La revisione ed il sistema di controllo interno delle aziende: il

Transcript

UNIVERSITA’ DEGLI STUDI DI TORINO
FACOLTA’ DI ECONOMIA
TESI DI LAUREA
Marcello Donalisio
ANNO ACCADEMICO 2009 – 2010
0
UNIVERSITA’ DEGLI STUDI DI TORINO
FACOLTA’ DI ECONOMIA
CORSO DI LAUREA IN BUSINESS ADMINISTRATION
TESI DI LAUREA
TITOLO
LA REVISIONE ED IL SISTEMA DI CONTROLLO INTERNO
DELLE AZIENDE: IL RUOLO DELL’INTERNAL AUDITOR E
DEL CFO, LE LORO SPECIFICITA’ E LE LORO
RESPONSABILITA’. IL CASO: M SPA
Relatore:
Prof. Alain Devalle
Correlatore esterno:
Dott. Marco Ortalda
Candidato:
Marcello Donalisio
ANNO ACCADEMICO 2009/10
1
Ringraziamenti
Desidero innanzitutto ringraziare il Professor Alain Devalle per i preziosi insegnamenti
durante i due anni di laurea specialistica oltre che quelli della laurea triennale e le per
le numerose ore dedicate alla mia tesi.
Inoltre, ringrazio sentitamente il Dott. Marco Ortalda che è stato sempre disponibile a
dirimere i miei dubbi durante la stesura di questo lavoro.
Inoltre, vorrei esprimere la mia sincera gratitudine alla mia compagna di corso e di vita
Agnese per i numerosi consigli durante la ricerca.
Infine, ho desiderio di ringraziare con affetto i miei genitori, Angioletta e Silvio, e mio
fratello, Fabio, per il sostegno ed il grande aiuto che mi hanno dato ed in particolare per
essermi stati vicino ogni momento durante questo anno di lavoro ed i precedenti anni
della mia vita.
2
Indice
Introduzione _________________________________________________________7
1. I principi contabili italiani riferiti alle principali aree di criticità del bilancio IV
direttiva CEE _______________________________________________________14
1.1.
La situazione in Italia________________________________________________ 14
1.2.
I principi contabili introdotti dalla Comunità Europea: gli IAS/IFRS _________ 20
1.3. Le disponibilità liquide: il principio nazionale OIC 14 e quanto previsto dai
principi contabili internazionali IAS/IFRS ____________________________________ 24
1.3.1.
1.3.2.
Il principio nazionale OIC 14 _______________________________________________ 24
I principi contabili internazionali: il concetto di strumento finanziario ________________ 29
1.4. Le rimanenze di magazzino: il principio nazionale OIC 13 ed il principio contabile
internazionale IAS 2______________________________________________________ 35
1.4.1.
1.4.2.
Il principio nazionale OIC 13 _______________________________________________ 36
I principi contabili internazionali applicati alle rimanenze di magazzino: lo IAS 2 _______ 40
2.
I principi di revisione: il rischio del revisore nel giudizio di aree semplici ma
critiche ____________________________________________________________45
2.1.
Le società di revisione ed i principi di revisione _________________________ 45
2.2.
Spa
Un caso particolare di analisi: la società di revisione PricewaterhouseCoopers
__________________________________________________________________ 48
2.2.1.
2.3.
La PwC Audit Guide _____________________________________________________ 49
La PwC audit guide ed i test richiesti per la voce “Disponibilità liquide” _____ 50
2.3.1.
2.3.2.
2.3.3.
2.3.4.
Le riconciliazioni bancarie _________________________________________________ 50
Il cut-off delle banche_____________________________________________________ 54
La circolarizzazione delle banche ___________________________________________ 55
La conta di cassa________________________________________________________ 56
2.4. La PwC audit guide: i test richiesti per le rimanenze di magazzino per ottenere
conforto circa l’applicazione dei principi richiesti dalla legge ___________________ 58
2.4.1.
Le procedure d’inventario del cliente_________________________________________ 59
2.4.2.
Il programma dell’inventario________________________________________________ 60
2.4.3.
Il tracing _______________________________________________________________ 61
2.4.3.1.
Il bridging __________________________________________________________ 61
2.4.4.
Il cut off _______________________________________________________________ 62
3.
Le misure per la riduzione del rischio: gli strumenti utilizzati dal revisore
nell’analisi del cliente ________________________________________________64
3.1. L’approccio di audit utilizzato dalla società di revisione
PricewaterhouseCoopers _________________________________________________ 64
3.2.
Il concetto di rischio ________________________________________________ 69
3.2.1.
Il concetto di significatività – materialità di errore di bilancio_______________________ 72
3.2.1.1.
La overall materiality _________________________________________________ 74
3.2.1.2.
La performance materiality ____________________________________________ 75
3.2.1.3.
La de minimis SUD posting level ________________________________________ 76
3.2.2.
La rete dei processi ______________________________________________________ 78
3.2.2.1.
I controlli sulle applicazioni ____________________________________________ 81
3.2.2.2.
Obiettivi di controllo relativi alle transazioni ________________________________ 82
3.2.2.3.
Obiettivi di controllo relativi alle transazioni ________________________________ 83
3.2.2.4.
Controlli sui software utilizzati dalla società (ITGC)__________________________ 84
3
3.2.2.5.
3.2.2.6.
3.3.
I processi di controllo sulle disponibilità liquide _____________________________ 87
I processi di controllo sulle rimanenze di magazzino_________________________ 89
Gli strumenti utilizzati dal revisore per la valutazione del rischio ___________ 90
3.3.1.
La Business Analysis Framework (BAF) ______________________________________ 91
3.3.1.1.
Le analytical procedures ______________________________________________ 95
3.3.2.
La Audit Comfort Matrix (ACM) _____________________________________________ 96
3.3.3.
La Summary of Comfort (SOC) ____________________________________________ 100
3.4.
Le asserzioni di bilancio ____________________________________________ 102
3.4.1.
3.4.2.
3.5.
L’audit comfort cycle ____________________________________________________ 102
Le asserzioni __________________________________________________________ 104
La frode__________________________________________________________ 107
3.5.1.
3.5.2.
3.5.3.
La responsabilità del management aziendale _________________________________ 112
La responsabilità del revisore _____________________________________________ 113
La componente dello scetticismo professionale nel lavoro del revisore _____________ 115
3.6. Le novità della legislazione in ambito di revisione contabile: il Decreto
Legislativo n. 39/2010 ___________________________________________________ 116
4.
Il sistema di controllo interno utilizzato dalle imprese: il ruolo dell’internal
auditor e del CFO nell’organizzazione dei processi interni _________________122
4.1.
Il sistema di Corporate Governance __________________________________ 122
4.1.1.
4.1.2.
4.1.3.
4.2.
Il modello tradizionale ___________________________________________________ 124
Il modello monistico _____________________________________________________ 124
Il modello dualistico _____________________________________________________ 126
Il sistema informativo aziendale______________________________________ 126
4.2.1.
Il sistema informativo operativo ____________________________________________ 128
4.2.1.1.
Il sistema informativo operativo a supporto delle aree funzionali ______________ 129
4.2.1.2.
Il sistema informativo operativo a supporto dei processi _____________________ 130
4.2.1.2.1. Il sistema informativo operativo a supporto dei processi: il sistema informativo
legacy
_______________________________________________________________ 130
4.2.1.2.2. Il sistema informativo operativo a supporto dei processi: il sistema informativo
integrato o Enterprise Resource Planning _______________________________________ 131
4.3.
Il rischio in economia aziendale: il concetto di Enterprise Risk Management 133
4.3.1.
Il rischio nell’attività di impresa ____________________________________________ 133
4.3.2.
La gestione ed il controllo dei rischi aziendali: il risk management_________________ 136
4.3.2.1.
Definizione dell’ERM ________________________________________________ 136
4.3.2.1.1. Gli obiettivi aziendali ______________________________________________ 138
4.3.2.1.2. Le componenti del rischio __________________________________________ 138
4.3.2.1.3. I livelli organizzativi________________________________________________ 140
4.3.2.2.
Perché introdurre l’ERM in azienda _____________________________________ 140
4.3.2.3.
Principali tipologie di rischi aziendali ____________________________________ 141
4.4.
Il sistema di controllo interno nelle aziende ed i collegamenti con l’ERM____ 142
4.4.1.
Definizione ____________________________________________________________ 142
4.4.1.1.
Efficacia del sistema di controllo interno _________________________________ 145
4.4.2.
Ambiente di controllo ____________________________________________________ 146
4.4.2.1.
Integrità e valori etici ________________________________________________ 146
4.4.2.1.1. Consiglio di amministrazione o audit committee _________________________ 148
4.4.2.1.2. Struttura organizzativa _____________________________________________ 149
4.4.2.1.3. Attribuzione di poteri e responsabilità _________________________________ 149
4.4.2.1.4. Politiche e prassi di gestione delle risorse umane ________________________ 151
4.4.2.2.
Valutazione _______________________________________________________ 151
4.4.3.
Risk assessment _______________________________________________________ 152
4.4.3.1.
Definizione degli obiettivi _____________________________________________ 152
4.4.3.2.
Identificazione degli eventi ____________________________________________ 155
4.4.3.3.
Valutazione del rischio _______________________________________________ 158
4
4.4.4.
Attività di controllo ______________________________________________________ 160
4.4.4.1.
Risposta al rischio __________________________________________________ 160
4.4.4.2.
Le attività del controllo interno _________________________________________ 162
4.4.5.
Informazioni e comunicazione _____________________________________________ 167
4.4.5.1.
La comunicazione interna ____________________________________________ 170
4.4.5.2.
La comunicazione esterna ____________________________________________ 171
4.4.6.
Monitoraggio __________________________________________________________ 172
4.4.7.
Limiti del controllo interno ________________________________________________ 174
4.4.8.
Rapporto costi-benefici __________________________________________________ 176
4.5.
Il sistema di controllo nell’economia aziendale _________________________ 178
4.5.1.
Act
4.6.
L’evoluzione dell’ERM e del sistema di controllo interno negli Stati Uniti: il Sarbanes-Oxley
_____________________________________________________________________ 181
Le principali figure preposte ai sottosistemi di controllo aziendale in Italia __ 183
4.6.1.
Il decreto legislativo n. 58/1998: l’introduzione della figura dell’internal auditor _______ 184
4.6.2.
La legge n. 262 del 28 dicembre 2005: l’introduzione della figura del Dirigente preposto188
4.6.2.1.
Il ruolo della funzione amministrazione, finanza e controllo __________________ 190
4.6.2.2.
Il CFO come analista e consulente interno aziendale _______________________ 194
4.6.2.3.
Il CFO come misuratore delle performance e regolatore delle funzioni del
management addetto alla funzione di gestione amministrativa-contabile-finanziaria ________ 196
4.6.2.4.
Il CFO come regolatore del rischio _____________________________________ 198
4.6.3.
L’Organismo di vigilanza introdotto dalla legge 231/2001________________________ 199
5.
Il caso aziendale: la società M Spa ________________________________203
5.1.
La società ________________________________________________________ 203
5.1.1.
Market overview________________________________________________________ 203
5.1.1.1.
Regulatory environment ______________________________________________ 204
5.1.1.2.
Macroeconomic environment __________________________________________ 209
5.1.2.
Strategy ______________________________________________________________ 212
5.1.3.
Value creating activities __________________________________________________ 213
5.1.4.
Financial performances __________________________________________________ 215
5.2.
Il rischio di frode __________________________________________________ 216
5.2.1.
5.2.2.
Considerazione dei fattori che portano a rischio di frode ________________________ 216
Analisi del sistema di controllo interno della società ____________________________ 217
5.3. La valutazione del sistema di controllo interno della società ed i relativi processi
che alimentano i principali cicli aziendali ___________________________________ 219
5.3.1.
Il processo del ciclo attivo ________________________________________________ 221
5.3.1.1.
Il sistema informativo adottato dalla società ______________________________ 228
5.3.2.
Il processo del ciclo passivo ______________________________________________ 232
5.3.3.
Il processo della tesoreria ________________________________________________ 237
5.3.4.
Il processo del magazzino ________________________________________________ 242
5.3.4.1.
Descrizione inventory process _________________________________________ 242
5.3.4.2.
Ricevimento della merce _____________________________________________ 247
5.3.4.3.
Movimentazioni interne ______________________________________________ 251
5.3.4.4.
Le uscite di magazzino e le vendite _____________________________________ 252
5.4. La valutazione da parte dell’auditor esterno dei principali rischi dopo la
valutazione dei processi aziendali: la costruzione dell’Audit Comfort Matrix ______ 254
5.4.1.
I test di dettaglio dell’auditor esterno ________________________________________ 258
5.4.1.1.
I test sul ciclo attivo _________________________________________________ 258
5.4.1.1.1. Le substantive analytical procedures __________________________________ 258
5.4.1.1.2. Il fondo svalutazione crediti _________________________________________ 261
5.4.1.2.
I test sul ciclo passivo _______________________________________________ 263
5.4.1.2.1. La circolarizzazione dei fornitori______________________________________ 263
5.4.1.2.2. Merci in viaggio __________________________________________________ 265
5.4.1.2.3. Cut off acquisti ___________________________________________________ 267
5.4.1.2.4. Test passività non registrate ________________________________________ 268
5
5.4.1.2.5. Test fatture da ricevere ____________________________________________ 269
5.4.1.3.
I test sul ciclo del magazzino __________________________________________ 270
5.4.1.3.1. L’inventario fisico _________________________________________________ 270
5.4.1.3.2. La valorizzazione delle materie: esempio delle materie prime ______________ 275
5.4.1.3.3. L’obsolescenza di magazzino: l’esempio sui prodotti finiti__________________ 277
5.4.1.4.
I test sul ciclo finanziario _____________________________________________ 280
5.4.1.4.1. Analisi della fluttuazione dei finanziamenti passivi _______________________ 280
5.4.1.4.2. Check del costo ammortizzato sui finanziamenti _________________________ 282
5.4.1.4.3. Covenants sui finanziamenti passivi __________________________________ 284
5.5.
6.
Il caso di frode ____________________________________________________ 286
Conclusioni___________________________________________________293
Bibliografia ________________________________________________________295
6
Introduzione
Le aziende sono un “complesso dei beni organizzati dall’imprenditore per l’esercizio
dell’impresa”1. La definizione di azienda differisce sostanzialmente da quella di impresa
e di società. L’impresa è infatti “l’esercizio professionale di una attività economica
organizzata al fine dello scambio di beni e servizi”2. Il termine società indica invece il
contratto con cui “due o più persone conferiscono beni o servizi per l’esercizio in
comune di un’attività economica”3.
Ad ogni modo, esse sono organizzazioni di persone e di beni economici, che,
attraverso una serie coordinata di operazioni, mirano al soddisfacimento dei bisogni
umani.
Nel corso di questa ricerca il candidato si propone di analizzare quello che è un aspetto
rilevante di tali entità: il sistema di controllo interno che esse adottano per analizzare
l’ambiente in cui le imprese operano ed il modo in cui gestiscono i vari rischi aziendali.
Tutte le imprese condividono alcune caratteristiche che le accomunano. Innanzitutto
esse sono un insieme di elementi diversi ed interrelati tra loro ed appaiono, per quanto
di piccole dimensioni siano, un’entità complessa. L’impresa è quindi un sistema
formato dagli elementi che lo compongono e dalle relazioni che esistono tra tali
elementi4. Inoltre le imprese hanno il medesimo fine di realizzare e vendere un prodotto
ad un cliente e vivono solamente attraverso una serie continua di scambi con
l’ambiente circostante: è per tale ragione che le imprese sono dei sistemi aperti (cioè
un insieme di elementi integrati ed interdipendenti in costante rapporto di scambio con
l’ambiente esterno).
Le imprese raggruppano differenti aspetti organizzativi e sono la rappresentazione
dell’evoluzione storica delle metodologie organizzative applicate alla realtà. In base alla
tipologia di organizzazione dei diversi aspetti aziendali, ciascuna impresa differisce
dalle altre per adattarsi a quelle che sono le condizioni ambientali presenti nel contesto
economico di riferimento ed in base anche alla grandezza (tale indice viene misurato in
termini di espansione territoriale oltre che di influenza sull’ambiente economico
1
Definizione art. 2555 Codice civile
3
4
Dipartimento di Economia Aziendale, Lezioni di economia aziendale, G. Giappichelli Editore, Torino,
2003
2
7
circostante). In particolare per ambiente economico si intende tutto quanto circonda
l’azienda che influisce sulla sua struttura e sul suo comportamento, cioè sui suoi
elementi costitutivi e sulla sua attività5.
Le aziende al fine di adeguarsi e muoversi più agevolmente nell’ambiente economico in
cui operano hanno adottato modelli organizzativi differenti: storicamente il primo
modello, quello più naturale, prevede la divisione dei compiti tra le diverse funzioni
aziendali, nelle quali viene posto personale specializzato6.
Questa suddivisione rappresenta un modo naturale di interpretare il funzionamento
dell’impresa, pensando cioè alle sue funzioni fondamentali, definite anche come “aree
funzionali”.
La ripartizione funzionale raggruppa diversi vantaggi. I più importanti sono i seguenti:
 Raggruppamento di risorse omogenee nella medesima unità organizzativa
(maggiore specializzazione);
 Sfruttamento delle economie di scala in ciascuna funzione (maggior efficienza).
Vi sono anche però due svantaggi che rappresentano i punti di debolezza
dell’organizzazione per funzioni:
 Scarsa attenzione all’unitarietà aziendale e conseguente esclusiva enfasi sui
risultati di funzione (si rischia di perdere di vista la soddisfazione del cliente, che
rappresenta l’obiettivo di lungo periodo dell’azienda  scarsa efficacia);
 Inelasticità rispetto ai mutamenti ambientali e scarsa innovazione per
sovraccarico della gerarchia (scarsa flessibilità).
L’evoluzione ha invece portato ad una gestione di carattere più procedurale: infatti
l’obiettivo finale complessivo e non quello della singola funzione permette un maggiore
coordinamento ed il perseguimento di un comune obiettivo.
L’organizzazione per processi permette di seguire, monitorare e gestire l’intero flusso
delle attività che compongono il processo stesso e l’utilizzo delle risorse che, dato un
5
L’ambiente si divide in particolare in due livelli di analisi differenti:
 L’ambiente generale, che è l’ambiente del sistema Paese in cui l’azienda ha sede e
principalmente opera;
 L’ambiente specifico, che rappresenta il contesto più particolare e ristretto entro cui opera ogni
singola impresa ed è rappresentato tipicamente dal settore e dal mercato in cui ciascuna
impresa esercita la propria attività.
6
F. Culasso, Sistema – impresa e gestione per processi, Giappichelli Editore, Torino, 1999
8
certo input iniziale, portano alla realizzazione di un output, oggetto di scambio (interno
o esterno) e come tale di valore per il cliente7.
Il funzionamento corretto dei processi consente infatti di soddisfare le attese del cliente
(con conseguente creazione di valore8 e soddisfacimento delle attese degli azionisti) e
permette un maggiore coordinamento tra le diverse attività dell’azienda, che comporta
una maggiore flessibilità organizzativa (gli svantaggi presentati dal modello funzionale
vengono quindi coperti dall’adozione di una organizzazione incentrata sui processi, se
ben implementata).
Il modello di gestione dell’impresa per processi è spesso accompagnato da
metodologie di misurazione di performance e di raggiungimento degli obiettivi. Tali
metodologie hanno permesso l’introduzione in azienda di strumenti molto utili alle
finalità dell’organizzazione dei processi e, quindi, del soddisfacimento finale delle
attese degli stakeholders9.
Il più importante strumento utilizzato dalle aziende per ottenere misurazioni di
performance e definizione degli obiettivi è la balanced scorecard. Tale strumento
permette di misurare i flussi di cassa con opportuni indicatori in modo da fissare dei
target e misurare i corrispondenti risultati10.
Ritornando al concetto di funzioni, la presente ricerca si propone di analizzare ciò che
perlopiù concerne la funzione amministrazione e controllo nelle società e quindi il
processo di formazione dell’informativa di bilancio.
La funzione amministrativa in senso stretto si occupa di tutto ciò che riguarda la tenuta
della contabilità ed i relativi adempimenti, disciplinati dalle leggi civili e dalle norme
fiscali. Il suo compito principale è la produzione di informazioni, economico – finanziarie
ma anche di altra natura, rivolte agli stakeholder (portatori di interesse come in
precedenza definiti) dell’azienda. Il controllo riguarda invece per un lato l’accertamento
7
Appare necessario in questa sede distinguere tra utile d’esercizio e creazione di valore: il primo è la
differenza tra ricavi e costi, qualora positiva, che si deduce dal prospetto di Conto Economico d’Esercizio
e che riguarda quindi una grandezza creata riguardante il breve periodo (grandezza flusso creata negli
ultimi 12 mesi); la seconda è la grandezza che riguarda la formazione di ricchezza, duratura nel tempo,
che garantisce sviluppo e sopravvivenza e che riguarda grandezze non esclusivamente monetarie
9
Con tale termine vengono individuati i soggetti portatori di interessi nei confronti di un’iniziativa
economica (ad esempio clienti, fornitori, banche, azionisti, ecc.) (come definito in W.M. Evan, A
stakeholder approach on modern corporation: the kantian capitalism, 1984)
10
L. Brusa, Attuare e controllare la strategia aziendale. Mappa strategica e balanced scorecard, Giuffrè
editore, Milano, 2007; R.S. Kaplan, D.P. Norton, The balanced scorecard, Harvard Business School
Press, 1996
8
9
che la gestione aziendale si svolga in condizioni di efficienza ed efficacia,
coerentemente con gli obiettivi esplicitati in sede di pianificazione strategica (controllo
di gestione), e dall’altro il monitoraggio del sistema organizzativo interno, il suo corretto
funzionamento per garantire un flusso informativo veritiero e per essere compliante con
quanto richiesto dalle leggi e la sua eventuale implementazione (internal audit)11.
La figura e l’importanza della funzione amministrazione e controllo è stata in parte
“svalutata” nel corso degli ultimi anni per via della non corretta informativa fornita da
alcune aziende a causa di dirigenti aziendali non all’altezza del loro ruolo e a situazioni
di frode occorse per via delle scarse misure anti-frode e gli scarsi controlli interni posti
in essere. Tale argomento è diventato attuale e molto importante ai fini della
rappresentazione corretta e veritiera del bilancio d’esercizio12.
Pertanto è diventato di fondamentale importanza porre all’interno delle imprese un
sistema di adeguato monitoraggio del rischio.
Con la parola rischio si vuole indicare la distribuzione dei possibili scostamenti dai
risultati attesi per effetto di eventi di incerta manifestazione, interni o esterni al sistema
aziendale13. Il rischio in economia aziendale condiziona la sopravvivenza delle imprese
e va quindi gestito con le più opportune politiche.
Nella storia più recente delle imprese sono stati peraltro diffusi diversi fattori che hanno
provocato eclatanti danni agli investitori (ad esempio un sistema di controllo interno
non adeguato, flussi informativi non gestiti nella maniera corretta, …). I fattori che
hanno permesso lo sviluppo del rischio sono differenti, a partire dal sistema
macroeconomico (globalizzazione, crisi finanziarie, ...). Si è reso quindi necessario
l’intervento da parte delle istituzioni politiche per definire nuove regole in tema di
Corporate Governance e di controllo interno. Si sono quindi diffusi nel mondo diversi
interventi normativi, tra i quali il COSO Report (1992) e la legge Sarbanes – Oxley Act
(SOX USA – 2002), che riguardano l’informativa su risk management e l’introduzione
della
responsabilità
penale
per
l’Amministratore
delegato
ed
il
Direttore
14
Amministrativo . Con questa legge viene inoltre aumentata la responsabilità degli
11
Dipartimento di Economia Aziendale, Lezioni di economia aziendale, G. Giappichelli Editore, Torino,
2003
12
Come richiesto dal Codice civile italiano che, al secondo comma, cita: “Il bilancio deve essere redatto
con chiarezza e deve rappresentare in modo veritiero e corretto la situazione patrimoniale e finanziaria
della società e il risultato economico dell’esercizio”
13
F. Culasso, Gestione del rischio e controllo strategico. Un’ottica sistemica aziendale, Giappichelli
Editore, Torino, 2009
14
Legge Stati Uniti d’America del senatore P. Sarbanes, 30 luglio 2002
10
auditor esterni delle aziende e viene intensificata la necessità di monitorare e separare
i loro servizi tra consulenza e revisione, viene inoltre creato un board indipendente che
si occupi del monitoraggio delle società di revisione, viene prevista la certificazione da
parte del senior corporate management della veridicità del bilancio annuale e delle
relazioni finanziarie delle società quotate e viene prevista la full disclosure15 delle
transazioni off-balance sheet e di altre obbligazioni che possono influenzare e
mistificare le condizioni finanziarie della corporation16.
Gli interventi normativi sono stati presenti anche in Italia ed i più importanti sono:
 Legge Draghi (1998), che riguarda il sistema di controllo interno ed il Collegio
sindacale delle società quotate17;
 Responsabilità penale degli enti (2001), che riguarda i modelli di organizzazione
e di controllo interno18;
 Riforma del risparmio (2005), che riguarda l’introduzione nelle aziende della
figura del Dirigente Preposto alla redazione dei documenti contabili e societari
(CFO)19;
 D.Lgs. n. 39 del 27 gennaio 2010 (si veda il capitolo 3 per un maggiore
approfondimento circa tale argomento).
Le disposizioni legislative appena citate non prevedono nessun obbligo di introduzione
all’interno dei sistemi aziendali di alcun controllo. Laddove però la realtà, vista la
dimensione, il contesto e la quantità di flussi informativi, richiedesse un sistema più
complesso ed articolato al fine di prevenire i possibili rischi di informativa errata,
l’impresa deve implementare un sistema di controllo interno adeguato. Per
un’approfondita analisi sulle richieste delle leggi e sugli adempimenti di grandi realtà
aziendali oltre che sull’eventualità di non essere compliante con un adeguato sistema
di controllo interno, si rimanda al capitolo quarto della trattazione.
Il presente lavoro si propone quindi di analizzare il sistema di controllo interno posto in
essere da imprese di grandi dimensioni per cercare di comprendere come il flusso
15
Con tale termine si vuole indicare che tutte le transazioni off-balance sheet e tutte le informazioni che
potrebbero influenzare le condizioni finanziarie della società dovranno essere rese pubbliche sia nelle
relazioni annuali che in quelle semestrali
16
Articolo del 2 marzo 2004, Sarbanes-Oxley Act e trasparenza in USA, pubblicato su sito internet
www.irtop.com, sito che si occupa di tutte le news riguardanti gli investor relations
17
Fonte D.Lgs. n. 58/1998
18
19
Fonte Legge n. 262/2005
11
informativo possa ritenersi quello corretto ed il sistema di controllo interno in base alla
specifica legislazione di settore.
La comparazione del sistema di controllo interno delle imprese viene contrapposto
nell’analisi al controllo esterno posto in essere dalle società di revisione dei conti.
Queste società devono essere iscritte in un apposito Albo tenuto dalla Consob20 ed
hanno il compito di controllare la regolare tenuta della contabilità sociale e la corretta
registrazione dei fatti di gestione nelle scritture contabili, informando senza indugio il
Collegio sindacale e la Consob (ove applicabile) dei fatti che ritenga censurabili,
nonché quello di verificare che il Bilancio d’esercizio, e l’eventuale Bilancio consolidato,
corrispondano alle risultanze delle scritture contabili e alle norme che li disciplinano21.
La società di revisione riceve l’incarico dall’Assemblea dei Soci previo parere del
Collegio sindacale22. L’incarico dura tre esercizi e non può essere rinnovato più di due
volte alla stessa società, qualora si tratti di revisione obbligatoria ad una società
quotata23, mentre può essere rinnovato ogni tre esercizi senza limiti per gli incarichi di
revisione volontaria24. L’incarico può comunque essere revocato prima della scadenza
prevista nel solo caso in cui ricorra una giusta causa (sempre previo parere del
Collegio sindacale).
Al termine di ogni esercizio la società di revisione esprime un giudizio sul Bilancio che
viene formalizzato in una apposita relazione. Tale documento viene allegato al Bilancio
e depositato presso la sede della società durante i 15 giorni che precedono
l’Assemblea che approva il Bilancio e finchè il medesimo non è approvato25.
Il presente lavoro si propone quindi altresì di confrontare le tecniche usate dal revisore
esterno per ottenere assurance sulle informazioni con quella dell’ente interno
all’azienda preposto alla verifica del sistema di controllo interno.
L’analisi di specifici casi aziendali aiuterà nella comprensione delle differenze, delle
peculiarità e della metodologia di controllo al fine di garantire una corretta emissione
20
Commissione Nazionale per le Società e la Borsa, istituita con la legge n. 216 del 7 giugno 1974, è
un’autorità amministrativa indipendente, dotata di personalità giuridica e piena autonomia con la legge
281 del 1985, la cui attività è rivolta alla tutela degli investitori, all’efficienza, alla trasparenza e allo
sviluppo del mercato mobiliare italiano (fonte sito internet www.consob.it, sito della Commissione
Nazionale per le Società e la Borsa)
21
Commissione paritetica per la statuizione dei principi di revisione, Obiettivi e principi generali della
revisione contabile del bilancio
22
Fonte art. 159 D.Lgs. 58/1998
23
Fonte art. 155 TUIF
24
Fonte art. 2409-bis e 2409-ter Codice civile
25
Fonte art. 156 comma 5 D.Lgs. 58/1998
12
dell’informativa di bilancio nei confronti di un mercato sempre più attento al rispetto
delle leggi da parte delle organizzazioni ed alle certificazioni esterne oltre che a sistemi
di controllo interni che garantiscano la correttezza dei flussi informativi che risultano
importanti per gli investitori esterni per diverse finalità.
13
1. I principi contabili italiani riferiti alle principali aree di criticità del
bilancio IV direttiva CEE
1.1.
La situazione in Italia
La legislazione italiana prevede che per la redazione del Bilancio d’esercizio e di quello
consolidato (e quindi per l’emissione di informativa da parte delle società verso
l’esterno) vada utilizzato quanto previsto dal Codice civile agli art. 2423 e seguenti, sino
all’art. 2435 bis. Le norme del Codice civile relative alla redazione del Bilancio
d’esercizio definiscono i seguenti aspetti:
 Le finalità del Bilancio d’esercizio, che rappresentano le linee guida che devono
orientare gli amministratori nella redazione del Bilancio d’esercizio. Esse dettano
le regole generali e sono sovraordinate rispetto a tutte le altre regole relative al
bilancio;
 I principi di redazione, che rappresentano orientamenti di carattere più tecnico
relativi alla redazione del Bilancio d’esercizio;
 I principi contabili, che rappresentano norme tecnico-applicative per la
rilevazione delle operazioni di gestione, per la redazione degli schemi di bilancio
e per la valutazione degli elementi patrimoniali attivi e passivi. Essi consentono
l’applicazione pratica delle finalità e dei principi di redazione del Bilancio
d’esercizio.
All’art. 2423 del Codice civile prevede che “gli amministratori debbano redigere il
bilancio di esercizio, costituito dallo stato patrimoniale, dal conto economico e dalla
nota integrativa. Il bilancio deve essere redatto con chiarezza e deve rappresentare in
modo veritiero e corretto la situazione patrimoniale e finanziaria della società e il
risultato economico dell’esercizio. […]”26.
Il postulato della chiarezza implica la redazione del Bilancio d’esercizio in una forma
tale da rendere agevole la lettura delle informazioni contenute nel bilancio stesso. Il
rispetto degli schemi di Bilancio che prevedono l’iscrizione nell’ordine indicato dagli art.
26
Fonte art. 2423 Codice civile. Si precisa inoltre che vengono riportati solo gli stralci degli articoli
considerati importanti ai fini dell’analisi
14
2424 (Stato patrimoniale) e 2425 (Conto economico) e separata delle voci27 oltre che il
divieto di compensazione delle partite28, consente agli schemi di esplicare per intero la
capacità informativa relativamente alla rappresentazione della situazione patrimoniale
e finanziaria della società e al risultato d’esercizio.
Il postulato della rappresentazione veritiera e corretta implica invece attendibilità del
Bilancio d’esercizio e si riferisce alla rappresentazione della situazione patrimoniale e
finanziaria e del risultato economico dell’impresa. Per rappresentazione veritiera non
significa pretendere dai redattori del bilancio l’esposizione di una verità oggettiva,
impossibile da raggiungere con riferimento ai valori stimati29. Al contrario l’aggettivo
veritiero obbliga i redattori del bilancio ad operare correttamente le stime ed a
rappresentare adeguatamente il risultato di tali stime.
Le finalità del bilancio costituiscono le linee guida per la redazione del Bilancio
d’esercizio e prevedono l’obbligo di derogare alle norme specificatamente previste
qualora, in casi eccezionali30, l’applicazione di una delle norme non consenta una
rappresentazione veritiera e corretta31. L’eventuale utilizzo della deroga deve
comunque essere motivato in Nota integrativa, all’interno della quale devono essere
anche indicati gli effetti sulla rappresentazione della situazione patrimoniale, finanziaria
e del risultato economico32.
All’art. 2423 bis vengono invece riportati i principi di redazione del bilancio, che sono il
principio della continuità, della prudenza, della competenza, della valutazione separata
27
Il raggruppamento delle voci si ha nel momento in cui due o più voci previste dagli schemi vengono
sostituite da una sola voce. L’art. 2423 ter consente il raggruppamento di voci solo qualora l’importo delle
voci sia irrilevante ai fini della chiarezza o quando il raggruppamento favorisca la chiarezza (in questo
secondo caso è necessario indicare in Nota integrativa distintamente le voci oggetto del
raggruppamento)
28
Esso consiste nella somma algebrica di elementi di segno contabile opposto. Esso può essere inteso
in senso contabile (compensazione di valori di segno contabile opposto) o in senso giuridico
(compensazione di voci previste per legge all’attivo e al passivo dello Stato patrimoniale o in diverse
poste del Conto economico). Ai fini del rispetto del postulato della chiarezza è rilevante il solo compenso
di partite in senso giuridico
29
Si pensi ad esempio ai fondi per accantonamenti di vario genere esposti in bilancio: essi sono per
definizione delle poste valutative, per i quali la legge non detta criteri di valutazione specifici per gli
accantonamenti, nella valutazione dei quali occorre quindi tenere presente i principi generali del bilancio
(ref. Principio contabile italiano n. 19)
30
Ad esempio costituisce caso eccezionale il terreno la cui destinazione viene variata dal piano
regolatore da agricola ad edificabile, con conseguente incremento sostanziale del valore di iscrizione in
bilancio del terreno
31
Fonte art. 2423 Codice civile, quarto comma
32
Va specificato inoltre che gli utili derivanti dall’applicazione della deroga non sono distribuibili se non in
misura corrispondente dal valore recuperato dall’eventuale alienazione
15
degli elementi eterogenei delle singole voci e della costanza dei criteri di valutazione33
34
.
Nello specifico, il principio della continuità prevede che con il termine Bilancio
d’esercizio ci si riferisca al bilancio di una impresa in funzionamento e che nella
valutazione degli elementi del patrimonio sia necessario tener conto della prospettiva
della continuazione dell’attività35. Non è possibile continuare ad utilizzare le regole del
Bilancio d’esercizio quando nell’impresa viene meno il presupposto della continuità
aziendale36.
Il principio della prudenza è invece volto ad evitare che la valutazione delle attività e
delle passività porti a sopravvalutazioni del reddito e del patrimonio37. E’ quindi
necessaria l’iscrizione in bilancio di tutte le perdite, anche se solo presunte, e di tutti i
rischi prevedibili e la non iscrizione in bilancio degli utili non ancora realizzati.
Il principio della competenza è diretto alla determinazione del reddito prodotto
nell’esercizio come differenza tra il flusso dei ricavi ed il flusso dei costi relativi alla
gestione, indipendentemente dalla loro manifestazione numeraria. Per quanto riguarda
i ricavi, essi si considerano economicamente conseguiti nel periodo amministrativo in
cui è stato completato il processo produttivo dei beni o dei servizi ed è avvenuto lo
scambio cono terze economie38. Nel caso in cui i ricavi si riferiscano a due o più
esercizi è necessario effettuarne una ripartizione tra i vari periodi amministrativi.
I costi devono essere invece imputati nell’esercizio in cui i relativi fattori produttivi
hanno concorso alla determinazione dei ricavi, in quanto essi sono remunerazione di
fattori produttivi e pertanto vanno registrati nell’esercizio ove hanno ceduto la loro
utilità: si parla infatti di correlazione tra ricavi e costi iscritti in Conto economico. La
correlazione può essere effettuata per associazione di causa ad effetto (quando è
33
Il principio contabile italiano n. 11 (Bilancio d’esercizio: finalità e postulati) individua ulteriori principi di
redazione quali la neutralità, la significatività e la rilevanza, la verificabilità dell’informazione e la
prevalenza della sostanza sulla forma. In particolare quest’ultima voce implica che la rappresentazione
delle operazioni avvenga a prescindere dagli aspetti formali/giuridici e che al contrario si basi
esclusivamente su quelli sostanziali
34
Fonte art. 2423 bis Codice civile
35
Ad esempio non è possibile valutare i beni strumentali al valore di realizzo diretto sul mercato, in
quanto essi verranno realizzati indirettamente attraverso i ricavi di vendita dei beni
36
In tali casi risulta necessario redigere il Bilancio d’esercizio utilizzando i criteri propri dei Bilanci di
liquidazione
37
P. Pisoni, F. Bava, D. Busso, A. Devalle, Il bilancio d’esercizio 2010. Principi, struttura e valutazioni,
Euroconference editore, Verona, settembre 2009
38
Fonte Principio italiano n. 11 (Bilancio d’esercizio: finalità e postulati); per tale principio, lo scambio si
considera effettuato per i beni al momento della consegna o della spedizione, mentre, per quanto
riguarda i servizi, il momento dello scambio coincide con l’effettuazione della prestazione
16
possibile identificare il momento in cui il fattore produttivo cede la propria utilità,
trasformandosi in beni o in servizi) o sulla base di una ripartizione (ogni qual volta il
fattore produttivo cede la sua utilità in più esercizi).
In taluni casi può non essere possibile una correlazione con i ricavi (ad esempio costi
per ricerche capitalizzati ed iscritti tra le immobilizzazioni immateriali ma non più in
grado di cedere utilità); in questi casi il costo va iscritto nel conto economico
dell’esercizio nel quale ci si rende conto della cessazione dell’utilità.
Il principio della valutazione separata degli elementi eterogenei ricompresi nelle singole
voci è invece volto ad evitare che vengano effettuate compensazioni tra utili non
realizzati relativi ad alcuni elementi del patrimonio aziendale e perdite presunte relative
ad altri elementi patrimoniali.
Infine il principio della costanza dei criteri di valutazione degli elementi patrimoniali
prevede che essi non possono essere modificati da un esercizio all’altro se non in casi
eccezionali, motivando l’applicazione della deroga in Nota integrativa oltre che
l’influenza del cambiamento del criterio di valutazione sulla situazione patrimoniale e
finanziaria e sul risultato economico.
Figura 1.1 - Esempio di cambiamento del criterio di valutazione del magazzino, con il
passaggio dalla valutazione delle rimanenze con il metodo LIFO a quella
con il metodo FIFO39
Storico acquisti materie prime società che compongono la valutazione a LIFO
0,86 Indice di conversione LT to KG
Data
LT
KG
Prodotto
PZ/LT
PZ/KG
costo acq €/Lt
costo acq €/Kg
9-set-97
14.970
12.874
Gasolio
0,372
0,433 5.574
5.574
6-ott-97
16.929
14.559
Gasolio
0,367
0,427 6.210
6.210
13-nov-97
16.615
14.289
Gasolio
0,362
0,421 6.021
6.021
4-dic-97
17.063
14.674
Gasolio
0,354
0,412 6.047
6.047
14-gen-98
16.556
14.238
Gasolio
0,366
0,426 6.059
6.059
16-gen-98
16.356
14.066
Gasolio
0,365
0,45 5.973
5.973
22-feb-98
16.878
14.515
Gasolio
0,355
0,413 5.995
5.995
28-apr-98
16.674
14.340
Gasolio
0,378
0,440 6.309
6.309
5-mag-98
16.597
14.273
Gasolio
0,373
0,434 6.194
6.194
18-lug-98
16.200
13.932
Gasolio
0,439
0,510 7.109
7.109
4-ago-98
16.810
14.457
Gasolio
0,429
0,499 7.215
7.215
29-set-98
17.304
14.881
Gasolio
0,445
0,518 7.704
7.704
39
Per la spiegazione di tali criteri di valutazione delle rimanenze di magazzino, si veda il paragrafo 1.4.
Le rimanenze di magazzino: il principio nazionale OIC 13 ed il principio contabile internazionale IAS 2
17
22-ott-98
17.309
14.886
Gasolio
0,427
0,497 7.394
7.394
24-nov-98
16.615
14.289
Gasolio
0,408
0,475 6.786
6.786
28-dic-98
17.307
14.884
Gasolio
0,399
0,464 6.902
250.183
215.157
Totale
97.492
56.228 kg
Quantità alla data di chiusura dell'esercizio
Valutazione LIFO
12874 * 0,433 +
14559 * 0,427 +
14289 * 0,421 +
14506 * 0,412 =
23.781
Valutazione FIFO
6.902
97.492
Il magazzino risulta iscritto in bilancio in base
al valore rimanenze dei primi acquisti effettuati
Valore magazzino in € al 31 dicembre 1998
14884 * 0,464 +
14289 * 0,475 +
Il magazzino risulta iscritto in bilancio in base
al valore rimanenze degli ultimi acquisti
effettuati
14886 * 0,497 +
12169 * 0,518 =
27.386
§
Valore magazzino in € al 31 dicembre 1998
§
TM:
§ Si rimanda al paragrafo 1.4. Le rimanenze di magazzino: il principio nazionale OIC 13 ed il principio
contabile internazionale IAS 2 per una spiegazione circa le differenze a SP e CE delle valutazioni con il
criterio LIFO e FIFO
Fonte: elaborazione propria su dati inventati
Mantenere costanti i criteri di valutazione permette di evitare di utilizzare il
cambiamento dei criteri di valutazione come mezzo per effettuare politiche di bilancio.
Il cambiamento di un criterio di valutazione deve essere applicato retroattivamente40.
Ciò significa che il nuovo principio contabile trova applicazione an
anche su fatti ed
operazioni avvenuti negli esercizi precedenti a quello in cui interviene il cambiamento
come se il nuovo principio fosse stato sempre applicato. L’applicazione retrospettiva
comporta la necessità di determinare l’effetto cumulativo derivante
derivante dal cambiamento di
principio all’inizio dell’esercizio che deve essere iscritto come provento o onere
nell’area straordinaria (si rimanda al
a sottoparagrafo numero 1.4.1. Il principio n
nazionale
OIC 13 ed in particolare all’Esempio
all’
1.1 - Passaggio da LIFO a FIFO per prendere
visione dell’esempio relativo al cambiamento della valutazione delle rimanenze con
relativo
effetto
cumulativo
derivante
dal
cambiamento
di
principio
all’inizio
dell’esercizio).
40
Fonte Principio
rincipio contabile italiano n. 29: Cambiamenti di principi contabili, cambiamenti di stime
contabili, correzione di errori, eventi e operazioni straordinari, fatti intervenuti dopo la data di chiusura
dell’esercizio
18
Al terzo livello nelle norme che regolano la redazione del bilancio d’esercizio si
collocano i principi contabili, ovvero le regole per la formazione del Bilancio d’esercizio
che trovano il fondamento logico nei postulati del Bilancio d’esercizio. I principi contabili
riguardano l’intero processo formativo del Bilancio d’esercizio: essi possono pertanto
avere ad oggetto la rilevazione contabile delle operazioni di gestione, la redazione del
Bilancio d’esercizio, la valutazione delle attività e delle passività costituenti il patrimonio
di bilancio. I principi contabili sono oggetto dell’art. 2426 del Codice civile per quanto
riguarda la valutazione delle singole voci ma sono integrati, laddove necessario, da
principi contabili di generale accettazione, frutto del lavoro della dottrina e delle
associazioni dei professionisti contabili nazionali ed internazionali41.
Il Codice civile prevede come criterio base di valutazione il costo che, in linea di
massima, non può mai essere superato42. In taluni casi il costo deve essere ridotto per
essere allineato ad un minor valore di mercato. Il valore di mercato non viene mai
utilizzato per individuare incrementi di valore, in quanto ciò sarebbe in contrasto con il
principio della prudenza.
Gli articoli del Codice civile precedentemente analizzati fanno parte del Titolo V Delle
Società, Capo V – Società per azioni, Sezione IX. – Del bilancio, ed esplicano inoltre il
contenuto del Bilancio d’esercizio43, in termini di singoli schemi44 e dei documenti
41
Tali principi sono chiamati OIC che precede il numero di rifermento del principio stesso (es. OIC 14 per
le disponibilità liquide) e sono i principi contabili nazionali. L'Organismo Italiano di Contabilità (OIC)
nasce dall'esigenza, avvertita dalle principali parti private e pubbliche italiane, di costituire uno standard
setter nazionale dotato di ampia rappresentatività con il fine di esprimere le istanze nazionali in materia
contabile. L' OIC si è costituito, nella veste giuridica di fondazione, il 27 novembre 2001. Esso
predispone i principi contabili per la redazione dei bilanci d'esercizio e consolidati delle imprese, dei
bilanci preventivi e consuntivi delle aziende non profit e delle amministrazioni pubbliche, nazionali e
locali. Inoltre, l' OIC, coordinando i propri lavori con le attività degli altri standard setter europei, nel
rispetto delle norme di legge e regolamentari vigenti, fornisce il supporto tecnico per l'applicazione in
Italia dei principi contabili internazionali e delle direttive europee in materia contabile. L' OIC svolge
altresì un'opera di assistenza al legislatore nazionale nell'emanazione delle norme in materia contabile e
connesse per l'adeguamento della disciplina interna di bilancio alle direttive europee e ai principi
contabili internazionali omologati dalla Commissione Europea. I principi contabili dell'OIC sono soggetti
al parere della Banca d'Italia, della CONSOB, dell'ISVAP e dei Ministeri competenti nella fattispecie.
L'eventuale parere negativo delle istituzioni anzidette è pubblicato congiuntamente al principio contabile
approvato dal Comitato Esecutivo
42
Fonte art. 2426 Codice civile
43
Art. 2423 comma 1 Codice civile, che stabilisce che “gli amministratori devono redigere il bilancio di
esercizio, costituito dallo stato patrimoniale, dal conto economico e dalla nota integrativa”
44
Art. 2424 Codice civile, Stato patrimoniale, che rappresenta la situazione patrimoniale dell’impresa,
individuando le attività, le passività ed il patrimonio netto; art. 2425 Codice civile, Conto economico, che
rappresenta il risultato economico conseguito nell’esercizio mediante l’individuazione di ricavi e costi
attinenti al periodo amministrativo considerato; art. 2427 e 2427 bis Codice civile, Nota integrativa, che
consente di illustrare analiticamente i principi ed i criteri utilizzati nella determinazione del reddito e del
patrimonio
19
obbligatori relativi al bilancio45, i documenti raccomandati dai principi contabili italiani46,
gli obblighi informativi in situazioni specifiche (ad esempio la redazione del Bilancio
d’esercizio in forma abbreviata per le società di modesta dimensione47) e gli
adempimenti per il bilancio (ad esempio il deposito del bilancio48 e la sua
pubblicazione49).
1.2.
I principi contabili introdotti dalla Comunità Europea: gli IAS/IFRS
Per la redazione di taluni bilanci è oggi necessario fare invece riferimento ad altri
principi contabili, già presenti prima che il loro utilizzo fosse reso obbligatorio dalla
Comunità Europea. Infatti a partire dall’esercizio avente inizio il 1 gennaio 2005 alcune
società europee (ed anche italiane) devono o possono abbandonare il modello di
bilancio basato sul Codice civile e determinare il proprio patrimonio e reddito in
maniera sostanzialmente differente da quanto scaturirebbe applicando le Direttive
comunitarie.
Per principi contabili internazionali si intendono gli International Accounting Standards
(IAS), gli International Financial Reporting Standards (IFRS) e le relative Interpretazioni
(SIC/IFRIC), emessi dall’Accounting Standards Boards (IASB)50 e dall’International
Financial Reporting Interpretations Committee (IFRIC).
45
Quali la relazione sulla gestione (art. 2428 Codice civile), gli allegati al bilancio (art. 2429 del Codice
civile) e la relazione del Collegio sindacale e/o Revisore contabile (art. 2429 Codice civile)
46
Prospetto delle variazioni di patrimonio netto e rendiconto finanziario
47
Secondo l’art. 2435 bis Codice civile, per essere considerati società di modesta dimensione occorre,
se non si abbiano emesso titoli negoziati in mercati regolamentati, nel primo esercizio o
successivamente per due esercizi successivi non superare i limiti seguenti:
 Totale attivo Stato patrimoniale: 4.400.000 euro;
 Totale ricavi delle vendite e delle prestazioni Conto economico: 8.800.000 euro;
 Dipendenti occupati in media durante l’esercizio: 50 unità.
48
L’art. 2429 del Codice civile prevede che il bilancio deve essere comunicato dagli amministratori al
Collegio sindacale con la relazione almeno 30 giorni prima di quello fissato per l’Assemblea che deve
discuterlo. Il bilancio deve restare depositato in copia nella sede della società con la relazione di
amministratori, sindaci e del soggetto incaricato del controllo contabile, durante i 15 giorni che precedono
l’Assemblea e finchè sia approvato al fine di permettere ai soci di prenderne visione
49
L’art. 2435 del Codice civile stabilisce che entro 30 giorni dall’approvazione devono essere depositati a
cura degli amministratori presso l’Ufficio del Registro delle imprese i seguenti documenti:
 Una copia del bilancio;
 Le relazioni di amministratori, sindaci e revisori contabili;
 Il verbale di approvazione dell’Assemblea
50
Lo IASB è un organo indipendente di formazione della Fondazione IFRS. I suoi membri (al momento
15) sono responsabili dello sviluppo e della pubblicazione degli IFRS, inclusi quelli per le piccole-medie
imprese, e per l’approvazione di interpretazioni degli IFRS, sviluppato dalla IFRS Interpretations
Committee (precedentemente chiamata IFRIC). Lo IASB opera a stretto contatto con gli stakeholders di
tutto il mondo, inclusi investitori, analisti, legislatori, business leader ed esercenti la professione contabile
20
Tuttavia i principi contabili internazionali emanati dallo IASB non sono immediatamente
utilizzabili dalle società europee. Tali principi, infatti, devono dapprima essere accettati
dalla Comunità Europea attraverso il meccanismo di omologazione, che ha l’obiettivo di
verificare che gli IAS/IFRS:
 Non siano in contrasto con le Direttive comunitarie;
 Rispondano ai criteri di comprensibilità, pertinenza, affidabilità e comparabilità
richiesti dall’informazione finanziaria necessaria per adottare le decisioni
economiche e valutare l’idoneità della gestione.
I principi contabili internazionali così omologati vengono poi tradotti nelle lingue ufficiali
della Comunità Europea e pubblicati sulla GUCE51: solo a questo punto possono
essere utilizzati dalle società per la preparazione dei loro bilanci.
La scelta della Comunità Europea di obbligare o consentire ad alcune società l’utilizzo
degli IAS/IFRS è motivata dalla necessità di armonizzare l’informazione finanziaria
presentata dalle società europee. L’obiettivo è pertanto quello di garantire un elevato
livello di trasparenza e comparabilità dei bilanci e l’efficiente funzionamento del
mercato comunitario dei capitali e del mercato interno.
L’obbligo di applicazione degli IAS/IFRS è previsto per ogni esercizio finanziario avente
inizio a partire dal 1 gennaio 2005 per le società soggette al diritto di uno Stato membro
qualora alla data del bilancio consolidato i loro titoli siano ammessi alla negoziazione in
un mercato regolamentato di un qualsiasi Stato membro. L’ambito obbligatorio di
applicazione è quindi rappresentato dai bilanci consolidati dei gruppi quotati in una
borsa europea52.
Le opzioni possibili per gli Stati membri sono invece due differenti:
 Gli Stati membri possono consentire o prescrivere alle società quotate di
redigere il loro Bilancio d’esercizio e alle società non quotate di redigere il
bilancio consolidato e/o il Bilancio d’esercizio conformemente ai principi
contabili internazionali53;
 Gli Stati membri possono posticipare l’inizio dell’obbligo di adottare i principi
contabili internazionali agli esercizi aventi inizio a partire dal 1 gennaio 2007
51
Gazzetta Ufficiale della Comunità Europea
Fonte art. 4 Regolamento CE 1606/2002
53
52
21
alle società i cui soli titoli di debito sono quotati o i cui titoli sono ammessi alla
negoziazione pubblica in un paese terzo e che, a tal fine, hanno applicato
principi riconosciuti internazionalmente a partire da un esercizio finanziario
iniziato prima della data di pubblicazione del Regolamento nella GUCE54.
In Italia l’esercizio dell’opzione prevista dall’art. 5 del Regolamento CE 1606/2002 è
avvenuta in due fasi distinte:
 la legge delega comunitaria del 2003 prevede l’obbligo di adottare i principi
contabili internazionali nella redazione del Bilancio d’esercizio delle società
quotate, nella redazione del Bilancio d’esercizio e consolidato delle società
aventi strumenti finanziari diffusi presso il pubblico55, nella redazione del Bilancio
d’esercizio e consolidato delle banche ed intermediari finanziari sottoposti a
vigilanza da parte della Banca d’Italia, nella redazione del Bilancio consolidato
delle società che esercitano attività di assicurazione56 e, infine, nella redazione
del Bilancio d’esercizio delle società quotate e delle società aventi strumenti
finanziari diffusi presso il pubblico che esercitano attività di assicurazione solo
nel caso in cui non redigano il bilancio consolidato. E’ prevista anche la facoltà
di adottare i principi contabili internazionali nella redazione del Bilancio
d’esercizio o consolidato delle società diverse da quelle assicurative e da quelle
che possono redigere il Bilancio in forma abbreviata57;
 il decreto legislativo del 2005 di attuazione della legge delega comunitaria
precedentemente esplicata ha disciplinato le opzioni in tema di utilizzo dei
principi contabili internazionali nella redazione del Bilancio d’esercizio e
consolidato da parte delle società italiane58.
54
L’art. 116 del D.Lgs. del 24 febbraio 1998, n.58 e l’art. 2 bis del Regolamento Consob 11971/1999, n.
14372 stabiliscono che sono emittenti di strumenti finanziari presso il pubblico gli emittenti italiani che
contestualmente:
 Abbiano azionisti diversi dai soci di controllo in numero superiore a 250, che detengano
complessivamente una percentuale di capitale sociale almeno pari al 5%;
 Non abbiano la possibilità di redigere il bilancio in forma abbreviata ai sensi dell’art. 2435 bis
primo comma (per il dettaglio di tali limiti si veda la nota n. 48)
56
Come previsto dal D.Lgs. 173 del 26 maggio 1997 e dal punto A dell’allegato I del D.Lgs. del 17 marzo
1995, n. 174 (assicurazioni sulla durata della vita umana)
57
Fonte legge delega n. 306/2003
58
Fonte D.Lgs. 38/2005
55
22
Figura 1.2 - Rappresentazione della modalità di adozione dei principi contabili
internazionali da parte dei soggetti italiani
Tipologie di società
Bilancio consolidato IAS Bilancio d’esercizio IAS
a. Società quotate
Obbligo dal 2005
Facoltà da 2005
Obbligo da 2006
b. Società con strumenti finanziari diffusi tra il
pubblico
Obbligo dal 2005
Facoltà da 2005
Obbligo da 2006
Obbligo dal 2005
Facoltà da 2005
Obbligo da 2006
d. Società assicurative
Obbligo dal 2005
Obbligo da 2006
Se quotate e non optano
per il bilancio consolidato
e. Società incluse nel bilancio consolidato di
società sub a, b, c e d
Facoltà da 2005
Facoltà da 2005
Facoltà da 2005
Facoltà da 2005
Se optano per il
consolidato
g. Società diverse dalle precedenti incluse
nel bilancio consolidato di società sub f
-
Facoltà da 2005
h. Società diverse dalle precedenti non
incluse in un bilancio consolidato
-
Facoltà dall’esercizio
individuato con apposito
decreto
-
Divieto
c.
f.
i.
Banche italiane, capogruppo di gruppi
bancari, SIM, SGR, finanziarie, istituti di
moneta elettronica
Società che redigono il bilancio
consolidato diverse dalle società sub a, b,
ced
Società che possono redigere il bilancio
abbreviato
Fonte: P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa,
Milano, 2007
Per talune aziende è diventato obbligatorio pertanto l’utilizzo di tali principi mentre per
altre rimane facoltativo. Tra le aziende che possono esercitare l’opzione di utilizzo
facoltativo dei principi IAS/IFRS ve ne sono alcune che li utilizzano per permettere ai
lettori dei bilanci di poter fare delle comparazioni con le aziende dello stesso settore di
appartenenza (ad esempio la società Ferrero Spa redige il Bilancio d’esercizio in base
ai principi contabili internazionali, seppur non quotata e non obbligata, per via dei propri
competitor di settore, quali ad esempio la società Nestlè che è quotata sul mercato
azionario).
In tutte le aziende i principi per la redazione del Bilancio d’esercizio (nazionali o
internazionali) devono comunque essere seguiti ed applicati nel modo più corretto
possibile.
Vi sono taluni principi sbagliando l’applicazione dei quali si potrebbero commettere
errori di tipo significativo (e cioè tali da inficiare il giudizio del lettore del bilancio). Basti
pensare ad esempio ad aree apparentemente semplici, ad esempio quelle riferite
23
all’iscrizione di fondi (ad esempio fondi svalutazione di crediti troppo bassi rispetto agli
effettivi recuperi di credito futuri).
Ad ogni modo alcune aree sono indicate come più delicate non tanto per la difficoltà
della loro valutazione in bilancio, ma piuttosto perché considerate importanti a livello di
analisi e di informativa fornita dal bilancio di una società. Per questo motivo si è scelto
di analizzare le richieste dei principi contabili applicati a due aree di bilancio importanti
come le disponibilità liquide e le rimanenze di merci.
1.3.
Le disponibilità liquide: il principio nazionale OIC 14 e quanto previsto dai
principi contabili internazionali IAS/IFRS
I principi contabili nazionali ed internazionali risultano come detto di fondamentale
importanza ai fini dell’emissione corretta dell’informativa di bilancio delle aziende. In
alcuni ambiti i principi contabili sono di facile applicazione ma l’eventualità di presenza
di informazioni sbagliate ha effetti di indurre in una direzione sbagliata i lettori di
bilancio. E’ questo il caso dell’informativa richiesta alle società riguardante le
disponibilità liquide detenute dalla società presso la propria sede, le proprie succursali
o su conti correnti esterni (ad esempio bancari o postali).
1.3.1. Il principio nazionale OIC 14
L’informativa richiesta alle società circa la presenza di denaro con immediata
disponibilità è raggruppata all’interno dello schema di Stato patrimoniale italiano alla
voce dell’attivo circolante59 ed in particolare alle voci:
C) Attivo circolante
IV – Disponibilità liquide
1) Depositi bancari e postali
2) Assegni
3) Denaro e valori in cassa
La somma complessiva di quanto raggruppato alla voce C) IV– risulta di notevole
importanza per gli stakeholder dell’azienda. Su tale valore essi calcolano diversi indici
che permettono di evidenziare quale sia la posizione finanziaria della società con
59
Esso comprende tutti gli elementi attivi del patrimonio che presumibilmente ritorneranno in forma
liquida nel breve periodo, cioè ritorneranno in forma monetaria in un tempo non superiore all’anno
24
l’obiettivo di sapere se l’impresa sarà in grado di disporre della liquidità necessaria per
estinguere i suoi debiti in tempo. Questo è il motivo per il quale sia gli analisti finanziari,
sia le banche sono interessati a varie misure della liquidità: essi sanno che le imprese
illiquide hanno maggiori probabilità di fallire e di essere insolventi. Va sottolineato che
comunque, poiché le misure della liquidità variano frequentemente, esse possono
diventare poco attendibili in breve tempo.
L’analisi finanziaria esamina quindi l’attitudine dell’azienda a fronteggiare i fabbisogni
finanziari senza compromettere l’equilibrio economico della gestione60. Essa è
un’analisi di tipo dinamico61 che può essere esaminata nel dettaglio solo attraverso
l’analisi dei flussi62.
Uno tra gli indicatori più importanti è rappresentato dalla posizione finanziaria netta.
Essa indica la disponibilità di liquidi da parte dell’impresa e viene calcolata nel modo
seguente63:
Disponibilità liquide + crediti finanziari a breve e a medio-lungo termine
posizione finanziaria netta (PFN) =
Debiti finanziari a breve, a medio e a lungo termine
Se il saldo derivante dall’applicazione di tale formula è positivo, vuol dire che l’impresa
ha una disponibilità finanziaria pari al valore ottenuto. Se negativo, essa è soggetta a
un indebitamento finanziario per l’ammontare indicato.
Questo indicatore risulta quindi di fondamentale importanza per gli analisti finanziari in
quanto esso permette di desumere la situazione delle finanze dell’impresa e gli obblighi
che devono essere assunti nel breve-medio periodo (qualora la PFN sia negativa). La
PFN positiva evidenzia al contrario una situazione in cui le eccedenze di liquidità
presenti nelle casse dell’impresa o destinate ad entrarvici nel futuro più immediato,
60
Va evidenziato che l’equilibro economico e quello finanziario all’interno di un’impresa sono due
grandezze completamente differenti. In Dipartimento di Economia Aziendale, Lezioni di economia
aziendale, G. Giappichelli Editore, Torino, 2003 viene fatta la distinzione tra:
 Economico, rappresenta quell’equilibrio che misura la relazione esistente tra flusso di costi e
flusso di ricavi dell’esercizio (all’interno del Bilancio d’esercizio tale correlazione è misurata nel
prospetto di Conto economico)
 Finanziario, rappresenta quell’equilibrio che misura la relazione esistente tra flusso di entrate
monetarie e flusso di uscite monetarie (all’interno del Bilancio d’esercizio tale correlazione è
misurata nel prospetto di Rendiconto finanziario)
61
Detta analisi per flussi, che sono la ricostruzione della differenza tra quanto presentato da un’azienda
all’inizio di un periodo di analisi fino a ciò che viene presentato alla fine di tale periodo
62
Astolfi, Barale & Ricci, Entriamo in azienda 3. Imprese industriali, sistema informativo di bilancio e
imposizione fiscale – Tomo 1, Tramontana, Milano, 2004
63
G. Ferrero, F. Dezzani, P. Pisoni, L. Puddu, Analisi di bilancio e rendiconti finanziari, Giuffrè editore,
Milano, 2006
25
possono essere investite per acquisire capitale immobilizzato o comunque asset che
permettono all’impresa di creare valore nel corso del tempo.
Alcune indicazioni possono tuttavia essere ottenute anche costruendo opportuni indici:
molto importante è il quoziente di liquidità immediata64. Le attività maggiormente liquide
di un’azienda sono la cassa e le attività finanziarie facilmente liquidabili. Tale indice
viene calcolato come segue:
Cassa + attività finanziarie a breve termine
quoziente di liquidità immediata =
Passività correnti
Va sottolineato che il risultato di tale indice non sempre esprime una reale situazione
aziendale di solvibilità. Infatti gli indici di liquidità possono essere falsati se al
numeratore si indica denaro liquido derivante da prestiti ottenuti che, in attesa di un
prossimo utilizzo, sono depositati nei c/c bancari e postali65. Lo studio dei flussi
correlato a quello degli indici consente però di conoscere la provenienza dei fondi
liquidi.
L’analisi di tali flussi ed indici richiede quindi che alla base vi siano informazioni
attendibili. Se le informazioni non fossero invece veritiere e corrette, esse potrebbero
portare a giudizi fuorvianti e perciò il flusso informativo che alimenta tali voci deve
essere ben monitorato e testato in modo da produrre informazioni attendibili.
La rappresentazione in bilancio avviene, come richiesto dal principio, anche per le
disponibilità passive (ad esempio debiti per conti correnti bancari scoperti).
All’interno del Bilancio d’esercizio IV direttiva, tale classificazione avviene all’interno del
passivo, nelle voci seguenti:
D) Debiti
4) Debiti verso banche
Il principio OIC 14 nello specifico richiede innanzitutto che la valutazione delle
disponibilità liquide sia effettuata al valore nominale delle stesse (denaro e valori
bollati). In particolare l’OIC richiama l’art. 2426 del Codice civile che al punto 8 prevede
che i crediti “devono essere iscritti secondo il valore presumibile di realizzazione”
(questo vale per depositi bancari, depositi postali, assegni). Viene altresì richiamato
64
65
R.A. Brealey, S.C. Myers, F. Allen, S. Sandri, Principi di finanza aziendale, McGraw-Hill, Milano, 2006
Gli indici di liquidità sono numerosi, ma non si ritiene in questa sede necessario farne ulteriore analisi
26
l’art. 2423 del Codice civile, riferito ai principi generali di redazione del Bilancio
d’esercizio66.
Il sistema amministrativo-contabile dell'impresa deve avvalersi di un controllo interno
affidabile tale da consentire la possibilità di verificare, mediante rilevazioni elementari o
prospetti di riconciliazione, che i saldi siano reali e rispondenti a valori riscontrati67.
I conti accesi alle disponibilità liquide devono comprendere tutti i movimenti di
numerario avvenuti entro la data di bilancio.
Non è corretto considerare come disponibilità liquide, con corrispondente riduzione dei
crediti, le rimesse di numerario ricevute in cassa o in banca in data posteriore a quella
di chiusura dell'esercizio, anche se il loro giorno di valuta è anteriore a tale data.
Analogamente, non è corretto diminuire i fondi liquidi, con corrispondente riduzione dei
debiti, per rimesse di numerario uscite dalla cassa o disposte con assegni o bonifici
bancari in data posteriore a quella di bilancio.
In conclusione, i saldi dei conti bancari devono tener conto di tutti gli assegni emessi e
dei bonifici disposti entro la data di chiusura dell'esercizio e degli incassi effettuati dalle
banche o altre istituzioni creditizie ed accreditati nei conti prima della chiusura
dell'esercizio, anche se la relativa documentazione bancaria è pervenuta nell'esercizio
successivo.
I fondi esistenti all'estero (essi vengono valutati al cambio in vigore alla data di chiusura
dell'esercizio68) che non possono essere rimpatriati a causa di restrizioni valutarie, ma
che si prevede verranno utilizzati ai fini della gestione locale, vanno normalmente
indicati in nota integrativa e, se di ammontare particolarmente rilevante, in apposita
sottovoce dello stato patrimoniale.
In caso di difficoltà di utilizzo e di rimpatrio di tali fondi, essi vanno valutati al
presumibile valore di realizzo stimato alla fine dell'esercizio.
Le disponibilità liquide esposte nello stato patrimoniale si presumono essere
immediatamente utilizzabili per qualsiasi scopo dell'impresa.
66
Per visionare approfonditamente quanto richiesto dall’articolo, si veda il paragrafo 1.1. La situazione in
Italia
67
Fonte OIC 14: Disponibilità liquide
68
In conformità con quanto previsto dall’OIC 26, Operazioni e partite in moneta estera
27
Di conseguenza, eventuali disponibilità liquide vincolate, o non immediatamente
utilizzabili o utilizzabili solo per specifici scopi, devono avere, se di ammontare
rilevante, una evidenziazione separata nella nota integrativa.
Non è accettabile effettuare in bilancio una compensazione tra conti bancari attivi e
passivi, anche se della stessa natura e tenuti presso la stessa banca, in quanto tale
prassi comporterebbe la compensazione di una attività con una passività, fra l'altro
derivanti da posizioni di debito e di credito a tassi di solito non equivalente.
In Nota integrativa, oltre a quanto già indicato inerente la natura di eventuali fondi
vincolati e i conti all'estero che non possono essere trasferiti o utilizzati a causa di
restrizioni valutarie del paese estero o per altre cause, vanno fornite informazioni circa
l'utilizzo di eventuali sistemi di cash pooling69 e, comunque, se rilevante, ogni tipo di
rapporto ove sono coinvolte imprese controllate, collegate, controllanti e quelle
sottoposte al controllo di queste ultime, nonché se diverse, imprese che rientrano sotto
la stessa attività di direzione e coordinamento.
Sulla base di quanto previsto dal principio contabile nazionale OIC 14, si sviluppano
diverse aree che richiedono maggiore attenzione da parte dell’azienda ai fini della
corretta e veritiera rappresentazione dei fatti occorsi durante l’esercizio.
In particolare, come si evince da quanto richiesto dal principio, la rappresentazione a
cavallo di esercizio richiede particolari regole che vanno seguite e rispettate in modo da
non incorrere in errori che portino a situazioni sbagliate (e ad una informativa distorta
nei confronti degli investitori). Le società devono quindi porre una maggiore attenzione
a quelle che sono le transazioni che occorrono a fine esercizio e che sono disposte a
fine esercizio seppur vengano rappresentate sull’estratto conto bancario della banca
solo nel mese successivo a quello di chiusura.
I test svolti dai revisori esterni circa quest’area di bilancio prendono in considerazione i
più differenti aspetti in modo da garantire al lettore di bilancio un’informativa non
fuorviante e che non possa influenzarne le scelte in maniera errata. Per visionare tali
test, si rimanda alla lettura del paragrafo 2.3. La PwC audit guide: i test richiesti per le
69
L’accordo di cash pooling consiste nell’accentrare in capo ad un unico soggetto giuridico la gestione
delle disponibilità finanziarie di un gruppo societario, al fine di ottenere la miglior gestione della tesoriera
aziendale con relazione ai rapporti in essere tra le società aderenti al gruppo e gli istituti di credito
(Articolo di M. Tidona, Il cash pooling tra le società appartenenti ad un gruppo, Milano, 16 dicembre
2000)
28
disponibilità liquide per ottenere compliance sull’applicazione dei principi (capitolo
successivo).
1.3.2. I principi contabili internazionali: il concetto di strumento finanziario
Gli schemi di bilancio redatto in conformità ai principi IAS/IFRS differiscono
sostanzialmente dalla rappresentazione prevista dal Codice civile per i bilanci redatti
secondo i principi contabili nazionali (ref. Art. 2424, 2425 e 2427 Codice civile,
paragrafo 1.1. La situazione in Italia).
Infatti lo schema di Stato patrimoniale70 prevede due possibili criteri di classificazione
delle voci anziché uno solo:
 Classificazione sulla base del ciclo operativo, tipico delle società esercenti
attività a carattere industriale, che prevede una suddivisione delle attività e delle
passività tra correnti e non correnti;
 Classificazione delle attività e delle passività sulla base della loro liquidità (tipico
delle Società ad intermediazione mobiliare e delle banche).
Siccome lo IAS 1 stabilisce che, in linea di massima, la classificazione da utilizzare è
quella basata sul ciclo operativo, mentre quella in base alla liquidità è da utilizzarsi solo
quando fornisca informazioni più rilevanti e significative, e visto che le attività
analizzate nel presente lavoro sono a carattere perlopiù industriale, si è deciso di
analizzare esclusivamente la rappresentazione secondo il ciclo operativo.
Sono considerate correnti quelle attività che:
 Siano possedute per la vendita e il consumo che si suppone vengano realizzate
nel normale svolgimento del ciclo operativo71;
 Siano possedute principalmente per essere negoziate;
 Si suppone debbano essere realizzate entro dodici mesi dalla data del bilancio;
 Siano sotto forma di denaro o di altro mezzo equivalente non vincolante per
quanto riguarda il loro utilizzo72.
70
Fonte IAS 1: Presentazione del bilancio; Framework per la preparazione e la presentazione del
bilancio
71
Definizione di ciclo operativo IAS 1: “Il tempo intercorrente tra l’acquisizione dei materiali che entrano
nel processo produttivo e la loro realizzazione in denaro o in altro strumento prontamente convertibile in
denaro
29
Tutto ciò che non rientra nelle precedenti categorie di attività non è considerato attività
corrente.
Per quanto riguarda le voci rappresentate nel passivo, la suddivisione è
sostanzialmente la stessa e riguarda ciò che viene considerato corrente e ciò che non
viene considerato tale.
Come si evince dall’analisi di ciò che rientra tra le attività correnti, si può notare che le
attività rappresentate sotto forma di denaro sono ivi ricomprese nello schema di Stato
patrimoniale73.
Anche i principi utilizzati per la redazione del bilancio differiscono parzialmente da
quelli previsti dal Codice civile italiano. In particolare nella redazione di un bilancio
IAS/IFRS è necessario considerare:
 Le assunzioni di bilancio74:
 Competenza economica: gli effetti delle transazioni e degli altri eventi
sono rilevati al momento della loro manifestazione economica (accrual
basis);
 Continuità aziendale: il bilancio deve essere redatto nella prospettiva
della continuazione dell’attività (going concern).
 Le caratteristiche qualitative del bilancio:
 Comprensibilità: vi deve poter essere immediata comprensione delle
informazioni contenute nel bilancio da parte di lettori robusti in senso
economico;
 Significatività: un evento viene considerato significativo qualora rilevante;
 Attendibilità: un’informazione è attendibile se è priva di errori o distorsioni
rilevanti e se gli utilizzatori possono fare affidamento su essa;
 Comparabilità: essa fa riferimento alla necessità per gli utilizzatori di
comparare i bilanci di una stessa impresa nel corso del tempo e di
72
Fonte IAS 1: Presentazione del bilancio
Lo schema di Stato patrimoniale IAS richiede che vi sia una rappresentazione dal contenuto minimo, al
quale possono essere fatte integrazioni ove ritenuto necessario ai fini di una migliore rappresentazione
per il lettore del bilancio. Al punto i del contenuto minimo è prevista la rappresentazione delle
“Disponibilità liquide e mezzi equivalenti”
74
Fonte IAS 1: Presentazione del bilancio; Framework per la preparazione e la presentazione del
bilancio
73
30
imprese tra loro differenti al fine di valutare le situazioni patrimoniali,
finanziarie e le risultanze economiche degli esercizi.
 I criteri base di valutazione ovvero del fair value, cioè il corrispettivo al quale una
attività può essere scambiata o una passività estinta tra parti consapevoli ed
indipendenti (esso equivale quindi al valore di mercato)75. Viene mantenuto il
criterio del costo privilegiato da principi italiani solo come alternativa all’utilizzo
del fair value per la valutazione di talune poste di bilancio (es. immobilizzazioni
materiali76) o la valutazione esclusiva di altre poste di bilancio (es. rimanenze di
magazzino77).
Figura 1.3 - Differenze tra il bilancio secondo il Codice civile e il bilancio secondo gli
IAS/IFRS
Codice civile
IAS/IFRS
Utilizzatore principale del bilancio
Creditore
Investitore
Nozione di reddito/patrimonio
Reddito prodotto
Patrimonio effettivo
Reddito potenziale
Patrimonio potenziale
Postulato prevalente
Prudenza
Competenza
Criterio base di valutazione
Costo
Fair value
Documenti che compongono il bilancio
(obbligatori)
Stato patrimoniale
Conto economico
Nota integrativa
Stato patrimoniale
Conto economico
Prospetto delle variazioni del
PN
Rendiconto finanziario
Note al bilancio
Milano, 2007
I principi contabili internazionali di rifermento per l’iscrizione delle disponibilità liquide
all’interno del bilancio redatto secondo gli IAS/IFRS sono differenti:
 IAS 32 (Strumenti finanziari: esposizione in bilancio);
 IAS 39 (Strumenti finanziari: rilevazione e valutazione);
 IFRS 7 (Strumenti finanziari: informazioni integrative);
 IAS 7 (Cash flow).
75
Fonte IAS 39: Strumenti finanziari: rilevazione e valutazione
Fonte IAS 16: Immobili, impianti e macchinari
77
Fonte IAS 2: Rimanenze
76
31
Lo strumento finanziario in generale è qualsiasi contratto che dà origine a un’attività
finanziaria per un soggetto e a una passività finanziaria o a uno strumento
rappresentativo di capitale per un altro soggetto78 79.
Nella definizione di strumento finanziario non rientrano soltanto le disponibilità liquide,
ma anche i crediti, i debiti, i titoli di debito e di capitale, i derivati, ecc. .
In particolare però per attività finanziaria, si intende qualsiasi attività che sia
disponibilità liquide80. Anche nella definizione di passività finanziaria si richiama il
concetto di passività quale obbligazione contrattuale a consegnare disponibilità liquide
a un’altra entità81 82.
Le disponibilità sono costituite dalla cassa e dai crediti bancari a vista. Per cassa si
intende il denaro in moneta nazionale ed in valuta straniera detenuto dall’impresa83.
I valori bollati, che in Italia sono generalmente accomunati alla cassa, non rientrano nel
concetto di cassa secondo i principi internazionali perchè non sono convertibili in
denaro contante, ma costituiscono il pagamento anticipato di un servizio che sarà
ottenuto in futuro (i valori bollati che costituiscono oggetto dell’attività commerciale
sono considerati rimanenze valutate al costo84).
Le disponibilità liquide sono definite come investimenti a breve termine molto liquidi,
facilmente convertibili in ammontari noti di denaro e soggetti ad un rischio insignificante
di cambiamenti di valore. Deve inoltre essere presentata una riconciliazione del saldo
riportato sullo Stato patrimoniale con l’equivalente presentato nel rendiconto
finanziario.
La classificazione come disponibilità di un investimento a breve dipende non solo dalla
rispondenza alla definizione, ma anche dal fine per il quale è detenuto l’investimento.
Per essere classificati come parte delle disponibilità, gli investimenti a breve termine
devono essere acquistati e venduti, generalmente, nell’ambito dell’attività di gestione
78
Uno strumento rappresentativo di capitale è qualsiasi contratto che rappresenti una quota ideale di
partecipazione residua nell’attività dell’entità dopo aver estinto tutte le sue passività (IAS 32)
79
Fonte IAS 32: Strumenti finanziari: esposizione in bilancio
80
Punto a. paragrafo 11 IAS 32, definizione di attività finanziaria
81
Punto a. paragrafo 11 IAS 32, definizione di passività finanziaria
82
La definizione specifica di attività finanziaria e di passività finanziaria indicata dallo IAS 32 non viene
riportata in quanto non significativa ai fini dell’analisi
83
PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010
84
32
della tesoreria, piuttosto che come parte dell’attività operativa, di investimento o di
finanziamento.
Le disponibilità possono essere classificate, ai fini della valutazione, come crediti e
prestiti, attività detenute fino a scadenza o come investimenti disponibili per la vendita.
Questa classificazione degli investimenti a breve non impedisce comunque di esporli
nello Stato patrimoniale come parte delle disponibilità. La caratteristica a breve termine
delle disponibilità è generalmente individuata con una scadenza non superiore ai tre
mesi dall’acquisto.
La classificazione di un investimento come disponibilità non è limitata agli investimenti
presso istituzioni finanziarie, come le banche o il tesoro dello stato. Gli strumenti di
debito emessi da un’impresa possono essere classificati tra le disponibilità se
soddisfano la definizione di disponibilità. Anche le azioni privilegiate redimibili
potrebbero essere classificate come disponibilità.
Un’impresa può classificare tra le disponibilità anche gli scoperti bancari a vista se il
management li utilizza come parte della strategia di tesoreria piuttosto che come parte
della strategia di finanziamento. Questi ultimi scoperti sono classificati nello Stato
patrimoniale come passività sulle quali maturano interessi invece che come
disponibilità.
La cassa viene rilevata quando è ricevuta e le disponibilità quando viene effettuato
l’investimento o il deposito. Anche se generalmente la rilevazione non dà problemi, si
deve prestare attenzione ad alcune particolarità.
Per esempio laddove vi siano restrizioni particolari (ad esempio per via di leggi in
diversi Paesi) deve esserne fornita adeguata informativa.
I titoli non possono essere classificati come disponibilità se ci sono preoccupazioni che
l’emittente possa non rimborsare il titolo alla scadenza. Essi dovrebbero invece essere
classificati come investimenti detenuti fino alla scadenza o disponibili per la vendita.
Le disponibilità devono essere rilevate inizialmente per l’ammontare di denaro ricevuto
in contanti o depositato in un conto corrente dell’impresa. Le altre disponibilità devono
essere inizialmente rilevate al costo. Il costo equivale al fair value del corrispettivo
pagato per acquistare le disponibilità. Gli scoperti bancari classificati tra le disponibilità
devono essere rilevati inizialmente per l’ammontare di capitale da rimborsare al
finanziatore.
33
Gli ammontari in valuta straniera devono essere convertiti nella moneta di conto al
tasso di cambio del momento dell’incasso.
Le disponibilità depositate presso un’altra entità dovrebbero riflettere i flussi di cassa
che ci si attende di ricevere da tale entità. Il saldo dovrebbe cessare di soddisfare la
definizione di disponibilità se sorgono serie preoccupazioni sul merito di credito
dell’altra entità. Il saldo dovrebbe essere riclassificato come disponibile per la vendita e
svalutato al valore attuale dei futuri flussi di cassa attesi.
La rappresentazione nel bilancio prevede che le disponibilità devono essere presentate
in una linea separata dello Stato patrimoniale e nelle Note devono essere fornite le
seguenti informazioni:
 descrizione dei saldi inclusi tra le disponibilità;
 spiegazione della classificazione degli investimenti a breve suddivisi tra
disponibilità e altri investimenti;
 riconciliazione tra le disponibilità incluse nel rendiconto finanziario e
l’ammontare esposto nello Stato patrimoniale;
 termini e condizioni delle disponibilità, come per esempio i tassi d’interesse e la
scadenza media;
 restrizioni sull’uso del denaro e delle disponibilità all’estero85.
Quando un’attività o una passività finanziaria è contabilizzata per la prima volta, deve
essere valutata al fair value più i costi di transazione che sono direttamente attribuibili
all’acquisto dell’attività o all’emissione della passività.
La valutazione successiva degli strumenti finanziari in sede di redazione del bilancio
dipende dalla categoria nella quale l’impresa ha classificato lo strumento finanziario86.
Sono previste quattro categorie di classificazione87:
 attività e passività finanziarie al fair value rilevato in conto economico (Fair value
through profit and loss – FVTPL);
 investimenti detenuti fino alla scadenza (Held to maturity – HtM);
85
P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS, Egea Spa, Milano,
2007
87
Fonte IAS 39: Strumenti finanziari: rilevazione e valutazione
86
34
 finanziamenti e crediti (Loans and receivables);
 attività finanziarie disponibili per la vendita (Available for sale – AfS).
Figura 1.4 - La valutazione degli strumenti finanziari88
Categoria
Criterio di valutazione
Fair value
Incrementi/decrementi di fair value inseriti in conto
economico
Costo ammortizzato
Impairment test
FVTPL
HtM
Loans and receivables
Costo ammortizzato
Impairment test
AfS
Fair value
Incrementi/decrementi di valore inseriti in una riserva di
patrimonio netto
Impairment test
Costo ammortizzato
Passività finanziarie non incluse tra i FVTPL
Milano, 2007
I principi contabili italiani non contengono regole minuziose come quelle contenute
nello IAS 32 e nello IAS 39. Infatti essi considerano facenti parte della categoria solo i
depositi bancari e postali, gli assegni, il denaro e i valori in cassa, ma non i titoli
scadenti entro tre mesi89. L’OIC 14 considera tra le disponibilità liquide i depositi
vincolati classificabili tra le attività correnti, cioè scadenti entro l’esercizio successivo. I
depositi vincolati con scadenza oltre l’esercizio successivo devono essere classificati
invece tra le immobilizzazioni finanziarie.
1.4.
Le rimanenze di magazzino: il principio nazionale OIC 13 ed il principio contabile
internazionale IAS 2
Sempre importante per i lettori di bilancio risulta conoscere la capacità della società di
far ruotare le merci detenute nel proprio magazzino. La valutazione corretta o sbagliata
dello stesso può inficiare il giudizio dei lettori, orientandolo verso resoconti
completamente errati (si pensi al caso di un’azienda di petrolio che valuta le proprie
rimanenze al costo delle prime giacenze: si noterà subito che il magazzino risulta
fortemente svalutato rispetto al reale valore di mercato).
88
89
In questa sede non si ritiene necessario ai fini dell’analisi approfondire ulteriormente tali concetti
Fonte OIC 14: Disponibilità liquide
35
Quest’area risulta molto rischiosa per differenti motivi, ad esempio la possibilità di
perdere o non conteggiare il materiale presente presso i magazzini di proprietà, o di
contarne in eccesso con successiva rappresentazione in bilancio di un magazzino
gonfiato di materiale non presente nella realtà, ecc. .
1.4.1. Il principio nazionale OIC 13
L’area inerente le rimanenze di magazzino è rappresentata in bilancio90 all’interno
dell’attivo, ed in particolare viene rappresentata nel seguente modo:
C) Attivo circolante
I – Rimanenze:
1) Materie prime, sussidiarie e di consumo
2) Prodotti in corso di lavorazione e semilavorati
3) Lavori in corso su ordinazione
4) Prodotti finiti e merci
5) Acconti
La normativa contabile riferita a tali voci si scinde in diversi principi: in particolare la
voce inerente le commesse C) I – 3) è normata da uno specifico principio differente da
quello riguardante le rimanenze di merci, materie e prodotti finiti (si tratta nello specifico
del principio contabile nazionale OIC 23: Lavori in corso su ordinazione). Tale
differenziazione occorre anche nei principi internazionali IAS/IFRS (principio di
riferimento IAS 11: Lavori su ordinazione).
L’esposizione nel Conto economico prevede che il valore delle rimanenze venga
ricompreso nel valore della produzione, per quanto riguarda le variazioni delle
rimanenze di prodotti in corso di lavorazione, semilavorati e finiti (voce A) 5)), e venga
ricompreso tra i costi della produzione per quanto riguarda le variazioni di materie
prime, sussidiarie e di consumo e delle merci (voce B) 11))91.
Per tale voce è importante considerare l’iscrizione dei soli costi del materiale di
proprietà dell’impresa92, seppur in viaggio verso l’azienda stessa.
90
Art. 2424 Codice civile
92
Più precisamente va considerato il passaggio del rischio in capo all’acquirente, che generalmente
avviene con il passaggio di proprietà. Per determinare tale momento sono importanti gli incoterms, che
definiscono il momento di passaggio della proprietà con tutti i rischi e benefici annessi
91
36
Per permettere una corretta rilevazione delle quantità fisiche, è necessario effettuare
una conta fisica almeno una volta l’anno alla data di riferimento del bilancio di quanto
presente nei magazzini di proprietà, e dotarsi dei un sistema affidabile di scritture
contabili di magazzino93.
La valutazione delle rimanenze presenti in magazzino avviene secondo le seguenti
regole94:
 Le rimanenze sono iscritte al costo di acquisto o di produzione ovvero al valore
di realizzazione desumibile dall’andamento del mercato, se minore; tale minor
valore non può essere mantenuto nei successivi bilanci se ne sono venuti meno
i motivi. I costi di distribuzione non possono essere computati nel costo di
produzione95;
 Il costo dei beni fungibili può essere calcolato alternativamente con il metodo:
 Media ponderata;
 LIFO (last in first out; ultimo entrato primo uscito);
 FIFO (first in first out; primo entrato primo uscito).
Le configurazioni di costo possibili sono:
 Costo di acquisto, per cui si intende il prezzo effettivo di acquisto più gli oneri
accessori;
 Costo di fabbricazione, per cui si intende il costo di acquisto definito nel punto
precedente più le spese industriali di produzione e trasformazione.
In caso di minor valore corrente, rispetto al costo d'acquisto o di produzione, occorre
svalutare il magazzino; tale minor valore non può essere mantenuto nei successivi
bilanci se ne sono venuti meno i motivi.
Inoltre il principio prevede che i criteri di valutazione si applicano a ciascuna delle voci
di magazzino indipendentemente dalla loro dislocazione fisica.
La valutazione del magazzino al minore tra costo e mercato deve avvenire utilizzando
sempre gli stessi metodi, cioè con uniformità di criterio. Nei casi eccezionali in cui si
93
94
Art. 2426 Codice civile paragrafi 9 e 10
95
La valutazione delle rimanenze di magazzino al prezzo di vendita non è considerato corretto in quanto
anticipa utili non realizzati. Essa è pertanto in contrasto con i postulati del Bilancio d’esercizio
37
cambia il metodo di applicazione del principio, ad esempio passando a valutare le
rimanenze dal metodo di costo LIFO a FIFO, si deve determinare l’effetto del
cambiamento. La rettifica che si origina, qualora risulti significativa, deve essere
appropriatamente contabilizzata ed evidenziata in bilancio insieme al fatto del
cambiamento96.
L’applicazione retrospettiva comporta quindi la necessità di determinare l’effetto
cumulativo derivante dal cambiamento di principio all’inizio dell’esercizio. Tale effetto
deve essere iscritto come provento o onere nell’area straordinaria.
Esempio 1.1 - Passaggio da LIFO a FIFO
Rimanenze iniziali
Rimanenze finali
Differenza
Valutazione a LIFO
1600
2000
400
Valutazione a FIFO
2200
2800
600
Differenza da valutazioni
600
800
200
La differenza tra la valutazione a LIFO e quella con il FIFO deve essere rilevata come rettifica dei saldi
d’apertura e costituisce l’effetto cumulativo di inizio esercizio. Tale effetto deve essere iscritto nell’area
straordinaria come provento, con la seguente scrittura contabile:
Variazione rimanenze
a
Proventi straordinari
a
600
A fine esercizio:
Rimanenze
Fonte: elaborazione propria
2800
97
Per lo svolgimento dell'inventario fisico risulta necessario considerare alcuni
accorgimenti procedurali che ne permettono l'effettuazione. Essi si possono riassumere
nei seguenti98:
 tenere nei limiti del possibile la produzione ferma;
 assegnare personale competente;
 predisporre un programma d'inventario fisico ben dettagliato da spiegare agli
addetti;
96
Fonte OIC 29: Cambiamenti di principi contabili, cambiamenti di stime contabili, correzione di errori,
eventi e operazioni straordinari, fatti intervenuti dopo la data di chiusura dell’esercizio
97
Per semplicità di rappresentazione, non si tiene conto dell’effetto delle imposte differite
98
Fonte OIC 13: Le rimanenze di magazzino
38
 effettuare le conte con adeguata documentazione; ad esempio con schede
conta prenumerate il cui utilizzo sia ben controllato;
 analizzare gli scostamenti di entità rilevante tra quantità fisiche e quantità per
rilevazioni permanenti;
 introdurre tutti quegli accorgimenti necessari per separare i periodi contabili,
ossia rendere operanti quelle procedure necessarie per assicurare che le
operazioni di ricevimento e di spedizione avvenute nei periodi precedente e
successivo alla data dell'inventario fisico (ed alla chiusura dell'esercizio se
l'inventario fisico verrà effettuato a data diversa) siano state propriamente
contabilizzate.
Talvolta le società procedono ad effettuare un inventario fisico a rotazione (o su base
ciclica), per ulteriormente cautelarsi da errori eventuali di conta del magazzino o perché
le dimensioni, la pluralità di magazzini ed i flussi in entrata e in uscita di merci sono
così grandi da richiedere una procedura di conta aggiuntiva.
Alcuni accorgimenti procedurali da tener presente da parte delle imprese che,
mantenendo rilevazioni molto accurate di magazzino e disponendo di un sistema di
controllo interno ben strutturato e documentato, effettuano un inventario fisico a
rotazione, sono i seguenti:
 predisporre un programma di conta ben dettagliato, tenendo conto nel
predisporre tale programma, della velocità di rotazione delle giacenze, del valore
dei vari tipi di materiali, merci ecc. in modo tale da assicurare la conta delle
giacenze di maggior valore ad una data non lontana da quella di bilancio;
 assegnare personale competente;
 documentare le conte e le eventuali riconciliazioni (stati di concordanza) che
possono rendersi necessarie tra quantità fisiche e quantità per rilevazioni
permanenti se queste ultime non sono aggiornate all'ultimo movimento;
 rettificare le quantità indicate nelle rilevazioni permanenti in base alle risultanze
della conta. Se tali scostamenti sono significativi, individuare e modificare le
cause degli scostamenti. Il verificarsi di scostamenti rilevanti è sintomatico di
procedure di controllo interno non efficienti e pongono l'impresa di fronte alla
necessità di procedere all'inventario fisico alla chiusura dell'esercizio.
39
1.4.2. I principi contabili internazionali applicati alle rimanenze di magazzino: lo IAS 2
La classificazione all’interno dello schema di Stato patrimoniale del bilancio redatto
secondo i principi contabili IAS/IFRS, prevede all’interno del suo contenuto minimo la
voce “g. Rimanenze”, che comprende l’iscrizione di beni posseduti per la vendita nel
normale svolgimento dell’attività, per essere impiegate nei processi produttivi per la
vendita e sotto forma di materiali o forniture di beni da impiegarsi nel processo di
produzione o nella prestazione di servizi99.
La classificazione di tale voce è ricompresa tra le attività correnti100.
Nella valorizzazione del costo di iscrizione delle rimanenze si deve tenere conto di
alcuni costi e di alcuni aspetti particolari che sono trattati in modo specifico da altri
principi contabili.
E’ il caso di:
 oneri finanziari (trattati dallo IAS 23);
 contributi pubblici (trattati dallo IAS 20);
 accantonamenti per costi prevedibili (trattati dallo IAS 37).
Nell’ambito di applicazione dei principi contabili internazionali per l’area delle
rimanenze, lo IAS 2 non si applica a:
 attività biologiche connesse all’attività agricola (si applica lo IAS 41, Agricoltura);
 strumenti finanziari (si applica lo IAS 39).
Inoltre lo IAS 2 non si applica alla valutazione delle rimanenze presso:
 produttori di prodotti agricoli e forestali;
 intermediari (broker) e commercianti all’ingrosso (trader)101.
Le rimanenze sono beni posseduti per la vendita nel normale svolgimento dell’attività,
impiegati nei processi produttivi per la vendita o sotto forma di materiali o forniture di
beni da impiegarsi nel processo di produzione o nella prestazione di servizi102.
Le rimanenze comprendono:
99
2007
100
Si veda per la spiegazione della classificazione all’interno del bilancio redatto secondo i principi
contabili IAS/IFRS il sottoparagrafo 1.3.2. I principi contabili internazionali: gli IAS/IFRS
101
102
Definizione IAS 2: Rimanenze
40
 merci acquistate e possedute per una successiva rivendita, senza o con limitati
costi di trasformazione (ad esempio merce acquistata da un dettagliante e
posseduta per la rivendita);
 gli approvvigionamenti:
 materie prime e materie sussidiarie;
 altre materie, quali per esempio i materiali di consumo, che non entrano
direttamente nella composizione del prodotto fabbricato dall’impresa ma
rappresentano materiali che vengono consumati e che pertanto entrano
nel processo produttivo solo in via indiretta;
 terreni ed altri beni immobili posseduti per la rivendita;
 prodotti finiti o semilavorati realizzati dall’impresa103.
Nel caso di prestatori di servizi le rimanenze includono i costi del servizio per i quali
l’impresa non ha ancora contabilizzato il rispettivo ricavo.
Un’impresa deve rilevare le rimanenze quando ha il controllo della rimanenza, si
attende che la stessa generi benefici economici futuri e il costo delle rimanenze può
essere misurato attendibilmente.
Le imprese contabilizzano le rimanenze quando si attendono di ottenere benefici dal
loro uso o dall’eventuale vendita a clienti104.
La
valutazione
iniziale
delle
rimanenze
è
al
costo;
successivamente
alla
contabilizzazione iniziale l’impresa deve valutare le rimanenze al minore tra il costo e il
valore netto di realizzo.
Il costo delle rimanenze include il costo di tutti i materiali che entrano direttamente nella
produzione e i costi di trasformazione di questi materiali in prodotti finiti105.
I principi contabili internazionali consentono delle opzioni contabili in tema di
valutazione delle rimanenze (FIFO e costo medio ponderato) e pertanto viene richiesto
che la scelta tra le classificazioni o i criteri di rappresentazione sia basata su quella che
103
Tale categoria include anche i beni in viaggio
105
104
41
meglio possa rappresentare gli elementi che hanno determinato il risultato economico
dell’impresa106.
Il costo delle rimanenze di beni fungibili deve essere determinato adottando il metodo
FIFO (first in first out) o il metodo del costo medio ponderato.
Il costo delle rimanenze di beni non fungibili deve essere determinato adottando il
metodo della specifica identificazione del costo.
Un’impresa deve utilizzare il medesimo metodo per tutte quelle rimanenze che hanno
natura e uso simile per l’impresa; per le rimanenze con natura e uso differente può
essere giustificato l’utilizzo di metodi differenti.
Tuttavia la semplice differenza dovuta alla collocazione geografica delle rimanenze non
è sufficiente per giustificare l’adozione di metodi differenti.
Qualsiasi metodo applicativo venga utilizzato da un’impresa, questa deve applicarlo in
modo coerente e costante nel tempo.
Gli IFRS non consentono l’utilizzo del metodo LIFO (last in first out) per la
determinazione del costo delle rimanenze.
La scelta di eliminare il metodo LIFO, rientra nell’obiettivo generale dello IASB di
ridurre o eliminare le alternative contabili; le motivazioni addotte a supporto di tale
decisione riguardano il fatto che il metodo LIFO, non fornisce una rappresentazione
attendibile dei reali flussi delle giacenze ed il costo del venduto viene valutato sulla
base di prezzi non attuali (ciò comporta un’assunzione poco realistica del flusso dei
costi, come visto nel paragrafo 1.1. La situazione in Italia all’interno del presente
capitolo alla Figura 1.1).
L’obbligo di valutare le rimanenze al minore tra il costo e il valore netto di realizzo
comporta la contabilizzazione delle perdite di valore quando queste si manifestano.
L’indicazione della necessità di svalutare le rimanenze in quanto il loro costo non risulta
più recuperabile può derivare dal declino dei prezzi di vendita o dall’aumento dei costi
stimati di completamento o dai costi stimati per realizzare la vendita107.
Il costo delle rimanenze può non essere recuperabile anche quando alcuni prodotti
risultano, in tutto o in parte, danneggiati, od obsoleti o possono essere detenuti in
quantità che non potranno essere vendute in un periodo ragionevole.
106
107
Framework per la preparazione e la presentazione del bilancio
F. Dezzani, P. Biancone, D. Busso, IAS/IFRS, Wolters Kluver Italia, 2010
42
In tali circostanze le rimanenze devono essere svalutate al di sotto del costo fino al
valore netto di realizzo.
L’ammontare della svalutazione deve essere determinato sulla base di una valutazione
eseguita bene per bene.
Nel caso in cui invece la diminuzione del prezzo delle materie prime e dei materiali di
consumo indichi che il costo dei prodotti finiti sarà superiore al valore di netto realizzo,
le materie prime e i materiali di consumo devono essere svalutati fino al loro valore di
netto realizzo, la miglior misura disponibile di tale valore è rappresentata dal costo di
sostituzione108.
Esempio 1.2 - Svalutazione di magazzino
Costo
Costo di sostituzione
Prezzo di vendita del
prodotto finito
Costi di completamento
20
18
22
5
Il valore netto di realizzo è pari a euro 17 (euro 22 - euro 5, prezzo di vendita stimato meno i costi di
completamento e di vendita).
Il costo di sostituzione del prodotto in giacenza è pari a 18, conseguentemente deve essere effettuata
una svalutazione di euro 2.
Fonte: PricewaterhouseCoopers, Memento IFRS, IPSOA, 2010
La principale differenza tra i principi contabili internazionali e quelli nazionali consiste
nell’eliminazione della possibilità di utilizzare il criterio del LIFO per la valutazione delle
rimanenze di magazzino per via degli effetti discorsivi precedentemente descritti.
Il cambiamento di criterio utilizzato per la valutazione delle rimanenze obbligato per
talune società dall’introduzione dell’obbligo di utilizzo degli IAS/IFRS deve essere
trattato con la seguente scrittura (si riprenda l’esempio 1.1 all’interno del presente
capitolo al precedente paragrafo per la visione dei dati)109.
108
Lo IAS 8: Principi contabili, cambiamenti nelle stime e errori prescrive che “un cambiamento di
principio contabile deve essere applicato retroattivamente, a meno che l’ammontare delle eventuali
rettifiche che si riferiscono a esercizi precedenti non sia determinabile con ragionevolezza. Qualsiasi
rettifica che ne derivi deve essere rilevata come rettifica al saldo d’apertura degli utili portati a nuovo.”
Inoltre l’informazione comparativa deve essere rettificata, a meno che ciò non sia possibile
109
43
Esempio 1.3 - Rilevazione in apertura del passaggio da criterio LIFO a FIFO
La differenza tra la valutazione a LIFO e quella con il FIFO deve essere rilevata come rettifica dei saldi
d’apertura, senza transitare da conto economico, ma con addebito alla posta di patrimonio netto “Utili
perdite a nuovo” (Riserva). Conseguentemente gli utili e le perdite riportate a inizio esercizio si
incrementeranno. La variazione tra il valore delle rimanenze alla data di apertura e chiusura di bilancio
(pari a 600) sarà rilevata nel conto economico dell’anno precedente. Verranno alimentate quindi le
seguenti scritture contabili:
a
Riserve
600
Per visionare la scrittura di fine esercizio, si veda l’esempio 1.1 all’interno del presente capitolo al
precedente paragrafo (la scrittura di chiusura è infatti la medesima)
110
La valutazione errata delle rimanenze di magazzino (ed in particolare la contropartita
economica di variazione delle rimanenze rispetto al precedente esercizio) influenza
l’EBIT111 e l’EBITDA112. L’EBIT coincide con il reddito operativo che viene calcolato
sottraendo al fatturato i costi operativi esterni, il costo del lavoro, gli ammortamenti e le
svalutazioni. L’EBIT rappresenta il principale indicatore della capacità dell’impresa di
produrre reddito con la sua attività operativa, senza considerare i componenti di reddito
di natura finanziaria, quelli straordinari e le imposte sul reddito.
L’EBITDA coincide invece con il margine operativo lordo o MOL, che viene calcolato
sottraendo al fatturato i costi operativi esterni ed il costo del lavoro, ma non gli
ammortamenti e le svalutazioni. Il margine operativo lordo (MOL o EBITDA) consente
di verificare se la società realizza un’eccedenza di risultati dalla sola gestione ordinaria,
esclusi gli ammortamenti e le svalutazioni.
L’EBITDA risulta quindi estraneo alle eventuali politiche di bilancio fatte su
ammortamenti e svalutazioni e può essere calcolato anche come la somma tra il
reddito operativo e gli ammortamenti e svalutazioni113.
Per via delle informazioni delicate riferite a tale area ed alla difficoltà che talvolta vi può
essere nella gestione, spesso le rimanenze di merci sono un’area rischiosa e bisogna
porre delle corrette procedure di inventariazione delle giacenze e fare gli opportuni
calcoli al fine di valutare scostamenti e porre in essere procedure che permettano una
rilevazione precisa ed accurata nel calcolo di quanto presente in magazzino.
110
Per semplicità di rappresentazione, non si tiene conto dell’effetto delle imposte differite
Earning before interest and taxes
112
Earning before interest, taxes, depreciation and amortization
113
G. Ferrero, F. Dezzani, P. Pisoni, L. Puddu, Analisi di bilancio e rendiconti finanziari, Giuffrè editore,
Milano, 2006
111
44
2. I principi di revisione: il rischio del revisore nel giudizio di aree
semplici ma critiche
2.1.
Le società di revisione ed i principi di revisione
I principi contabili elencati ed analizzati nel precedente capitolo sono strettamente
collegati ad un’altra categoria di principi: quelli di revisione.
Tali principi sono quelli a cui devono attenersi le società di revisione, in qualità di
revisore indipendente terzo del bilancio delle società.
Gli organi di controllo della società sono differenti a seconda che quest’ultima sia
quotata o meno114, del tipo di società scelta dall’imprenditore (per esempio Snc, Spa,
ecc.) e per via della grandezza della stessa (laddove i flussi informativi interni che
costituiscono il bilancio sono maggiori, la società deve dotarsi di un sistema di controllo
interno più articolato, in modo da prevenire eventuali errori). In generale gli organi di
controllo previsti dalla legge sono:
 Il Collegio sindacale (previsto sia per le società quotate che non quotate dal
Codice civile115);
 Società di revisione (obbligatorie solamente per le società quotate)116;
 Internal auditing (introdotto per individuare i rischi legati ai processi operativi e
legato alle società quotate; si veda il capitolo 4 della presente trattazione per
maggiori approfondimenti)117;
 Comitato per il controllo interno (adesione facoltativa per le società quotate)118;
 Organismo di vigilanza (adesione facoltativa e legato alle società quotate; esso
può anche coincidere con l’Internal audit; si veda il capitolo 4 della presente
trattazione per maggiori approfondimenti)119.
114
Per società quotata si intende un ente i cui titoli di capitale e di debito sono ammessi alla
negoziazione presso una borsa valori (fonte sito internet www.consob.it, sito della Commissione
Nazionale per le Società e la Borsa)
115
Art. 2435 bis Codice civile
116
Introdotte dal Decreto del Presidente della Repubblica n.136/1975, ormai abrogato e sostituito dal
D.Lgs. 58/1998
117
Introdotte dal Decreto del Presidente della Repubblica n.136/1975, ormai abrogato e sostituito dal
D.Lgs. 58/1998
118
Codice di autodisciplina in applicazione del D.Lgs. n. 24/2002
45
L’agire di questi organi di controllo interno è a loro volta monitorato da altri organismi
nazionali quali: la Consob120, la Banca d’Italia, l’ISVAP121 ed il Covip122 123.
Le società di revisione dei conti analizzano il bilancio delle aziende con l’obiettivo di
garantire l’attendibilità delle informazioni in esso contenute affinchè risulti corretto e
veritiero e che non infici in maniera significativa le decisioni degli stakeholder della
società (si rimanda al capitolo 1 per le specifiche circa tale punto)124.
Il soggetto incaricato del controllo contabile deve:
 Verificare con periodicità almeno trimestrale la regolare tenuta della contabilità
sociale e la corretta rilevazione nelle scritture contabili dei fatti di gestione125;
 Verificare se il Bilancio d’esercizio e l’eventuale Bilancio consolidato
corrispondano alle risultanze delle scritture contabili e degli accertamenti
eseguiti e se sono conformi alle norme che li disciplinano.
L’attività di controllo contabile si conclude con la redazione di una relazione in cui viene
espresso un giudizio professionale sul Bilancio d’esercizio e, eventualmente, sul
Bilancio consolidato126. Il giudizio può essere:
 Senza rilievi (conformità alle norme che disciplinano la redazione dei bilanci);
 Con rilievi (mancanza di conformità alle norme per via di disaccordo su criteri
adottati, errori, inadeguatezza informativa e limitazioni al processo di revisione
per impedimenti e limitazioni nell’acquisizione di elementi probativi)
 Negativo (applicazione non corretta dei criteri contabili o inadeguata
informazione tali da rendere inattendibile il bilancio);
 Impossibilità di esprimere un giudizio (limitazioni alle procedure di revisione tali
da far mancare elementi indispensabili per un giudizio)127.
119
D.Lgs. 231/2001
Commissione Nazionale per le Società e la Borsa, la cui attività è rivolta alla tutela degli investitori,
all’efficienza, alla trasparenza e allo sviluppo del mercato mobiliare italiano (fonte sito internet
www.consob.it, sito della Commissione Nazionale per le Società e la Borsa)
121
Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo
122
Commissione di vigilanza sui fondi pensione
123
In tale sede non si ritiene necessario approfondire ulteriormente le peculiarità ed i compiti di tali
organi
124
125
In conformità a quanto previsto dal primo comma dagli articoli 2409-ter lettera a) del Codice Civile e
seguenti
126
Comunicazione Consob n. DAC/99088450 del 1999 per le società quotate; D.Lgs. n. 32/2007 per le
società non quotate
120
46
La società di revisione emette inoltre un giudizio di coerenza tra la relazione sulla
gestione ed il bilancio128.
La relazione finale della società di revisione riporta al secondo paragrafo il richiamo dei
principi e criteri per la revisione contabile raccomandati dalla Consob, indicando che
tali principi sono stati seguiti per condurre l’esame di bilancio.
I principi di revisione sono nati verso la metà degli anni ’70, emanati dal Consiglio
nazionale dei Dottori commercialisti e dal Consiglio nazionale dei Revisori contabili.
Essi costituiscono un punto di rifermento vincolante per le società di revisione, anche
per i lavori di revisione volontaria.
In particolare i principi di revisione sono diversi ma hanno il comune obiettivo di definire
gli standard in base ai quali deve essere commisurato il livello qualitativo della
revisione e di statuire gli standard per limitare la discrezionalità del revisore.
I principi generali della revisione contabile del bilancio sono indicati sui principi129 e
sono:
 Indipendenza (formale e sostanziale);
 Integrità (onestà intellettuale);
 Obiettività (imparzialità);
 Competenza (da mantenere);
 Diligenza (propria);
 Riservatezza (salvo eccezioni);
 Professionalità;
 Rispetto dei principi tecnici.
Tutte le società di revisione devono attenersi a tali principi e sono responsabili sotto il
profilo civile per la mancata o erronea applicazione dei principi di revisione con
conseguenze sulla correttezza del giudizio espresso e sotto il profilo penale per false
relazioni o comunicazioni, ostacolo all’attività delle autorità pubbliche di vigilanza,
rapporti patrimoniali illeciti con la società, compensi illegalmente percepiti ed uso e
divulgazione di notizie riservate.
127
F. Bava, A. Devalle, Le relazioni al bilancio degli organi di controllo, Euroconference, Verona, 2009
Principio di revisione n. 001, 2009, adottato da Consob con delibera n. 16801, 2009
129
Doc. 200 – Obiettivi e principi contabili della revisione contabile del bilancio
128
47
Gli obiettivi della revisione contabile sono acquisire ogni elemento necessario per
consentire al revisore di esprimere un giudizio se il bilancio è redatto, in tutti gli aspetti
significativi, in conformità al quadro normativo di riferimento130.
I principi di revisione vengono costantemente rinnovati al fine di allinearsi a quanto
previsto dai principi di revisione internazionali di revisione, gli ISA131.
2.2.
Un caso particolare di analisi: la società di revisione PricewaterhouseCoopers
Spa
In Italia e nel mondo sono presenti diverse società di revisione (a livello nazionale sono
22132), anche se generalmente per gli operatori del settore le principali sono quattro e
sono definite spesso le Big four. In particolare:
 PricewaterhouseCoopers (dipendenti nel mondo 163 mila, ricavi annui 2009
26,2 mld dollari USD)133;
 Deloitte & Touche (dipendenti nel mondo 168 mila, ricavi annui 2009 26,1 mld
dollari USD)134;
 Ernst & Young (dipendenti nel mondo 144 mila, ricavi annui 2009 21,4 mld
dollari USD)135;
 KPMG (dipendenti nel mondo 135 mila, ricavi annui 2009 20,1 mld dollari
USD)136.
Tra le quattro leader del mercato, si è scelto di analizzare la metodologia utilizzata
dalla più grande in termini di fatturato: la PricewaterhouseCoopers Spa.
Va comunque sottolineato che la differenza di approccio tra le diverse Società di
revisione iscritte all’Albo speciale tenuto dalla Consob non è molta: infatti nello stabilire
la propria metodologia di lavoro tutte devono attenersi, come precedentemente
anticipato, ai principi di revisione.
130
International standards on auditing
132
Fonte sito internet www.consob.it, sito della Commissione Nazionale per le Società e la Borsa
133
Fonte sito internet www.pwc.com, sito ufficiale della Società di revisione PricewaterhouseCoopers
134
Fonte sito internet www.deloitte.com, sito ufficiale della Società di revisione Deloitte & Touche
135
Fonte sito internet www.ey.com, sito ufficiale della Società di revisione Ernst & Young
136
Fonte sito internet www.kpmg.com, sito ufficiale della Società di revisione KPMG
131
48
2.2.1. La PwC Audit Guide
La metodologia di revisione PricewaterhouseCoopers è chiamata PwC audit. Questa
metodologia è basata sulle norme di revisione internazionali (ISA), sui principi di
revisione italiani e su “best practise” maturate operando da anni nel settore. La Guida
di revisione PwC spiega la metodologia PwC e fornisce un approccio comune in
materia di revisione per le società facenti parte del network. La Guida espone in
maniera dettagliata gli strumenti ed i test da applicare sul bilancio nel corso dell’attività
di audit e, oltre ai criteri di controllo, questa Guida analizza anche la gestione dei rischi
e l’indipendenza del revisore (richiamata nel paragrafo 2.1. del presente capitolo).
In particolare, il rischio che il revisore deve fronteggiare nel corso del proprio lavoro è
quello che l’informativa finale non sia corretta ed il lettore del bilancio possa essere
sostanzialmente inficiato nelle proprie decisioni di investimento.
La gestione dei rischi prevista nella PwC audit guide prevede quindi che, sulla base del
bilancio da analizzare137, vada analizzato il rischio che il revisore corre nell’emettere un
giudizio non corretto, e questa operazione deve essere fatta preliminarmente rispetto
all’inizio dell’attività di audit (intesa come raccolta della documentazione probatoria e
dei test di dettaglio svolti sulle varie aree di bilancio per comprendere se la loro
iscrizione
è
corretta).
L’approccio
descritto
nello
specifico
utilizzato
dalla
PricewaterhouseCoopers verrà analizzato in maniera più completa nel capitolo
successivo.
I rischi di revisione sono comunque strettamente correlati a quelli che sono gli obiettivi
finali del revisore. Genericamente essi sono già stati esposti all’interno del paragrafo
2.1. . In ogni caso, gli obiettivi del revisore sono anche riepilogati all’interno del format
per l’emissione del giudizio finale sul bilancio (opinion). Infatti al punto 1 viene
dichiarato che “la responsabilità della redazione del bilancio compete agli
amministratori”. E’ comunque della società di revisione “la responsabilità del giudizio
professionale espresso sul bilancio e basato sulla revisione contabile”.
Al punto 2 della relazione del revisore viene esplicitato che l’esame è condotto
“secondo i principi e criteri per la revisione contabile raccomandati dalla Consob” e che
in conformità a tali principi e criteri, la revisione è “pianificata e svolta al fine di acquisire
137
Ad esempio una distinzione è tra un bilancio di una società industriale e quello di una banca
49
ogni elemento necessario per accertare se il bilancio non sia viziato da errori
significativi e se risulti, nel suo complesso, attendibile”.
Nel giudizio finale, viene anche esposto che le verifiche vengono comunque fatte a
campione sulla base dei criteri previsti dai principi di revisione.
2.3.
La PwC audit guide ed i test richiesti per la voce “Disponibilità liquide”138
L'obiettivo fondamentale delle analisi da effettuarsi sui saldi bancari consiste nel
verificare che i dati di bilancio siano autentici, correttamente registrati e sommati.
L'asserzione139 dell’autenticità è soddisfatta tramite le conferme dirette dalle banche e
la conta delle giacenze di cassa detenute dalla società.
L'asserzione della corretta registrazione e della correttezza della somma è soddisfatta
invece tramite la verifica delle riconciliazioni bancarie, la richiesta di conferme dirette
dalla banca circa quanto riportato in bilancio dalla società, la verifica della correttezza
del cut-off finanziario e la verifica della conversione in euro dei saldi in valuta estera
(per verificare la corretta applicazione del tasso di cambio).
L’area delle banche è quella cui va posta maggiore attenzione in quanto presenta la
maggiore componente di rischio, poiché in caso di anomalie o eccezioni, l’area banche
è quasi sempre implicata. Preliminarmente, così come per tutte le aree e come
vedremo nel seguente capitolo, andrà valutato il sistema di controllo interno posto in
essere dalla società, il mapping dei conti utilizzati, i transitori, ecc. .
2.3.1. Le riconciliazioni bancarie
La riconciliazione permette di ricostruire le cause delle differenze tra le risultanze
contabili ed il saldo riportato nell'estratto conto inviato dalla banca.
Vi sono due motivi che possono generare differenze:
 Registrazioni in contabilità che non sono ancora state effettuate dalla banca,
tipicamente:
 assegni emessi e non ancora addebitati sul conto;
138
Fonte per l’intero paragrafo: PricewaterhouseCoopers, PwC audit guide, 2010
Le asserzioni di bilancio utilizzate nella procedura di audit per stabilire come testare un saldo
vengono definite nel capitolo successivo
139
50
 bonifici bancari non ancora addebitati sul conto;
 Registrazioni già effettuate dalla banca, ma non ancora effettuate in contabilità,
tipicamente:
 interessi maturati;
 bonifici da clienti.
Occorre comunque sottolineare che non tutti gli errori possono essere individuati
tramite la verifica della corretta predisposizione delle riconciliazioni bancarie, in quanto
possono esserci operazioni (erroneamente) non registrate né dalla società né dalla
banca.
Le riconciliazioni devono essere predisposte periodicamente (di solito trimestralmente
o mensilmente a seconda della dimensione e complessità dell'azienda) per tutti i conti
bancari: c/c, c/anticipi, conti in valuta estera, conti ri.ba.140. Tutte le riconciliazioni
richiedono inoltre di essere controfirmate a dimostrazione che sono state vistate da un
apposito responsabile (può essere il direttore finanziario ove presente od il
responsabile amministrativo).
La predisposizione periodica e tempestiva di questi prospetti di raccordo, nonché la
pronta indagine e sistemazione delle voci individuate come errate, costituisce un
elemento imprescindibile del sistema di controllo nell'area banche per qualunque
società141.
Operativamente la guida richiede che vengano effettuate diverse attività al fine di
verificare le riconciliazioni bancarie. Tali operazioni sono:
 ottenere le riconciliazioni bancarie di tutti i conti;
 verificare la correttezza dei saldi (contabilità ed e/c) e le somme;
 testare a campione gli importi ritenuti significativi.
Nell’ottenimento delle riconciliazioni di tutti i conti, bisogna assicurarsi che la società
abbia predisposto i prospetti anche per i conti a saldo zero, perché, ai fini del controllo
che viene effettuato, si avrà evidenza che anche quel conto è stato monitorato.
Una volta ottenuto il prospetto di riconciliazione, la prima verifica che si deve effettuare
è la spunta del saldo in contabilità (con la scheda contabile che deve quadrare con il
140
141
Conti in cui sono registrati gli anticipi per ricevute bancarie
PricewaterhouseCoopers, Quick wins 2008, 2008
51
bilancio di verifica) e del saldo da e/c (che deve quadrare con l’e/c della banca). Inoltre
va eseguita la somma degli importi in riconciliazione per verificare che sia stata
correttamente predisposta. I documenti da verificare devono essere sempre quelli
originali.
Secondo i criteri di significatività142, bisogna infine selezionare gli importi in
riconciliazione
ed
andare
a
testare,
mediante
presa
visione
di
opportuna
documentazione di supporto, la correttezza o meno dell’iscrizione dell’importo in
riconciliazione.
Va tenuto presente che:
 per i pagamenti la data di contabilizzazione è quella della disposizione ordinata
dalla società, a prescindere dalla data di esecuzione da parte della banca (così
come previsto dal principio contabile nazionale analizzato nel capitolo 1);
 per gli incassi fa fede la data di contabilizzazione da parte della banca
sull’estratto conto. Non fa fede la data valuta, la data corretta è la data
operazione.
Unica eccezione a questo principio è rappresentata dalle operazioni con carte di
credito, per le quali si considera l’incasso e il pagamento al momento della transazione.
Pertanto, se su un prospetto di riconciliazione si trovano operazioni registrate dalla
banca e non dalla società, si è probabilmente di fronte ad un errore.
Nella selezione degli importi da esaminare non è sufficiente basarsi esclusivamente
sull’importo e selezionare per le verifiche i più alti, ma anche su altre caratteristiche,
quali anzianità della posta in riconciliazione.
Nel caso di operazioni registrate dalla società e non dalla banca è necessario
assicurarsi il recepimento della registrazione da parte della banca nell’estratto conto
del mese successivo.
Le competenze bancarie sono una delle poste che si trovano frequentemente nei
prospetti di riconciliazione, in quanto le società devono contabilizzarli a fine periodo,
ma non è detto che le banche li registrino sull’estratto conto del periodo. Se non vi
sono disallineamenti tra il saldo riportato sull’estratto conto e la contabilità generale, ci
142
Tale concetto verrà meglio spiegato nel capitolo successivo
52
si deve accertare che la banca le abbia registrate nell’e/c, altrimenti si è di fronte ad un
errore da parte della società.
Figura 2.1 -
Esempio di prospetto di riconciliazioni bancarie
Importi in €/000
Verifiche: importi in valore assoluto > 50% importi in riconciliazione
Il delta è dovuto a:
a)
b)
c)
d)
Saldo coge al 31 dicembre 2010
Accrediti non registrati dalla società
Accrediti non registrati dalla banca
Addebiti non registrati dalla società
Addebiti non registrati dalla banca
356
28 §
Saldo c/c banca X al 31 dicembre 2010
384
TM:
§ Verificato l'importo più elevato presente in riconciliazione. Dettaglio importi in riconciliazione:
Disposizione di pagamento verso fornitore A del 28 dicembre 2010
Disposizione di pagamento verso fornitore J del 30 dicembre 2010
16 ç
12
ç Verificata disposizione di pagamento alla banca X della società del 28 dicembre 2010 per materiale acquistato
Verificata registrazione su e/c bancario avventa il giorno 3 gennaio 2011
Figura 2.2 -
Prospetto di riepilogo per le riconciliazioni bancarie
A Srl - Riconciliazioni bancarie al 31 dicembre 2010
Importi in €/000
Verificati importi in riconciliazione > 10 €/000
Banca
Banca A
Banca B
Banca C
Banca D
Banca E
Numero
c/c
Saldo Coge al 31
dicembre 2010
12
23
45
76
96
99
Banca E
Totale Disp. Liquide Depos. Bancari e C/C
T.M.:
§
#
a
§
364
908
333
276
43
68
1.992
E/C Banca al 31
dicembre 2010
§
§
§
§
§
53
Note
#
#
#
#
#
#
-48
1
-3
-43
§
364
956
332
279
86
68
a
2.085
a
(93)
as BdV al 28 febbraio 2010
as E/c bancario al 28 febbraio 2010
footed PwC
verificato PwC
Delta
-
§
§
2.3.2. Il cut-off delle banche
L'obiettivo del cosiddetto “test di cut-off finanziario” è quello di verificare che i saldi
bancari iscritti in bilancio tengano conto di tutti e soli i movimenti finanziari aventi
competenza anteriore o corrispondente al giorno di chiusura dell'esercizio sociale.
Come sopra sinteticamente espresso quindi, i saldi dei conti bancari devono tenere
conto di tutti gli assegni emessi e dei bonifici disposti entro la data di chiusura
dell'esercizio e degli incassi effettuati dalle banche od altre istituzioni creditizie ed
accreditati nei conti prima della chiusura dell'esercizio, anche se le contabili bancarie
sono pervenute nell'esercizio successivo.
Al fine di verificare la presenza di errori di cut - off finanziario e la corretta applicazione
della società del principio di competenza, si deve ottenere dalla società stessa copia
degli estratti conto bancari / remote banking relativi al mese successivo a quello di
chiusura.
Da questi estratti conto vanno verificate le disposizioni di pagamento delle operazioni
registrate durante i primi giorni del mese, di importo più elevato, ottenendo dalla
Società la relativa documentazione di supporto (disposizioni di pagamento). A questo
punto, per tutte le operazioni selezionate occorrerà verificare quando la società ha
effettuato la registrazione e se è stato correttamente applicato il principio di
competenza.
Questa attività di controllo può essere svolta correttamente soltanto coordinandola con
la verifica delle riconciliazioni (è con le riconciliazioni che si verifica il cut off relativo a
operazioni registrate a cavallo d’esercizio da una delle due controparti e non dall’altra).
54
Figura 2.3 -
Esempio di test di cut-off finanziario
Test Cut Off finanziario
Selezionati pagamenti > 10 €/000 (per i primi 15 giorni di gennaio 2010)
Importi in €/000
Banca
Importo
Descrizione
Data
Data
registrazione disposizione
banca
pagamento
Data
registrazione
in Co.ge del
Pagamento
Competen
za FY
2009
Competen
za FY
2010
Banca A
33
Assegni circolari
4-gen-10
2-gen-10
gen-10
X
Banca A
49
N. 3 disposizioni
4-gen-10
2-gen-10
gen-10
X
Banca B
47
N. 2 effetti ritirati 4-gen-10
2-gen-10
gen-10
X
Banca B
39
N. 1 bonifico
4-gen-10
2-gen-10
gen-10
X
Banca C
77
Bonifico
11-gen-10
5-gen-10
gen-10
X
Banca C
30
Girofondo
10-gen-10
5-gen-10
gen-10
X
Banca C
75
Riba
2-gen-10
31-dic-09
gen-10
Banca C
60
Bonifico
9-gen-10
5-gen-10
gen-10
X
Banca C
33
Riba
8-gen-10
2-gen-10
gen-10
X
Banca C
54
Riba
4-gen-10
2-gen-10
gen-10
X
Banca C
13
Riba
3-gen-10
2-gen-10
gen-10
X
Banca C
38
Girofondo
3-gen-10
31-dic-09
dic-09
X
Errore
75
X
Totale
75
2.3.3. La circolarizzazione delle banche
Tale procedura consiste nell'inviare a tutte le banche presso cui la società ha acceso
dei conti bancari a fine periodo (e quelle estinte durante l’anno) una lettera standard al
fine di ottenere informazioni, codificate già da tempo in un apposito modulo ABI.
La risposta della banca deve essere analizzata ed indagata in ogni sua informazione e
deve esserne verificata la corrispondenza in bilancio, sia per quanto indicato negli
importi di conto corrente che per quanto riguarda eventuali fidi, garanzie, ecc. .
Tutte queste informazioni vanno verificate con l’e/c della banca. Per i fidi occorre
visionare anche le lettere della banca in cui si autorizza la concessione del fido.
Per i conti chiusi nel corso dell'esercizio, occorre verificare il dato con la lettera di
chiusura del conto inviata alla banca e con l’e/c di chiusura. Riguardo invece le
garanzie prestate dalla banca per conto della società, le fideiussioni/lettere di
patronage ecc. vanno verificate visionando la lettera originale della garanzia.
Per gli effetti e documenti della società presso la banca per lo sconto, l'accredito s.b.f.
o l'incasso (es. ri.ba.) la risposta banca (generalmente un saldo) va quadrata con le
55
distinte di presentazione, ovvero l’elenco degli effetti che la società ha presentato per
l’incasso.
L’elenco nominativo dei titoli e loro valore va quadrato con gli e/c che la banca invia
alla società.
Le altre informazioni presenti sul modulo della banca vanno verificate con l’opportuna
documentazione a supporto.
2.3.4. La conta di cassa
Si tratta di una procedura di revisione che consente di raggiungere un elevato livello di
“audit satisfaction”, per quanto riguarda in particolare l'asserzione dell'esistenza143.
Se svolta nel giorno di chiusura dell'esercizio, permette di ottenere un riscontro diretto
del saldo di bilancio. Se invece effettuata ad una data successiva, occorrerà effettuare
il cosiddetto "roll-back".
In sostanza, bisogna ottenere la ricostruzione di tutti i movimenti verificatisi dalla
chiusura dell'esercizio fino alla data della conta e verificare alcuni di essi con la relativa
documentazione di supporto (es. ricevute di prelievo autorizzate, contabili per i
reintegri, ecc.).
Nel caso in cui in cassa vi siano delle giacenze in valuta, queste devono formare
oggetto di conta separata e deve essere effettuato un adeguato follow-up della
valorizzazione delle stesse nel bilancio in euro, convertendole al tasso di cambio di
chiusura periodo, esattamente come per i saldi bancari.
143
Per un’analisi specifica sulle operazioni di bilancio si rimanda al capitolo seguente
56
Figura 2.4 -
Esempio riepilogo conta cassa fatta nel giorno di chiusura
A Spa
Conta di cassa del 31 dicembre 2010
€
Quantità
500
200
100
50
20
10
5
2
1
0,50
0,20
0,10
0,05
0,02
0,01
Assegni
3
4
65
2
4
3
67
54
24
54
32
12
365
Totale
Valore
A
300,00
200,00
1.300,00
20,00
20,00
3,00
33,50
10,80
2,40
2,70
0,64
0,12
365,00
2.258,16
A
T.M.
A As scheda contabile al 31 dicembre 2010
Personale PwC
Personale della società
Nome Cognome
Nome Cognome
Firma
Firma
Successivamente va visionato il libro cassa (un registro in cui sono annotati tutti i
movimenti di cassa) o documenti sostitutivi (archivio delle ricevute). Bisogna quindi
procedere a selezionare da questi registri le movimentazioni più significative dalla data
di conta a quella di chiusura di bilancio.
57
Figura 2.5 -
Esempio roll-back
roll
A Spa
Conta di cassa del 31 gennaio 2010
€
Quantità
500
200
100
50
20
10
5
2
1
0,50
0,20
0,10
0,05
0,02
0,01
Assegni
3
4
65
2
4
3
67
54
24
54
32
12
365
Totale
Valore
A
300,00
200,00
1.300,00
20,00
20,00
3,00
33,50
10,80
2,40
2,70
0,64
0,12
365,00
2.258,16
A
T.M.
A As scheda contabile al 31 gennaio 2010
Verifiche movimenti > 500 €
Movimenti 31 dicembre 2009 - 31 gennaio 2010
Entrate gennaio
342,10
567,88
§
Uscite gennaio
§
982,01
111,76
909,98
1093,77
Totale
B
C
2.441,95 Ok con scheda contabile 31 dicembre 2009 (A-B+C)
TM:
§
Verificati PwC
567,88 = reintegro del 12 gennaio 2010. Ok con e/c 2 gennaio
ge
2010
982,01 = pagamento fattura del 13 gennaio 2010. Ok con fattura n. 2 verso fornitore X
2.4.
La PwC audit guide: i test richiesti per le rimanenze di magazzino per ottenere
conforto circa l’applicazione dei principi richiesti dalla legge144
Come visto all’interno del capitolo 1, per verificare le giacenze presenti nel magazzino
sono previste procedure di inventariazione fisica del materiale145.
144
Fonte per l’intero paragrafo: PricewaterhouseCoopers, PwC audit guide,, 2010
58
La procedura dell’inventario fisico permette di verificare l’esistenza e la correttezza
della quantità di merci/materie prime/prodotti ecc. presente nel magazzino contabile
della società. Avendo per oggetto grandezze fisiche, il valore dei beni serve come base
per la selezione, ma l’obiettivo che si pone il test è inerente solo alle quantità. Il prezzo,
o più in generale il valore dei beni, viene testato con altre procedure, che verranno
esposte successivamente.
Lo svolgimento della procedura prevede alcune fasi quali:
 Revisione delle procedure dell’inventario del cliente;
 Programma di lavoro dell’inventario;
 Tracing dell’inventario;
 Cut off di magazzino.
2.4.1. Le procedure d’inventario del cliente
La prima attività che vede coinvolto il revisore è quella della revisione delle procedure
d’inventario fisico.
Vi sono alcune cose da considerare per valutare l’accuratezza della procedura ad
esempio:
 Che sia conosciuta dai partecipanti;
 Che preveda l’apposizione di cartellini o altri segni identificativi dei materiali nel
magazzino;
 Che per tutti i prodotti che arrivano durante l’inventario sia previsto uno stock
separato, magari con apposizione di cartellini indicanti di non inventariare;
 Che le istruzioni prevedano sempre una conta di verifica delle differenze
riscontrate.
La valutazione delle istruzioni permetterà di fare più o meno affidamento sul
comportamento della società e di conseguenza di selezionare un campione da
verificare più o meno ampio.
145
OIC 13: Le rimanenze di magazzino
59
La società può svolgere sia l’inventario in un unico periodo (per esempio a fine anno)
oppure applicare una procedura di inventario ciclico, attraverso una conta a campione
dei codici per assicurarsi della corretta giacenza a rotazione nel corso dell’esercizio.
2.4.2. Il programma dell’inventario
Il personale della società di revisione, dopo aver ricevuto i tabulati di magazzino,
selezionerà dei codici a campione da contare. L’inventario fisico può essere
sostanzialmente di due tipi:
 Procedurale;
 A copertura.
Nel primo tipo di inventario l’obiettivo è quello di capire, attraverso la verifica, se le
procedure seguite dalla società sono corrette, avendo come evidenza un certo numero
di prodotti contati. Questo tipo di inventario si effettua di solito presso clienti di grandi
dimensioni.
Nell’inventario a copertura invece l’obiettivo è quello di avere assicurazione che una
percentuale significativa del valore di magazzino esista.
In entrambi i casi, in genere, i codici selezionati dal tabulato146 avranno come base di
selezione il loro valore totale a magazzino.
Insieme al personale del magazzino il revisore verifica che fisicamente le risultanze dei
tabulati corrispondano alla merce presente in magazzino. La conta viene effettuata
dalla società, il revisore provvede solo a supervisionare e verificare la correttezza della
quantità contate.
Durante la fase di conta bisogna tener presente che il magazzino deve essere chiuso,
cioè che non vi siano movimenti di carico e scarico di merce perché questo potrebbe
pregiudicare la giacenza contata.
Il revisore deve inoltre prestare attenzione ad identificare le caratteristiche “qualitative”
della merce che viene contata (es. per notare se vi sono segni di particolare
obsolescenza, merce danneggiata o altro).
146
Il tabulato di magazzino non è altro che un elenco dettagliato dei materiali presenti nel magazzino
della società, con indicazione del codice, della descrizione del prodotto, della quantità giacente, dell’unità
di misura e del valore
60
Va inoltre ottenuta documentazione di supporto relativamente ad eventuale merce in
viaggio, merce in deposito e merce in conto vendita. Per merce in viaggio si intende la
quantità di merce non ancora pervenuta presso la società ma di cui la società risulta
già proprietaria (se il momento di passaggio di proprietà è la data di spedizione). Per
merce in deposito si intendono invece i prodotti di terzi stoccati presso i magazzini della
società (da non includere nella conta fisica) o prodotti della società immagazzinati
presso magazzini esterni (da includere nella conta fisica e da verificare mediante
procedura di circolarizzazione del depositario od eventualmente mediante inventario
fisico presso quest'ultimo). Per merce in c/vendita si intendono infine le quantità
fatturate ma non ancora spedite. Potrebbero costituire un errore di cut off. Tali prodotti
devono essere tenuti ben separati dalla società. Analizzando la documentazione di
supporto il revisore deve poter concludere sulla loro inclusione o meno nelle risultanze
dell'inventario fisico a seconda che il trasferimento della proprietà si sia già verificato.
2.4.3. Il tracing
Questo test si effettua in sede di final audit147 sul bilancio alla data di chiusura.
Lo svolgimento è piuttosto semplice: esso richiede l’utilizzo del tabulato finale di
magazzino della società in quadratura con il bilancio.
Non appena ottenuto, il revisore deve verificare che le quantità contate in sede di
inventario fisico siano state correttamente riportate dalla società.
2.4.3.1.
Il bridging
Nel caso in cui la data di inventario fisico non coincida con la data di chiusura del
bilancio, sarà inoltre necessario, una volta effettuato il tracing, effettuare anche il
bridging dell'inventario fisico; vale a dire, attraverso l'analisi documentale di ogni tipo di
movimento (acquisti, vendite, carichi e scarichi a/da produzione, trasferimenti a/da
depositi, ecc) intercorsi tra la data di inventario e la data di bilancio, essere in grado di
concludere sulla correttezza della quantità alla data di bilancio.
147
Il final audit viene generalmente effettuato dopo un certo periodo dalla data di chiusura temporale
della società, per permettere alla stessa di effettuare tutta la chiusura dei conti e preparare tutta la
documentazione che sarà poi oggetto di analisi da parte del revisore esterno
61
Figura 2.6 -
Esempio di bridging del magazzino
A Spa
Audit al 31.03.2010
Tracing di magazzino
Valori in €
Criterio di selezione verifiche: Delta valorizzato > 10 €/000
DATI INVENTARIO FISICO DI MAGAZZINO
+
+
+
+
DATI BRIDGING
ì
è
ò
@
@
à
@
Prodotto
Prod finiti
Prod finiti
Prod finiti
Q.TA'
PREINVENT.
Cod Descriz UM
(a)
2
a
M2 83
3
b
KG 40
6
c
KG 35
Q.TA
soc A
Post Q.TA
invent PWC
(b)
(c)
85
85
40
40
31
31
Delta
(ca)
2
(4)
Delta
(c-b
)
-
Quant
al
31/3
($)
85
40
33
Delta
($-&)
2
Prod finiti
4
d
M2
56
49
49
(7)
-
29
(20)
Verifica
PwC
§
Mat prima
Mat prima
Mat prima
Mat prima
8
22
99
88
e
r
t
o
KG
KG
M2
KG
70
4
3
43
66
4
4
38
66
4
4
38
(4)
1
(5)
-
66
3
4
38
(1)
-
ç
-
Delta valorizzato movimenti 25/03/2010 (giorno inventario fisico di magazzino) - 31/03/2010
TM:
ç
§
+
ì
è
ò
@
à
+
@
Valore
Unitario
791
1.652
2.040
Delta
valorizz
4.081
1.085
(21.700)
800
11.475
11.128
1.203
(11.475)
(29.094)
Bolla n. 9 del 29.03 per 10 mq; bolla n.10 del 30.03 per 10 mq
Verificato ordine di produzione controfirmato 31.03.2010
Ok con tabulati di magazzino
Ok con tabulato pre inventariale (24 marzo 2010)
Ok con tabulato post inventariale (25 marzo 2010)
Ok con conta fisica PwC 25 marzo 2010
Footed PwC
Ok con tabulato fine esercizio (31 marzo 2010)
2.4.4. Il cut off
Per effettuare il test di cut off di magazzino il revisore deve richiedere alla società copia
delle prime e delle ultime bolle di entrata e di uscita del materiale (il loro numero può
variare in funzione della significatività, generalmente è 5, che vuole dire un ammontare
totale di 20 bolle).
Ottenute le bolle, il revisore provvede a verificare il rispetto del principio della
competenza, verificando che i carichi e gli scarichi di magazzino corrispondano con le
date in cui la merce è o meno di proprietà della società.
62
Figura 2.7 -
Test di cut off di magazzino sulle vendite
A Spa
Test sul cut-off di magazzino
USCITA MERCI
BOLLA D'USCITA
Numero
Data
Data reg.
Cliente
Incoterm148
Contab.
generale
Ultime di dicembre
99
31-dic-05
98
31-dic-05
97
31-dic-05
96
31-dic-05
95
31-dic-05
s Spa
e Spa
i Spa
s Spa
o Spa
Franco destino149
Franco destino
Franco fabbrica (EXW)150
Franco a bordo (FOB)151
Franco fabbrica (EXW)
31-dic-05
31-dic-05
31-dic-05
31-dic-05
1-gen-06
Prime di gennaio
1
1-gen-06
2
1-gen-06
3
1-gen-06
4
1-gen-06
5
2-gen-06
s Spa
o Spa
y Spa
t Spa
r Spa
Franco a bordo (FOB)
Franco destino
Franco fabbrica (EXW)
1-gen-06
1-gen-06
2-gen-06
3-gen-06
3-gen-06
TM:
§
a
b
c
a
b
c
§
Errore di cut off di magazzino
Arrivo a destinazione: 31 dic 2005 --> ok, no errore di cut off
Arrivo a destinazione: 2 gen 2006 --> errore di cut off
Inizio trasporto: 31 dic 2005 --> ok, no errore di cut off
148
Con tale termine si indica il momento del passaggio della proprietà dei beni oggetto dello scambio,
con il passaggio dei relativi rischi e benefici
149
Tale incoterm stabilisce che il passaggio della proprietà e dei connessi rischi e benefici avviene
solamente quando la merce avrà raggiunto il luogo di destinazione, e cioè il magazzino del compratore
150
Tale incoterm stabilisce che il passaggio della proprietà e dei connessi rischi e benefici avviene
immediatamente, all’atto di uscita dallo stabilimento del venditore (data di emissione della bolla)
151
Tale incoterm stabilisce che il passaggio della proprietà e dei connessi rischi e benefici avviene nel
momento in cui viene murata la nave con la quale la merce viene trasportata e parte dal molo
63
3. Le misure per la riduzione del rischio: gli strumenti utilizzati dal
revisore nell’analisi del cliente
3.1.
L’approccio di audit utilizzato dalla società di revisione PricewaterhouseCoopers
L’attività di auditing consiste nello svolgimento di una complessa procedura di analisi in
classi di transazioni che ha per scopo la riduzione ad una soglia ragionevolmente
accettabile del rischio che i documenti finanziari possano presentare dei dati non
corretti (a seguito di errori materiali e/o frodi) i quali potrebbero fuorviare il giudizio di
tutti quegli stakeholder aziendali che fanno affidamento su di essi per compiere delle
scelte in campo economico e finanziario.
La diffusione del modello di corporate governance152 fondato sulla separazione tra la
proprietà e la gestione dell’impresa ha richiesto nel corso degli ultimi decenni una
crescita imponente dell’attenzione rivolta dal mercato e dagli organi di vigilanza alle
problematiche concernenti la trasparenza, l’affidabilità e la chiarezza dei prospetti e dei
dati finanziari presentati dalle aziende (soprattutto da quelle quotate).
Gli scandali finanziari che si sono susseguiti negli ultimi anni hanno comportato
l’emanazione di regolamenti in ambito internazionale volti a promuovere una maggiore
etica nel mondo degli affari ed un rispetto più ampio per gli investitori (come visto nel
capitolo introduttivo della presente analisi). Questi scandali sono costati agli investitori
diversi miliardi di dollari153, perché hanno generato il crollo dei titoli azionari delle
società interessate senza che il risparmiatore fosse stato adeguatamente informato
dalle società di rating, dagli organi di vigilanza e dalle società di revisione (spesso
colluse). I provvedimenti legislativi voluti da diversi Paesi, quali tra i primi gli USA,
mirano ad intervenire, come visto nel primo capitolo, a chiudere alcuni “buchi”
nell’attività di controllo, al fine di migliorare la corporate governance e garantire la
trasparenza delle scritture contabili e dei prospetti finanziari, agendo tuttavia anche dal
lato penale, con l’incremento della pena nei casi di falso in bilancio e simili (in Italia in
152
Per approfondire tali concetti, si veda il capitolo successivo
Si riporta tale valuta e non quella corrente del nostro Paese (Euro) in quanto i primi ed i principali
scandali a livello finanziario sono avvenuti in USA
153
64
quegli anni il falso in bilancio veniva di fatto depenalizzato154). Viene inoltre aumentata
la responsabilità degli auditor all’atto della revisione contabile.
La maggiore attenzione rivolta alla trasparenza ed alla chiarezza ed affidabilità dei
prospetti finanziari, unite al processo di globalizzazione economico-finanziaria, hanno
obbligato le società di revisione ad adeguare la propria attività e le proprie metodologie
in conformità (compliance) con i principi etici, gli standard, le leggi ed i regolamenti
professionali riconosciuti a livello internazionale nel campo dell’audit (ISAs International
Standards on Auditing emanati dallo IAASB International Auditing and Assurance
Standards Board).
Il fulcro dell’attività di audit secondo la metodologia PricewaterhouseCoopers è
costituito dal cosiddetto audit comfort cycle al quale si accompagnano le procedure
analitiche ed i test di dettaglio. Si tratta di un’attività ciclica e dinamica che consente di
pervenire ad un grado di conoscenza dell’azienda e dei suoi business process
(corroborato dall’acquisizione delle evidenze e delle prove sostanziali necessarie)
sufficientemente approfondito per ritenere di poter ragionevolmente (e in conformità
con gli ISAs o ai principi contabili155) affermare che i dati finanziari presentati dalla
società sono attendibili ed esenti da errori materiali che ne potrebbero modificare i
valori al punto da dar vita ad una rappresentazione economica, contabile e finanziaria
dell’azienda non corrispondente al vero e pertanto fuorviante.
L’obiettivo del revisore non è quello di verificare che tutti i valori indicati in bilancio
siano corretti al centesimo, bensì di garantire che tali dati esprimano in modo
attendibile e rappresentativo il risultato economico/finanziario conseguito dall’impresa
al termine del periodo di riferimento e che pertanto possano essere utilizzati come base
affidabile per prendere decisioni che vedono coinvolta la società stessa (si tratti di
decisioni di investimento, di finanziamento, piuttosto che misurazioni della performance
aziendale o del management, oppure ancora computi di carattere fiscale e tributario
ecc., così come già accennato al capitolo 1).
L’audit comfort cycle deriva il suo nome dal fatto che si tratta di un’attività che si ripete
ciclicamente (difatti nel corso del suo svolgimento si ritorna spesso sulle fasi precedenti
le quali continuano ad aggiornarsi anche grazie alle informazioni acquisite negli step
successivi mediante un processo adattivo che si realizza come un work in progress) e
154
Sito internet www.economicamente.biz/?p=3173, che riporta un articolo riguardante la modalità di
revisione della principale firm del settore, PricewaterhouseCoopers Spa
155
Per un maggiore approfondimento di tale tematica, si rimanda al capitolo 1 di tale trattazione
65
che si pone l’obiettivo iniziale di comprendere, valutare e validare il livello di comfort
che è possibile ottenere dal sistema di controlli interno istituito dall’impresa (laddove
tale sistema esista). In relazione alla maggiore o minore affidabilità attribuita al sistema
di controlli interno si decide se sia opportuno propendere per un’attività di audit basata
principalmente sulle procedure analitiche (poco onerose e poco affidabili), oppure sui
test di dettaglio (i quali garantiscono un risultato molto più attendibile, ma richiedono un
enorme dispendio di risorse e di tempo). Durante gli incontri iniziali (gli initial meetings)
tra l’engagement team e il management della società soggetta a revisione, si definisce
lo scope dell’analisi156. In questo stadio hanno luogo le cosiddette preliminary analytical
procedures (obbligatorie in base ai principi di revisione). La definizione dello scope è
legata al tipo di azienda, al settore di appartenenza, agli obiettivi di audit, alla storia
pregressa, al professional judgement e a numerosi altri fattori. In questa fase si
realizzano delle indagini conoscitive che partono dalla comprensione della natura
dell’entity, del business aziendale e del settore di appartenenza. Si analizzano quindi
gli obiettivi e le strategie aziendali ed i rispettivi rischi di business, le metodologie
contabili adottate, le misurazioni e le review delle performance finanziarie ecc. allo
scopo di pervenire ad una rappresentazione chiara della configurazione dell’impresa e
delle sue caratteristiche basilari. Le informazioni relative ai rischi di business risultano
di particolare rilevanza soprattutto laddove si riscontrino delle connessioni con quelli di
audit. Le prime attività di inquiry servono a verificare che all’interno dell’azienda sia
stato istituito un sistema di controlli interno ed in caso affermativo se tale framework sia
più o meno allineato alle esigenze di audit. Difatti, sovente capita che la società si sia
dotata di un sistema di controlli interno efficiente ed efficace, ma in tutto o in parte
inadeguato a coprire i rischi di audit. Ciò si verifica quando il management si è posto
nella fase di pianificazione ed allestimento del sistema stesso degli obiettivi differenti
rispetto a quelli di audit.
Lo studio del sistema di controllo interno non può prescindere dall’analisi dei suoi
cinque componenti principali che costituiscono il cosiddetto Internal Control-Integrated
Framework by COSO: Il Control Environment; L’Information and Communication; Il
Risk Assessment; Le Control Activities; Il Monitoring of Controls.
156
Delimitazione del campo d’azione dell’audit in modo da concentrare lo sforzo e le risorse sulle sole
aree di effettivo interesse
66
Ognuno dei cinque componenti di controllo interno è importante per ogni obiettivo
elevato livello di detta entità e le componenti sono applicati a tutti i livelli
dell'organizzazione (ossia, al soggetto e / o processi aziendali a livello).
Il quadro COSO indirizza operazioni aziendali dell'entità, la loro necessità di preparare
bilanci affidabili, e la conformità alle leggi e ai regolamenti ai quali l'ente è soggetto.
Con tale framework si ottiene una comprensione di come l'entità implementa i
componenti di controlli interni, per aiutare il revisore a valutare il rischio e determinare
l’approccio di revisione. L’obiettivo primario è la zona di informativa finanziaria, ma va
anche considerato il rispetto di leggi e regolamenti, che hanno un significato finanziario
di riferimento, al fine di rispondere meglio ai rischi identificati. Se si guarda a una
qualsiasi delle categorie, ad esempio, per valutare l'affidabilità delle relazioni finanziarie
dell'entità, tutte e cinque le componenti del controllo interno devono essere presenti e
funzionano in modo efficace.
Figura 3.1 -
Il COSO Report
Fonte: PricewaterhouseCoopers Spa
Con il control environment ci si riferisce alle caratteristiche dell’ambiente di controllo
dell’azienda nel suo complesso (adozione, diffusione e condivisione di principi etici,
cultura della legalità ecc.). Questo ambiente di controllo si riferisce in particolare a:
67
 Capire e valutare il sistema di controllo interno. In particolare il revisore deve
valutare:
 La cultura di onestà ed il comportamento etico presente in azienda ed
introdotto dal management;
 L’efficacia dei controlli interni e gli eventuali ammanchi dovuti a
deficiencies del sistema di controllo che vanno monitorate ed auditate più
accuratamente;
 L’effetto dell’ambiente di controllo interno sull’informativa finanziaria emessa
all’esterno ed il rischio di errore significativo (per il concetto di significatività si
rimanda ai successivi paragrafi nel presente capitolo)157.
L’information and communication ha ad oggetto l’analisi del sistema informativo
aziendale (indicato con l’acronimo ITGC, Information Technology General Controls, che
indica i controlli che si applicano a tutti i componenti di sistemi, processi e dati per una
determinata
organizzazione
od
un
determinato
ambiente
di
tecnologia
dell’informazione; il suo obiettivo è di garantire il corretto sviluppo e realizzazione delle
applicazioni, nonché l’integrità dei programmi, file di dati ed operazioni del
computer158). Il revisore inerentemente a questo ambiente di controllo valuta come il
sistema informativo aziendale funziona, e cioè si provvede a comprendere come
l’informativa finanziaria viene generata, dalle radici (emissione di fattura e relativa
registrazione contabile a sistema), fino ad alimentare il Bilancio d’esercizio159.
Col termine risk assessment ci si riferisce alle modalità, ai presupposti ed agli obiettivi
che il management ha considerato nell’accertamento dei rischi interni (in special modo
di quelli chiave). Questa fase risulta molto delicata in quanto il revisore deve cercare
di160:
 Identificare i rischi di business rilevanti ai fini dell’emissione dell’informativa
corretta;
 Stimare la significatività del possibile impatto di tali rischi;
157
Fonte ISA 315.A71, che richiede che una evidenza significativa di audit deve essere ottenuta da una
combinazione di richieste in base al rischio emerso dall’analisi delle procedure. Per esempio, attraverso
richieste al management ed ai dipendenti aziendali, il revisore può capire come il management aziendale
provvede a comunicare la view sul business ed il comportamento etico da tenere
158
Fonte sito internet: www.wikipedia.org, enciclopedia telematica
159
Fonte ISA 315.18
160
Fonte ISA 315.15
68
 Stimare la probabilità che i rischi si verifichino;
 Decidere circa le azioni da intraprendere per ripararsi dal rischio161.
Qualora l’entità abbia in atto un sistema di controllo interno, il revisore deve valutare
l’entità di tale sistema a prevenire il rischio162.
Le control activities sono invece le attività di controllo poste in essere dal management,
ivi comprese le procedure e le policy (se opportunamente formalizzate). Il revisore deve
cercare di comprendere tali procedure di controllo e procedere con la selezione dei
controlli considerati più rilevanti ai fini della probabilità che il rischio si verifichi ed
influenzi in maniera significativa l’informativa emessa dalla società163.
Infine, l’analisi completa del sistema di controllo interno esamina il monitoring, ossia
l’attività di monitoraggio dei controlli stessi (controllo dei controlli)164. Il revisore deve in
questo caso capire le attività di controllo interno poste in essere dalla società al fine di
avere un grado di assurance sufficiente per assicurare che l’informativa finanziaria non
sia influenzata da errori significativi. Il revisore deve inoltre essere in grado di capire
come le iniziative che l’entità ha intrapreso al fine di rimediare eventuali mancanze
nelle procedure di controllo poste in essere165 166.
3.2.
Il concetto di rischio
Per riuscire ad ottenere un elevato grado di assurance della veridicità e della
correttezza dell’informativa emessa dal cliente, il revisore deve procedere a pianificare
accuratamente ed a gestire il rischio con una adeguata politica.
Il processo di revisione inizia quindi con l’attività di pianificazione del rischio. Nell’attività
di revisione pianificare vuole dire sviluppare una strategia generale ed un approccio
dettagliato tenendo conto della natura, della tempistica e dell'ampiezza delle procedure
161
Tali concetti verranno ripresi ed analizzati in maniera più approfondita nei capitoli successivi
Fonte ISA 315.16
163
Fonte ISA 315.20
164
V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di
controllo interno, Giuffrè editore, Milano, 2007
165
Fonte ISA 315.22
166
Per una più approfondita analisi sul sistema di controllo interno delle imprese e sul COSO Report, si
veda il capitolo 4 della presente trattazione
162
69
di revisione. Il revisore deve pianificare lo svolgimento della revisione in maniera
efficiente e nei tempi opportuni167.
La pianificazione è effettuata attraverso la definizione di una strategia generale (piano
generale di revisione) ed un programma dettagliato di revisione (piano di lavoro
operativo). La definizione della strategia generale di revisione si effettua attraverso:
 la conoscenza dell’impresa168;
 la conoscenza della composizione dei sistemi contabile e di controllo interno;
 la conoscenza dei rischi e la significatività;
 la pianificazione attraverso l’analisi della natura, della tempistica e dell’ampiezza
delle procedure di revisione; il coordinamento, la direzione, la supervisione e il
riesame del lavoro, … .
Il programma dettagliato di revisione predisposto deve sicuramente includere le
descrizioni di natura, ampiezza e tempistica delle procedure di revisione necessarie per
realizzare il piano generale di revisione.
Il programma di revisione può inoltre definire per ogni area di bilancio:
 obiettivi di revisione;
 procedure di revisione.
Il piano generale ed il programma di revisione debbono essere aggiornati in base alle
necessità intervenute nel corso del lavoro di revisione. La pianificazione è quindi un
processo continuo, che dipende dal cambiamento delle condizioni o dal verificarsi di
risultati inattesi nell’applicazione delle procedure di revisione.
La pianificazione consente quindi di conoscere e gestire in maniera adeguata il rischio.
Nella predisposizione del programma di revisione, il revisore deve considerare la
specifica valutazione del rischio intrinseco, del rischio di controllo e dei risultati attesi
dallo svolgimento delle procedure di validità.
Il rischio generale di revisione è il rischio che il revisore esprima un giudizio non
corretto nel caso in cui il bilancio sia significativamente inesatto. Le componenti del
167
Fonte PricewaterhouseCoopers Spa
Nei paragrafi successivi al presente capitolo verrà approfondita la metodologia di conoscenza del
business del cliente da parte del revisore
168
70
rischio di revisione sono tre: il rischio intrinseco, il rischio di controllo e il rischio di
individuazione169.
Il rischio intrinseco è la suscettibilità di un saldo di un conto o di una classe di
operazioni in essere inesatte e quindi generare, singolarmente o aggregati ad altri saldi
di conti o classi di operazioni, inesattezze significative in bilancio.
Il rischio di controllo è il rischio che un’inesattezza, che potrebbe verificarsi in un conto
o in una classe di operazioni e che potrebbe essere significativa, individualmente
considerata o sommata ad altre inesattezze, non sia prevenuta o comunque
tempestivamente individuata e corretta dai sistemi contabile e di controllo interno.
Il rischio di individuazione è infine il rischio che le procedure di validità eseguite dal
revisore non evidenzino un’inesattezza significativa, individualmente considerata o
aggregata ad altre inesattezze, presente in un saldo di un conto o in una classe di
operazioni.
Figura 3.2 -
Il sistema di controllo sui rischi dell’azienda
Fonte: PricewaterhouseCoopers Spa
Un Key risk è quel rischio per il quale si riscontrano le tre caratteristiche
precedentemente elencate.
Nella rilevazione dei rischi tuttavia non bisogna trascurare completamente i rischi non
materiali, in quanto, può capitare che tali rischi possano, cumulativamente, superare
abbondantemente le soglie di materialità170.
169
170
PricewaterhouseCoopers, PwC audit guide, 2010
Per approfondire ulteriormente questo concetto, si rimanda al sottoparagrafo successivo
71
Sulla base dell’eventuale individuazione di un rischio, il revisore deve indicare quando
devono essere svolte le procedure di conformità171 e le procedure di validità172, nonché
la collaborazione che si aspetta di ottenere dal personale della società, la disponibilità
di assistenti ed il coinvolgimento di altri revisori e di consulenti esterni.
La pianificazione non è quindi soltanto un processo statico e preliminare ma un
processo dinamico che va monitorato ed eventualmente adeguato in base al maggiore
livello di conoscenza e variabili che si riscontrano durante il lavoro; come visto, infine,
la pianificazione va rivista anche in sede finale e prima di esprimere il giudizio
professionale sul bilancio, in modo da riscontrare eventuali mancanze iniziali e punti di
criticità, individuati durante le analisi successive.
3.2.1. Il concetto di significatività – materialità di errore di bilancio
Nello svolgimento del lavoro, il revisore deve valutare, con riferimento allo specifico
incarico, la significatività e la sua correlazione con il rischio di revisione.
Secondo gli IAS/IFRS, un’informazione è significativa se la sua mancanza o la sua
imprecisa rappresentazione potrebbe influenzare le decisioni economiche degli
utilizzatori sulla base del bilancio173. La significatività dipende dalla dimensione e dalla
natura della voce in esame da valutare nelle particolari circostanze della sua omissione
o imprecisione174 175.
Il concetto di significatività è un elemento critico e decisivo nella delimitazione del
campo di osservazione che sarà necessario e sufficiente indagare per avere adeguata
assicurazione circa le conclusioni da raggiungere.
171
Procedure di controllo che, in aggiunta all'ambiente dei controlli, sono definite dalla Direzione per
garantire con ragionevole certezza il raggiungimento di specifici obiettivi
172
Procedure di conformità svolte per acquisire elementi probativi sull’efficacia dei controlli. In particolare
esse riguardano:
 la struttura dei sistemi contabile e di controllo interno, al fine di comprendere se siano
adeguatamente progettati per prevenire o individuare e correggere errori significativi;
 la continuità di applicazione dei controlli nel periodo esaminato.
173
Fonte IAS 1
174
Secondo il Framework parr. 26-27 l’informazione è qualitativamente significativa quando è in grado di
influenzare le decisioni economiche degli utilizzatori aiutandoli a valutare gli eventi passati, presenti o
futuri oppure confermando o correggendo valutazioni da essi effettuate precedentemente
175
Il concetto di significatività è intimamente connesso con quello di rilevanza. L’informazione è rilevante
se la sua omissione o errata presentazione può influenzare le decisioni economiche degli utilizzatori
prese sulla base del bilancio (fonte IAS 1)
72
La significatività non è un concetto assoluto ma va definito in maniera relativa, vale a
dire sia rispetto al bilancio della società revisionata che rispetto al bilancio consolidato
del gruppo176.
L’utilizzo degli elementi significativi è la base sia per la definizione del campo di
osservazione (cosa indagare) ed è anche la chiave di lettura degli eventuali errori
(come concludere).
La significatività non è solo riferita all’ammontare degli elementi ma anche alla natura
dei medesimi. E’ significativa per esempio anche una variazione di ammontare non
rilevante ma inusuale e anomala per l’attività tipica esercitata dall’azienda.
L'obiettivo del revisore è quello di applicare il concetto di significatività (o come
chiamata in revisione, materialità che indica l’errore massimo accettabile e che non
influenza l’informativa di bilancio) in modo appropriato la pianificazione ed esecuzione
della verifica177.
Anche se di informativa finanziaria si può discutere di rilevanza in termini diversi, in
genere viene considerato materiale ciò che:
 Tramite errori, anche le omissioni, individualmente o in forma aggregata, possa
influenzare le decisioni economiche degli utilizzatori prese sulla base del
bilancio;
 Giudizi sulla materialità sono fatti alla luce delle circostanze circostanti, e sono
influenzati dalla dimensione o la natura di un errore, o una combinazione di
entrambi.
Il livello di materialità dei rischi e dei valori di bilancio da esaminare viene fissato già
nella fase di definizione dello scope dell’audit attraverso il calcolo della overall
materiality e della performance materiality. La prima si riferisce al bilancio inteso nel
suo complesso e viene determinata mediante il ricorso a dati provenienti dai
benchmark di riferimento, alla cosiddetta rule of thumb, ossia una regola generica
valida un po’ per tutte le aziende che appartengono ad una stessa categoria (ad es. il
5% del PBT178 o lo 0,5% delle revenues per le aziende profit ecc.). Prioritario in queste
circostanze è chiaramente il giudizio professionale.
176
2007
177
Fonte ISA 320.8
178
Profit before taxes
73
Il concetto di rilevanza è applicato dal revisore sia nella pianificazione ed esecuzione
del controllo, che nel valutare l'effetto di errori individuati e non rettificati179.
Al fine di valutare e rispondere ai rischi di errori significativi, vengono valutati:
 i prospetti informativi finanziari nel loro complesso;
 classi di transazioni, i saldi di conto o divulgazioni;
 determinate categorie di operazioni, saldi dei conti o informazioni;
 gli effetti degli errori180.
A questo punto della valutazione, tramite l’ausilio di appropriati template, il revisore è in
grado di stabilire la materialità inerente il bilancio che revisiona. Le materialità calcolate
sono, tre differenti tra loro sia concettualmente che come importo, ma sono
determinate in maniera sequenziale.
3.2.1.1.
La overall materiality
La overall materiality è la soglia al di sopra della quale l’errore sul bilancio visto nel suo
complesso viene giudicato significativo181. Essa viene determinata facendo leva sul
giudizio professionale del revisore, sulla base dei risultati dell’analisi del rischio
individuati dalle procedure analitiche sul bilancio, sulla base delle dimensioni della
società e dell’ambiente in cui opera. La materialità è inoltre calcolata tenendo conto
degli eventuali effetti che un errore sul bilancio provocherebbe sui lettori del bilancio.
Per essere determinata, la overall materiality necessità dell’individuazione di un singolo
valore di partenza, quale può ad esempio essere l’utile ante imposte o il fatturato
(questo valore viene scelto in base a quanto risulta significativo per il business
dell’entità cliente182). Su tale valore di partenza si stabilisce generalmente una
percentuale che viene applicata per determinare il valore complessivo della overall
materiality. Anche la scelta della percentuale implica un giudizio professionale da parte
del revisore: si provi a pensare a quanto l’influenza cambierebbe qualora la soglia
percentuale di errore venisse stabilita nel 10% piuttosto che nel 5%; infatti supponendo
l’applicazione di tale percentuale ad un totale di fatturato stimato in 100 mll di euro,
179
Fonte ISA 320.5
181
Fonte ISA 320.10
182
Fonte ISA 320.A3
180
74
vorrebbe dire che il bilancio evidenzia errori significativi a partire dalla soglia di 10 mll di
euro piuttosto che di 5 mll.
La scelta del livello percentuale è influenzato da molteplici fattori, a partire dal mercato
del cliente, la quantità di flussi che compongono il bilancio, la carenza di controlli interni
adeguati, … . La scelta della percentuale può anche essere differente di esercizio in
esercizio per lo stesso cliente, sulla base di una maggiore o minore rischiosità.
Esempio 3.1 - Overall materiality
Overall Materiality
Totale ricavi
3.567.983
Rule of thumb
1%
Calcolo dell’overall materiality
35.680
Il cliente è un’organizzazione che punta a fare profitto
Spiegazione:
Si rileva che per il calcolo della materialità sono stati utilizzati i valori
del bilancio provvisorio alla data di chiusura. Il benchmark individuato
è rappresentato dai total revenue selezionato per i seguenti motivi:
- Rappresenta per la sua natura ed il suo valore la quota
maggiormente rappresentativa per questa tipologia di società
Overall materiality definitiva
35.000
- Nel recente passato il rischio di errore si è maggiormente riscontrato
in questa area di bilancio
3.2.1.2.
La performance materiality
La performance materiality è determinata dal revisore per avere assurance del fatto
che non vi sia rischio di errori che possono significativamente influenzare il lettore del
bilancio e determina la natura, tempistica e lo scopo di tutte le successive analisi di
audit183. Tale materialità è impostata in modo da ridurre a un livello sufficientemente
basso la probabilità che l'aggregato dei conti esposti in bilancio in una sola voce non
sia corretto e che gli errori non rilevati in bilancio superino la soglia di tolleranza per il
bilancio nel suo complesso.
Maggiore è il grado di comfort ottenuto dall’analisi del sistema di controllo interno e più
alta sarà la percentuale applicata per il calcolo della performance materiality (ossia più
larghe saranno le maglie della rete utilizzata per setacciare il bilancio alla ricerca del
material mistatement). Viceversa nel caso contrario.
La determinazione della rilevanza delle prestazioni non è un semplice calcolo
meccanico e comporta l'esercizio del giudizio professionale, come per il calcolo della
183
Fonte ISA 320.11
75
overall materiality.
Esso è influenzato da una comprensione del revisore dei conti
dell'ente, aggiornato durante l'esecuzione delle procedure di valutazione dei rischi,
nonché sulla base della natura e dell'entità di errori individuati in precedenti controlli184.
La performance materiality viene utilizzata per decidere quali conti presenti sul
bilancino di verifica e quali classi di transazioni vanno selezionati al fine di essere
esaminati. Essa aiuta a stabilire quale deve essere l’estensione del lavoro necessaria
ai fini della riduzione del rischio di audit185.
Tale materialità viene generalmente stabilita sulla base di una percentuale che
permetta di arrivare ad una soglia inferiore rispetto alla overall. Generalmente la soglia
è ricompresa tra il 50 ed il 75% della overall materiality. I fattori che influenzano la
scelta di tale percentuale sono molteplici, tra cui:
 Gli errori ed i rischi evidenziati nel passato;
 La overall è particolarmente alta o bassa (e viene adeguata tramite la
performance per ottenere una maggiore assurance).
Esempio 3.2 - Performance materiality
Performance Materiality
Enter haircut %
25%
Calcolo performance materiality
26.250
Performance materiality definitiva
26.000
Frequenza di aggiustamenti nel passato?
Basso
Rischio di audit
Medio
3.2.1.3.
La de minimis SUD posting level
Il revisore deve determinare una soglia minima al di sotto della quale gli errori vengono
considerati banali e non possono influenzare il lettore del bilancio nel suo giudizio sulla
società, neanche qualora essi venissero accumulati e sommati tra loro186.
Per determinare il livello della de minimis SUD posting level viene utilizzata una
percentuale di calcolo direttamente sulla overall materiality. La determinazione della
percentuale da utilizzare presuppone l’utilizzo del giudizio professionale da parte del
184
Fonte ISA 320.A12
186
Fonte ISA 450.5
185
76
revisore. I fattori che vanno considerati per la determinazione di tale percentuale sono i
seguenti187:
 Il numero e l’ammontare degli errori dei precedenti esercizi, corretti o non;
 I risultati della risk assessment determinate nella fase iniziale così come
precedentemente spiegato;
 Le aspettative da parte del cliente di cosa verrà eventualmente comunicato per
la correzione.
Normalmente la de minimis SUD posting level viene determinata in una percentuale
che si aggira intorno al 5% della overall materiality (e può essere maggiore o minore
per via dei fattori in precedenza elencati).
La de minimis SUD posting level potrebbe richiedere aggiustamenti verso il basso della
soglia di sopportazione durante l’audit. Per esempio laddove venissero individuati
moltissimi errori sotto la soglia in principio determinata, la soglia può essere
determinata qualora il revisore necessiti di un maggior livello di assurance dalle analisi
effettuate per essere certo che l’informativa non sia sostanzialmente errata.
Esempio 3.3 - De minimis SUD posting level materiality
De minimis SUD posting level
Enter SUD %
10%
Is there any overall risk assessment?
N/A
De minimis SUD posting level
3.500
Aspettative e disponibilità del cliente a correggere gli errori
3.500
- Il cliente comunicherà le differenze nel loro complesso, ad eccezione di quelle
non materiali
- Alta disponibilità a correggere gli errori
Enter SUD
187
77
Figura 3.3 -
Percentuale da applicare in caso di calcolo della de minimis SUD
posting level materialità
Numero e
ammontare
degli errori
0%
Gli audit precedenti
sull’entità spesso
danno luogo ad
aggiustamenti
materiali
3%
Gli audit dell’entità
spesso danno luogo
ad aggiustamenti.
Gli ammontari non
sono materiali
Risk
assessment
Alto rischio di
errori materiali.
Multi-location
audit con molti
component
reporting inclusi
nel macro gruppo
di audit.
Numero
significativo di
rischi identificati
5%
Gli aggiustamenti
di audit sono
aspettati su ogni
esercizio. Gli
ammontari non
sono materiali
Revenue
recognition è un
presunto rischio
significativo.
10%
Gli aggiustamenti
di audit sono
virtualmente
assenti
Basso rischio di
errore materiale al
di fuori della
modalità di
accertamento delle
Rischio
revenue recognition
significativo di
e del rischio di
Rischi significativi management
management
addizionali
override of controls override of
identificati dietro
controls.
presunte revenue
recognition e rischi
Ambiente con
significativi per via
efficacy entity level
di possibile
controls
management
override of controls
Fonte: PricewaterhouseCoopers, PwC audit guide, 2010
3.2.2. La rete dei processi
In azienda vengono implementati diversi controlli interni per prevenire i diversi rischi di
errore. Così come indicato in Figura 3.2 a pagina 66, laddove i controlli fossero labili in
alcuni punti o per alcune aree, si incrementerebbe il rischio di controllo (una delle tre
componenti del rischio per il revisore come precedentemente analizzato) e questo
porterebbe come visto ad abbassare le soglie di materialità al fine di analizzare più voci
possibile per trovare gli errori ed avere sufficiente assurance sulle diverse poste
rappresentate in bilancio.
Al fine di evitare uno spreco di risorse ed un disagio eccessivo per la società cliente,
l’attività di audit tende a focalizzarsi comunque soprattutto sulla identificazione dei
rischi chiave di audit, cioè su quei rischi che se trascurati possono generare errori
materiali o frodi188. In questo modo si riesce a garantire ai fruitori dei prospetti finanziari
188
Si rimanda ai successivi paragrafi per un approfondimento circa tali tematiche
78
un’assurance accettabile perché anche nel caso in cui fossero sfuggiti alle maglie del
detection risk degli errori legati a rischi non materiali, l’impatto sui valori finali non
sarebbe tale da influire in modo significativo sul giudizio e sull’indicazione fornita dai
financial statements.
L’analisi del sistema di controllo interno e del sistema contabile sono quindi elementi
centrali da tenere in considerazione nel processo di pianificazione.
L’affidamento del revisore, l’elevato grado di rassicurazione ottenuto nei confronti dei
controlli interni posti in atto dalla Direzione della società, rappresenta l’elemento
cruciale per la definizione del piano operativo di revisione.
L’analisi del sistema di controllo interno è il primo passo per la definizione della natura
delle procedure da sviluppare (intese alternativamente come procedure di conformità o
di validità).
Il sistema contabile in particolare rappresenta l'insieme di procedure e metodi utilizzati
dalla società per elaborare le varie operazioni al fine di produrre i dati contabili; tale
sistema identifica, aggrega, analizza, calcola, classifica, registra, sintetizza e riporta
operazioni e ogni altro tipo di evento o fatto amministrativo. Il sistema dei controlli
interni è rappresentato invece dalle linee d'azione e dalle procedure (controlli interni)
adottate dalla Direzione al fine di favorire il raggiungimento degli obiettivi aziendali e di
assicurare una condotta efficiente e ordinata della propria attività189.
Se dopo aver compreso il sistema di controllo interno, si ottiene un basso livello di
rassicurazione (sui controlli di ambiente e sui controlli aggiuntivi messi in atto dalla
Direzione per consentire con ragionevole certezza il raggiungimento di obiettivi
specifici), si svilupperà un efficace lavoro attraverso l’effettuazione di procedure di
validità, mirate a testare gli elementi probatori documentali ecc. . Al contrario, se dopo
aver compreso il sistema di controllo interno, si ottiene un elevato livello di
rassicurazione, si svilupperà un piano di lavoro basato principalmente sull’effettuare
procedure di conformità mirate a verificare l’efficacia dei controlli interni190.
189
Si ribadisce che le procedure di conformità sono volte ad acquisire elementi probativi sull’efficacia dei
controlli; in particolare esse riguardano:
 la struttura dei sistemi contabile e di controllo interno, al fine di comprendere se siano
adeguatamente progettati per prevenire o individuare e correggere errori significativi;
 la continuità di applicazione dei controlli nel periodo esaminato
190
79
Le aziende moderne e soprattutto quelle di grosse dimensioni, sono poi caratterizzate
dal ruolo fondamentale svolto dall’ambiente informatico per l’elaborazione dei dati
contabili e la produzione di reports191 ad hoc (per esempio: scadenziario clienti, analisi
utilizzo fidi per elasticità di cassa, ecc.). La complessità degli ambienti informatici è un
elemento che influenza l’attività di revisione; la valutazione dell’ambiente informatico
deve essere svolta considerando che quest’ultimo può influire:
 sulle procedure seguite dal revisore nell’analisi del sistema contabile e del
sistema di controllo interno;
 sulla valutazione del rischio intrinseco e di controllo, che concorrono alla
determinazione del rischio di revisione;
 sull'identificazione ed il successivo svolgimento delle procedure di conformità e
di validità più idonee a raggiungere gli obiettivi di revisione.
Le procedure di controllo della società dovrebbero comunque essere disegnate in
modo da assicurare che le transazioni siano autorizzate e siano state riflesse nel
sistema contabile in modo completo ed accurato.
Nel disegnare le procedure di controllo, il management dovrebbe considerare gli
obiettivi di controllo, con riferimento alle caratteristiche del settore cui la società
appartiene. Inoltre nel disegnare il sistema di controllo, il management dovrebbe tenere
in considerazione fattori relativi all'organizzazione dell'amministrazione e dell'area
EDP192, la quale contribuisce all'effettiva operatività delle procedure di controllo.
L'organizzazione e la gestione di queste funzioni dovrebbero essere appropriate alla
dimensione ed alla complessità del business.
I controlli di monitoraggio comprendono la regolare attività di supervisione delle attività
svolte dal management aziendale al fine di identificare errori risultanti da mancanza o
non operatività di controlli sulle applicazioni o controlli in ambito EDP oppure problemi
esistenti nel sistema contabile. Essi coprono sia obiettivi finanziari/di bilancio, sia
operativi/gestionali.
I controlli di monitoraggio si compongono di analisi eseguite dagli utenti su tabulati o,
altre forme di informazioni prodotte dal sistema. I controlli di monitoraggio possono
191
Si rimanda all’analisi effettuata sul COSO Report nei precedenti paragrafi per un maggiore
approfondimento di questo ambiente di controllo
192
Electronic Data Processing, sigla che, sin da prima dell’avvento dei personal, identifica l’informatica, e
cioè l’elaborazione di dati tramite elaboratori elettronici (fonte sito internet, www.pc-facile.com, glossario
informatico
80
provvedere a fornire assicurazione sulla normale operatività dei controlli designati per
le applicazioni e per il computer e possono includere:
 consapevolezza del management o di un supervisor, che i dati prodotti dal
sistema ed utilizzati nelle normali attività della società sembrano corretti,
basandosi su altre informazioni delle quali siano consapevoli attraverso la loro
conoscenza del business;
 consapevolezza del management o di altri supervisor, dell'efficacia dei controlli
sulle applicazioni;
 consapevolezza del management o di altri supervisor, dell'effettiva operatività
dei controlli sul computer.
I controlli di monitoraggio dovrebbero avere natura di attività periodica, ma possono
essere anche continuativi ed essere composti da valutazioni effettuate dal
management e/o, se del caso, dall'eventuale reparto di revisione interna: dovrebbero
comunque essere documentati. I controlli di monitoraggio sul computer si riferiscono
alle attività sul computer nel loro complesso, le quali spesso riguardano più cicli.
3.2.2.1.
I controlli sulle applicazioni
I controlli sulle applicazioni (Application Controls) sono procedure atte ad assicurare
l'integrità dei dati contabili e quindi raggiungere gli obiettivi di controllo per transazioni
derivanti da cicli193. Alcuni di questi controlli sono effettuati manualmente, per esempio
l'autorizzazione manuale di una fattura per il pagamento oppure la riconciliazione
manuale di una banca. Altri controlli sono effettuati invece da programmi
computerizzati, per esempio l'abbinamento automatico di una fattura di acquisto con la
bolla d'entrata merce e la preparazione di tabulati di eccezioni: queste procedure sono
dette procedure di controllo automatiche.
Molti controlli applicativi saranno eseguiti dagli utenti, ma dipenderanno da procedure
automatiche, essendo una combinazione di procedure automatiche e manuali, per
esempio l'esame di una lista di eccezioni prodotte direttamente dal computer.
Le procedure di controllo relative ad una applicazione dovrebbero raggiungere i
seguenti obiettivi di controllo:
193
81
 Obiettivi di controllo relativi a particolari tipi di transazioni (quali ad esempio le
autorizzazioni, la completezza e l’accuratezza dell’input, ecc.);
 Obiettivi di controllo relativi al ciclo nel suo complesso (quali ad esempio
l’integrità dei dati fissi, la completezza e l’accuratezza degli aggiornamenti, la
protezione delle informazioni, ecc.).
Con l'evoluzione dei sistemi informatici, assistiamo oggi, di fatto, alla sempre maggiore
attribuzione al computer di un ruolo di generatore di informazioni e di controllo. Il
revisore è quindi particolarmente interessato alle procedure automatiche in quanto il
loro corretto e continuo funzionamento incide in modo particolarmente significativo sul
giudizio di affidabilità che viene espresso sul sistema di controllo interno194.
3.2.2.2.
Obiettivi di controllo relativi alle transazioni
Questi obiettivi di controllo hanno come scopo la verifica del completo ed accurato
processo autorizzativo delle transazioni. In particolare:
 Autorizzazione. I controlli sulle autorizzazioni sono disegnati per assicurare che
le informazioni siano protette contro modifiche non autorizzate, venga garantita
la dovuta riservatezza (Privacy) e venga assicurata la protezione fisica delle
attività della società. Tra le procedure di controllo: accesso ristretto,
segregazione dei compiti. Il processo di autorizzazione può anche essere
effettuato attraverso procedure automatiche;
 Completezza dell'input. Questi controlli sulla completezza dell'input sono
disegnati per assicurare che tutte le transazioni siano registrate, inserite ed
accettate dal sistema una ed una sola volta. Tra le procedure di controllo
ricordiamo: abbinamenti con informazioni contenute in altri archivi all'interno del
sistema, controllo sulla sequenza di numeri di documenti, controllo one-by-one
delle transazioni registrate con la documentazione di supporto;
 Accuratezza dell'input. Questi controlli sull'accuratezza dell'input sono disegnati
per assicurare che informazioni chiave all'interno della singola transazione siano
registrate accuratamente. I controlli disegnati per assicurare la completezza
input, per esempio one-by-one, possono in taluni casi assicurare anche
l'accuratezza di tali informazioni. Controlli specifici possono tuttavia essere
194
Per visionare gli obiettivi di revisione si rimanda ai paragrafi successivi
82
utilizzati per assicurare tale obiettivo di controllo. Molti di questi controlli possono
essere effettuati direttamente dal sistema computerizzato in maniera automatica
o semiautomatica;
 Validità. I controlli sulla validità sono disegnati per assicurare che le transazioni
non siano fittizie e che facciano riferimento alla società. Tipiche procedure di
controllo sono le autorizzazioni eseguite da un responsabile sui tabulati delle
eccezioni (ore lavorate superiori ad un livello considerato medio/accettabile).
3.2.2.3.
Obiettivi di controllo relativi alle transazioni
Questi obiettivi di controllo si riferiscono al ciclo nel suo complesso e presuppongono:
 Integrità dei dati fissi. Controlli sull'integrità dei dati fissi sono disegnati per
assicurare che i cambi ai dati fissi siano autorizzati, siano stati accuratamente
immessi nel sistema e che non vi siano cambi a tali dati senza autorizzazione;
 Completezza ed accuratezza dell'aggiornamento. I controlli sulla completezza
ed accuratezza dell'aggiornamento devono assicurare che tutte le transazioni
registrate siano accettate dal sistema e che gli aggiornamenti vengano effettuati
negli archivi appropriati ed in modo accurato. Esempi di procedure di controllo
aventi tale natura sono i totali di controllo (batch total), che possono essere
rappresentati da totali calcolati manualmente e confrontati con totali derivanti da
procedure automatiche di ricalcolo;
 Completezza ed accuratezza dei dati accumulati. I controlli sui dati accumulati
hanno come obiettivo di assicurare che i dati una volta che hanno aggiornato gli
archivi, rimangano corretti e correnti negli archivi;
 Protezione dei beni e delle informazioni. I controlli sulla protezione dei beni e
delle informazioni devono proteggere contro cambi non autorizzati dei dati,
assicurare la confidenzialità delle informazioni e la protezione fisica dei beni (es.
cassa ed inventario).
Questi obiettivi di controllo sono logicamente influenzati dalla natura della società e dal
settore in cui opera. Di conseguenza il modo con cui tali obiettivi di controllo vengono
applicati dipendono dal settore e necessitano di essere adattati alle differenti esigenze.
83
3.2.2.4.
Controlli sui software utilizzati dalla società (ITGC)
Frequentemente i controlli sulle applicazioni sono raggiunti da procedure manuali che
vengono eseguite in relazione o, dipendono, da procedure contabili e/o di controllo
automatiche. La verifica dei cosiddetti “ITGC” è necessaria per assicurare che queste
procedure operino correttamente. Essi includono:
 Manutenzione dei programmi. I controlli sulla manutenzione di applicazioni
esistenti devono assicurare che i cambi effettuati sulle procedure automatiche
siano appropriati e siano implementati correttamente. Questi controlli fanno
riferimento alle modifiche dei programmi, piuttosto che a programmi interi, e
devono assicurare che le modifiche siano adeguatamente disegnate, testate ed
implementate;
 Sviluppo ed implementazione. I controlli sullo sviluppo e l'implementazione di
nuove procedure hanno anch'essi l'obiettivo che le procedure automatiche siano
appropriatamente disegnate ed implementate, ed includono controlli sulla
definizione iniziale del sistema e sulla documentazione del programma e del
sistema e procedure per assicurare che solo programmi autorizzati vengano
trasferiti in produzione. Inoltre nel caso di applicazioni che vanno a sostituire
applicazioni utilizzate precedentemente, devono assicurare che i dati siano
accuratamente trasferiti dalla precedente applicazione alla nuova;
 Sicurezza. I controlli sulla sicurezza devono assicurare che l'accesso al
computer, ai programmi ed alle informazioni sia garantito e consentito alle sole
persone preposte. La restrizione degli accessi è spesso garantita attraverso una
combinazione di controlli a livello di sistema, di applicazione e di accesso fisico.
Il management dovrebbe assicurare l'appropriato accesso attraverso la
definizione del rischio, delle richieste e delle responsabilità di ogni singolo
utente. Il management inoltre dovrebbe prevedere un disaster recovery plan195;
 Operazioni col computer. I controlli sull'operatività del computer devono
assicurare che le informazioni siano processate sull'archivio corretto, che sia
possibile ripristinare il sistema in caso di errore e che i programmi vengano
eseguiti nella sequenza adeguata.
195
Per disaster recovery si intende l’insieme delle misure tecnologiche atte a ripristinare sistemi, dati ed
infrastrutture necessarie all’erogazione di servizi di business a fronte di gravi emergenze. Tale sistema
viene pianificato in anticipo allo scopo di evitare disastri con pesanti perdite di dati (fonte sito internet
www.wikipedia.com, enciclopedia telematica)
84
Questa metodologia di controllo è applicabile sia in un ambiente in cui vengono
utilizzati pacchetti software acquistati esternamente sia quando la società adotta
sistemi sviluppati internamente. Tuttavia l'estensione e la rilevanza di tali obiettivi di
controllo saranno influenzati da tale tipo di ambiente. In particolare, le procedure di
controllo connesse alla manutenzione, o lo sviluppo ed implementazione di package,
saranno meno estensive sulla base dell'assicurazione data direttamente dal fornitore
esterno.
La comprensione del sistema da parte del revisore è normalmente ottenuta mediante
una serie di interviste alla direzione ed al personale della società, finalizzate alla
descrizione, mediante note o, in genere, diagrammi, del flusso informativo196 e dei
controlli che la società ha effettivamente adottato per garantire la correttezza del
sistema informativo in oggetto.
Per facilitare il lavoro di comprensione, il flusso informativo aziendale nel suo
complesso può essere distinto in "cicli" o in "applicazioni". Ciascuna applicazione tratta
una parte del flusso informativo e si pone in diretta corrispondenza con le diverse voci
del bilancio.
Ovviamente la quantità di applicazioni presenti in un sistema dipenderà dalla natura e
complessità dell'attività svolta dalla società.
Una volta compreso il sistema, il revisore deve valutarne l'affidabilità, ossia deve
misurarne la capacità di fornire informazioni accurate e complete. Ne consegue che le
diverse tecniche di controllo che possono essere applicate dalle società perseguono,
generalmente, il fine di limitare il rischio che un errore possa manifestarsi e non il fine di
eliminarlo in modo assoluto.
La scelta di una tecnica di controllo dipende dal rapporto costo/beneficio. Ossia è
funzione:
196
Con flusso informativo si intende un processo logico mediante il quale un particolare evento viene
identificato, rilevato e registrato nel sistema attraverso una o più fasi. Esempio: il flusso relativo agli
acquisti di merci e prodotti passa normalmente attraverso le seguenti diverse fasi:
 identificazione del bisogno
 emissione dell'ordine al fornitore
 arrivo della merce - emissione della bolla di entrata
 registrazione in contabilità magazzino
 convalida della fattura
 registrazione in contabilità generale
 pagamento della fattura
 registrazione del pagamento in contabilità generale
85
 del giudizio che il management della società esprime sul rischio di errore e sulla
misura dei danni che tale errore può causare;
 del costo che è necessario sostenere per implementare e mantenere una
tecnica di controllo che limiti il rischio di errore.
Comprendere il sistema implementato internamente alle società significa quindi:
 individuare l'applicazione in funzione di un saldo di bilancio;
 individuare le transazioni e le informazioni pertinenti l'applicazione;
 individuare quali procedure automatiche intervengono nel sistema ed in che
misura;
 individuare gli archivi che contengono dati significativi;
 individuare le tecniche di controllo adottate allo scopo di garantire l'affidabilità
del sistema;
 descrivere il processo o flusso delle informazioni.
Valutare i sistemi significa invece verificare la rispondenza delle tecniche di controllo
agli obiettivi prefissati.
Per ciascuna applicazione significativa (o classe di transazioni significativa) deve
essere preparato un diagramma generale di flusso per fornire al revisore informazioni
sui sistemi contabili, nonché sulla natura e sul valore stimato delle transazioni che
passano attraverso gli stessi.
Le transazioni che sono al di fuori del flusso principale delle informazioni, come ad
esempio le rettifiche o le variazioni ai dati permanenti, possono essere documentate,
se necessario, con note descrittive supplementari.
Ogni diagramma di flusso deve, quindi, descrivere il flusso delle transazioni significative
dall'origine fino alla registrazione in contabilità generale e, per quanto ci riguarda come
revisori, ogni diagramma di flusso è destinato a costituire la documentazione minima di
supporto alla scelta di una determinata strategia di revisione.
Il rischio di controllo dipende quindi dai diversi processi presenti in azienda: infatti
laddove la struttura aziendale è complicata ed i flussi informativi sono numerosi, viene
richiesto un maggiore monitoraggio per ottenere assurance circa la compliance
dell’informativa emessa all’esterno.
86
Si riportano nei paragrafi successivi due esempi di processi e dei relativi rischi inerenti
il controllo dell’informativa sulle due aree già visionate a livello di richieste di principi
contabili e di test di audit197: le disponibilità liquide e le rimanenze di magazzino198.
3.2.2.5.
I processi di controllo sulle disponibilità liquide
Le imprese, come visto nei precedenti paragrafi, devono porre in essere un adeguato
sistema di controlli interni per permettere di avere un adeguato livello di assurance
circa l’informativa presentata all’esterno199.
Sul sistema di controlli interni relativo all’area di bilancio delle disponibilità liquide il
revisore deve:
 Capire e documentare:
 I processi, i sottoprocessi di business e le singole transazioni, a partire da
come esse sono inizializzate, registrate, controllate e riportate in
contabilità (automaticamente o manualmente);
 Le attività di controllo implementate dal management per ottenere un
adeguato livello di comfort;
 Valutare il disegno di controlli rilevanti ai fini dell’audit (piano di audit);
 Confermare le seguenti registrazioni:
 Implicazioni con il piano di audit;
 Implicazioni per il reporting da emettere all’esterno, per lo stakeholder200.
Il revisore provvede a conseguire gli obiettivi in precedenza esposti in differenti modi.
Ad esempio si può cominciare con la definizione esplicita degli obiettivi del lavoro per
poi passare alla definizione della metodologia (ad esempio “Il lavoro di analisi è stato
effettuato mediante intervista con il personale di riferimento. I dipendenti coinvolti nella
rilevazione e nel testing sono stati i seguenti: …”).
Una volta definita la metodologia, si passa alla fase di understanding del processo, con
la descrizione dei compiti che sono suddivisi all’interno dell’area finanza tra le diverse
197
Per una maggiore chiarezza, è necessario precisare che i test di dettaglio di audit sono successivi in
ordine di tempo al piano di audit così come descritto nel presente capitolo
198
Per un approfondimento di tali tematiche si rimanda al capitolo 1 e 2 della presente trattazione
199
Tale tematica verrà meglio approfondita nel capitolo 4
200
87
persone e sotto-funzioni. Ad esempio generalmente l’Ente Tesoreria svolge attività di
Back Office articolabili nelle seguenti macro aree:
 monitoraggio e quantificazione dei flussi giornalieri di fabbisogno/surplus;
 controlli di linea;
 disposizioni.
Il monitoraggio e la quantificazione dei flussi giornalieri di fabbisogno/surplus originati
dalle previsioni societarie, dai cash pooling e dalle operazioni finanziarie, costituiscono
attività finalizzate all'ottimizzazione, per data valuta, dei saldi dei conti correnti bancari.
I controlli di linea sono costituiti dalle attività che presidiano il riscontro delle operazioni
e dalla riconciliazione delle operazioni effettuate con il sistema bancario.
Tali attività vengono svolte all’interno dei seguenti processi:
 riscontro e conferma delle operazioni finanziarie;
 riconciliazione delle operazioni effettuate con il sistema bancario.
La predisposizione delle disposizioni è finalizzata alla movimentazione dei flussi
monetari in uscita dai conti correnti domiciliati presso il sistema bancario e/o
Società/Divisioni e riguardano:
 girofondi tra conti correnti bancari e/o societari;
 regolamento delle operazioni finanziarie stipulate con Controparti autorizzate.
La fase di evaluating del processo presuppone invece la valutazione del sistema di
controlli interni che si è proceduto a mappare tramite la procedura di understanding dei
processi.
88
Esempio 3.4 - Understanding e evaluating processi di controllo interno disponibilità
liquide
La gestione dei pagamenti ai fornitori
Understanding
Obiettivo
Obiettivo
di
controllo
Soltanto le
fatture
considerate
pagabili
entrano
nella
procedura
di
pagamento
Controll
o chiave
Sì
Descrizione
Attività di
controllo
Il sistema
identifica
automaticament
e le fatture
pagabili
C
Financial Statements
Assertions201
A V R A C
C
O
A
E/
O
E/
O
P
D
Tip
o
R
O
Ma
Frequ
V n/A
enza
ut
R
O
Aut Settim
anale
Documen
tazione
del
controllo
Configura
zione di
sistema
Responsabile
del cotrollo
Configurazione
di sistema
Evaluating
Disegno del controllo
202
PwC WTT
Procedure
PwC ha verificato in data 02/03/04, alla presenza dell'operatore della Contabilità
Fornitori (Sig. A) il disegno del controllo, mediante observation. PwC ha verificato
il matching fra la fattura e l'ordine d'acquisto relativamente all'ordine 01658 del
28/12/03 (fornitore 83 N Spa).
). Il sistema esegue il matching automatico della
fattura con il relativo ordine d'acquisto associato. In caso di matching mancato la
procedura emette un messaggio d'errore bloccante, al fine di non registrare una
fattura relativa a merce non richiesta dalla società
Valutazione del disegno
Carenze
Disegno adeguato
-
Fonte: elaborazione propria su dati PricewaterhouseCoopers rielaborati
3.2.2.6.
I processi di controllo sulle rimanenze di magazzino
Sul sistema di controlli interni relativo all’area di bilancio delle rimanenze di magazzino
il revisore deve sostanzialmente operare nello stesso modo utilizzato per valutare i
processi ed i relativi di controllo predisposti dalla società per l’area delle disponibilità
liquide.
Vanno quindi innanzitutto
tutto definiti gli obiettivi
obietti e la metodologia per poi passare
direttamente, come già visto in precedenza, alla fase di understanding del processo.
201
Tali asserzioni verranno spiegate approfonditamente all’interno di questo capitolo nei successivi
paragrafi
202
Walkthroughs procedures: esse sono procedure con le quali il revisore prende visione con la società
del modo che essa ha di operare relativamente alle differenti attività che compongono un processo. Con
il walkthroughs si permette quindi al revisore di ottenere un grado massimo di understanding dei
processi. Il lavoro può essere svolto sul sistema della società o su un sistema ambiente costruito ad hoc
ed uguale al principale, in modo da non influenzare il sistema originale
originale con l’immissione di dati che per
sbaglio potrebbero essere salvati o registrati, seppur dati di prova
89
Importante anche al fine della comprensione dell’area delle rimanenze di merci, così
come dell’area delle disponibilità liquide, vi è la
la fase di understanding dei sistemi
informatici utilizzati dalla società al fine di raggruppare tutta l’informativa di magazzino
e presidiare il rischio di errore.
Dopo la fase di understending, così come già per le disponibilità liquide, viene la fase di
evaluating del sistema di controllo interno posto in essere dalla società ai fini di
ottenere comfort sui dati esposti nell’informativa finanziaria.
Esempio 3.5 - Understanding e evaluating processi di controllo interno magazzino
Entrata merci
Understanding
Financial Statements
Assertions
Obiettivo
Obiettivo
di
controllo
Contr Descrizione
ollo
Attività di
chiave controllo
La data di
No
ricevimento
della
merce è
successiva
alla data di
emissione
del Ddt
Il sistema
verifica che
la data del
DdT inserito
dall’Addetto
al
Ricevimento
sia
antecedente
alla data di
ricevimento
della merce
C A V R A C CO
A
V
A
E
P R
/
V
D O
O
CO
Tip
o
Ma
Frequenz
n/A
a
ut
Documentaz
ione del
controllo
Responsabile
del cotrollo
A
Configurazio
ne di sistema
Configurazione
di sistema
Ad evento
Evaluating
Disegno del controllo
PwC WTT Procedure
Valutazione del disegno
Carenze
PwC ha verificato in data 09/01/09 alla presenza del
responsabile del Receiving Dept. (Sig. I)) il disegno del
controllo mediante inquiry/observation. PwC ha ripercorso
la registrazione dell'entrata
ll'entrata merce del rimesso 56 del
fornitore 8992 (U S.r.l.).
). In seguito al tentativo da parte
dell'Operatore
e di registrare il rimesso con data del DdT
successiva alla data di ricevimento della merce il sistema
ha emesso un messaggio d'errore bloccante
Disegno parzialmente adeguato
PwC ha verificato che è
possibile da parte del
Magazzino bypassare il
controllo attraverso il comando
'Forzatura' presente a sistema
Fonte: elaborazione propria su dati PricewaterhouseCoopers rielaborati
3.3.
Gli strumenti utilizzati dal revisore per la valutazione del rischio
Per essere compliante con quanto previsto dai relativi principi in materia di revisione
contabile di bilancio nonché ottenere una certa assurance sui dati finanziari emessi
dalle società all’esterno, le società di revisione utilizzano certi strumenti di an
analisi che
90
permettono di conoscere il cliente e pianificare nella maniera più corretta ed adatta
l’attività di audit.
Gli strumenti utilizzati dalla società di revisione PricewaterhouseCoopers sono i
seguenti: la Business Analysis Framework, la Audit Comfort Matrix e la Summary of
Comfort203.
3.3.1. La Business Analysis Framework (BAF)
La BAF permette di conoscere a fondo il business del cliente e le sue dinamiche.
Questa fase viene effettuata in sede di intervento preliminare. L’obiettivo del revisore è
quello di identificare il rischio di errori significativi che vi possono essere sull’informativa
finanziaria emessa dalla società, sia dovuti a casi di frode che ad errori. Il revisore deve
quindi conoscere l’entità nel suo complesso ed il business nel quale opera, i relativi
rischi nonché l’ambiente circostante del quale la società fa parte e dal quale è
influenzata. Il revisore deve anche comprendere il sistema dei controlli interni,
costruendo una base di lavoro al fine di valutare l’adeguatezza degli stessi e le possibili
carenze204.
Al fine di capire l’entità nel suo complesso, l’ambiente nel quale opera che la circonda
ed il sistema di controlli interni adottati, si deve sviluppare un processo di raccolta,
aggiornamento ed analisi dell’informazione che continua anche durante l’attività di audit
vera e propria, dopo la fase preliminare. Il revisore così facendo riesce a costruire una
cornice con la quale pianificare l’attività di audit ed esercitare il proprio giudizio
professionale, ad esempio quando205:
 Viene determinate il rischio di errori materiali sul Bilancio d’esercizio;
 Viene determinata la materialità (così come spiegato nei paragrafi precedenti in
base a quanto previsto dal principio ISA 320);
 Viene considerata l’appropriatezza delle selezioni, valutata correttamente
l’applicazione delle policy di contabilità e l’adeguatezza dell’informativa
finanziaria;
203
Tali strumenti hanno denominazioni differenti per le altre società di revisione ma sono simili nella
sostanza
204
Fonte ISA 315.3
205
Fonte ISA 315.A1
91
 Vengono identificate le aree dove possono essere necessari maggiori test di
audit, per esempio le transazioni con parti correlate, l’appropriatezza
dell’assunzione da parte del management aziendale dell’assunzione di going
concern (continuità aziendale nel tempo206) o la considerazione di transazioni
anomale per il business nel quale la società opera, ecc.;
 Vengono sviluppate delle aspettative tramite l’ausilio di preliminary analytical
procedures207;
 Viene preparato un piano di risposta di audit per i rischi di errore, comprensivo di
ulteriori procedure di audit da effettuare per ottenere sufficienti ed appropriate
evidenze di audit;
 Viene valutata la sufficienza e l’appropriatezza delle evidenze di audit ottenute.
Il revisore deve utilizzare il proprio giudizio professionale al fine di determinare
l’estensione dell’understanding necessario al fine di essere conforme con quanto
richiesto dai principi di revisione. La profondità del livello di understanding richiesto è
comunque inferiore a quanto conosciuto dal management aziendale con riferimento
alla propria azienda e all’ambiente circostante.
In particolare il revisore deve capire il rischio di business attraverso la ricerca e l’analisi
di entità ed ambiente, dei regolamenti, delle leggi, della natura dell’entità, delle policy
aziendali (ad esempio policy etiche), degli obiettivi e delle strategie dell’entità oltre che
di altri fattori interni ed esterni eventualmente utili a comprendere l’entità nel suo
complesso.
Un diverso ambiente nel quale l’impresa opera influenza in maniera significativa l’entità
per via di leggi e regolamenti. L’ambiente deve quindi essere capito con cura al fine di
capire quale può essere il rischio che concerne con l’entità.
A seconda dell’ammontare delle informazioni richieste per attuare la procedura di
understanding, il revisore deve utilizzare le differenti fonti che ha a disposizione per
ottenere la necessaria informazione. Vi è poi un template da completare che permette
di raggruppare tutte le informazioni raccolte sulla società: la BAF.
Al fine di attuare l’understanding è necessario utilizzare una o più delle seguenti
risorse:
206
207
Si veda il capitolo 1 per un maggiore approfondimento circa tale punto
Si veda il sottoparagrafo successivo per un maggiore approfondimento
92
 Conoscere le fonti di informativa del management e altre informazioni esterne,
quali ad esempio giornali di categoria, informazioni su competitor e reporting di
broker, …; questo servirà al fine di raccogliere le informazioni a disposizione
della società;
 Discutere con personale chiave interno e consulenti esterni circa il
funzionamento delle differenti funzioni, tra cui quella finanza (con relativi
finanziamenti ottenuti ed investimenti attuati ed in previsione);
 Considerare il benchmark di performance finanziarie;
 Ottenere e leggere l’informativa emessa dalla società all’esterno (ad esempio
comunicazioni);
 Ottenere pareri e consulenza da parte di esperti laddove necessario;
 Rivedere le carte del precedente anno (laddove il revisore fosse nuovo, è
necessario dedicare maggiore sforzo a questa attività)208.
L’incontro con personale che non lavora nell’area di bilancio e lo scambio di
informazioni permette inoltre di imparare molto di più circa il business della società e
può aiutare ad identificare nuove visuali ed opportunità da condividere con il
management aziendale.
Facendo quindi leva sulle conoscenze pregresse e sull’esperienza di società operanti
in simili ambiti, permette al revisore di avere una buona visione di partenza anche sulla
strategia che la società potrebbe adottare.
Dunque il punto di vista da tenere in considerazione nella formazione della BAF è il più
indipendente possibile ed è un mix di conoscenze ed esperienze personali, acquisite
dal management, acquisite da terzi esterni e da personale della società operante
nell’area contabilità o meno. Questo permetterà di comprendere la modalità di valutare
ed attuare analisi contro il verificarsi del rischio e controllare l’ambiente circostante da
parte del management aziendale. E’ quindi necessario per il revisore agire con
scetticismo professionale209, paragonando la view personale con quella del
management della società.
L’incontro con il management permette inoltre al revisore di capire la tipologia di
organizzazione dell’entità e di identificare le differenti unit. Il revisore cerca quindi di
208
209
Tale concetto verrà approfondito nei successivi paragrafi
93
capire quali sono rischi considerati significativi dal management aziendale in relazione
con gli obiettivi di business, e le procedure che il management ha messo in piedi al fine
di mitigare i rischi individuati. Le procedure di controllo ben delineate permettono al
revisore di valutare l’efficacia delle stesse al fine di mitigare i rischi significativi.
Tale approccio permette al revisore di condurre un’attività di audit focalizzandosi sui
rischi individuati ed a mantenere una sorta di controllo sulla gestione del rischio da
parte dell’azienda.
Tali informazioni vengono sintetizzate quindi in un documento chiamato BAF (Business
Analysis Framework), contenente notizie legate alla overview del mercato, la strategia,
le attività che creano valore aggiunto e le performance finanziarie.
La BAF serve quindi per:
 Identificare i problemi e valutare i rischi connessi all’incarico;
 Pianificare ed effettuare la revisione in modo efficace ed efficiente;
 Valutare in modo più consapevole gli elementi probativi emersi nello
svolgimento dell’incarico di revisione;
 Fornire una migliore prestazione al cliente;
 Valutare il rischio intrinseco ed il rischio controllo;
 Esaminare i rischi dell’attività del cliente e la risposta data loro dalla Direzione;
 Effettuare la pianificazione generale del lavoro di revisione e la relativa
programmazione;
 Determinare il livello di significatività ed accertarsi, nel corso del lavoro, che il
livello prescelto risulti congruo;
 Valutare le risultanze del lavoro di revisione per stabilire la correttezza e la
validità delle asserzioni di bilancio;
 Valutare le stime contabili e le attestazioni della Direzione;
 Identificare le aree dove si può rendere necessario un intervento particolarmente
approfondito e specialistico;
 Identificare le parti correlate e le operazioni poste in essere con tali parti;
94
 Riconoscere le informazioni contraddittorie (per esempio, dichiarazioni errate o
false);
 Riconoscere situazioni non usuali o anomale (per esempio frodi210 o altri atti non
conformi a leggi o regolamenti, relazioni inattese fra i dati statistici sull’attività
operativa e i dati di bilancio)211.
Esempio 3.6 - BAF
Categorie della BAF ed
elementi di supporto:
Documentazione della fase di understanding
del cliente e dell’ambiente circostante
Impatto di audit (per esempio key
risks/materialità/preliminary analytics)
Ambiente competitivo
Ambiente legislativo
La competizione settoriale è molto forte. Nuovi
competitors sono entrati sul mercato nel corso
dell’esercizio
Ambiente macroeconomico
Deboli barriere all’entrata
Rischio di deliberata manipolazione delle vendite
al fine di raggiungere i target o rischio di sconti
inappropriati/non autorizzati al fine di
incrementare le vendite
Il management potrebbe sovrastimare vendite e
crediti
Market Overview
Strategia
Obiettivi
Struttura organizzativa
Attività che creano valore
Clientela
Persone
Catena di fornitori
Il Board non esercita un ruolo significativo nella
revisione delle attività della compagnia
La focalizzazione su tali obiettivi potrebbe
incrementare la probabilità che il management
sovrastimi le vendite e/o sottostimi i costi
Il prodotto cambia molto spesso (seguendo gli
ultimo trend fashion della moda)
Non sono presenti codici di condotta scritti
formali; nonostante ciò, la cultura aziendale
rispecchia valori etici e di condotta del business
con integrità
Adeguamento della provvigione per
l’obsolescenza inventariale
Ottimizzazione dell’inventario
Al fine di incrementare i ricavi e di competere sul
mercato, il manager responsabile del reparto
marketing e vendite ha il permesso di concedere
sconti commerciali laddove fosse ritenuto
opportuno
Il manager responsabile del marketing e delle
vendite ha un certo range di azione nel decider e
monitorare l’andamento delle vendite e delle
attività promozionali. Questo incrementa la
possibilità di frodi
Ambiente generic, sociale
ed impegno etico
Performance finanziarie
Posizione finanziaria
Profilo di rischio
Performance economiche
Fonte: elaborazione propria su dati PricewaterhouseCoopers Spa
3.3.1.1.
Le analytical procedures
Le procedure analitiche, come definite dagli standard di revisione, hanno per oggetto la
valutazione dei saldi di bilancio attraverso uno studio di possibili interrelazioni tra dati
finanziari e non finanziari. Operativamente, le procedure analitiche comportano la
comparazione del saldo oggetto di analisi (es. il saldo clienti) sia con dati di bilancio
(es. il saldo clienti al periodo precedente) che con grandezze di tipo qualitativo (es.
l’indice dei giorni medi di incasso o la comparazione con i dati di budget).
210
Per un maggiore approfondimento circa tale tematica, si vedano i paragrafi successivi al presente
capitolo
211
95
Le preliminary analytical procedures sono attuate nella fase preliminare della revisione,
insieme con la costruzione della BAF. Esse implicano quattro step logici da seguire:
 Sviluppare una aspettativa; l’aspettativa è la previsione che il revisore sviluppa
sul saldo o sull’indice che sta analizzando. Per poterla sviluppare correttamente
bisogna conoscere a fondo il business del cliente e le sue dinamiche (BAF);
 Definire la soglia; sulla base delle aspettative sviluppate bisogna decidere qual è
l’ammontare delle differenze emerse, tra il confronto del saldo oggetto di
esamina ed il valore cui lo si sta comparando, che si ritiene necessario
investigare ulteriormente;
 Calcolare le differenze; il calcolo della differenza riguarda lo scostamento tra il
valore che ci si aspetta di avere per quel saldo (aspettativa, primo bullet point)
con il valore che compare in bilancio;
 Investigare le differenze e trarre conclusioni212.
Esempio 3.7 - Preliminary analytical procedures
Current
Current
Varianza
31-dic-06 31-dic-07 Euro
15
28
13
%
86,7%
Linea di credito
44
47
3
6,8%
Inusuale o
non aspettata?
Sì
No
Spiegazione
X
L’aumento del denaro liquido è soprattutto
collegato all’aumento nei volumi di vendita,
sebbene importanti investimenti siano stati
elargiti in corso d’anno
X
Debito a lungo
termine
25
26
1
4,0%
X
Bilancio
Denaro e valori
equivalenti
3.3.2. La Audit Comfort Matrix (ACM)
I rischi chiave e quelli ritenuti in qualche modo significativi vengono riportati in una
matrice detta ACM (Audit Comfort Matrix). All’interno di una tabella vengono riportate
per ciascun ciclo aziendale inserito nello scope213 (revenue and receivables, purchase
and payables, inventory, treasury ecc.) gli obiettivi del controllo analizzato, la
descrizione del controllo esistente, le eventuali deficiency riscontrate, la tipologia di
controllo (manuale o automatico), la frequenza, gli obiettivi del processo informativo
212
213
Si rimanda ai successivi paragrafi per un approfondimento
96
meglio noti con l’acronimo CAVR214 (completeness, accuracy, validity e restricted
access), l’impatto che i rischi individuati secondo questi obiettivi possono determinare a
livello di financial statement assertions ed infine i test realizzati per validare i controlli
interni ed i rispettivi risultati. L’attività viene condotta percorrendo gli step appena
elencati per ciascun tipo di controllo esaminato e per ogni attività che costituisce il
processo o ciclo aziendale considerato215.
L’utilizzo dell’ACM aiuta il revisore:
 A collegare la fase di understanding della società con l’impatto provocato
sull’audit;
 A collegare i rischi significativi con le relative risposte di audit;
 A collegare il lavoro da fare alle varie aree ed asserzioni216 di bilancio;
 Ad avere una overview sull’approccio di audit riferito alla copertura dei rischi
significativi.
La ACM fa quindi parte della strategia di audit217. Essa permette di evidenziare la
risposta di audit ai rischi ritenuti significativi218.
L’ACM è un documento creato durante la fase di pianificazione ed è basato sulla BAF,
sulle analytical procedures. L’ACM è aggiornata mano mano che l’audit si sviluppa con
ulteriori informazioni raccolte riguardanti obiettivi, rischi e controlli con le relative
risposte al rischio da parte della società.
La ACM è generalmente dettagliata nel modo seguente:
 Obiettivi di business (non espressamente richiesto dai principi di revisione); gli
obiettivi di business possono essere definiti ad alto (missione aziendale) od a
più basso livello (operazioni per essere compliante con la mission aziendale).
Solamente gli obiettivi aziendali che hanno un impatto sull’audit vanno registrati
nell’ACM;
 Rischi di business (non espressamente richiesto dai principi di revisione); per
rischi di business si intende qualunque cosa che possa ostacolare il
raggiungimento da parte dell’entità dei propri obiettivi, ivi inclusi quelli strategici,
214
Si vedano i paragrafi successivi per un approfondimento
216
Si vedano i paragrafi successivi per un ulteriore approfondimento
217
Fonte ISA 300
218
Fonte ISA 315.32
215
97
operativi, finanziari e di compliance. Non tutti i rischi di business si trasformano
necessariamente in rischi significativi per l’audit. L’ACM registra solamente quei
rischi di business che hanno impatto sull’audit, sia del corrente che del futuro
periodo di revisione e che potrebbe essere necessario riportare all’entità ai fini di
un’implementazione del sistema di controlli interni. Un rischio di business può
potenzialmente trasformarsi in uno o più rischi di audit ed anche uno o più rischi
di business possono formare un rischio di audit unico;
 Rischi significativi (richiesto ove applicabile); si riportano i rischi che possono
impattare significativamente sull’informativa di bilancio. Tali rischi richiedono una
maggiore attenzione da parte del revisore. Si riportano inoltre le aree di bilancio
che possono essere influenzate in maniera significativa qualora tali rischi si
verificassero. Tutti i rischi significativi individuati devono essere riportati nella
ACM. Infine qualora venissero individuati rischi significativi durante lo
svolgimento del lavoro di revisione, il revisore deve considerare il rischio di
business conseguente all’eventuale verificarsi del rischio e come è collegato agli
obiettivi di business; va inoltre valutato se il rischio va comunicato alla società;
 Risposta e controlli posti in essere dal management aziendale (obbligatorio
qualora venga identificato un rischio); la responsabilità di gestire i rischi di
business attraverso l’implementazione di un adeguato sistema di controlli interni
e monitoraggio dei rischi, è in capo al management aziendale. Il management
implementa generalmente una serie di controlli interni atti a prevenire eventuali
effetti importanti qualora il rischio si verificasse; al contrario però, laddove il
management valutasse gli effetti che possono scaturire dal verificarsi del rischio
non significativi, potrebbe non avere implementato un sistema di controlli interni
atto a prevenire qualunque rischio. Va quindi valutata la risposta ai rischi
significativi posti in essere dal management. Va indicato inoltre quando il
revisore decide di testare i controlli chiave al fine di valutarne l’efficacia. Anche
questa sezione dell’ACM va aggiornata durante l’audit. Per considerare la
risposta del management, va inoltre compreso e valutato l’allineamento tra
obiettivi,
rischi
e
controlli.
Il
management
pone
infatti
in
essere
un’organizzazione fatta di persone, processi e controlli che devono svolgersi
secondo quanto previsto in un certo modo al fine di mitigare il rischio di non
raggiungere gli obiettivi di business. Il revisore deve quindi anche valutare
98
l’allineamento della missione219, strategia220 e degli obiettivi che l’entità
persegue con quanto effettivamente esercitato sul campo dal personale della
società. Se non vi è allineamento, il controllo potrebbe risultare ineffective;
 Aree ed asserzioni del Bilancio d’esercizio (richiesto laddove sia stato
individuato un rischio significativo); il revisore deve individuare quelle che sono
le aree di bilancio a rischio di informativa errata qualora il rischio si verificasse e
prepara una lista delle asserzioni che non sarebbero rispettate;
 Audit approach (obbligatoria laddove si fosse individuato un rischio significativo);
il revisore riporta in tale sezione il lavoro di audit richiesto al fine di avere
assurance contro errori significativi a seguito del verificarsi del rischio
significativo. Il lavoro può essere svolto o attraverso le fasi di understanding e
valutazione oltre che test del sistema di controlli inerenti l’area potenzialmente a
rischio che ottenendo evidenze di audit. Per tutti i rischi significativi va valutato il
disegno di controlli posto in essere dalla società per prevenire il verificarsi del
rischio. Il disegno delle più rilevanti attività di controllo va valutato e va deciso
quando esso non risulta sufficiente in quanto non in grado di coprire tutti i rischi
e quando va quindi implementato. Qualora il controllo sembri funzionante, esso
va comunque testato;
 Riportare al cliente; tale sezione raggruppa e riassume ciò che è emerso dalle
precedenti sections dell’ACM e che viene riportato al cliente. Ciò che viene
riportato riguarda l’individuazione di rischi significativi di business che non sono
stati considerati tali dalla società in quanto non è stato implementato alcun
sistema di controllo in grado di prevenire l’effettuazione del rischio. Vengono
219
La missione (o scopo) di un’organizzazione o impresa è il suo scopo ultimo, la giustificazione stessa
della sua esistenza, e al tempo stesso ciò che la contraddistingue da tutte le altre (fonte definizione sito
internet: www.wikipedia.org, enciclopedia telematica)
220
Insieme di decisioni aziendali con le seguenti caratteristiche (fonte L. Brusa, Attuare e controllare la
strategia aziendale. Mappa strategica e balanced scorecard, Giuffrè editore, Milano, 2007):
 sono le più direttamente strumentali agli obiettivi di fondo dell’azienda;
 hanno essenzialmente per oggetto:
 i segmenti di mercato da servire (o di utenza nelle Amministrazioni Pubbliche);
 i prodotti (beni o servizi) da offrire;
 gli anelli della catena produttiva da gestire in proprio (o quelli da delegare a fornitori
esterni e con i quali vi siano relazioni/accordi);
 sono prese dall’alta direzione (anche se possono trarre origine da ovunque all’interno
dell’organizzazione);
 sono destinate a dare un volto durevole all’azienda
99
inoltre riportate le deficiency di controlli interni e gli eventuali disallineamenti tra
gli obiettivi, i rischi individuati ed i controlli posti in essere221.
Esempio 3.8 - ACM
Obiettivi di
business
Rischio di
business
Key Risks
Controlli posti in Asserzioni
essere dal
soddisfatte
management
nel Financial
Reporting
Approccio di audit
Da riportare al
cliente
Incrementare
i profitti
attraverso
l'aumento dei
margini.
Viene deciso
di ridurre i
costi delle
materie prime
attraverso la
ricerca di
nuovi fornitori
La ricerca di
nuovi fornitori
ed il
cambiamento
potrebbe
provocare
una
diminuzione
della qualità
del materiale
utilizzato e
rischio per il
tasso di
cambio
-Conversione
della moneta
a fine
esercizio;
-Rischio di
frode circa la
selezione dei
fornitori
- Ricalcolo del
cambio a fine
esercizio per tutte
le operazioni con
i nuovi fornitori
fatto dal financial
controller, firmato
e caricato a
sistema per
poterne prendere
visione
- Ricontrollo della
selezione in base
ai criteri previsti
da parte del CFO
e controfirmato
dallo stesso
Bisogna procedere a
ricalcolare alcuni importi
relativi alle nuove forniture e
a controllare il tasso di
cambio utilizzato. Inoltre va
valutato se l'autorizzazione a
caricare a sistema la
documentazione spetta a tutti
o si accede tramite password.
Bisogna inoltre considerare
se il sistema può essere
forzato o meno. Qualora il
management fosse sotto
pressione per raggiungere i
risultati, ci potrebbe essere
un rischio che vengano scelti
i fornitori in base a parametri
non corretti. Bisogna rivedere
la documentazione relativa
Eventuali
carenze di
procedura/disall
ineamenti con
quanto previsto
per controllare il
rischio
Debiti verso
fornitori:
Accurancy
Completenes
s
Right &
Obligation
3.3.3. La Summary of Comfort (SOC)
I modelli di SOC possono essere utilizzati alternativamente per le singole voci di
bilancio o per i livelli di processo di business. Infatti molte voci riportate sul Bilancio
d’esercizio derivano da transazioni di processo ed il collegamento tra le transazioni e le
singole voci è quindi molto importante. Perciò il revisore deve utilizzare il proprio
giudizio professionale per valutare quando abbia più senso preparare una SOC sui
processi di business o sulle voci di bilancio, o una combinazione di entrambi.
La SOC va preparata abbinando ad ogni voce/processo evidenziato le asserzioni, ma
soltanto quelle principali che caratterizzano la voce o il processo stesso. Si possono
poi preparare delle SOC specifiche per ogni voce di bilancio per riassumere tutte le
asserzioni che vengono trattate in quello specifico contesto.
Le SOC hanno tutte alcune caratteristiche comuni:
 L’indicazione dell’area/processo di bilancio al quale ci si riferisce ed il relativo
ammontare di bilancio;
221
100
 Il rischio di errori materiali; descrivendo in maniera veloce i rischi che possono
esistere all’interno di una classe di bilancio o di un processo, si permette di
valutare se le procedure di audit minime a garantire assurance sono sufficienti o
se sono necessarie procedure ulteriori (per esempio laddove si fosse identificato
un rischio di valutazione errata delle rimanenze di magazzino per via di
obsolescenza di prodotti, deve essere fatto un ulteriore lavoro di analisi
successiva circa tale punto per ottenere adeguata assurance sull’asserzione di
bilancio della valuation);
 Vengono identificate le principali asserzioni di bilancio che sono abbinate ad
ogni voce o processo;
 L’indicazione delle procedure di audit in tre distinte categorie: controlli,
substantive analytics222 e substantive tests of details223; laddove il revisore
ottenga un adeguato comfort dall’analisi dei controlli interni posti in essere dalla
società, verranno svolte più substantive analytics piuttosto che test di dettaglio e
viceversa.
Il revisore può inoltre decidere di aggiungere eventualmente altre caratteristiche
laddove esse fossero necessarie alla formazione di una SOC completa:
 Un confronto completo tra le differenti voci che alimentano il bilancio di verifica
per l’anno corrente e l’anno precedente (tale raffronto è denominato lead
schedule); questo potrebbe essere necessario per visualizzare nel dettaglio tutte
le asserzioni che influenzano ciascuna informazione che va a confluire nel
Bilancio d’esercizio;
 L’indicazione del lavoro svolto dall’internal audit dell’azienda piuttosto che dal
revisore;
 L’indicazione dei report manageriali utilizzati, qualora fossero utili per raccogliere
evidenze di audit;
 Una conclusione in merito ai risultati del lavoro circa le macro-voci di bilancio
significative, i processi e le asserzioni più rilevanti che influenzano il bilancio.
222
Si vedano i precedenti paragrafi che trattano delle analytical procedures per un approfondimento su
tale tematica
223
I test di dettaglio sono stati approfonditi all’interno del capitolo 2 di tale trattazione
101
Esempio 3.9 - SOC
Area di bilancio:
Esercizio del bilancio
Immobilizzazioni materiali
8
Rischio di errori significativi
Le immobilizzazioni materiali potrebbero non esistere
Le immobilizzazioni materiali potrebbero non essere di
proprietà della società
Non tutti i conti di immobilizzazioni materiali sono inclusi nel bilancio d’esercizio
Non tutti i conti di immobilizzazioni materiali sono stati appropriatamente classificati in bilancio
Il cut-off potrebbe non essere corretto
Esercizio
Variazione
passato Variazione
%
7
1
14,3%
C A CO E/O R&O V PD
Comfort ottenuto dai controlli
Revisione delle capitalizzazioni
Esaminare gli ordini di acquisto
Substantive analytical review
Spese di ristrutturazione
Svalutazione
Substantive tests of details
Riconciliazione dei valori delle immobilizzazioni materiali tra
libro cespiti e contabilità
Disposizioni
Passività non registrate
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Fonte: elaborazione propria su dati PricewaterhouseCoopers adattati
3.4.
Le asserzioni di bilancio
3.4.1. L’audit comfort cycle
Dopo aver utilizzato gli strumenti a propria disposizione nelle fasi preliminari dell’audit,
il revisore arriva a determinare quello che è chiamato l’audit comfort cycle.
L’audit comfort cycle si compone di 4 fasi: scoping, understanding, evaluating e
validating. La definizione dello scope serve a delimitare l’attività di audit alle sole aree
di interesse (nell’ottica della massima efficienza ed efficacia). L’understanding mira alla
comprensione della struttura organizzativa del sistema di controllo interno (framework),
degli obiettivi, delle procedure, dei rischi chiave e delle responsabilità previste e
formalizzate (come già visto nei precedenti paragrafi).
L’evaluating invece costituisce lo step successivo di valutazione dell’efficacia dei
controlli interni posti in essere dal management e consente di esprimere un giudizio
finale in merito al livello di comfort che si ricava nello svolgimento dell’attività di audit
(già visto nell’analisi degli strumenti che il revisore utilizza per ripararsi dal rischio di
errori significativi). Dopodichè, si procede con le attività di validazione dei controlli
individuati, in modo da raccogliere delle evidenze che attestino la validità e la veridicità
di quanto appreso nella fase cognitiva.
102
Figura 3.4 -
Audit comfort cycle
Fonte: PricewaterhouseCoopers, PwC audit guide, 2010
Maggiore è il comfort ottenuto dall’analisi dei controlli interni e minore sarà il dettaglio
delle attività successive di revisione, ossia, si potranno svolgere un maggior numero di
procedure analitiche ed un minor numero di test di dettaglio (sicuramente più onerosi in
termini di tempo e di risorse)224.
Dall’evaluating e dal validating si perviene al giudizio relativo al livello di comfort che si
può ottenere dal sistema di controlli interni.
Terminato l’audit comfort cycle e compilate le audit comfort matrix225 (una per ogni ciclo
analizzato), si decide se proseguire l’audit ricorrendo ad un mix di substantive
analytical procedures e tests of detail con ago della bilancia più spostato verso le prime
o verso i secondi.
224
Sito internet www.economicamente.biz/?p=3173, che riporta un articolo riguardante la modalità di
225
Si vedano i paragrafi precedenti del presente capitolo per approfondire ulteriormente tali concetti
103
Maggiore è il grado di comfort ottenuto dallo studio degli internal controls e maggiore
sarà l’impiego delle substantive analytical procedures in luogo degli onerosi test di
dettaglio che ricordiamo sono obbligatori per le verifiche che fanno capo ad attività e
controlli legati a rischi chiave.
Le substantive analytical procedures non hanno il carattere della obbligatorietà
secondo quanto prescritto dai principi di revisione quando vengono utilizzati come test
di dettaglio e si realizzano sempre in quattro step (così come le preliminary226 e le
final): creazione di un’aspettativa indipendente, fissazione del livello di threshold e delle
differences significative, misurazione del fenomeno, confronto con i livelli di verifica e
conclusioni. Esempi di procedure analitiche sono: trend analysis, ratio analysis, analisi
di ragionevolezza, analisi di inferenza, scanning analytics ecc.
I substantive tests of detail227 invece sono generalmente suddivisi in tre categorie:
targeted tests, accept and reject tests e sample tests.
I primi sono quelli più consigliati e si focalizzano su una parte della popolazione da
esaminare selezionata in base ad un valore o una caratteristica che accomuna gli item
che la compongono (omogeneità). Un esempio potrebbe essere una classificazione del
tipo ABC. Gli accept and reject test sono maggiormente indicati quando bisogna
verificare la presenza di una determinata caratteristica all’interno di una popolazione da
esaminare, ossia, quando l’oggetto del test non è un valore finanziario. I sample test si
basano invece sul metodo dell’estrazione campionaria statistica e non.
3.4.2. Le asserzioni
La valutazione dei possibili rischi di errore significativi sul Bilancio d’esercizio viene
fatta come visto sulla SOC, che utilizza le asserzioni di bilancio per stabilire dove
l’impatto del rischio andrebbe a provocare un errore e dove pertanto il revisore deve
porre attenzione.
Il revisore deve identificare e valutare il rischio di ogni possibile errore materiale a
livello delle asserzioni per classe di transazione o voce di bilancio, al fine di disegnare
le basi delle future procedure di audit228.
226
Si rimanda al sottoparagrafo 3.3.1.1. per visionare l’approfondimento e l’esempio di analytical
procedures
227
Si rimanda al capitolo 2 per una più approfondita analisi
228
Fonte ISA 315.25
104
Assumendo la responsabilità che le informazioni emesse corrispondono alla realtà, il
management aziendale implicitamente o esplicitamente tiene conto delle asserzioni di
bilancio, riguardanti l’esistenza, la misurazione, la presentazione e la registrazione dei
diversi elementi sul bilancio e su tutta l’informativa229.
Le asserzioni usate dal revisore per considerare le differenti tipologie di possibili errori
che possono verificarsi si dividono in tre categorie230:
 Asserzioni circa classi di transazioni ed eventi occorsi durante il periodo di audit,
che includono
 Occurrence  le transazioni e gli eventi registrati nel periodo hanno
pertinenza con l’entità;
 Completeness  tutte le transazioni e gli eventi che dovrebbero essere
registrati lo sono stati;
 Accuracy  l’ammontare e gli altri dati relativi alle transazioni ed eventi
sono stati registrati appropriatamente;
 Cut-off  le transazioni e gli eventi sono stati registrati nel periodo
contabile corretto;
 Classification  le transazioni e gli eventi sono stati classificati nella voce
di bilancio corretta;
 Asserzioni circa voci di bilancio presentate a fine esercizio, che includono
 Existence  attivo, passivo e patrimonio netto esistono;
 Rights and obligations  l’entità detiene la proprietà o il controllo dei diritti
su attività e passività che sono obbligazioni assunte per l’entità stessa;
 Completeness  tutte le attività, le passività ed il patrimonio netto che
dovrebbero essere registrati lo sono stati;
 Valuation and allocation  le attività, le passività ed il patrimonio netto
sono iscritti nel Bilancio d’esercizio al valore appropriato e tutti gli
aggiustamenti necessari sono appropriatamente registrati;
 Asserzioni circa la presentazione e le registrazioni in bilancio, che includono
229
230
Fonte ISA 315.A110
Fonte ISA 315.A111
105
 Occurrence and rights and obligations  gli eventi registrati e le
transazioni sono effettivamente accadute e sono di pertinenza dell’entità;
 Completeness  tutte le registrazioni che dovrebbero essere registrate
nel Bilancio d’esercizio lo sono state;
 Classification and understandability  le informazioni finanziarie sono
presentate nel modo appropriato e descritte e registrate in modo chiaro;
 Accurancy and valuation  le informazioni finanziarie e non sono
registrate in maniera corretta e rappresentano il giusto ammontare.
Il revisore può utilizzare le asserzioni così come precedentemente descritto o può
esprimerle in modo differente. Per esempio alcune di esse potrebbero essere
combinate tra loro231. Questo è possibile al fine di semplificare l’utilizzo delle asserzioni
di bilancio nella pratica. Generalmente esse vengono combinate tra loro in questa
maniera:
Asserzione di bilancio implicita
Asserzione PwC
Abbreviazione
Accuracy
Accurancy
A
Completeness
Completeness
C
Cut-off
Cut-off
CO
Existence/Occurrence
E/O
Presentation and disclosure
PD
Right and obligations
Right and obligations
RO
Valuation and allocation
Valuation
V
Existence
Occurrence
Classification
Understandability
Al fine di giungere ad una conclusione sulla veridicità e correttezza del Bilancio
d’esercizio o meno nella sua interezza, il revisore considera molto importanti le
asserzioni di bilancio. E’ per questa ragione che un numero significativo di procedure di
audit sono disegnate al fine di rispondere al rischio di errore significativo identificato a
livello di analisi del rispetto delle asserzioni.
Relativamente ai rischi di errore significativo individuati a livello di analisi delle
asserzioni di bilancio è necessario collegare in maniera adeguata i rischi ed i test sui
controlli e le relative substantive audit procedures che sono collegati ad una asserzione
specifica. Per esempio, l’osservazione del magazzino dà una forte e diretta evidenza
231
Fonte ISA 315.A112
106
circa l’esistenza delle rimanenze di magazzino stesse e può fornire anche alcune
importanti indicazioni circa la valutazione delle rimanenze (si pensi a materiale
individuato chiaramente obsoleto).
Per questa ragione, al fine di stabilire una chiara correlazione tra la valutazione del
rischio di possibili errori significativi ed ulteriori procedure di audit da attuare, va detto
che le procedure di valutazione finale del rischio sono fatte a livello di asserzioni. Per
esempio qualora si fosse individuato eventuale materiale obsoleto tra le rimanenze di
magazzino, l’asserzione della valuation permette di stabilire un collegamento tra il
rischio e le relative procedure da attuare per ottenere comfort232.
Gli elementi probativi selezionati, indagati e analizzati per una o più voci di bilancio
dovranno soddisfare le asserzioni..
Tornando alle asserzioni di cui sopra, mentre sei vengono valutate (e devono essere
provate) a livello di singoli componenti, la presentation & disclosure richiede invece uno
sguardo al bilancio nel suo complesso.
E’ importante quindi per il revisore, prima di iniziare il lavoro di test, capire verso quali
obiettivi per valutare le singole voci ci si vuole indirizzare al fine di ottenere una
adeguata assurance.
3.5.
La frode
Il termine frode indica un atto intenzionale fatto da uno o più individui facenti parte del
management, di coloro che sono incaricati della governance della società, dei
dipendenti, incluso l’utilizzo di inganni ed escamotages al fine di ottenere un vantaggio
personale ingiusto o illegale233.
Gli obiettivi del revisore concernenti tale punto sono differenti ed in particolare
riguardano234:
 L’identificazione del rischio e la valutazione di possibili significativi errori
materiali dovuti a frode;
232
Fonte ISA 240.11
234
Fonte ISA 240.10
233
107
 L’ottenimento di appropriate e sufficienti evidenze di audit riguardanti la
valutazione dei rischi di possibili significativi errori materiali dovuti a frode,
attraverso il disegno e l’implementazione di appropriate risposte di audit;
 L’appropriatezza della risposta di audit ad eventuale frode o sospetta tale
evidenziata durante la procedura di revisione.
Gli errori nel Bilancio d’esercizio possono scaturire da frode o errore non dovuto a
frode. Il fattore tra loro distintivo riguarda l’intenzionalità o meno di porre in essere
l’azione che ha portato all’errore significativo di bilancio235.
Il revisore è responsabile secondo i principi ISA della frode che causa errori materiali
sull’informativa di bilancio emessa dalla società.
Vi sono in particolare due tipi di errori intenzionali rilevanti per i revisori che sono:
 Errori risultanti da un reporting finanziario redatto in modo fraudolento;
 Errori risultanti da indebita appropriazione degli asset della società.
Sebbene il revisore possa sospettare o, in rari casi, identificare la frode, egli non ha il
potere di fare alcuna accusa di tipo legale circa quando la frode si sia effettivamente
verificata236.
La frode, in entrambi i casi in precedenza delineati, comprende incentivazione o
pressione per far commettere la frode stessa. Per esempio237:
 L’incentivazione o la pressione a redigere un reporting finanziario fraudolento
può esistere quando il management è sotto pressione, dovuta a soggetti terzi
esterni od interni all’entità, per via dell’obiettivo di raggiungere un risultato di utile
o di altri indicatori finanziari o economici (in realtà non raggiunto), che possa
portare a negative conseguenze per il management stesso qualora non
raggiunto;
 La percezione di opportunità di commettere frode potrebbe esistere qualora un
individuo creda di poter scavalcare il sistema di controlli interni, ad esempio
perché egli occupa una posizione rilevante di fiducia oppure ha le conoscenze
necessarie per conoscere le specifiche mancanze nel sistema dei controlli
interni;
235
Fonte ISA 240.2
Fonte ISA 240.3
237
Fonte ISA 240.A1
236
108
 I dipendenti potrebbero commettere un atto fraudolento per via della loro
attitudine, carattere o dei loro valori personali che permettono loro di commettere
un atto disonesto in maniera consapevole ed intenzionale. Ad ogni modo, anche
gli individui più onesti possono commettere un atto di frode in un ambiente che li
costringe ad operare sotto pressione, considerata dai soggetti stessi ingiusta ed
eccessiva.
Gli errori non voluti, come detto, non sono un atto di frode. La frode è un atto
intenzionale e soventemente coinvolge un occultamento intenzionale dei fatti.
Gli errori sono definite come non intenzionali omissioni di voci o registrazioni che
dovevano alimentare il Bilancio d’esercizio. Gli errori potrebbero riguardare:
 Errori di raccolta o di lavorazione dei dati che alimentano il Bilancio d’esercizio;
 Una stima contabile non ragionevole che scaturisce da una sbagliata
interpretazione dei fatti;
 Errori nell’applicazione di principi contabili relativamente ad ammontari da
iscrivere, classificazioni, presentazione sul bilancio, ecc.238.
L’intenzionalità è spesso difficile da determinare, particolarmente in materia di stima
contabile e di applicazione dei principi contabili239. Per esempio, una stima contabile
non ragionevole potrebbe essere sia intenzionale che non.
L’audit non è disegnato per determinare l’intenzionalità ma il revisore necessita di
capire gli intenti al fine di individuare gli impatti sulle procedure di audit.
Il reporting finanziario fraudolento include quindi errori ed omissioni commessi in
maniera intenzionale che possono trarre in inganno l’utilizzatore dell’informativa di
bilancio. Ad esempio qualora il management influenzasse in maniera fraudolenta la
rappresentazione del risultato d’esercizio, si potrebbero ottenere più facilmente
finanziamenti dall’esterno oppure avere una minore imposizione fiscale240. Il
management potrebbe attuare tali “aggiustamenti” in maniera anche graduale per via
delle pressioni e degli incentivi che, però, potrebbero anche avere l’effetto di
incrementare tali azioni. Una situazione del genere può capitare nel caso in cui, per via
delle pressioni di aspettative di mercato o del desiderio di massimizzare i compensi
238
Si rimanda al capitolo 1 della presente trattazione per un approfondimento sui principi contabili
240
Fonte ISA 240.A2
239
109
variabili basati sulle performance di risultato, il management intenzionalmente assume
una posizione fraudolenta manipolando materialmente l’informativa.
Il reporting finanziario redatto in maniera fraudolenta potrebbe essere compiuto nei
seguenti modi241:
 Manipolazione, falsificazione o alterazione di registrazioni contabili o di
documentazione a supporto dalla quale viene dedotta l’informativa di bilancio;
 Rappresentazione errata o omissione intenzionale dal bilancio di eventi e
transazioni o altre informazioni significative;
 Applicazione errata intenzionale dei principi contabili relativamente ad
ammontari, classificazioni e rappresentazione in bilancio.
La frode può anche, come accennato in precedenza, essere commessa dal
management aziendale che conosce i controlli interni e le loro carenza ed è in grado di
scavalcarli. Le tecniche per aggirare il sistema di controllo interno sono molteplici242:
 Registrazione di journal entries243 fittizie, in modo particolare verso la chiusura
dell’esercizio, al fine di manipolare i risultati operativi e di raggiungere altri
obiettivi (come precedentemente spiegato);
 Aggiustamenti non appropriati e giudizi modificati usati per stimare le poste di
bilancio;
 Ritardata registrazione sul bilancio di eventi e transazioni che si sono verificate
nel periodo di riferimento;
 Mancata presentazione di fatti che possono avere un significativo effetto sugli
ammontari registrati in bilancio;
 Transazioni complesse che sono strutturate in maniera da fuorviare il lettore del
bilancio ed il revisore sull’effettiva posizione finanziaria e sulle performance
finanziarie dell’entità;
241
Fonte ISA 240.A3
Fonte ISA 240.A4
243
La caratteristica di journal entries fraudolente o altri simili aggiustamenti hanno spesso caratteristiche
ben identificabili. Ad esempio possono includere entrate fatte con contropartita conti strani, non usuali, o
voci non utilizzate in precedenza, fatte da individui che tipicamente non registrano sul libro giornale,
registrate alla fine del periodo o come aggiustamenti post chiusura con poche o nessuna spiegazione o
descrizione, fatte sia prima che durante la preparazione del Bilancio d’esercizio e che non hanno nessun
numero di conto collegabile, o che contengono numeri che si ripetono o sempre le stesse cifre finali
242
110
 Alterazione di registrazioni e termini collegati a transazioni significative e
inusuali.
L’appropriazione indebita degli asset societari si riferisce invece a colui che, senza
averne il diritto, si impossessa come se fosse un ladro degli asset della società. Ciò
accade spesso in piccole realtà e generalmente coinvolge dipendenti che si
appropriano indebitamente di basse cifre. In ogni caso, può anche riguardare il
management di una società che risulta in grado di appropriarsi in maniera indebita
degli asset in modo da essere difficilmente scoperto. L’appropriazione indebita degli
asset può avvenire in diversi modi244:
 Sottraendo entrate (per esempio appropriazione indebita di crediti verso clienti o
deviando le entrate su conti bancari personali);
 Rubando asset materiali di proprietà della società od immobilizzazioni
immateriali (per esempio, rubare rimanenze di magazzino per uso personale o
vendita, rubando rottami da rivendere, accordarsi con un competitor fornendo
informazioni su dati tecnologici importanti in cambio di denaro);
 Effettuare forme di pagamento da parte della società per beni e servizi in realtà
mai ricevuti (per esempio, pagamenti a venditori fittizi, pagamenti a dipendenti
fittizi, ecc.);
 Utilizzare gli asset societari per scopi personali (per esempio dare garanzia
tramite asset societari al fine dell’ottenimento di un prestito personale o alle parti
correlate).
L’appropriazione indebita degli asset è spesso accompagnata da registrazioni false o
documenti che attestano la perdita di asset o che sono stati emessi senza le dovute
autorizzazioni.
In molti casi, l’appropriazione indebita degli asset potrebbe anche non causare un
errore significativo od un’omissione di informativa sul Bilancio d’esercizio. In ogni caso,
va considerato che l’appropriazione indebita potrebbe essere considerata materiale
solamente vista la sua natura piuttosto che la sua grandezza monetaria, ad esempio
per il coinvolgimento di management a capo della gestione aziendale, oppure perché
ha implicazioni di legge, o perché può provocare la perdita della buona reputazione
dell’azienda sul mercato. Vi è anche la possibilità che la frode di apparente basso
244
Fonte ISA 240.A5
111
importo ed impatto sul bilancio scoperta sia solamente l’inizio di un effetto a catena che
sommato può portare ad effetti disastrosi.
In alter parole, la scoperta di frode che inizialmente può sembrare poco influente può
essere indicazione di problemi molto più significativi con ampie implicazioni sull’entità e
la sua informativa.
3.5.1. La responsabilità del management aziendale
La responsabilità primaria per la prevenzione della frode è in capo alle persone facenti
capo alla governance della società ed al management aziendale. E’ importante che il
management, che ha la visione di coloro che sono incaricati della governance
societaria, faccia un grande sforzo ai fini di prevenire la frode stessa e la possibilità che
essa prenda forma all’interno della società. Per fare questo il management può avere
bisogno di deterrenti che convincano gli individui presenti nell’entità a non commettere
atti di frode per via della probabilità di essere scoperti e puniti.
La prevenzione della frode parte comunque dalla cultura che si crea e che viene
alimentata dal management della società all’interno dell’organizzazione aziendale
stessa tra i dipendenti, che deve essere una cultura di onestà e di comportamento
etico. Le persone incaricate della governance della società devono porre attenzione
alla possibilità che i controlli interni possano essere scavalcati o che i processi
presentino alcuni punti in cui vi può essere un’influenza da parte del management
aziendale, ad esempio laddove i bonus manageriali siano legati all’ottenimento di
risultati di bilancio, il che può influenzare la corretta e veritiera informativa di bilancio245.
La responsabilità di cui è incaricata la governance societaria o il management può
essere varia e differente da entità a entità e da paese a paese, per via della
compliance richiesta da diverse leggi e da codici etici scritti sulla base di differenti
culture. Ciò che è importante è che il management instauri un ben radicato insieme di
valori a partire dai dipendenti tramite corsi sull’etica e sul modo di operare dell’azienda
nel business.
La creazione di una cultura di onestà e di un comportamento etico all’interno della
società comprende:
 La creazione di un ambiente positivo di lavoro;
245
Fonte ISA 240.4
112
 L’assunzione e la preparazione dei dipendenti in maniera appropriata;
 La conferma periodica dei dipendenti circa le loro responsabilità;
 L’assunzione di azioni adeguate nel caso di frode sospetta o scoperta246.
Il mantenimento di un sistema di controlli interni adeguato che dia una ragionevole
assurance deve essere oggetto di valutazione di coloro che fanno parte della
governance della società, sotto la supervisione del management. L’assurance circa il
sistema di controlli interni si intende con riferimento a:
 Affidabilità del collegamento con il financial reporting;
 Efficacia ed efficienza delle operazioni;
 Conformità alle leggi ed ai regolamenti applicabili.
La formazione di un ambiente di controllo e mantenere vivo il rispetto delle policy e
delle procedure è responsabilità del management aziendale. Tale responsabilità
comprende il mantenimento del sistema di controlli interni al fine di perseguire
l’obiettivo di emettere informativa all’esterno veritiera e corretta.
3.5.2. La responsabilità del revisore
Il revisore è responsabile dell’eventuale frode che può verificarsi in azienda e pertanto
necessita di ottenere un adeguato grado di assurance sul fatto che l’informativa
finanziaria giudicata nel suo complesso sia priva di errori significativi dovuti a frode.
Come spiegato nei precedenti paragrafi c’è il rischio che, nonostante l’audit sia
impostato ed effettuato in compliance con i principi ISA, per via di una limitazione
inerente dell’audit, degli errori materiali possano non essere individuati247.
Il potenziale effetto di limitazioni di tale genere è particolarmente significativo nel caso
di errori derivanti da frode. Il rischio di non individuare un errore materiale derivante da
frode è più alto del rischio di non individuare un errore materiale derivante da errori veri
e propri, non commessi in maniera volontaria. Questo è dovuto al fatto che la frode può
coinvolgere schemi organizzati e disegnati accuratamente per non permettere di
essere individuata, oppure la volontariamente mancata registrazione di transazioni ed
246
247
Fonte ISA 240.5
113
ancora la rappresentazione fuorviante intenzionale dei fatti al revisore. Questi tentativi
sono tanto più difficili da individuare quanto maggiore è la collusione.
La collusione potrebbe causare la convinzione nel revisore che l’evidenza di audit
raccolta sia reale quando in realtà è falsa ed inventata. La difficoltà del revisore nello
scoprire la frode dipende da fattori quali l’abilità del soggetto, la frequenza delle
manipolazioni, il grado di collusione coinvolta, la grandezza dell’importo manipolato e la
seniority delle persone coinvolte: infatti è molto più facile scoprire una frode reiterata
nel tempo piuttosto che valutare l’eventuale frode nelle stime contabili (in quanto risulta
difficile la distinzione con l’errore)248.
Inoltre, risulta più difficoltoso, ad esempio, per il revisore individuare un errore materiale
risultante da frode del management piuttosto che dei dipendenti, in quanto il
management è in una posizione in grado di manipolate direttamente od indirettamente
le registrazioni oppure scavalcare i controlli interni e le procedure atte a prevenire frodi
di tipo similare effettuate dal personale dipendente della società249.
Quando si ottiene un ragionevole grado di assurance, il revisore è comunque
responsabile del mantenimento di scetticismo professionale, atto a ragionare sulla
possibilità da parte del management di aver scavalcato il sistema di controlli interni250.
Ovviamente il management aziendale ed i dipendenti coinvolti in una situazione di
frode tendono a mettere in atto ulteriori comportamenti al fine di nascondere la frode
che stanno perpetuando.
La frode può essere occultata con:
 Evidenze nascoste;
 Informazione non corretta in risposta alle richieste;
 Falsificazione della documentazione (per esempio i dipendenti od i membri del
management che si appropriano indebitamente di denaro potrebbero provare a
nascondere il loro furto tramite firme elettroniche su autorizzazioni di
approvazione false);
 Collaborazione tra management, dipendenti e terze parti (per esempio tramite
tale collaborazione potrebbe essere che falsa documentazione ed evidenze
248
Fonte ISA 240.6
Fonte ISA 240.7
250
Fonte ISA 240.8
249
114
vengano presentate dalla società al revisore e che spiegazioni simili ma
fuorvianti circa risultati attesi o inattesi vengano fornite da più di un individuo
dell’entità; un esempio di collaborazione tra il management e le terze parti
potrebbe invece portare a false conferme dalle stesse ottenute tramite
procedura di circolarizzazione);
 Management in grado di scavalcare controlli interni che appaiono operare in
maniera efficace (per esempio, il management coinvolto in situazioni fraudolente
potrebbe registrare journal entries fittizie o alterare documenti di consegna della
merce)251.
La possibilità di commettere atti fraudolenti è tanto inferiore quanto maggiormente il
management aziendale promuove standard etici, implementa e monitora controlli
automatici e manuali appropriati di prevenzione della frode e prevede deterrenti contro
l’attuazione della frode stessa.
3.5.3. La componente dello scetticismo professionale nel lavoro del revisore
Il revisore nello svolgimento del lavoro di audit deve mantenere un atteggiamento
professionale e scettico al fine di riconoscere e valutare l’eventuale possibilità che
vengano commessi errori materiali dovuti a frode, al di fuori della considerazione che il
revisore può avere della società vista la sua passata esperienza252.
A meno che il revisore non abbia valide ragioni per presupporre il contrario, egli deve
accettare le registrazioni ed i documenti fornitigli come reali. Soltanto laddove le
circostanze evidenzino la possibilità che la documentazione fornita per la revisione
possa essere contraffatta e falsa, il revisore deve provvedere ad investigare in maniera
più approfondita253.
Laddove le risposte del management aziendale o delle persone addette alla
governance della società alle richieste siano inconsistenti, il revisore deve provvedere
ad investigare ulteriormente254.
Mantenere un atteggiamento professionale scettico richiede un continuo chiedersi da
parte del revisore di quando le informazioni e le evidenze di audit ottenute evidenzino
251
Fonte ISA 240.12
253
Fonte ISA 240.13
254
Fonte ISA 240.14
252
115
che un errore dovuto a frode potrebbe esistere. Va inoltre considerata l’attitudine delle
informazioni ad essere utilizzate come evidenze di audit e quindi vanno valutati i
controlli sottostanti alla preparazione di tale documentazione.
Per via delle caratteristiche della frode è quindi molto importante per il revisore
mantenere un atteggiamento di scetticismo professionale quando viene valutato il
rischio di possibile errore volontario255.
3.6.
Le novità della legislazione in ambito di revisione contabile: il Decreto Legislativo
n. 39/2010
L’entrata in vigore del D.Lgs. n.39/2010 ha apportato notevoli modifiche alle procedure
di revisione nonché agli standard qualitativi previsti dalla revisione contabile stessa.
In particolare le modifiche si sono concentrate su taluni aspetti: ad esempio i controlli
contabili previsti dalla procedura di revisione contabile di bilancio.
I controlli contabili sono attuati dai revisori in maniera periodica: in particolare essi sono
attuati con cadenza trimestrale e servono ad effettuare un controllo periodico circa la
corretta rilevazione dei fatti di gestione della società e della regolare tenuta della
contabilità sociale256.
L'attività di controllo contabile, che ha ora preso il nome di revisione legale257, è ormai
disciplinata unicamente dal decreto legislativo 39/2010.
In particolare l’esercizio della revisione legale è riservato ai soggetti iscritti nel
Registro258, per la cui iscrizione sono previsti molteplici requisiti per le persone
fisiche259.
Uno degli aspetti più importanti su cui la riforma si basa è il presupposto che l'attività
svolta dai revisori sia soggetta a un periodico controllo di qualità.
Ecco perché talvolta è opportuno affrontare il tema della revisione partendo "dal fondo",
e cioè dalle norme sui controlli e sulle sanzioni: sapere quali aspetti della propria
255
Fonte ISA 240.A7
257
Fonte art. 2328 Codice civile
258
D.Lgs. n.39/2010, art. n.2
259
Si rimanda alla lettura dell’art. n.2 del D.Lgs. n.39/2010 per prendere eventualmente visione dei
requisiti richiesti per l’iscrizione per l’esercizio alla revisione contabile, in quanto non importante ai fini
della presente analisi
256
116
attività verranno verificati è il primo elemento da considerare proprio per organizzare al
meglio l'attività stessa260.
L’articolo 20 è dedicato interamente al controllo di qualità. Gli aspetti di fondo possono
essere così riassunti:
 chi è iscritto al registro dei revisori è soggetto a un controllo ogni sei anni (tre se
l'attività di revisione riguarda società quotate ed enti assimilati);
 il controllo verrà effettuato da persone fisiche in possesso di requisiti di
esperienza e professionalità;
 l'attuazione pratica della disposizione è demandata a un provvedimento del
Ministero dell'Economia.
L’analisi viene incentrata sugli elementi indicati dal decreto come aspetti rilevanti sui
quali il controllore dovrà esprimere la sua valutazione261. Si tratta dei seguenti aspetti:
 conformità ai principi di revisione;
 requisiti di indipendenza;
 quantità e qualità delle risorse impiegate;
 corrispettivi per la revisione.
Nel caso delle società di revisione viene considerato anche il sistema interno di
controllo della qualità.
Il controllore provvederà a verificare la congruità delle risorse a disposizione del
revisore con il numero degli incarichi svolti. Se il revisore è un soggetto singolo, infatti,
esiste un limite fisiologico rappresentato dall'obbligo di svolgere le verifiche periodiche
di revisione262. Se invece il revisore si avvale di altri soggetti263 occorre che essi
forniscano risorse adeguate sia dal punto di vista quantitativo sia dal punto di vista
qualitativo.
Ciascun revisore dovrà essere quindi in grado di produrre un elenco delle persone di
cui si avvale per lo svolgimento degli incarichi, con l'indicazione delle relative qualifiche
professionali e del tempo da essi dedicato alla revisione. Inoltre, trattandosi di fatto di
un "team di revisione", dovranno anche essere adottate le procedure che assicurano la
260
P. Ceppellini, R. Lugano, Un voto all'attività del revisore, Il sole 24 ore, 13 maggio 2010
D.Lgs. n.39/2010, art. n.20, comma n.5
262
D.Lgs. n.39/2010, art. n.14
263
Fonte art. 2403 bis Codice civile, comma n.4
261
117
verifica delle qualità delle persone, la loro direzione e la loro supervisione da parte del
revisore264.
Il revisore dovrà esporre inoltre i corrispettivi stabiliti per ciascun incarico, motivandone
la quantificazione. Il controllore dovrà verificare i seguenti aspetti265:
 corrispettivo non subordinato a condizioni;
 corrispettivo non determinato in funzione dei risultati della revisione;
 corrispettivo non dipendente da prestazioni di servizi diversi dalla revisione
(anche alle altre società del gruppo);
 corrispettivo quantificato in modo da garantire la qualità e l'affidabilità del lavoro
di revisione.
Tutte queste verifiche garantiscono sicuramente un maggiore grado di indipendenza
nella revisione del Bilancio d’esercizio da parte del revisore esterno.
Quindi il sistema di controllo deve essere indipendente dai revisori legali e dalle
imprese di revisione contabile controllate ed è soggetto al controllo pubblico; il suo
finanziamento deve essere sicuro ed esente da qualsiasi influenza indebita da parte
dei revisori legali.
Chi effettua i controlli deve avere formazione ed esperienza professionale adeguate in
materia di revisione legale e di informativa finanziaria, nonché una formazione specifica
in materia di controllo della qualità.
Il controllo include una valutazione della conformità ai principi di revisione e ai requisiti
di indipendenza applicabili, della quantità e qualità delle risorse investite, dei
corrispettivi per la revisione nonché del sistema interno di controllo della qualità
nell'impresa di revisione contabile.
Il controllo della qualità è oggetto di una relazione con conclusioni; ha luogo almeno
ogni sei anni; i risultati globali del sistema di controllo della qualità sono pubblicati
annualmente. Le raccomandazioni formulate a seguito dei controlli della qualità sono
recepite dal revisore legale o dall'impresa di revisione contabile entro un termine
ragionevole, pena l'applicazione di sanzioni.
264
265
Fonte ISA 220
D.Lgs. n.39/2010, art. n.10, commi n.9 e 10
118
Al fine di rilevare eventuali situazioni di incompatibilità tra società di revisione e
potenziale cliente il decreto ha ad oggetto la verifica degli organi di amministrazione e
controllo della società potenziale cliente e, limitatamente alle sole società italiane, delle
sue controllanti, delle controllate e delle società partecipate e partecipanti con diritti di
voto superiori alla soglia del 20%. Con riferimento alla sola società potenziale cliente
vengono richieste anche le informazioni relative alla direzione aziendale ed ai soggetti
che svolgono funzioni tali da consentire l’esercizio di un’influenza diretta sulla
preparazione delle registrazioni contabili e del bilancio della società stessa.
Per quanto riguarda le società estere, la verifica viene effettuata mediante
sottoscrizione periodica di un’apposita dichiarazione cumulativa da parte dei revisori
Soci di tutte le Società di revisione appartenenti ad un network.
La verifica in conformità a quanto previsto presuppone l’ottenimento dell’organigramma
della struttura del gruppo, comprendente la società capogruppo ultima (italiana o
estera) e tutte le società italiane, che soddisfino uno o più dei seguenti requisiti:
 siano controllanti o controllate, dirette ed indirette, del/i potenziale/i cliente/i della
Società di revisione;
 siano partecipanti o partecipate dirette ed indirette, del/i potenziale/i cliente/i
della Società di revisione con diritti di voto superiori al 20%;
 siano soggetti giuridici che procedono all’assegnazione dell’incarico di revisione
legale dei conti ai sensi dell’articolo 14 del D.Lgs. 39/2010 e dell’articolo 155 del
D.Lgs. 58/1998, come modificato dal D.Lgs. 39/2010 (dopo l’entrata in vigore
del D.Lgs. 39/2010 la comunicazione a Consob266 è ora richiesta anche per gli
incarichi conferiti dagli emittenti di cui all’art. 116 del TUF – Emittenti strumenti
finanziari diffusi tra il pubblico –).
Al termine della procedura di verifica, il Compliance Office, previa ricezione dell’esito
dello svolgimento della procedura procede all’invio al cliente della dichiarazione di
insussistenza cause di incompatibilità.
Nel corso degli esercizi per i quali è stato conferito incarico di revisione ai sensi degli
articoli 14 del D.Lgs. 39/2010 e 155, 165 e 165-bis del D.Lgs. 58/1998, come
modificato dal D.Lgs. 39/2010, al variare delle informazioni richieste in sede di
conferimento di incarico relative agli organi di amministrazione e controllo e della
266
D.Lgs. n.58/1998, art. n.162, comma 3 bis
119
direzione aziendale o in caso di variazione della struttura del gruppo di riferimento il
cliente fornirà comunicazione di dette variazioni al revisore al fine di consentire l’avvio
delle opportune verifiche di insussistenza cause d’incompatibilità.
Al fine di garantire il completamento della procedura prima del conferimento
dell’incarico di revisione il revisore deve richiedere l’avvio del processo di verifica
insussistenza267.
Il revisore è responsabile per qualsiasi circostanza sopraggiunta e non comunicata o
per il mancato aggiornamento nel tempo delle informazioni raccolte in sede di
conferimento incarico, oltre che della raccolta di informazioni non sufficienti.
Il mancato rispetto degli adempimenti contenuti nel decreto è sanzionabile con i
provvedimenti
disciplinari
previsti
per
le
violazioni
dai
rispettivi
Codici
di
Comportamento.
Per quanto riguarda le società che ricadono nella definizione di Entità di Interesse
Pubblico ai sensi dell'articolo 16 del decreto 39/2010268, esse non sono soggette
all'applicabilità della legge Draghi e pertanto seguono, in tale ambito, le verifiche da
svolgersi per le società soggette a revisione legale dei conti ai sensi dell'articolo 2409
bis del Codice civile.
Il decreto si propone inoltre di regolare gli aspetti significativi inerenti agli indici di
anomalia contabile per combattere il riciclaggio269.
L'aspetto più delicato riguarda gli obblighi antiriciclaggio cui sarebbe chiamato ad
adempiere colui che ricopra il ruolo di revisore contabile. L'apparente esclusione dei
Collegi sindacali dagli obblighi di antiriciclaggio270 deve essere oggetto di valutazione
sulla base dei nuovi indirizzi forniti dal decreto sulla revisione legale271.
La revisione legale delle società può essere affidata oltre che a un revisore anche al
Collegio sindacale. In quest'ultima ipotesi, il Collegio agisce in qualità di revisore legale
e verifica la regolare tenuta della contabilità sociale e la corretta rilevazione dei fatti di
gestione nelle scritture contabili. Ne deriva che l'esonero dagli obblighi antiriciclaggio
può essere fatto valere per tutti quei Collegi sindacali i cui membri non esercitano il
267
D.Lgs. n.39/2010, artt. n.10 e 17
E che non siano riconducibili alle tipologie di incarico per attività di revisione ai sensi della Legge
Draghi (artt. 155, 165 e 165-bis del D.Lgs. 58/1998)
269
Decreto della Giustizia, 16 aprile 2010
270
D.Lgs n. 231/2007, art. n.52
271
B. Santacroce, L'antiriciclaggio può coinvolgere i sindaci-revisori, Il sole 24 ore, 6 maggio 2010
268
120
controllo contabile, posto che per coloro che esercitano il controllo c'è un'assimilazione
sostanziale con la figura del revisore contabile, rientrante tra i soggetti destinatari degli
obblighi antiriciclaggio272.
Con le nuove norme scompare inoltre il libro della revisione contabile273. Una volta
adottati in sede comunitaria, i nuovi principi di revisione saranno dotati di efficacia
normativa e, quindi, il loro mancato rispetto da parte del revisore potrà determinare in
capo allo stesso specifiche responsabilità274.
272
D.Lgs n. 231/2007, art. n.13
L. De Angelis, C. Feriozzi, Principi internazionali come leggi, Italia oggi, 4 maggio 2010
274
Circolare Assonime n. 16, “Il testo unico della revisione legale”, 3 maggio 2010
273
121
4. Il sistema di controllo interno utilizzato dalle imprese: il ruolo
dell’internal auditor e del CFO nell’organizzazione dei processi
interni
4.1.
Il sistema di Corporate Governance
La Corporate Governance, sul piano economico aziendale, deve partire dalla
identificazione del soggetto che esercita il governo dell’impresa e che si assume la
responsabilità delle scelte aziendali. Il governo dell’impresa è una funzione che è
attribuita al soggetto economico che si identifica con la persona od il gruppo di persone
che hanno ed esercitano il potere, subordinatamente ai vincoli d’ordine giuridico e
morale a cui sono sottoposti275.
Risulta evidente lo stretto legame esistente tra Corporate Governance e gestione dei
rischi (approccio maggiormente efficace al fine di garantire il corretto funzionamento
del sistema di controlli interni) che si configura non tanto come una tecnica di gestione
operativa quanto piuttosto come una componente essenziale del governo d’impresa
legata allo sviluppo costante dei sistemi di management ed avente notevole impatto
organizzativo.
Un’efficace Corporate Governance si basa sull’integrazione dei sistemi di gestione dei
rischi e di controllo interno che realizzano la cosiddetta risk and control Governance
che è l’insieme dei processi, mezzi e risorse che, presenti a tutti i livelli
dell’organizzazione, danno ragionevoli garanzie in relazione al raggiungimento degli
obiettivi aziendali. All’interno della risk and control Governance la gestione dei rischi
(ERM) e il controllo interno assumono la connotazione di strumenti con cui gli organi di
governo adempiono alle proprie responsabilità in termini di correttezza gestionale,
trasparenza delle informazioni, efficienza ed efficacia276.
275
276
P. Onida, Economia d’azienda, Utet, 1965
C. Dittmeier, Internal auditing, Egea, Milano, 2007
122
Figura 4.1 -
Corporate Governance e risk and control Governance
Corporate
Governance
Risk and control
Governance
Entreprise risk
management
Sistema di
controllo interno
Meccanismi
organizzativi di
governo e
coordinamento
Fonte: V. Cantino, Corporate governante, misurazione della performance e compliance del sistema di
Mentre la Corporate Governance si riferisce ad elementi essenziali di natura societaria
in materia di composizione e ruolo del Consiglio di amministrazione e dell’Organo di
controllo, relativamente al governo ed al controllo strategico dell’impresa, la risk and
control Governance focalizza l’attenzione sui reali mezzi a disposizione del vertice
aziendale per rendere effettivamente operante il governo societario a tutti i livelli
operativi.
Per comprendere pienamente le caratteristiche dei modelli di Corporate Governance
adottabili dalle imprese è necessario analizzare i sistemi di amministrazione e controllo
previsti dal diritto societario.
In Italia la riforma del Codice civile ha introdotto nuovi modelli di governo: mentre per le
società a responsabilità limitata è previsto il solo modello tradizionale, per le società
per azioni sono previsti ben tre modelli adottabili (tradizionale, monistico e
dualistico)277.
277
123
4.1.1. Il modello tradizionale
Il modello tradizionale è quello adottato dalle società quando non previsto
diversamente dallo statuto.
Nel modello tradizionale sono presenti il Consiglio di amministrazione, l’Assemblea dei
soci e gli organi di controllo. L’assemblea dei soci nomina sia l’organo amministrativo
che il Collegio sindacale e l’eventuale organo di controllo contabile.
Il Collegio sindacale è tenuto a vigilare sull’osservanza della legge e dello statuto, sul
rispetto dei principi di corretta amministrazione e sull’adeguatezza dell’assetto
organizzativo, amministrativo e contabile adottato dalla società e sul concreto
funzionamento278. Il controllo contabile può essere attribuito al Collegio sindacale
qualora la società non faccia ricorso al mercato del capitale di rischio e non sia tenuta
alla redazione del bilancio consolidato.
Nelle società a responsabilità limitata, invece, il controllo contabile è esercitato dal
Collegio sindacale se lo statuto non dispone diversamente.
Figura 4.2 -
Il modello di Governance tradizionale
Assemblea degli azionisti
o dei soci
Controllo
sull’amministrazione
Collegio sindacale
Consiglio di
amministrazione
Controllo contabile
Collegio sindacale
Direzione generale
Revisore persona fisica
o società di revisione
Funzioni aziendali,
divisioni, ecc.
Società di revisione
4.1.2. Il modello monistico
Il modello monistico prende come riferimento il modello anglosassone. Esso prevede
un organo gestionale (il Consiglio di amministrazione), al suo interno un organo di
controllo sulla gestione (il Comitato per il controllo sulla gestione) e un organo
incaricato del controllo contabile.
278
124
Il Comitato per il controllo sulla gestione è composto da amministratori qualificati.
Il Consiglio di amministrazione ha il compito di amministrare la società ed è composto
da almeno un terzo dei componenti in possesso dei requisiti di indipendenza previsti
dal primo comma dell’articolo 2399 del Codice civile per i sindaci, devono cioè essere
indipendenti rispetto agli altri amministratori componenti il Consiglio di amministrazione,
sia della società, sia di quello controllate o controllanti o sottoposte a comune controllo.
Il Comitato per il controllo sulla gestione viene nominato dal Consiglio di
amministrazione, salvo diversa disposizione dello statuto.
Nelle società che fanno ricorso al capitale di rischio il numero dei componenti non può
essere inferiore a tre. Il Presidente viene eletto al suo interno a maggioranza assoluta
dei suoi membri.
Il Comitato è costituito da componenti del Consiglio di amministrazione in possesso dei
requisiti di onorabilità e professionalità stabiliti dallo statuto e dei requisiti di
indipendenza, che non siano membri del comitato esecutivo ed ai quali non siano
attribuite deleghe o particolari cariche e comunque non svolgano funzioni attinenti alla
gestione dell’impresa o di società che la controllano o ne sono controllate.
Il Comitato vigila sull’adeguatezza della struttura organizzativa della società, del
sistema di controllo interno e del sistema amministrativo e contabile, nonché
sull’idoneità a rappresentare correttamente i fatti di gestione e svolge i compiti affidatigli
dal Consiglio di amministrazione279.
Figura 4.3 -
Il modello di Governance monistico
Assemblea degli
azionisti o dei
soci
Consiglio di amministrazione
Controllo contabile
Controllo
Comitato per il
controllo sulla
gestione
Funzioni
aziendali,
divisioni, ecc.
279
Art. 2409-octiesdecies Codice civile
125
4.1.3. Il modello dualistico
Il modello dualistico prevede un organo di gestione (il Consiglio di gestione), un organo
di controllo sulla gestione (il Consiglio di sorveglianza) ed un organo incaricato del
controllo contabile. Esso è di stampo tedesco.
Il Consiglio di sorveglianza svolge funzioni di controllo, nomina e revoca i componenti
del Consiglio di gestione, approva il Bilancio d’esercizio e quello consolidato se
previsto, esercita le funzioni del Collegio sindacale, promuove l’esercizio dell’azione di
responsabilità nei confronti dei componenti del Consiglio di gestione, ecc.280 . Esso
riunisce quindi le funzioni del Collegio sindacale e, in parte, quelle dell’Assemblea.
Il Consiglio di gestione si sostituisce invece al Consiglio di amministrazione ed è
composto da almeno due soggetti anche non soci eletti dal Consiglio di sorveglianza.
Esso si occupa dell’amministrazione dell’impresa e quindi del compimento delle
operazioni necessarie all’attuazione dell’oggetto sociale.
Figura 4.4 -
Il modello di Governance dualistico
Assemblea degli
azionisti o dei
soci
Controllo contabile
Consiglio di
sorveglianza
Controllo
Consiglio di
gestione
Funzioni
aziendali,
divisioni, ecc.
4.2.
Il sistema informativo aziendale
L’evoluzione dell’importante ruolo che in azienda ha assunto sempre più la necessità di
fornire un’informativa corretta all’esterno è stata supportata dallo sviluppo della
tecnologia informativa. Essa ha infatti proposto costantemente soluzioni software e
280
Art. 2409-terdecies Codice civile
126
hardware sempre più potenti e sofisticati al fine di sostenere la competitività
aziendale281.
Al fine di giungere ad un sistema informativo adeguato, le aziende implementano in
prima battuta il loro sistema organizzativo e quello di management con il fine di
coordinare tutti i problemi che possono caratterizzare la vita dell’entità.
In particolare, l’organizzazione pone attenzione sui problemi relativi ad inserimento e
coordinazione delle risorse umane dell’azienda. Per essa le persone costituiscono
l’elemento umano dell’azienda medesima e vengono fra di loro coordinate sia come
organi operanti a diversi livelli secondo un ordinamento gerarchico, sia nelle diverse
funzioni che gli organi stessi ricoprono in relazione alle necessità imposte
dall’attuazione dei processi aziendali. Rispetto alla gestione, l’organizzazione riveste
una funzione strumentale che ne condiziona la configurazione, sollecitandola o
limitandola nelle alternative, in relazione alle diverse esigenze della gestione.
Al fine di conseguire i risultati programmati è quindi necessario non soltanto perseguire
e mantenere un’efficienza operativa, ma anche un’efficienza organizzativa, che
consente, sotto il profilo della rilevazione, la misurazione dei risultati della gestione
aziendale282. Un sistema organizzativo ben implementato all’interno dell’azienda
permette di formare un insieme di obiettivi misurati tramite il raggiungimento della
performance da KPI e controbilanciati da KRI283, che contribuiscono con i primi a
formare un modello integrato di gestione dell’organizzazione al fine del perseguimento
degli obiettivi con copertura dei rischi284.
La gestione dell’azienda riguarda, invece, l’attività amministrativa direttamente rivolta a
realizzare l’oggetto economico dell’azienda ed il complesso di operazioni economiche
da cui questa stessa attività risulta caratterizzata definendo per tale via il modello di
business dell’impresa.
La presenza di coordinamenti reciproci genera l’interdipendenza tra gestione,
rilevazione ed organizzazione.
281
282
G. Ferrero, Impresa e management, Giuffrè editore, Milano, 1980
283
Key risk indicators; con questo acronimo si indicano i misuratori del rischio aziendale che riassumono
la probabilità che il rischio si verifichi, la stima e la valutazione dell’impatto che avrebbe qualora si
verificasse, ecc. e che quindi devono essere valutati e contrastati con politiche preventive e di protezione
284
127
L’efficacia della gestione è infatti strettamente collegata alla corretta definizione degli
organi e delle funzioni, così come la gestione stessa condiziona l’idoneità strutturale
dell’azienda, che deve essere disegnata in relazione alla dimensione ed alla
complessità della gestione aziendale285.
Al fine di svolgersi in modo consapevole e per raggiungere gli obiettivi aziendali,
l’attività del management ha la necessità di disporre di informazioni provenienti
dall’interno e dall’esterno dell’impresa.
Le informazioni vengono prodotte nell’ambito del sistema informativo aziendale, che
rappresenta l’insieme delle informazioni necessarie al management per svolgere
l’attività d’impresa, l’organo o la funzione necessari per gestire tale informazione e lo
strumento per la rilevazione dei singoli fatti amministrativi.
Le soluzioni informatiche che sono nate sono volte a rispondere agli adempimenti
richiesti da determinate normative o da un commitment proveniente dalle diverse
funzioni aziendali sempre più pressante per poter avere a disposizione dati di maggiore
dettaglio sui processi di gestione. Per tale via si sono aggiunte sempre più applicazioni
che in alcuni casi hanno fatto perdere di vista la visione complessiva della produzione,
gestione e comunicazione delle informazioni aziendali. L’esigenza di procedere verso
un processo di integrazione dei diversi strumenti per ricostruire la visione d’insieme non
si è fatta attendere e l’attenzione sulla performance ha costituito il fattore comune di
quanto era già stato applicato con viste di tipo organizzativo o gestionale286.
4.2.1. Il sistema informativo operativo
Il sistema informativo operativo rappresenta un sotto-sistema del sistema informativo
aziendale nel suo complesso ed ha l’obiettivo di rilevare i dati che attengono alle attività
primarie aziendali e di creare conoscenza alimentando la base di dati transazionale
che permanentemente viene gestita dal sistema287.
L’architettura dei sistemi informativi operativi è costituita dalla base di dati (o database),
dove vengono memorizzati i diversi dati raccolti, e dalle attività dalle quali nasce la
rilevazione dei dati quali le operazioni di acquisto, di vendita, ecc. .
285
A. Devalle, Il sistema informative aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano,
2006
286
287
G. Bracchi, G. Motta, Processi aziendali e sistemi informativi, Franco Angeli, 2001
128
La struttura ed i metodi di progettazione di tali sistemi informativi seguono una logica
che sottintende grandi volumi di rilevazioni e quindi sono tendenzialmente
standardizzati, ad elevato contenuto tecnico ed orientati alla soluzione di problemi
specifici.
Le caratteristiche di tali sistemi sono le seguenti:
 Forniscono informazioni all’intero sistema impresa in modo generale, ma
normalmente riescono a fornire direttamente dati personalizzati ai fini decisionali
per gli utenti delle singole aree funzionali;
 Necessitano di procedure standard essendo nati per gestire una notevole
quantità di dati e quindi devono ricorrere a procedure rigide di elaborazione e
comunicazione al fine di essere efficienti;
 Comportano un elevato costo in caso di cambiamento in quanto ogni
cambiamento comporta molteplici modifiche nel sistema;
 Generano la necessità di numerosi programmi applicativi specifici all’interno
delle aree gestionali, generalmente non comunicanti tra loro288.
4.2.1.1.
Il sistema informativo operativo a supporto delle aree funzionali
I sistemi informativi operativi impostati secondo le logiche di tipo funzionale si pongono
come obiettivo prioritario la gestione di informazioni quantitativamente rilevanti con cicli
di registrazione routinaria dei dati: rientrano in questa categoria, per esempio, il
sistema della contabilità generale, il sistema della contabilità industriale, il sistema delle
paghe e dei contributi e così via.
In relazione all’architettura del sistema informativo, ogni singolo applicativo rileva
determinate operazioni che vengono salvate in uno specifico archivio. Di conseguenza,
per ogni applicativo presente all’interno dell’impresa esiste un determinato archivio o
database289.
288
A. Devalle, Il sistema informativo aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano,
2006
289
2007
129
Figura 4.5 -
Architettura del sistema informativo per aree funzionali
Applicativo per la contabilità
generale
Applicativo per la
gestione della produzione
Applicativo per la
gestione commerciale
Database di contabilità
generale
Database per la gestione
della produzione
commerciale
Fonte: A. Devalle, Il sistema informativo aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano,
2006
Questo sistema ha il grande svantaggio di non avere un orientamento sui processi,
diventato fondamentale per resistere alle sfide competitive dell’ambiente di mercato
attuale, come evidenziato nel capitolo introduttivo. Esso non prevede, come si vede
bene in figura, una integrazione tra le diverse applicazioni, così che bisogna prevedere
ulteriori lavori di controllo che potrebbero essere evitati ed il relativo rischio che siano
commessi errori di immissione dei dati dall’esterno. Inoltre i dati, per fornire supporti
utili al management, vanno riorganizzati e devono perciò prevedere sistemi di
coordinamento tra i diversi applicativi, alla base, molto ben sviluppati.
Il sistema informativo in azienda implementato in questo senso fornisce una minore
assurance sui dati assunti per via del maggiore rischio di immettere dati sbagliati.
Inoltre tale sistema depotenzia il sistema di controlli interni, che, come detto, dovrà
essere potenziato con aumento di costi e perdite di tempo con attività ripetitive di
monitoraggio.
4.2.1.2.
Il sistema informativo operativo a supporto dei processi
Il sistema informativo a supporto dei processi operativi si divide a sua volta in sistema
legacy e sistemi Enterprise Resource Planning (ERP).
4.2.1.2.1. Il sistema informativo operativo a supporto dei processi: il sistema
informativo legacy
Il sistema informativo legacy nasce dall’esigenza di far comunicare gli applicativi delle
diverse aree funzionali al fine di poter gestire i diversi processi. Di conseguenza, i
130
sistemi informativi legacy nascono per aggregazioni successive di componenti che, di
volta in volta, si è cercato di collegare tra loro attraverso delle interfacce290.
La mancanza di un collegamento ha portato spesso a definire architetture informatiche
stratificate, con la conseguenza che uno stesso dato doveva essere inserito nel
sistema più volte, andando a risiedere in archivi differenti291.
Inoltre, i diversi sistemi informativi sono stati sviluppati per settori aziendali specifici, per
cui non riuscivano a cogliere le importanti correlazioni esistenti tra le attività che
attraversavano orizzontalmente i confini funzionali; in questo modo il monitoraggio dei
processi risultava difficoltoso. Per ovviare a questo problema si è proceduto con
costanti interventi da parte degli specialisti informatici, che hanno portato al
sostenimento di costi molto alti. Anche i tempi necessari ad aggiornare i diversi
sottosistemi si sono progressivamente allungati, divenendo sempre meno adeguati alle
esigenze di reattività che gli elevati livelli di coordinamento invece richiedono.
Figura 4.6 -
Architettura dei sistemi legacy
Applicativo per la contabilità
generale
Applicativo per la
gestione della produzione
Applicativo per la
gestione commerciale
Database di contabilità
generale
della produzione
commerciale
Milano, 2007
4.2.1.2.2. Il sistema informativo operativo a supporto dei processi: il sistema
informativo integrato o Enterprise Resource Planning
L’evoluzione dei sistemi informativi integra i diversi sistemi a presidio di determinate
aree (ad esempio la contabilità generale). In questo modo un sistema centrale unico
riesce ad integrare ed a comunicare le informazioni provenienti dai vari sottosistemi
evitando rilevazioni multiple degli stessi dati. In secondo luogo si cerca di rendere gli
utenti finali meno dipendenti dagli esperti informatici nella fase di comunicazione ed
elaborazione dei dati; in questo modo si vuole permettere all’utente di raccogliere delle
290
2007
291
A. Mucelli, I sistemi informativi integrati per il controllo dei processi aziendali, Giappichelli, 2000
131
informazioni aggregandole secondo un percorso ispirato a logiche di flessibilità
informativa.
Tale sistema informativo prende il nome di sistema informativo integrato Enterprise
Resource Planning (ERP)292. Si tratta di soluzioni applicative concepite in modo da
integrare su base aziendale l’insieme dei processi operativi ed amministrativi ed al
contempo le diverse aree di funzione attraverso i diversi moduli a presidio di ogni area
funzionale. Gli ERP rappresentano le più recenti soluzioni globali di pacchetti software
applicativi finalizzati ad integrare tutte le principali funzioni aziendali.
I sistemi ERP si basano sull’infrastruttura tecnologica client-server, ritenuta attualmente
la più idonea a supportare le crescenti esigenze di livello di servizio richieste dagli
utenti. Le tecnologie client-server consentono di realizzare una gestione distribuita dei
processi di elaborazione delle informazioni. In tal modo il carico di lavoro connesso alle
diverse operazioni svolte dal sistema nel suo complesso si presenta suddiviso tra il
server e uno o più personal computer (i cosiddetti client).
Gli ERP si estendono a tutte le aree funzionali attraverso moduli contigui. La
caratteristica dell’univocità dei dati riduce la necessità di svolgere operazioni di
riconciliazione dei dati con le informazioni disseminate tra i vari moduli del sistema. La
condivisione della base dati consente di sincronizzare processi interdipendenti293.
Inoltre la condivisione dei dati riduce il numero di immissione degli stessi comportando
maggiore efficienza al processo.
I sistemi ERP sono composti da sottoinsiemi applicativi ciascuno dei quali è posto a
presidio di aree funzionali e operative specifiche. Ogni modulo gestisce funzionalità
autonome, anche se in alcuni casi il pieno impiego delle potenzialità offerte dal modulo
è subordinato all’attivazione di altri moduli collegati.
La configurabilità conferisce inoltre flessibilità ai sistemi ERP, poiché consiste nella
possibilità lasciata all’utente finale di definire le caratteristiche funzionale dei moduli
attivati in accordo con la struttura dei processi operativi dell’azienda294.
I benefici ottenibili tramite l’implementazione di un sistema di tipo ERP piuttosto che un
sistema differente sono sicuramente molti, ad esempio:
292
K. Laudon, Management information systems, Prentice Hall, 2004
G. Bracchi, C. Francalanci, G. Motta, Sistemi informativi e aziende in rete, McGraw-Hill, 2001
294
A. Devalle, Il sistema informativo aziendale ed il passaggio agli IAS/IFRS, Giuffrè editore, Milano,
2006
293
132
 Forte integrazione; le applicazioni sono collegate tra loro in un insieme
coordinato. Tutti i moduli lavorano insieme invece di funzionare come
applicazioni separate, eliminando attività doppie di controllo e verifica: un solo
sistema informativo ed una sola base dati;
 Ricchezza di funzionalità; le applicazioni sono state sviluppate con riferimento a
pratiche e comportamenti operativi consolidati (le cosiddette best practices);
 Orientamento al processo; un software ERP è un software progettato con
focalizzazione non sulle sole singole funzioni tradizionali, ma sull’intero processo
e questo favorisce la CS295.
Tali sistemi forniscono quindi il più alto grado di assurance contro il verificarsi il rischio
di errore: si pensi ad esempio all’immissione iniziale di dati inerente una fattura. Prima
che la stessa sia pagata, molti altri dipendenti potranno verificare che i dati immessi
sono corretti. Tali verifiche possono anche essere implementate in modo automatico
con controlli effettati dal sistema stesso, in modo che agisca in maniera auto-bloccante
laddove i dati immessi non si parlino tra loro e vi siano delle discrepanze.
Questo sistema è pertanto implementato in molte aziende al giorno d’oggi, soprattutto
entità di grandi dimensioni, per via della sua propensione a gestire una grandissima
mole di dati che riesce a raggruppare e permette di visionare a tutti i livelli in maniera
completa le informazioni necessarie (a meno di autorizzazioni di accesso previste dalla
società).
4.3.
Il rischio in economia aziendale: il concetto di Enterprise Risk Management
4.3.1. Il rischio nell’attività di impresa
Qualunque impresa a prescindere dal settore di appartenenza opera in una situazione
di incertezza, poiché è sottoposta a condizioni di rischio296.
Le condizioni di incertezza nelle quali operano le imprese possono essere distinte in
condizioni
oggettive
e
soggettive
di
incertezza.
Le
prime
sono
costituite
dall’inconoscibile in senso assoluto, cioè l’incertezza che deriva ad esempio dai limiti
conoscitivi riconducibili allo stato attuale della scienza. In tale situazione tutti gli
operatori economici sono posti allo stesso livello informativo.
295
296
133
Le condizioni di incertezza soggettive sono invece collegate all’insufficienza di
informazioni possedute dal soggetto decisore in relazione agli altri soggetti, sia per
negligenza sia per limitatezza di risorse297.
Rispetto alla loro origine, i rischi possono essere classificati in rischi di natura
economica ed extra-economica298. I primi derivano dalla variabilità delle condizioni di
esistenza e di operatività economica dell’impresa, ad esempio, le condizioni di
operatività dell’ambiente generale (modifiche sull’andamento dell’economia, crisi di
mercato, ecc.), mentre i rischi di natura extra-economica riguardano incertezze non
legate alle condizioni di esistenza e di operatività dell’impresa, come il rischio di
calamità naturali, ecc. . Comunque, la manifestazione dei rischi di natura extraeconomica provoca degli effetti di tipo economico.
All’interno del rischio economico è possibile distinguere tra il rischio economico
generale d’impresa ed i rischi particolari d’impresa299. Il primo sfugge a forme di
valutazione da parte del management aziendale, poiché è caratteristica connaturata
all’esistenza stessa dell’impresa. Tuttavia è però possibile indagare sulle singole
manifestazioni di potenziali rischi al fine di tentare, ove possibile, di eliminare
l’eventualità o la probabilità della loro manifestazione o limitarne le conseguenze
negative.
Il rischio di commettere errori non è certamente eliminabile in senso assoluto, poiché è
insito nelle caratteristiche dell’uomo, ma l’introduzione di opportune attività di controllo
all’interno dei processi certamente limita la probabilità della sua manifestazione sotto
forma di errori e disfunzioni.
A volte è invece possibile eliminare alcuni rischi, come, ad esempio, nel caso delle
attività di controllo automatiche di quadratura dei dati svolte dal sistema informativo che
consentono l’eliminazione del rischio di squadratura (a condizione naturalmente del
corretto funzionamento del sistema informativo).
Nel corso degli ultimi anni le imprese hanno prestato una sempre maggiore attenzione
alle strategie di valutazione dei rischi, un’attività che costituisce parte integrante del
sistema di controllo interno aziendale.
297
V. Cantino, Rischio di cambio, Giuffrè editore, Milano, 2000
G. Ferrero, Istituzioni di economia d’azienda, Giuffrè editore, Milano, 1980
299
298
134
In relazione al grado di incertezza di verificarsi del rischio va distinto tra il rischio
statico, quasi dinamico (o incertezza probabile) ed il rischio dinamico (o incertezza
assoluta)300.
Il rischio statico è caratterizzato dalla possibilità di conoscere la distribuzione
probabilistica degli accadimenti che possono generare i rischi d’azienda.
Il rischio quasi dinamico riguarda invece i molti eventi che non possono essere
interpretati sulla base di schemi di tipo probabilistico poiché sono caratterizzati dalla
mancata conoscenza della distribuzione probabilistica degli eventi futuri, ma tale
distribuzione può essere individuata attraverso diverse tecniche, quale, ad esempio, il
fondamento dell’esperienza derivante dal passato (ad esempio il rischio di insolvenza
dei clienti dell’impresa).
Si definiscono invece rischi di tipo dinamico gli eventi per i quali vi è assoluta
impossibilità di previsione; di conseguenza tali rischi possono essere affrontati
esclusivamente ricorrendo a strumenti di valutazione quali l’intuito personale.
Sul piano operativo, il management deve mettere in atto, all’interno dei processi e delle
combinazioni di processi, delle modalità di valutazione dei rischi in relazione agli
obiettivi generali dell’impresa ed attivare un sistema di gestione e controllo dei rischi
medesimi. Infine occorre valutare se il livello di rischio complessivo, che l’impresa ha
acquisito dai singoli processi e combinazioni di processi che originano rischi particolari,
è coerente con gli obiettivi generali che l’impresa si è prefissata. Per tale ragione
occorre ancora un controllo di sintesi del sistema di controllo dei rischi particolari
d’impresa301.
300
F. Dezzani, Rischi e politiche d’impresa, Giuffrè editore, Milano, 1971
301
135
Figura 4.7 -
Il sistema dei rischi nella gestione dei processi aziendali
Condizioni oggettive di incertezza
Condizioni soggettive di incertezza
Condizioni di incertezza della
gestione aziendale
Rischio
di natura
extraeconomica
di natura
economica
Durabilità dell'impresa
Rischio economico generale
Rischio
particolare 1
Rischio
particolare 2
Rischio
particolare 3
Rischio
particolare 4
Processi e combinazioni di processi
Organi e funzioni aziendali
Controllo di sintesi del sistema di controllo
dei rischi
4.3.2. La gestione ed il controllo dei rischi aziendali: il risk management
4.3.2.1.
Definizione dell’ERM
La gestione del rischio aziendale è un processo, posto in essere dal Consiglio di
amministrazione, dal management e da altri operatori della struttura aziendale che è
utilizzato per la formulazione delle strategie in tutta l’organizzazione ed è progettato per
individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il
rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul
conseguimento degli obiettivi aziendali302.
Un sistema di gestione dei rischi aziendali deve quindi considerare i seguenti aspetti:
302
Definizione de Committee of Sponsoring Organizations of the Treadway Commission Report (COSO),
La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di riferimento e alcune
tecniche applicative, Il sole 24 ore, Milano, 2006
136
 Rappresenta un processo continuo e pervasivo che interessa tutta l’impresa e
deve essere articolato nelle singole unità e ricomposto ad un livello corporate;
 E’ svolto da persone che occupano posizioni organizzative a tutti i livelli della
struttura aziendale;
 E’ utilizzato come base per la formulazione delle strategie;
 E’ progettato per identificare rischi potenziali che potrebbero influire sull’attività
aziendale e per ridurli entro i limiti del rischio accettabile;
 È in grado di fornire un sistema di reporting tale da informare adeguatamente il
Consiglio di amministrazione ed il management sul livello di sicurezza
raggiunto303.
Esiste una relazione molto stretta tra sistema gestione dei rischi e sistema di controllo
interno. Infatti il controllo interno è parte integrante del sistema di gestione e controllo
dei rischi (Enterprise Risk Management). La gestione dei rischi rappresenta inoltre
l’approccio più corretto e maggiormente efficace per garantire la realizzazione ed il
corretto funzionamento del sistema di controllo interno.
Diventa dunque responsabilità dei vertici aziendali conoscere i rischi che possono
compromettere il raggiungimento degli obiettivi dell’organizzazione, nonché le azioni da
compiere in merito al loro contenimento o alla loro gestione.
Per assicurare che le diverse politiche di gestione dei rischi, definite e deliberate,
vengano implementate con criteri di efficienza ed efficacia, i vertici aziendali devono poi
porre in essere azioni specifiche di revisione periodica sull’affidabilità dei sistemi di
identificazione e valutazione dei rischi, sull’efficacia dei sistemi di controllo interno tesi
a monitorare l’evoluzione dei rischi e su piani d’azione che consentano di colmare
carenze o di rimediare a fallimenti nei sistemi esistenti di gestione del rischio304.
La definizione di ERM racchiude i concetti chiave su come le imprese gestiscono il
rischio, fornendo una base per la sua applicazione pratica nelle diverse organizzazioni,
industrie e settori. Tale definizione si focalizza sul raggiungimento degli obiettivi, e
fornisce una base per valutare l’efficacia della gestione del rischio d’impresa. Sulla
303
304
S. Beretta, Valutazione dei rischi e controllo interno, Milano, Egea, 2004
137
base di tale definizione, è stato sviluppato un modello di ERM, che è costituito da tre
dimensioni correlate:
 Gli obiettivi;
 Le componenti del rischio;
 I livelli organizzativi.
4.3.2.1.1. Gli obiettivi aziendali
All’interno di ogni organizzazione, il management fissa gli obiettivi strategici ed
operativi. Il processo di ERM è impostato in modo da perseguire gli obiettivi aziendali
rientranti nelle seguenti quattro tipologie:
 Strategici, obiettivi di alto livello e generali definiti dai massimi vertici aziendali,
sono conformi alla mission aziendale e volti a supportarla;
 Operativi, riguardano le specifiche aree aziendali e la possibilità che le risorse
possano essere utilizzate in modo efficace ed efficiente;
 Di reporting, si riferiscono al grado di certezza ed affidabilità delle informazioni
gestite dall’azienda e dei dati contenuti nel reporting;
 Di conformità, sono relativi al rispetto ed alla applicazione delle normative e dei
regolamenti da parte dell’azienda.
L’ERM intende fornire una ragionevole certezza che sebbene taluni obiettivi ed
associati rischi possano risentire di agenti esterni, tutti i livelli aziendali si muovono
nella stessa direzione per il raggiungimento degli obiettivi stessi.
4.3.2.1.2. Le componenti del rischio
Le componenti del rischio sono otto, ed in particolare:
 Ambiente interno, che comprende lo stile di un’organizzazione, esamina la
filosofia del rischio aziendale e il livello di propensione al rischio, l’integrità e i
valori etici;
 Fissazione degli obiettivi, che riguarda la definizione degli obiettivi prima che il
management possa identificare eventi potenziali che incidano sul loro
138
raggiungimento. L’ERM prevede che il management esegua un processo di
definizione degli obiettivi, e che gli obiettivi scelti supportino e siano allineati con
la mission aziendale, e siano coerenti con il livello di rischio residuo che
l’impresa ha deciso di accettare;
 Identificazione dell’evento, in quanto sia gli eventi interni che quelli esterni che
possono ostacolare il raggiungimento degli obiettivi dell’impresa, devono essere
identificati, distinguendo tra rischi ed opportunità. Le opportunità sono ricondotte
alla strategia del management o al processo di definizione degli obiettivi;
 Valutazione del rischio, e cioè i rischi sono analizzati considerando la probabilità
e l’impatto, allo scopo di determinare la loro gestione. Sono valutati sia i rischi
inerenti sia quelli residuali;
 Risposta al rischio, e cioè il management seleziona le possibili risposte al rischio
identificato (evitare, accettare305, ridurre, trasferire306) sviluppando una serie di
azioni per allineare i rischi ai livelli di tollerabilità accettabile e al livello di
propensione al rischio;
 Attività di controllo, che raggruppa le politiche e le procedure fissate ed
implementate al fine di verificare che le risposte al rischio siano effettivamente
ed efficacemente messe in atto;
 Informazione e comunicazione, che implica che laddove vengano identificate
informazioni rilevanti, esse vanno acquisite e comunicate secondo una modalità
e una struttura tali da mettere in grado il personale che le riceverà di assolvere
alle proprie responsabilità. Un’efficace comunicazione deve essere intesa anche
in senso più ampio, deve essere in grado di arrivare ad ogni livello;
 Monitoraggio, che riguarda le modifiche da effettuare al sistema di ERM,
laddove esse fossero ritenute necessarie307.
305
Qualora l’eliminazione o la riduzione del rischio risultasse più costosa che il mantenimento del rischio
stesso, il management potrebbe razionalmente accettare l’esposizione al rischio stesso
306
Il rischio può essere trasferito in due diversi modi (fonte F. Culasso, Gestione del rischio e controllo
strategico. Un’ottica sistemica aziendale, Giappichelli Editore, Torino, 2009):
 trasferimento nel tempo (autoassicurazione), che implica l’accantonamento a fondi da parte della
società in base alla percezione propria della probabilità di verificarsi del rischio nel futuro;
 trasferimento nello Spazio, il rischio viene trasferito ad un’entità esterna (impresa di
assicurazione)
307
Amministrazione & Finanza ORO, Enterprise risk management, Casistiche aziendali di rischi
operativi, Modello quantitativo di analisi del rischio operativo, IPSOA, Milano, 2007
139
4.3.2.1.3. I livelli organizzativi
Altro aspetto da considerare nell’analisi delle componenti di rischio aziendali sono i vari
livelli organizzativi di cui si compone la società, a significare che il processo è posto in
essere da persone. Persone che si trovano in ogni livello organizzativo verticale e
trasversale all’organizzazione, dal Consiglio di amministrazione al management ed a
tutti coloro che operativamente contribuiscono allo svolgimento delle attività quotidiane.
Attraverso le responsabilità di ciascuno ed il compimento delle proprie attività si
attivano i meccanismi del processo di gestione dei rischi.
L’aspetto più critico nella introduzione del processo di ERM è relativo all’integrazione
delle informazioni e dei processi aziendali, infatti è abbastanza comune individuare
nella mancanza di flussi informativi sufficienti o processi non efficienti, una delle
difficoltà principali nella gestione integrata dei rischi.
L’ERM fornisce gli strumenti ed i meccanismi necessari alle persone per comprendere
il rischio nel contesto degli obiettivi aziendali e la responsabilizzazione della singola
persona/funzione nella ownership della gestione del rischio. Le persone devono
comprendere come le proprie responsabilità ed attività influenzano il raggiungimento
degli obiettivi aziendali in relazione alla strategia definita dai vertici.
Nella fase iniziale di introduzione del processo ERM assume rilevante importanza il
sensibilizzare e rendere consapevoli tutti i livelli organizzativi dell’azienda sulle singole
specifiche responsabilità per ottenere successo.
4.3.2.2.
Perché introdurre l’ERM in azienda
I motivi che conducono un’azienda a gestire i propri rischi in modo integrato e con una
visione di portafoglio rischi sono numerosi ed in parte già anticipati, tuttavia su alcuni di
questi vale la pena concentrare maggiormente l’attenzione.
Le numerose normative emesse recentemente volte ad incrementare l’efficienza nella
gestione dei rischi e del sistema dei controlli interni hanno costretto i vertici direzionali
ad affrontare la tematica in modo strutturato, implementando funzioni ad hoc e processi
specifici.
In particolare, negli ultimi anni numerosi scandali finanziari hanno coinvolto gruppi
aziendali nazionali ed internazionali provocando danni finanziari ed economici ai
140
numerosi stakeholders ed una destabilizzazione dell’intero sistema economico. Le
reazioni dei Paesi sono state differenti, ed hanno generalmente portato all’emissione di
ulteriore normativa cui viene oggi richiesta la compliance sotto tutti gli aspetti previsti308.
Un’altra motivazione è da ricercare nei risultati prodotti da un approccio integrato alla
gestione dei rischi aziendali; infatti tale cambiamento di strategia conduce a definire
con cognizione e responsabilità il livello di rischio che s’intende affrontare e quindi
conseguentemente supportare la riduzione della volatilità degli utili che può tradursi in
una potenziale diminuzione del costo del capitale. Dietro a questa tesi possiamo
ritrovare il semplice concetto legato alla remunerazione spettante a coloro che
investono i propri capitali in attività caratterizzate da alta volatilità dei risultati finanziari.
Un sistematico coinvolgimento di tutte le funzioni aziendali ad ogni livello di
responsabilità,
contribuisce
significativamente
ad
identificare
e
rilevare
con
accuratezza l’esposizione al rischio complessiva, comportando un miglioramento nel
processo decisionale e nell’allocazione di capitale.
4.3.2.3.
Principali tipologie di rischi aziendali
Partendo dal presupposto che la gestione dei rischi coinvolge tutte le aree aziendali e
che il processo dell’ERM è finalizzato al conseguimento degli obiettivi aziendali
rientranti nelle categorie sopra menzionate, è utile a questi fini individuare le principali
categorie di rischi presenti in azienda.
I rischi strategici riguardano gli obiettivi aziendali di medio-lungo periodo. La
manifestazione di un rischio strategico può essere di differente tipo ed effetto, da un
rischio politico ad uno legale, ai cambiamenti di mercato. Gli sviluppi del mercato
possono inoltre portare ad una potenziale riduzione del capitale disponibile, in quanto
mutamenti sociali e trend culturali potrebbero influenzare la domanda. Un altro
rilevante rischio strategico è quello legato alla reputazione di un’azienda, che può
inficiare in modo sostanziale il valore economico del brand e la sua immagine pubblica.
I rischi operativi sono in parte comuni nelle aziende e poi specifici in base al business
dell’azienda stessa, sono relativi alle attività day by day e quindi ad un uso efficiente
308
Si rimanda ai successivi paragrafi al fine di prendere visione in maniera approfondita della normativa
di riferimento
141
delle risorse. Questa categoria di rischi interessa l’operatività del business e le aree ad
essa collegate.
I rischi normativi e contrattuali derivano dalla necessità di ciascun business di operare
in conformità con le normative e le regolamentazioni nazionali ed internazionali di
differente tipo. In primis ci sono quelli specifici del business e del settore merceologico
dell’azienda e poi a seguire tutte le altre normative comuni a tutte le organizzazioni.
L’information risk è connesso alla capacità dell’azienda di generare dati ed informazioni
attendibili e di dare sia all’interno sia all’esterno un’informativa coretta, affidabile e
tempestiva. Questo rischio si riferisce anche al reporting aziendale e può comportare
una minore capacità di pianificazione e budgeting e/o anche ad errori contabili. In
generale, il rischio di perdere o non avere efficienti fonti informative si a derivanti da
fattori esterni o da fattori interni all’azienda può portare a significative difficoltà
informative e richiede di essere gestito309.
4.4.
Il sistema di controllo interno nelle aziende ed i collegamenti con l’ERM
4.4.1. Definizione
Come visto, il controllo interno è un processo, svolto dal Consiglio di amministrazione,
dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una
ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti
categorie:
 Efficacia ed efficienza delle attività operative;
 Attendibilità delle informazioni di bilancio;
 Conformità alle leggi e ai regolamenti in vigore310.
Questa definizione riflette alcuni concetti fondamentali:
 Il controllo interno è un processo311 (il controllo interno non è un evento isolato o
una circostanza unica, bensì una serie di azioni che riguardano tutta l’attività
aziendale. Queste azioni sono pervasive e sono connesse al modo in cui le
309
310
PricewaterhouseCoopers, Il sistema di controllo interno. Un modello integrato di riferimento per la
gestione dei rischi aziendali, Il sole 24 ore, Milano, 2006
311
Sebbene definito “un processo”, il controllo interno può essere considerato come un insieme di
processi
142
attività sono gestite. Le attività aziendali, che si svolgono nell’ambito di una o più
unità organizzative o funzioni, sono gestite mediante i processi fondamentali di
pianificazione, di esecuzione e di monitoraggio. Il controllo interno è una parte di
questi processi e si integra con essi, consente loro di funzionare, ne controlla
l’andamento e ne verifica la pertinenza. Esso è uno strumento di cui dispone il
management, non un sostituto dell’attività direzionale);
 Il controllo interno è svolto da persone (il controllo interno è attuato dal Consiglio
di amministrazione, dal management e da altre persone. E’ realizzato da
individui, che operano in un’azienda, attraverso ciò che essi fanno e dicono.
Sono gli individui che stabiliscono gli obiettivi dell’impresa ed attivano i
meccanismi di controllo);
 Il management e il Consiglio di amministrazione possono attendersi dal sistema
di controllo interno una sicurezza ragionevole, ma non assoluta (la probabilità di
realizzazione degli obiettivi risente dei limiti insiti in tutti i sistemi di controllo.
Questi limiti riguardano il fatto che i giudizi esercitati nel prendere una decisione
potrebbero rivelarsi errati, che le persone responsabili di istituire i controlli
devono considerare i relativi costi e benefici e che potrebbero verificarsi
disfunzioni a causa di omissioni umane, come semplici errori e sviste. Inoltre,
come visto nel capitolo precedente, i controlli possono essere elusi dalla
collusione di due o più persone o dalla capacità del management di aggirare il
sistema di controllo interno);
 I sistemi di controllo interno sono rivolti alla realizzazione di obiettivi in una o più
categorie, distinte ma sovrapponibili (ogni azienda definisce la sua missione312,
stabilendo degli obiettivi che desidera raggiungere e le strategie per realizzarli.
Gli obiettivi possono riferirsi sia all’azienda che ad attività specifiche all’interno
della stessa. Molti obiettivi sono in ogni caso comuni a tutte le aziende – quali
per esempio raggiungere e mantenere una buona reputazione nell’ambiente
economico in generale e presso i propri clienti in particolare –. Ai fini di questo
studio gli obiettivi rientrano in tre categorie:
 Attività operative, relative all’impiego efficace ed efficiente delle risorse
aziendali;
312
Per un approfondimento circa tale concetto, si veda il capitolo 3 della presente trattazione
143
 Informazioni di bilancio, relative alla redazione e pubblicazione di bilanci
affidabili;
 Conformità, relative all’osservanza da parte dell’azienda delle leggi e dei
regolamenti in vigore).
Questa definizione include i sottosistemi del controllo interno. Infatti ci si può anche
concentrare unicamente per esempio sui controlli relativi alle informazioni di bilancio,
oppure su quelli riguardanti la conformità a leggi e regolamenti, e così via.
Analogamente ci si può concentrare sui controlli di specifiche unità o attività aziendali.
Il sistema di controllo interno è parte integrante delle attività operative ed esiste per
fondamentali ragioni economiche. Tale sistema raggiunge il massimo della sua
efficacia quando è integrato nell’infrastruttura organizzativa e fa parte della cultura
aziendale.
Il controllo come parte integrante dei processi aziendali può incidere direttamente sulla
capacità di un’azienda di raggiungere i propri obiettivi e facilitare le sue iniziative in
materia di qualità. La ricerca della qualità si ricollega direttamente al modo in cui le
aziende sono gestite e controllate. Le iniziative sulla qualità divengono parte del
tessuto connettivo ed essenza di un’azienda allorchè:
 La leadership dell’alta direzione assicura che la qualità è un valore che pervade
tutta l’attività aziendale;
 Sono stabiliti gli obiettivi di qualità in relazione alla raccolta e all’analisi delle
informazioni così come agli altri processi;
 La conoscenza delle iniziative dei concorrenti e delle attese della clientela
stimola le azioni dirette a migliorare continuamente la qualità.
Questi fattori di qualità sono paralleli a quelli che determinano l’efficacia di un sistema
di controllo interno. Infatti, il controllo interno non solo fa parte integrante dei programmi
di qualità, ma ne è di solito un fattore critico di successo313.
L’integrazione dei sistemi di controllo interno nel contesto aziendale provoca lo
sviluppo di nuovi controlli necessari a nuove attività. Questo adeguamento automatico
313
I fattori critici di successo sono variabili necessarie per ottenere, mantenere o rafforzare il vantaggio
competitivo su un mercato (fonte C. Hofer, D. Schendel, Strategy formulation: analytical concepts, West
Publishing, 1977)
144
potenzia la flessibilità e la competitività delle aziende, provocando quindi importanti
ripercussioni sul contenimento dei costi e sui tempi di risposta ai cambiamenti314.
Il controllo interno influenza le azioni delle persone. Esso tiene infatti conto del fatto
che le persone non sempre si comprendono e non sempre si comportano o si
scambiano comunicazioni in modo coerente. Ogni individuo apporta l’esperienza e le
competenze tecniche che gli sono proprie e ha particolari necessità e priorità.
Questo stato di cose e il controllo interno si influenzano reciprocamente. Le persone
devono conoscere le proprie responsabilità e i limiti dei propri poteri. Di conseguenza è
necessario che sussista una relazione chiara e netta tra le mansioni delle persone, il
modo in cui queste vengono svolte e gli obiettivi aziendali.
4.4.1.1.
Efficacia del sistema di controllo interno
Sistemi di controllo interno di aziende diverse funzionano a livelli di efficacia diversi.
Analogamente un determinato sistema può funzionare diversamente in periodi
differenti. Un sistema di controllo interno si può ritenere efficace quando assicura
ragionevolmente al Consiglio di amministrazione ed al management aziendale che con
riferimento alle tre categorie di obiettivi riportate sul COSO Report315:
 Essi comprendono in quale misura si stanno conseguendo gli obiettivi operativi
aziendali;
 I bilanci pubblicati vengono predisposti in modo attendibile;
 Le leggi ed i regolamenti in vigore vengono rispettati.
Sebbene il controllo interno sia un processo, la sua efficacia è uno stato o una
condizione in cui tale processo si trova in un determinato momento. La valutazione
dell’efficacia di un sistema di controllo interno è un giudizio soggettivo fondato sulla
presenza dei cinque componenti del COSO Report e sul loro valido funzionamento.
L’efficacia del loro funzionamento fornisce un livello di sicurezza ragionevole sul
raggiungimento di una o più categorie di obiettivi indicate. I componenti del controllo
interno costituiscono pertanto anche dei criteri di efficacia.
314
The Committee of Sponsoring Organizations of the Treadway Commission, Internal control –
Integrated framework, 1992
315
Per visualizzare tali obiettivi, si veda il paragrafo 3.1. della presente trattazione
145
Siccome i controlli possono servire a scopi diversi, quelli svolti all’interno di un
componente possono soddisfare gli obiettivi dei controlli presenti in un altro
componente. Inoltre i controlli possono essere più o meno efficaci per fronteggiare un
particolare rischio e pertanto dei controlli complementari, ciascuno con una limitata
efficacia, possono risultare globalmente soddisfacenti.
Per una qualsiasi delle tre categorie di obiettivi (per esempio quella relativa ai controlli
sui bilanci) dovranno essere soddisfatti i cinque criteri per poter concludere che il
controllo interno relativo ai bilanci sia efficace.
4.4.2. Ambiente di controllo
L’ambiente
di
controllo
è
un
elemento
importantissimo
della
cultura
di
un’organizzazione, poiché determina il livello di sensibilità del personale alla necessità
di controllo. Esso costituisce le fondamenta di tutti gli altri componenti del controllo
interno e fornisce disciplina ed organizzazione. I fattori che influenzano l’ambiente di
controllo sono l’integrità, i valori etici e la competenza del personale, la filosofia e lo
stile del management, le modalità di delega delle responsabilità, ecc. .
L’ambiente di controllo esercita un’influenza profonda sul modo in cui le attività sono
strutturate, gli obiettivi stabiliti e i rischi valutati. Inoltre esso influisce sulle attività di
controllo, sui sistemi informativi e di comunicazione e sulle attività di monitoraggio.
Questo vale non solo per la loro progettazione, ma anche per il loro funzionamento
quotidiano. L’ambiente di controllo è influenzato dalla storia e dalla cultura dell’azienda
e incide, a sua volta, sulla sensibilità del personale alle esigenze di controllo; esse
sono consapevoli del fatto che il Consiglio di amministrazione e il management devono
dare il buon esempio. A tal fine elaborano politiche e procedure appropriate, spesso
accompagnate da un codice di condotta, che favoriscono l’adesione ai valori
dell’organizzazione e la collaborazione al raggiungimento degli obiettivi.
4.4.2.1.
Integrità e valori etici
Gli obiettivi di un’azienda e i metodi utilizzati per realizzarli sono basati sulle priorità, sui
giudizi di valore e sullo stile di management. Queste priorità e giudizi di valore, che si
traducono in un codice di condotta, riflettono l’integrità e l’etica dei dirigenti.
146
Dato che la buona reputazione di un’azienda è preziosa, il codice di condotta deve
andare al di là del semplice rispetto della legge. Nel giudicare la reputazione delle
migliori aziende, la comunità si aspetta qualcosa di più della mera osservanza delle
leggi.
L’efficacia delle procedure di controllo interno è funzione dell’integrità e dei valori etici
delle persone che creano questi controlli, li amministrano e li sottopongono a
monitoraggio. L’integrità e i valori etici sono elementi essenziali dell’ambiente di
controllo ed incidono significativamente sulla progettazione, sull’amministrazione e sul
monitoraggio di altri componenti del sistema di controllo interno.
L’integrità è una condizione del comportamento etico in tutti gli aspetti dell’attività
aziendale. L’etica contribuisce in modo rilevante all’efficacia delle politiche e dei sistemi
di controllo messi a punto da un’azienda ed influisce sui comportamenti che sfuggono
ai sistemi di controllo, per quanto essi siano sofisticati316.
E’ spesso difficile stabilire valori etici di riferimento, a causa degli interessi dei molti
soggetti coinvolti. In effetti l’etica della direzione dell’azienda deve rispondere agli
interessi di questa ma anche alle preoccupazioni dei restanti stakeholders. Conciliare
queste posizioni può diventare uno sforzo complesso e frustrante, in quanto gli
interessi spesso divergono.
L’etica e l’integrità dei dirigenti sono frutto della cultura aziendale. Questa include le
norme etiche e di condotta, come anche i metodi utilizzati per comunicare e rinvigorire
le stesse nella pratica. Formalizzando le politiche, il management precisa la sua
volontà. La cultura aziendale determina ciò che realmente avviene, quali regole
vengono applicate, escluse o non rispettate. L’alta direzione svolge un ruolo di primo
piano nella determinazione della cultura aziendale, a cominciare dal Ceo317. In effetti,
questi ultimi rappresentano generalmente le personalità dominanti di un’azienda e ne
definiscono spesso il carattere etico.
Certi fattori legati all’organizzazione potrebbero incidere sulla probabilità di pratiche
fraudolente e discutibili in materia di presentazione delle informazioni di bilancio. Anche
il rispetto delle regole etiche può essere influenzato da questi fattori.
Le persone possono commettere atti disonesti, illeciti o contrari all’etica semplicemente
perché l’azienda in cui lavorano li sollecita in tal senso. Per esempio, insistere sui
316
317
Affermazione della Commissione Treadway
Chief executive officier, in Italia l’Amministratore delegato
147
risultati, specialmente a breve termine, favorisce un ambiente nel quale il prezzo da
pagare in caso di insuccesso è molto alto. Od ancora, controlli inesistenti o inefficaci,
come una scarsa divisione dei compiti in aree rischiose, costituiscono una tentazione o
un’attrattiva per appropriazioni indebite o per mascherare risultati inefficienti.
L’eliminazione o la riduzione di tali incentivi e tentazioni, al fine di limitare i
comportamenti irregolari, possono richiedere tempi molto lunghi.
4.4.2.1.1. Consiglio di amministrazione o audit committee
L’ambiente di controllo e la cultura aziendale sono largamente influenzati dal Consiglio
di amministrazione e dall’audit committee318. L’esperienza e la levatura morale dei loro
membri, la loro indipendenza dal management, il loro livello d’impegno e di
supervisione nella conduzione aziendale, il loro rigore nei controlli delle operazioni
come anche l’adeguatezza delle loro azioni sono fattori rilevanti dell’ambiente di
controllo. Allo stesso modo, deve essere considerata la loro volontà di affrontare e
seguire con il management questioni difficili legate alle strategie ed alla performance.
L’interazione tra il Consiglio di amministrazione o l’audit committee e i revisori interni ed
esterni è un fattore altrettanto decisivo per l’ambiente di controllo.
Per la sua importanza, un Consiglio di amministrazione o un organo similare attivo e
coinvolto (con un adeguato grado di competenza tecnica e manageriale, abbinato con
la necessaria statura morale ed intellettuale, così da poter adeguatamente adempiere
le proprie responsabilità di governo, guida e supervisione) costituisce un fattore critico
dell’efficacia del controllo interno. E’ anche indispensabile che il Consiglio di
amministrazione sia composto, in parte, da amministratori non esecutivi perché essi
possano esaminare accuratamente le attività del management, presentare un altro
punto di vista, reagire con coraggio di fronte a comportamenti non corretti. I dirigenti ed
il personale aziendale giocano spesso un ruolo importante in seno al Consiglio di
amministrazione, apportando le loro conoscenze nel corso delle riunioni. Tuttavia, un
equilibrio dovrà essere rispettato. Sebbene le piccole e medie aziende abbiano delle
difficoltà ad attrarre amministratori non esecutivi o sopportarne il costo, anche se non è
generalmente il caso delle grandi organizzazioni, è importante che questi abbiano
318
PricewaterhouseCoopers, Il controllo interno per l’attendibilità del financial reporting. Strumenti di
riferimento per il management, COSO Committee of Sponsoring Organizations of the Tradeway
Commission, Il sole 24 ore, Milano, 2008
148
almeno un peso significativo in seno al Consiglio di amministrazione. Il numero degli
amministratori non esecutivi sarà proporzionato alla situazione specifica aziendale ma,
come regola generale, la presenza di più di un amministratore non esecutivo è
necessaria per assicurare un equilibrio nel Consiglio di amministrazione.
4.4.2.1.2. Struttura organizzativa
La struttura organizzativa di un’azienda fornisce il quadro nel quale le attività
necessarie alla realizzazione degli obiettivi generali sono pianificate, eseguite,
controllate e monitorate319. Le attività possono articolarsi secondo la cosiddetta catena
del valore: il ricevimento, la produzione, la spedizione, il marketing, la vendita e
l’assistenza320.
Si
possono
anche
avere
delle
attività
di
supporto,
come
l’amministrazione, la gestione delle risorse umane, la ricerca e sviluppo. La
realizzazione di una struttura adeguata implica la definizione delle principali linee
gerarchiche. Per esempio, il servizio di revisione interna dovrebbe poter comunicare
liberamente con un dirigente che non sia direttamente coinvolto nella redazione del
bilancio e che abbia sufficiente autorità per assicurare un’adeguata area di interesse
degli interventi revisionali e il follow-up dei rilievi e delle raccomandazioni.
La struttura organizzativa di un’azienda è strettamente correlata alle sue necessità.
L’adeguatezza di una struttura organizzativa dipende in parte dalla dimensione e dalla
natura delle sue attività. Un’organizzazione molto strutturata, con livelli gerarchici e con
responsabilità stabiliti, si adatta bene a un’azienda di grandi dimensioni con numerose
divisioni e con filiali e attività all’estero. Tuttavia, ciò potrebbe impedire ad una piccola
azienda di disporre dei flussi informativi necessari. In tutti i casi, qualunque sia la
struttura, le attività di un’azienda dovranno essere organizzate in modo da facilitare
l’attuazione delle strategie formulate per conseguire particolari obiettivi.
4.4.2.1.3. Attribuzione di poteri e responsabilità
Questo aspetto dell’ambiente di controllo riguarda l’attribuzione dei poteri e delle
responsabilità per le attività operative, la definizione delle linee gerarchiche che
consentono di far fluire le informazioni e le regole in materia di approvazioni. Questo
319
320
M.E. Porter, Competitive advantage, The free press, 1985
149
aspetto riguarda anche il modo in cui i singoli e i gruppi sono incoraggiati a prendere
iniziative per affrontare e risolvere i problemi, come anche i limiti imposti all’autorità
esercitata da individui e gruppi. Infine, tale aspetto copre le politiche che descrivono le
prassi aziendali appropriate, le conoscenze e le competenze dei principali responsabili
come anche i mezzi per svolgere le loro mansioni.
Le aziende tendono sempre più ad assegnare le responsabilità ai dirigenti di livello
meno alto, in modo che le persone più vicine all’operatività partecipino al processo
decisionale. Un’azienda può seguire questo approccio per essere più orientata al
mercato o focalizzata sulla qualità. Per far ciò, l’azienda deve essere in grado di
identificare i cambiamenti di priorità nelle opportunità di mercato, nelle relazioni
commerciali e nelle attese del pubblico e di reagire di conseguenza. La delega dei
poteri e delle responsabilità spesso è concepita per incoraggiare, entro certi limiti,
l’iniziativa degli individui. Tale delega implica che il controllo centrale abbandoni certe
decisioni trasferendole a livelli più bassi, a individui che sono più vicini alle operazioni
quotidiane od ordinarie dell’azienda.
La principale difficoltà risiede nel fatto che le responsabilità dovrebbero essere
delegate solo nei limiti degli obiettivi da realizzare. Per far ciò, è necessario assicurarsi
che l’assunzione dei rischi sia basata su robuste pratiche di identificazione e riduzione
del rischio, incluso il relativo dimensionamento e il raffronto tra potenziali costi e
benefici, al fine di assumere le decisioni migliori per l’azienda.
Un’altra difficoltà è di essere certi che tutto il personale comprenda gli obiettivi
dell’azienda. E’ essenziale che ciascun individuo sia cosciente dei legami esistenti tra
le sue azioni e quelle degli altri e del contributo delle stesse alla realizzazione degli
obiettivi.
Talvolta la delega dei poteri è accompagnata o deriva da una semplificazione o da un
appiattimento intenzionale della struttura. I cambiamenti di struttura, realizzati al fine di
stimolare la creatività, incoraggiare l’iniziativa e migliorare la capacità di reazione,
possono rafforzare la competitività e accrescere il livello di soddisfazione della
clientela. Un aumento dei poteri esige implicitamente un livello di competenza più
elevato, come pure un accrescimento delle responsabilità. Esso richiede anche
l’elaborazione di procedure efficaci che consentano al management di monitorare i
risultati. In effetti la decentralizzazione dei poteri, anche se favorisce la presa di
150
decisioni che tengono meglio conto delle condizioni del mercato, può accrescere il
numero di decisioni erronee o imprevedibili.
Il fatto che il personale riconosca che può essere ritenuto responsabile ha una grande
influenza sull’ambiente di controllo.
4.4.2.1.4. Politiche e prassi di gestione delle risorse umane
Le politiche di gestione delle risorse umane servono anche a comunicare al personale
il livello di integrità, di comportamento etico e di competenza che l’azienda si aspetta.
Queste politiche comprendono le assunzioni, la gestione delle carriere, la formazione,
le valutazioni del personale, gli incontri di verifica con il personale, le promozioni, le
remunerazioni e le azioni correttive321. Per esempio, una politica rivolta ad assumere le
persone in base alla dimostrazione di comportamenti etici e di integrità nel passato
testimonia la volontà dell’azienda di circondarsi di persone degne di fiducia. Le prassi
di assunzione che prevedono interviste formali e analitiche ai candidati e un’ampia
presentazione della storia dell’azienda, della sua cultura e del suo stile di management,
dimostrano che l’azienda è impegnata verso il suo personale. Allo stesso modo, le
politiche di formazione che forniscono indicazioni sui ruoli e sulle responsabilità in
prospettiva e che prevedono dei corsi di formazione e seminari rilevano i livelli di
performance e di comportamento che l’azienda si aspetta dal suo personale. I sistemi
di remunerazione competitiva che prevedono l’erogazione di premi, servono a motivare
il personale e ad accrescere la performance a livelli ottimali. Infine i provvedimenti
disciplinari servono a far comprendere che non saranno tollerate violazioni delle regole
di comportamento stabilite dall’azienda.
Gli studi e la formazione, quale che sia la loro natura, scolastici, autodidattici o
formazione sul lavoro, devono preparare il personale dell’azienda ad adattarsi alle
trasformazioni dell’ambiente. Devono inoltre rafforzare la capacità dell’azienda di
avviare iniziative per il miglioramento della qualità. Per permettere ciò, il processo
formativo previsto in azienda deve essere continuo.
4.4.2.2.
321
Valutazione
151
Per determinare che esista un positivo ambiente di controllo è necessario ciascun
fattore dell’ambiente stesso. I punti di seguito riportati sono alcuni esempi di fattori di
cui bisogna tener conto al fine di giudicare l’efficacia dell’ambiente di controllo. Essi
non sono tuttavia applicabili a tutti i tipi di aziende:
 Valutare se esistono un codice di condotta ed altre norme relative a prassi
aziendali accettabili e a comportamenti etici e morali e se queste vengono
messe in pratica;
 Valutare se esistono analisi delle conoscenze e delle capacità necessarie per
svolgere una mansione in modo adeguato;
 Valutare se il Consiglio di amministrazione e l’audit committee sono
sufficientemente indipendenti dalla direzione per sentirsi liberi di porre tutte le
domande necessarie, anche le più delicate, e se tengono riunioni periodiche con
il direttore amministrativo, il responsabile della contabilità ed i revisori interni ed
esterni;
 Valutare se il management aziendale è coinvolto spesso in operazioni ad alto
rischio o, al contrario, si mostra generalmente prudente;
 Valutare se la struttura organizzativa è adeguata ed assicura il flusso delle
informazioni necessarie per la gestione delle attività;
 Valutare se esistono e se sono adeguate le azioni correttive intraprese in caso di
violazione di norme procedure.
Qualora tali punti evidenziassero che il sistema di controllo interno del fattore ambiente
è implementato adeguatamente, ciò significherebbe che l’azienda è in grado di
perseguire il raggiungimento dei propri obiettivi circa tale fattore.
4.4.3. Risk assessment
4.4.3.1.
Definizione degli obiettivi
La missione aziendale indica ciò che un’organizzazione aspira a realizzare. Partendo
dalla missione, il management definisce gli obiettivi strategici, formula la strategia e
determina i relativi obiettivi operativi, di conformità e di reporting. Mentre la missione e
gli obiettivi strategici sono normalmente immutabili, cioè non soggetti a significative
variazioni nel tempo, le strategie e molti degli obiettivi correlati sono più dinamici e
152
soggetti a rettifiche al cambiare delle condizioni interne ed esterne. Quando queste
condizioni variano, le strategie e gli obiettivi correlati sono riallineati con gli obiettivi
strategici. E’ di cruciale importanza definire gli obiettivi giusti che devono essere
allineati alla strategia scelta e supportarla. Focalizzandosi innanzitutto sugli obiettivi
strategici e sulla strategia, l’azienda è in grado di sviluppare gli obiettivi correlati,
riguardanti l’azienda nel suo complesso, il raggiungimento dei quali crea e preserva il
valore dell’azienda. Gli obiettivi definiti a livello aziendale sono collegati e integrati con
gli obiettivi ancora più specifici che fluiscono, a cascata, per tutta la struttura
organizzativa e danno luogo a sotto-obiettivi, definiti per le varie tipologie di attività.
Quando gli obiettivi sono coerenti con le prassi e la performance di periodi precedenti, i
collegamenti tra le attività sono ben conosciuti. Invece, quando gli obiettivi si
discostano dalle prassi storiche dell’azienda, il management deve provvedere a detti
collegamenti, altrimenti corre maggiori rischi.
Gli obiettivi devono essere chiari e misurabili: il personale di tutti i livelli deve avere una
buona conoscenza degli obiettivi perché essi devono essere in grado di influenzarli ed
inoltre deve avere una univoca comprensione di ciò che si dovrà realizzare.
Gli obiettivi si possono raggruppare in alcune grandi categorie:
 Obiettivi operativi; riguardano l’efficacia e l’efficienza delle attività operative
aziendali. Questi obiettivi variano in funzione delle scelte fatte dal management
riguardo la struttura organizzativa e i livelli di performance che si desidera
raggiungere;
 Obiettivi di reporting; riguardano la redazione di report attendibili ai fini inteni ed
esterni;
 Obiettivi di conformità; riguardano l’osservanza delle leggi e dei regolamenti
applicabili all’azienda322.
Alcuni obiettivi dipendono dal business dell’azienda. Per esempio, alcune società sono
obbligate a presentare certe informazioni alle agenzie addette alla protezione
dell’ambiente, e così anche le società quotate in borsa devono depositare certi report e
informazioni presso le autorità di vigilanza dei mercati borsistici. Questi obblighi imposti
dall’esterno sono fissati per legge e/o regolamento. Al contrario gli obiettivi operativi,
322
153
come pure quelli concernenti il report direzionale interno, sono prevalentemente basati
sulle preferenze, sui giudizi e sullo stile di direzione. Essi si differenziano ampiamente
da un’azienda all’altra semplicemente perché le persone possono scegliere obiettivi
diversi.
Un obiettivo di una categoria può sovrapporsi o supportare un obiettivo di un’altra. Per
esempio, informare il responsabile di una unità operativa che controlla le attività
produttive può essere utile sia per conseguire obiettivi operativi che di reporting.
Gli obiettivi devono essere complementari e collegati tra loro. Tra i suoi obiettivi però
un’azienda deve saper scegliere quelli che detengono un maggiore grado di
importanza assegnato dall’impresa stessa oltre che una priorità più elevata di realizzo.
Gli obiettivi che rientrano nella precedentemente elencata categoria di reporting,
qualora l’azienda implementi e mantenga un efficace sistema di ERM, forniscono una
ragionevole sicurezza del loro conseguimento. Diverso è il caso degli obiettivi strategici
e operativi. Il conseguimento di questi obiettivi è solo in parte sotto il controllo
dell’azienda. Ciò significa che l’azienda è soggetta ad eventi esterni che non sono sotto
il suo controllo. Può darsi che essa abbia anche considerato alcuni di questi eventi nel
suo processo di definizione degli obiettivi trattandoli come poco probabili, ma
elaborando, comunque, un piano di emergenza nel caso si verificassero. Tuttavia
questo piano può solo attenuare l’impatto degli eventi esterni. Esso non garantisce la
realizzazione degli obiettivi. L’ERM applicato all’attività operativa mira principalmente a
sviluppare, in tutte le aree aziendali, obiettivi e traguardi tra loro coerenti, a identificare i
fattori chiave di successo, a valutare i rischi ed elaborare risposte ben ponderate, a
implementare le risposte appropriate al rischio e a fissare i necessari controlli, e
comunicare, nei tempi dovuti, al management la performance e le aspettative. Per
quanto concerne gli obiettivi strategici e operativi, l’ERM può solo garantire una
ragionevole sicurezza che il management e, nel suo ruolo di vigilanza il consiglio di
amministrazione, siano tempestivamente informati della misura in cui si stanno
conseguendo gli obiettivi.
Il management deve accertare che gli obiettivi siano allineati con il rischio accettabile
stabilito dall’azienda. Disallineamenti potrebbero significare che l’azienda non sta
assumendo abbastanza rischi nel perseguire i suoi obiettivi o, al contrario, sta
assumendo rischi eccessivi. Un ERM efficace non indica al management quali obiettivi
deve scegliere, ma si limita ad allineare gli obiettivi strategici con la missione aziendale
154
e ad assicurare che la strategia selezionata e i relativi obiettivi siano coerenti con il
livello di rischio accettabile fissato dall’azienda.
Il rischio accettabile, definito dal management con la supervisione del consiglio di
amministrazione,
costituisce
un
paramento
importante
di
riferimento
per
la
formulazione delle strategie. Le aziende possono esprimere il rischio accettabile come
bilanciamento tra crescita, rischio e profittabilità oppure come misura del valore
aggiunto creato per gli stakeholder, rettificato dal livello di rischio assunto.
L’ERM, impiegato nel processo di definizione degli obiettivi, aiuta il management a
selezionare una strategia coerente con il livello di rischio accettabile. Laddove il rischio
legato ad una strategia non fosse coerente con il livello di rischio accettabile, la
strategia formulata inizialmente deve essere modificata ed adattata.
Il rischio considerato accettabile dal management aziendale, oltre che con la strategia
è strettamente correlato con la tolleranza, e cioè con il livello di variazione accettabile
quando si consegue un obiettivo. La misurazione della performance costituisce un
ausilio per assicurare che i risultati realizzati siano all’interno della tolleranza al rischio.
Nel determinare la tolleranza al rischio, il management considera l’importanza degli
obiettivi ad esso relativi e la allinea con il rischio accettabile. Operando entro i limiti
della tolleranza al rischio si assicura al management che l’azienda non oltrepassi il
livello di rischio accettabile; il che, a sua volta, costituisce una conferma che
verosimilmente l’azienda raggiungerà i suoi obiettivi.
4.4.3.2.
Identificazione degli eventi
Un evento è un fatto o un accadimento originato da fonti interne od esterne che incide
sull’implementazione della strategia oppure sul conseguimento degli obiettivi. Gli eventi
possono avere un impatto positivo o negativo, oppure entrambi323.
Il management nell’identificare un evento è sicuro solo della sua incertezza: non sa se
l’evento accadrà e quando accadrà e il suo preciso impatto nel caso si verificasse. In
particolare il rischio si differenzia per:
 La sua natura, cioè l’indicazione della tipologia di rischio che può verificarsi;
323
Il sole 24 ore, La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di
riferimento e alcune tecniche applicative, Milano, 2006
155
 La sua magnitudo, cioè l’estensione e l’impatto che il verificarsi del rischio
avrebbero nell’azienda;
 La sua probabilità, cioè il rapporto sulla base del quale il rischio può verificarsi o
meno.
Risulta comunque difficile per il management aziendale individuare tutti gli eventi che
possono impattare sull’impresa, in quanto alcuni risultano inizialmente imprevedibili o di
difficile rilevazione. E’ per questo che il management aziendale deve porre la maggiore
attenzione possibile nella rilevazione degli eventi rischiosi, al fine di non trovarsi
impreparato senza eventuali piani di risposta al rischio.
Una miriade di fattori esterni (ambiente economico, politico, tecnologico e sociale
circostante all’ambito operativo dell’impresa) ed interni originano gli eventi che
influiscono sull’implementazione della strategia e sul conseguimento degli obiettivi.
Come parte dell’ERM, è fondamentale che il management acquisisca conoscenza di
questi fattori e della tipologia di eventi a essi riferibili. Gli eventi sono comunque anche
originati dalle scelte fatte dal management ed i n particolare sul modo in cui tali scelte
opereranno in futuro. Le scelte condizionano la creazione di fattori interni quali le
infrastrutture, il personale, i processi e la tecnologia.
L’individuazione dei fattori interni ed esterni è utile per individuare efficacemente gli
eventi. Una volta che sono stati individuati i principali fattori, il management può
valutarne la significatività e dirigersi su quegli eventi che possono pregiudicare il
conseguimento degli obiettivi. Inoltre gli eventi, oltre a essere identificati a livello
aziendale, possono essere identificati a livello di singola attività, il che costituisce un
ausilio per indirizzare la valutazione del rischio sulle principali unità operative o funzioni
quali le vendite, la produzione, il marketing, lo sviluppo tecnologico, la ricerca e lo
sviluppo di nuovi prodotti, … .
Una metodologia per identificare gli eventi può consistere in una combinazione di
tecniche, insieme a strumenti di supporto. Le tecniche per identificare gli eventi
considerano sia il passato che il futuro. Le tecniche basate sugli eventi passati e sui
trend storici possono analizzare, per esempio, l’andamento nel tempo delle perdite su
crediti, le oscillazioni dei prezzi, … . Le tecniche basate sugli eventi futuri possono
analizzare, per esempio i cambiamenti demografici, i vincoli dei nuovi mercati, … .
156
Le tecniche hanno un livello di sofisticazione molto variegato e possono anche variare
in base all’area in cui sono impiegate. Alcune considerano un’analisi dettagliata dei dati
e ordinano gli eventi individuati partendo dal basso e dirigendosi verso l’alto della
struttura organizzativa; altre procedono invece nel senso inverso.
Un esempio di tecniche di identificazione degli eventi è costituito dalle analisi interne.
Queste analisi possono essere elaborate in concomitanza con il processo di
pianificazione e controllo. Un altro esempio è la tecnica delle analisi del flusso di
processo. Essa mette insieme input, fasi, responsabilità e output che compongono un
processo e ne esamina fattori interni ed esterni che li influenzano. All’interno di tale
analisi vengono quindi identificati gli eventi che potrebbero pregiudicare il
conseguimento degli obiettivi di processo.
L’ampiezza delle analisi, la tempistica ed i metodi per identificare gli eventi variano da
un’azienda all’altra. Il management deve selezionare le tecniche che più si adattano
alla sua filosofia di gestione del rischio e si assicura che l’azienda sviluppi le capacità
necessarie per identificare gli eventi e che gli strumenti di supporto siano disponibili.
Inoltre va considerato che spesso gli eventi non accadono come fatti isolati, ma che un
evento può provocarne un altro e più eventi possono verificarsi tutti nel medesimo
momento. Nell’identificare gli eventi, il management deve quindi capire come gli eventi
sono correlati ed interdipendenti tra loro. Si può quindi determinare dove è o più
conveniente dirigere gli sforzi per gestire il rischio.
157
Figura 4.8 -
Categorie di eventi
Fattori esterni
Fattori interni
Economici
disponibilità di capitali
emissione di prestiti, insolvenze
Concentrazione
Liquidità
mercati finanziari
Disoccupazione
Concorrenza
fusioni/acquisizioni
Infrastrutture
disponibilità di risorse materiali
potenzialità delle risorse materiali
accesso ai capitali
Complessità
Ambientali
inquinamento e rifiuti
Energia
catastrofi naturali
sviluppo sostenibile
Politici
cambiamenti nel contesto politico
Legislazione
politiche pubbliche
Regolamentazione
Sociali
Demografici
comportamento dei consumatori
nazionalità dell'azienda
Privacy
Terrorismo
Personale
potenzialità delle risorse umane
frodi
salute e sicurezza
Processo
risorse
disegno
esecuzione
fornitori/dipendenze
Tecnologia
integrità dei dati
disponibilità dei dati e dei sistemi
scelta del sistema
sviluppo
diffusione
manutenzione
Tecnologici
Interruzioni
commercio elettronico
dati esterni
tecnologia emergente
Fonte: Il sole 24 ore, La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di
riferimento e alcune tecniche applicative, Milano, 2006
Gli eventi con un impatto positivo rappresentano opportunità o compensazioni di
impatti negativi generati dai rischi. L’opportunità è la possibilità che un evento accada
ed incida positivamente sul conseguimento degli obiettivi e sulla creazione di valore.
Gli eventi che rappresentano opportunità richiedono un riesame della strategia
formulata in precedenza o del processo di definizione degli obiettivi in atto, in modo che
si possano definire i necessari interventi per cogliere le opportunità che si presentano.
4.4.3.3.
Valutazione del rischio
I fattori esterni e interni determinano la tipologia degli eventi che si possono verificare e
la misura in cui questi incidono sugli obiettivi aziendali. Sebbene alcuni fattori siano
158
comuni a tutte le aziende che operano in un settore, gli eventi che si verificano spesso
sono peculiari alle singole aziende, a causa degli obiettivi da esse definiti e delle scelte
effettuate nel passato. Il management nel valutare il rischio considera la combinazione
di potenziali eventi futuri relativi all’azienda ed alle sue attività nel contesto degli
elementi che contribuiscono a formare il suo profilo di rischio, quali la dimensione, la
complessità delle operazioni ed il grado di regolamentazione del settore.
Nel valutare il rischio, il management valuta gli eventi previsti ed inattesi. Molti eventi
sono routinari e si verificano con una certa frequenza e sono già considerati nei
programmi operativi e nei budget mentre altri sono inaspettati. Il management valuta il
rischio di eventi potenziali inattesi e di eventi potenziali possibili che possono avere un
impatto significativi sull’azienda.
Il management considera sia il rischio inerente che il rischio residuo. Il rischio inerente
è il rischio che un’azienda assume quando il management non attiva alcun intervento
per modificarne la probabilità e l’impatto. Il rischio residuo è il rischio che rimane dopo
che il management ha attivato una risposta al rischio. La valutazione del rischio è
effettuata in primo luogo in termini di rischio inerente. Una volta che la risposta al
rischio è stata attivata, il management determina il rischio residuo.
Il management utilizza spesso indicatori di performance per determinare la misura in
cui un obiettivo è stato o sarà conseguito e normalmente utilizza le stesse unità di
misura quando deve determinare l’impatto potenziale di un rischio sul conseguimento
di un obiettivo specifico.
La stima delle probabilità e dell’impatto (definita magnitudo nel sottoparagrafo
precedente) del rischio è spesso determinata utilizzando dati relativi ad eventi già
accaduti (storici), che costituiscono una base più obiettiva rispetto a stime totalmente
soggettive. Si deve comunque prestare particolare attenzione quando si utilizzano
eventi passati per prevedere gli accadimenti futuri, dato che i fattori che influenzano gli
eventi possono variare nel tempo.
La metodologia di valutazione del rischio aziendale si articola in una varietà di tecniche
qualitative e quantitative. Il management utilizza spesso le tecniche qualitative quando
la tipologia dei rischi da valutare non si presta a essere quantificata oppure quando
sono necessari un certo numero di dati affidabili che risultano indisponibili o molto
onerosi. Le tecniche quantitative solitamente sono più precise e sono impiegate in
attività più complesse e sofisticate ad integrazione delle tecniche qualitative. Alcuni
159
esempi di tecniche quantitative utilizzati dalle aziende sono la tecnica del
benchmarking (processo basato sulla collaborazione di un gruppo di aziende
indirizzato su eventi specifici e processi, che compara misure e risultati ed identifica
opportunità di miglioramento), modelli probabilistici (che aggregano una serie di eventi
e l’impatto conseguente con la probabilità che questi eventi accadano sulla base di
certe ipotesi) e modelli non probabilistici (che adottano ipotesi soggettive per la stima
dell’impatto degli eventi senza quantificarne alcuna probabilità).
4.4.4. Attività di controllo
4.4.4.1.
Risposta al rischio
Le risposte al rischio individuato dall’impresa si suddividono in differenti categorie di
appartenenza:
 Evitare il rischio, in base a cui si possono eliminare attività che generano rischi
ad alta probabilità o magnitudo;
 Ridurre il rischio, che riguarda l’assunzione di azioni intraprese al fine di ridurre
la probabilità o l’impatto del rischio, oppure entrambi;
 Condividere il rischio, trasferendo lo stesso nello Spazio (ad esempio ad
imprese assicurative) o nel tempo (ad esempio con la costituzione di fondi);
 Accettare il rischio, non sono intraprese azioni per incidere sulla probabilità o
sulla magnitudo del rischio.
La risposta di evitare il rischio nasce dal fatto che non si è riusciti a trovare un’opzione
valida che riduca l’impatto e la probabilità del rischio ad un livello accettabile. Le
risposte di ridurre e condividere il rischio riducono il rischio residuo ad un livello che è in
linea con la tolleranza al rischio desiderata.
Nel formulare la risposta al rischio, il management deve considerare:
 Gli effetti delle risposte potenziali sulla probabilità e sull’impatto del rischio;
 I costi verso i benefici delle risposte potenziali;
 Possibili opportunità di conseguire ugualmente gli obiettivi aziendali che vanno
oltre la gestione degli specifici rischi.
160
I rischi inerenti sono analizzati e le risposte valutate al fine di determinare un livello di
rischio residuo che sia in linea con la tolleranza al rischio dell’azienda. Spesso una
qualunque delle diverse risposte è in grado di portare il rischio residuo in linea con la
tolleranza al rischio e certe volte un’aggregazione di più risposte fornisce un risultato
ottimale.
Nel valutare le risposte alternative al rischio, il management ne determina l’effetto sia
sulla probabilità che sull’impatto, ed è ben consapevole che una risposta può incidere
sulla probabilità e sull’impatto in modo diverso. Nell’analizzare le risposte al rischio, il
management può considerare gli eventi passati ed i trend e gli scenari potenziali futuri.
Nel valutare le risposte alternative, il management normalmente determina i loro effetti
potenziali utilizzando le stesse unità di misura adottate per quantificare i relativi
obiettivi.
Il secondo punto dell’elenco precedente inerente i fattori da considerare nell’attuare
una specifica politica di risposta al rischio, va considerato che le risorse sono sempre
limitate e le aziende devono considerare i costi ed i benefici delle risposte alternative al
rischio. Generalmente risulta più semplice quantificare con sufficiente accuratezza i
costi e non i benefici. Vengono considerati i costi diretti imputabili alla risposta
alternativa e, laddove fosse possibile, tutti i costi indiretti. Alcune aziende considerano
anche i costi opportunità collegati con l’impiego delle risorse.
In alcuni casi risulta comunque difficile quantificare la risposta al rischio. Le difficoltà
riguardano i tempi e gli sforzi considerevoli richiesti per quantificare una particolare
risposta.
Il versante dei benefici, come detto, è di più difficile stima e spesso comporta una
valutazione più soggettiva. In molti casi i benefici di una risposta al rischio possono
essere valutati nel contesto dei benefici che derivano dal conseguimento degli obiettivi
relativi.
Quando si esamina il rapporto costi-benefici, il considerare i rischi interconnessi tra loro
consente al management di aggregare le risposte di riduzione e di compartecipazione
al rischio.
La risposta al rischio non si deve limitare unicamente alla riduzione del rischio
identificato, ma deve anche tenere conto delle nuove opportunità che si presentano per
161
l’azienda. Il management può identificare risposte innovative che potrebbero essere
completamente nuove all’azienda o anche al settore in cui questa opera.
Una volta che gli effetti delle varie risposte alternative al rischio sono stati valutati, il
management decide le modalità di gestione del rischio, selezionando le risposte, o una
combinazione di risposte, che consentono di allineare la probabilità e l’impatto del
rischio alla tolleranza al rischio. Valutare le risposte alternative al rischio inerente
richiede l’esame di ulteriori rischi che potrebbero derivare dalla risposta che si vuole
dare. Questo esame può generare un processo iterativo attraverso il quale il
management, prima di decidere in via definitiva, analizza questi ulteriori rischi, inclusi
anche quelli che potrebbero non essere di immediata evidenza.
L’ERM richiede che il rischio sia considerato in una prospettiva che considera l’azienda
nel suo complesso. Normalmente, il manager adotta un approccio con il quale il rischio
è prima esaminato a livello di ciascuna unità operativa, dipartimento o funzione.
Il senior management, disponendo di un quadro d’insieme dei rischi delle singole unità,
è in grado di stabilire se il rischio residuo a livello aziendale è allineato con il rischio
accettabile, espresso in termini generali, e con gli obiettivi a esso relativi.
Una volta che il management ha attuato tutta la procedura di selezione della risposta al
rischio, può risultare necessario sviluppare un piano di implementazione per attuarla.
Una parte critica del piano di implementazione è la definizione delle attività di controllo
di cui si parlerà nel sottoparagrafo successivo.
4.4.4.2.
Le attività del controllo interno
Le attività di controllo sono le politiche e le procedure, ovvero le azioni svolte dalle
persone per realizzare le politiche, direttamente o tramite applicazioni tecnologiche,
destinate ad assicurare l’attuazione delle risposte al rischio scelte dal management. Le
attività di controllo si possono suddividere in quattro categorie in base alla natura degli
obiettivi dell’azienda ai quali esse si riferiscono: strategiche, operative, di reporting e di
conformità.
Sebbene alcune attività di controllo si riferiscano specificatamente a una categoria,
spesso però si possono sovrapporre. Secondo le circostanze, una specifica attività di
controllo può contribuire alla realizzazione di obiettivi che ricadono in più categorie.
162
Dopo aver selezionato le risposte al rischio, il management identifica le attività di
controllo che aiutano ad assicurare che le risposte al rischio siano eseguite
correttamente e nei tempi previsti324.
Nel selezionare le attività di controllo, il management determina quindi il modo in cui le
attività di controllo sono connesse tra loro.
Come accade per la selezione della risposta del rischio, dove è valutata la correttezza
della risposta e il rischio residuo, così anche per la selezione delle attività di controllo si
dovrà valutare la loro pertinenza e appropriatezza con la risposta al rischio e con il
relativo obiettivo. Le attività di controllo costituiscono infatti una parte importante del
processo attraverso il quale le aziende si adoperano per conseguire i loro obiettivi.
Esistono varie descrizioni delle tipologie di attività di controllo, tra cui controlli
preventivi, successivi, manuali, informativi e controlli gestionali. Le attività di controllo
interno si possono anche classificare in funzione di specifici obiettivi, come quello di
assicurare la completezza e l’accuratezza dell’elaborazione dei dati.
Alcune delle attività di controllo comunemente svolte sono le seguenti:
 Analisi svolte dall’alta direzione, le performance realizzate sono analizzate
raffrontandole con i budget, con le proiezioni, con i risultati dei periodi precedenti
e con i risultati dei concorrenti. Si esamina l’andamento delle principali iniziative
adottate (come per esempio comparazione dei costi) per determinare in che
misura gli obiettivi siano stati conseguiti. Si monitorano i piani di realizzo per lo
sviluppo di nuovi prodotti, per gli accordi di joint venture o per i finanziamenti;
 Processi informativi, una varietà di controlli sono realizzati per verificare
l’accuratezza, la completezza e l’autorizzazione delle operazioni. I dati registrati
sono soggetti a check e confrontati con file di controllo approvati. L’ordine di un
cliente, per esempio, è accettato solo dopo essere stato associato ad un cliente
approvato e ad un limite di credito. I controlli sui processi informativi sono
necessari per via dell’ampio affidamento che viene fatto sugli stessi, sia al fine di
gestire un’azienda sia al fine di realizzare obiettivi di reporting e di conformità.
Le attività di controllo sui sistemi informativi si possono ripartire in due ampi
gruppi, che congiuntamente alle procedure di controllo manuale, consentono,
324
163
operando tutti insieme, di assicurare la completezza, l’accuratezza e la validità
dell’informazione:
 Controlli generali, che si applicano alla quasi totalità dei sistemi ed
assicurano il loro corretto e continuo funzionamento e riguardano i
controlli relativi alla gestione ed alle infrastrutture dell’information
technology, gestione della sicurezza, acquisizione dei software, sviluppo
e manutenzione. Questi controlli si applicano a tutti i sistemi, dai
mainframe ai client/server, ai computer fissi e portatili e sono a titolo
esemplificativo:
-
Gestione
dell’information
supervisione,
il
technology,
monitoraggio
ed
il
viene
effettuata
reporting
alle
la
attività
dell’information technology ed alle iniziative di miglioramento;
-
Gestione
della
sicurezza,
controlli
logici
all’accesso
come
password sicure limitano l’accesso alla rete, al database ed a
determinati livelli delle applicazioni. Le user account ed i relativi
controlli agli accessi privilegiati, aiutano a limitare l’accesso, da
parte degli utenti autorizzati alle sole applicazioni o funzioni di
applicazioni di cui hanno bisogno per lo svolgimento del proprio
lavoro. Gli internet firewalls e reti virtuali private proteggono i dati
da accessi esterni non autorizzati;
-
Acquisizione, sviluppo e manutenzione del software, i controlli
sono compresi in un processo definito per la gestione dei
cambiamenti, compresa la richiesta della documentazione, test di
accettazione degli utenti, stress test e valutazioni del rischio di
progetto. Gli sviluppatori di software lavorano solo in ambienti
separati di sviluppo/test e non hanno accesso all’ambiente di
produzione. I controlli su cambiamenti di sistema includono
richieste
di
autorizzazione
ai
cambiamenti,
la
review dei
cambiamenti, approvazioni, documentazione, testing, implicazioni
dei cambiamenti sulle altre componenti dell’information technology,
risultati di stress testing e protocolli di implementazione.
 Controlli applicativi, che includono le procedure automatizzate, all’interno
di applicazioni software, per controllare le elaborazioni delle varie
164
operazioni. Essi servono a verificare la completezza, l’accuratezza,
l’autorizzazione e la validità dei dati rilevati e processati. Questi controlli
assicurano che i dati siano catturati o generati quando richiesto, le
applicazioni di supporto siano disponibili e gli errori di interfaccia siano
rintracciati rapidamente. Un obiettivo fondamentale dei controlli applicativi
è quello di prevenire l’inserimento di dati erronei nel sistema, come anche
di individuare e correggere gli errori una volta che siano stati inseriti. Per
fare ciò, gran parte dei controlli sono supportati da procedure
automatizzate, che verificano la struttura, l’esistenza, la ragionevolezza
dei dati ed è incorporato nell’applicazione già durante la fase del suo
sviluppo. Alcuni esempi di controlli applicativi sono elencati di seguito:
-
Controllo di quadratura, gli errori si possono rilevare riconciliando
gli ammontari immessi nel processo elaborativo, sia manualmente
che automaticamente, con un totale di controllo. Per esempio il
numero delle operazioni di vendita di una società sono processate
e trasferite dal sistema di registrazione ordini on line al sistema di
fatturazione. La società provvede a quadrare automaticamente il
totale del numero delle operazioni processate dal sistema di
registrazione ordini on line con il numero delle operazioni trasferite
nel sistema di fatturazione;
-
Check digit, i dati inseriti nel processo sono validati tramite calcolo.
Per esempio, i codici delle parti di ricambio acquistati da una
società contengono un check digit per individuare e correggere
ordini di acquisto con codici errati;
-
Test di ragionevolezza sui dati, sono comparati i dati rilevati con i
livelli di ragionevolezza attuali o frutto di trend storici;
-
Test logici, il controllo include l’utilizzo di una serie di limiti o valori
o test alfanumerici. Ad esempio si può individuare un errore
nell’inserimento dei dati qualora tutti i numeri inseriti debbano
contenere sei digit e non tutti li contengano;
 Controlli fisici, attrezzature, scorte, titoli, denaro ed altre attività sono protetti
fisicamente e periodicamente soggetti a conta fisica e confrontati con le
risultanze contabili;
165
 Indicatori di performance, l’analisi comparata di diversi insiemi di dati, operativi o
finanziari, l’esame delle correlazioni e le conseguenti azioni investigative o
correttive. Indagando sui risultati inattesi o su tendenze anomale, il management
identifica le situazioni che evidenziano un’inadeguata capacità di portare a
termine dei processi chiave, il che può significare che la realizzazione degli
obiettivi è alquanto improbabile. Il modo in cui il management utilizza le suddette
informazioni, solo per decisioni operative oppure per il follow up di risultati
inattesi evidenziati dal sistema di reporting, determina se l’analisi degli indicatori
di performance serve solo a fini operativi oppure anche per controllare la
correttezza del reporting;
 Separazione dei compiti, al fine di ridurre il rischio di errori ed irregolarità, i
compiti sono ripartiti o segregati tra più persone. Per esempio, la responsabilità
di autorizzare operazioni, di contabilizzarle e di gestirle deve essere suddivisa
tra persone diverse. La persona che autorizza le vendite a credito non deve
essere responsabile della tenuta della contabilità clienti, né deve avere accesso
agli incassi. Analogamente, gli addetti alle vendite non devono avere la
possibilità di modificare gli archivi relativi ai prezzi dei prodotti o alle percentuali
delle provvigioni.
Questi controllo rappresentano solo una piccola parte dei numerosi controlli
normalmente svolti dal personale a vari livelli organizzativi, che servono a far rispettare
i piani di azione stabiliti ed a indirizzare le aziende verso il conseguimento dei loro
obiettivi.
Spesso, come detto, è attuata una combinazione di controlli per far fronte alle relative
risposte al rischio. Le attività di controllo includono controlli preventivi per bloccare
certe operazioni prima di essere effettuate e controlli successivi per identificare altre
operazioni in tempo utile. Le attività di controllo aggregano controlli automatici e
manuali, compresi i controlli automatici volti ad assicurare che tutte le informazioni
siano catturate correttamente e le procedure di routine che consentono ai responsabili
di autorizzare o approvare le decisioni di investimento.
Le attività di controllo si basano normalmente su due elementi: le politiche, che
definiscono ciò che si deve fare, e le procedure che realizzano in pratica le politiche. In
molti casi, le politiche da adottare vengono comunicate verbalmente. La politica non
scritta può risultare efficace se è di applicazione consolidata e facile da recepirsi
166
oppure, nel caso di piccole aziende, che dispongono di canali di comunicazione che
coinvolgono un numero limitato di manager dove l’interazione e la supervisione del
personale non presenta difficoltà. Scritta o non scritta, comunque, una politica deve
essere attuata totalmente, seriamente e con coerenza. E’ essenziale che, qualora
emergano rilievi dall’applicazione delle procedure, essi siano indagati e siano oggetto
di appropriate azioni correttive, tali azioni variano a seconda delle dimensioni e della
struttura aziendale. Così in una grande società esse si possono basare su processi di
reporting formalizzati (le unità operative indicano le ragioni per cui gli obiettivi non sono
stati conseguiti e i provvedimenti adottati per rimediarvi), mentre in una piccola impresa
individuale, il titolare incontra personalmente il direttore di produzione per discutere sui
problemi emersi e sugli interventi da attivare per porvi rimedio.
Dato che ogni azienda ha i propri obiettivi e metodi per realizzarli, si noteranno sempre
delle differenze nelle risposte al rischio e nelle relative attività di controllo. Ogni azienda
è gestita da persone diverse che attivano i controlli secondo valutazioni personali.
Inoltre, i controlli riflettono l’ambiente ed il settore in cui opera l’azienda come pure la
dimensione e la complessità della sua organizzazione, la natura e la portata delle sue
attività, la sua storia e la sua cultura.
Infine, grandi e complesse organizzazioni con diverse attività normalmente affrontano
problemi di controllo più difficili rispetto alle piccole e semplici organizzazioni con meno
attività variegate.
4.4.5. Informazioni e comunicazione
Tutte le aziende devono identificare e raccogliere una vasta gamma di informazioni
relative ad eventi esterni ed interni ed alle attività pertinenti alla gestione aziendale.
Queste informazioni devono essere trasmesse al personale nei modi e nei tempi
necessari per consentire agli stessi di adempiere le proprie responsabilità riguardanti
l’ERM e altre responsabilità loro assegnate.
E’ necessario che le informazioni siano infatti diffuse a tutti i livelli della struttura
organizzativa per identificare, valutare e rispondere ai rischi, e per gestire l’azienda. Ad
esempio informazioni economico-finanziarie attendibili sono fondamentali per la
pianificazione ed il budget, la definizione dei prezzi, la valutazione della performance
167
dei fornitori, la valutazione di joint venture e di alleanze e una serie di altre attività
gestionali.
Analogamente, le informazioni concernenti l’attività operativa aziendale sono
fondamentali per l’elaborazione dei bilanci ed altri report.
Le informazioni provengono da varie fonti interne ed esterne e facilitano l’elaborazione
di risposte ai cambiamenti che si manifestano negli ambienti interni ed esterni delle
aziende. Una sfida per il management è di trasformare un grande volume di dati in
informazioni che aiutano l’azione. Questa sfida è realizzata quando si crea una
infrastruttura di sistemi informativi che originano, raccolgono, processano, analizzano e
diffondono, tramite report, le informazioni rilevanti. Questi sistemi informativi sono
spesso considerati nel contesto della elaborazione dei dati di origine interna. I sistemi
informativi trattano anche di informazioni su eventi esterni, per esempio, dati economici
specifici di un settore o di un mercato che segnalano variazioni nella domanda dei
prodotti e dei servizi trattati, dati sull’evoluzione delle preferenze della clientela o della
domanda, informazioni sui prodotti e sulle iniziative della concorrenza e sui progetti di
legge e sui regolamenti in corso di elaborazione325.
La progettazione di un’architettura di sistemi informativi e l’acquisizione di tecnologia
sono aspetti importanti della strategia di un’azienda e la scelta della tecnologia da
adottare può essere cruciale per il conseguimento degli obiettivi. Le decisioni
riguardanti la scelta e l’implementazione della tecnologia dipendono da numerosi fattori
quali gli obiettivi aziendali, le esigenze espresse dal mercato ed i modi in cui si svolge
la concorrenza. Mentre i sistemi informativi sono fondamentali per un’efficace gestione
del rischio, le tecniche adottate per gestire il rischio possono essere utili nel
selezionare le giuste tecnologie.
I sistemi informativi sono spesse volte totalmente integrati con numerosi aspetti delle
operazioni. Queste applicazioni facilitano l’accesso all’informazione, prima intrappolata
negli archivi funzionali e dipartimentali, rendendola disponibile per un ampio e diffuso
uso da parte del management.
Per rendere efficace l’ERM, le aziende raccolgono e utilizzano dati attuali e storici. I
dati storici consentono di comparare la performance consuntivata con i target, i
programmi e le aspettative. Essi indicano i livelli di performance che si possono
325
168
raggiungere al variare delle condizioni, consentendo, così, al management di
identificare correlazioni e tendenze e fare previsioni sulla performance, i dati storici
possono, inoltre, allertare in anticipo il management su eventi potenziali che potrebbero
pregiudicare il raggiungimento degli obiettivi.
I dati attuali o correnti consentono a un’azienda di determinare se la sua attività si sta
svolgendo entro la tolleranza al rischio definitiva. Questi dati consentono, inoltre, al
management di ottenere in tempo reale la situazione dei rischi in essere a livello di
processo, di funzione o di unità e di rilevare scostamenti dagli obiettivi attesi.
Gli sviluppi dei sistemi informativi hanno accresciuto la capacità di molte organizzazioni
di misurare e monitorare la performance e di elaborare informazioni analitiche a livello
aziendale. La complessità e lì integrazione dei sistemi sono in continua evoluzione
specialmente nelle organizzazioni che utilizzano nuove tecnologie per tenersi al passo
con questa evoluzione. Tuttavia, il crescente affidamento sui sistemi informatici a livello
strategico e operativo comporta nuovi rischi che devono essere integrati nell’ERM.
L’infrastruttura del sistema informativo attinge e raccoglie i dati nei tempi e con il grado
di dettaglio coerente con le necessità dell’azienda di identificare, valutare e rispondere
al rischio e rimanere nei limiti della tolleranza al rischio. La tempestività del flusso
informativo deve essere coerente con il tasso di cambiamento dell’ambiente interno ed
esterno.
L’infrastruttura dei sistemi informativi trasforma i dati grezzi in informazioni specifiche
che aiutano il personale a gestire il rischio e ad adempiere ad altre responsabilità. Le
informazioni sono fornite nel modo e nei tempi tali da consentire l’azione ed essere
utilizzabili agevolmente e attribuibili a specifiche responsabilità.
I sistemi avanzati di raccolta, elaborazione e conservazione dei dati hanno provocato
una crescita esponenziale dei volumi di dati. Quando sono disponibili molti dati per più
persone in un’organizzazione, la sfida per il management è di evitare un sovraccarico
di informazioni assicurando che i flussi informativi recepiscano solo le informazioni
giuste, destinate alle persone giuste e disponibili nei tempi dovuti. Quando si sviluppa
un’infrastruttura informativa e conoscitiva, si devono determinare distintamente i
requisiti informativi per gli utenti sia persone sia dipartimenti e le informazioni
necessarie ai diversi livelli della struttura organizzativa.
169
Un’altra caratteristica importante che deve essere valutata da parte del management
aziendale è quella riferita alla qualità delle informazioni. L’affidabilità dei dati diviene
critica nelle aziende quando aumenta la loro dipendenza da sistemi informativi
sofisticati e dai dati derivanti da processi decisionali automatizzati. Dati errati possono
dar luogo a mancata identificazione dei rischi oppure a valutazioni inadeguate e
decisioni sbagliate.
Per valutare la qualità delle informazioni è necessario analizzare l’appropriatezza del
contenuto, la tempestività dell’informazione, l’attualità della stessa, l’accuratezza e
l’accessibilità.
Per ottenere dati di qualità, le aziende stabiliscono programmi di gestione dei dati
applicabili a tutta l’azienda, che comprendono l’acquisizione, la conservazione e la
diffusione delle informazioni rilevanti. Senza questi programmi, il sistema informativo
potrebbe non fornire le informazioni che il management e il personale necessitano.
Ottenere le informazioni giuste, nei tempi giusti e nei luoghi giusti, è essenziale per
l’efficacia dell’ERM.
4.4.5.1.
La comunicazione interna
La comunicazione specifica e diretta, proveniente dal management, ha una forte
influenza sui comportamenti del personale in special modo per quanto concerne le sue
aspettative e responsabilità. Questa comunicazione riguarda una chiara enunciazione
della filosofia della gestione del rischio e del relativo approccio e una chiara delega di
autorità, la comunicazione relativa ai processi ed alle procedure deve essere coerente
con la cultura che si desidera realizzare.
La comunicazione deve trasmettere efficacemente l’importanza e la rilevanza di
un’ERM efficace, gli obiettivi aziendali, il rischio accettabile e la tolleranza al rischio,
ruoli e responsabilità del personale nell’attivare e supportare i componenti dell’ERM.
E’ molto importante che i messaggi siano trasmessi in maniera chiara ed efficace.
Inoltre devono essere chiare le correlazioni presenti tra le diverse attività svolte dal
personale che formano i diversi processi aziendali. Questa conoscenza è essenziale
per identificare i problemi o per determinare le cause e le conseguenti azioni correttive.
170
Il personale che tratta direttamente le operazioni aziendali (personale operativo) e
affronta giornalmente problemi operativi importanti, è spesso nella migliore posizione
per rilevare i problemi nel momento in cui sorgono, e i canali di comunicazione
dovrebbero garantire che questo personale possa comunicare informazioni sui rischi
attraverso le unità organizzative, i processi, o funzioni.
Affinchè le informazioni siano comunicate, è fondamentale che l’azienda disponga di
canali di comunicazione accessibili a tutti e sia disponibile ad ascoltare ciò che ognuno
può aver da dire.
4.4.5.2.
La comunicazione esterna
Le comunicazioni sono appropriate non soltanto quando avvengono all’interno
dell’azienda, ma anche con l’esterno. Con canali di comunicazione aperti, i clienti ed i
fornitori possono fornire informazioni molto significative sul disegno o sulla qualità dei
prodotti e servizi, consentendo all’azienda di conoscere l’evoluzione della domanda e
delle preferenze della clientela. Per esempio, i clienti ed i fornitori quando contestano o
fanno domande sulle spedizioni, sulle ricezioni, sulla fatturazione o su altre attività,
spesso fanno emergere problemi operativi, ed eventuali frodi o altre prassi illecite, il
management deve essere pronto a riconoscere le conseguenze dei casi emersi,
indagare ed attivare i necessari provvedimenti correttivi, considerando l’impatto sui
bilanci e sul rispetto delle leggi e regolamenti come pure sugli obiettivi operativi.
Anche le comunicazioni con i soci, le autorità di vigilanza e terzi esterni costituiscono
informazioni rilevanti rispetto alle loro necessità, in modo che essi possano
rapidamente rendersi conto delle circostanze e dei rischi che l’azienda affronta.
Le comunicazioni possono assumere diverse forme: ad esempio vi possono essere
comunicazioni attuate via mail, con manuali, fogli esposti sul luogo di lavoro, ecc. .
Il modo in cui il management si comporta con il personale può costituire un potente
messaggio. Le azioni del management sono, a loro volta, influenzate dalla storia e
dalla cultura aziendale, e dai modi in cui i loro predecessori gestivano situazioni
analoghe.
171
4.4.6. Monitoraggio
Il management deve sempre determinare se l’ERM continua a funzionare
efficacemente nel tempo. Il monitoraggio può essere effettuato in due modi: con attività
continue o con valutazioni separate. Generalmente, l’ERM è strutturato per auto
monitorarsi in modo continuo. Quanto maggiore è l’estensione e l’efficacia del
monitoraggio continuo, tanto minore è la necessità di valutazioni separate. Spetta al
management giudicare la frequenza delle valutazioni separate necessarie per fornire
una ragionevole sicurezza sull’efficacia dell’ERM.
Il monitoraggio continuo è integrato nelle normali attività operative dell’azienda. Esso è
svolto in tempo reale, consentendo così di reagire dinamicamente ai cambiamenti delle
condizioni, ed è radicato nei processi aziendali. Di conseguenza, è più efficace del
monitoraggio svolto tramite valutazioni separate. Dato che queste ultime sono
effettuate a posteriori, le eventuali carenze sono spesso identificate più rapidamente
dal monitoraggio continuo, che permette inoltre di agire in maniera più rapida sui
processi implementati non in maniera corretta e di limitare gli effetti negativi.
Molte attività svolte in un’azienda servono a monitorare l’efficacia dell’ERM nel corso
delle normali attività operative.
Le attività di monitoraggio continuo sono generalmente svolte dai responsabili di linea o
responsabili di attività di supporto, che esaminano attentamente le implicazioni delle
informazioni ricevute. Analizzando le connessioni, le incoerenze e altre implicazioni
rilevanti, essi individuano problemi e anomalie che esaminano a fondo.
Alcuni esempi di monitoraggio continuo sono:
 I manager, esaminando i report utilizzati per la gestione corrente, possono
individuare inesattezze o anomalie rispetto ai risultati previsti. L’elaborazione
completa e tempestiva dei report e la soluzione di queste divergenze migliorano
l’efficacia del processo;
 Gli internal auditor e i revisori esterni e i consulenti forniscono regolarmente
raccomandazioni sul modo in cui i processi di gestione del rischio possono
essere migliorati. I revisori focalizzano la loro attenzione, in modo rilevante, sui
rischi chiave, sulla risposta relativa e sulla programmazione delle attività di
controllo. Le potenziali carenze vengono identificate e vengono identificate e
vengono di conseguenza raccomandati al management interventi correttivi
172
alternativi, spesso accompagnati dall’analisi costi-benefici, utile per selezionare
l’alternativa più vantaggiosa. Gli internal auditor o il personale che esercita
funzioni di verifica possono essere in particolar modo efficaci nel monitorare le
attività di un’azienda326.
Le valutazioni dell’ERM variano per ambito e frequenza, in funzione della significatività
dei rischi dell’importanza delle risposte al rischio e dei controlli conseguenti.
La valutazione dell’ERM è un processo a sé stante. Mentre gli approcci e le tecniche
variano, questo processo dovrebbe essere supportato da un certo rigore e da certi
principi fondamentali a esso inerenti.
Chi esegue una valutazione deve capire le singole attività svolte dall’azienda e ciascun
componente dell’ERM soggetto a valutazione. Chi valuta deve rilevare come il sistema
funziona effettivamente ed il modo in cui funziona da un punto di vista concettuale.
E’ disponibile un’estesa varietà di metodi e strumenti di valutazione come check-list,
questionari e diagrammi di flusso. Alcune aziende confrontano il loro processo di
gestione del rischio con quello di altre aziende.
La documentazione dell’ERM varia a seconda della dimensione dell’azienda, della
complessità della gestione e di altri fattori similari. Le grandi organizzazioni
generalmente dispongono di manuali delle politiche gestionali, di organigrammi formali,
di mansionari, di istruzioni operative, di diagrammi del sistema informativo e così via.
Le piccole aziende normalmente dispongono di minore documentazione. Molti aspetti
del loro processo di gestione del rischio aziendale sono informali e non documentati
anche se sono eseguiti regolarmente e sono molto efficaci. Queste attività possono
essere sottoposte a un controllo a campione (test) allo stesso modo delle attività
documentate.
Le carenze dell’ERM possono emergere da varie fonti, come le procedure di
monitoraggio continuo, le valutazioni separate e le segnalazioni effettuate da soggetti
esterni.
Una delle migliori fonti d’informazione sulle carenze del processo di gestione del rischio
aziendale è proprio lo stesso processo. L’attività di monitoraggio continuo di
un’azienda, comprese le attività manageriali e la supervisione giornaliera del
326
PricewaterhouseCoopers, Il controllo interno per l’attendibilità del financial reporting. Strumenti di
riferimento per il management, COSO Committee of Sponsoring Organizations of the Tradeway
Commission, Il sole 24 ore, Milano, 2008
173
personale, consentono di ottenere informazioni direttamente da coloro che sono
coinvolti nelle attività aziendali. Queste informazioni sono ottenute in tempo reale e
possono consentire rapide identificazioni delle carenze. Le valutazioni separate del
processo di gestione del rischio aziendale costituiscono un’altra fonte d’informazione
sulle problematiche inerenti a questo processo. Le valutazioni svolte dal management,
dagli internal auditor o da altre funzioni possono rilevare aree che richiedono
miglioramenti.
I terzi, quali i clienti, i fornitori, i revisori esterni, le autorità di vigilanza e altri che
intrattengono rapporti di affari con l’azienda, spesso forniscono importanti informazioni
sul funzionamento del processo di gestione del rischio aziendale.
Tutte le carenze rilevate nell’ERM in grado di incidere sulle capacità dell’azienda di
sviluppare e realizzare la sua strategia e di fissare e conseguire i suoi obiettivi
dovranno essere segnalate tramite relazioni a coloro che sono in grado di prendere i
necessari provvedimenti. Nel decidere che cosa comunicare, è necessario tenere
conto delle implicazioni delle problematiche emerse. E’ fondamentale non solo
segnalare una particolare operazione o evento, ma anche formulare proposte di
modifiche delle procedure potenzialmente inadeguate.
Fornire le necessarie informazioni sulle carenze dell’ERM ai soggetti giusti è cruciale.
Si devono stabilire protocolli per identificare quali informazioni sono necessarie a un
particolare livello della struttura organizzativa per rendere efficace il processo
decisionale.
Questi protocolli sono basati sul principio che un manager deve ricevere le informazioni
che gli sono necessarie sia per influire sulle azioni o sul comportamento delle persone
che operano sotto la sua responsabilità, sia per realizzare gli obiettivi specifici.
4.4.7. Limiti del controllo interno
Il sistema di controllo interno, per quanto ben progettato e gestito, può fornire ai
dirigenti e agli amministratori solo una ragionevole sicurezza sulla realizzazione degli
obiettivi aziendali. La probabilità di questa realizzazione risente dei limiti insiti in tutti i
sistemi di controllo interno.
Nel considerare i limiti del controllo interno si devono tenere presenti due concetti:
174
 Il controllo interno, anche se efficace, agisce a livelli diversi con riferimento ai
diversi obiettivi. Per quanto riguarda gli obiettivi di efficacia ed efficienza della
gestione operativa di un’azienda (realizzazione della sua missione, degli obiettivi
di redditività e simili) il controllo interno può aiutare il management nel venire a
conoscenza dei progressi più o meno realizzati. Non può invece fornire alcuna
sicurezza, anche se ragionevole, che gli obiettivi stessi saranno conseguiti;
 Il controllo interno non può fornire la sicurezza assoluta nei confronti di nessuna
delle tre categorie di obiettivi.
La prima serie di limitazioni dipende dal fatto che alcuni eventi sfuggono assolutamente
ad ogni potere di controllo del management (come già descritto nei paragrafi
precedenti). Quanto alla seconda, si identifica con l’assioma che nessun sistema potrà
mai fare tutto ciò per cui è stato predisposto. Il meglio che ci si può attendere da un
sistema di controllo interno è l’ottenimento di una ragionevole sicurezza327.
L’effetto congiunto di controlli mirati a una molteplicità di obiettivi e la natura
multifunzionale dei controlli riducono certamente il rischio che un’azienda possa
mancare i propri obiettivi. Inoltre le normali attività giornaliere e le responsabilità delle
persone operanti ai diversi livelli di un’organizzazione sono rivolte al raggiungimento
degli obiettivi aziendali.
Tuttavia, a causa di limiti intrinseci, non sussiste alcuna garanzia che non si produca
mai, per esempio, un evento incontrollabile, un errore, un’errata segnalazione. Anche
un valido sistema di controllo interno, insomma, può venire meno al suo compito. Una
sicurezza ragionevole non è mai assoluta. Ad esempio, qualora anche vi fossero
sistemi di controllo interno ben concepiti, potrebbe accadere che tali sistemi possano
essere oggetto di disfunzioni o debolezze. Il personale potrebbe interpretare male le
istruzioni, compiere errori di giudizio, sbagliare per distrazione o stanchezza. Inoltre il
personale incaricato di attività di controllo, potrebbe svolgere questo compito in
maniera non appropriata oppure modifiche al sistema potrebbero essere attuate prima
che il personale sia stato addestrato per reagire adeguatamente ai segnali di
malfunzionamento dei sistemi.
Un sistema di controllo interno risulta comunque tanto efficace quanto lo sono i
responsabili del suo funzionamento. Anche nelle aziende meglio controllate, con un
327
175
elevato grado di integrità e di sensibilizzazione al controllo, un manager può essere in
grado di derogare al controllo interno. Con il termine “deroga” si intende il mancato
rispetto delle politiche e delle procedure di controllo, per scopi illeciti, per trarne
personale vantaggio oppure per presentare migliori risultati di bilancio o dissimulare la
non conformità agli obblighi di legge. Un capo di divisione o di unità, oppure un
membro dell’alta direzione, può farlo per molte ragioni328. Le deroghe possono anche
consistere in dichiarazioni consapevolmente inesatte a banche, legali, revisori e
venditori e nella deliberata emissione di documenti falsificati come ordini di acquisto o
fatture di vendita.
La deroga non va confusa con gli interventi compiuti dal management per modificare a
fini leciti le politiche o le procedure prescritte. Questi interventi si rendono necessari per
gestire transazioni straordinarie e atipiche oppure eventi in relazione ai quali il normale
sistema di controllo è inadeguato.
Tutti i sistemi di controllo interno devono prevedere l’intervento eccezionale del
management, perché nessun sistema può essere impostato in modo da prevenire
qualunque situazione. Queste iniziative del management sono generalmente manifeste
e documentate o comunque portate a conoscenza del personale interessato, mentre le
deroghe non vengono pubblicizzate, nell’evidente intento di nasconderle.
Infine, atti di collusione tra due o più individui possono sfociare in deficienze di
controllo. Persone che agiscono di comune accordo per commettere e occultare un
atto soggetto a controllo possono spesso alterare dati contabili o altre informazioni in
modi non individuabili dal sistema di controllo. Si ha collusione, per esempio, tra un
dipendente addetto a un’importante funzione di controllo e un cliente, un fornitore o un
altro dipendente. Su livelli differenti, diversi responsabili di divisione o di settori di
vendita possono accordarsi nell’eludere i controlli, affinchè i risultati realizzati possano
apparire conformi agli obiettivi di budget o a quelli assegnati per le incentivazioni.
4.4.8. Rapporto costi-benefici
Le risorse sono sempre limitate. Le aziende devono pertanto tenere conto del rapporto
tra costi e benefici dei controlli che si vogliono attivare.
328
Per un maggiore approfondimento si rimanda al paragrafo 3.5. La frode
176
Nel decidere l’attivazione di un determinato controllo si dovrà pertanto considerare il
rischio di insuccesso e gli effetti potenziali, unitamente ai suoi costi di attuazione. Per
un’azienda industriale, per esempio, può non valere la pena di istituire un sofisticato
sistema di monitoraggio per le scorte di materie prime a basso costo, non deperibili e di
facile reperimento e stoccaggio.
L’analisi dei costi e benefici per l’attuazione dei controlli si effettua con diversi gradi di
precisione. In generale è più facile affrontare l’aspetto dei costi, che in molti casi si
possono quantificare con una certa precisione. Solitamente si tiene conto di tutti i costi
diretti, connessi alla costituzione del sistema di controllo, e dei costi indiretti
effettivamente misurabili. Alcune aziende tengono conto anche dei costi-opportunità
collegati all’impiego delle risorse.
In alcuni casi, però, la quantificazione dei costi può essere più difficile. Può essere
difficile quantificare il tempo e lo sforzo da dedicare a determinati fattori dell’ambiente
di controllo, come l’importanza attribuita dal management ai valori etici o la
competenza del personale, la valutazione dei rischi, la raccolta di informazioni esterne,
come le ricerche di mercato sull’evoluzione delle preferenze della clientela. La
valutazione dei benefici poi è ancora più soggettiva. L’utilità di efficaci programmi di
addestramento è senz’altro evidente, ma difficile da quantificare. Per stabilire i vantaggi
potenziali si possono comunque considerare alcuni fattori: la probabilità di insorgenza
di situazioni indesiderabili, le caratteristiche delle attività e i possibili effetti finanziari o
gestionali sull’azienda.
La complessità intrinseca alla determinazione costi-benefici aumenta per effetto
dell’integrazione dei controlli con la gestione aziendale. Quando i controlli sono
integrati, o sono incorporati nei processi aziendali e manageriali, è difficile isolarne sia i
costi che i benefici.
La determinazione del rapporto costi-benefici varia notevolmente anche in funzione
delle caratteristiche dell’azienda. Per esempio un sistema computerizzato che elabora
informazioni sulla frequenza degli ordini da parte dei singoli clienti, sull’importo unitario
degli ordini e sul numero degli articoli per ciascun ordine è di grande importanza in una
società di vendite per corrispondenza, ma non in una che, ad esempio, produce barche
a vela personalizzate.
Il problema è trovare il giusto equilibrio. Un controllo eccessivo è dispendioso e
controproducente.
177
4.5.
Il sistema di controllo nell’economia aziendale
Le componenti del sistema di controllo interno possono essere classificate in due
distinte categorie329:
 Le componenti di struttura, che riguardano un aspetto soggettivo;
 Le componenti di processo, che riguardano un aspetto oggettivo.
Tra le componenti di struttura sono considerate quelle riferibili al contesto
organizzativo, ovvero gli elementi che soltanto in via mediata costituiscono elementi del
sistema di controllo, in quanto si tratta di aspetti di natura organizzativa (come la
struttura organizzativa, lo stile di leadership) e di processi dell’impresa non
direttamente legati alle funzioni degli organi del controllo interno (come il controllo di
gestione e la gestione del personale), ovvero l’insieme delle condizioni ambientali
peculiari della singola organizzazione all’interno del quale si definisce e realizza il
sistema di controllo interno.
Rispetto al modello di Coso Report, tra le componenti di struttura sono stati considerati:
 L’ambiente di controllo;
 L’informazione e la comunicazione.
Tra le componenti di processo sono invece considerati quei processi direttamente posti
in essere o comunque dipendenti dalla responsabilità degli organi del controllo interno
e finalizzati a consentire al sistema di raggiungere e mantenere nel tempo l’efficacia.
Essi sono:
 La valutazione dei rischi;
 Le attività di controllo;
 Il monitoraggio.
Il risk and control governance si realizza attraverso l’interazione delle diverse
componenti che costituiscono il sistema di gestione dei rischi all’interno dei processi e
delle combinazioni di processo e/o delle funzioni in cui è articolata l’impresa. Un’altra
chiave di lettura potrebbe identificare delle unità organizzative con dei responsabili di
processo a livello interfunzionale come ad esempio il responsabile del ciclo attivo o del
329
F. Bava, Il controllo del sistema di controllo interno, Giuffrè editore, Milano, 2005
178
ciclo passivo che funzionalmente coinvolge la gestione degli approvvigionamenti,
l’amministrazione, finanza e controllo e la funzione commerciale330.
Il sistema di gestione e di controllo dei rischi deve essere consolidato a livello corporate
e deve essere in grado di rappresentare agli organi di direzione aziendale la situazione
complessiva del rischio residuo accettabile che l’impresa considera coerentemente con
il proprio piano strategico.
Un sistema di controllo interno ben implementato, come precedentemente evidenziato,
deve possedere un sistema di elementi interrelati ed interdipendenti tra loro.
L’eventuale debolezza di un componente si riflette inevitabilmente sull’affidabilità
complessiva del sistema, così come la positiva interazione tra gli elementi costitutivi
consente al sistema di controllo interno di rafforzarsi e raggiungere una maggiore
efficacia.
Il sistema di controllo interno delle imprese non può comunque garantire il
raggiungimento degli obiettivi aziendali, ma può soltanto porre le condizioni per
prevenire ad una ragionevole certezza del loro raggiungimento, non esistendo
strumenti e strategie in grado di garantire il successo aziendale.
Il termine “controllo” concerne l’attività ispettiva e di vigilanza oppure assume un valore
di guida e di governo dell’impresa secondo l’accezione di derivazione anglosassone.
Il sistema di controllo interno interessa entrambe le nozioni di controllo:
 Un controllo di tipo ispettivo, ad esempio l’attività di verifica senza preavviso
effettuata dagli internal auditor finalizzata ad evitare frodi;
 Il controllo come guida per il governo dell’impresa, ad esempio la verifica del
corretto impiego delle risorse finalizzata al raggiungimento degli obiettivi
aziendali.
Nel corso del tempo, il sistema di controllo interno ha assunto il significato più ampio
del termine, fino a costituire un elemento primario al fine di consentire una corretta
gestione aziendale volta al raggiungimento degli obiettivi di business.
Il termine “interno” invece è espressione della volontà decisionale dell’azienda, indica
un controllo che opera nel tessuto della struttura aziendale a tutela dei vincoli di
aderenza agli obiettivi interni, delle condizioni di regolarità formale e sostanziale.
330
179
La definizione di sistema di controllo interno mette quindi in risalto il carattere di
processo trasversale del sistema poiché, per essere efficace, deve coinvolgere tutti gli
organi e le funzioni aziendali. Al fine di conseguire i risultati programmati è quindi
necessario non soltanto perseguire e mantenere un’efficienza operativa, ma anche
un’efficienza definibile organizzativa, che consente la misurazione dei risultati della
gestione aziendale.
Gli organi del controllo interno influenzano la gestione attraverso la previsione di attività
di controllo all’interno dei processi operativi e la previsione di nuovi processi, come nel
caso dei processi di monitoraggio del corretto funzionamento del sistema di controllo
interno medesimo.
La funzione di controllo interno assume il ruolo proprio volto ad assistere il vertice
aziendale nel processo di risk and control governante attraverso il monitoraggio,
l’analisi, la valutazione e le raccomandazioni di miglioramento, nell’ambito di un flusso
informativo e di reporting strutturato. Come visto, il vertice aziendale, ed in particolare il
Consiglio di amministrazione, sono responsabili dell’implementazione di un sistema
efficace di controllo interno, che garantisca che i rischi nel loro insieme siano
adeguatamente gestiti. Il sistema di gestione dei rischi posto in essere nell’impresa
deve riferirsi a molteplici evidenze di conformità richieste da normative esterne o
disposizioni interne all’impresa. La funzione del controllo interno, svolgendo un’attività
di assurance indipendente ed obiettiva, consente di assistere il management a tutti i
livelli organizzativi dell’impresa fornendo raccomandazioni di miglioramento del
processo di gestione e controllo dei rischi. Attraverso la propria attività di assurance e
consulenza, l’internal auditing contribuisce alla gestione del rischio in diversi modi:
esso si adatta nel tempo e nelle modalità operative senza seguire uno schema
predefinito ma seguendo le finalità del piano strategico dell’impresa331.
Va comunque ricordato che prima di introdurre qualsiasi tipologia di controllo interno, si
deve procedere ad una valutazione dell’idoneità delle procedure esistenti a
fronteggiare il rischio dopo aver correttamente mappato tutti i processi a rischio ed aver
analizzato i rischi potenziali. Successivamente a tale fase è necessario valutare quelli
che sono i rischi residui e valutare l’efficienza di porre in essere delle procedure di
controllo efficaci332.
331
332
Guida interpretativa AIIA 2100-3, Ruolo dell’internal auditing nel processo di Risk management
Per un maggiore approfondimento si veda il paragrafo 4.4.8. Rapporto costi-benefici
180
4.5.1. L’evoluzione dell’ERM e del sistema di controllo interno negli Stati Uniti: il
Sarbanes-Oxley Act
A seguito dei noti scandali finanziari internazionali i diversi legislatori nazionali hanno
risposto con la rivisitazione delle norme sulla corporate governante al fine di rafforzare i
sistemi di controllo delle società e mettere in risalto gli specifici ambiti di responsabilità
del management nel caso di frodi.
Il primo paese a modificare la legislazione vigente e ad adattarla alle problematiche
attuali sono stati gli Stati Uniti d’America.
L’amministrazione americana nel 2002 ha emanato un provvedimento chiamato
Sarbanes Oxley Act che rafforza il sistema dei controlli interni ed esterni e richiede in
particolare agli amministratori di rinforzare il sistema di controllo interno dell’azienda e
ai revisori esterni una maggiore indipendenza.
Il Sarbanes-Oxley Act introduce un modello di Corporate Governance basato sulla
responsabilizzazione del management verso gli stakeholders ed in particolare
nell’ambito della comunicazione economico-finanziaria. Tale modello ha un impatto
rilevante sul sistema di controllo interno e sulla struttura organizzativa delle società:
infatti, attribuendo al management una responsabilità diretta sui dati economicofinanziari pubblicati e sulla capacità del sistema di controllo interno di garantire la
correttezza di tali dati, il Sarbanes Oxley Act ha comportato una riorganizzazione dei
sistemi di controllo interno ed una ridefinizione degli organi di governante.
La normativa si applica a tutte le società emittenti, statunitensi o straniere che:
 Abbiano emesso titoli quotati su un qualunque mercato regolamentato
statunitense;
 Anche se non quotate, abbiano un patrimonio superiore a 10 milioni di dollari e
numero di azionisti maggiore di cinquecento;
 Abbiano il fine di procedere ad una offerta pubblica di securities sul mercato
statunitense, evidenziata dal deposito di un registration statement.
Il Sarbanes-Oxley Act introduce diversi contenuti che rivoluzionano la legislazione
precedentemente adottata e ne restringono le maglie (esso è soprattutto rivolto a
garantire una maggiore tutela per gli azionisti):
181
 Costituzione di un nuovo comitato di controllo sulle attività delle società di
revisione, il PCAOB333, che ha i seguenti compiti:
 Registrazione delle società di revisione che operano presso società
quotate;
 Fissazione degli standard di revisione con apposito regolamento, ai fini di
garantire controllo qualità, etica ed indipendenza;
 Conduzione di ispezioni presso le società registrate;
 Eventuale applicazione di sanzioni alle società registrate;
 Elevazione degli standard professionali e di qualità della revisione;
 Introduzione di nuovi principi di revisione;
 Controllo sull’applicazione delle regole introdotte334.
 Maggiore indipendenza e qualità della revisione garantita agli investitori per via
degli obblighi di indipendenza richieste ai revisori335;
 Regolazione dell’attività di un organo di controllo interno, l’Audit Committee.
Esso ha il compito di adottare procedure idonee a ricevere e trattare ogni
denuncia o problematica di natura contabile rilevata dai dipendenti o dall’internal
auditing;
 L’introduzione di obblighi e responsabilità che sono state attribuite al CEO ed al
CFO e che possono dare luogo, in caso di violazione, a sanzioni penali rilevanti;
tali figure hanno l’obbligo di certificare l’informativa di bilancio e dei report. In
particolare essi devono certificare che:
 Hanno revisionato tutti i report;
 Non risulti loro che vi siano informazioni errati sui report tali da rendere il
documento fuorviante;
 Il sistema di controllo interno dell’impresa, del quale sono i diretti
responsabili, sia implementato correttamente e funzionante al fine di
produrre adeguate e corrette informazioni sulla società e le controllate;
333
Public Company Accounting Oversight Board
335
A titolo esemplificativo, non è possibile esercitare alcuna attività di consulenza nelle società in cui si
opera l’attività di revisione contabile
334
182
 Hanno comunicato ogni inefficienza ed inefficacia rilevata nel sistema di
controllo interno ai revisori esterni ed all’Audit Committee oltre che ogni
reato o violazione.
 Indicazione delle tutele da assumere nei confronti dei dipendenti che
collaborano o forniscono informazioni utili ad indagini rivolte ad accertare i reati
societari o contabili (es. frodi amministratori);
 Indicazione delle sanzioni penali per determinati reati societari e contabili336 e
delle disposizioni finalizzate a rendere più severe le sanzioni nei confronti di
coloro
che
commettono
reati
societari
o
contabili
o
ne
ostacolano
l’accertamento.
4.6.
Le principali figure preposte ai sottosistemi di controllo aziendale in Italia
L’attività di controllo è condizionata dal contesto giuridico normativo in cui opera
l’impresa; essa è collegata sia alle regole di corporate governante che alle altre norme
che impongono un obbligo di predisporre adeguate procedure di controllo volte a
prevenire il verificarsi di particolari eventi.
In Italia il sistema di controllo interno delle imprese è stato quindi significativamente
influenzato da interventi del legislatore. Le novità introdotte nell’ultimo decennio
riguardano:
 La legge 262 del 28 dicembre 2005 che ha istituito la figura del Dirigente
Preposto alla redazione dei documenti contabili e societari;
 Il
D.Lgs.
n.
231/2001
con
riferimento
alla
responsabilizzazione
dei
comportamenti posti in essere dai dipendenti delle imprese;
 Il D.Lgs. n. 58/1998, con l’introduzione della funzione dell’internal auditor (Legge
Draghi).
Ne deriva che le imprese hanno l’obbligo di rispondere a specifici adempimenti
garantendo la conformità (o compliance) dei comportamenti attuati alle specifiche
normative. I sottoparagrafi seguenti analizzano le più importanti novità introdotte da tali
336
Il primo reato contemplato è la distruzione, falsificazione od alterazione di documenti contabili (fonte
Sarbanes-Oxley Act)
183
leggi e le figure professionali che si sono formate nei contesti aziendali ai fini di
garantire una compliance con la normativa.
4.6.1. Il decreto legislativo n. 58/1998: l’introduzione della figura dell’internal auditor
Con l’introduzione della Legge Draghi, si è richiesta la figura dell’internal auditor per le
società quotate. L’internal auditor è definito come “colui che è preposto ai controlli
interni”337.
L’internal auditing è un organismo indipendente che svolge un’attività obiettiva di
assurance
e
consulenza,
finalizzata
a
migliorare
efficacia
ed
efficienza
dell’organizzazione. Esso assiste la società nel perseguimento dei propri obiettivi
tramite un approccio professionale sistematico, che genera valore aggiunto in quanto
finalizzato a migliorare i processi di controllo interno posti in essere dall’azienda dopo
averli valutati ed a gestire i rischi338.
L'attività di internal auditing è regolata a livello internazionale dagli standard di
riferimento dell’internal auditing, emanati dall'Institute of internal auditors (IIA): essi
indicano agli auditor il livello minimo di prestazioni accettabili o prestazioni attese
necessarie ad ottemperare alle responsabilità assegnate, di informare gli organi direttivi
delle aziende, management e organi di controllo interessati339.
Il responsabile dell’internal auditor viene anche spesso identificato nelle società
quotate come il preposto al sistema di controlli interni della società.
Il controllo che effettua l’internal auditing viene definito operativo, in quanto si sostanzia
nell’insieme delle verifiche finalizzate a proteggere l’azienda dal manifestarsi dei rischi
operativi, volto alla salvaguardia di efficacia ed efficienza. Il rischio operativo è il rischio
di perdite che risulta da inefficienze o inadeguatezze di processi, persone, sistemi o
eventi esterni340.
I controlli operativi consistono in attività quali:
 L’individuazione dei rischi legati ai processi operativi;
337
Fonte D.Lgs. n. 58/1998 art. n. 150
Traduzione italiana della definizione del Board of Directors dell’Institute of Internal auditor
339
Fonte sito Internet www.theiia.org
340
338
184
 Il controllo dell’efficacia delle attività di controllo implementate per gestire tali
rischi;
 Il monitoraggio della correttezza dello svolgimento dei processi aziendali.
L’internal auditor è una figura indipendente nel senso che tale ruolo deve essere
caratterizzato da neutralità.
I servizi di assurance menzionati in precedenza circa la definizione di quanto svolto
dall’internal auditor comprendono tutte le attività utili a migliorare la qualità delle
decisioni e la qualità dell’informazione. Essi possono quindi rendere accessibili nuove
informazioni, rendere tempestivamente disponibili quelle esistenti oppure migliorare
l’affidabilità o la rilevanza, ad esempio:
 Servizi di risk assessment, finalizzati ad assicurare che l’azienda abbia un
quadro completo dei propri rischi e sistemi adeguati per gestirli;
 Business performance measurement, volti a garantire la coerenza degli obiettivi
aziendali;
 Test sull’affidabilità dei sistemi informativi aziendali.
L’attività dell’internal audit, che concerne principalmente nella raccolta di evidenze, nel
campionamento statistico e in un approccio sistematico tipico della metodologia di
audit, non si limita alla sola valutazione dei rischi aziendali e della loro entità, ma
propone soluzioni atte a eliminare o ridurre criticità.
L’attività di monitoraggio dell’internal auditing mira a verificare il rispetto di regole e
direttive che l’azienda ha deciso di adottare e l’internal auditor agisce anche come
consulente interno, con l’obiettivo di prevenire i fenomeni mediante la verifica della
funzionalità dei meccanismi di controllo e di gestione dei rischi. Inoltre, la funzione di
internal audit deve anche vigilare sul rispetto e l’applicazione della normativa
proveniente dall’ambiente politico circostante alla società.
L’assegnazione di ulteriori compiti non direttamente connessi allo svolgimento di attività
di controllo deve essere valutata attentamente ed in ogni caso non si può trattare di
un’attività connessa allo svolgimento di attività operative. In caso contrario, si potrebbe
determinare la coincidenza tra soggetto controllore e soggetto controllato, in contrasto
con quanto previsto dai regolamenti Consob circa l’indipendenza di giudizio.
185
Sul piano organizzativo, la funzione dell’internal auditing è un organo di staff posto alle
dirette dipendenze del Vertice esecutivo aziendale, poiché deve operare a loro
supporto ed a tutto campo sul monitoraggio del sistema di controllo interno.
L’internal auditor deve procedere, come detto, alla valutazione ed all’adeguamento del
sistema di controllo interno posto in essere dalla società. Per fare ciò risulta necessario
suddividere il lavoro in diverse fasi che vanno dall’assessment all’analisi della
situazione, alla mappatura dei processi, alle azioni correttive da porre in essere al fine
di rendere la struttura adeguata ed infine al monitoraggio del funzionamento del
sistema posto in essere, intervenendo laddove siano evidenziate nuove carenze non
notate in precedenza.
Figura 4.9 -
Fasi operative tipiche dei progetti di valutazione ed adeguamento del
sistema di controllo interno contabile-amministrativo
Assessment
Analisi
Obiettivi
Definire il
perimetro di
intervento
(scoping) e,
sulla base di
questo,
programmare
le attività
(planning)
Attività
Mappatura dei processi
Azioni correttive
Monitoraggio
Verificare il
grado di
allineamento
della società
ai requisiti
previsti dal
sistema di
controllo
interno
(COSO)
Mappatura del financial
reporting process e degli
altri processi alimentati
Implementazione
delle azioni
correttive in
relazione alle
opportunità di
miglioramento
individuate
Verificare
l'effettiva
operatività del
sistema di
controllo
interno
Identificazione
di informativa
finanziaria, dei
processi
rilevanti e
della
normativa
Rilevazione
degli elementi
del sistema di
controllo
interno
Valutare adeguatezza del
sistema di controllo interno
in termini di processi, rischi
e controlli
Supporto
nell'implementazione Attività di test
di azioni correttive
Fonte: Documento di ricerca Assirevi
341
n. 102, con adattamenti
Nella fase di assessment l’articolazione delle attività è la seguente:
 Identificazione dei soggetti coinvolti e censimento della documentazione del
sistema amministrativo-contabile;
 Individuazione dei principali processi aziendali;
 Identificazione di atti e comunicazioni di carattere finanziario;
341
Associazione Italiana Revisori Contabili, un'associazione privata senza scopo di lucro fondata nel
1980 (fonte sito Internet www.assirevi.it)
186
 Predisposizione del catalogo dei processi relativo al sistema amministrativocontabile;
 Pianificazione di dettaglio delle attività e definizione dei protocolli di
comunicazione all’interno del team di lavoro e verso l’esterno.
Con la fase successiva (analisi) si entra nel merito di quelle che sono le effettive attività
poste in essere ed i processi che la società adotta al fine di monitorare i possibili rischi
e porre concretamente in essere le attività di controllo interno. Le attività che vengono
svolte in questa fase possono essere riassunte nelle seguenti:
 Predisposizione di una check-list di rilevazione sulla base della definizione degli
strumenti di rilevazione delle informazioni posta in essere nella fase di
assessment;
 Individuazione delle persone destinatarie della check-list ed invio della stessa;
 Descrizione dello stato attuale del sistema di controllo interno derivante dalle
informazioni estratte dalla check-list;
 Rilevazione del grado di allineamento del sistema di controllo interno in essere
rispetto agli obiettivi del controllo interno (definiti dal COSO Report ed analizzati
nei precedenti paragrafi).
Nella terza fase (quella inerente la mappatura dei processi) vengono invece
solitamente svolte le seguenti attività:
 Analisi delle procedure amministrative e contabili in essere e di quelle utilizzate
per l’emissione di informativa di carattere finanziario in generale;
 Individuazione ed analisi dei rischi dei controlli di processo e dei rischi che
possono comportare informativa errata per via di un sistema informativo non
implementato in maniera corretta;
 Svolgimento di un’analisi di scostamenti che evidenzi le maggiori differenze e
l’indicazione delle aree alle quali si riferiscono, per poter essere oggetto di un
successivo intervento. Questo consente di effettuare una riduzione degli
assorbimenti patrimoniali, per perdite inattese e di effettuare una misurazione e
gestione dei rischi operativi.
187
La quarta fase (quella inerente alle azioni correttive da porre in essere nel caso il
sistema di controllo interno abbia mostrato alcune carenze) richiede diverse attività che
si possono riassumere nelle seguenti:
 Definizione del piano di azione che deve essere utilizzato;
 Realizzazione delle azioni correttive previste dall’action plan;
 Predisposizione delle direttive e delle procedure interne alle quali la società od il
gruppo devono attenersi al fine di essere compliante alle disposizioni di legge.
L’ultima fase che deve essere posta in essere al fine di rendere efficace il sistema di
controllo interno riguarda il monitoraggio dello stesso, che viene posto in essere tramite
le seguenti attività:
 Predisposizione di un piano periodico di verifiche;
 Svolgimento delle verifiche previste dal piano;
 Analisi delle criticità emerse e sintesi degli ulteriori punti di miglioramento
individuati.
4.6.2. La legge n. 262 del 28 dicembre 2005: l’introduzione della figura del Dirigente
preposto
L’introduzione della figura del Dirigente preposto alla redazione dei documenti contabili
e societari ha allineato l’Italia alla prassi internazionale dove la figura del Chief
Financial Officier (CFO) era già presente all’interno delle società quotate.
La norma in oggetto ha contribuito ad avviare un processo di modifica nel sistema di
governance previsto all’interno delle imprese italiane, per via della modifica apportata
al ruolo del controllore del sistema di controllo interno (come spiegato nel precedente
paragrafo, l’internal auditor) e del gestore, responsabile a sua volta del proprio sistema
di controllo (Dirigente preposto).
Con l’introduzione di tale nuova figura il legislatore si propone di aumentare la
trasparenza informativa societaria e di rendere più efficace il sistema dei controlli interni
delle società. Il Dirigente preposto diventa quindi corresponsabile dell’informativa
economico-finanziaria emanata dalla società con il proprio Bilancio d’esercizio nei
confronti degli stakeholders: egli diventa l’affidatario della funzione di predisposizione
della redazione della documentazione contabile della società.
188
Le novità più importanti introdotte dalla norma sono le seguenti:
 Obbligo di previsione nello statuto della società dei requisiti di professionalità del
Dirigente preposto, nonché delle modalità di nomina;
 Obbligo di accompagnare gli atti e le comunicazioni della società diffuse sul
mercato con una dichiarazione scritta del Dirigente preposto che ne attesta la
corrispondenza alle risultanze contabili;
 Attribuzione al Dirigente preposto della responsabilità di predisporre adeguate
procedure amministrative e contabili per la formazione di ogni comunicazione di
carattere finanziario;
 Obbligo di attestazione, con apposita relazione allegata al Bilancio d’esercizio e
ad eventuali altre comunicazioni di carattere finanziario emesse verso l’esterno
(ad esempio Bilancio consolidato), dell’adeguatezza e dell’effettiva applicazione
delle procedure amministrative e contabili nel corso dell’esercizio e della loro
idoneità a fornire la rappresentazione veritiera e corretta della situazione
patrimoniale, economica e finanziaria dell’impresa e del gruppo. L’attestazione
deve essere emessa sulla base di un modello stabilito dalla Consob con
regolamento;
 Applicazione al Dirigente preposto delle disposizioni che regolano la
responsabilità degli amministratori342.
Il Dirigente preposto necessita di realizzare determinate procedure e processi che si
concretizzano quindi nelle seguenti attività:
 Individuazione di adeguati flussi procedurali, amministrativi e contabili;
 Accertamento della capacità del sistema di controllo interno (per tale attività è
necessaria la consulenza con l’internal auditor aziendale);
 Compliance alle norme di legge (in particolar modo alla legge sul Risparmio, che
contiene informazioni di carattere patrimoniale-economico-finanziario).
Il Dirigente preposto assume evidenza del proprio operato con una attestazione che è
parte integrante del bilancio. Tale attestazione è stata pubblicata nel 2007 dalla
Consob. Essa attesta che il Bilancio d’esercizio, l’eventuale Bilancio consolidato e
l’eventuale relazione semestrale rappresentano un quadro fedele di quanto
342
Fonte D.Lgs. n. 262 del 28 dicembre 2005
189
effettivamente avvenuto nel corso dell’esercizio ed attesta l’adeguatezza (sulla base
delle
caratteristiche
dell’impresa)
e
l’effettiva
applicazione
delle
procedure
amministrative e contabili per la formazione dell’informativa finanziaria di bilancio
emessa verso l’esterno. Essa attesta infine che l’informativa corrisponde alle risultanze
dei libri e delle scritture contabili e che sia redatta al fine di fornire una
rappresentazione veritiera e corretta della situazione patrimoniale, economica e
finanziaria dell’emittente e delle eventuali imprese incluse nel processo di
consolidamento. Viene firmata dal Dirigente preposto.
La formulazione dell’attestazione può alle volte includere anche la possibilità di
riportare eventuali osservazioni e commenti su aspetti rilevanti e/o problematiche
emerse nell’ambito delle verifiche svolte dal Dirigente preposto o dagli organi di
controllo per portare l’attenzione su quelle carenze che sono state individuate ed
informarne i terzi, lettori dell’informativa finanziaria.
4.6.2.1.
Il ruolo della funzione amministrazione, finanza e controllo
Le novità legislative, come visto, hanno quindi introdotto una maggiore responsabilità in
carico alla funzione amministrazione, finanza e controllo, il cui responsabile, il CFO,
deve gestire e guidare l’organizzazione delle performance attraverso il tipico ciclo
amministrativo, quali i processi di budgeting, forecasting e planning, deve definirne e
monitorarne le azioni correttive e partecipare alla definizione delle strategie e dei piani
di azione conseguenti oltre che identificare le metriche chiave necessarie per garantire
che l’azienda sia focalizzata sul raggiungimento dei suoi obiettivi strategici e
comunicare le informazioni critiche di performance343.
Il ruolo chiave della funzione amministrazione, finanza e controllo è quindi la
definizione della strategia, degli obiettivi e dei piani d’azione, che rendono il CFO
l’interlocutore ideale per avviare il processo di gestione integrata di performance e
compliance.
343
190
Figura 4.10 - Il sistema dei controlli
Consiglio di
amministrazione
Comitati di
vigilanza/audit
Collegio
sindacale
Alta direzione
Internal auditing
Flussi informativi
Risk management
Funzione di compliance
Livelli
Business lines
Service lines
Fonte: Elaborazione propria su P. Sassi, La funzione di compliance ed il raccordo con le altre funzioni
aziendali, 2007
La figura rappresenta la posizione della funzione di amministrazione, finanza e
controllo all’interno dell’impresa, e cioè una funzione alle dirette dipendenze degli
organi di governo e della direzione aziendale, coinvolta direttamente sulle linee di
business con una funzione di servizio integrata, per quanto riguarda la compliance e la
valutazione dei rischi, in un sistema di controllo coordinato nel suo complesso dalla
funzione di internal auditing.
uditing.
Tale impostazione riflette quanto può essere applicato per il CFO con la previsione di
un ruolo attivo nel predisporre un adeguato sistema di controllo interno volto a tutelare i
terzi sull’attendibilità delle informazioni.
Le principali relazioni,, funzionali alla misurazione delle performance ed alla compliance
integrate nel sistema dei controlli aziendali, possono essere344:
 La relazione con gli organi societari,
societari, cioè all’interno della struttura organizzativa
vi deve essere la definizione, nell’ambito
nell’ambito del disegno complessivo della
governance dell’azienda, del modello delle relazioni gerarchiche e funzionali tra
il CFO e tutti coloro che svolgono attività di controllo, siano essi organi sociali,
344
ANDAF, Il dirigente Preposto alla redazione dei documenti contabili e societari
societari, 2007
191
funzioni aziendali, ovvero altri enti interni ed esterni alla società, che a vario
titolo siano interessati a tale attività. Inoltre occorre che sia assicurato il
coordinamento per svolgere le diverse attività di controllo ed infine deve essere
garantito un sistematico e tempestivo flusso informativo tra i diversi soggetti
coinvolti. Per quanto attiene ai rapporti tra il CFO ed il Consiglio di
amministrazione è necessario prevedere un flusso informativo periodico non
superiore al trimestre345, al fine di esplicare:
 Le modalità con cui viene svolta l’attività di gestione e controllo del
processo di predisposizione dell’informativa finanziaria;
 Eventuali criticità emerse nel periodo;
 I piani eventualmente predisposti al fine di superare le criticità emerse;
 Le modalità di impiego delle risorse a disposizione;
 La relazione con le altre funzioni aziendali coinvolte nel processo di produzione
dei flussi informativi ed organizzativi, tipicamente con l’area dei sistemi
informativi aziendali (analizzata nel paragrafo 4.2. e nei sottoparagrafi
successivi), il controllo di gestione (esso viene monitorato dal controller, il quale
svolge i compiti di supportare il vertice nell’individuazione dei fattori critici di
successo e nella realizzazione della mappa strategica, nell’identificazione dei
parametri obiettivo di performance e di rischio, per ciascun fattore critico di
successo, e nella realizzazione pratica della balanced scorecard globale ed
integrata, di predisporre e diffondere le linee guida per l’intera struttura circa la
stesura della balanced scorecard dei differenti centri di responsabilità, dei piani
operativi e dei budget, di controllare l’andamento degli indicatori di performance
e degli indicatori di rischio dell’azienda e dei differenti centri di responsabilità,
analizzando le cause dei possibili scostamenti e proponendo interventi correttivi
ed aggiornamenti ed, infine, di produrre e diffondere il reporting globale
aziendale346) e l’organizzazione e lo sviluppo delle risorse umane. Per quanto
attiene ai rapporti tra la funzione amministrazione, finanza e controllo e la
funzione organizzazione o altre funzioni preposte all’emissione delle procedure,
si osserva che il ruolo svolta da tale funzione in materia di procedure interne non
345
Fonte art. 154 D. Lgs. N. 58/1998
346
192
sempre risulta univoco ed omogeneo nelle diverse realtà aziendali. In particolare
detta funzione può procedere alla redazione ed emissione delle procedure o
limitarsi a coordinarne la predisposizione. Appare pertanto evidente come la
funzione organizzazione o le altre funzioni aziendali che predispongono ed
emettono le procedure aziendali debbono coordinarsi con la funzione che
presidia gerarchicamente il personale dipendente per quel che riguarda la
predisposizione delle procedure amministrative e contabili o le procedure
operative che raccolgono, catalogano, controllano dati ed informazioni che
hanno impatto nel bilancio e nell’informativa economica, patrimoniale e
finanziaria. Viene quindi individuato nel CFO una responsabilità di carattere
organizzativo volta a prevedere un suo diretto coinvolgimento nel garantire un
adeguato governo delle attività operative e gestionali che abbiano poi riflessi
amministrativo-contabili;
 La relazione con gli organi del controllo e compliance, ovvero il raccordo che vi
deve essere tra il CFO e gli organi deputati a controllare i sotto-sistemi di
controllo governati dai singoli process owner al fine di rendere efficace il sistema
di controllo e di renderlo compliante alle norme che impattano sull’intera
impresa. In particolare si tratta di definire le relazioni con l’internal auditor e con
l’Organismo di vigilanza previsto dalla legge 231/2001.
Occorre considerare che gli investimenti sullo sviluppo del sistema di controllo interno,
indipendentemente dalle previsioni normative, devono avere come obiettivo modelli
organizzativi interni in una logica di compliance integrata, assicurando la conformità al
sistema normativo senza tuttavia trascurare gli obiettivi di performance. Infatti, solo le
imprese ben organizzate e capaci di creare valore saranno in grado di sopravvivere in
un mercato globale e competitivo. Vanno quindi ben determinate le relazioni che vi
sono tra i seguenti elementi:
 Gli strumenti di gestione, organizzazione e misurazione della performance delle
imprese sviluppati coerentemente con i modelli di business e di corporate
governance;
 I sistemi di controllo interno integrati nei processi di gestione e di
organizzazione;
 La compliance a disposizioni interne all’impresa ed alla normativa che
condiziona il soggetto giuridico.
193
Il risultato finale è un sistema di controllo coerente con il modello di corporate
governance che integra strumenti di misurazione della performance aziendale e la
compliance alle normative interne ed esterne.
4.6.2.2.
Il CFO come analista e consulente interno aziendale
Diverse ricerche mostrano che molti CFO variano il proprio ruolo da specialisti in
accounting a strategici consulenti di business347. In realtà però il CFO rimane sempre il
maggiore specialista all’interno dell’impresa in materia di accounting e con la
responsabilità, come visto, sulle procedure implementate al fine di gestire il rischio. Il
CFO però diventa sempre più un analista di numeri in prospettiva di sviluppo di
business futura, che può influenzare le scelte del board sulla base delle proprie
esperienze maturate nel business e delle sue conoscenze pregresse.
Il CFO ha bisogno di tracciare il giusto equilibrio tra controlli e decisioni che possano
essere di supporto al business, circondarsi di persone che abbiano grandi competenze
e capacità, capire come utilizzare nel modo più efficiente ed efficace possibile gli
strumenti tecnologici a disposizione ed essere un consulente sempre più importante
per quanto riguarda le decisioni di business da prendere.
Figura 4.11 - Il modello emergente per il ruolo finanziario
Funzione finanziaria poco centralizzata
Contabilità e controlli con centri di servizio condivisi
Decisioni con l'ausilio del proprio team
Best practice: improvement
Supporto
decisionale
Alto Analista e consulente
Problem solving
Business partner
Coinvolgimento in decisioni di business
Ruolo di supporto al proprio team
Performance inaccettabile
Amministrazione
Accounting e reporting
Compliance e controlli
Ruolo funzionale di back office
Basso
Controllo
Basso
Alto
Fonte: Adattamento su J. Hope, Reinventing the CFO. How financial managers can transform their roles
and add greater value, Harvard business school press, Boston Massachusetts, 2006
347
J. Hope, Reinventing the CFO. How financial managers can transform their roles and add greater
value, Harvard business school press, Boston Massachusetts, 2006
194
La figura rappresenta il giusto equilibrio che il CFO cerca di trovare nei modelli di
business emergenti.
Per circondarsi di persone che siano capaci e competenti, il CFO deve sottolineare le
caratteristiche da trovare fin da subito, in modo che con il recruitment le persone
vengano selezionate nella maniera corretta ed adatte al ruolo da occupare. Riguardo le
persone presenti nell’azienda, il CFO deve cercare di migliorare le capacità di
comunicazione presenti all’interno dell’impresa e le loro abilità di insegnamento e di
trasmissione di competenze ed informazioni importanti. La condivisione ed il lavoro in
team risultano quindi fondamentali ai fini di una costruzione di una buona
organizzazione e di ottenere buoni risultati rispetto agli obiettivi prefissati.
Inoltre il CFO deve assicurarsi che i manager finanziari dei quali si circonda per il
presidio dell’area finanza siano persone con elevate competenze non solo tecniche ma
anche derivanti da un elevato grado di esperienza che gli permetta di comprendere il
business dell’impresa nella maniera corretta. In questo modo il CFO è sicuro di
costruire un team di qualità elevata che può affrontare le problematiche e rendere
efficaci le procedure poste in essere all’interno dell’impresa.
Lo scopo del CFO è quindi quello di essere un membro di fiducia oltre che
indispensabile al fine dello sviluppo di un buon team di persone all’interno dell’impresa
con differenti e complementari skills. Questo non può essere comunque raggiunto
qualora all’interno dell’azienda non sia implementato un buon sistema di controlli
interni. Va inoltre ridotta la funzione centralizzata della finanza: risulta necessario
dotarsi di numerosi manager gestori di team operativi in diversi settori geografici
(quando vi sia una grande realtà aziendale). Il core group centrale risulta necessario
sono ai fini di operate in eccellenza, impostando e mantenendo elevati standard
qualitativi.
Il CFO deve comunque porre la massima attenzione in caso di outsourcing in modo da
non creare confusione (e quindi maggiori costi) nei processi.
E’ quindi di fondamentale importanza per la figura del CFO aziendale guardare dietro e
dentro ai numeri: essi risultano soltanto indicatori che mostrano, qualora letti ed
interpretati nella maniera corretta, la possibile presenza ad esempio di potenziali
passività emergenti che potrebbero impattare in maniera pesante sulle decisioni
strategiche.
195
4.6.2.3.
Il CFO come misuratore delle performance e regolatore delle funzioni del
management addetto alla funzione di gestione amministrativa-contabilefinanziaria
La figura del CFO tipicamente presiede sistemi di misurazione di performance
manageriale che coinvolgono piani strategici, obiettivi e risorse. Per riuscire a misurare
nella maniera più corretta i piani strategici di sviluppo di business aziendale, il CFO
deve cercare di vedere le performance contabili non nei termini dell’obiettivo di
raggiungere i target prefissati, ma in termini di miglioramento relativo laddove possibile
rispetto ai precedenti periodi contabili (es. esercizi precedenti). Il CFO deve quindi
cercare di immaginare la situazione con il senno di poi e disegnare le misure adatte a
prevenire i rischi che vi possono essere.
Il CFO deve ricordare che il raggiungimento degli obiettivi come unico parametro di
misurazione soffoca l’ambizione e l’innovazione delle persone che concentrerebbero la
totalità delle proprie energie verso un unico fine. Questo sicuramente non
permetterebbe alle persone di essere motivate verso il costante e continuo
miglioramento inteso in termini di innovazione.
Ridisegnare i processi è anche una modalità per modificare gli stessi qualora non siano
performanti. Nel fare ciò, la figura del CFO è molto importante e deve cercare di fornire
il proprio apporto sulla base dell’esperienza maturata nel business e nel settore.
All’interno dei processi sarebbe infatti auspicabile far divenire il processo check-aimplan-act un processo di utilizzo comune e condiviso all’interno dell’impresa. Per essere
efficace tale processo deve essere ben compreso dalle persone all’interno dell’azienda
oltre che deve essere implementato in maniera da essere utilizzato con continuità.
Figura 4.12 - Pianificazione: un processo continuo
Management
Cambiamento
Monitoraggio
Check
Aim
Frontline
team
Act
Plan 
Forecast
196
L’attività di check consta nel chiedersi da parte dell’impresa: dove sta operando
l’azienda in questo momento? Come sembra essere il futuro vicino? Quali sono le
capacità competitive?
L’attività di aim consta invece nello step successivo al primo, ed in particolare riguarda
lo scopo nel senso stretto della società, e quindi le modalità di definizione della parola
successo per l’impresa applicata alla realtà nella quale l’azienda opera. L’azienda deve
chiedersi se la strada che sta percorrendo la porterà a raggiungere quelli che sono gli
obiettivi di medio termine e se la strategia necessiti di essere modificata.
Il plan è il terzo step sul quale l’impresa necessita di focalizzarsi. L’impresa deve
cercare di capire quali azioni (qualora ce ne siano) essa necessita di prendere al fine di
migliorare le proprie performance, quali risorse risultano necessarie e quale impatto
avrebbero le eventuali azioni intraprese sulle performance.
Per act si intende invece il quarto ed ultimo step che necessita di considerazione da
parte della società. Essa deve cercare di capire come dovrebbe eseguire i piani previsti
e come gestire il business nel quale l’impresa stessa opera nel migliore dei modi.
L’impresa necessita inoltre di preparare un sistema di budget rolling, in maniera che lo
stesso si adegui e si aggiorni in base ai cambiamenti del business. Tale sistema di
budget deve essere implementato a favore dei middle managers locali e non di uno
staff centrale, il cui compito risulta più quello di cercare di rendere performanti le unità
locali ed organizzare il sistema al fine di essere compliance con la normativa e con gli
obiettivi di business oltre che essere performante. Inoltre tali budget devono essere
preparati in maniera da avere obiettivi perseguibili, e cioè devono essere focalizzati su
pochi key drivers piuttosto che su molti dettagli che potrebbero risultare difficili da
raggiungere.
La base di controlli deve essere impostata in maniera giornaliera o settimanale, in
modo da controllare con una certa frequenza l’evoluzione dell’impresa e riuscire ad
individuare quelli che si presentano come rischi di business per tempo, in modo da
poter agire su essi nel modo migliore e più tempestivo possibile. Il controllo, così come
la metodologia di misurazione della performance, deve essere implementata a livello
locale sui differenti team più che sulla singola persona, in modo da cercare di premiare
il lavoro di squadra che può portare a risultati più efficaci oltre che con una maggiore
efficienza.
197
4.6.2.4.
Il CFO come regolatore del rischio
Il ruolo del CFO è strettamente collegato a quello delle altre figure presenti all’interno
dell’organigramma aziendale che si occupano di gestire il rischio. Come si è già
ampiamente analizzato risulta infatti necessario un sistema di procedure che permetta
di attestare sulla compliance alla normativa interna ed esterna all’azienda. Il CFO
risulta infatti collegato in maniera stretta a funzioni quali ad esempio quella dell’internal
auditor: l’analisi, la valutazione, il monitoraggio e l’eventuale miglioramento dei processi
aziendali può infatti permettere all’impresa di evitare situazioni di rischio di emettere
una non corretta informativa a carattere economico-finanziario, che si verificherebbe
qualora le procedure fossero implementate in una maniera non corretta.
L’eventuale presenza di rischi non individuati potrebbe provocare molteplici danni:
maggiore inoltre è il tempo di risposta al rischio, maggiori sono gli impatti cui il rischio
porterebbe.
Figura 4.13 - I problemi di una risposta lenta
Primi segnali d’allarme
Opzioni di risposta
Tempo 0
Tempo 1
Impatto CE
Tempo 2
Tempo 3
Tempo 4
Al fine di gestire il rischio nella maniera più efficiente ed efficace possibile, il CFO deve
cercare di porre in essere i più elevati standard di etica all’interno dell’impresa, oltre
che un adeguato sistema di reporting e di comportamento da parte del personale
dipendente atto a prevenire situazioni quali quelle di frode. Al fine di porre in essere un
sistema di reporting adeguato è necessario, come già visto, provvedere ad
implementare un sistema di internal audit interno indipendente che riporti direttamente
al board.
Il CFO deve anche essere un personaggio diffidente di tutti quei target che sono troppo
aggressivi e che richiamano l’utilizzo di molti incentivi. Tali target possono prevedere il
raggiungimento di obiettivi elevati al fine di accontentare gli azionisti di riferimento e gli
stakeholders in generale dell’impresa, ma ciò è rischioso perché potrebbe portare
198
all’omissione di talune informazioni piuttosto che alla manipolazione di queste a fini
personali.
Il CFO deve quindi cercare di gestire tutti i rischi che possono intaccare
l’organizzazione nel suo complesso. Per fare ciò è necessario:
 Definire quelli che sono i rischi prioritari (quali ad esempio rischi che possono
portare la compagnia al fallimento qualora si verificassero o rischi che
potrebbero pesantemente danneggiarla);
 Stabilire una soglia di tolleranza al rischio;
 Stabilire le modalità di identificazione del rischio;
 Stabilire le modalità di mitigazione del rischio.
La fase di risk management nel suo complesso deve essere chiara al CFO, che deve
poterla integrare al processo di planning strategico dell’azienda, in modo da definire la
correlazione tra gli obiettivi di business specifici, correlati ai relativi rischi che possono
intaccare le sorti dell’azienda ed i loro relativi piani di risposta348.
4.6.3. L’Organismo di vigilanza introdotto dalla legge 231/2001
L’evoluzione del sistema di controllo interno delle imprese è stato influenzato in modo
significativo dal D.Lgs. n. 231/2001, in quanto finalizzato a ridurre il rischio di
commissione di reati da parte di soggetti che operano all’interno delle imprese. Esso ha
introdotto, per la prima volta nel nostro ordinamento, la responsabilità in sede penale
degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente
il fatto illecito. La norma sanziona particolari fattispecie di reati estendendo la
responsabilità all’impresa che per poter esimersi da detta responsabilità deve mettere
in atto un adeguato modello organizzativo di prevenzione349.
I reati elencati e trattati dalla norma sono molteplici:
 Reati contro la Pubblica amministrazione;
 Reati in tema di falsità di monete ed in valori bollati;
 Reati societari previsti dal Codice civile;
348
L. Brusa, Attuare e controllare la strategia aziendale. Mappa strategica e balanced scorecard, Giuffrè
editore, Milano, 2007
349
199
 Reati di terrorismo e di eversione dell’ordine demografico;
 Reati contro la personalità individuale;
 Abuso di mercato;
 Reati transnazionali;
 Reati di omicidio colposo e lesioni colpose gravissime, in violazione delle norme
antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro350;
 Reati di ricettazione, riciclaggio e impiego di denaro e beni di provenienza
illecita351.
La responsabilità amministrativa è autonoma, ma deriva comunque necessariamente
dalla condotta di un soggetto persona fisica. La responsabilità dell’ente è configurabile
nei casi in cui:
 Sia stato commesso un reato per il quale la norma prevede la responsabilità
dell’ente;
 Tale reato sia stato commesso nell’interesse o a vantaggio dell’ente.
Nell’ambito della corporate governance aziendale la norma assume un rilevante ruolo
in quanto viene introdotto un importante elemento: l’adozione da parte dell’azienda di
modelli di organizzazione, gestione e controllo esonera, sotto determinate condizioni,
dalla responsabilità e dalle relative sanzioni pecuniarie ed interdittive, e cioè dalla
responsabilità amministrativa.
Il decreto funge quindi da riparo nei confronti di eventuali sanzioni. L’impresa deve:
 Individuare tutte quelle attività che possono condurre alla commissione dei reati
tutelati dalla norma;
 Prevedere dei protocolli specifici finalizzati a programmare la formazione e
l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
 Individuare modalità di gestione delle risorse finanziarie idonee ad impedire la
commissione di tali reati;
 Individuare un organismo a cui affidare il compito di vigilare sul funzionamento e
l’osservanza del modello e di curarne l’aggiornamento;
350
351
Fonte legge n. 123/2007
Fonte legge n. 231/2007
200
 Prevedere obblighi di informazione nei confronti dell’organismo deputato a
vigilare sul funzionamento e l’osservanza del modello;
 Introdurre un sistema disciplinare interno idoneo a sanzionare il mancato
rispetto delle misure indicate nel modello.
L’adozione del modello di controllo interno atto a prevenire gli atti è facoltativo e non
imposto con carattere di obbligatorietà dalla legge. L’eventuale mancata adozione non
è soggetta ad alcuna sanzione, ma espone l’ente alla responsabilità per gli illeciti
realizzati da amministratori e dipendenti. Il sistema di controllo deve garantire la
ragionevole sicurezza della non possibilità di verificarsi dei reati previsti dalla norma. A
fatti avvenuti, il giudice può essere chiamato a giudicare l’efficacia del sistema di
controllo interno in essere. Il sistema di prevenzione viene giudicato accettabile quando
non può essere aggirato se non intenzionalmente.
L’idoneità del modello viene giudicata sulla base delle caratteristiche specifiche della
società. Come visto, infatti, definire il rischio accettabile è un’operazione preliminare,
ed esso è ritenuto accettabile quando i controlli aggiuntivi costano più della risorsa da
proteggere.
Il sistema di controllo interno preventivo deve essere quindi in grado di:
 escludere che un qualunque soggetto operante all’interno dell’ente possa
giustificare la propria condotta adducendo l’ignoranza delle direttive aziendali;
 evitare che, nella normalità dei casi, il reato possa essere causato dall’errore
umano (dovuto anche a negligenza) nella valutazione delle direttive aziendali.
Il modello deve fare in modo che un soggetto che intenda commettere il reato non
debba limitarsi a volerlo, ma per attuare il suo proposito deve essere necessario
aggirare fraudolentemente attraverso artifizi o raggiri le indicazioni dell’ente.
Una volta adottato il modello di controlli interni più idoneo alla realtà dell’impresa, essa
deve affidare il compito di vigilare sul funzionamento e l’osservanza del modello e di
curarne l’aggiornamento ad un organismo dell’ente dotato di autonomi poteri di
iniziativa e controllo352. L’affidamento di detti compiti a tale organismo ed il corretto ed
efficace svolgimento degli stessi sono presupposti indispensabili per l’esonero dalla
352
201
responsabilità. Inoltre l’organismo preposto alla vigilanza del modello deve anche
periodicamente valutare e verificare l’efficacia dello stesso.
All’Organismo di vigilanza possono essere conferiti differenti compiti che possono
essere classificati nel modo seguente:
 Vigilanza sull’effettività del modello, la verifica sulla coerenza tra comportamenti
concreti nella realtà e modello previsto sulla “carta”;
 Disamina in merito all’adeguatezza del modello, ossia alla sua reale capacità di
prevenire i comportamenti non voluti;
 Analisi circa il mantenimento nel tempo dei requisiti di solidità e funzionalità del
modello;
 Sviluppo del necessario aggiornamento del modello, nell’ipotesi in cui le analisi
operate rendano necessario effettuare correzioni ed adeguamenti.
Da un’analisi effettuata sulle principali società quotate di mercato, è emerso che in 19
casi sulle 234 società che hanno comunicato di aver adottato il modello, l’Organismo di
vigilanza si identifica con il Comitato di controllo interno, mentre in soli 3 casi esso si
identifica con la funzione di internal auditing353.
La scelta di investire il Comitato di controllo interno del ruolo di Organismo di vigilanza
deve essere attentamente valutata dall’azienda, dal momento che tale organo è
composto interamente da amministratori (seppure non esecutivi ed in maggioranza
indipendenti). Pertanto sussiste il rischio che con riferimento ad alcune decisioni si
vengano a concretizzare conflitti di interesse.
Per quanto riguarda invece la funzione di internal auditing, la società deve valutare se
la funzione è adeguatamente potenziata nella composizione (inserendo ad esempio
risorse con le necessarie competenze), se è opportunamente posizionata nella scala
gerarchica e se è dotata di risorse adeguate. In questo modo, l’Organismo di vigilanza
è completamente esterno ai fatti aziendali ed ha il solo scopo di valutazione ed
implementazione del sistema.
353
PricewaterhouseCoopers, Decreto legislativo 231/2001. Indagine nell’ambito delle società quotate,
sito internet www.pwc.com
202
5. Il caso aziendale: la società M354 Spa
5.1.
La società
Per riuscire a valutare nel modo corretto come un’azienda opera e qual è il miglior
sistema di controlli interni da implementare al fine di coprire i rischi è necessario sia per
l’azienda sia per la società di revisione contabile, determinare esattamente ambiente in
cui la società opera. Tale metodologia di approccio parte da lontano così come
richiesto dal COSO Report (si veda il capitolo 4 della presente trattazione)355. Per
comprendere la società è necessario impostare una market overview: il caso analizzato
dimostra in particolare come l’analisi dell’ambiente di controllo, una delle componenti
del COSO Report (si veda il capitolo 4 al riguardo) sia fondamentale per
l’implementazione di un adeguato sistema di controllo interno atto anche a prevenire
situazioni di frode.
5.1.1. Market overview
Il primo modo utile ai fini di una maggiore comprensione della società consiste
nell’analisi del competitive environment. In particolare per quanto riguarda la società M
Spa, il volume d'affari mondiale del settore occhialeria (occhiali da vista, da sole e lenti
a contatto) risulta pari a circa 7,5 miliardi di euro, di cui il 30% del mercato riguarda gli
occhiali da sole e il restante 70% riguarda la vista. La produzione italiana nel 2006 è
risultata pari a 2,5 €/Mld con un incremento del 17,4% rispetto al 2005.
Figura 5.1 -
Mercato settore occhialeria
Fonte: PricewaterhouseCoopers, 2007
354
Il caso M Spa è un caso reale, il cui nome reale della società non può però essere nominato per
mancanza di autorizzazione
355
Fonte ISA 315
203
I principali Paesi concorrenti sono: Cina [30%], USA [7%], Francia [6%] e Germania
[5%].
A fronte di un mercato mondiale stimato sui 9 miliardi di euro, l’Italia ne rappresenta
oltre il 27%. Nella fascia alta e di lusso del mercato poi, considerando che le griffe
concesse in licenza sono circa 300 e l’Italia ne produce oltre il 50% (154), la
produzione italiana copre quella mondiale per una cifra stimata intorno al 70-75%356.
I principali competitors aziendali sono diverse aziende, ed in particolare L, D, A, S, B.
Sulla base delle stime elaborate internamente M ritiene di avere una quota del mercato
mondiale del segmento Fashion&Luxury pari al 5% circa, tale quota scende al 1,7%
considerando anche i segmenti Casual&Trend.
5.1.1.1.
Regulatory environment
Il gruppo è soggetto alle diverse normative applicabili nei paesi nei quali esso opera in
tema di tutela sanitaria, ambientale e di sicurezza, nonché in tema di tutela dei diritti di
privativa industriale e di origine delle merci.
Storicamente, la necessità di conformarsi a tali esigenze non ha avuto effetti rilevanti
sull’attività del gruppo.
Il Gruppo M realizza e/o commercializza col proprio nome prodotti disciplinati dalle
disposizioni delle seguenti Direttive comunitarie:
Direttiva Europea 89/686/CEE Dispositivi di protezione individuale (DPI) per occhiali da sole, maschere
da sci, caschi da ciclo e caschi da sci
Direttiva Europea 93/42/CEE
Dispositivi medici per le montature da vista
Direttiva Europea 94/27/CE
Contenuto e rilascio di nickel consentiti negli oggetti a continuo e
prolungato contatto con la pelle (es. occhiali da sole e montature da
vista)
Direttiva Europea 1999/44/CE Aspetti della vendita e delle garanzie dei beni di consumo per tutti i
prodotti M
Direttiva Europea 2001/95/CE Sicurezza generale dei prodotti
Ciascuna di queste direttive trova poi applicazione, per i singoli prodotti, in specifici
standard promulgati dal CEN (Comitato Europeo di Normazione) su mandato della
Commissione Europea.
356
Fonte sito Internet www.anfao.it
204
Solamente per la produzione delle montature da vista è necessaria, ed è stata fatta,
l’iscrizione presso il Ministero della Salute italiano di M in qualità di fabbricante di
questo particolare tipo di dispositivi medici.
Oltre a stabilire i requisiti minimi dei prodotti, le stesse direttive prevedono che il
produttore attivi un sistema di sorveglianza post vendita del mercato per evidenziare
quanto prima anomalie che a seconda della loro gravità devono o meno essere
comunicate anche all’Autorità Pubblica. M ottempera a quest'obbligo principalmente
attraverso i rapporti con l’Ente certificatore e la funzione rappresentata dalle Linee
Verdi.
Il rischio di non compliance delle leggi suindicate è giudicato complessivamente come
medio/basso, in virtù:
 Della conoscenza storica del cliente;
 Della conoscenza del settore;
 Del fatto che talune normative (protezione ambientale, leggi che regolano i
produttori) sono di fatto inapplicabili nel caso specifico o non applicabili in
assenza di operazioni di concentrazione (antitrust).
Altre norme specifiche:
 Compliance con normativa tributaria: è necessario accertare che le stime
prodotte in relazione al carico d'imposte dirette - qualora significativamente
influenzate da particolari tematiche che necessitano di interpretazioni - siano
state svolte in accordo con la normativa vigente;
 Compliance con normativa giuslavoristica (sicurezza sul posto di lavoro, parità di
trattamento sul posto di lavoro): si svolgono inquiries con il personale dirigente
dell'Ufficio Human Resources di M Spa, con particolare riferimento alle posizioni
aperte di contenzioso con dipendenti/dirigenti, nell'ambito dell'analisi del fondo
rischi ed oneri del personale;
 Compliance con normativa di settore: oltre ad indagare presso l'Ufficio Servizi
Affari Legali interno di M Spa circa eventuali sanzioni comminate dalle Autorità
Amministrative (p.es. norme comunali, etc.) nell'ambito dell'analisi del fondo
rischi ed oneri, si svolgono inquiries con la Direzione Operation circa eventuali
rischi potenziali rivenienti dall'attività metalmeccanica dell'azienda.
205
In ottemperanza alle raccomandazioni di cui all'art. 10 del Codice di Autodisciplina di
Borsa Italiana elaborata dal Comitato per la Corporate Governance nel marzo 2006, il
CdA di M Spa ha nominato un Comitato audit (compliance rispetto alle richieste inerenti
la corporate governance). Tale comitato che ha funzioni consultive e propositive nei
confronti del CdA si occupa di analizzare le problematiche e istruire le pratiche rilevanti
per il controllo delle attività aziendali. In particolare come previsto dal citato art. 10,
detto comitato deve:
 Assistere il CdA nel definire le linee di indirizzo del sistema di controllo interno e
verificarne
periodicamente
l'adeguatezza
e
l'effettivo
funzionamento,
assicurandosi che i principali rischi aziendali siano identificati e gestiti in modo
adeguato;
 Valutare il piano di lavoro preparato dai preposti al controllo interno e ricevere le
relazioni periodiche degli stessi;
 Valutare unitamente ai responsabili amministrativi di M e ai revisori,
l'adeguatezza dei principi contabili utilizzati e la loro omogeneità rispetto a quelli
utilizzati dalle società controllate ai fini della redazione del bilancio consolidato;
 Valutare le proposte formulate dalla società di revisione per ottenere
l'affidamento del relativo incarico e verificarne l'operato;
 Valutare il piano di lavoro predisposto per la revisione e i risultati esposti nella
relazione e nella lettera di suggerimenti;
 Riferire
al
CdA,
almeno
semestralmente
e
comunque
in
occasione
dell'approvazione del progetto di bilancio e della relazione semestrale,
sull'attività svolta e sull'adeguatezza del sistema di controllo interno;
 Svolgere gli ulteriori compiti che sono a esso attribuiti dal CdA.
In linea con l'art. 10, il comitato per il controllo interno è composto da 3 amministratori
non esecutivi indipendenti, che eleggono al loro interno un presidente. Alle adunanze
del comitato partecipano il presidente del Collegio sindacale o altro sindaco da questi
designato. Possono altresì partecipare il presidente del CdA e l'AD, altri membri del
Collegio sindacale, il preposto al controllo interno, il direttore finanziario, il direttore
amministrativo, rappresentanti della società di revisione e ogni altra persona di cui il
comitato ritenga opportuna la presenza in relazione alla materia da trattare. Per
l'espletamento dei suoi compiti il comitato per il controllo interno può avvalersi sia di
206
dipendenti di M sia di professionisti esterni, purchè adeguatamente vincolati alla
necessaria riservatezza.
Il Comitato Audit di M Spa è composto da tre amministratori indipendenti.
Essendo M Spa una società per azioni quotata in un mercato regolamentato gestito da
Borsa Italiana, lo statuto di M Spa vigente è conforme alla normativa vigente (TUF e
Regolamento Emittenti). La società ha provveduto con assemblea ad adeguare il
proprio Statuto alle disposizioni della legge 28 dicembre 2005 n. 262 (cd Legge sulla
Tutela del Risparmio) così come modificata dal D. Lgs. n. 303 del 29 dicembre 2006.
Le modifiche al Nuovo Statuto rispetto allo statuto vigente di M sono introdotte proprio
per uniformare le disposizioni statutarie di M alle novità introdotte dalla Legge sul
Risparmio, in modo da rendere il Nuovo Statuto pienamente conforme alla normativa
applicabile alle società quotate. Fra i cambiamenti più significativi apportati al Nuovo
Statuto in adempimento delle disposizioni della Legge sul Risparmio si segnalano:
 L'introduzione di un meccanismo di voto per lista per la nomina dei membri del
CdA volto a permettere alla minoranza di nominare un consigliere;
 La possibilità di convocare il CdA a richiesta anche di un solo membro del
Collegio sindacale;
 La presidenza del Collegio sindacale riservata al sindaco nominato dalla
minoranza;
 Le modalità di nomina del dirigente preposto alla redazione dei documenti
contabili societari.
Con riferimento all'osservanza da parte di M Spa alle norme vigenti in materia di
governo societario, si segnala inoltre che il CdA di tale società:
 Ha approvato un Regolamento Internal Dealing. Tale regolamento recepisce e
dà applicazione a quanto previsto dall'art. 114 comma 7 del TUF e dagli articoli
152-sexies e seguenti del Regolamento Emittenti, al fine di assicurare una
corretta ed adeguata trasparenza informativa nei confronti del mercato in merito
a operazioni effettuate da soggetti interni all'Emittente su titoli della Società;
 Ha approvato un Regolamento interno disciplinante il trattamento delle
informazioni riservate, la cui divulgazione, attraverso comunicati stampa redatti
207
secondo gli schemi di comunicato price-sensitive emanati da Borsa Italiana Spa,
avviene secondo la seguente procedura:
 Il comunicato stampa è approvato dai Responsabili, in loro assenza dal
Direttore Generale della società se è nominato;
 Il comunicato stampa è diffuso dall'Investor Relations Officer mediante
comunicazione alla Consob ed alla Borsa Italiana tramite il sistema NIS
(Network Information System) che provvede automaticamente ad inviare
il comunicato alle agenzie di stampa;
 L'Investor Relations Officer verifica lo stato di diffusione del comunicato
da parte di Borsa Italiana Spa;
 L'Investor Relations Officer provvede a far pubblicare tempestivamente il
comunicato sul sito internet della società;
 L'Investor Relations Officer cura la comunicazione agli investitori
istituzionali e alla comunità finanziaria.
Con riferimento alle disposizioni del D. Lgs. 8 giugno 2001 n. 231 disciplinante la
responsabilità amministrativa delle persone giuridiche, si segnala che la società è
inoltre dotata di un modello di organizzazione, gestione e controllo predisposto ai sensi
della legge 231/2001. ll modello organizzativo è oggetto di periodica revisione in
conseguenza dell'esperienza applicativa e degli aggiornamenti successivi alla prima
definizione dell'impianto del D.Lgs. n. 231/2001, nonchè delle estensioni normative
dello stesso ad ulteriori fattispecie. Vigila sul funzionamento e sull'osservanza del
modello un apposito Organismo di Vigilanza, composto da due amministratori
indipendenti (uno dei quali membro del Comitato per il Controllo Interno) e dall'internal
auditor.
Tale composizione assicura la contestuale presenza nell'Organismo di Vigilanza delle
diverse competenze professionali che concorrono al controllo della gestione sociale.
L'OdV riferisce al CdA, al CCI e per la corporate governance e al Collegio sindacale in
ordine alle attività di verifica compiute e al loro esito.
Il Modello, essendo allineato ai principi espressi nei documenti emanati da
Confindustria in materia (cd. Linee Guida) è da considerare quale strumento adeguato
al raggiungimento degli obiettivi fissati dalla normativa in argomento.
208
Infine, con riferimento alle operazioni con parti correlate, la società è dotata di un
regolamento interno che assicura la trasparenza e la correttezza sostanziale e
procedurale delle operazioni con parti correlate. Esso si conforma sostanzialmente alle
raccomandazioni in tema di operazioni con parti correlate stabilite dal Codice di
Autodisciplina di cui all'art. 9.
M ha aderito al Nuovo Codice di Autodisciplina, adottando i provvedimenti volti ad
adattare la propria governance alle nuove o mutate raccomandazioni di cui al nuovo
quali ad esempio quelle relative alla composizione del Comitato per le remunerazioni e
all'ampliamento dei compiti del Comitato audit, e ai termini per il previo deposito delle
liste dei candidati alle cariche sociali.
5.1.1.2.
Macroeconomic environment
La produzione dell’occhialeria italiana (circa 1.100 aziende per un totale di 18.000
occupati), è stata di 2.495 milioni di euro, con un incremento del 17,4% rispetto al
precedente esercizio.
A fronte di un mercato mondiale stimato sui 9.000 milioni di euro, l’Italia ne rappresenta
oltre il 27%. Nella fascia alta e di lusso del mercato poi, considerando che le griffe
concesse in licenza sono circa 300 e l’Italia ne produce oltre il 50%, la produzione
italiana copre quella mondiale per una cifra stimata intorno al 70-75%. Il buon momento
dell’occhialeria italiana è testimoniato anche dai dati sull’occupazione che, dopo molti
anni, è tornata a crescere (+6,5%), seppur non ancora in maniera strutturale.
A beneficiare di queste performance sono state in primo luogo le aziende leader del
settore, ma anche le medie aziende e le piccole che hanno saputo rinnovarsi e puntare
sulla qualità del prodotto italiano, sebbene sia innegabile la difficoltà di alcune a
sopravvivere in un universo globalizzato.
La bilancia commerciale italiana del settore occhialeria chiude il 2006 con un risultato
positivo (circa 1.414 milioni di euro in attivo il saldo export-import). Le esportazioni, di
montature, occhiali da sole e lenti sono cresciute del 18,2% rispetto al 2005 e ben del
34,8% se rapportate al 2004. Significativo, a confermare la vivacità del mercato, anche
l’aumento delle importazioni a +34,3% sul 2005, superando quota 657 milioni di euro.
Le esportazioni si sono attestate a oltre 2.070 milioni di euro, 320 milioni di euro in più
rispetto al 2005. Per quanto riguarda gli occhiali da sole, l’export nel 2006 è cresciuto
209
del 23% rispetto al 2005, attestandosi a quasi 1.354 milioni di euro. L’export delle
montature fa segnare una crescita più contenuta, ma oltremodo significativa (+10,5%)
chiudendo l’anno a oltre 675 milioni di euro.
Le importazioni italiane di occhiali da sole e montature, nel 2006, sono state per il
70,3% provenienti dall’area asiatica, quasi totalmente Asia Orientale (69,9%) e in
aumento del 45,9% rispetto al 2005, mentre quelle provenienti dall’Europa hanno
rappresentato il 27,4%, anch’esso in aumento del 23,7% rispetto al 2005.
Europa e America si confermano i principali mercati per le esportazioni italiane
Area di riferimento per le nostre esportazioni nel 2006 si conferma l’Europa, con una
quota del 49,1% (39,9% in riferimento alla UE-15, 42,3% per la UE-25) e una crescita
del 18,9% rispetto al 2005.
La quota dell’export destinata al mercato americano si è attestata al 32,2% e le
esportazioni sono cresciute del 17,7% rispetto al 2005. Da segnalare la performance
dell’export in Centro e Sud America, dove si è registrato un +41,5% per un’area che
pesa per oltre 4 punti percentuali rispetto all’export italiano di occhiali da sole e
montature.
Nell’area asiatica, dove si è diretto il 13,9% dell’export totale del settore
montature/occhiali da sole, si è registrata una crescita del 25,9% rispetto al 2005.
Negli Stati Uniti (primo mercato di riferimento con una quota di oltre il 27%) l’export
complessivo del sole-vista ha fatto segnare un +13,2% rispetto al 2005, con gli occhiali
da sole in grande spolvero (+20%) rispetto alle montature (+0,4%).
A livello di esportazioni mondiali del settore (circa 7.600 milioni di euro) l’Italia è al
primo posto, con una quota di mercato che supera il 27,3% in termini di valore e al
terzo posto in termini di volumi, dove Cina e Hong Kong sono leader indiscussi. Riferita
agli occhiali da sole, la quota di mercato dell’export italiano in valore sale al 48,6%, per
le montature si attesta al 26,7%. Dietro l’Italia Cina e Hong Kong, che, nonostante
volumi molto maggiori, non intaccano i primati italiani.
Nel 2006 il mercato interno si è attestato a una quota di oltre 1.081 milioni di euro, in
aumento del 25,2% rispetto al 2005.
In riferimento al sell-in dei diversi comparti, nei punti vendita sono entrate oltre 17
milioni di lenti oftalmiche (+4,5% rispetto al 2005), per un valore complessivo di 272
210
milioni e 64 mila euro (+5,5% rispetto al 2005). Da segnalare, nel comparto, la crescita
vicina al 10% delle lenti progressive, tipologia che ha raggiunto nel 2006 una quota di
mercato del 12,6%, lontana dalle medie europee (circa 20%), ma sulla quale stanno
puntando molto sia le aziende produttrici che la distribuzione.
Per quanto riguarda le montature da vista e gli occhiali da sole, il sell-in nel 2006 si è
suddiviso in quote di mercato del 40% e 60% rispettivamente. Complessivamente
hanno raggiunto la distribuzione interna oltre 17 milioni e 68 mila paia di occhiali, in
particolare 6 milioni e 688 mila montature da vista e 10 milioni e 380 mila paia di
occhiali da sole, il tutto per un valore di 794 milioni e 939 mila euro.
Circa l’80% del mercato mondiale è fatto da occhiali da vista e lenti, con una crescita
pari a 1,1 % in media l'anno, mentre il restante 20% è fatto dagli occhiali da sole, con
una crescita in volume annua pari al 3%. I mercati strategici sono l'Europa e gli USA.
La Cina rientra nei mercati di consumo emergenti e la domanda da parte del
consumatore finale in tale mercato è prevista in forte crescita.
Il mercato è formato principalmente da luxury brands357.
Sulla base degli elementi a disposizione, vengono identificati i seguenti rischi chiave:
 Il settore ha concesso, nel passato, termini di pagamento molto dilazionati, in
particolare nel mercato italiano. Questo ha comportato una crescita costante del
capitale circolante netto accompagnata da situazioni di scaduto a volte pesanti.
Tale situazione ha indotto i principali players ha rivedere le proprie politiche di
credito;
 Le difficoltà nelle vendite hanno comportato situazioni di performance
economiche negative per le società estere controllate. Questo comporta il rischio
di svalutazione delle stesse società (impairment test);
 Il Gruppo deve gestire il fenomeno dell'obsolescenza commerciale delle merci a
rimanenza, principalmente indotto dal fenomeno della moda, e valutare
compiutamente il valore di realizzo di tali assets.
Tali rischi possono portare ad errori di tipo significativo, ed in particolare il loro impatto
potrebbe condizionare le seguenti valutazioni:
 Capitale circolante netto - in particolare la voce Crediti commerciali;
357
Fonte sito Internet www.anfao.it
211
 Posizione Finanziaria Netta;
 Valutazione partecipazioni;
 Valutazione magazzino.
Con riferimento all’ambito trattato, non viene individuata nessuna particolare
propensione alla frode a livello di settore.
5.1.2. Strategy
Con riferimento all’ambito strategico adottato dalla società, i fatti più importanti
relativamente al 2006 sono stati:
 Aumento di capitale conclusosi con l’integrale sottoscrizione delle
azioni
ordinarie (del valore nominale di Euro 0,26 ciascuna) oggetto dell’offerta in
opzione;
 A seguito di analisi approfondite è stato deciso di riorganizzare profondamente
la partecipata C; di conseguenza le relative attività e passività,destinate ad
essere cedute o dismesse, al 31/12/06 sono state iscritte e distintamente
evidenziate nello stato patrimoniale del bilancio tra quelle possedute per la
vendita secondo quanto disposto dai principi contabili;
 E’ stata costituita nel corso del mese di dicembre 2006 la nuova società M
Japan Co. Ltd., partecipata per il 40% da M Spa e per il 60% dalla società
giapponese O. L’apertura di tale filiale consentirà, nel medio periodo, al Gruppo
M di rafforzare la propria presenza in Giappone, uno dei più importanti mercati
mondiali per i beni di lusso.
Gli obiettivi futuri della società sono così sintetizzabili:
 Ricerca di nuove licenze e sviluppo di quelle in portafoglio;
 Sviluppo dimensionale e qualitativo della struttura distributiva, per supportare gli
obiettivi di crescita con particolare attenzione al mercato americano e Far East;
 Rafforzamento del know-how di ideazione e sviluppo del prodotto, risorsa
distintiva dell'azienda;
 Potenziamento della struttura produttiva in Italia per sostenere la crescita del
volume del prodotto "Made in Italy";
212
 Adeguamento delle strutture (marketing services) al fine di supportare la crescita
dei fatturati e di offrire un livello di servizio eccellente;
 Miglioramento complessivo dei margini, attraverso il contenimento nel medio
periodo del costo di produzione, l'innovazione del prodotto e miglioramento
dell'efficienza.
L’organigramma organizzativo aziendale evidenzia che tutti i membri del management
sono in azienda da diversi anni ed hanno pertanto acquisito un alto livello di
competenza. La remunerazione dipende in parte dai risultati ottenuti dall'azienda.
I rischi chiavi identificati riguardano il fatto che La società è quotata dal 1999. La
compagine azionaria vede un patto parasociale di voto e di blocco pari al 76,18% del
capitale sociale suddivise in maniera paritetica principalmente da due Gruppi di Soci.
Va sottolineato tuttavia che la società si avvale di una serie di organismi (Comitato di
controllo interno - Collegio sindacale) che vigilano sul rispetto della corporate
governance e che il CDA è composto anche da amministratori indipendenti il rischio
individuato è considerato limitato.
Con riferimento a questo ambito non sono stati individuati particolari rischi di frode.
5.1.3. Value creating activities
Il successo del gruppo M è in parte dovuto alla sua capacità di introdurre prodotti dal
design innovativo, alla continua ricerca di nuovi materiali e di moderni processi
produttivi. Il management del gruppo ritiene che il futuro successo del gruppo
dipenderà anche dalle suddette capacità oltre che all'abilità ad adeguarsi ai mutevoli
gusti dei consumatori, anticipando i cambiamenti nelle tendenze della moda e
reagendo in modo tempestivo.
M acquista le materie prime da oltre 1000 suppliers, di cui da 20 a 50 sono considerati
"strategic suppliers".
Il mercato delle lenti è molto concentrato, i fornitori sono pochi e questo crea per la
società alcuni problemi. Spesso risulta difficile sostituire un fornitore storico, che non
riesce a far fronte ad una specifica fornitura, con delle tempistiche che permettano di
soddisfare le scadenze di consegna del prodotto finito assai pressanti.
Si rileva inoltre una forte concentrazione dei fornitori nel mercato della plastica.
213
Le lavorazioni che vengono effettuate all'esterno sono le seguenti:
 Finissaggio;
 Galvanica;
 Produzione diretta del prodotto finito in caso di occhiali iniettati.
L'acquisto di occhiali viene effettuato principalmente da fornitori cinesi, che hanno
tempi di produzione piuttosto brevi (circa 2 mesi), e riguarda principalmente le linee di
prodotto a basso prezzo; il ricorso a fornitori Italiani è meno usato; il mercato dei
fornitori è molto frammentato e ciascun fornitore ha delle peculiari caratteristiche che lo
contraddistinguono nella produzione di uno specifico prodotto.
Con riferimento al brand della società, esso è composto da 2 Housebrand (M e C) e dai
marchi in licenza.
La marketing structure consiste in 300 direct and indirect sellers dei quali 100 sono
presso M USA branch, e vi sono oltre 50.000 points of sale che orbitano nel mondo M.
La clientela principale risulta essere composta quindi dalle grandi catene distributrici e
dal singolo punto vendita. Di conseguenza il credito risulta molto frastagliato e di non
facile monitoraggio.
A livello mondiale M ha circa 860 dipendenti. Ci sono circa 300 sales staff occupati
direttamente o indirettamente. Al 31 dicembre 2006 il numero medio dei dipendenti del
Gruppo è passato da 1.005 unità dell'esercizio 2005 a 821 unità occupate nel corso del
2006.
Figura 5.2 -
Statistiche sui dipendenti
Fonte: PricewaterhouseCoopers, 2007
Con riferimento all’ambito delle attività che generano valore ai fini aziendali, sono stati
identificati i seguenti rischi chiave:
214
 Il settore dell’occhiale, seppur altamente concentrato su pochi players, si
presenta altamente competitivo nella gestione e nel mantenimento dei contratti
di licenza delle griffes. Infatti, uno dei fattori critici di successo delle aziende del
settore è la capacità di rinnovare a scadenza le licenze;
 La società ha annunciato la dismissione del comparto invernale. Il rischio è
legato al trattamento contabile dell'operazione;
 La necessità di innovare annualmente le linee potrebbe comportare il rischio di
elevato slow moving a magazzino.
Tali rischi possono comportare un impatto su aree quali quella delle vendite, dei crediti
detenuti in portafoglio dalla società, del magazzino e delle partecipazioni.
Non viene comunque identificato alcuna propensione particolare alla frode a livello di
settore.
5.1.4. Financial performances
Le performances finanziarie della società vengono considerate sulla base del profilo di
rischio della stessa e del gruppo. Il rischio finanziario della società non è molto elevato,
seppur bisogna prestare attenzione all’elevato grado di indebitamento della stessa oltre
che alla presenza di covenants sui finanziamenti. Tali covenants sono presenti
comunque solamente su alcuni e non sulla totalità dei finanziamenti, seppur, laddove
presenti, il loro mancato rispetto può comportare l'immediato rimborso del
finanziamento (oltre che la classificazione a breve del debito).
L’impatto che il rischio che emerge dalla società in base al proprio profilo finanziario,
può impattare in maniera significativa sull’indicatore di posizione finanziaria netta.
Con riferimento alle accounting polizie, non si registrano storicamente aggressive or
highly conservative accounting policies. Le policies sono in linea con gli IAS/IFRS.
Così come per gli altri ambiti analizzati, la società non presenta particolari situazioni di
propensione alla frode individuata a livello di settore.
215
5.2.
Il rischio di frode
Dopo aver svolto un’analisi preliminare dell’ambiente in cui opera la società, è possibile
individuare per i controllori (siano essi interni o esterni) gli eventuali controlli necessari
per ridurre il rischio di possibili frodi. La valutazione e le politiche di risposte sono
richieste, come già visto nel terzo capitolo, dagli ISA (International Standard Audit) 240
e 315. In particolare, nel caso analizzato, i revisori della società M Spa hanno effettuato
la valutazione del rischio di frode nel modo presentato nei sottoparagrafi successivi.
5.2.1. Considerazione dei fattori che portano a rischio di frode
La natura del business e la tipologia organizzativa della Società è tale che non
emergono particolari condizioni interne od esterne alla società che possano far
pensare ad un elevato rischio di frode.
Se è vero che la struttura di governance del gruppo e della capogruppo vedono
coinvolti membri della famiglia, azionista di riferimento, tale per cui potrebbe essere
latente il rischio di "vedere" l'azienda come un bene di famiglia, è anche vero che la
Società
ha iniziato a dotarsi di codici di comportamento e comitati preposti alla
governance che di fatto dovrebbero limitare tale rischio. I comitati sono costituiti da
managers indipendenti e professionals di nota fama, che consentono di mantenere uno
stile di governance equilibrato ed imparziale. Inoltre il CdA è formato in prevalenza da
consiglieri non esecutivi (otto), la maggioranza dei quali (cinque) si qualificano come
indipendenti.
Negli anni passati non sono stati rilevati problemi di frode. Si è fatta un’analisi sui rischi
di frode possibili:
 Appropriazione indebita degli asset: MEDIO; errori sul financial statement:
BASSO;
 Incentivi e pressione da parte del management, inclusa la possibile aggressività
nelle politiche di accounting, opportunità e cultura generale diffusa nell’ambiente
che permetta ai manager di commettere la frode più facilmente: BASSO.
Da un’inchiesta effettuata con il management della società emerge che nessuno è al
corrente di frodi o errori che si siano verificati in tempi recenti. Inoltre il management
non ha identificato particolari aree di bilancio o transazioni da considerarsi
216
particolarmente a rischio. Il management reputa che il sistema di controllo interno
attualmente in essere, tenuto conto anche delle dimensioni aziendali, consenta di
monitorare l'attività aziendale in maniera adeguata e di evitare i principali rischi di frode.
La società risulta inoltre dotata di diverse figure che compongono il controllo interno.
Tali figure sono composte dall’internal audit, il Comitato per il controllo interno ed il
Collegio sindacale.
L'area di bilancio che potrebbe essere maggiormente soggetta ad appropriazione
indebita è il magazzino, considerato l'elevato appeal del prodotto e la relativamente
facile appropriazione. La società effettua comunque inventari periodici nonchè un
inventario nel corso del mese di dicembre che di fatto dovrebbe limitare il rischio di
errata rappresentazione in bilancio del valore del magazzino. Inoltre l'area è soggetta a
videosorveglianza e, quindi, l'appropriazione di quantitativi significativi di merci non
dovrebbe essere possibile.
Non si evidenziano altri conti di bilancio particolarmente soggetti al rischio di frode.
La società non ha istituito uno specifico programma antifrode. Essa infatti ritiene che i
controlli già in essere siano sufficienti per limitare tale rischio. La società si è inoltre
dotata di una funzione di internal audit, di un Organismo di vigilanza, di un Comitato
per il controllo interno. Inoltre ha sottratto ai Consiglieri delegati le decisioni che
concernono le operazioni significative nonchè determinate decisioni che concernono
operazioni con parti correlate.
Attività di analisi sul rischio di frode vengono effettuate anche a livello di singole società
del gruppo.
5.2.2. Analisi del sistema di controllo interno della società
Di seguito si riporta un’analisi del controllo interno e della società di revisione specifico
sugli elementi da considerare nell'ambito della valutazione del rischio di frode.
In primo luogo va individuata l’eventuale presenza di incentivi:
 Gli incentivi al management sono legati al budget. La situazione mostra dei
risultati molto in miglioramento rispetto al precedente esercizio. Per il topmanagement non vi sono differenze nei parametri di calcolo;
217
 Differenziazioni negli obiettivi a seconda della specificità di alcuni dipendenti
soprattutto dell'area vendite.
Occorre far notare che, come in altre realtà, il management è incentivato sulla base dei
risultati aziendali. Tali risultati sembrano in ogni caso raggiungibili ed il processo di
pianificazione e budgeting viene concordato ai vari livelli. Risulta comunque remota la
possibilità che l'influenza diretta del management possa utilizzare i dati contabili per
scopi personali.
Non risulta presente un piano aziendale antifrode. Il management della società ritiene
che il rischio di frode sia tenuto sotto controllo grazie al sistema codificato dei controlli
interni e al codice di comportamento in vigore presso la Società.
La società utilizza come programma per la contabilità e per il consolidato l’ERP SAP.
La società presenta sistemi contabili integrati e, di conseguenza, viene fatto un limitato
uso di eventuali file esterni al sistema informatico. Il bilancio deriva interamente dalla
scritture contabili appostate e non sono presenti aggiustamenti extra contabili. Tale
metodologia di utilizzo del sistema informativo non permette di effettuare particolari
scritture contabili manuali che potrebbero inficiare la correttezza dei dati prodotti dal
sistema stesso.
Inoltre il bilancio della società è soggetto ad un numero limitato di stime, correlabili
essenzialmente alla valutazione del fondo svalutazione magazzino, del fondo
svalutazione crediti e del fondo minimo garantito royalties/passività. I costi/ricavi del
bilancio derivano infatti perlopiù da transazioni ordinarie.
Da analisi che vengono effettuate a campione e periodicamente sui saldi presenti in
bilancio e sulle relative registrazioni contabili di dettaglio che li alimentano, non si
evidenziano operazioni di carattere significativo o inusuale.
I revisori esterni della società, così come il sistema di controllo interno, tiene anche
conto delle revenue recognition che la società contabilizza: essi valutano infatti la bontà
dei ricavi iscritti, la metodologia di fatturazione, il processo che porta all’iscrizione dei
ricavi stessi ed i diritti che comportano l’iscrizione di componenti positivi di reddito per
la società. Con riferimento a tale ambito, non sono emerse mai problematiche
particolari circa il cut-off vendite. La rilevazione dei ricavi è di tipo standard e non
richiede accertamenti particolari.
218
Infine la regolamentazione del settore dell’occhialeria presente in Italia non comporta
particolari leggi o regolamenti che potrebbero portare a sorgere rischi specifici.
In base alle analisi svolte il rischio di frode è considerato dal revisore “limitato”. Non
sono mai emerse situazioni di errore rilevante o frode nella storia passata della società.
Deve essere comunque mantenuto dal sistema di controllo interno della società e dalla
società di revisione un elevato senso critico e scetticismo professionale, soprattutto
nelle aree valutative, dove è presumibile che il rischio di errore sussista.
5.3.
La valutazione del sistema di controllo interno della società ed i relativi processi
che alimentano i principali cicli aziendali
I principi ISA 315, 330 e 500 richiedono che dopo la fase di comprensione
dell’ambiente in cui opera la società venga effettuata una successiva fase di
valutazione delle di controllo interno implementate dalla società stessa.
Nel valutare il sistema dei controlli interni dell’azienda, le attività di audit interno ed
esterno considerano i principali rischi aziendali, e cioè quelli che, qualora non
funzionassero nella maniera corretta, potrebbero portare alla rappresentazione di dati
contabili errati, che inficerebbero in maniera significativa gli investitori nelle loro scelte.
I principali cicli aziendali della società M Spa risultano essere i seguenti:
 Ciclo attivo;
 Ciclo passivo;
 Ciclo magazzino;
 Ciclo tesoreria.
Tali cicli di processo vengono individuati come i principali della società in quanto essi
risultano piuttosto complessi, con un insieme elevato di autorizzazioni e di iter da
seguire al fine di permettere al processo di andare a buon fine (in particolare tale
aspetto si riferisce ai cicli attivo e passivo della società).
Il ciclo tesoreria è molto importante di default: infatti in ogni società la gestione
finanziaria corretta porta alla sopravvivenza dell’azienda stessa mentre una sola buona
gestione reddituale non accompagnata da una sufficientemente corretta gestione della
liquidità aziendale non porta a buoni risultati, ma può addirittura portare le società al
fallimento.
219
Infine il ciclo magazzino è considerato importante nella società M Spa per motivi che
dipendono dalla tipologia di prodotto venduto. La società M Spa vende un prodotto che
nel contesto italiano ha un certo valore, che dipende da quanto il mercato valuta il
settore dell’occhialeria nel complesso. Il magazzino è composto da occhiali di diverse
tipologie: il mercato dell’occhiale richiede prodotti alla moda e, laddove rimanga
dell’invenduto, il magazzino può arrivare a contenere dei prodotti ancora utilizzabili ma
rivendibili a più basso prezzo rispetto ai periodi precedenti, visto il veloce evolversi
della moda e del mercato.
I prodotti considerati obsoleti per l’andamento della moda dell’occhialeria in un paese
possono però essere considerati validi e di moda in altri paesi. Il prodotto che quindi in
Italia ha perso valore, ha in realtà un valore molto maggiore e può essere rivenduto su
mercati differenti a prezzi più elevati. Per questo motivo diventa fondamentale
monitorare il magazzino nella maniera corretta e porre in essere adeguate procedure di
controllo, al fine di evitare situazioni di frode dovute all’appetibilità del prodotto in alcuni
mercati esteri (ad esempio est europeo).
I controlli applicativi per la società M Spa sono costituiti da controlli svolti dalle persone
coinvolte nelle procedure medesime e da controlli informatici resi possibili dal sistema
informativo gestionale e dal sistema contabile. Essi consentono di prevenire errori
significativi relativi alle principali asserzioni di bilancio per cui il rischio di controllo è
basso.
Inoltre la società dispone di un controllo di gestione che provvede a monitorare i
principali indicatori societari sia di M Spa che delle società del Gruppo e
trimestralmente, ai fini del Regolamento Consob, viene predisposta una situazione
dell'andamento della società.
Sulla base dei processi principali individuati precedentemente, la società ha impostato
diversi controlli sulle varie attività. Di seguito, si riporta il lavoro di comprensione e
valutazione dei controlli chiave posti in essere dalla società per quanto riguarda le
diverse aree.
220
5.3.1. Il processo del ciclo attivo
Per quanto riguarda la gestione degli ordini di vendita, gli utenti accedono al sistema
attraverso User Id e password personale. Il sistema blocca gli accessi di utenti non
autorizzati.
L'emissione dell’ordine viene effettuata dall’agente tramite l’ausilio di un opportuno
modulo standard. Il customer service della società, giornalmente, carica gli ordini a Sap
in stato Ordine Bloccato. Il customer service effettua stampa degli ordini e controlla su
cartaceo la correttezza dei dati anagrafici, delle condizioni di pagamento, delle
eventuali note inserite sull'ordine o in anagrafica cliente. Il customer service lancia la
transazione "Modifica Ordine" ordine per ordine al fine di inserire le spese di
spedizione, eventuali righe d'ordine per omaggi \ materiale pubblicitario; sblocca quindi
l'ordine.
Gli ordini dall’estero vengono ricevuti via fax, mail o posta ordinaria. L'autorizzazione
all'inserimento a sistema avviene da parte dell'Export Area Manager, via mail. Può
accadere che l'ordine venga raccolto in occasione delle fiere. In questo caso l'addetto
compila un modulo che verrà poi conservato. Viene inserito un ordine per ogni data di
consegna.
Il campo del prezzo nell'inserimento dell'ordine si compila in automatico andando a
pescare direttamente dal listino prezzi a cui è agganciata l'anagrafica del cliente. Il
campo del prezzo è modificabile, ma il sistema tiene traccia del prezzo proposto e del
prezzo inserito a sistema. Generalmente non si effettuano modifiche di prezzo. Il
campo che viene modificato, invece, è quello relativo agli sconti.
E' possibile, infatti, inserire uno sconto diverso rispetto a quello previsto dalla tabella
degli sconti caricata a Sap. L'operatore infatti può inserire uno sconto specifico. Tale
causale va ad annullare gli sconti previsti a sistema e ad assegnare alle fatture relative
all'ordine lo sconto specifico caricato.
Questa transazione viene utilizzata in occasione di promozioni particolari che vengono
fatte in determinati periodi dell'anno o nel caso di cambio di gruppo d'acquisto con
quindi cambio degli sconti abbinati.
Non è necessaria un'autorizzazione per l'inserimento di sconti specifici e non vengono
estratti report con gli ordini per i quali è stata inserita tale causale.
221
Non vengono gestite conferme d'ordine provenienti dall’Italia. L'agente riceve una mail
di conferma in automatico una volta che è stato inserito a sistema. Gli agenti possono
monitorare a sistema (sistema agenti) il proprio portafoglio ordini.
Una volta inserito l'ordine estero, invece, ne viene inviata conferma al cliente,
comprendendo anche gli altri ordini aperti dello stesso cliente, via mail con in copia
l'area manager.
Le modifiche all'ordine vengono richieste via fax; il customer service effettua la modifica
\ cancellazione dell'ordine a sistema ed archivia le comunicazioni.
Il controllo di validità degli ordini Italia inseriti a sistema avviene per singolo ordine al
momento dell'emissione.
Il customer service, ogni tre mesi, controlla gli ordini aperti, stampando la lista degli
ordini da evadere da sistema, controllando la validità degli ordini.
Per gli ordini estero, invece, settimanalmente il customer service stampa la lista degli
ordini aperti per cliente e controlla la validità e le date di consegna di tali ordini. Quindi
la invia al cliente (per quei clienti che chiedono tale servizio).
Tabella 5.1 - Business process: ordini di vendita
Subprocesso/
Transazion
e
Restrizione
accesso al
sistema
Inserimento
ordini di
vendita Italia
Descrizione
dell’attività di
controllo,
incluso il suo
obiettivo
Rischio:
Personale non
autorizzato può
effettuare
operazioni non
consentite a
sistema
Controllo
esistente:
Il sistema
blocca gli
accessi gli
utenti non
autorizzati
Rischio:
L'ordine non è
autorizzato
ovvero
incompleto
Controllo
Obiettivo
informativ
o C, A, V,
RA
Contribuzion Frequenz
e alle
a dei
asserzioni di controlli
bilancio
C, A, CO, EO,
RO, VA, CL
Preventiv
eo
Detenctiv
e
Automatic
o or
Manuale
RA
C, A, EO, RO
As
needed
P
A
C, V
C,EO
As
needed
P
A
222
esistente:
Le richieste
d'ordine degli
agenti sono
bloccate in
automatico da
Sap fino a che
non avviene il
controllo su
ogni singolo
cliente e il
rilascio da parte
del Customer
Service
Rischio:
Inserimento
ordini di
L'ordine non è
vendita
autorizzato
Controllo
esistente:
La
documentazione
cartacea relativa
a ciascun ordine
viene conservata
e vi viene
apposto un
timbro con il n.
dell'ordine e la
data di
inserimento a
Sap
Rischio:
Inserimento
ordini di
L'ordine non è
vendita estero autorizzato
ovvero
incompleto
Controllo
esistente:
Gli ordini estero
sono autorizzati
dall'Export Area
Manager via
mail (se ordini
fatti
direttamente
dal cliente)
Rischio:
Conferma e
avanzamento L'ordine non è
ordine
stato inserito
correttamente
Controllo
esistente:
Gli ordini ricevuti
vengono
confermati al
cliente via mail
Cancellazione / Rischio:
modifica ordine Gli ordini
potrebbero
essere
modificati/blocca
V
C, A
As needed
P
M
V
C, A
As
needed
P
M
C, A
C, A
As needed
P
M
V
A, C, EO
As needed
P
M
223
Monitoraggio
periodico
ti in uno stadio
avanzato di
produzione
Controllo
esistente:
Il customer
service controlla
la validità delle
richieste alla
modifica d'ordine
ricevute, e
procede con la
registrazione a
sistema
Rischio:
Gli ordini inseriti
a sistema non
sono validi
Controllo
esistente:
Italia: Il customer
service, ogni 3
mesi, controlla
gli ordini aperti,
stampando
pending da
sistema,
controllando la
validità degli
ordini.
Estero:
Mensilmente il
customer service
stampa la lista
degli ordini aperti
e controllo
validità e data di
consegna di tali
ordini
Tali controlli non
vengono
formalizzati
V
CO, C, A
Quarterly
P
M
Fonte: elaborazione propria su dati PricewaterhouseCoopers, 2007
L’analisi della gestione dell’area ciclo attivo per quanto riguarda il sub processo
“gestione ordini di vendita” richiama diversi punti di miglioramento, ed in particolare:
 Il customer service gestisce sia le anagrafiche clienti che l'inserimento degli
ordini di vendita, quindi c’è una sovrapposizione di compiti;
 Non esiste un controllo che verifichi che tutti gli ordini ricevuti dall'estero siano
stati inseriti a sistema;
 Il campo del prezzo nell'ordine è modificabile;
224
 Il controllo periodico degli ordini aperti non viene formalizzato.
Per quanto riguarda invece il sub processo “fatturazione e spedizione” gli utenti
accedono al sistema attraverso User Id e password personale. Il sistema blocca gli
accessi gli utenti non autorizzati.
Il sistema blocca in automatico le spedizioni per le quali si sfora il fido e per quei clienti
per i quali c'è uno scaduto superiore a 30gg (estero) o 180gg (Italia). Nel caso di blocco
il magazzino avvisa l'uffico Recupero Crediti il quale sblocca o meno la spedizione sulla
base delle comunicazioni intercorse con gli agenti o gli export di riferimento.
Il customer service, controllando la lista degli ordini aperti, effettua una richiesta, via
mail, di impegno della merce alla logistica. La logistica effettua l'allocazione massiva,
ed impegna la merce in magazzino: l'ordine passa in stato "Allocato". Il customer
service crea le consegne in base alle scadenze ordini. Tali dati vengono importati sul
gestionale di magazzino, creando delle liste di prelievo. Le liste vengono stampate
automaticamente in magazzino, dove l'operatore, attraverso un lettore di codice a
barre, recupera il materiale. Tale materiale viene fatto passare su un banco in cui sono
presenti due lettori ottici: al passaggio della merce il sistema registra in automatico
l'uscita merci e stampa in automatico la bolla di accompagnamento (ddt).
Nel caso di ordini estero, il sistema genera solamente la packing list. La creazione della
bolla e lo scarico da magazzino avviene in maniera manuale durante il processo di
fatturazione. Per gli ordini Italia, il monitoraggio degli ordini da evadere viene effettuato
direttamente dalla logistica. Il customer service Italia ha facoltà di effettuare allocazione
solo per singolo ordine. Tale attività viene effettuata in caso di particolari urgenze.
Mensilmente l'addetto alla fatturazione per la zone Italia visualizza tutte le bolle di
vendita emesse nel periodo e non fatturate. L'operatore seleziona le bolle e lancia la
fatturazione massiva. Le fatture vengono stampate. L'operatore provvede a spedire via
posta ordinaria le fatture emesse.
Nel caso in cui sia prevista la fatturazione immediata (es. per pagamento con
contrassegno),
il
sistema,
al
momento
di
emissione
della
bolla,
provvede
automaticamente ad emettere la fattura nel terminale di chi ha effettuato l'uscita merci.
L'informazione relativa alla modalità di fatturazione viene recuperata dal sistema
dall'ordine di vendita.
225
L'addetto alla fatturazione per l’estero riceve la lista di prelievo, packing list, ed
eventuali altre informazioni (es. peso, dimensioni). L'addetto richiama a sistema la
consegna - lista di prelievo (pre-bolla), modifica la consegna inserendo peso, colli,
condizioni di trasporto e spedizioniere.
Quando giunge lo spedizioniere, la consegna viene confermata e viene stampata la
bolla di accompagnamento (Ddt).
L'addetto recupera il numero di consegna a sistema, inserendo le spese di trasporto, i
dati dell'eventuale lettera di credito, eventuali sconti commerciali (accrediti extragestione sconti ordinari). Infine stampa la fattura in molteplici copie. Allega alla fattura
le istruzioni di trasporto, timbrate e siglate dall'addetto, la packing list, copia del Ddt
firmato dal vettore. La documentazione viene inviata al magazzino e una copia
archiviata.
Il sistema non consente l'annullamento delle fatture emesse.
In caso di necessità di annullamento, è necessario procedere con la procedura relativa
all'emissione di nota di accredito.
La contabilizzazione delle fatture Italia avviene automaticamente al momento
dell'emissione.
La contabilizzazione delle fatture estero viene lanciata giornalmente in modo manuale
dall'addetto alla fatturazione estero richiamando tramite un report le fatture emesse non
contabilizzate. Nel caso in cui le fatture non vengano contabilizzate, il sistema
continuerà a visualizzare in tale report le fatture da contabilizzare. Mensilmente
l'addetto
alla
fatturazione
lancia
una
transazione
di
controllo
contabilizzazione delle fatture emesse. Il controllo avviene a video.
226
di
avvenuta
Tabella 5.2 - Business process: fatturazione e spedizione
Subprocesso/
Transazione
Descrizione dell’attività di controllo,
incluso il suo obiettivo
Restrizione accesso Rischio:
al sistema
Personale non autorizzato può effettuare
operazioni non consentite a sistema
Controllo esistente:
Il sistema blocca gli accessi gli utenti non
autorizzati
Rischio:
Emissione fatture
Italia
Non tutta la merce è fatturata
Il sistema, attraverso la transazione VF07,
recupera tutte le bolle di vendita non fatturate,
e i relativi dati su quantità (da bolla) e prezzo
(da ordine). Se una bolla di vendita non viene
selezionata dall'utente, essa continuerà ad
apparire nel report "Bolle da Fatturare". In
caso di fatturazione immediata il sistema
stampa automaticamente la fattura in
magazzino in fase di emissione della bolla
Rischio:
Emissione fatture
estero
Non tutta la merce è fatturata
L'addetto alla fatturazione controlla che i dati
del ddt cartaceo firmato dal vettore coincida
con il ddt a sistema (da cui viene lanciata
fattura) e con la packing list. La
documentazione viene firmata ed archiviata
Annullamento fatture Rischio:
emesse
Numerazione protocollo errata
Il sistema non permette di annullare una
fattura emessa
Rischio:
Contabilizzazione
fatture Italia
Non tutte le fatture vengono contabilizzate
Le fatture vengono contabilizzate
automaticamente al momento dell'emissione
Rischio:
Contabilizzazione
fatture estero
Non tutte le fatture vengono contabilizzate
Mensilmente l'operatore effettua controllo a
video sull'avvenuta contabilizzazione di tutte
le fatture emesse mediante l'estrazione di
tutte le fatture emesse non contabilizzate
Rischio:
Preparazione ed
evasione ordini
Il sistema permette di creare liste di prelievo
da magazzino solo a fronte di un ordine di
vendita emesso a sistema
ll sistema permette di creare liste di prelievo
da magazzino solo a fronte di un ordine di
vendita emesso a sistema
227
Obietti Contribu Freq P
vo
zione
uenz
inform
alle
a dei o
ativo asserzio contr
C, A,
ni di
olli
D
V, RA bilancio
R
As
P
needed
A
o
M
A
C, A
CO, C, A
As
P A
needed
C, A
A
As
P A
needed
C, A, V
C
As
P A
needed
C
C, A, CO, Monthly P A
RO
C
C, A, Monthly D A
CO, RO
C
RO
As
P A
needed
Preparazione ed
evasione ordini
Preparazione ed
evasione ordini
Rischio:
A C, A
As
P A
Non tutte le merci spedite sono accuratamente registrate nel
needed
periodo di competenza
All'uscita dal magazzino, le merci vengono monitorate
attraverso 2 lettori ottici che registrano l'uscita merci. Il sistema
emette in automatico il Ddt al momento dell'uscita merce
Rischio:
A RO
As
P A
Vendite a clienti insolvente
needed
Il sistema blocca la spedizione nei casi in cui venga sforato il
fido e per tutti i clienti per i quali c'è uno scaduto superiore a
30 gg (Italia) e 180gg (estero)
Così come per il precedente sub processo oggetto di analisi, anche per il sub processo
“fatturazione e spedizione” è possibile osservare alcuni punti di miglioramento. In
particolare:
 Mancata segregazione delle funzioni sulle emissioni di fatture estero: chi emette
la fattura effettua anche lo scarico di magazzino;
 L'addetto alla fatturazione estero ha accesso alla modifica delle righe ordineconsegna e fattura per eventuali esigenze commerciali. Tali modifiche vengono
tracciate a sistema. Non è formalizzato l'iter autorizzativo di tali modifiche.
Per quanto riguarda la review sulla completezza e accuratezza del ciclo si rilevano
delle carenze sicuramente migliorabili sul sistema di controllo interno, ma non tali da
farlo ritenere nel suo complesso non affidabile.
I rilievi procedurali emersi dall'analisi delle attività di controllo non sono dunque tali da
poter generare errori significativi sul bilancio e, comunque, sono compensati
dall'ampiezza dei controlli di monitoraggio effettuati dai responsabili delle funzioni
aziendali relative.
5.3.1.1.
Il sistema informativo adottato dalla società
Oltre ai processi, come evidenziato al capitolo 4, è importante comprendere e valutare
il sistema informativo nel suo complesso ed i processi di business correlati, al fine di
avere una chiara visione delle modalità di integrazione dei compiti e delle attività
228
affidate alle persone e delle procedure automatiche di controllo poste in essere dalla
società, che sono quelle che forniscono il più elevato grado di assurance.
L'infrastruttura IT di M è gestita da un unico ufficio IT, il quale gestisce sia l'area delle
Applications che il Networking. Il responsabile risponde direttamente alla Direzione, la
società risulta essere quindi sempre aggiornata sulle necessità dei Sistemi Informativi.
Gli investimenti, soprattutto relativamente al gestionale SAP, sono continui.
L'ufficio è composto di sei persone controllate in modo informale ma continuo dall'IT
manager (controllo interno buono e commisurato alle dimensioni della società). Le
relazioni con la società esterna sono invece formalizzate e regolamentate da un
contratto. La sicurezza è sufficientemente garantita da una gestione puntuale degli
account sia a livello di rete che di ERP e da una buona protezione della rete interna.
Un primo punto di attenzione che emerge dall’analisi del sistema informativo aziendale
riguarda l’assenza di un piano formale di Business Continuity. Tale mancanza porta a
dei possibili rischi: poiché l’attività aziendale è fortemente dipendente dal proprio
sistema informativo aziendale, la mancanza anche parziale di alcune funzionalità del
sistema potrebbe avere delle ricadute rilevanti sull’attività di business dell’azienda.
La società necessita quindi di effettuare un miglioramento del processo, che potrebbe
essere realizzato nel seguente modo (implementando il Business Continuity plan): la
società dovrebbe realizzare una Business Impact Analysis, ed una Risk Analysis.
Nella BIA si determina l’impatto sull’organizzazione della mancanza di alcune o tutte le
funzionalità del sistema informativo e si determinano i massimi intervalli di tempo in cui
può essere accettabile non disporre di ogni funzionalità.
Nella Risk Analysis vengono identificati i possibili rischi collegati al sistema informativo
ed i controlli che possono ridurli, valutando inoltre i costi di questi controlli.
Successivamente può essere realizzato un BCP (Business Continuity Plan).
Per le fasi di pianificazione, implementazione e valutazione del BCP occorre uniformità
di vedute soprattutto sui seguenti punti:
 Le policy che regoleranno tutte le attività di continuity e recovery;
 Apparati alternativi per eseguire i compiti e le attività (al limite anche cartacei);
 Risorse informatiche critiche da mettere a disposizione (cioè dati e sistemi);
 Persone responsabili per il completamento delle attività;
229
 Il programma temporale delle attività, completo delle priorità stabilite.
Per quanto riguarda eventuali sviluppi e modifiche di software presenti in società ed
implementati nel corso dell’esercizio, emergono diversi punti di attenzione:
 Non esiste una procedura formale per la gestione delle modifiche applicative;
 A fronte di una richiesta di modifica non viene preparato un piano di test
preventivo e normalmente non viene tenuta traccia dei risultati dei test effettuati.
Da tali punti possono emergere diversi rischi. In particolare, con riguardo al primo
punto l’assenza di una precisa procedura per la gestione degli interventi di
manutenzione incrementa il rischio che non tutte le modifiche al sistema siano
propriamente autorizzate ed attuate in maniera controllata. Tale rischio può essere
coperto tramite modifiche al sistema informativo, che vanno effettuate in maniera
controllata, al fine di non comprometterne la stabilità e la sicurezza. Vanno effettuate
sulla base di formali procedure di autorizzazione al fine di assicurarsi che i
cambiamenti siano:

Autorizzati;

Documentati;

Attuati in maniera controllata.
La società dovrebbe pertanto prevedere la realizzazione di una procedura formale per
la gestione delle modifiche agli applicativi.
Con riguardo al secondo punto di attenzione emerso in sede di comprensione del
sistema informativo della società, vi è il rischio che la modifica potrebbe non essere
verificata in maniera esaustiva e si potrebbe rivelare inadeguata o non soddisfare
completamente le esigenze degli utenti.
Al fine di coprire il rischio che emerge, nuove procedure dovrebbero prevedere la
realizzazione di un piano di test (eventualmente realizzato con la collaborazione
dell’utente) per ogni modifica significativa.
Diversi punti di attenzione sono emersi all’attenzione dei revisori, con riferimento alla
gestione degli accessi alle piattaforme logistiche della società. In particolare:
 Il personale dei Sistemi Informativi ha utenze con profili SAP ALL, anche
nell'ambiente di produzione SAP;
230
 Esiste in SAP una gestione dei ruoli degli utenti. La segregazione dei ruoli
aziendali e delle relative autorizzazioni non è però sottoposta ad una procedura
periodica, in capo ai responsabili business, che ne riveda le autorizzazioni
concesse a ciascun utente in relazione al proprio ruolo aziendale;
 La gestione delle password sull'applicativo gestionale-contabile SAP può essere
migliorata e non è conforme ai requisiti della legge sulla Privacy (D.Lgs. 196/03).
In particolare:
 SAP: lunghezza minima password impostata a 3 caratteri e nessuna
scadenza impostata;
 A mitigare il rischio la policy sulle password del dominio hanno lunghezza
minima impostata a 8 caratteri e scadenza impostata a 90 gg.
Con riferimento al primo punto di attenzione, il rischio è che vengano apportate, al
sistema gestionale di produzione, delle modifiche non autorizzate. Per coprirsi da tale
rischio è necessario, qualora si confermi la necessità di mantenere profili SAP ALL per
tutte le utenze IT, prevedere una mappatura delle aree/dati maggiormente critici e
attivare dei log che rilevino eventuali modifiche di questi da parte dei super user. Questi
log (exception report) devono essere rivisti periodicamente dal management ed
approvati.
Il rischio collegato al secondo punto che emerge dalle analisi riguarda la mancanza di
revisione periodica delle autorizzazioni concesse ai singoli utenti, che può portare ad
una non conformità delle abilitazioni con le mansioni previste e ad un fisiologico e
progressivo allargamento nel tempo di tali autorizzazioni (“security creeping”).
L’insufficiente segregazione dei ruoli all’interno del sistema contabile-gestionale può
esporre l’azienda al rischio di operazioni non autorizzate. Alcuni utenti possono
tecnicamente effettuare operazioni non autorizzate non attinenti la propria funzione.
Sarebbe pertanto opportuno definire una procedura formale che preveda una revisione
almeno annuale di tutti i profili autorizzativi concessi nel sistema contabile-gestionale
SAP R/3.
Tale revisione andrebbe effettuata dai responsabili delle varie aree/uffici con il supporto
del personale IT.
231
Con riferimento al terzo punto su cui va posta attenzione, la mancanza di regole
stabilite per il periodico cambiamento e la presenza di password di lunghezza
inadeguata, porta a rendere più semplice eventuali tentativi di accesso non autorizzati
e meno sensibili gli utenti nel corretto mantenimento delle password.
La mancata adozione delle Misure Minime di sicurezza ex Art 17 e Allegato tecnico B
del D.Lgs. 196/03, può comportare, nel caso di violazioni accertate sul trattamento dei
dati sensibili e personali, misure penali ed amministrative.
Nella costruzione delle password deve essere quindi prevista:
 Una lunghezza minima di caratteri (almeno 8 ex D.Lgs. 196/99);
 Una periodica scadenza (ogni tre mesi).
5.3.2. Il processo del ciclo passivo
Per quanto riguarda la gestione dell’anagrafica dei fornitori, il Responsabile dell'Ufficio
interessato richiede l'inserimento di un nuovo fornitore inviando un modulo
prestampato.
Il modulo è vistato solo dal Responsabile dell'Ufficio interessato se il fornitore ha un
tempo di pagamento tra i 90 e i 120 giorni, altrimenti il modulo deve essere vistato
anche dal Responsabile Amministrativo. Inoltre i listini dei fornitori vengono concordati
dai Responsabili degli Uffici interessati. La modifica dei listini viene autorizzata dal
Responsabile Operations.
I controlli in essere sono:
 Gli utenti accedono al sistema Sap tramite username e Id personali;
 L'accesso al menu per l'inserimento e le modifiche delle anagrafiche fornitori è
limitato ad un utente dell'Ufficio Acquisti, al Responsabile Amministrativo e a due
utenti dell'Ufficio Amministrativo addetti ai pagamenti dei fornitori. Il sistema
blocca l'accesso agli utenti non autorizzati;
 La modifica \ inserimento di anagrafiche fornitori è gestito tramite modulo
apposito autorizzativo. Nel caso in cui i termini di pagamento siano inferiori a
120gg per servizi e 90gg per merci è richiesta l'autorizzazione del CFO;
232
 Il sistema segnala all'utente, attraverso un messaggio di blocco, il tentativo di
duplicare un valore già esistente nel campo PIVA/ Codice Fiscale;
 La
modifica\inserimento
dei
listini
viene
autorizzata
dal
Responsabile
Operations.
Per quanto riguarda invece le Richieste di Acquisto, l'acquisto di codici non codificati
passa attraverso la compilazione di una richiesta di acquisto con l'apposita transazione
SAP dal Responsabile dell'Ufficio richiedente. La richiesta deve essere approvata dal
Responsabile Operations, dal Responsabile Ufficio Prodotto, a seconda di quale ente
effettua la richiesta, e dal Controller per la verifica con il budget. Se la richiesta supera i
30.000 € deve essere approvata dal Direttore Operations.
Una volta ottenuta l'approvazione da entrambi la RdA viene confermata e non può più
essere modificata.
 Le RdA sono autorizzate a sistema da parte del
Responsabile dell'ufficio
competente;
 Non è possibile emettere ordini con SAP per articoli se il fornitore non è stato
preventivamente inserito in anagrafica.
L'acquisto di codici codificati passa attraverso la compilazione di un ordine di acquisto
con l'apposita transazione SAP dal Responsabile del relativo prodotto. La suddivisione
delle competenze è: packaging, materie prime (plastiche), terminali, lenti, prodotto finito
Italia e Far East. La richiesta deve essere approvata dal Responsabile Operations. Se
la richiesta supera i 30.000 € deve essere approvata dal Direttore Operations.
Se l'ordine arriva dall'Ufficio Marketing e supera i 30.000 €, questo deve essere
approvato dal Direttore Amministrativo.
Una volta ottenuta l'approvazione da entrambi la RdA viene confermata e non può più
essere modificata.
L'ordine viene generalmente inviato via fax, in alcuni casi via e-mail. Una copia
dell'ordine viene archiviata.
 Le richieste di acquisto di importo fino a 30.000 Euro sono autorizzate dal
Responsabile Operations;
233
 Per le forniture il cui costo complessivo sia superiore a 30.000 Euro deve essere
approvata oltre che dal Responsabile Operations anche dal Presidente;
 Il sistema SAP impone durante la compilazione degli ordini di acquisto di inserire
obbligatoriamente informazioni essenziali quali fornitore, data di consegna,
codice articolo e quantità, richiamando in automatico condizioni di vendita e
prezzi;
 La transazione SAP è attiva solo ai Responsabili dei relativi prodotti;
 I codici di prodotti sono legati al fornitore dal quale ci si approvvigiona: in caso di
errore di digitazione SAP non consente la valorizzazione delle quantità riportate
nell'ordine;
 Le richieste di acquisto vengono autorizzate dal controller per il rispetto del
budget. Il controller approva le RdA a sistema apponendo un flag autorizzativo.
L'utente dell'Ufficio Amministrativo a fine mese stampa lo scadenziario e spunta le
fatture che devono essere pagate. A questo punto dopo aver attentamente verificato la
completezza delle fatture spuntate e aver ricevuto l'autorizzazione dal Direttore
Generale per pagamenti sotto gli 800.000€ complessivi o l'autorizzazione dall'AD
Finance se superiori, procede al pagamento automatico. I pagamenti avvengono
attraverso bonifici bancari o Ricevuta Bancaria (RiBa).
 Tutte le disposizioni di pagamento, RiBa o bonifici bancari, vengono autorizzate
dal Direttore generale se inferiori a 800.000 Euro, dal Presidente se compresi tra
800.000 e 1.000.000 Euro, dall' AD Finance se superiori;
 Tutti gli sbocchi dei fornitori al pagamento sono approvati da un Responsabile;
 I pagamenti effettuati in chiusura del periodo sono analizzati per assicurare la
corretta e completa registrazione per competenza.
La fattura arriva all'Ufficio Controllo Fatture Passive per l'Italia e all'Ufficio Acquisti per
le fatture estere, dove l'utente provvede a confrontare la fattura con la bolla di
consegna e il carico a magazzino. Qualora il confronto dia esito positivo la fattura viene
contabilizzata. Nel caso in cui il confronto sia negativo, la registrazione viene bloccata
dal sistema. Se la differenza è nelle quantità, viene prima verificata telefonicamente la
differenza con il magazzino, qualora la differenza rimanga viene emessa una richiesta
234
di nota di credito/debito, calcolata dal sistema, su un apposito modulo che deve essere
vistato dal Responsabile Operations. La fattura viene registrata, così come è arrivata
dal fornitore, ma rimane bloccata ai pagamenti finché il fornitore non emette una nota di
credito.
L'utente a questo punto allega la bolla di consegna, la registrazione della fattura e
l'eventuale nota di credito/debito e lo consegna all'Ufficio Amministrazione che si
occupa dei pagamenti.
All'arrivo della fattura del fornitore, l'operatore procede con la registrazione a sistema.
 Il sistema contabile impedisce la registrazione di fatture da parte di un fornitore
non inserito nell'anagrafica;
 Ad ogni fattura merci viene allegata la bolla per consegna di merci;
 Esistono alcune tipologie di fatture per le quali la contabilizzazione è manuale
(senza ordine e/o entrata merci). Per tali fatture è prevista la firma autorizzativa
di un Responsabile;
 Mensilmente l'Amministrazione lancia un report da sistema che valorizza tutte le
bolle di entrata merce per le quali non è ancora pervenuta fattura del fornitore. Il
report viene controllato e un operatore provvede alla contabilizzazione manuale
delle fatture da ricevere;
 Il sistema automaticamente blocca le fatture con importo diverso dall'ordine di
acquisto, mettendole in stato R-Bloccato.
La società pone inoltre in essere anche dei controlli relativi agli eventuali adjustments
da effettuare. In particolare, essi sono:
 Le partite pagate non vengono più proposte dal sistema (al fine di evitare
pagamenti doppi);
 I movimenti di contabilità fornitori aggiornano automaticamente la contabilità
generale;
 Mensilmente viene effettuata una riconciliazione tra i conti correnti bancari e i
conti banca in contabilità;
235
 Semestralmente l'Amministrazione controlla che i conti transitori banche siano a
zero.
Anche nel momento dell’entrata della merce nel magazzino ci possono essere errori di
diverso tipo, che farebbero risultare giacenze contabili differenti da quelle
effettivamente fisicamente presenti. La società necessita quindi di porre in essere
alcuni controlli anche con riferimento alla ricezione merci, ed in particolare:
 L'accettazione merci controlla che la quantità e la qualità della merce
corrisponda con quanto indicato in bolla;
 L'operatore appone il timbro e la firma sul documento.
La società pone infine in essere una serie di controlli al fine di monitorare le giacenze di
magazzino. Essi si possono riassumere nei seguenti controlli:
 Stampa e controllo di un tabulato riportante: il portafoglio ordini di Prodotti Finiti
aperti, le date di consegna previste ed il nominativo dei produttori e lo stato di
avanzamento del prodotto;
 Stampa e controllo di un tabulato riportante: le materie prime ancora mancanti in
magazzino e le date di consegna previste;
 Stampa e controllo di un tabulato riportante: le quantità mancanti di prodotti finiti
ordinati a terzisti e le date di consegna previste;
 Stampa e controllo di un tabulato riportante: le materie in magazzino ed il loro
valore;
 Stampa e controllo di un tabulato riportante: le materie prime ordinate ai fornitori,
il nominativo dei fornitori, le date previste di consegna.
Tutti i controlli descritti vengono posti in essere da M Spa e dai propri auditor interni al
fine di avere sotto controllo le situazioni ed evidenziare eventuali carenze nei sistemi
per andare a capire, laddove si presentasse un problema, l’entità dell’influenza dello
stesso sulla rappresentazione dei dati economico-finanziari societari oltre che cercare
di comprendere come ed in quali punti sarebbe possibile implementare azioni al fine di
migliorarlo e rendere nel complesso il sistema ancora più affidabile.
Dall'attività di analisi della mappatura esistente e dal testing dei controlli individuati non
emergono eccezioni tali da rendere il sistema di controllo della società non affidabile.
Tuttavia vanno segnalati alcuni elementi critici:
236
 Relativamente all'inserimento delle anagrafiche, è possibile che quanto inserito
a sistema differisca da quanto autorizzato, piuttosto che vengano inserite \
modificate anagrafiche fornitore senza la necessaria autorizzazione;
 Relativamente alla gestione degli ordini di acquisto, è possibile che vengano
effettuate modifiche non autorizzate.
Con riferimento al primo punto, il controllo relativo alla verifica effettuata dal richiedente
dell'inserimento in anagrafica tra la stampa prevista da SAP e i dati corrispondano
riportati sul modulo di richiesta è assente. La verifica viene effettuata a video nel
momento in cui vengono inseriti i dati a sistema. Sarebbe quindi necessario creare un
workflow autorizzativo a sistema per il rilascio delle anagrafiche, eliminando così la
gestione "parallela" cartaceo-sistema.
Il secondo punto risulta anch’esso critico in quanto non esiste un iter autorizzativo
formalizzato per le modifiche agli ordini già esistenti. Sarebbe anche in questo caso
necessario creare un workflow autorizzativo a sistema per l'autorizzazione alla modifica
degli ordini. Inoltre con riferimento alle forniture il cui costo complessivo sia superiore a
30.000 €, non è presente un controllo atto ad assicurare che gli ordini di acquisto
rilasciati a sistema corrispondano con quanto autorizzato dal Responsabile Operations
e dal Presidente su carta. Sarebbe quindi necessario, alternativamente:
 Creare a sistema un workflow autorizzativo;
 Creare un controllo periodico attraverso un report riepilogativo degli ordini
rilasciati.
5.3.3. Il processo della tesoreria
La società predispone ogni lunedì un prospetto indicante la situazione finanziaria con la
finalità, interna, di evidenziare settimanalmente le disponbilità finanziarie della società.
Tale prospetto viene verificato dal CFO.
Ogni rapporto con gli istituti bancari viene gestito direttamente dal CFO che ha il potere
di firma per la stipulazione di nuovi contratti, per la richiesta di nuovi fidi, ... .
In termini numerici è stabilito che il CFO può autorizzare pagamenti fino a 800.000 euro
e tutti i girofondi tra banche e società del gruppo. Per i pagamenti superiori a 1.000.000
euro è richiesta l'autorizzazione dell'AD.
237
L'analisi dei poteri di firma viene effettuato una volta all'anno in occasione della
chiusura del bilancio. Viene conservato la copia dei moduli con cui è stato fatto il
deposito dei poteri per ciascun conto. In caso di modifica viene inviata copia dei verbali
del CdA e conservato l’invio.
La società ha in essere più finanziamenti passivi. Tutti i documenti di ciascuno di questi
finanziamenti sono conservati in apposite cartelline. La gestione dei pagamenti degli
interessi e delle quote capitali viene aggiornata di volta in volta su un file excel in cui
vengono riepilogati tutti i movimenti dei finanziamenti in essere, in accordo con i piani
di ammortamento previsti per ciascun finanziamento.
Gli interessi vengono registrati in contabilità nel momento in cui la banca effettua
l'addebito in conto. Ogni mese viene effettuato lo stanziamento dei ratei passivi
chiedendo alla banca di riferimento il tasso da applicare. Il calcolo viene gestito su file
excel.
Sui finanziamenti sono previsti dei covenant. Il CFO fa il calcolo su file excel. I dati
vengono poi comunicati alle banche. Le stesse banche poi provvedono ad effettuare
loro stesse il calcolo con i dati dei bilanci pubblicati.
Con rifermento alle garanzie poste in essere dalla società, si tiene aggiornato il
prospetto delle fidejussioni in essere. Tale prospetto viene verificato ed aggiornato
periodicamente. Anche in questo caso tutta la documentazione viene conservata in
apposite cartelline.
La società non produce un report ufficiale relativamente alla posizione finanziaria, ma
solamente
report
ad
uso
interno.
Tale
documentazione
è
di
necessaria
implementazione al fine di migliorare la qualità e la completezza dell’informativa
(tramite l’ausilio di un report periodico).
Con riferimento al subprocesso delle transazioni di tesoreria, la società effettua diverse
operazioni che possono essere analizzate nel seguente modo:
 Pagamenti terzi;
 Riba passive;
 Incassi;
 Riba attive;
 Assegni.
238
Con riferimento alle operazioni societarie inerenti i pagamenti verso terzi, vi sono
diverse tipologie di pagamenti. La principale distinzione tra le operazioni si riferisce alle
operazioni effettuate dalla società per pagamenti effettuati nei confronti di fornitori
italiani oppure di fornitori esteri.
Le date di pagamento fornitori sono fissate per entrambe le tipologie di fornitore per la
fine del mese.
Per quanto riguarda i fornitori italiani, l'effettivo pagamento è fatto il 5 del mese
successivo. Alla fine del mese del pagamento di competenza viene lanciata una
stampa da sistema dello scadenziario fornitori per il mese considerato.
La lista ottenuta viene spuntata con la presa visione ed il controllo delle relative fatture.
Se vengono trovate delle mancanze o delle incongruenze tra cartaceo e stampa da
scadenziario vengono subito indagate; ad esempio ci può essere l'errore nel
posizionare le diverse fatture nel raccoglitore con scadenza diversa da quella
effettivamente riportata.
Con la quadratura completa tra fatture e scadenziario, viene lanciato in SAP il
programma "pagamento" che prepara una distinta di tutte le fatture che devono essere
pagate (uguale con lo scadenziario). Questa lista viene stampata e, con tutte le fatture
allegate, viene portata dal CFO della società ai fini dell’ottenimento dell'autorizzazione
al pagamento.
Ottenuta l'autorizzazione viene fatto l'ordine di pagamento tramite home banking (in
amministrazione vi è un unico utente autorizzato al pagamento tramite l’home banking).
Infine, come ultimo passaggio, viene portata al CFO della società una copia
dell'estratto conto del relativo pagamento e la lista dell'ordine firmata in precedenza
dallo stesso. In questo modo c'è la possibilità di effettuare un controllo sulla
completezza dei pagamenti effettuati.
Un'ulteriore verifica viene fatta il giorno successivo al pagamento. Viene infatti
verificato che la disposizione di pagamento sia stata rispettata.
Per i fornitori esteri, l'iter seguito è il medesimo. L'unica differenza è che al momento
del pagamento viene inviata dalla banca una mail di conferma. Il giorno successivo,
con un'altra mail, viene spedita la contabile di pagamento e si verifica la correttezza dei
pagamenti.
239
Per la gestione delle riba passive l'iter seguito è lo stesso che per il pagamento dei
fornitori. L'unica differenza riscontrata consiste nel fatto che oltre al tabulato
scadenziario la spunta di verifica viene fatta anche con la lista presente in estratto
conto nell’home banking aziendale.
Per quanto riguarda invece la gestione degli incassi, ogni mattina vengono verificate e
stampate dall’home banking tutte le operazioni effettuate nel giorno precedente.
La gestione degli incassi provenienti da clienti esteri è invece differente, con un diverso
iter procedurale da seguire. Solitamente la banca su cui arriva l'accredito dall'estero
telefona alla società per avere informazioni sulla transazione.
Con l'arrivo della contabile vengono fatti dei controlli sulle commissioni riportate e, se
tutto è in linea, viene archiviata.
Per quanto riguarda invece la gestione delle RiBa attive, ogni fine mese viene
rielaborato da sistema il portafoglio clienti e vengono presentate sulle diverse banche
gli effetti relativi.
Per l'incasso degli stessi o per gli eventuali insoluti avviene tutto in automatico: in base
alle registrazioni effettuate da home banking viene aggiornato SAP.
Infine la società gestisce la contabilizzazione degli assegni nel seguente modo:
 All'arrivo degli assegni viene preparata in un apposito format di SAP la distinta di
presentazione alla banca. In questo modo viene fatta una scrittura "transitoria"
con la quale si scarica il cliente e si carica la cassa assegni;
 Con la presentazione in banca della distinta e l'avvenuto versamento si chiude la
cassa assegni (un conto transitorio) e viene accreditato il relativo importo.
Il pagamento dei dipendenti viene gestito dalla società tramite la ricezione dei cedolini
per ogni singolo dipendente ed i dati vengono riepilogati in due file excel contenenti
tutte le generalità necessarie ai fini dell’effettuazione del pagamento. Ciascuno dei due
file in formato excel contiene il riepilogo dei pagamenti da effettuare da un conto
corrente bancario differente.
Tali file vengono poi copiati in un dischetto che viene archiviato dalla società; quindi
essi vengono caricati per dare le disposizioni di pagamento. Tali file sono modificabili
ed in particolare essi possono essere rivisti nei seguenti campi: conto corrente, banca,
valuta, modalità di pagamento, importo. Viene quindi effettuata un'unica quadratura tra
240
il totale costi dai due file excel ed il totale dai cedolini. Non viene formalizzato il
controllo sul contenuto del file del pagamento.
Fatte le modifiche, attraverso l'apposita funzione, viene autorizzato il pagamento da un
dipendente della funzione personale della società (al fine di autorizzare il pagamento è
necessario l’inserimento di una password). Dopo che l’autorizzazione è stata emanata,
viene comunicata alla tesoreria la necessità di effettuare l'invio del pagamento alle
banche. La tesoreria non ha accesso a nessun dato e non può effettuare un controllo
sul totale pagato; essa ha solo la possibilità di effettuare l'invio dei file caricati
precedentemente.
Va sottolineato che la disposizione di pagamento non viene autorizzata da nessun
responsabile.
L’ufficio del personale provvede quindi a telefonare telefona alla banca ed a
comunicare l'importo della disposizione del pagamento.
Tabella 5.3 - Business process: treasury and payment transactions
Subprocesso/
Transazione
Restrizione
all'accesso
Spunta
stampa saldi
in scadenza
Descrizione dell’attività di
controllo, incluso il suo
obiettivo
Obiettivo
informativo
C, A, V, RA
Contribuzione
alle asserzioni
di bilancio
C, A, CO, EO,
RO, VA, CL
Frequenza
dei
controlli
P A
or or
D M
Rischio:
accessi non autorizzati
Controllo:
Il sistema paghe permette
l'accesso mediante
password e ID solo a 3
persone dell'uffico
personale. Il sistema
permette l'invio del
pagamento solamente a
una persona
Rischio:
pagamento partite in
scadenza
Controllo:
Alla fine del mese del
pagamento di competenza
viene lanciata una stampa
da sistema dello
scadenziario fornitori per il
mese considerato. La lista
ottenuta viene spuntata con
la presa visione ed il
controllo delle relative
fatture
R
C, A, EO
As needed
P A
C, A
C, A
mensile
P M
241
Autorizzazione
pagamento
Verifica
disposizione
pagamento
Verifica distina
Riba passive E/C
Quadratura totale
cedolini - file
pagamenti
Quadratura debito
Rischio:
autorizzazione pagamento partite in scadenza
Controllo:
Viene stampata la lista e, con tutte le fatture
allegate, viene portata al CFO per
l'autorizzazione al pagamento. Ottenuta
l'autorizzazione viene fatto l'ordine di
pagamento tramite home banking
Rischio:
mancato addebito pagamenti disposti
Controllo:
Il giorno successivo al pagamento viene
verificato che la disposizione di pagamento sia
stata rispettata. Tale controllo non viene
formalizzato
Rischio:
non completezza della distinta riba passive
Controllo:
Effettuata la spunta di verifica con la lista
presente in estratto conto sull’home banking per
verificare la completezza dei pagamenti
Rischio:
inserimento importi non corretti
Controllo:
Viene effettuata una quadratura tra il totale costi
dai due file excel ed il totale dei cedolini. Tale
controllo fatto a video non viene formalizzato
Rischio:
rilevazione non corretta dei pagamenti
Controllo:
Viene verificato dopo il pagamento che tutti i
debiti verso i dipendenti si siano azzerati
V
E/O
mensile P A
C,A
C,CO
mensile D M
C,A
C,A
mensile D M
C,
A, V
C, A,
CO,
EO
Monthly P M
C, A
C, A,
CO,
EO
Monthly D M
Dall’analisi accurate del processo di gestione finanziaria della società non sono emersi
significativi punti di attenzione.
5.3.4. Il processo del magazzino
5.3.4.1.
Descrizione inventory process
La società, come precedentemente spiegato, risulta essere proprietaria di un
magazzino molto appetibile, per via del valore dello stesso soprattutto su mercati esteri
(ad esempio l’est europeo) piuttosto che sul mercato nazionale.
Al fine di monitorare la merce presente in magazzino, la società mette quindi in piedi
una serie di controlli volti a garantire il più elevato grado possibile di assurance.
242
Per prima cosa il ciclo del magazzino viene scomposto nei differenti centri di costo dai
quali risulta composto, al fine di monitorare il dettaglio e l’effettivo responsabile del
centro stesso.
Ai fini di monitorare correttamente la situazione e di fornire una corretta
rappresentazione gestionale, il magazzino viene scomposto nei seguenti centri di
costo: operation, reparto tecnico produttivo, reparto tecnico, reparto di monitoraggio
della qualità di processo, acquisti e programmazione, finissaggio, plastica, materie
prime, programmazione, assemblaggio, burattatura358, presse, logistica.
Il volume delle transazioni effettuate dalla società è molto elevato e quindi il numero di
articoli detenuti all’interno del proprio magazzino è consistente, nell'ordine di 10.000, di
cui attivi 3.500 circa.
La società si avvale di circa 40 terzisti che quindi fungono anche da depositari. Non vi
sono tuttavia depositari in senso stretto. La società lavora per magazzino al 99%. Tale
dato indica che la società lavora pochissimo sulla base di ordini specifici.
Gli inventari fisici (come visto una procedura che permette di monitorare l’esistenza del
materiale e l’accuratezza delle relazioni contabili) vengono svolti mediamente una volta
all'anno per la chiusura dell'esercizio. In aggiunta a tale procedura, risulta posto in
essere qualche controllo di efficienza sui prodotti finiti durante l'esercizio.
Il numero di fornitori di cui la società si avvale per le lavorazioni esterne è variabile,
sulla base delle esigenze produttive.
L'anagrafica prodotti è creata, viene gestita ed aggiornata dall'ufficio tecnico.
L'accesso all'anagafica è consentito tramite password che il sistema richiede di
cambiare ogni 90 gg.
ln circostanze particolari il file può essere modificato dal responsabile della logistica e
dall'ufficio acquisti (in questo caso solo per modificare le caratteristiche delle materie
prime da acquistare).
Le modifiche apportate possono essere verificate in quanto esiste la possibilità di
stampare un record indicante gli aggiornamenti apportati.
Tutti gli aggiornamenti avvengono on line.
358
Lavorazione meccanica di finitura superficiale (definizione fonte sito internet: www.wikipedia.org,
enciclopedia telematica)
243
Per quanto riguarda la distinta base, essa viene creata dall’ufficio tecnico che
predispone una scheda tecnica per ogni modello di occhiale.
Una volta creata la stessa viene alimentata sia dall'ufficio acquisti (costo standard delle
materie prime e delle lavorazioni) sia dall'ufficio tempi e metodi (tempi e costi dei
diversi cicli di lavorazione).
Si tratta di una distinta base scalare che può essere esplosa in più livelli.
Si possono distinguere tre distinte base a seconda del tipo di prodotto:
 P: codice prodotto finito;
 L: codice conto/lavoro;
 A: codice di acquisto.
Nel calcolo del costo complessivamente attribuibile ad un prodotto, entrano sia i costi
degli stampi sia il ribaltamento degli overheads.
Per quanto riguarda la gestione dei movimenti del magazzino, la procedura seguita
dalla società è la seguente:
 Vi è un ordine di produzione di livello superiore che identifica le quantità da
produrre (la società lavora "per magazzino");
 All'inserimento dell'ordine superiore si crea un "impegno" che identifica le
quantità di materiali del livello sottostante che devono essere utilizzati;
 Nel caso in cui questi ultimi siano disponibili e non siano impegnati da altri ordini
di produzione, vengono impegnati dall'ordine suddetto. Nel caso in cui non siano
liberi si crea un ordine per i materiali dello stadio di produzione sottostante e
così via a cascata fino ad arrivare alla materia prima che, se non è sufficiente,
viene acquistata tramite l'inserimento di un ordine d'acquisto;
 Nel caso di "impegno" di materiali, si crea una bolla interna di ordine-lavoro
tramite la quale avvengono i passaggi da un magazzino ad un altro (ad esempio
dal magazzino materie prime al conto lavoro e da questo al magazzino prodotti
finiti); non ci sono mai momenti in cui la merce non sia ubicata (cioè o è in
produzione o si trova in un magazzino) e il versamento avviene sempre in
automatico;
244
 Lo scarico della materia prima e gli impegni dei materiali avvengono in
automatico alla conferma della bolla interna di ordine-lavoro;
 Sono possibili forzature (autorizzate dai responsabili di cui sopra);
 Le lavorazioni esterne sono gestite da un ordine di conto lavoro che impegna la
merce e che crea in automatico una bolla di trasferimento che gestisce il
passaggio dal magazzino interno al magazzino del terzista; quando la merce
ritorna in azienda e passa il controllo qualità, avviene lo scarico del conto lavoro
ed il passaggio al magazzino interno.
L'inventario fisico avviene in unica soluzione per la chiusura dell'esercizio (inventario
completo). In corso d'anno, nei periodi in cui la produzione ha una fase di calo, vi sono
dei controlli a campione per valutare l'allineamento tra il fisico ed il contabile.
La procedura inventariale risulta essere formalizzata.
Le ubicazioni sono diverse nel senso che ci sono più magazzini. Tuttavia la società non
fa uso di cartellini inventariali nel corso della conta fisica359 fatta eccezione per il
magazzino dei prodotti finiti. I cartellini, tuttavia, non sono gestiti a sistema.
La valorizzazione del magazzino viene fatta dal sistema in modo automatico con
frequenza mensile.
La società effettua i controlli sulle quantità (tramite l'inventario fisico ed il conseguente
adeguamento del contabile al fisico) e sui valori (tramite le verifiche periodiche del CED
per valutare la correttezza della procedura di determinazione del costo medio). Inoltre a
fine anno (o in periodi infrannuali) vengono effettuate delle quadrature a livello overall
per verificare la ragionevolezza dei costi standard ed i costi di iscritti in contabilità
generale.
Le materie prime presenti nel magazzino vengono valutate al costo d'acquisto al quale
si sommano gli oneri accessori e si sottraggono gli sconti commerciali. Le rimanenze
iscritte come semilavorato vengono valutate sulla base dello stato di avanzamento
della distinta base. Infine i prodotti finiti vengono valutati al costo medio ponderato.
La società effettua delle campagne promozionali saltuarie per smaltire lo slow moving
di alcuni codici a magazzino, previa autorizzazione della direzione.
359
L’utilizzo dei cartellini risulta utile ai fini di permettere una conta più corretta e di non sbagliarsi
contando due volte la stessa rimanenza
245
Il costo medio orario della manodopera diretta e indiretta viene comunicato dall'ufficio
personale all'ufficio tempi e metodi.
Il costo medio orario viene costruito ad inizio anno sulla base dei costi e delle ore
lavorabili a budget. Solamente a fine anno è quindi possibile verificare se da tale stima
si sia verificato un sotto/sovra assorbimento di costi.
A seconda che si tratti di un ciclo standard oppure automatico l'ufficio tempi e metodi
ribalta anche una certa percentuale di inefficienze che può variare da uno 0% (cicli
automatici) ad un massimo del 15% per alcuni cicli standard.
In questo modo vengono ribaltate sul magazzino delle inefficienze produttive non
ammesse dai principi contabili, ma utilizzate a livello gestionale.
Esiste un costo standard stabilito ad inizio anno per quanto riguarda la valorizzazione
della materia prima. Il sistema tuttavia consente di avere in ogni momento il costo
medio effettivo. E’ da rilevare che la società calcola il costo medio della materia prima
per singola ubicazione e ciò potrebbe comportare delle incongruenze di valutazione di
materie con lo stesso codice ma ubicazioni differenti.
Il costo effettivo dello stampo viene diviso per il numero di pezzi che si prevede di
vendere complessivamente a budget. In questo modo viene calcolato un costo medio a
pezzo che viene ribaltato sul costo del prodotto.
I costi effettivamente ribaltati dipendono quindi dalla previsione sui pezzi venduti,
un'eventuale sovra/sotto stima comporterebbe un sotto/sovra assorbimento.
Per quanto riguarda gli overheads costs, viene calcolata un’incidenza media
rispettivamente sui costi totale di materia prima - costi di lavorazione - costi di acquisto
prodotto finito.
Sulla base di tali percentuali, inserite a sistema, avviene il ribaltamento degli
overheads.
Periodicamente tale analisi viene rivista e valutata l'opportunità di aggiornare le
percentuali a sistema.
Gli overheads vengono caricati sui semilavorati al momento del prelievo a fronte di un
ordine di lavorazione.
246
Non vengono invece caricati oneri accessori (costi di trasporto e dazi) sulle materie
prime in anticipo rispetto al loro versamento in produzione con il quale vengono versate
in un nuovo codice di semilavorati.
Il sistema effettua un confronto automatico tra il costo medio dei carichi a magazzino
ed il costo standard ogni volta che un ordine di produzione viene interamente versato.
Nel caso in cui ci sia una variazione superiore al 5% il sistema effettua una rettifica
automatica per riportare il medio al costo standard.
Per i prodotti finiti per i quali l'ordine di produzione è ancora aperto a fine anno in
quanto il lotto non è stato ancora interamente versato, si possono verificare errori di
sistema nel calcolo del costo medio (può venire versato l'intero costo dei materiali del
lotto sui soli prodotti versati). Per questo viene fatta da parte del controllo di gestione
una verifica mensile dei codici con scostamento standard-effettivo per deposito
superiore ai 5.000 Euro. Vengono inoltre rettificati tutti i codici con valore unitario
negativo.
Il controllo di gestione interno sta inoltre intensificando i controlli su tali problematiche
abbassando ogni mese il livello di materialità delle proprie analisi, al fine di avere
sempre più in mano una gestione corretta del processo e monitorata in ogni sua fase,
anche nelle fasi maggiormente carenti.
5.3.4.2.
Ricevimento della merce
Il ricevimento della merce da parte della società include diversi rischi che sono stati
individuati dalla stessa. Al fine di procedere ad una loro copertura tramite le attività di
controllo interno, è necessario individuare tutti i rischi che potrebbero inficiare in
maniera significativa la correttezza e veridicità dell’informativa finanziaria.
In primo luogo, va evidenziato il sistema di restrizioni di accesso al sistema. Il rischio è
che il personale non autorizzato possa effettuare delle operazioni di entrata merce.
I controlli chiave sono costituiti dal fatto che il sistema gestionale SAP limita al
personale autorizzato mediante USER ID e password la possibilità di accedere al
sistema e di effettuare le operazioni di entrata merce.
Il sistema di stoccaggio limita al personale autorizzato mediante USER ID e password
la possibilità di accedere al sistema e di effettuare le movimentazioni di magazzino.
247
Risulta importante da considerare anche l’entrata merce di prodotti finiti alla piattaforma
logistica. All’arrivo del vettore nel magazzino accettazione, l'utente controlla i colli con
quanto riportato sulla bolla e richiama la BEM (Bolla Entrata Merci) dal sistema. Con la
pistola a radiofrequenza viene richiamata la BEM e vengono scannerizzati i codici a
barre dei vassoi entrati. Il sistema segnala un warning se mancano dei codici o se ci
sono codici non previsti o in sovrannumero (+10%). I prodotti arrivano dalla produzione
o dal magazzino. I controlli fisici vengono effettuati o in uscita dalla produzione o dal
magazzino quindi non nel magazzino.
I vassoi possono arrivare già con il codice a barre interno di M indicante il singolo
vassoio con il modello oltre che con il codice a barre indicante il modello o può essere
incollato e stampato al momento nel magazzino.
L'utente carica fisicamente a magazzino la merce e la colloca nello scaffale
determinato dal sistema; a questo punto scannerizza il codice a barre della posizione e
il sistema associa così definitivamente il vassoio con la sua posizione.
Il rischio inerente a tale procedura riguarda il fatto che i materiali ricevuti potrebbero
non
corrispondere
a
quelli
ordinati
e
le
differenze
non
essere
registrate
tempestivamente; inoltre i beni potrebbero non essere registrati nel corretto periodo di
competenza.
I controlli posti in essere dall’azienda per ripararsi dal rischio sopra evidenziato sono
differenti:
 Controllo di correttezza e completezza della merce ricevuta con il documento di
trasporto tramite pistola a radiofrequenza;
 Esistenza ordine di acquisto: nel caso venga inserito un ordine errato, il sistema
blocca l’operazione di entrata merce;
 Verifica correttezza e completezza informazioni della bolla con BEM (SAP);
 Nel caso di differenze tra BEM e ricevuto superiori a una soglia di tolleranza
(+10% o anche un solo pezzo), il sistema segnala tale differenza tramite un
warning e blocca il carico a magazzino fino allo sblocco da parte dei
responsabili;
 L’addetto al magazzino non può modificare la BEM;
248
 Richiamo su StockSystem del pre-carico tramite BEM e verifica correttezza e
completezza del pre-carico.
Il secondo rischio che può sorgere inerentemente all’entrata merce dei prodotti finiti alla
piattaforma logistica riguarda l’eventuale disallineamento delle giacenze tra i due
sistemi di gestione del magazzino.
Anche in questo caso la società pone in essere i controlli chiave adeguati ai fini della
copertura del rischio. Essa controlla la completezza del trasferimento dati: il personale
dei sistemi informativi verifica l'allineamento del sistema gestionale SAP con il sistema
di gestione delle scorte di magazzino. Ogni fine giornata viene verificata la chiusura del
magazzino di transito.
Un altro aspetto da valutare nel sistema di controlli interni al fine di ottenere un grado
sufficientemente elevato di assurance ai fini della redazione dell’informativa finanziaria
riguarda l’entrata merce di prodotti finiti da terzisti.
Il magazzino è di transito dove i prodotti provenienti dall'Asia e dall'Italia vengono
controllati fisicamente per verificarne la qualità. I prodotti provenienti dall'Asia vengono
controllati a campione mentre quelli provenienti dall'Italia vengono controllati al 100%. I
prodotti idonei vengono poi consegnati alla piattaforma logistica.
Il rischio è che i materiali ricevuti non corrispondono a quelli ordinati e le differenze non
vengono registrate tempestivamente; inoltre i beni potrebbero non essere registrati nel
corretto periodo di competenza.
I controlli chiave effettuati dalla società riguardano il check del controllo fisico
dell’integrità della merce ricevuta ed il controllo di correttezza e completezza della
merce ricevuta con il documento di trasporto; la società verifica inoltre la correttezza e
completezza informazioni del documento di trasporto con ordine di acquisto.
Un altro aspetto da tenere in considerazione da parte della società circa le entrate
merci a magazzino riguarda l’entrata merce di materiale pubblicitario e di materiale per
confezionamento e imballaggio a piattaforma logistica. All’arrivo del vettore nel
magazzino accettazione, l’addetto alla ricezione controlla il materiale con quanto
riportato sul documento di trasporto e firma la bolla. L'utente controlla i colli con quanto
riportato sulla bolla e richiama la BEM (Bolla Entrata Merci) dal sistema. Con la pistola
a radiofrequenza viene richiamata la BEM e vengono scannerizzati i codici a barre dei
249
vassoi entrati. Il sistema segnala errore se mancano dei codici. I codici vengono
stoccati nel magazzino fisico e, da un punto di vista logico, nel magazzino di SAP.
I vassoi possono arrivare già con il codice a barre interno di M oltre che con il codice a
barre indicante il vassoio con il modello.
L'utente carica fisicamente a magazzino la merce e la colloca nello scaffale
determinato dal sistema; a questo punto scannerizza il codice a barre della posizione e
il sistema associa così definitivamente il vassoio con la sua posizione.
Il rischio associato a tali operazioni è che i materiali ricevuti non corrispondano a quelli
ordinati e che le differenze non vengano registrate tempestivamente; inoltre i beni non
sono registrati nel corretto periodo di competenza.
Gli auditor della società effettuano quindi un controllo di correttezza e completezza
della merce ricevuta con il documento di trasporto. Per testare inoltre l’esistenza ordine
di acquisto, è impostato un sistema che automaticamente effettua una verifica: nel
caso venga inserito un ordine errato, il sistema blocca l’operazione di entrata merce.
Per quanto riguarda infine l’operazione di entrata resi a piattaforma logistica, il cliente
che rende la merce solitamente decide di restituire il pezzo difettato senza che sia
intercorsa alcuna comunicazione preliminare con l’azienda o con una comunicazione
molto sommaria. L’ufficio dell’after sales della logistica (che gestisce anche questo
genere di controversie) riceve la merce da sostituire e ne dà notizia al customer service
Italia con un modulo con la descrizione dei modelli e dello stato degli stessi, perché
possa dare avvio al processo di reso. Il customer service Italia crea un ordine di reso
per sostituzione. L’ordine di reso è il riferimento rispetto al quale deve essere creata la
consegna della merce difettata restituita dal cliente. Dopo la creazione dell’ordine di
reso, la Logistica può avviare il processo di entrata delle merci creando il relativo
documento di consegna. Il processo di reso si chiude con la registrazione dell’entrata
merci in SAP e il contestuale carico in magazzino. A questo punto il customer service
Italia può procedere alla sostituzione.
Quando viene concessa l’autorizzazione per un reso dalle filiali o dai distributori, il
customer service Italia crea un ordine di reso a sistema; il numero dell’ordine
corrisponde al numero di autorizzazione e viene pertanto inviato al cliente come
riferimento per la spedizione della merce. Il cliente spedisce la merce in reso, indicando
sul modulo di reso il numero dell’ordine di reso ricevuto dal customer service. La merce
250
in reso arriva all’ufficio after sales della logistica che verifica l’esistenza della
documentazione accompagnatoria (bolla e modulo reso) e confronta i dati della
spedizione con i dati registrati nel corrispondente ordine di reso inserito a sistema. Se
le verifiche fatte a sistema sono positive, gli operatori della logistica possono avviare la
merce al processo di consegna in entrata; in caso di incongruenze invece possono
anche respingere la merce al mittente: di norma, però nei casi di resi estero, soprattutto
dalle filiali, ciò non succede e la merce viene comunque fatta entrare. Il cliente riceve la
merce respinta. Quando la merce in reso viene accettata, la logistica può avviare il
processo di entrata delle merci creando il relativo documento di consegna. Il processo
a magazzino si chiude con la registrazione dell’entrata merci in SAP e il contestuale
carico in giacenza.
Il rischio di tali operazioni consta nel fatto che i codici caricati a magazzino non siano
esattamente quelli resi, pertanto i materiali ricevuti non corrisponderebbero a quelli
dell'ordine di reso e le differenze non verrebbero segnalate al sistema.
Gli auditor interni della società, per ripararsi da tale rischio, hanno quindi impostato un
sistema di controllo, che viene eseguito manualmente dall'utente del magazzino che
compila il modulo prestampato da inviare al customer service. Egli deve infatti
controllare il reso con la consegna di reso di SAP e può caricare il magazzino solo se
le due coincidono. Altrimenti spetta al customer service decidere se cambiare la
consegna di reso o non accettare il reso.
5.3.4.3.
Movimentazioni interne
Anche per quanto riguarda le movimentazioni di merce all’interno della società, vi è il
rischio che il personale non autorizzato possa effettuare operazioni di movimentazione
merce.
Per scongiurare tale rischio, gli auditor hanno impostato alcuni controlli chiave che
riguardano l’apposizione di limiti di accesso al sistema. Il sistema gestionale SAP limita
infatti al solo personale autorizzato mediante USER ID e password la possibilità di
accedere al sistema e di effettuare le operazioni di entrata merce. Il sistema di
stoccaggio limita inoltre al personale autorizzato mediante USER ID e password la
possibilità di accedere al sistema e di effettuare le movimentazioni di magazzino.
251
Le movimentazioni interne piattaforma logistica avvengono per spostamento di prodotti
per il confezionamento o per l'imballaggio prima della spedizione.
Tutte le movimentazioni avvengono con una picking list generata dal sistema con la
quale l'utente va a prelevare i vassoi. La picking list è caricata a sistema e quindi anche
sulla pistola, l'utente stampa la picking list, legge i codici a barre quindi il sistema
segnala il percorso da eseguire per il prelievo. Durante i prelievi l'utente scannerizza i
codici a barre dei codici.
Il magazzino è suddiviso su due livelli, sul primo livello avvengono il ricevimento merci
e lo stoccaggio dei codici da confezionare e le movimentazioni per il confezionamento
delle linee; inoltre in tale magazzino vengono anche stoccati gli astucci e gli imballi. Al
secondo livello avviene lo stoccaggio di tutte e due le linee: linea secondaria e linea
confezionata. Questo livello è suddiviso logicamente in due sotto magazzini:
magazzino picking con i codici da prelevare per la spedizione ed il magazzino scorte
per i codici di scorta. C'è inoltre il magazzino parti di ricambio gestito da un altro
modulo nel sistema. Le movimentazioni su questo livello sono lo spostamento dei
codici da un magazzino ad un altro ed il relativo spostamento dei codici.
Il rischio che si presenta in questo caso è che tutti i movimenti di materiali non siano
supportati
da
richieste
di
trasferimento
valide
ed
autorizzate,
registrate
tempestivamente in modo accurato e completo.
Per non permettere che tale rischio comporti un errore, gli auditor della società
effettuano un controllo di completezza del trasferimento dati: il personale dei sistemi
informativi verifica l'allineamento tra il gestionale SAP e il sistema di prelievo della
merce dal magazzino.
Inoltre tutte le movimentazioni vengono registrate in modo automatico sul sistema di
carico e scarico del magazzino, che è impostato in maniera da controllare in
automatico quali non vengano eseguite.
5.3.4.4.
Le uscite di magazzino e le vendite
Per permettere una corretta gestione dell’uscita di merce per vendita diretta o
spedizione a filiali da piattaforma logistica, la società ha impostato il gestionale SAP
attraverso una transazione che trasforma gli ordini in consegne da evadere.
252
Le consegne vengono importate nel sistema di gestione del magazzino sottoforma di
picking list. L'utente preleva con la picking list e la pistola a radiofrequenza i codici dal
magazzino e li porta sul banco di controllo. Qui i codici vengono controllati da un altro
utente che verifica la completezza del prelievo con la pistola e la picking list a monitor.
Se il prelievo risulta completo dalla scannerizzazione della pistola allora avviene
rilasciato dal sistema la conferma della consegna e da SAP viene scaricato il
magazzino. A questo punto SAP genera anche la documentazione necessaria per la
consegna: codice a barre per lo spedizioniere con indirizzo e dati prodotto (ad es.
peso) e la bolla di accompagnamento (Ddt).
Se la picking list non può essere completata viene modificata la consegna su SAP.
Il rischio di tale procedura è che i prodotti inviati al cliente non siano gli stessi della
picking list. Viene quindi posto in essere un duplice controllo chiave: il primo è eseguito
dall'utente che preleva e che scannerizza i codici a barre dei prodotti prelevati; la
pistola scarica automaticamente dalla picking list memorizzata i codici prelevati.
Il secondo è eseguito al banco di controllo dove un altro utente scannerizza i codici a
barre degli stessi prodotti e a monitor verifica la corrispondenza con la picking list.
Quest'ultimo controllo annulla la possibilità che nel picking si fosse scannerizzato un
codice diverso da quello effettivamente prelevato.
L’uscita merce per ricambi da piattaforma logistica viene effettuata dal sistema
gestionale SAP attraverso una transazione che trasforma gli ordini in consegne da
evadere. Le consegne vengono importate sottoforma di picking list. L'utente preleva, in
modo robotizzato, i codici segnalati e dà la conferma dei prelievi effettuati. Quando il
prelievo è terminato, il sistema dà la conferma a SAP dell'avvenuta consegna e da SAP
viene scaricato il magazzino. A questo punto SAP genera anche la documentazione
necessaria per la consegna: codice a barre per lo spedizioniere con indirizzo e dati
prodotto (ad es. peso) e il Ddt.
Il rischio è che i ricambi caricati nel magazzino ricambi non corrispondano
effettivamente a quelli dell'ordine di vendita.
Inoltre può anche succedere che i ricambi vengano inviati ad un cliente diverso da
quello presente nell'ordine di vendita e l'invio non sia autorizzato.
253
La società pone in essere alcuni controlli chiave per scongiurare il verificarsi del rischio.
Innanzitutto deve essere presente l’autorizzazione alla spedizione da sistema. In
secondo luogo viene effettuato un controllo di completezza ed accuratezza di quanto
richiesto da spedire e quanto viene predisposto per la spedizione.
5.4.
La valutazione da parte dell’auditor esterno dei principali rischi dopo la
valutazione dei processi aziendali: la costruzione dell’Audit Comfort Matrix
La società pone in essere una struttura che sia in grado di evidenziare i vari passaggi
che le diverse pratiche aziendali comportano.
Le diverse attività, a partire dall’input di entrata fino all’output finale, costituiscono il
processo (come già definito nei precedenti capitoli). I processi chiave della società,
individuati nel paragrafo precedente, devono essere compresi ai fini di effettuare una
valutazione corretta dei rischi che permangono in capo alla società circa eventuali
lacune di processo (o al peggio carenze di disegno).
Dopo aver compreso nello specifico i processi, l’auditor procede con la valutazione di
tutti quei rischi che vengono considerati chiave, nel senso che potrebbero portare ad
un errore che inficia in maniera significativa ed errata la situazione patrimoniale,
economica e finanziaria della società.
Per fare ciò l’auditor, come visto nel capitolo 3 di tale trattazione, si avvale di strumenti
quali l’audit comfort matrix.
L’ACM preparata dalla società di revisione nei confronti della società M Spa contempla
diversi key risks, per i quali viene valutata la risposta effettuata dal management della
società tramite l’ausilio di controlli specifici al fine di non permettere che il rischio porti
ad errori materiali.
254
Tabella 5.4 - L’audit comfort matrix di M Spa
Obiettivo di
business
Ricerca di nuove
licenze e
sviluppo di
quelle già in
portafoglio
Rischio di
business
Ottenimento
licenze con
elevate
royalties e/o
minimi
garantiti
Key Risks
Controlli
Asserzioni e
posti in
relativa area di
essere dal
bilancio
managemen
t
Specie in
Royalties: A, C, CO,
occasione del E, V
fine esercizio il
management
della società
analizza
l'andamento
delle vendite
per singola
griffe
valutando e
negoziando
con il
licenziante
eventuali
impatti di
minimi
garantiti
I contratti di
licenza con i
detentori delle
griffes prevedono
generalmente
(oltre che la
compartecipazion
e alle spese
pubblicitarie del
licenziante) il
riconoscimento di
royalties minime
garantite annue
che, in occasione
di vendite al di
sotto delle attese,
potrebbero far
sorgere
un'obligation in
capo al
licenziatario.
Nel corso del
Vendite
Tipicamente il
I crediti sono
2006 la società effettuate a
settore
tenuti sotto
ha definito un
distributori
dell'occhialeria- osservazione
business plan
/clienti non
luxury concede con stretto
2006-2008 con solvibili
significative
monitoraggio
l'obiettivo di una
dilazioni
da parte del
crescita notevole
commerciali al
management
del fatturato
canale retail. Tali della società
grazie alle nuove
dilazioni da una che provvede
griffe acquisite.
parte permettono ad attivare le
L'obiettivo per il
alla società di
eventuali
2007/2008 è
ampliare le quote azioni di
quindi quello di
di mercato ma
recupero per
vedere un
potrebbero
le posizioni
aumento
comportare
incerte
considerevole
eventuali perdite
del fatturato
su crediti.
Nel corso del
Considerando Le partecipazioni Il
2006 la società che la
vengono valutate management
ha definito un
struttura del in base
procede ad
business plan
gruppo vede all'impairment
analizzare i
2006-2008 con un'unica unità test effettuato con risultati actual
l'obiettivo di una produttiva
cadenza almeno prodotti dalle
crescita notevole mentre le altre annuale. Nel
partecipate
del fatturato
società
corso del 2006
tramite il
grazie alle nuove svolgono
alcune
controllo di
griffe acquisite. principalmente partecipazioni
gestione. Per
L'obiettivo per il solo attività
hanno subito
il periodo
2007/2008 è
commerciale. delle svalutazioni 2005-2008 il
quindi quello di Il mancato
CdA della
vedere un
raggiungiment
società ha
aumento
o degli
approvato un
255
Approccio di
audit
Verifica della
ragionevolezza
del calcolo delle
royalties e della
loro
completezza
attraverso
l'analisi degli
accordi con i
licenzianti
F.do svalutazione
crediti/Crediti
Analisi e verifica
della
ragionevolezza
del f.do
svalutazione
crediti stimato
dalla società
Bilancio separato:
Partecipazioni
Verifica,
mediante
supporto del
corporate
finance, dei test
di impairment
effettuati dalla
società. Verifica
della
ragionevolezza
dei budget usati
per il calcolo
dell'impairment
considerevole
del fatturato
Rafforzamento
del know how di
ideazione e
sviluppo del
prodotto /
Innovazione
continua delle
linee
Negli anni
passati la
società ha
effettuato
importanti
acquisizioni in
America e
Francia per
ampliare la
propria gamma
di prodotti e la
sua presenza
nelle aree
ritenute più
strategiche
Ottenimento,
anche attraverso
il ricorso
all'indebitamento
finanziario, di
sufficienti risorse
per supportare
l'attività della
società e
l'incremento di
fatturato
prefissato a
business plan
obiettivi di
business plan
potrebbe
comportare
una perdita di
valore delle
subsidiaries
business plan
dettagliato per
le società del
gruppo. Il
management
provvede,
laddove, è
necessario ed
in base ai dati
actual a
rivedere il
business plan
triennale
approvato
Breve ciclo di Il gruppo deve
Il gruppo
F.do obsolescenza di Test Nrv,
vita delle linee gestire il
implementa, in magazzino/Rimanenz verifica e analisi
occhiali
fenomeno
Italia, politiche e di magazzino
ragionevolezza
(soprattutto
dell'obsolescenza commerciali di
f.do
per quanto
commerciale
smaltimento
obsolescenza di
riguarda gli
delle merci a
dell'eccedenza
magazzino
occhiali da
rimanenza,
attivando il
sole) /
principalmente
canale outlet
Obsolescenza indotto dal
con vendite a
magazzino
fenomeno della stock
moda, e valutare
compiutamente il
valore di realizzo
di tali assets.
Rischio che gli Il bilancio
A livello locale Bilancio consolidato: Analisi e
investimenti consolidato
il management Immobilizzazioni
verifica, con il
effettuati non evidenzia
evidenzierà le immateriali:
supporto del
permettano di significativi
azioni
V, RO
corporate
raggiungere i importi riferibili ad correttive più
finance, degli
ricavi futuri
avviamenti pagati appropriate
impairment
stimati
e marchi/licenze nelle
effettuati dalla
riconosciuti in
circostanze
società
occasione di
svolgendo un
acquisizioni
test di
passate. Con
impairment
l’andamento delle
vendite 2007 e le
possibili cessioni
il valore di tali
intangible
potrebbe risultare
non recuperabile
Ottenimento di Alcuni significativi I covenants
Debiti vs banche:
Verifica del
risorse
finanziamenti
sono oggetto CO, PD, A, C
rispetto dei
finanziarie
presentano dei
di continuo
covenants.
collegate a
covenants il cui monitoraggio.
Verifica dei
possibili
mancato rispetto Nel corso del
rimborsi
covenants il può comportare 2006 la
effettuati nel
cui mancato l'immediato
società ha
corso
rispetto può rimborso del
effettuato un
dell'esercizio.
comportare
finanziamento
aumento di
Verifica della
esborsi
(oltre che la
capitale
corretta
finanziari
classificazione a sociale di 28
contabilizzazion
breve del debito) Euro/mio con
e del debito
l'obiettivo di
residuo con la
migliorare i
metodologia
propri rates e
dell'amortized
256
di
conseguenza
evitare
eventuali
sforamenti dei
covenants
Cercare,
A causa
Nel corso degli
I contratti di
Derivati/F.di rischi ed
attraverso
dell'aleatorietà esercizi
finanza
oneri:
contratti di
dello
precedenti la
innovativa e la V, PD, A, C
finanza
strumento
società ha
loro
innovativa di
possono
stipulato contratti valutazione
coprirsi da
generarsi
di finanza
sono
eventuali
passività per innovativa
costantemente
oscillazioni sui la società
speculativi con
monitorati dal
rischi di tasso in
diverse banche. management.
particolare sul
Nel corso del
fronte
2007 è
dell'indebitament
prevista la
o bancario
stesura di una
apposita
procedura
interna per la
loro
valutazione
N/a
Rischio di
La struttura di
La società ha Bilancio
frode
governance del iniziato a
consolidato/bilancio
gruppo e della
dotarsi di
separato
capogruppo
codici di
vedono coinvolti comportament
membri di due
o e comitati
famiglie come
preposti alla
azionisti di
governance
riferimento, tale che di fatto
per cui potrebbe dovrebbero
essere latente il limitare il
rischio di
rischio di
"vedere" l'azienda frode. I
come un bene di comitati sono
famiglia
costituiti da
managers
indipendenti e
professionals
di nota fama,
che
consentono di
mantenere
uno stile di
governance
equilibrato ed
imparziale.
Inoltre il CDA
è formato in
prevalenza da
consiglieri non
esecutivi
(otto), la
maggioranza
dei quali
(cinque) si
qualificano
come
257
cost
Verifica anche
attraverso il
supporto del
corporate
finance della
corretta
valutazione
degli strumenti
derivati in
essere alla data
del bilancio
Colloqui con il
management e
test di dettaglio
(per esempio
sondaggi di
conformità,
riconciliazioni
bancarie,
circolarizzazion
e
clienti/fornitori)
N/a
Revenue
recognition
Rischio che i
ricavi della
società non siano
correttamente
stanziati per
competenza
indipendenti.
L'emissione
Ricavi
della fattura è
contestuale a
quella del ddt.
Il rischio di
eventuali
problemi di cut
off è quindi
limitato
Colloqui con il
management
nell'ambito del
rischio di frode.
Circolarizzazion
e dei principali
clienti, test di
cut off di fine
anno
5.4.1. I test di dettaglio dell’auditor esterno
Come già visionato all’interno dei capitoli precedenti (in particolare, si rimanda al
capitolo 2 della trattazione) il revisore esterno effettua una serie di test di dettaglio con i
quali è in grado di evidenziare a campione gli eventuali errori presenti sul bilancio ed è
in grado di esprimere il proprio giudizio professionale.
I test vengono svolti per ogni area di bilancio, ma in particolare la quantità di tali test ed
il dettaglio sul quale basarsi ai fini dello svolgimento del lavoro di audit viene deciso
sulla base del rischio e della possibilità di fare affidamento sui processi.
Nei sottoparagrafi successivi, si riporta l’esempio di alcuni dei test di dettaglio eseguiti
dalla società di revisione PricewaterhouseCoopers sul bilancio della M Spa ai fini
dell’emissione del proprio giudizio professionale, sulla base delle eventuali carenze
individuate nel disegno o nella realizzazione dei processi, precedentemente valutati
(sulla base dell’impostazione che il sistema di controllo interno della società ha
introdotto nella stessa, al fine da ripararsi da eventuali errori significativi e che
potrebbero inficiare il giudizio del lettore del bilancio).
5.4.1.1.
I test sul ciclo attivo
5.4.1.1.1. Le substantive analytical procedures
Sulla voce dei crediti verso i clienti iscritti in bilancio, la prima cosa da fare è effettuare
una valutazione sui giorni medi di incasso dei crediti, al fine di crearsi un’aspettativa
sull’ammontare dei crediti che ci si aspetta siano iscritti in bilancio.
258
Esempio 5.1 - Analisi giorni medi di incasso
i
dei crediti
Voce – Crediti (€/000)
31.12.2007
Ricavi ITALIA
Ricavi ESTERO
10.681
11.727
Fatturato Italia + IVA al 20%
Fatturato estero
12.817
11.727
gg medi attesi PwC 31.12.07
90
Crediti verso terzi attesi PwC
5.525
Crediti ITALIA bive 31.12.07
Crediti ESTERO bive
31.12.07
3.342
Delta
Delta %
(204)
-4%
2.387
La prima cosa da fare successivamente riguarda seguire i quattro step di cui al
paragrafo 3.3.1.1. della presente trattazione:
 Sviluppare un’aspettativa: sulla base del trend storico e dei giorni medi di
incasso dei crediti commerciali verso terzi è emerso che in generale la società
ha accorciato i tempi dal momento
momento della fatturazione a quello dell'incasso del
credito. Da discussione con la società è emerso che la situazione dei crediti
risulta molto positiva rispetto all'aumento considerevole del fatturato. Questo
deriva principalmente da:
 nuova politica dei capi
cap area vendita di eliminare ciò che non risulta
economicamente redditizio
redditizi puntando alla qualità e non solo alla quantità;
ciò è dettato anche dai nuovi requisiti previsti nei contratti stipulati con i
vari licenzianti;
 aumento degli incassi per via del positivo
positivo andamento delle vendite;
 costante monitoraggio dei crediti da parte dell'ufficio clienti e legale, che
ha aumentato l'attività per ottenere pagamenti tramite vie legali.
Tutte queste condizioni hanno portato a creare un'aspettativa di ulteriore
diminuzione dei giorni
iorni medi di incasso;
259
 Definire una soglia di significatività dell’errore: tale soglia è stata scelta sulla
base di quanto previsto per la planning materialità;
 Computare l’eventuale differenza riscontrata: non sono state riscontrate
significative differenze rispetto all’aspettativa definita;
 Non serve investigare le differenze, in quanto non presenti.
Infine viene investigato l’andamento dei crediti commerciali, oggetto della verifica, nel
corso dell’ultimo esercizio, rapportato con il precedente.
Esempio 5.2 - Andamento crediti commerciali
Voce - Crediti
31.12.2007
30.06.2007
31.12.2006
30.06.2006
Delta '07/'06
Delta % '07/'06
CREDITI COMMERCIALI
CLIENTI TERZI
8.729
11.183
8.917 9.374
-188
-2%
di cui ITALIA
6.342
8.125
6.878 7.009
-536
-8%
di cui ESTERO
2.387
3.057
2.040 2.364
347
17%
CREDITI COMMERCIALI
VERSO IMPRESE GRUPPO
6.898
6.739
5.490 4.922
1.407
26%
Crediti comm I/C
6.898
6.739
5.490 4.922
1.407
26%
15.627
17.921
14.408 14.295
1.219
8%
TOTALE CREDITI
COMMERCIALI
Voce - Fatturato
31.12.2007
30.06.2007
31.12.2006
30.06.2006
Delta '07/'06
Delta % '07/'06
RICAVI VERSO TERZI
22.408
13.624
18.651 10.369
3.757
20%
di cui ITALIA
10.681
6.583
10.505 5.994
176
2%
di cui ESTERO
11.727
7.041
8.146 4.376
3.581
44%
RICAVI INTERCOMPANY
33.758
18.473
23.556 12.224
10.202
43%
TOTALE RICAVI DELLE
VENDITE E DELLE
PRESTAZIONI
56.166
32.097
42.207 22.593
13.959
33%
Fatturato Italia + IVA al 20%
3.662
2.257
3.602 2.055
60
2%
Fatturato estero
3.351
2.012
2.327 1.250
1.023
44%
Voce - Analisi gg incasso
medi
31.12.2007
30.06.2007
31.12.2006
30.06.2006
Delta '07/'06
Delta % '07/'06
Calcolo gg medi di dilazione di
incasso Italia su crediti puntuali
623
648
687 614
(64)
-9%
incasso Italia su crediti medi
650
604
1.510 2.399
(860)
-57%
incasso Estero su crediti
puntuali
256
274
316 340
(59)
-19%
incasso Estero su crediti medi
238
243
676 1.185
(438)
-65%
260
Calcolo gg medi di dilazione
incasso terzi su crediti puntuali
448
472
541 510
(93)
-17%
incasso Intercompany su crediti
puntuali
74
66
84 72
(10)
-12%
I crediti commerciali aumentano del 2% rispetto al 31 dicembre 2006, mentre il fatturato
aumenta del 26% rispetto allo stesso periodo dello scorso anno: infatti i giorni medi di
dilazione sono in costante diminuzione rispetto al precedente esercizio. Si segnala la
forte diminuzione dei giorni medi di incasso sia dei clienti intercompany che dei clienti
terzi.
Si devono distinguere:
 Crediti verso società intercompany: i giorni di dilazione sono migliorati
notevolmente rispetto al precedente esercizio;
 Terzi: I ricavi verso terzi aumentano di circa il 20% rispetto al 31 dicembre 2006.
Tale forte aumento del fatturato non è stato seguito da un aumento dei crediti
commerciali verso terzi. Tale discordanza è dovuta alla variazione dei giorni di
incasso dei crediti.
5.4.1.1.2. Il fondo svalutazione crediti
Un’analisi ulteriore sull’ammontare iscritto tra i crediti in bilancio è composto dalla
valutazione della congruità del fondo svalutazione crediti. Tale posta va iscritta con
segno negativo nell’attivo dello stato patrimoniale, in modo da stornare quei crediti o
parte di essi sulla base della loro probabilità di incasso.
261
Esempio 5.3 - Movimentazione del fondo svalutazione crediti
Movimentazione 2007:
Tassato
Movimentazione fondi
Fiscale
Totale
Fondo apertura (01/01/07)
Utilizzi
Accantonamento
400.773
(49.767)
59.666
72.508
(72.508)
68.906
473.282
-122.275
128.571
Totale Fondo a bilancio
(31/12/07)
410.672
68.906
479.578
Incrementi
01.01 - 30.06
Decrementi
01.01 - 30.06
44
20
64
(46)
(46)
Conto (€/000)
Saldo
31.12.06
Fondo fiscale
Fondo tassato
Totale
73
395
468
Saldo
30.06.07
72
415
487
Incrementi
01.07 - 31.12
Decrementi
01.07 - 31.12
25
11
36
(27)
(14)
(41)
Saldo
31.12.07
69
412
482
L'accantonamento del fondo svalutazione crediti del 2007 è composto da:
 Svalutazione dei crediti al legale: la società applica una svalutazione pari al 70%
dei crediti al legale Italia e del 80% dei crediti al legale estero;
 Svalutazione dei crediti non al legale: la società applica una svalutazione
specifica per singola posizione sulla base dell'analisi dell'ageing dei crediti;
 Svalutazione specifica dei crediti verso agenti con i quali la società non ha più
rapporti;
 Svalutazione generica dello 0,5% sui crediti non indagati specificamente (nel
2006 tale svalutazione era pari a 0,3%).
Per verificare la correttezza del saldo del fondo svalutazione crediti a fine esercizio si è
ottenuto dalla società il dettaglio dei clienti al legale che la società ha svalutato e si
sono verificate le note fornite dai legali in merito a tali crediti. Quindi si è assegnata una
percentuale di svalutazione specifica per ciascuna posizione.
Si è inoltre ottenuto dalla società l'ageing al 31 dicembre 2007 sia Italia che estero e lo
si è quadrato con i valori presenti sul bilancio di verifica alla stessa data. Si sono quindi
selezionati i crediti scaduti superiori alla de minimis materiality sia per l'Italia che per
l'estero. Sul saldo scaduto Italia rimanente, poichè superiore alla performance
materiality, si è applicato un audit-sampling. Ciascuna posizione così individuata è
262
stata discussa con il credit manager e confrontata con eventuali svalutazioni specifiche
applicate dalla società.
Infine si è ottenuto dalla società il calcolo del fondo svalutazione crediti degli agenti
cessati e si è verificata la correttezza dell'accantonamento.
Esempio 5.4 - Accantonamento al fondo svalutazione crediti 2007
Coy
125.190
47.741
33.920
91.016
110.760
50.880
459.508
Cl. contenzioso domestici
Cl. contenzioso estero
Svalutazione agenti
Svalutazione clienti Italia
Svalutazione clienti estero
Svalutazione generica
-
PwC
119.654
44.447
47.731
91.016
106.436
50.880
460.164
656 Sottostima
Come si può vedere dalla tabella sopra riportata il fondo svalutazione PwC è
sostanzialmente in linea con quello calcolato dalla società. Si sottolinea che
nell'esercizio la società ha aumentato la % di svalutazione generica passando dallo
0,3% allo 0,5%. Da colloquio con la società è emerso che tale scelta è legata alla
particolare congiuntura del mercato che vede un aumento di clienti di piccole
dimensioni in difficoltà economiche. Ciò è testimoniato dall'aumento dei giorni medi di
incasso registrato nei mesi di ottobre, novembre e dicembre.
5.4.1.2.
I test sul ciclo passivo
5.4.1.2.1. La circolarizzazione dei fornitori
Al fine di effettuare la procedura di circolarizzazione dei fornitori (per testare l’esistenza
del
credito
e
l’iscrizione
in
bilancio
del
corretto
importo
di
debito),
PricewaterhouseCoopers ha ottenuto il bilancio di verifica dalla società ed il tabulato
con l’elenco delle partite di debito. Quadrato il valore, i fornitori sono stati selezionati
sulla base dell’ammontare di debito iscritto dalla società (in quanto non sono state
rilevate partite più rischiose di altre, che sarebbero state selezionate insieme agli
importi maggiormente significativi). Sono stati selezionati i fornitori aventi un saldo al 31
263
ottobre 2007 superiore o uguale alla performance materiality, raggiungendo una
copertura sul saldo complessivo pari al 30% (i soggetti selezionati sono 5). Il saldo
residuo non testato risulta materiale: tale saldo è stato verificato mediante la selezione
di ulteriori item secondo altri criteri di selezione.
Esempio 5.5 - Riepilogo circolarizzazione fornitori
FORNITORI
Conferma saldo al 31.12.2007
Descrizione fornitore
Invio
Saldo al
31.12.2007
Risposta
Q
‫ﻼ‬
W
E
R
T
Y
U
I
O
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
11.945
192.109
76.301
14.837
132.378
4.968
36.827
592
64.206
9
6
613.539
Risposte
Concordanti
‫ﻼ‬
Risposta al
31.12.2007
Riconciliate
Senza risposta
Saldo senza
risposta
Saldo coperto
% Copertura
‫ﻼ‬
11.945
10.000
84%
‫ﻼ‬
14.837
11.000
74%
‫ﻼ‬
4.968
4.566
92%
‫ﻼ‬
‫ﻼ‬
1
5
3
264
153.110
460.429
28.800
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
‫ﻼ‬
5.833
502
15.440
11.945
165.874
14.837
103.578
4.968
30.994
90
48.766
26.234
76.301
Procedure Alternative
Delta
Esempio 5.6 - Riconciliazione partite fornitori
‫ ﻼ‬Ok con partitario fornitori al 31.12.2007
RICONCILIAZIONI FORNITORI
EUR
192.109 ‫ﻼ‬
W
In estratto conto Fornitore ma non in e/c Coy:
In e/c Coy, ma non in e/c fornitore:
ToT fatture per cui il fornitore ha emesso
Riba
165.000 Fatture con scadenza successiva al 31.12.07 che il fornitore
ha chiuso al momento dell'emissione della riba
SALDO da risposta FORNITORE:
26.234
874 delta non materiale
Esempio 5.7 - Procedure alternative sul saldo fornitori
PROCEDURE ALTERNATIVE
Q
11.945
Fatture verificate
Data
Importo
31.10.2007
3.702
30.09.2007
4.388
31.10.2007
1.910
N.
3
2
88
N. Reg.
2
5
13
10.000
Saldo al 31.12.07
Copertura
% Copertura
11.945
10.000
84%
5.4.1.2.2. Merci in viaggio
Relativamente alla merce in viaggio per acquisto merce, si è ottenuto il dettaglio
estratto da sistema delle entrate merce a magazzino avvenute successivamente al 31
dicembre 2007 e con data documento antecedente.
Inoltre si è ottenuto dalla società il dettaglio delle fatture per acquisto merci stanziate
come merci in viaggio ma non presenti in quanto in deposito presso terzi (per cui senza
bolla di spedizione di dicembre).
265
La società evidenzia particolari ritardi nel processare i resi che arrivano dai clienti Italia.
Questo perchè una volta che a magazzino entra il reso con Ddt, il responsabile deve
verificare fisicamente la scatola di reso e la corrispondenza con il Ddt, controllare il
modello, compilare un modulo e inoltrare alla contabilità clienti modulo e Ddt. La
contabilità clienti procederà quindi a verificare l'autorizzazione al reso, verifica quando
tali articoli erano stati venduti al cliente, a che prezzo, e quindi si decide il valore da
riaccreditare. Una volta deciso il riaccredito la contabilità clienti carica a magazzino i
singoli articoli occhiale e provvede all'emissione della nota di accredito. Il tutto può
comportare ritardi anche di 3/4 mesi. Da aprile quindi la contabilità ha implementato un
sistema su SAP per evitare che a magazzino vi fossero eccessive giacenze di merce
resa ma non ancora processata e quindi caricata. Ciò per evitare quello che poteva
comportare una sottostima delle note di accredito da emettere e del magazzino.
La procedura prevede che non appena vi è l'entrata della merce resa con il Ddt a
magazzino il personale del magazzino inserisce un ordine a sistema che riporta la data
di inserimento d'ordine (essa inoltre rappresenta nella teoria la data di acquisizione
della proprietà da parte di M trattandosi di resi di Italia). E' possibile quindi estrarre un
report da sistema che evidenzia gli ordini aperti per resi già a magazzino ma non a
sistema. Quando il magazziniere fisicamente apre il pacco e controlla gli articoli
compila il modulo e lo invia assieme al Ddt alla contabilità clienti. Inoltre prima di inviare
il reso a M il cliente deve ottenere da parte dell'agente l'autorizzazione scritta al reso
che invierà a M assieme al Ddt e alla merce resa (pena il mancato riconoscimento del
reso da parte della M Spa). Pertanto la contabilità clienti ha già in mano autorizzazione,
Ddt e controllo del magazziniere. Quindi procede con la conferma dell'ordine a sistema
inserendo i codici degli articoli resi (ciò va a valorizzare il magazzino) e ad effettuare la
nota di accredito per il prezzo riconosciuto al cliente.
Per determinare i resi al 31 dicembre pertanto la società procede:
 Estraendo le note di accredito emesse fino a fine gennaio 2008 su Ddt con data
antecedente ma il cui ordine è stato confermato (e quindi caricata la merce)
successivamente il 31 dicembre. Di queste note di accredito la contabilità sa già
che prezzo ha riconosciuto al cliente e a che costo deve valorizzare tali codici;
 Estrae quindi tutti gli ordini aperti fino a fine gennaio. Sottrae tutti gli ordini
contabilizzati post 31 dicembre (trattasi di Ddt con data gennaio o comunque
arrivati post 31 dicembre e quindi non ancora di proprietà della contabilità) ed
266
ottiene il residuo di merce resa a magazzino non ancora inserita in giacenza.
Viene valorizzata ad un prezzo netto (per le note di accredito da emettere) e ad
un costo unitario (per la merce in viaggio) da statistica Italia fornito dal controller.
Non vi sono quindi rischi di sottostima della merce a magazzino e delle note di
accredito da emettere al 31 dicembre 2007 se non per eventuali ulteriori spedizioni di
resi che giungono in M dopo il 31 dicembre con Ddt datato antecedentemente, ma tale
evenienza risulta del tutto eccezionale e comunque, trattandosi di reso Italia, la
proprietà diventa di M nel momento dell'arrivo a magazzino, indipendentemente dalla
data posta sul Ddt.
5.4.1.2.3. Cut off acquisti
Al fine di monitorare il rispetto del principio di competenza da parte della società, sugli
acquisti viene effettuato dagli auditor il test di cut off. Esso permette di verificare che
tutti i ricavi iscritti in bilancio siano correttamente iscritti secondo tale principio.
Tale test consente di verificare che:

Le vendite effettuate prima della data di chiusura di bilancio, e le correlate
attività (crediti verso clienti), siano incluse nel bilancio;

Le vendite effettuate dopo la data di chiusura del bilancio, e le correlate
attività (crediti verso clienti), non siano incluse nel bilancio.
Si è quindi proceduto a definire il periodo di tempo da esaminare per verificare la
competenza delle vendite. Questo intervallo è stato definito in relazione alla tipologia di
business del cliente.
Si è poi preso visione dell’elenco delle condizioni contrattuali di vendita, utile al fine di
verificare quando si trasferisce la proprietà della merce.
Si è quindi ottenuta dalla contabilità un'estrazione riportante tutti i carichi di magazzino
dal 15 dicembre 2007 al 15 gennaio 2008, con abbinata la data di registrazione della
fattura.
E' stata quindi effettuata una verifica sulla correttezza, in termini di cut off, di tali voci.
Si sono selezionate le seguenti fattispecie di entrate merci:
267
 Entrate merci di dicembre con registrazione fattura di gennaio ---> verificato lo
stanziamento a fatture da ricevere;
 Entrate merci di dicembre con bolla di dicembre con o senza registrazione della
fattura ---> verifica dello stanziamento a fatture da ricevere;
 Entrate merci di gennaio con bolla di dicembre con o senza registrazione della
fattura ---> verifica dello stanziamento a merce in viaggio.
Esempio 5.8 - Cut off acquisti
Data Carico
Bolla
Bolla
Fornit
Fatt
Data bolla
Data fatt
Data reg
1
10
7
18/12/2007
03/01/2008 31/12/2007 16/01/2008
2
23
87
18/12/2007
03/01/2008 31/12/2007 16/01/2008
3
65
5
21/12/2007
07/01/2008 31/12/2007 16/01/2008
6
33
44
20/12/2007
07/01/2008 31/12/2007 16/01/2008
4
76
29
21/12/2007
07/01/2008 31/12/2007 16/01/2008
5
55
2
27/12/2007
07/01/2008 28/12/2007 16/01/2008
Note PwC
Verificato stanziamento a FDR al 31.12.07 e a merce in
viaggio
viaggio
viaggio
viaggio
viaggio
viaggio
Fonte: dati rielaborati su file PricewaterhouseCoopers Spa
5.4.1.2.4. Test passività non registrate
Come già illustrato per il test di cut off delle vendite, anche con questa analisi si
condivide l’obiettivo di verifica della competenza.
Si è quindi ottenuto dalla contabilità il registro IVA acquisti. Il criterio di selezione che è
stato utilizzato ai fini della selezione è l’imponibile superiore alla de minimis materiality
(€ 50.000). La base di selezione è stato il registro dell’IVA, considerando anche i saldi
relativi a fatture agenti e royalties.
Per le fatture di competenza 2007 è stato verificato l'effettivo stanziamento a fatture da
ricevere.
268
Esempio 5.9 - Test passività non registrate
N. fattura
Data doc
Totale
Fattura
Imponibile
31.01.2008
11
31/01/2008
35.609
29.674
2008
16.01.2008
8
11/01/2008
34.867
29.056
2008
31.01.2008
3
15/01/2008
28.413
23.677
2007
31.01.2008
2
09/01/2008
25.818
21.515
2008
31.01.2008
6
31/01/2008
25.721
21.434
2008
31.01.2008
7
18/01/2008
23.772
19.810
2007
Data reg
Competenza
174.200
F/R
Stanziamento
Delta
x
23.675
2
x
19.815
(5)
Delta N/M
(3)
5.4.1.2.5. Test fatture da ricevere
Lo scopo di questo test infatti è quello di visionare dei documenti che giustifichino
l’importo che l’azienda ha iscritto nel bilancio.
Si è proceduto quindi con l’ottenimento del conto iscritto a bilancio di verifica della
società alla data di chiusura su file (conto “Fornitori fatture da ricevere”).
Si è in seguito ottenuto il dettaglio degli stanziamenti effettuati negli anni precedenti,
ma ancora in essere alla data di chiusura del bilancio.
Sono stati quindi selezionati i saldi superiori alla de minimis materiality (€50.000) ad
esclusione di quelli già indagati in sede di test passività non registrate (si ricorda che
con tale test è possibile sovrapporre la verifica di alcuni documenti. Per non effettuare
quindi lo stesso lavoro più volte, è più efficace effettuare una selezione senza tenere in
considerazione delle fatture già selezionate con il test analizzato all’interno del
precedente sottoparagrafo).
Nel caso la fattura risulti già pervenuta presso la società, se ne è presa visione. In caso
contrario, si è ottenuto il riscontro documentale a riprova della ragionevolezza dello
stanziamento.
269
Esempio 5.10 - Test fatture da ricevere
N. doc.
1
2
3
4
5
Data doc.
31/12/2007
31/12/2007
31/12/2007
31/12/2007
31/12/2007
Importo in
contabilità
(128.888)
(84.047)
(80.000)
(78.795)
(67.993)
Descrizione
Costi Marketing per pubblicazioni su riviste
Sconti a clienti di fine anno
Contratto con società di ricerca del personale
Costi Marketing per pubblicazioni su riviste
Costi per contratti vari
5.4.1.3.
I test sul ciclo del magazzino
5.4.1.3.1. L’inventario fisico
Data la significatività del valore del magazzino nel bilancio della M Spa, si è deciso di
effettuare l'inventario fisico alla data di chiusura dei magazzini di fine anno 2007.
L'inventario ha riguardato sia materie prime che semilavorati che prodotti finiti, vista la
concentrazione presente in magazzino di tali materie, la cui sommatoria in valore dà
luogo a risultati significativi ai fini dell’espressione di un giudizio finale sulla correttezza
del bilancio.
La società ha effettuato le conte in differenti giorni per via della grande quantità di
codici da contare e per la dislocazione delle materie in più magazzini.
Ai fini dell’effettuazione dell’inventario fisico di fine esercizio, la società ha seguito una
procedura ben precisa, pianificata a priori.
Il primo punto previsto dalla società riguarda l’attribuzione delle responsabilità
dell’attuazione dell’inventario. Si decide di nominare quindi le diverse persone
responsabili (a capo dei responsabili viene posto il responsabile del magazzino). In
secondo luogo vengono nominati i diversi responsabili sulla base delle differenti
materie da contare (per esempio si è nominato un responsabile per quanto riguarda le
materie prime, uno per quanto riguarda i prodotti finiti ed uno per i semilavorati).
Sono stati quindi nominati i diversi magazzinieri che provvederanno ad effettuare la
conta fisica sotto la guida dei diretti superiori, i responsabili precedentemente nominati.
Per poter compiere tutte le attività necessarie atte a snellire e facilitare le operazioni di
identificazione (conta, pesatura e registrazione della quantità) è stato predisposto uno
scadenzario con tutti gli obiettivi da realizzare in previsione dell'inventario fisico. I
270
responsabili devono inoltre assicurarsi che esistano i mezzi per la conta, la
movimentazione e l'identificazione fisica dei materiali e che i beni da inventariare siano
predisposti in modo da facilitare le operazioni di conta, ovvero i materiali devono
essere raggruppati per magazzino e per reparto di produzione, in modo ordinato ed in
lotti omogenei per codice e tipo articolo. Nell'ambito dello stesso magazzino o reparto,
le merci aventi lo stesso codice devono, possibilmente, avere quindi una sola
localizzazione. La sistemazione deve essere tale da permettere l'ispezione e lo
spostamento ai fini della conta.
Viene inoltre stabilita una data entro la quale tutti i reparti produttivi dello stabilimento
devono provvedere a versare a magazzino tutti i prodotti finiti in modo da avere nei
reparti una minore quantità in giacenza.
Viene infine deciso che la produzione degli stabilimenti sia ferma durante lo
svolgimento delle operazioni inventariali.
In secondo luogo vengono definite le sedi e le date precise in cui l’inventario deve
essere effettuato. Al fine di facilitare lo svolgimento delle operazioni inventariali è
necessario il rispetto delle date accordate, in modo da permettere alla conta tutta
l’attenzione e la precisione dovuta. Vengono anche quindi definite le date entro le quali
possono essere effettuate le ultime spedizioni, le ultime ricezioni e le ultime
registrazioni a sistema.
Circa le rettifiche inventariali da effettuare, si è stabilito di nominare dei collaboratori del
coordinatore al fine di garantire l’immediata autorizzazione delle stesse mano a mano
che vengono forniti i documenti compilati di rilevazione fisica.
Il terzo punto riguarda la decisione dei beni da inventariare. Viene quindi deciso che
sono da inventariare le materie prime e componenti d'acquisto, i prodotti finiti, i prodotti
in corso di lavoro, la merce di proprietà della società presso terzi ed il materiale
pubblicitario.
Le categorie dei materiali da inventariare con le procedure indicate sono le seguenti:
 Materie prime e componenti d'acquisto: devono essere inventariati tutti i
materiali esistenti nei vari magazzini materie prime. Ove il materiale non risulti
ancora codificato, sarà responsabilità dell’ufficio acquisti provvedere alla codifica
prima dell'inizio delle conte fisiche;
271
 Magazzino prodotti finiti: devono essere inventariati tutti i prodotti finiti presso i
magazzini compresi i prodotti finiti resi da clienti, se di proprietà della società;
 Prodotti in corso di lavoro: devono essere certificati i prodotti e la relativa
quantità in corso di lavoro risultanti dalle bollettine di produzione. Eventuali
materiali eccedenti dovranno essere restituiti al magazzino materie prime;
 Merce di proprietà della società presso terzi: deve essere attuata la procedura
d’inventario per tutta la merce di proprietà della società che alla data di
inventario fisico si trova, per qualsiasi motivo, presso terzi (conto deposito, conto
lavorazione, conto riparazione, merce in visione, presso agenti, ecc.);
 Materiali Pubblicitario: devono essere inventariati tutti i materiali pubblicitari
esistenti e giacenti nei magazzini.
E’ stato discussa poi la procedura da seguire in merito alla conta dei beni da non
inventariare. Si è quindi deciso che non devono essere inventariati:
 Beni facenti parte del capitale fisso aziendale (attrezzature, stampi);
 Materiali d’infermeria;
 Materiali per pulizie uffici e stabilimento;
 Materiale di cancelleria;
 Materiali ausiliari;
 Merci di proprietà di terzi in giacenza presso le sedi d'inventario. Le merci di
proprietà di terzi, giacenti nell'ambito delle sedi d’inventario, devono essere ben
identificate e separate dalle merci di proprietà della società; sulle stesse deve
essere apposta un'opportuna indicazione dalla quale si possa desumere il
fornitore, la quantità della merce ed il titolo in virtù del quale sono in possesso
della M Spa.
Successivamente la società ha proceduto con la discussione e la decisione della
procedura da adottare circa la preparazione e la distribuzione dei documenti di
inventario. Si è deciso che predisporre i documenti, moduli e tabulati necessari per
l'inventario e provvedere, tramite i responsabili d’inventario, alla loro distribuzione alle
squadre di conta e di controllo sia compito del responsabile di magazzino generale,
coordinatore della conta.
272
Si sono quindi definiti differenti prospetti al fine di procedere alla conta, il primo
riguardante la composizione delle squadre di conta, il secondo riguardante la
movimentazione dei tabulati avvenuta nell’esercizio.
Prima di distribuire i tabulati alle squadre di conta i responsabili dell'inventario hanno
inoltre avuto il compito di compilare la prima parte del prospetto di movimentazione dei
blocchetti.
E’ stato poi discussa la composizione ed i compiti precisi affidati alle squadre addette al
controllo. Le squadre di conta devono effettuare una seconda conta a campione
significativo con l’indicazione degli articoli riscontrati e le quantità relative.
Le squadre di conta, inoltre, sono tenute a verificare che per tutti i materiali da
inventariare sia stato effettuato il riscontro fisico e siano stati compilati e firmati
correttamente i documenti d’inventario.
Successivamente si è discusso circa il processo di controllo di compilazione dei
documenti e raccolta dei documenti a fine inventario.
Quando i tabulati d’inventario saranno resi compilati, il coordinatore dovrà verificare
che i dati corrispondano a quelli memorizzati nella contabilità di magazzino.
Al termine dell’inventario, dopo aver verificato che tutto il materiale è stato inventariato,
il responsabile dell’inventario deve accertarsi di aver ricevuto tutti i tabulati dalle
squadre addette alle conte; essi dovranno poi procedere con la compilazione della
seconda parte del modulo che riassume i movimenti dei tabulati. Tale prospetto deve
essere preparato in triplice copia (due copie per un controllo interno della M Spa e una
copia verrà ritirata al termine dell’inventario dai revisori).
Viene quindi discusso l’aggiornamento delle giacenze contabili dei magazzini e dei
reparti di produzione degli stabilimenti.
Il coordinatore a seconda dell’inventario di riferimento, dopo l'elaborazione delle
scritture di rettifica, verificherà le seguenti liste di controllo:
 Tabulato delle giacenze contabili per codice articolo;
 Tabulato delle giacenze contabili per magazzino;
 Tabulato delle giacenze fisiche rilevate durante l'inventario per magazzino e per
codice articolo;
273
 Tabulato di confronto delle quantità fisico contabile per magazzino e codice
articolo;
 Tabulato di confronto delle quantità fisico contabile per codice articolo;
 Tabulato di confronto dei valori fisico/contabile per magazzino e codice articolo;
 Tabulato di confronto dei valori fisico/contabile per codice articolo.
L'obiettivo è di indagare le discordanze significative tra l'inventario contabile e quello
fisico in modo da evitare la presenza di errori significativi.
Infine si è proceduto con la discussione circa le merci di proprietà della società in
giacenza presso terzi (in conto deposito, conto lavorazione, conto riparazione, merci in
visione, prodotti presso agenti, ecc.).
E' necessario che i rispettivi supporti contabili (cioè schede, libri bollati, tabulati)
vengano prontamente aggiornati con gli ultimi movimenti in entrata ed in uscita dai
depositi ad una data specificata dalla società. La responsabilità di controllare questo
aggiornamento è in capo ai responsabili dell’inventario.
A tutti i terzi che hanno merce in deposito di proprietà della M Spa, dovrà essere inviata
una lettera con la quale si richiede l'inventario fisico; per gli agenti l’inventario fisico è
richiesto, così come è richiesta la compilazione su di una copia commissione riferente
ad ogni singola collezione, del numero di pezzi in loro possesso.
Nel caso siano presenti depositi significativi, il responsabile dell'inventario deve
valutare l’opportunità di procedere alla ispezione fisica delle merci direttamente da
parte di personale della M Spa.
I vari responsabili devono preoccuparsi di ottenere tutte le risposte inviando, se
necessario, una seconda richiesta, solleciti telefonici, ecc. .
Le risposte ricevute dai terzi rappresenteranno il dato di riscontro delle nostre giacenze
contabili alla data di inventariarizzazione e vengono riconciliate dal coordinatore con le
quantità indicate nei tabulati preparati per l’inventario di M Spa.
Qualora chi effettua il conteggio fisico trovi materiali non presenti sul documento
inventariale, è tenuto a trascrivere su un foglio, che gli verrà consegnato, l’esatto
codice del materiale, l’unità di misura e la quantità conteggiata.
274
L’operatore, ovvero colui che inserirà i dati a sistema, genererà un nuovo documento
inventariale per i materiali trovati, indicando sul foglio stesso, il numero del documento
inventariale creato.
5.4.1.3.2. La valorizzazione delle materie: esempio delle materie prime
Le materie prime vengono valorizzate al costo medio di acquisto ponderato dell'anno,
determinato in base alle fatture di acquisto. Il costo medio viene determinato secondo il
seguente criterio:
(Valore delle giacenze iniziali + Acquisti dell'anno valorizzati al costo medio di
acquisto)/(Totale delle quantità in giacenza all'inizio dell'anno + totale delle quantità
acquistate nell'anno).
Per alcuni codici, per i quali esiste un accordo di sconto a fine anno con il fornitore, la
società carica non con il prezzo di fattura, bensì con il costo di acquisto al netto dello
sconto.
Sono stati selezionati due codici dai tabulati di materia prima, ed è stato selezionato il
primo codice per giacenza in termini di valore.
Essendo le materie prime dislocate all’interno di due magazzini differenti, si sono
selezionati in realtà i primi codici dai due tabulati di materia prima.
Essendo la metodologia di formazione del costo medio ponderato annuo un algoritmo
automatico di SAP, si è però ritenuto sufficiente ripercorrere tale calcolo per un solo
codice di magazzino.
Per i due codici selezionati si è ottenuto quindi l'elenco di tutti i movimenti che hanno
determinato una variazione del costo medio (ossia acquisti ed eventuali rettifiche di
valore) con il relativo costo. Si è quindi provveduto ad effettuare un ricalcolo del costo
medio confrontandolo con quello determinato dal sistema. Se il codice ha subito
movimentazioni in entrata nell'anno, è stato verificato il corrispondente documento
fiscale (ad esempio una fattura) per avere conferma dei costi di acquisto che hanno
partecipato alla determinazione del costo medio finale.
Si sottolinea inoltre che a partire dal 2007 la società ha provveduto a ribaltare anche
sui codici di materia prima la corrispondente quota di overheads calcolata per il 2007
275
(dalla verifica dei costi overheads actual calcolati per l'audit sull’esercizio precedente
emergevano le seguenti percentuali di incidenza dei costi indiretti:
 Materie prime 6%;
 Produzione 31%;
 Prodotti finiti 20%.
Pertanto al costo medio ponderato determinato sui movimenti di acquisto delle materie
prime si deve considerare un +6% di overheads).
Con riferimento al primo codice oggetto di analisi, non vi è stata nessuna
movimentazione di acquisto nell'anno, pertanto il costo medio ponderato al 31/12/2007,
è lo stesso del 31/12/2006 (differisce esclusivamente per il 6% degli overheads).
Con riferimento al secondo codice, si è ottenuto il file di movimentazione degli acquisti
2007. Si è quindi ricalcolato il costo medio ponderato per l'esercizio 2007 testando con
i relativi documenti i movimenti che hanno generato una variazione del costo medio
ponderato.
Esempio 5.11 - Calcolo del prezzo medio ponderato unitario
Magazzino
31-dic-06 C/visione fornitore
Imballi
31-dic-07 C/visione fornitore
Imballi
Giacenza
pmp unitario
10
1,50
20
1,50
30
1,50
15
25
40
1,65
1,65
1,65
Pmp
15 3
30 3
45
25 3
41
66
3 ok con tabulato di magazzino al 31/12/2006
3 ok con tabulato di magazzino al 31/12/2007
276
Esempio 5.12 - Verifica corrispondenza del prezzo medio ponderato unitario
Q.ty
Giacenza
iniziale
Data di
reg.
Importo Quantità
31/03/2007
21
10/06/2007
(3)
28/09/2007
23
30/11/2007
54
15
18
35
pmp
30
45
1,50 ]
1,47
1,40
1,37 Ok con fattura verificata PwC
1,43 Ok con fattura verificata PwC
0,10 6% di overheads ribaltati a partire dal 2007 anche sul magazzino MP
1,53
1,50 ]
-0,03 Delta
-1,85%
ok con valorizzazione della società
(1) Euro
5.4.1.3.3. L’obsolescenza di magazzino: l’esempio sui prodotti finiti
L'obsolescenza di magazzino per ciascuna tipologia di stock classificato come prodotto
finito viene ricalcolata in base ai parametri evidenziati di seguito.
Per quanto riguarda i ricambi, fino al 31 dicembre 2006 essi sono stati svalutati
applicando la percentuale del 75% per i codici che nel corso dell'esercizio non si sono
movimentati e per il magazzino del macero (indipendentemente dalla movimentazione).
Dal 31 maggio 2007 è stata rivista la metodologia di svalutazione. La società ha deciso
di effettuare una svalutazione al 100% se il materiale è presente all’interno del
magazzino macero, al 90% se non movimentati nell'ultimo anno ed al 50% per tutti gli
altri codici indistintamente.
Per quanto riguarda invece i prodotti finiti, la società non predispone una situazione del
magazzino che evidenzi l'indice di rigiro per modello.
Tutti i modelli vengono suddivisi tra modelli in collezione e non più in collezione. La
società svaluta i prodotti non più in collezione sulla base del prezzo medio di vendita
del materiale a stock realizzato in corso d'anno.
L’ufficio pianificazione commerciale gestisce per codice prodotto un'informazione su
SAP con evidenza, tramite diversi flag, di quelli che sono i codici attivi o i codici che
non vengono più venduti.
In tale modo, diviene quindi possibile effettuare un’estrazione che viene utilizzata per
analizzare la ragionevolezza delle stime effettuate dal management relativamente al
277
fondo obsolescenza prodotti finiti (controllo impostato ed effettuato dal controllo di
gestione interno della società).
La società procede quindi con la svalutazione di tutti i prodotti non più in collezione
tenendo conto del prezzo medio di vendita a stock realizzato nel corso degli ultimi 12
mesi.
Il magazzino macero è invece svalutato al 100%.
Dal 2005 inoltre i codici attivi sono soggetti ad una valutazione: nonostante siano codici
ancora attivi e la data di uscita sia solo prevista, il sistema calcola la svalutazione
portando l'eventuale eccedenza del costo di produzione al prezzo di realizzo se in
giacenza nei depositi di resi rientrati da cliente, in conto visione di prodotti vecchi ed in
conto deposito per la rilavorazione di pezzi rotti.
Dal 31 maggio 2007 la società ha rivisto alcuni criteri di svalutazione anche per il
prodotto finito. Vi è una prima svalutazione per deposito, e vengono quindi svalutati al
100% i magazzini macero, il magazzino campioni, campioni non disponibili ed il conto
visione clienti.
Al fine della verifica della svalutazione dei ricambi, deve essere verificato il tabulato
dell'obsoleto, ovvero l'estrazione dei codici di materia prima che nei dodici mesi non
hanno avuto movimentazione (estrazione effettuata dal CED e fornita al controllo di
gestione per la svalorizzazione).
Al fine invece della verifica della svalutazione del prodotto finito, va ottenuto il report,
con il quale la società ha evidenza del prezzo di realizzo dei codici occhiale venduti
negli ultimi dodici mesi. Il report è costruito da un'estrazione nella quale la società
richiede il prezzo medio di vendita nell'ultimo anno delle linee di occhiali.
Inoltre va ottenuto il tabulato di magazzino che riporta la svalutazione inserita dalla
contabilità.
Utilizzando il tabulato del non movimentato negli ultimi dodici mesi, si è ripercorso il
logaritmo matematico di calcolo per ciascuna delle giacenze per quanto riguarda il
magazzino ricambi. Per quanto riguarda invece il prodotto finito, la svalutazione viene
effettuata utilizzando il prezzo di vendita a stock per i codici occhiale che risultano da
svalutare.
Per quanto riguarda i prodotti finiti si evidenzia quanto segue:
278
 Inizialmente la società aveva applicato dei prezzi di vendita a stockisti che non
riflettevano esattamente l'estrazione dei 12 mesi al 31 dicembre 2007;
 Il controllo di gestione inoltre ha riscontrato un errore nel logaritmo matematico
di svalutazione. I magazzini vengono infatti svalutati secondo le nuove policy del
30% per tutti i prodotti, anche in collezione. Tuttavia se il prodotto è in close-out
viene svalutato al valore di realizzo come da prezzo di vendita a close-out. Se
tale svalutazione è inferiore al 30% allora si applica ugualmente il 30% (vale la
più altra tra i due valori). Invece per un errore di sistema non veniva considerata
tale svalutazione portando quindi ad una sottostima del fondo obsolescenza.
Il fondo obsolescenza viene quindi ricalcolato alla luce di un nuovo tabulato di
magazzino emesso dalla contabilità, il quale:
 Recepisce l'errore applicando la svalutazione ai magazzini. Vi è stata quindi una
maggiore svalutazione;
 La società ha effettivamente riscontrato dei delta tra i prezzi applicati per il closeout e l'estrazione del close-out dei dodici mesi al 31dicembre 2007. Le
differenze erano sia in senso negativo (e quindi una svalorizzazione più alta)
che in positivo. Il controllo di gestione ha pertanto deciso di riperformare
l'algoritmo matematico al sistema. La società ha applicato i nuovi prezzi e si è
riscontrato che l'effetto positivo compensava quello negativo.
Il cambiamento di % o di criteri ha comportato le più sensibili variazioni nel materiale
pubblicitario e nei ricambi. Per quanto riguarda il materiale pubblicitario, le sensibili
variazioni nel fondo obsolescenza non sono dovute ad una correzione di errori quanto
piuttosto ad un affinamento della metodologia di svalutazione adottata dalla società: in
particolare per il materiale pubblicitario si è adottata una svalutazione identificando
l'effettivo slow-moving per tale tipologia di prodotti a magazzino, applicando una % del
100% anzichè del 75% come in passato in quanto più verosimile con l'effettivo valore di
realizzo.
Anche per quanto riguarda i ricambi, il cambiamento consiste in un affinamento delle %
di svalutazione (come anticipato precedentemente, all’inizio del paragrafo).
L'innalzamento della svalutazione dello stock ricambi risulta comunque adeguato,
considerato che è prassi del settore ottico considerare omaggi i pezzi di ricambio forniti
agli ottici.
279
Esempio 5.13 - Calcolo del fondo crediti obsolescenza di magazzino
ANALISI OBSOLESCENZA PRODOTTO FINITO 31 DICEMBRE 2007
Codice
Quantità
Stock
Value
Svalutazione
Società
Svalutazione
PwC
Delta
D
F
T
M
N
A
R
15
2
1.095
487
7
1.343
120
168
14
29.203
13.719
135
36.006
928
168
14
1.466
2.020
135
7.344
335
168
14
1.546
2.048
135
7.366
335
(80)
(28)
(0)
(22)
(1)
TOTALI
Check con tabulato
3.068
-
80.172
-
11.481
-
11.612
(131)
5.4.1.4.
I test sul ciclo finanziario
5.4.1.4.1. Analisi della fluttuazione dei finanziamenti passivi
La società ha acceso nel corso dell’esercizio e di quelli precedenti un elevato numero
di finanziamenti. Tali finanziamenti risultano fondamentali per permettere alla società di
effettuare gli investimenti ritenuti necessari ed opportuni al fine di poter crescere e di
creare valore per l’azienda.
Nel corso dell’esercizio la composizione dei finanziamenti rispetto al precedente anno è
variata in maniera sostanziale, in quanto la società risulta aver estinto diversi
finanziamenti per via della loro scadenza, ma nel contempo ne ha accesi di nuovi.
La movimentazione dei finanziamenti risulta quindi di fondamentale importanza per
riuscire a non perdere di vista le scadenze ed i debiti che si accendono nei confronti di
banche ed istituti finanziari.
280
Esempio 5.14 - Movimentazione finanziamenti
Conto
Descrizione
31.12.07
31.12.06
Delta %
31.12.07 vs
31.12.06
Delta
AB1
Banca A entro
AB2
Banca B entro
AB3
Banca E oltre
Totale Debiti finanziamenti bancari
AB4
Banca D
AB5
Banca A
0
(111)
(9)
(120)
(677)
(8)
(108)
(113)
0
(222)
0
(21)
108
2
(9)
102
(677)
13
100%
-2%
-100%
-46%
-100%
-60%
DEBITI VERSO BANCHE
(806)
(243)
(563)
232%
AB6
AB7
AB8
(183)
(7)
7
(205)
0
0
22
(7)
7
-11%
-100%
100%
(183)
(205)
22
-11%
Finanziatore J
Finanziatore Z
Finanziatore X
DEBITI VERSO ALTRI FINANZIATORI
Da tale movimentazione si evince che la società ha estinto alcuni finanziamenti e ne ha
accesi altri, che le hanno permesso di continuare ad investire e di estinguere i propri
debiti in scadenza.
Su tali finanziamenti in essere della società, è possibile effettuare il ricalcolo degli
interessi (costo del prestito) da iscrivere tra gli oneri finanziari in bilancio.
Nonostante i debiti verso le banche al 31 dicembre 2007 siano diminuiti rispetto a
quanto iscritto in bilancio al 31 dicembre 2006, gli interessi passivi su tali finanziamenti
sono aumentati. Ciò è dovuto principalmente al fatto che nell'anno il tasso Euribor è
aumentato di circa un punto %. Infatti, i due principali finanziamenti che la società ha
in esser hanno un tasso di interesse indicizzato al tasso Euribor più uno spread. In
aggiunta nel secondo semestre 2007 sono stati erogati ulteriori milioni di euro sul
finanziamento in essere con tasso di interesse calcolato sul valore dell’Euribor più uno
spread fisso che hanno contribuito ad aumentare il costo per interessi.
Per un’ulteriore assurance sul saldo iscritto in bilancio, è possibile effettuare un
ricalcolo sugli interessi che la società deve iscrivere in contabilità, al fine di capire se il
delta, eventualmente emergente come differenza tra il ricalcolo overall e quanto iscritto,
è elevato.
281
Esempio 5.15 - Ricalcolo interessi passivi su finanziamenti
INTERESSI SU FINANZIAMENTI
Istituto
Importo
Banca A
Valuta
Cambio
Interessi a
Importo euro PwC bilancio
Interessi
Tasso
38.716,00 Euro
663,09
1,71270
1
663,09
663,09
Banca B
78.888,00 Euro
1.272,23
1,61270
1
1.272,23
1.270,23
Banca E in $
34.566,00 Dollari USA
592,01
1,71270
1,25
473,61
474,00
2.408,93
2.407,32
1,61
5.4.1.4.2. Check del costo ammortizzato sui finanziamenti
Relativamente ai finanziamenti a lungo termine, al fine di ottenere comfort sul valore di
iscrizione del debito in bilancio, è stato ricalcolato il valore del debito e degli interessi
passivi al 31 dicembre 2007 secondo la metodologia del costo ammortizzato360.
Il costo ammortizzato è l’ammontare al quale l’attività o passività è valutata al momento
della rilevazione iniziale, meno i rimborsi di capitale, più o meno l’ammortamento
accumulato, utilizzando il metodo dell’interesse effettivo, di tutte le differenze tra il
valore iniziale ed il valore alla scadenza, e meno le riduzioni per perdita di valore o non
incassabilità.
L'obiettivo di tale verifica è evidenziare l'eventuale impatto derivante dall'applicazione
dei principi internazionali. Per prima cosa deve essere determinato il tasso effettivo dei
finanziamenti. Successivamente va rideterminata la quota interessi dell’esercizio 2007
ed il debito residuo al 31 dicembre 2007.
Il rischio dell’iscrizione dei titoli in base al metodo del costo ammortizzato riguarda la
possibilità che la società iscriva i debiti verso gli istituti finanziari non in linea con
quanto previsto dai principi contabili internazionali e, di conseguenza, possa
sottostimare/sopravvalutare tali voci di bilancio.
La società dovrebbe, infatti, adeguare, attraverso l'amortized cost, il valore dei debiti
finanziari.
360
Tale metodologia è prevista dallo IAS 39
282
Esempio 5.16 - Ricalcolo debito per finanziamenti iscritti al costo ammortizzato
RICALCOLO TASSO EFFETTIVO FINANZIAMENTI A LUNGO TERMINE 2007
Piano di ammortamento del Finanziamento da Banca E da 25 milioni di euro
Data 07/03/2006 30/06/2006 31/12/2006 30/06/2007 31/12/2007 30/06/2008
Erogazione 14.975.000
Interesse
(191.017)
(359.850)
(405.300)
(358.126)
(309.995)
Tasso interesse
4,057%
4,798%
5,404%
5,404%
5,404%
5,404%
Rimborsi
(1.745.888) (1.781.303) (1.817.437)
Totale flussi 14.975.000
(191.017)
(359.850) (2.151.188) (2.139.429) (2.127.432)
Quota capitale residua 15.000.000 15.000.000 15.000.000 13.254.112 11.472.809
9.655.372
31/12/2008 30/06/2009 31/12/2009 30/06/2010 31/12/2010
(260.888)
(210.785)
(159.665)
(107.509)
(54.294)
5,404%
5,404%
5,404%
5,404%
5,404%
(1.854.304) (1.891.918) (1.930.296) (1.969.452) (2.009.402)
(2.115.192) (2.102.703) (2.089.961) (2.076.961) (2.063.696)
7.801.068
5.909.150
3.978.854
2.009.402
-
5,27%
TIR
DETERMINAZIONE DEL DEBITO PER FINANZIAMENTI SECONDO PRINCIPI IAS
Piano di ammortamento del Finanziamento da Banca E da 25 milioni di euro
Data 07/03/2006 30/06/2006 31/12/2006 30/06/2007 31/12/2007 30/06/2008
Erogazione 14.975.000
Interesse
(244.441)
(394.418)
(388.797)
(349.072)
(298.758)
Tasso interesse
5,27%
5,27%
5,27%
5,27%
5,27%
Rimborsi
Totale flussi
(191.017)
(359.850) (2.151.188) (2.139.429) (2.127.432)
Debito residuo 14.975.000 15.028.424 15.062.992 13.300.601 11.510.243
9.681.570
31/12/2008 30/06/2009 31/12/2009 30/06/2010 31/12/2010
(254.091)
5,27%
(201.857)
5,27%
(155.359)
5,27%
(102.859)
5,27%
(52.776)
5,27%
(2.115.192) (2.102.703) (2.089.961) (2.076.961) (2.063.696)
7.820.469
5.919.623
3.985.021
2.010.920
(0)
CONFRONTO ITALIAN GAAP - IAS 31.12.07
Italian
Gaap
Tranche
11.472.809
Valore del debito italian gaap al 31.12.07
11.472.809
It Gaap
IAS
Tranche
(358.126)
(349.072)
Delta interessi passivi
2007
9.054
(358.126)
(349.072)
Valore del debito IAS al 31.12.07
11.481.863
11.510.243
(28.380) Delta NM
283
5,27%
TIR
DETERMINAZIONE VALORE DEL DEBITO IAS COY - PWC
Debito da bil IT Gaap
Aumento debiti vs banche
Debito Coy secondo IAS
31/12/2007
11.511.995 4
572 4
11.512.567
Debito PwC secondo IAS
11.510.243 ok con calcolo PwC "amortized cost"
Delta
(2.323) Delta NM
4 Ok con BdV 31.12.07
5.4.1.4.3. Covenants sui finanziamenti passivi
L’impresa ha passività a lungo termine che prevede impegni contrattuali (clausole di
garanzia - covenants) che hanno l’effetto di rendere pagabile a richiesta la passività
qualora siano violate specifiche condizioni relative alla situazione finanziaria del
debitore. Risulta pertanto opportuno considerare il rispetto di tali clausole ai fini della
classificazione della passività nello stato patrimoniale.
I covenants sono clausole di garanzia inerenti ad alcuni finanziamenti collegati spesso
ad indici di bilancio o a risultati aziendali. Il rispetto di tali clausole è fondamentale per
la continuazione dell’erogazione del finanziamento. Spesso il mancato rispetto di tali
clausole oppure il mancato raggiungimento degli obiettivi quantitativi rende
immediatamente esigibile il finanziamento.
Infatti qualora l’impresa non rispetti le clausole di garanzia previste (cioè violi i
covenants collegati al finanziamento a lungo temine) alla data di bilancio, oppure in un
periodo precedente, con l’effetto che la passività diventi pagabile a vista, la passività
deve essere classificata come corrente anche se il finanziatore ha concordato dopo la
data di bilancio e prima che esso sia approvato, di non richiedere il pagamento della
passività a causa della violazione dei covenants. Di conseguenza la passività viene
classificata come corrente perchè alla data di bilancio l’impresa non aveva un diritto
incondizionato per differire il pagamento dell’obbligazione per almeno dodici mesi dopo
quella data361.
361
284
In particolare la società presenta covenants su tre differenti finanziamenti passivi con
scadenza a lungo termine.
Esempio 5.17 - Covenants sui finanziamenti passivi
RIEPILOGO COVENANTS SUI FINANZIAMENTI PASSIVI PER L'ANNO 2007
Parametro
Banca A Banca B Banca C
Decorrenza verifica covenants
Posizione finanziaria netta / Patrimonio Netto
Posizione finanziaria netta / EBITDA
31.12
< 1,20
< 3,00
31.12
< 1,00
< 4,00
31.12
< 1,30
< 3,50
Al fine di verificare il rispetto di tali covenants va effettuato il ricalcolo con i dati del
bilancio al 31 dicembre 2007.
I parametri sono stati rispettati per tutti e tre i finanziamenti.
Esempio 5.18 - Calcolo rispetto dei covenants sui finanziamenti passivi
Dati al 31 dicembre 2007 del bilancio (in euro) :
1. EBITDA 31.12.07
2. Posizione finanziaria netta
3. Patrimonio netto
Banca A
1. PFN/PN
2. PFN/EBITDA
Banca B
1. PFN/PN
2. PFN/EBITDA
Banca C
1. PFN/PN
2. PFN/EBITDA
15 4
36 Calcolo riportato sotto
43 4
Indice Coy
al 31.12.07
0,84
2,40
Covenants da
rispettare
< 1,20
< 3,00
Indice Coy
al 31.12.07
0,84
2,40
Covenants da
rispettare
< 1,00
< 4,00
Indice Coy
al 31.12.07
0,84
2,40
Covenants da
rispettare
< 1,30
< 3,50
4 ok con bilancio al 31/12/2007
Calcolo PFN M Spa 31/12/2007:
Disponibilità liquide
Attività finanziarie
Passività finanziarie a breve
Passività finanziarie a lungo
(3)
(2)
23
18
36
4
4
4
4
285
Note PwC
Rispettato
Rispettato
Note PwC
Rispettato
Rispettato
Note PwC
Rispettato
Rispettato
Il rispetto dei covenants sui finanziamenti da parte della società risulta di fondamentale
importanza: infatti sono previste delle clausole contrattualmente sulla base dei risultati
ottenuti dai calcoli delle performance da rispettare. Quindi, ad esempio, migliore sarà il
risultato di indicatori quali PFN/PN e PFN/EBITDA, minori saranno i pagamenti sugli
spread da effettuarsi agli istituti finanziari per via del minore rischio della società.
5.5.
Il caso di frode
Come rilevato nei paragrafi precedenti la valutazione da parte della società di revisione
riguardo al rischio di frode sulla società M Spa era considerato limitato. Nel corso
dell’attività di revisione, infatti, erano stati individuati, sia sul ciclo attivo sia su quello
passivo, alcuni miglioramenti al processo ma non delle significative lacune.
Durante lo svolgimento dei test di audit e, grazie alle analisi indipendenti svolte dalla
funzione di Internal Audit della M Spa, viene comunque individuata una operazione di
vendita realizzata attraverso una triangolazione Italia-Russia attraverso la filiale
americana.
Attraverso questa analisi infatti la Direzione della Capogruppo individuava una partita di
merce che non risultava mai arrivata a destinazione finale né tanto meno pagata nel
suo valore totale di fatturazione.
L’analisi dell’operazione aveva sostanzialmente verificato che la merce era stata:
 Ordinata dalla M Usa alla M Spa attraverso 3 ordini di acquisto;
 Fatturata dalla M Spa alla M Usa attraverso 3 fatture intercompany;
 Fatturata dalla M Usa al cliente/clienti attraverso 2 fatture di vendita.
La prassi operativa in uso nel Gruppo M per saldare la vendita prevede il pagamento
anticipato da parte del cliente prima dell’invio della stessa a destinazione.
Dopo la segnalazione dell’Internal Auditor la Direzione della Capogruppo (M Spa) inizia
a effettuare delle verifiche più approfondite sull’operazione e viene a conoscenza che il
pagamento della prima fattura emessa dalla M Usa verso il cliente è stato effettuato da
un Agente anziché dal cliente a cui la merce era destinata.
Sul restante della merce fatturata (seconda fattura), pur essendo questa già presa in
carico dal trasportatore per la consegna alla destinazione finale, non vi è ancora stato il
pagamento.
286
L’individuazione della stranezza di tale operazione compete al sistema di controllo
interno della società, che è riuscito a funzionare nella maniera corretta in quanto è
stato in grado di notare che la disposizione del pagamento sulla prima fattura non
competeva all’Agente Italia.
I revisori esterni nelle loro normali verifiche, vista la segnalazione del controllo interno
che aveva deciso di far luce sulla faccenda, selezionano l’operazione in oggetto e
richiedono alla M Usa la documentazione dell’operazione. Alla data della richiesta
l’operazione risulta essere mancante del pagamento e della documentazione relativa
alla spedizione.
I Responsabili della direzione amministrazione e finanza e della direzione risorse
umane iniziano a chiedere informazioni a tutti i soggetti coinvolti nell’operazione di
triangolazione concentrandosi in particolare sull’agente Italia che ha raccolto l’ordine ed
il manager dell’ufficio commerciale che lo ha processato.
Negli incontri successivi l’Agente Italia ed il manager non forniscono alcuna indicazione
circa l’ubicazione delle merce benché le prove raccolte dalla Direzione Aziendale
evidenzino il loro coinvolgimento testimoniato dall’aver falsificato il modulo d’ordine.
La situazione di frode era riuscita per un certo periodo di tempo per via della sua
messa in atto da parte di persone che, colluse tra loro, erano state in grado per un
breve lasso di tempo di aggirare il sistema di controlli posti in essere dalla società.
La società deteneva infatti all’interno del proprio magazzino del materiale che vi era
presente da diverso tempo. Tale merce a lento rigiro era ormai passata di moda nel
territorio italiano in quanto era già stata sostituita da nuove griffes. Tale merce
considerata quindi obsoleta sul territorio italiano e quasi priva di mercato, era valutata
ad un basso valore, vista la perdita di appetibilità del prodotto.
La stessa merce svalutata poteva essere però rivenduta su mercati esteri, quali ad
esempio il mercato dell’Est europeo (ed in particolare la Russia), mercato che rincorre
la moda con un certo periodo di distanza. In tale mercato, la merce viene rivenduta a
prezzi molto maggiori rispetto al loro valore di iscrizione contabile, tenuto conto della
svalutazione per obsolescenza del prodotto.
I soggetti collusi nell’operazione avevano quindi architettato il modo di acquistare tale
merce (a grandi lotti) e di autorizzarne la vendita. La merce veniva acquistata e
fatturata dalla M Usa, mentre l’uscita della stessa avveniva dal magazzino italiano.
287
La ricostruzione del percorso effettuato dalla merce ha permesso di arrivare (tramite
regolare bolla d’uscita) fino allo scarico al porto di destinazione, dove la merce, per
uscire dall’Italia, aveva bisogno di una relativa bolla doganale. Tali bolle non sono mai
state emesse e la merce da questo punto spariva dal controllo della società.
Il sistema di controllo interno della società ha permesso di evidenziare tale operazione
come sospetta (vista la grande quantità di lotti acquistati dalla Russia, normalmente di
valore inferiore).
Tramite le successive analisi, la società è riuscita come detto a risalire ai responsabili
ed a ricostruire i fatti.
A questo punto la società si è attivata per correggere l’operazione sia negli aspetti
fiscali che contabili.
Istruire in modo sistematico e strutturato l’operazione di vendita della merce a stock ha
permesso alla società di evidenziare le eventuali carenze di sistema di controllo interno
nei processi di vendita/acquisto intercompany e di vendita al cliente nell’operazione di
triangolazione secondo il Modello di riferimento (COSO Report) attraverso la
metodologia di rappresentazione dei rischi e dei controlli sui processi aziendali.
La funzione di internal auditor per istruire ed analizzare quanto successo nel periodo
considerato si è interfacciata con alcuni dei soggetti responsabili dell’emissione della
documentazione. Inoltre ha richiesto alla direzione sistemi informativi evidenza circa la
tracciabilità
delle
operazioni
effettuate
dagli
utenti,
mentre
alla
direzione
amministrazione e finanza informazioni circa le procedure che dovevano essere
eseguite relative gestione dell’ordine di vendita verso il cliente e rispettiva fatturazione.
L’operazione di triangolazione tecnicamente è la seguente:
 Per la merce: consegna della merce direttamente nel paese di destinazione del
cliente senza farla transitare fisicamente per la filiale americana, con invio diretto
dalla piattaforma logistica della M Spa verso la destinazione finale;
 Per la fatturazione: la M Spa fattura a M Usa la vendita della merce con prezzo
intercompany e la M Usa fattura al cliente con prezzo finale di vendita;
 Per i pagamenti: la prassi operativa per le vendite di merce a stock prevede
l’incasso in anticipo delle merce prima di inviare la stessa a destinazione con
pagamento effettuato dal cliente stesso.
288
Per quanto riguarda la M Spa alla data del 31 dicembre 2007 sono state eseguite le
seguenti operazioni contabili:
 Registrazione delle note di accredito da emettere verso la M Usa;
 Registrazione delle fatture da emettere comprensive di IVA verso la M Usa;
 Registrazione della sopravvenienza passiva relativa allo storno del credito;
 Registrazione del debito verso erario per IVA dovuta.
Per quanto riguarda la M Usa alla data del 31 dicembre 2007 sono state eseguite le
seguenti operazioni in contabili:
 Registrazione della nota di accredito da ricevere dalla M Spa;
 Registrazione delle note di accredito verso i clienti;
 Registrazione del debito verso l’agente di M Spa.
Alla fine delle registrazioni di contabilità generale, la M Spa ha rilevato il debito per IVA
sull’intero importo dell’operazione onde evitare rischi di tipo amministrativo/fiscale. Tale
rilevazione del debito IVA sull’intero importo è stata decisa anche dopo aver sentito gli
operatori doganali specializzati.
Mentre la M Usa ha iscritto in contabilità il debito verso l’agente di M Spa a fronte
dell’incasso ricevuto.
Successivamente alla chiusura dell’esercizio, si è proceduto all’emissione dei
documenti di nota accredito e di fattura.
L’analisi eseguita ha evidenziato che il principale punto di controllo che ha fatto
emergere che l’operazione era al di fuori dalla normale attività aziendale e quindi
potenzialmente critica: sono state le attività di recupero, da parte dell’addetto
fatturazione estero della M Spa presso il trasportatore, delle bolle doganali di uscita
che dovevano dare evidenza dell’esecuzione dell’esportazione e di consegna della
merce al cliente finale.
Altro punto di controllo che ha confermato la non correttezza dell’operazione è stata la
ricezione da parte della M Spa della contabile del bonifico in cui riporta il nome
dell’agente Italia di M Spa come soggetto ordinante dello stesso.
Nel dettaglio l’analisi ha fatto emergere come, presso:
 La M Spa:
289
 si sia proceduto ad aprire a sistema all’interno dell’anagrafica della M Usa
la destinazione senza verificare l’esistenza del cliente e dell’indirizzo a cui
doveva essere destinata la merce;
 si sia proceduto ad eseguire a sistema l’ordine di acquisto intercompany
utilizzando
un
cliente
già
codificato per un’altra
operazione
di
triangolazione senza chiedere alla M Usa l’apertura della anagrafica
cliente e quindi verificare la correttezza della destinazione della merce;
 si sia proceduto a correggere le fatture già emesse con destinazione
Europa orientale, secondo le indicazioni impartite dal Manager dell’ufficio
commerciale;
 La M Usa:
 si sia proceduto ad aprire a sistema l’anagrafica del cliente senza
verificare l’esistenza dello stesso e dell’indirizzo di destinazione della
merce;
 si sia proceduto ad aprire a sistema l’anagrafica del cliente in Croazia
senza verificare con la direzione competente della Capogruppo (M Spa) i
dati che la stessa possedeva in quanto cliente/distributore già codificato;
 si sia proceduto ad emettere fattura di vendita verso il cliente in Croazia
senza che il pagamento della merce fosse stato effettuato;
 non sia stata eseguita una gestione ottimale dell’incasso sul bonifico
disposto dall’agente Italia in quanto questo tecnicamente non pareggiava
con la fattura che M Usa aveva emesso.
La funzione di internal auditor ritiene che le gerarchie aziendali e i connessi livelli
autorizzativi dei soggetti coinvolti hanno avuto un peso preponderante nella gestione
dell’intera operazione, con la conseguenza che, le risorse operative hanno effettuato le
attività secondo quanto impartito dai propri superiori gerarchici senza eseguire alcuni
controlli preventivi richiesti.
L’operazione è infatti stata decisa dal vertice aziendale.
La vendita, pur non essendo standard per la filiale americana (vendita di merce in un
paese non confinante con gli Usa), è stata comunque condotta secondo le procedure
informatiche/gestionali e le prassi operative in uso presso la M Spa e la M Usa.
290
Se si scompone l’operazione nei seguenti quattro principali punti:
1. Definizione degli ordini di vendita date le disponibilità dei modelli;
2. Definizione del prezzo intercompany e dei prezzi di vendita al cliente finale;
3. Gestione delle attività operative di inserimento delle informazioni nei sistemi
gestionali e di consegna della merce al trasportatore;
4. Gestione delle attività amministrative di incasso e di fatturazione;
l’analisi ha evidenziato che, solo nel momento in cui si stavano gestendo alcune delle
attività relative al quarto punto è emerso completamente che l’operazione era diventata
critica. Per la precisione quando:
 E’ venuta a mancare la documentazione relativa all’esportazione della merce
(bolla doganale in uscita);
 Il pagamento della merce relativo ad alcune spedizioni non è mai stato
effettuato.
Per quanto riguarda i punti 1 e 2, questi sono stati gestiti secondo la prassi operativa in
uso, mentre la gestione del punto tre e di parte del quarto ha fatto emergere, come i
soggetti più operativi abbiano svolto le attività secondo quanto previsto dalle procedere
informatiche/gestionali senza tuttavia eseguire i controlli preventivi che potevano
portare al blocco dell’operazione stessa.
Visto il numero di attori coinvolti e le loro responsabilità, la funzione di internal auditor
ha ritenuto che sia venuto a mancare il giusto bilanciamento di poteri, il cosiddetto
check and balance, tra i vari soggetti responsabili delle direzioni aziendali.
Si ritiene, così, prioritario che la capogruppo si attivi affinché il sistema di controllo
interno venga migliorato a livello di:
 Ambiente di controllo362, inteso come l’istituzione di migliori regole di check and
balance per i responsabili dei processi aziendali;
 Attività di controllo e attività di monitoraggio di linea363, inteso come esecuzione
dei controlli preventivi da parte dei responsabili di processo sui punti operativi
ove si sono evidenziate le maggiori carenze.
362
363
Componente del COSO Report
Componenti del COSO Report
291
Nella fattispecie si propone di migliorare a livello di capogruppo e di società controllate
le attività relative:
 Alla gestione delle anagrafiche cliente (comprese quelle di destinazione della
merce);
 Alla gestione della attività di incasso della M Usa e di tutte le altre società del
gruppo.
292
6. Conclusioni
Il sistema aziendale nella sua interezza è un ambiente molto complesso e pieno di
insidie.
Il caso analizzato permette di comprendere come anche società che presentano un
adeguato sistema di controllo interno disegnato sulla base dei precetti del COSO
Report possano fare fatica ad evidenziare eventuali carenze a livello applicativo del
sistema stesso. Infatti, come già sottolineato nella trattazione, il sistema di controllo
interno non è e non deve restare un insieme di matrici scritte su carta al solo fine di
permettere al compliance della società a normative specifiche, ma deve essere
implementato a livello di attività esercitate dai singoli attori facenti parte dei differenti
processi presenti nella società.
Il caso evidenzia che il meccanismo per frodare la società era stato ben architettato
dagli attori, con la complicità di diversi personaggi aziendali anche a livello di middle
management, ma esso ha trovato applicazione solamente dal momento in cui i controlli
interni preventivi previsti dal sistema di controllo implementato dall’azienda non hanno
funzionato in quanto lasciati su carta e non applicati dai diretti interessati.
Tale mancanza aiuta a comprendere come l’individuazione prima su carta e poi
applicata in maniera corretta nella realtà sia l’approccio più corretto da utilizzare per
prevenire rischi come quello evidenziato, oppure per non permettere che il sistema
informativo che fornisce le informazioni finanziarie non sia alimentato nella maniera
non corretta e che quindi non sia in grado di rappresentare in maniera veritiera e
corretta la situazione patrimoniale, economica e finanziaria della società.
All’interno di una matrice di controlli in essere presso una società è utile capire la
quantità di lavoro necessaria per prevenire errori e quindi alla fine comprendere
l’ambiente circostante l’azienda stessa, oltre che valutare la correttezza dei controlli
posti in essere per capire come implementare il sistema, pur mantenendolo semplice
per non rischiare che i controlli stessi diventino un impedimento pesante per le
persone, al fine di prevenire le situazioni che si presentano come rischiose.
293
La modalità di analisi quindi di una società dal punto di vista dei suoi controlli e della
compliance a norme esterne ed interne alla realtà aziendale stessa, non varia molto tra
auditor esterni (le società di revisione) ed interni (ufficio di internal audit).
Essi analizzano entrambi la società partendo dalla comprensione a 360° della stessa,
per essere in grado di installare o modificare i controlli interni già esistenti nella
maniera più opportuna, al fine di identificare, valutare, mitigare e monitorare tutti i key
risk che potrebbero influenzare l’azienda ed al fine di prevenire casi di frode come
quello analizzato nel caso.
294
Bibliografia
Testi:
A. Devalle, Il sistema informative aziendale ed il passaggio agli IAS/IFRS, Giuffrè
editore, Milano, 2006
A. Mucelli, I sistemi informativi integrati per il controllo dei processi aziendali,
Giappichelli, 2000
Amministrazione & Finanza ORO, Enterprise risk management, Casistiche aziendali di
rischi operativi, Modello quantitativo di analisi del rischio operativo, IPSOA, Milano,
2007
ANDAF, Il dirigente Preposto alla redazione dei documenti contabili e societari, 2007
Astolfi, Barale & Ricci, Entriamo in azienda 3. Imprese industriali, sistema informativo di
bilancio e imposizione fiscale – Tomo 1, Tramontana, Milano, 2004
C. Dittmeier, Internal auditing, Egea, Milano, 2007
C. Hofer, D. Schendel, Strategy formulation: analytical concepts, West Publishing,
1977
Commissione paritetica per la statuizione dei principi di revisione, Obiettivi e principi
generali della revisione contabile del bilancio
Committee of Sponsoring Organizations of the Treadway Commission Report (COSO),
La gestione del rischio aziendale, ERM Enterprise Risk Management: modello di
riferimento e alcune tecniche applicative, Il sole 24 ore, Milano, 2006
Dipartimento di Economia Aziendale, Lezioni di economia aziendale, G. Giappichelli
F. Bava, A. Devalle, Le relazioni al bilancio degli organi di controllo, Euroconference,
Verona, 2009
F. Bava, Il controllo del sistema di controllo interno, Giuffrè editore, Milano, 2005
F. Culasso, Gestione del rischio e controllo strategico. Un’ottica sistemica aziendale,
Giappichelli Editore, Torino, 2009
F. Culasso, Sistema – impresa e gestione per processi, Giappichelli Editore, Torino,
1999
F. Dezzani, P. Biancone, D. Busso, IAS/IFRS, Wolters Kluver Italia, 2010
F. Dezzani, Rischi e politiche d’impresa, Giuffrè editore, Milano, 1971
G. Bracchi, C. Francalanci, G. Motta, Sistemi informativi e aziende in rete, McGraw-Hill,
2001
G. Bracchi, G. Motta, Processi aziendali e sistemi informativi, Franco Angeli, 2001
G. Ferrero, F. Dezzani, P. Pisoni, L. Puddu, Analisi di bilancio e rendiconti finanziari,
Giuffrè editore, Milano, 2006
G. Ferrero, Istituzioni di economia d’azienda, Giuffrè editore, Milano, 1980
295
Gazzetta Ufficiale della Comunità Europea
Guida interpretativa AIIA 2100-3, Ruolo dell’internal auditing nel processo di Risk
management
Il sole 24 ore, La gestione del rischio aziendale, ERM Enterprise Risk Management:
modello di riferimento e alcune tecniche applicative, Milano, 2006
J. Hope, Reinventing the CFO. How financial managers can transform their roles and
add greater value, Harvard business school press, Boston Massachusetts, 2006
K. Laudon, Management information systems, Prentice Hall, 2004
L. Brusa, Attuare e controllare la strategia aziendale. Mappa strategica e balanced
scorecard, Giuffrè editore, Milano, 2007
M.E. Porter, Competitive advantage, The free press, 1985
P. Onida, Economia d’azienda, Utet, 1965
P. Pisoni, F. Bava, D. Busso, A. Devalle, Il bilancio d’esercizio 2010. Principi, struttura
e valutazioni, Euroconference editore, Verona, settembre 2009
P. Pisoni, F. Bava, D. Busso, A. Devalle, Il primo bilancio redatto con gli IAS/IFRS,
Egea Spa, Milano, 2007
PricewaterhouseCoopers, Decreto legislativo 231/2001. Indagine nell’ambito delle
società quotate
PricewaterhouseCoopers, Il controllo interno per l’attendibilità del financial reporting.
Strumenti di riferimento per il management, COSO Committee of Sponsoring
Organizations of the Tradeway Commission, Il sole 24 ore, Milano, 2008
PricewaterhouseCoopers, Il sistema di controllo interno. Un modello integrato di
riferimento per la gestione dei rischi aziendali, Il sole 24 ore, Milano, 2006
PricewaterhouseCoopers, Quick wins 2008, 2008
R.A. Brealey, S.C. Myers, F. Allen, S. Sandri, Principi di finanza aziendale, McGrawHill, Milano, 2006
R.S. Kaplan, D.P. Norton, The balanced scorecard, Harvard Business School Press,
1996
S. Beretta, Valutazione dei rischi e controllo interno, Milano, Egea, 2004
The Committee of Sponsoring Organizations of the Treadway Commission, Internal
control – Integrated framework, 1992
V. Cantino, Corporate governante, misurazione della performance e compliance del
sistema di controllo interno, Giuffrè editore, Milano, 2007
V. Cantino, Rischio di cambio, Giuffrè editore, Milano, 2000
W.M. Evan, A stakeholder approach on modern corporation: the kantian capitalism,
1984
296
Articoli:
B. Santacroce, L'antiriciclaggio può coinvolgere i sindaci-revisori, Il sole 24 ore, 6
maggio 2010
L. De Angelis, C. Feriozzi, Principi internazionali come leggi, Italia oggi, 4 maggio 2010
M. Tidona, Il cash pooling tra le società appartenenti ad un gruppo, Milano, 16
dicembre 2000
P. Ceppellini, R. Lugano, Un voto all'attività del revisore, Il sole 24 ore, 13 maggio 2010
Sarbanes-Oxley Act e trasparenza in USA, 2 marzo 2004
Leggi:
Art. 116 del D.Lgs. del 24 febbraio 1998, n.58
Art. 154 D. Lgs. N. 58/1998
Art. 155 TUIF
Art. 156 comma 5 D.Lgs. 58/1998
Art. 159 D.Lgs. 58/1998
Art. 2 bis del Regolamento Consob 11971/1999, n. 14372
Art. 2409-bis Codice civile
Art. 2409-octiesdecies Codice civile
Art. 2409-ter Codice civile
Art. 2409-terdecies Codice civile
Art. 2423 ter Codice civile
297
Art. 4 Regolamento CE 1606/2002
Artt. 155, 165 e 165-bis del D.Lgs. 58/1998
Codice di autodisciplina in applicazione del D.Lgs. n. 24/2002
Comunicazione Consob n. DAC/99088450 del 1999 per le società quotate; D.Lgs. n.
32/2007 per le società non quotate
D.Lgs. 173 del 26 maggio 1997
D.Lgs. 38/2005
D.Lgs. n. 231/2001
D.Lgs. n. 231/2007
D.Lgs. n. 262 del 28 dicembre 2005
D.Lgs. n. 58/1998
D.Lgs. n.39/2010
Decreto del Presidente della Repubblica n.136/1975, ormai abrogato e sostituito dal
D.Lgs. 58/1998
Decreto della Giustizia, 16 aprile 2010
Legge delega n. 306/2003
Legge n. 123/2007
Legge Stati Uniti d’America del senatore P. Sarbanes, 30 luglio 2002
Punto A dell’allegato I del D.Lgs. del 17 marzo 1995, n. 174
Sarbanes-Oxley Act, 2002
Principi contabili:
IAS 1 – Presentazione del bilancio
IAS 16 – Immobili, impianti e macchinari
IAS 2 – Rimanenze
IAS 32 – Strumenti finanziari: esposizione in bilancio
IAS 39 – Strumenti finanziari: rilevazione e valutazione
IAS 8 – Principi contabili, cambiamenti nelle stime contabili e errori
OIC 11 – Bilancio d’esercizio, finalità e postulati
OIC 13 – Le rimanenze di magazzino
OIC 14 – Disponibilità liquide
298
OIC 19 – Fondi per rischi e oneri, trattamento di fine rapporto di lavoro subordinato, i
debiti
OIC 26 – Operazioni e partite in moneta estera
OIC 29 – Cambiamenti di principi contabili, cambiamenti di stime contabili, correzione
di errori, eventi e operazioni straordinari, fatti intervenuti dopo la data di chiusura
dell’esercizio
Principi di revisione:
ISA 220 – Quality control for an audit of financial statements
ISA 240 – The auditor’s responsabilities relating to fraud in an audit of financial
statements
ISA 300 – Planning an audit of financial statement
ISA 315 – Identifying and assessing the risks of material misstatement through
understanding the entity and its environment
ISA 320.10 – Materiality in planning and performing an audit
ISA 450.5 – Evaluation of misstatements identified during the audit
Principio di revisione n. 001, 2009, adottato da Consob con delibera n. 16801, 2009
Sitografia:
www.anfao.it, sito ufficiale dell’Associazione nazionale dei fabbricanti di articoli ottici
www.assirevi.it, sito ufficiale dell’Associazione italiana dei revisori contabili
www.consob.it, sito della Commissione Nazionale per le Società e la Borsa
www.deloitte.com, sito ufficiale della Società di revisione Deloitte & Touche
www.economicamente.biz/?p=3173, che riporta un articolo riguardante la modalità di
www.ey.com, sito ufficiale della Società di revisione Ernst & Young
www.irtop.com, sito che si occupa di tutte le news riguardanti gli investor relations
www.kpmg.com, sito ufficiale della Società di revisione KPMG
www.pc-facile.com, glossario informatico
www.pwc.com, sito ufficiale della Società di revisione PricewaterhouseCoopers
www.theiia.org, sito ufficiale dell’Istituto degli internal auditors
www.wikipedia.com, enciclopedia telematica
299
Altre fonti:
Circolare Assonime n. 16, “Il testo unico della revisione legale”, 3 maggio 2010
COSO Report
300

La revisione ed il sistema di controllo interno delle aziende: il

Transcript

Documenti analoghi

Visualizza esempi utilizzo

Scarica la presentazione Simco

Modulblok S.p.A. Tecnologie e Logistiche di Magazzino 33010

cv_format_it europeo

una rete al servizio del cliente

circolare inventario magazzino - dicembre 2015

NET MAG - CASTGroup

Damaso Zanardo

E-Commerce - Camere di Commercio

responsabile