Focus-News-Eventi > Focus > Risk management
Il Sistema di controllo interno e di gestione dei rischi (SCI)
Il “sistema di controllo interno” può essere definito come:
- <<un processo, attuato dal consiglio di amministrazione, dai dirigenti e da altri soggetti della struttura aziendale, finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
- attendibilità delle informazioni di bilancio;
- conformità alle leggi ed ai regolamenti in vigore>> (CoSO Report);
- <<l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati>> (Codice di Autodisciplina per le società quotate, Borsa italiana S.p.a., 2006, para. 8).
La valutazione del sistema di controllo interno (S.C.I.) viene svolta:
- partendo dall’elemento sul quale si fonda tale sistema, vale a dire il cd. “ambiente di controllo”, formalmente rappresentato dai codici di condotta o codici etici interni).
l’ <<insieme di valori, idee, motivazioni, convinzioni e comportamenti il cui riconoscimento e la cui condivisione da parte dell’organizzazione ne orienta in misura significativa il modo di operare, con particolare riferimento all’attività di controllo>>;
- con riferimento alle cinque componenti del S.C.I. (tutte interessate dai tre obiettivi di : i) efficienza operativa (controllo di gestione); ii) adeguatezza informativa (controllo amministrativo-contabile); iii) conformità alla normativa(compliance), vale a dire:
2. Valutazione del rischio: processo per la gestione dei rischi, a sua volta suddiviso in Event identification, Risk assessment e Risk response;
3. Attività di controllo (Control Activities): procedure e azioni intraprese per realizzare gli obiettivi aziendali;
4. Informazione e comunicazione (Information & Communication): scambio di informazioni per il controllo dell'azienda (sistema informativo aziendale);
5. Monitoring: monitoraggio del sistema di controllo.
Il 14 maggio 2013 il CoSO ha emesso la versione aggiornata del documento “Internal Control - Integrated Framework” (“2013 Framework”), composto da 140 pagine.
Il “Framework” include le seguenti appendici: “A: Glossary”; “B: Roles and Responsibilities”; “C: Considerations for Smaller Entities”; “D: Methodology for Revising the Framework”; “E: Public Comment Letters”; “F: Summary of Changes to the COSO Internal Control – Integrated Framework (1992)”; “G: Comparison with COSO Enterprise Risk Management – Integrated Framework”.
Per ulteriori informazioni sull’argomento e per l’ “Executive Summary” si rinvia alò sito del CoSO (www.coso.org).
Contestualmente, lo stesso CoSO ha rilasciato i seguenti documenti:
- “Executive Summary”;
- Internal Control – Integrated Framework: Illustrative Tools for Assessing Effectiveness of a System of Internal Control (Illustrative Tools), which provides templates to assist users in documenting their assessment of principles, components, the overall system of internal control, and scenarios of how the templates could be used”;
- “Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples (the Compendium), which features examples of internal control over financial reporting and illustrates how users might apply the principles of the 2013 Framework to external financial reporting objectives”.
Inoltre, secondo il modello fornito dal CoSO Report, l’analisi del sistema di controllo interno viene condotta su due livelli:
- entity level: analisi sintetica e complessiva, a livello aziendale, delle cinque componenti del S.C.I. appena individuate;
- process level: analisi dei processi aziendali rientranti nello scope, individuazione dei connessi rischi, identificazione e valutazione dell’efficacia dei controlli, identificazione di eventuali gaps e proposta delle relative azioni di miglioramento (remediation plan).