Abbiamo visto come il sistema dei controlli interni rivesta un ruolo centrale nell’organizzazione aziendale.
Questo è definibile come un processo interno all’impresa, al pari dei processi di business, che deve essere gestito in ogni fase: dalla pianificazione, alla realizzazione fino al monitoraggio e non riguarda solo le funzioni aziendali tipicamente di controllo, ma coinvolge tutta l’organizzazione nel definire, sviluppare e applicare il sistema dei controlli per prevenire, identificare, misurare, comunicare e gestire i rischi.
I presidi infatti (quelli cioè che Bankitalia definisce come l’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure) relativi al sistema dei controlli interni dovrebbero essere in grado coprire quindi ogni tipologia di rischio aziendale.
Il panorama italiano relativo all’assetto del sistema di controllo interno si caratterizza per una ripetuta stratificazione di disposizioni di rango legislativo, cui si aggiunge un assai rilevante apparato di best practices di matrice autodisciplinare (es. Codici di autodisciplina, Linee guida ecc.). Ne è derivata una disciplina, globalmente intesa, animata da numerosi e consistenti presìdi di sorveglianza che rischiano spesso di sovrapporsi.
Sul piano organizzativo, i soggetti aziendali coinvolti nel sistema di controllo vengono generalmente individuati in coerenza con un’articolazione delle responsabilità su vari livelli.
Si possono individuare le seguenti tipologie di controllo:
controlli di primo livello o controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Questi controlli sono effettuati nel corso dell’operatività e sono rappresentati ad esempio da presidi di tipo gerarchico svolti da vari responsabili delle unità organizzative (autorizzazione e verifiche) o controlli sistematici o a campione diretti ad identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall’ordinaria attività, per quanto possibile essi sono incorporati nelle procedure operative o informatiche. Sono eseguiti dalle stesse strutture operative che sono le prime responsabili del processo di gestione dei rischi aziendale anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office;
controlli di secondo livello o controlli sui rischi e sulla conformità che hanno l’obiettivo di assicurare la corretta attuazione del processo di gestione dei rischi; il rispetto dei limiti operativi assegnati alle varie funzioni; la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione. Le funzioni preposte a tali controlli sono distinte da quelle produttive; esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi e sono normalmente rappresentate dalle funzioni Risk Managenet, Compliance, Controllo costi o controllo di gestione, Servizio pianificazione e controllo, Responsabile Sistemi di gestione ecc;
controlli di terzo livello o revisione interna volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni, normalmente affidate all’Internal Audit. Scopo dell’attività è individuare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché valutare la funzionalità del complessivo sistema dei controlli interni.
Il quadro degli attori del sistema di controllo è completato dagli organi posti in posizione apicale nell’ambito della società. Nel dettaglio, si tratta del collegio sindacale, che rappresenta il vertice del sistema di vigilanza; del consiglio di amministrazione, quale organo di supervisione strategica, che si avvale dell’attività istruttoria svolta dal comitato controllo e rischi e di uno o più amministratori, incaricati dell’istituzione e del mantenimento di un efficace sistema di controllo interno e di gestione dei rischi; nonché dell’organismo di vigilanza e controllo di cui al d.lgs. n. 231/01 (OdV), chiamato a vigilare sulla reale efficacia dei modelli organizzativi in concreto adottati al fine di prevenire i rischi di reato.
Continua a seguirci sulla nostra pagina Linkedin, pubblicheremo articoli ogni settimana!
