Focus-News-Eventi > Focus > Risk management
Il Sistema di controllo interno e di gestione dei rischi (SCI)
Il “sistema di controllo interno (e di gestione dei rischi)” può essere definito come:
- <<un processo, attuato dal consiglio di amministrazione, dai dirigenti e da altri soggetti della struttura aziendale, finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
- attendibilità delle informazioni di bilancio;
- conformità alle leggi ed ai regolamenti in vigore.>> (Internal Control Integrated Framework, cd. CoSO Report, 2013);
- <<l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale.>> (Codice di Autodisciplina per le società quotate, Borsa italiana S.p.a., 2014, para. 7);
- <<l'insieme delle regole, delle procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell'impresa e a garantire, con un ragionevole margine di sicurezza:
b) l'adeguato controllo dei rischi attuali e prospettici;
b bis) la tempestività del sistema di reporting delle informazioni aziendali;
c) l'attendibilità e l'integrità delle informazioni contabili e gestionali;
d) la salvaguardia del patrimonio anche in un'ottica di medio-lungo periodo;
e) la conformità dell'attività dell'impresa alla normativa vigente, alle direttive e alle procedure aziendali.>> (art. 4 del Regolamento ISVAP n. 20 del 26 marzo 2008, modificato e integrato dal Provvedimento ISVAP n. 3020 dell'8 novembre 2012 e dal Provvedimento IVASS n. 17 del 15 aprile 2014).
Alle definizioni di "sistema di controllo interno" sopra evidenziate corrisponde la definizione di "processo di gestione dei rischi" di cui alla Circolare della Banca d'Italia n. 263 del 27 dicembre 2006, con il 15° aggiornamento del 2 luglio 2013 (in particolare: Titolo V, Capitolo 7, art. 3), che qui di seguito si riporta:
- l’insieme delle regole, delle procedure, delle risorse (umane, tecnologiche e organizzative) e delle attività di controllo volte a identificare, misurare o valutare, monitorare, prevenire o attenuare nonché comunicare ai livelli gerarchici appropriati tutti i rischi assunti o assumibili nei diversi segmenti, a livello di portafoglio di impresa e di gruppo, cogliendone, in una logica integrata, anche le interrelazioni reciproche e con l’evoluzione del contesto esterno.>>
La valutazione del sistema di controllo interno (S.C.I.) viene svolta:
- partendo dall’elemento sul quale si fonda tale sistema, vale a dire il cd. “ambiente di controllo”, formalmente rappresentato dai codici di condotta o codici etici interni).
l’ <<insieme di valori, idee, motivazioni, convinzioni e comportamenti il cui riconoscimento e la cui condivisione da parte dell’organizzazione ne orienta in misura significativa il modo di operare, con particolare riferimento all’attività di controllo>>;
- con riferimento alle cinque componenti del S.C.I. (tutte interessate dai tre obiettivi di : i) efficienza operativa (controllo di gestione); ii) adeguatezza informativa (controllo amministrativo-contabile); iii) conformità alla normativa(compliance), vale a dire:
1. Ambiente di controllo (Control Environment): atmosfera di controllo e redazione dei report finanziari;
2. Valutazione del rischio (Risk assessment): processo per la gestione dei rischi, a sua volta suddiviso in Event identification, Risk assessment e Risk response;
3. Attività di controllo (Control Activities): procedure e azioni intraprese per realizzare gli obiettivi aziendali;
4. Informazione e comunicazione (Information & Communication): scambio di informazioni per il controllo dell'azienda (sistema informativo aziendale);
5. Monitoring: monitoraggio del sistema di controllo.
Il 14 maggio 2013 il CoSO ha emesso la versione aggiornata del documento “Internal Control - Integrated Framework” (“2013 Framework”), composto da 140 pagine.
Il “Framework” include le seguenti appendici: “A: Glossary”; “B: Roles and Responsibilities”; “C: Considerations for Smaller Entities”; “D: Methodology for Revising the Framework”; “E: Public Comment Letters”; “F: Summary of Changes to the COSO Internal Control – Integrated Framework (1992)”; “G: Comparison with COSO Enterprise Risk Management – Integrated Framework”.
Per ulteriori informazioni sull’argomento e per l’ “Executive Summary” si rinvia al sito del CoSO (www.coso.org).
Contestualmente, lo stesso CoSO ha rilasciato i seguenti documenti:
- “Executive Summary”;
- Internal Control – Integrated Framework: Illustrative Tools for Assessing Effectiveness of a System of Internal Control (Illustrative Tools), which provides templates to assist users in documenting their assessment of principles, components, the overall system of internal control, and scenarios of how the templates could be used”;
- “Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples (the Compendium), which features examples of internal control over financial reporting and illustrates how users might apply the principles of the 2013 Framework to external financial reporting objectives”.
Inoltre, secondo il modello fornito dal CoSO Report, l’analisi del sistema di controllo interno viene condotta su due livelli:
- entity level: analisi sintetica e complessiva, a livello aziendale, delle cinque componenti del S.C.I. appena individuate;
- process level: analisi dei processi aziendali rientranti nello scope, individuazione dei connessi rischi, identificazione e valutazione dell’efficacia dei controlli, identificazione di eventuali gaps e proposta delle relative azioni di miglioramento (remediation plan).
Per le componenti del S.C.I. e i relativi principi fissati dal CoSO Report (2013) clicca qui.