Il sistema di controllo interno rappresenta uno dei cardini principali della Governance aziendale (se non il cardine principale) e gli amministratori non possono esimersi da questa responsabilità delegando questo aspetto ai preposti operativi.
E’ responsabilità primaria del CDA(*) instaurare e mantenere un efficace ed efficiente sistema di controllo interno mentre il CFO è una figura di rilievo nel sistema di controllo interno.
I componenti del sistema di controllo interno sono principalmente:
- la separazione dei compiti
- la supervisione
- la protezione degli asset
(*) vedi articolo sulle Responsabilità degli Amministratori
1. control environment (integrità e valori etici, cultura del management, assegnazione chiara dei compiti e ruoli, politica e procedure del personale, etc.)
2. control activity (attività di controllo preventivo e successivo)
3. monitoraggio (control matrix, analisi scostamenti)
4. risk assessment
Il primo passo da compiere dovrebbe essere quello di attivare un progetto di “self assessment” del controllo interno (così come previsto dalla Sarbanes-Oxley) per avere una chiara visione dello stato dell’arte dell’attuale sistema in forza presso la società. Questo aspetto è molto importante, in quanto attivare un progetto di self assessment e successivamente intervenire sull’organizzazione per coprire tutte le debolezze, rappresenta oltre ad un impegno significativo per la società in termini di risorse impiegate anche (di solito) un significativo cambiamento culturale.
Obiettivi primari di un sistema di controllo interno sono:
- - efficienza ed efficacia dei processi operativi
- - attendibilità delle informazioni di bilancio
- - coerenza dei comportamenti con leggi/norme/direttive (compliance)
I meccanismi di base di un sistema di controllo interno sono:
- la supervisione
- la protezione degli asset
Ad esempio, per quanto riguarda la fatturazione attiva (uno dei processi chiave da tenere sotto controllo), chi ha la gestione delle anagrafiche ed in particolare delle condizioni e termini di pagamento (ie. banche di appoggio) deve essere separato da chi ha la possibilità di emettere fatture.
Relativamente alle “procedure”, rilevo che le stesse sono necessarie al fine di consentire agli utilizzatori di ottenere una chiara comprensione delle attività da svolgere e dei comportamenti da tenere. Si suggerisce pertanto di iniziare a documentare le principali procedure aziendali al fine di ottenere dopo un ragionevole tempo, un manuale delle procedure. Si tenga presente che la mancanza di procedure formalizzate non permette di svolgere adeguatamente una parte delle attività di internal auditing.
In una prima fase, potrebbe essere sufficiente accorpare le funzioni di Internal Auditing e Compliance in una sola figura professionale. In questo caso il problema potrebbe essere quello di trovare un professionista con competenze multi-disciplinari tali da garantire un corretto ed adeguato svolgimento delle attività.
In particolare dove si presenta uno sviluppo del business attraverso acquisizioni (e quindi con un aumento significativo della complessità da gestire) ritengo utile inserire in organigramma la figura del Compliance Officer il quale dovrebbe essere responsabile dell’aderenza alla normativa civilistica, fiscale e legale del gruppo.
ps. nel caso delle quotate, la normativa del TUF prevede anche la mappatura e il controllo dei flussi informativi a sostegno del bilancio (legge sul risparmio n. 262 TUF flussi informativi a supporto del bilancio).
(*) vedi articolo sulle Responsabilità degli Amministratori