Esempio 5.12 - Verifica corrispondenza del prezzo medio ponderato unitario Q.ty Giacenza iniziale Data di reg. Importo Quantità 31/03/2007 21 10/06/2007 (3) 28/09/2007 23 30/11/2007 54 15 18 35 pmp 30 45 1,50 ] 1,47 1,40 1,37 Ok con fattura verificata PwC 1,43 Ok con fattura verificata PwC 0,10 6% di overheads ribaltati a partire dal 2007 anche sul magazzino MP 1,53 1,50 ] -0,03 Delta -1,85% ok con valorizzazione della società (1) Euro Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 5.4.1.3.3. L’obsolescenza di magazzino: l’esempio sui prodotti finiti L'obsolescenza di magazzino per ciascuna tipologia di stock classificato come prodotto finito viene ricalcolata in base ai parametri evidenziati di seguito. Per quanto riguarda i ricambi, fino al 31 dicembre 2006 essi sono stati svalutati applicando la percentuale del 75% per i codici che nel corso dell'esercizio non si sono movimentati e per il magazzino del macero (indipendentemente dalla movimentazione). Dal 31 maggio 2007 è stata rivista la metodologia di svalutazione. La società ha deciso di effettuare una svalutazione al 100% se il materiale è presente all’interno del magazzino macero, al 90% se non movimentati nell'ultimo anno ed al 50% per tutti gli altri codici indistintamente. Per quanto riguarda invece i prodotti finiti, la società non predispone una situazione del magazzino che evidenzi l'indice di rigiro per modello. Tutti i modelli vengono suddivisi tra modelli in collezione e non più in collezione. La società svaluta i prodotti non più in collezione sulla base del prezzo medio di vendita del materiale a stock realizzato in corso d'anno. L’ufficio pianificazione commerciale gestisce per codice prodotto un'informazione su SAP con evidenza, tramite diversi flag, di quelli che sono i codici attivi o i codici che non vengono più venduti. In tale modo, diviene quindi possibile effettuare un’estrazione che viene utilizzata per analizzare la ragionevolezza delle stime effettuate dal management relativamente al 277 fondo obsolescenza prodotti finiti (controllo impostato ed effettuato dal controllo di gestione interno della società). La società procede quindi con la svalutazione di tutti i prodotti non più in collezione tenendo conto del prezzo medio di vendita a stock realizzato nel corso degli ultimi 12 mesi. Il magazzino macero è invece svalutato al 100%. Dal 2005 inoltre i codici attivi sono soggetti ad una valutazione: nonostante siano codici ancora attivi e la data di uscita sia solo prevista, il sistema calcola la svalutazione portando l'eventuale eccedenza del costo di produzione al prezzo di realizzo se in giacenza nei depositi di resi rientrati da cliente, in conto visione di prodotti vecchi ed in conto deposito per la rilavorazione di pezzi rotti. Dal 31 maggio 2007 la società ha rivisto alcuni criteri di svalutazione anche per il prodotto finito. Vi è una prima svalutazione per deposito, e vengono quindi svalutati al 100% i magazzini macero, il magazzino campioni, campioni non disponibili ed il conto visione clienti. Al fine della verifica della svalutazione dei ricambi, deve essere verificato il tabulato dell'obsoleto, ovvero l'estrazione dei codici di materia prima che nei dodici mesi non hanno avuto movimentazione (estrazione effettuata dal CED e fornita al controllo di gestione per la svalorizzazione). Al fine invece della verifica della svalutazione del prodotto finito, va ottenuto il report, con il quale la società ha evidenza del prezzo di realizzo dei codici occhiale venduti negli ultimi dodici mesi. Il report è costruito da un'estrazione nella quale la società richiede il prezzo medio di vendita nell'ultimo anno delle linee di occhiali. Inoltre va ottenuto il tabulato di magazzino che riporta la svalutazione inserita dalla contabilità. Utilizzando il tabulato del non movimentato negli ultimi dodici mesi, si è ripercorso il logaritmo matematico di calcolo per ciascuna delle giacenze per quanto riguarda il magazzino ricambi. Per quanto riguarda invece il prodotto finito, la svalutazione viene effettuata utilizzando il prezzo di vendita a stock per i codici occhiale che risultano da svalutare. Per quanto riguarda i prodotti finiti si evidenzia quanto segue: 278 Inizialmente la società aveva applicato dei prezzi di vendita a stockisti che non riflettevano esattamente l'estrazione dei 12 mesi al 31 dicembre 2007; Il controllo di gestione inoltre ha riscontrato un errore nel logaritmo matematico di svalutazione. I magazzini vengono infatti svalutati secondo le nuove policy del 30% per tutti i prodotti, anche in collezione. Tuttavia se il prodotto è in close-out viene svalutato al valore di realizzo come da prezzo di vendita a close-out. Se tale svalutazione è inferiore al 30% allora si applica ugualmente il 30% (vale la più altra tra i due valori). Invece per un errore di sistema non veniva considerata tale svalutazione portando quindi ad una sottostima del fondo obsolescenza. Il fondo obsolescenza viene quindi ricalcolato alla luce di un nuovo tabulato di magazzino emesso dalla contabilità, il quale: Recepisce l'errore applicando la svalutazione ai magazzini. Vi è stata quindi una maggiore svalutazione; La società ha effettivamente riscontrato dei delta tra i prezzi applicati per il closeout e l'estrazione del close-out dei dodici mesi al 31dicembre 2007. Le differenze erano sia in senso negativo (e quindi una svalorizzazione più alta) che in positivo. Il controllo di gestione ha pertanto deciso di riperformare l'algoritmo matematico al sistema. La società ha applicato i nuovi prezzi e si è riscontrato che l'effetto positivo compensava quello negativo. Il cambiamento di % o di criteri ha comportato le più sensibili variazioni nel materiale pubblicitario e nei ricambi. Per quanto riguarda il materiale pubblicitario, le sensibili variazioni nel fondo obsolescenza non sono dovute ad una correzione di errori quanto piuttosto ad un affinamento della metodologia di svalutazione adottata dalla società: in particolare per il materiale pubblicitario si è adottata una svalutazione identificando l'effettivo slow-moving per tale tipologia di prodotti a magazzino, applicando una % del 100% anzichè del 75% come in passato in quanto più verosimile con l'effettivo valore di realizzo. Anche per quanto riguarda i ricambi, il cambiamento consiste in un affinamento delle % di svalutazione (come anticipato precedentemente, all’inizio del paragrafo). L'innalzamento della svalutazione dello stock ricambi risulta comunque adeguato, considerato che è prassi del settore ottico considerare omaggi i pezzi di ricambio forniti agli ottici. 279 Esempio 5.13 - Calcolo del fondo crediti obsolescenza di magazzino ANALISI OBSOLESCENZA PRODOTTO FINITO 31 DICEMBRE 2007 Codice Quantità Stock Value Svalutazione Società Svalutazione PwC Delta D F T M N A R 15 2 1.095 487 7 1.343 120 168 14 29.203 13.719 135 36.006 928 168 14 1.466 2.020 135 7.344 335 168 14 1.546 2.048 135 7.366 335 (80) (28) (0) (22) (1) TOTALI Check con tabulato 3.068 - 80.172 - 11.481 - 11.612 (131) Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 5.4.1.4. I test sul ciclo finanziario 5.4.1.4.1. Analisi della fluttuazione dei finanziamenti passivi La società ha acceso nel corso dell’esercizio e di quelli precedenti un elevato numero di finanziamenti. Tali finanziamenti risultano fondamentali per permettere alla società di effettuare gli investimenti ritenuti necessari ed opportuni al fine di poter crescere e di creare valore per l’azienda. Nel corso dell’esercizio la composizione dei finanziamenti rispetto al precedente anno è variata in maniera sostanziale, in quanto la società risulta aver estinto diversi finanziamenti per via della loro scadenza, ma nel contempo ne ha accesi di nuovi. La movimentazione dei finanziamenti risulta quindi di fondamentale importanza per riuscire a non perdere di vista le scadenze ed i debiti che si accendono nei confronti di banche ed istituti finanziari. 280 Esempio 5.14 - Movimentazione finanziamenti Conto Descrizione 31.12.07 31.12.06 Delta % 31.12.07 vs 31.12.06 Delta AB1 Banca A entro AB2 Banca B entro AB3 Banca E oltre Totale Debiti finanziamenti bancari AB4 Banca D AB5 Banca A 0 (111) (9) (120) (677) (8) (108) (113) 0 (222) 0 (21) 108 2 (9) 102 (677) 13 100% -2% -100% -46% -100% -60% DEBITI VERSO BANCHE (806) (243) (563) 232% AB6 AB7 AB8 (183) (7) 7 (205) 0 0 22 (7) 7 -11% -100% 100% (183) (205) 22 -11% Finanziatore J Finanziatore Z Finanziatore X DEBITI VERSO ALTRI FINANZIATORI Fonte: dati rielaborati su file PricewaterhouseCoopers Spa Da tale movimentazione si evince che la società ha estinto alcuni finanziamenti e ne ha accesi altri, che le hanno permesso di continuare ad investire e di estinguere i propri debiti in scadenza. Su tali finanziamenti in essere della società, è possibile effettuare il ricalcolo degli interessi (costo del prestito) da iscrivere tra gli oneri finanziari in bilancio. Nonostante i debiti verso le banche al 31 dicembre 2007 siano diminuiti rispetto a quanto iscritto in bilancio al 31 dicembre 2006, gli interessi passivi su tali finanziamenti sono aumentati. Ciò è dovuto principalmente al fatto che nell'anno il tasso Euribor è aumentato di circa un punto %. Infatti, i due principali finanziamenti che la società ha in esser hanno un tasso di interesse indicizzato al tasso Euribor più uno spread. In aggiunta nel secondo semestre 2007 sono stati erogati ulteriori milioni di euro sul finanziamento in essere con tasso di interesse calcolato sul valore dell’Euribor più uno spread fisso che hanno contribuito ad aumentare il costo per interessi. Per un’ulteriore assurance sul saldo iscritto in bilancio, è possibile effettuare un ricalcolo sugli interessi che la società deve iscrivere in contabilità, al fine di capire se il delta, eventualmente emergente come differenza tra il ricalcolo overall e quanto iscritto, è elevato. 281 Esempio 5.15 - Ricalcolo interessi passivi su finanziamenti INTERESSI SU FINANZIAMENTI Istituto Importo Banca A Valuta Cambio Interessi a Importo euro PwC bilancio Interessi Tasso 38.716,00 Euro 663,09 1,71270 1 663,09 663,09 Banca B 78.888,00 Euro 1.272,23 1,61270 1 1.272,23 1.270,23 Banca E in $ 34.566,00 Dollari USA 592,01 1,71270 1,25 473,61 474,00 2.408,93 2.407,32 1,61 Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 5.4.1.4.2. Check del costo ammortizzato sui finanziamenti Relativamente ai finanziamenti a lungo termine, al fine di ottenere comfort sul valore di iscrizione del debito in bilancio, è stato ricalcolato il valore del debito e degli interessi passivi al 31 dicembre 2007 secondo la metodologia del costo ammortizzato360. Il costo ammortizzato è l’ammontare al quale l’attività o passività è valutata al momento della rilevazione iniziale, meno i rimborsi di capitale, più o meno l’ammortamento accumulato, utilizzando il metodo dell’interesse effettivo, di tutte le differenze tra il valore iniziale ed il valore alla scadenza, e meno le riduzioni per perdita di valore o non incassabilità. L'obiettivo di tale verifica è evidenziare l'eventuale impatto derivante dall'applicazione dei principi internazionali. Per prima cosa deve essere determinato il tasso effettivo dei finanziamenti. Successivamente va rideterminata la quota interessi dell’esercizio 2007 ed il debito residuo al 31 dicembre 2007. Il rischio dell’iscrizione dei titoli in base al metodo del costo ammortizzato riguarda la possibilità che la società iscriva i debiti verso gli istituti finanziari non in linea con quanto previsto dai principi contabili internazionali e, di conseguenza, possa sottostimare/sopravvalutare tali voci di bilancio. La società dovrebbe, infatti, adeguare, attraverso l'amortized cost, il valore dei debiti finanziari. 360 Tale metodologia è prevista dallo IAS 39 282 Esempio 5.16 - Ricalcolo debito per finanziamenti iscritti al costo ammortizzato RICALCOLO TASSO EFFETTIVO FINANZIAMENTI A LUNGO TERMINE 2007 Piano di ammortamento del Finanziamento da Banca E da 25 milioni di euro Data 07/03/2006 30/06/2006 31/12/2006 30/06/2007 31/12/2007 30/06/2008 Erogazione 14.975.000 Interesse (191.017) (359.850) (405.300) (358.126) (309.995) Tasso interesse 4,057% 4,798% 5,404% 5,404% 5,404% 5,404% Rimborsi (1.745.888) (1.781.303) (1.817.437) Totale flussi 14.975.000 (191.017) (359.850) (2.151.188) (2.139.429) (2.127.432) Quota capitale residua 15.000.000 15.000.000 15.000.000 13.254.112 11.472.809 9.655.372 31/12/2008 30/06/2009 31/12/2009 30/06/2010 31/12/2010 (260.888) (210.785) (159.665) (107.509) (54.294) 5,404% 5,404% 5,404% 5,404% 5,404% (1.854.304) (1.891.918) (1.930.296) (1.969.452) (2.009.402) (2.115.192) (2.102.703) (2.089.961) (2.076.961) (2.063.696) 7.801.068 5.909.150 3.978.854 2.009.402 - 5,27% TIR DETERMINAZIONE DEL DEBITO PER FINANZIAMENTI SECONDO PRINCIPI IAS Piano di ammortamento del Finanziamento da Banca E da 25 milioni di euro Data 07/03/2006 30/06/2006 31/12/2006 30/06/2007 31/12/2007 30/06/2008 Erogazione 14.975.000 Interesse (244.441) (394.418) (388.797) (349.072) (298.758) Tasso interesse 5,27% 5,27% 5,27% 5,27% 5,27% Rimborsi Totale flussi (191.017) (359.850) (2.151.188) (2.139.429) (2.127.432) Debito residuo 14.975.000 15.028.424 15.062.992 13.300.601 11.510.243 9.681.570 31/12/2008 30/06/2009 31/12/2009 30/06/2010 31/12/2010 (254.091) 5,27% (201.857) 5,27% (155.359) 5,27% (102.859) 5,27% (52.776) 5,27% (2.115.192) (2.102.703) (2.089.961) (2.076.961) (2.063.696) 7.820.469 5.919.623 3.985.021 2.010.920 (0) CONFRONTO ITALIAN GAAP - IAS 31.12.07 Italian Gaap Tranche 11.472.809 Valore del debito italian gaap al 31.12.07 11.472.809 It Gaap IAS Tranche (358.126) (349.072) Delta interessi passivi 2007 9.054 (358.126) (349.072) Valore del debito IAS al 31.12.07 11.481.863 11.510.243 (28.380) Delta NM 283 5,27% TIR DETERMINAZIONE VALORE DEL DEBITO IAS COY - PWC Debito da bil IT Gaap Aumento debiti vs banche Debito Coy secondo IAS 31/12/2007 11.511.995 4 572 4 11.512.567 Debito PwC secondo IAS 11.510.243 ok con calcolo PwC "amortized cost" Delta (2.323) Delta NM 4 Ok con BdV 31.12.07 Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 5.4.1.4.3. Covenants sui finanziamenti passivi L’impresa ha passività a lungo termine che prevede impegni contrattuali (clausole di garanzia - covenants) che hanno l’effetto di rendere pagabile a richiesta la passività qualora siano violate specifiche condizioni relative alla situazione finanziaria del debitore. Risulta pertanto opportuno considerare il rispetto di tali clausole ai fini della classificazione della passività nello stato patrimoniale. I covenants sono clausole di garanzia inerenti ad alcuni finanziamenti collegati spesso ad indici di bilancio o a risultati aziendali. Il rispetto di tali clausole è fondamentale per la continuazione dell’erogazione del finanziamento. Spesso il mancato rispetto di tali clausole oppure il mancato raggiungimento degli obiettivi quantitativi rende immediatamente esigibile il finanziamento. Infatti qualora l’impresa non rispetti le clausole di garanzia previste (cioè violi i covenants collegati al finanziamento a lungo temine) alla data di bilancio, oppure in un periodo precedente, con l’effetto che la passività diventi pagabile a vista, la passività deve essere classificata come corrente anche se il finanziatore ha concordato dopo la data di bilancio e prima che esso sia approvato, di non richiedere il pagamento della passività a causa della violazione dei covenants. Di conseguenza la passività viene classificata come corrente perchè alla data di bilancio l’impresa non aveva un diritto incondizionato per differire il pagamento dell’obbligazione per almeno dodici mesi dopo quella data361. 361 PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010 284 In particolare la società presenta covenants su tre differenti finanziamenti passivi con scadenza a lungo termine. Esempio 5.17 - Covenants sui finanziamenti passivi RIEPILOGO COVENANTS SUI FINANZIAMENTI PASSIVI PER L'ANNO 2007 Parametro Banca A Banca B Banca C Decorrenza verifica covenants Posizione finanziaria netta / Patrimonio Netto Posizione finanziaria netta / EBITDA 31.12 < 1,20 < 3,00 31.12 < 1,00 < 4,00 31.12 < 1,30 < 3,50 Fonte: dati rielaborati su file PricewaterhouseCoopers Spa Al fine di verificare il rispetto di tali covenants va effettuato il ricalcolo con i dati del bilancio al 31 dicembre 2007. I parametri sono stati rispettati per tutti e tre i finanziamenti. Esempio 5.18 - Calcolo rispetto dei covenants sui finanziamenti passivi Dati al 31 dicembre 2007 del bilancio (in euro) : 1. EBITDA 31.12.07 2. Posizione finanziaria netta 3. Patrimonio netto Banca A 1. PFN/PN 2. PFN/EBITDA Banca B 1. PFN/PN 2. PFN/EBITDA Banca C 1. PFN/PN 2. PFN/EBITDA 15 4 36 Calcolo riportato sotto 43 4 Indice Coy al 31.12.07 0,84 2,40 Covenants da rispettare < 1,20 < 3,00 Indice Coy al 31.12.07 0,84 2,40 Covenants da rispettare < 1,00 < 4,00 Indice Coy al 31.12.07 0,84 2,40 Covenants da rispettare < 1,30 < 3,50 4 ok con bilancio al 31/12/2007 Calcolo PFN M Spa 31/12/2007: Disponibilità liquide Attività finanziarie Passività finanziarie a breve Passività finanziarie a lungo (3) (2) 23 18 36 4 4 4 4 Fonte: dati rielaborati su file PricewaterhouseCoopers Spa 285 Note PwC Rispettato Rispettato Note PwC Rispettato Rispettato Note PwC Rispettato Rispettato Il rispetto dei covenants sui finanziamenti da parte della società risulta di fondamentale importanza: infatti sono previste delle clausole contrattualmente sulla base dei risultati ottenuti dai calcoli delle performance da rispettare. Quindi, ad esempio, migliore sarà il risultato di indicatori quali PFN/PN e PFN/EBITDA, minori saranno i pagamenti sugli spread da effettuarsi agli istituti finanziari per via del minore rischio della società. 5.5. Il caso di frode Come rilevato nei paragrafi precedenti la valutazione da parte della società di revisione riguardo al rischio di frode sulla società M Spa era considerato limitato. Nel corso dell’attività di revisione, infatti, erano stati individuati, sia sul ciclo attivo sia su quello passivo, alcuni miglioramenti al processo ma non delle significative lacune. Durante lo svolgimento dei test di audit e, grazie alle analisi indipendenti svolte dalla funzione di Internal Audit della M Spa, viene comunque individuata una operazione di vendita realizzata attraverso una triangolazione Italia-Russia attraverso la filiale americana. Attraverso questa analisi infatti la Direzione della Capogruppo individuava una partita di merce che non risultava mai arrivata a destinazione finale né tanto meno pagata nel suo valore totale di fatturazione. L’analisi dell’operazione aveva sostanzialmente verificato che la merce era stata: Ordinata dalla M Usa alla M Spa attraverso 3 ordini di acquisto; Fatturata dalla M Spa alla M Usa attraverso 3 fatture intercompany; Fatturata dalla M Usa al cliente/clienti attraverso 2 fatture di vendita. La prassi operativa in uso nel Gruppo M per saldare la vendita prevede il pagamento anticipato da parte del cliente prima dell’invio della stessa a destinazione. Dopo la segnalazione dell’Internal Auditor la Direzione della Capogruppo (M Spa) inizia a effettuare delle verifiche più approfondite sull’operazione e viene a conoscenza che il pagamento della prima fattura emessa dalla M Usa verso il cliente è stato effettuato da un Agente anziché dal cliente a cui la merce era destinata. Sul restante della merce fatturata (seconda fattura), pur essendo questa già presa in carico dal trasportatore per la consegna alla destinazione finale, non vi è ancora stato il pagamento. 286 L’individuazione della stranezza di tale operazione compete al sistema di controllo interno della società, che è riuscito a funzionare nella maniera corretta in quanto è stato in grado di notare che la disposizione del pagamento sulla prima fattura non competeva all’Agente Italia. I revisori esterni nelle loro normali verifiche, vista la segnalazione del controllo interno che aveva deciso di far luce sulla faccenda, selezionano l’operazione in oggetto e richiedono alla M Usa la documentazione dell’operazione. Alla data della richiesta l’operazione risulta essere mancante del pagamento e della documentazione relativa alla spedizione. I Responsabili della direzione amministrazione e finanza e della direzione risorse umane iniziano a chiedere informazioni a tutti i soggetti coinvolti nell’operazione di triangolazione concentrandosi in particolare sull’agente Italia che ha raccolto l’ordine ed il manager dell’ufficio commerciale che lo ha processato. Negli incontri successivi l’Agente Italia ed il manager non forniscono alcuna indicazione circa l’ubicazione delle merce benché le prove raccolte dalla Direzione Aziendale evidenzino il loro coinvolgimento testimoniato dall’aver falsificato il modulo d’ordine. La situazione di frode era riuscita per un certo periodo di tempo per via della sua messa in atto da parte di persone che, colluse tra loro, erano state in grado per un breve lasso di tempo di aggirare il sistema di controlli posti in essere dalla società. La società deteneva infatti all’interno del proprio magazzino del materiale che vi era presente da diverso tempo. Tale merce a lento rigiro era ormai passata di moda nel territorio italiano in quanto era già stata sostituita da nuove griffes. Tale merce considerata quindi obsoleta sul territorio italiano e quasi priva di mercato, era valutata ad un basso valore, vista la perdita di appetibilità del prodotto. La stessa merce svalutata poteva essere però rivenduta su mercati esteri, quali ad esempio il mercato dell’Est europeo (ed in particolare la Russia), mercato che rincorre la moda con un certo periodo di distanza. In tale mercato, la merce viene rivenduta a prezzi molto maggiori rispetto al loro valore di iscrizione contabile, tenuto conto della svalutazione per obsolescenza del prodotto. I soggetti collusi nell’operazione avevano quindi architettato il modo di acquistare tale merce (a grandi lotti) e di autorizzarne la vendita. La merce veniva acquistata e fatturata dalla M Usa, mentre l’uscita della stessa avveniva dal magazzino italiano. 287 La ricostruzione del percorso effettuato dalla merce ha permesso di arrivare (tramite regolare bolla d’uscita) fino allo scarico al porto di destinazione, dove la merce, per uscire dall’Italia, aveva bisogno di una relativa bolla doganale. Tali bolle non sono mai state emesse e la merce da questo punto spariva dal controllo della società. Il sistema di controllo interno della società ha permesso di evidenziare tale operazione come sospetta (vista la grande quantità di lotti acquistati dalla Russia, normalmente di valore inferiore). Tramite le successive analisi, la società è riuscita come detto a risalire ai responsabili ed a ricostruire i fatti. A questo punto la società si è attivata per correggere l’operazione sia negli aspetti fiscali che contabili. Istruire in modo sistematico e strutturato l’operazione di vendita della merce a stock ha permesso alla società di evidenziare le eventuali carenze di sistema di controllo interno nei processi di vendita/acquisto intercompany e di vendita al cliente nell’operazione di triangolazione secondo il Modello di riferimento (COSO Report) attraverso la metodologia di rappresentazione dei rischi e dei controlli sui processi aziendali. La funzione di internal auditor per istruire ed analizzare quanto successo nel periodo considerato si è interfacciata con alcuni dei soggetti responsabili dell’emissione della documentazione. Inoltre ha richiesto alla direzione sistemi informativi evidenza circa la tracciabilità delle operazioni effettuate dagli utenti, mentre alla direzione amministrazione e finanza informazioni circa le procedure che dovevano essere eseguite relative gestione dell’ordine di vendita verso il cliente e rispettiva fatturazione. L’operazione di triangolazione tecnicamente è la seguente: Per la merce: consegna della merce direttamente nel paese di destinazione del cliente senza farla transitare fisicamente per la filiale americana, con invio diretto dalla piattaforma logistica della M Spa verso la destinazione finale; Per la fatturazione: la M Spa fattura a M Usa la vendita della merce con prezzo intercompany e la M Usa fattura al cliente con prezzo finale di vendita; Per i pagamenti: la prassi operativa per le vendite di merce a stock prevede l’incasso in anticipo delle merce prima di inviare la stessa a destinazione con pagamento effettuato dal cliente stesso. 288 Per quanto riguarda la M Spa alla data del 31 dicembre 2007 sono state eseguite le seguenti operazioni contabili: Registrazione delle note di accredito da emettere verso la M Usa; Registrazione delle fatture da emettere comprensive di IVA verso la M Usa; Registrazione della sopravvenienza passiva relativa allo storno del credito; Registrazione del debito verso erario per IVA dovuta. Per quanto riguarda la M Usa alla data del 31 dicembre 2007 sono state eseguite le seguenti operazioni in contabili: Registrazione della nota di accredito da ricevere dalla M Spa; Registrazione delle note di accredito verso i clienti; Registrazione del debito verso l’agente di M Spa. Alla fine delle registrazioni di contabilità generale, la M Spa ha rilevato il debito per IVA sull’intero importo dell’operazione onde evitare rischi di tipo amministrativo/fiscale. Tale rilevazione del debito IVA sull’intero importo è stata decisa anche dopo aver sentito gli operatori doganali specializzati. Mentre la M Usa ha iscritto in contabilità il debito verso l’agente di M Spa a fronte dell’incasso ricevuto. Successivamente alla chiusura dell’esercizio, si è proceduto all’emissione dei documenti di nota accredito e di fattura. L’analisi eseguita ha evidenziato che il principale punto di controllo che ha fatto emergere che l’operazione era al di fuori dalla normale attività aziendale e quindi potenzialmente critica: sono state le attività di recupero, da parte dell’addetto fatturazione estero della M Spa presso il trasportatore, delle bolle doganali di uscita che dovevano dare evidenza dell’esecuzione dell’esportazione e di consegna della merce al cliente finale. Altro punto di controllo che ha confermato la non correttezza dell’operazione è stata la ricezione da parte della M Spa della contabile del bonifico in cui riporta il nome dell’agente Italia di M Spa come soggetto ordinante dello stesso. Nel dettaglio l’analisi ha fatto emergere come, presso: La M Spa: 289 si sia proceduto ad aprire a sistema all’interno dell’anagrafica della M Usa la destinazione senza verificare l’esistenza del cliente e dell’indirizzo a cui doveva essere destinata la merce; si sia proceduto ad eseguire a sistema l’ordine di acquisto intercompany utilizzando un cliente già codificato per un’altra operazione di triangolazione senza chiedere alla M Usa l’apertura della anagrafica cliente e quindi verificare la correttezza della destinazione della merce; si sia proceduto a correggere le fatture già emesse con destinazione Europa orientale, secondo le indicazioni impartite dal Manager dell’ufficio commerciale; La M Usa: si sia proceduto ad aprire a sistema l’anagrafica del cliente senza verificare l’esistenza dello stesso e dell’indirizzo di destinazione della merce; si sia proceduto ad aprire a sistema l’anagrafica del cliente in Croazia senza verificare con la direzione competente della Capogruppo (M Spa) i dati che la stessa possedeva in quanto cliente/distributore già codificato; si sia proceduto ad emettere fattura di vendita verso il cliente in Croazia senza che il pagamento della merce fosse stato effettuato; non sia stata eseguita una gestione ottimale dell’incasso sul bonifico disposto dall’agente Italia in quanto questo tecnicamente non pareggiava con la fattura che M Usa aveva emesso. La funzione di internal auditor ritiene che le gerarchie aziendali e i connessi livelli autorizzativi dei soggetti coinvolti hanno avuto un peso preponderante nella gestione dell’intera operazione, con la conseguenza che, le risorse operative hanno effettuato le attività secondo quanto impartito dai propri superiori gerarchici senza eseguire alcuni controlli preventivi richiesti. L’operazione è infatti stata decisa dal vertice aziendale. La vendita, pur non essendo standard per la filiale americana (vendita di merce in un paese non confinante con gli Usa), è stata comunque condotta secondo le procedure informatiche/gestionali e le prassi operative in uso presso la M Spa e la M Usa. 290 Se si scompone l’operazione nei seguenti quattro principali punti: 1. Definizione degli ordini di vendita date le disponibilità dei modelli; 2. Definizione del prezzo intercompany e dei prezzi di vendita al cliente finale; 3. Gestione delle attività operative di inserimento delle informazioni nei sistemi gestionali e di consegna della merce al trasportatore; 4. Gestione delle attività amministrative di incasso e di fatturazione; l’analisi ha evidenziato che, solo nel momento in cui si stavano gestendo alcune delle attività relative al quarto punto è emerso completamente che l’operazione era diventata critica. Per la precisione quando: E’ venuta a mancare la documentazione relativa all’esportazione della merce (bolla doganale in uscita); Il pagamento della merce relativo ad alcune spedizioni non è mai stato effettuato. Per quanto riguarda i punti 1 e 2, questi sono stati gestiti secondo la prassi operativa in uso, mentre la gestione del punto tre e di parte del quarto ha fatto emergere, come i soggetti più operativi abbiano svolto le attività secondo quanto previsto dalle procedere informatiche/gestionali senza tuttavia eseguire i controlli preventivi che potevano portare al blocco dell’operazione stessa. Visto il numero di attori coinvolti e le loro responsabilità, la funzione di internal auditor ha ritenuto che sia venuto a mancare il giusto bilanciamento di poteri, il cosiddetto check and balance, tra i vari soggetti responsabili delle direzioni aziendali. Si ritiene, così, prioritario che la capogruppo si attivi affinché il sistema di controllo interno venga migliorato a livello di: Ambiente di controllo362, inteso come l’istituzione di migliori regole di check and balance per i responsabili dei processi aziendali; Attività di controllo e attività di monitoraggio di linea363, inteso come esecuzione dei controlli preventivi da parte dei responsabili di processo sui punti operativi ove si sono evidenziate le maggiori carenze. 362 363 Componente del COSO Report Componenti del COSO Report 291 Nella fattispecie si propone di migliorare a livello di capogruppo e di società controllate le attività relative: Alla gestione delle anagrafiche cliente (comprese quelle di destinazione della merce); Alla gestione della attività di incasso della M Usa e di tutte le altre società del gruppo. 292 6. Conclusioni Il sistema aziendale nella sua interezza è un ambiente molto complesso e pieno di insidie. Il caso analizzato permette di comprendere come anche società che presentano un adeguato sistema di controllo interno disegnato sulla base dei precetti del COSO Report possano fare fatica ad evidenziare eventuali carenze a livello applicativo del sistema stesso. Infatti, come già sottolineato nella trattazione, il sistema di controllo interno non è e non deve restare un insieme di matrici scritte su carta al solo fine di permettere al compliance della società a normative specifiche, ma deve essere implementato a livello di attività esercitate dai singoli attori facenti parte dei differenti processi presenti nella società. Il caso evidenzia che il meccanismo per frodare la società era stato ben architettato dagli attori, con la complicità di diversi personaggi aziendali anche a livello di middle management, ma esso ha trovato applicazione solamente dal momento in cui i controlli interni preventivi previsti dal sistema di controllo implementato dall’azienda non hanno funzionato in quanto lasciati su carta e non applicati dai diretti interessati. Tale mancanza aiuta a comprendere come l’individuazione prima su carta e poi applicata in maniera corretta nella realtà sia l’approccio più corretto da utilizzare per prevenire rischi come quello evidenziato, oppure per non permettere che il sistema informativo che fornisce le informazioni finanziarie non sia alimentato nella maniera non corretta e che quindi non sia in grado di rappresentare in maniera veritiera e corretta la situazione patrimoniale, economica e finanziaria della società. All’interno di una matrice di controlli in essere presso una società è utile capire la quantità di lavoro necessaria per prevenire errori e quindi alla fine comprendere l’ambiente circostante l’azienda stessa, oltre che valutare la correttezza dei controlli posti in essere per capire come implementare il sistema, pur mantenendolo semplice per non rischiare che i controlli stessi diventino un impedimento pesante per le persone, al fine di prevenire le situazioni che si presentano come rischiose. 293 La modalità di analisi quindi di una società dal punto di vista dei suoi controlli e della compliance a norme esterne ed interne alla realtà aziendale stessa, non varia molto tra auditor esterni (le società di revisione) ed interni (ufficio di internal audit). Essi analizzano entrambi la società partendo dalla comprensione a 360° della stessa, per essere in grado di installare o modificare i controlli interni già esistenti nella maniera più opportuna, al fine di identificare, valutare, mitigare e monitorare tutti i key risk che potrebbero influenzare l’azienda ed al fine di prevenire casi di frode come quello analizzato nel caso. 294 Bibliografia Testi: A. Devalle, Il sistema informative aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano, 2006 A. Mucelli, I sistemi informativi integrati per il controllo dei processi aziendali, Giappichelli, 2000 Amministrazione & Finanza ORO, Enterprise risk management, Casistiche aziendali di rischi operativi, Modello quantitativo di analisi del rischio operativo, IPSOA, Milano, 2007 ANDAF, Il dirigente Preposto alla redazione dei documenti contabili e societari, 2007 Astolfi, Barale & Ricci, Entriamo in azienda 3. Imprese industriali, sistema informativo di bilancio e imposizione fiscale – Tomo 1, Tramontana, Milano, 2004 C. Dittmeier, Internal auditing, Egea, Milano, 2007 C. Hofer, D. Schendel, Strategy formulation: analytical concepts, West Publishing, 1977 Commissione paritetica per la statuizione dei principi di revisione, Obiettivi e principi generali della revisione contabile del bilancio Committee of Sponsoring Organizations of the Treadway Commission Report (COSO), La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, Il sole 24 ore, Milano, 2006 Dipartimento di Economia Aziendale, Lezioni di economia aziendale, G. Giappichelli Editore, Torino, 2003 F. Bava, A. Devalle, Le relazioni al bilancio degli organi di controllo, Euroconference, Verona, 2009 F. Bava, Il controllo del sistema di controllo interno, Giuffrè editore, Milano, 2005 F. Culasso, Gestione del rischio e controllo strategico. Un’ottica sistemica aziendale, Giappichelli Editore, Torino, 2009 F. Culasso, Sistema – impresa e gestione per processi, Giappichelli Editore, Torino, 1999 F. Dezzani, P. Biancone, D. Busso, IAS/IFRS, Wolters Kluver Italia, 2010 F. Dezzani, Rischi e politiche d’impresa, Giuffrè editore, Milano, 1971 G. Bracchi, C. Francalanci, G. Motta, Sistemi informativi e aziende in rete, McGraw-Hill, 2001 G. Bracchi, G. Motta, Processi aziendali e sistemi informativi, Franco Angeli, 2001 G. Ferrero, F. Dezzani, P. Pisoni, L. Puddu, Analisi di bilancio e rendiconti finanziari, Giuffrè editore, Milano, 2006 G. Ferrero, Impresa e management, Giuffrè editore, Milano, 1980 G. Ferrero, Istituzioni di economia d’azienda, Giuffrè editore, Milano, 1980 295 Gazzetta Ufficiale della Comunità Europea Guida interpretativa AIIA 2100-3, Ruolo dell’internal auditing nel processo di Risk management Il sole 24 ore, La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, Milano, 2006 J. Hope, Reinventing the CFO. How financial managers can transform their roles and add greater value, Harvard business school press, Boston Massachusetts, 2006 K. Laudon, Management information systems, Prentice Hall, 2004 L. Brusa, Attuare e controllare la strategia aziendale. Mappa strategica e balanced scorecard, Giuffrè editore, Milano, 2007 M.E. Porter, Competitive advantage, The free press, 1985 P. Onida, Economia d’azienda, Utet, 1965 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il bilancio d’esercizio 2010. Principi, struttura e valutazioni, Euroconference editore, Verona, settembre 2009 P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano, 2007 PricewaterhouseCoopers, Decreto legislativo 231/2001. Indagine nell’ambito delle società quotate PricewaterhouseCoopers, Il controllo interno per l’attendibilità del financial reporting. Strumenti di riferimento per il management, COSO Committee of Sponsoring Organizations of the Tradeway Commission, Il sole 24 ore, Milano, 2008 PricewaterhouseCoopers, Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali, Il sole 24 ore, Milano, 2006 PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010 PricewaterhouseCoopers, PwC audit guide, 2010 PricewaterhouseCoopers, Quick wins 2008, 2008 R.A. Brealey, S.C. Myers, F. Allen, S. Sandri, Principi di finanza aziendale, McGrawHill, Milano, 2006 R.S. Kaplan, D.P. Norton, The balanced scorecard, Harvard Business School Press, 1996 S. Beretta, Valutazione dei rischi e controllo interno, Milano, Egea, 2004 The Committee of Sponsoring Organizations of the Treadway Commission, Internal control – Integrated framework, 1992 V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di controllo interno, Giuffrè editore, Milano, 2007 V. Cantino, Rischio di cambio, Giuffrè editore, Milano, 2000 W.M. Evan, A stakeholder approach on modern corporation: the kantian capitalism, 1984 296 Articoli: B. Santacroce, L'antiriciclaggio può coinvolgere i sindaci-revisori, Il sole 24 ore, 6 maggio 2010 L. De Angelis, C. Feriozzi, Principi internazionali come leggi, Italia oggi, 4 maggio 2010 M. Tidona, Il cash pooling tra le società appartenenti ad un gruppo, Milano, 16 dicembre 2000 P. Ceppellini, R. Lugano, Un voto all'attività del revisore, Il sole 24 ore, 13 maggio 2010 Sarbanes-Oxley Act e trasparenza in USA, 2 marzo 2004 Leggi: Art. 116 del D.Lgs. del 24 febbraio 1998, n.58 Art. 154 D. Lgs. N. 58/1998 Art. 155 TUIF Art. 156 comma 5 D.Lgs. 58/1998 Art. 159 D.Lgs. 58/1998 Art. 2 bis del Regolamento Consob 11971/1999, n. 14372 Art. 2082 Codice civile Art. 2247 Codice civile Art. 2328 Codice civile Art. 2403 bis Codice civile Art. 2409-bis Codice civile Art. 2409-octiesdecies Codice civile Art. 2409-ter Codice civile Art. 2409-terdecies Codice civile Art. 2423 bis Codice civile Art. 2423 Codice civile Art. 2423 ter Codice civile Art. 2424 Codice civile Art. 2425 Codice civile Art. 2426 Codice civile Art. 2427 bis Codice civile Art. 2427 Codice civile Art. 2428 Codice civile Art. 2429 Codice civile Art. 2435 bis Codice civile 297 Art. 2435 Codice civile Art. 2555 Codice civile Art. 4 Regolamento CE 1606/2002 Art. 5 Regolamento CE 1606/2002 Art. 9 Regolamento CE 1606/2002 Artt. 155, 165 e 165-bis del D.Lgs. 58/1998 Codice di autodisciplina in applicazione del D.Lgs. n. 24/2002 Comunicazione Consob n. DAC/99088450 del 1999 per le società quotate; D.Lgs. n. 32/2007 per le società non quotate D.Lgs. 173 del 26 maggio 1997 D.Lgs. 38/2005 D.Lgs. n. 231/2001 D.Lgs. n. 231/2007 D.Lgs. n. 262 del 28 dicembre 2005 D.Lgs. n. 58/1998 D.Lgs. n.39/2010 Decreto del Presidente della Repubblica n.136/1975, ormai abrogato e sostituito dal D.Lgs. 58/1998 Decreto della Giustizia, 16 aprile 2010 Legge delega n. 306/2003 Legge n. 123/2007 Legge Stati Uniti d’America del senatore P. Sarbanes, 30 luglio 2002 Punto A dell’allegato I del D.Lgs. del 17 marzo 1995, n. 174 Sarbanes-Oxley Act, 2002 Principi contabili: IAS 1 – Presentazione del bilancio IAS 16 – Immobili, impianti e macchinari IAS 2 – Rimanenze IAS 32 – Strumenti finanziari: esposizione in bilancio IAS 39 – Strumenti finanziari: rilevazione e valutazione IAS 8 – Principi contabili, cambiamenti nelle stime contabili e errori OIC 11 – Bilancio d’esercizio, finalità e postulati OIC 13 – Le rimanenze di magazzino OIC 14 – Disponibilità liquide 298 OIC 19 – Fondi per rischi e oneri, trattamento di fine rapporto di lavoro subordinato, i debiti OIC 26 – Operazioni e partite in moneta estera OIC 29 – Cambiamenti di principi contabili, cambiamenti di stime contabili, correzione di errori, eventi e operazioni straordinari, fatti intervenuti dopo la data di chiusura dell’esercizio Principi di revisione: Doc. 200 – Obiettivi e principi contabili della revisione contabile del bilancio ISA 220 – Quality control for an audit of financial statements ISA 240 – The auditor’s responsabilities relating to fraud in an audit of financial statements ISA 300 – Planning an audit of financial statement ISA 315 – Identifying and assessing the risks of material misstatement through understanding the entity and its environment ISA 320.10 – Materiality in planning and performing an audit ISA 450.5 – Evaluation of misstatements identified during the audit Principio di revisione n. 001, 2009, adottato da Consob con delibera n. 16801, 2009 Sitografia: www.anfao.it, sito ufficiale dell’Associazione nazionale dei fabbricanti di articoli ottici www.assirevi.it, sito ufficiale dell’Associazione italiana dei revisori contabili www.consob.it, sito della Commissione Nazionale per le Società e la Borsa www.deloitte.com, sito ufficiale della Società di revisione Deloitte & Touche www.economicamente.biz/?p=3173, che riporta un articolo riguardante la modalità di revisione della principale firm del settore, PricewaterhouseCoopers Spa www.ey.com, sito ufficiale della Società di revisione Ernst & Young www.irtop.com, sito che si occupa di tutte le news riguardanti gli investor relations www.kpmg.com, sito ufficiale della Società di revisione KPMG www.pc-facile.com, glossario informatico www.pwc.com, sito ufficiale della Società di revisione PricewaterhouseCoopers www.theiia.org, sito ufficiale dell’Istituto degli internal auditors www.wikipedia.com, enciclopedia telematica 299 Altre fonti: Circolare Assonime n. 16, “Il testo unico della revisione legale”, 3 maggio 2010 COSO Report 300