Con sistema di controlli interni si indica tutto l’insieme di attività atte al controllo della precisione, della regolarità e della rispondenza di uno specifico elemento rispetto ai parametri di riferimento. Questa tipologia di sistema è solitamente costruito e implementato all’interno dell’azienda.

Il sistema dei controlli interni è oggi sempre più un elemento fondamentale del complessivo sistema di governo dell’impresa; questo assicura che l’attività aziendale sia in linea con le strategie e gli obiettivi di business, sia coerente con le politiche aziendali, sia conforme ai requisiti cogenti e volontari e sia improntata a canoni di sana e prudente gestione. Se sei interessato alla tematica, il corso Esperto 231 tratta in modo approfondito questi argomenti.

L’affermazione a 360 gradi del principio di accountability, strettamente connesso a quello del risk based approach, ha dunque portato all’accezione moderna del sistema dei controlli come di strumento di gestione integrato del rischio d’impresa in sede di progettazione e valutazione (risk management). Per comprendere meglio il ruolo che il sistema dei controlli interni si è conquistato nel tempo, bastano alcuni cenni alla sua storia.

La storia del sistema di controlli interni

Fino agli anni ’40, il controllo interno era, per lo più, concepito come un aspetto incidentale della revisione contabile e solo un decennio dopo la nozione di controllo interno includerà i controlli amministrativi e controlli finanziari.

Ma il dato più interessante è che, per molti anni successivi, l’attività di controllo venne esercitata prevalentemente attraverso autonome attività ispettive condotte a cadenze regolari da appartenenti all’organizzazione, investiti di un incarico ad hoc su presupposti di integrità e indipendenza. Solo intorno alla metà degli anni ’80, la National Commission on Fraudolent Financial Reporting (più nota come Treadway Commission) propose una nuova chiave di lettura del sistema dei controlli interni, realizzando uno studio in vista della definizione di un modello di riferimento innovativo e utile per il management aziendale.

Il Treadway Report prevedeva l’adozione di un’apposita politica di risk management, diretta a individuare ex ante le aree aziendali maggiormente esposte al rischio (“mappatura dei rischi”) e a rafforzare le aree più “deboli” attraverso l’introduzione di opportuni aggiustamenti organizzativi, anche nella forma di protocolli comportamentali. Inoltre, e il dato è molto interessante, si raccomandava ai soggetti coinvolti, a vario titolo, nei processi di predisposizione e controllo dell’informativa economico-finanziaria, l’importanza dell’ambiente di controllo, dei codici di comportamento, della competenza e dell’operatività dei comitati di auditing, nonché della presenza di una funzione di revisione interna attiva e obiettiva.

Prese vita nel 1992 il rapporto finale intitolato “Internal Control: Integrated Framework”, più noto come CoSO Report, oggi nell’aggiornamento 2013, che definisce il controllo interno  (che coinvolge CdA, dirigenti e altri operatori dell’organizzazione aziendale) come il processo finalizzato a fornire ragionevole garanzia circa il perseguimento degli obiettivi aziendali in relazione agli aspetti di conformità legislativa, affidabilità e integrità del bilancio e delle informazioni, salvaguardia del patrimonio e efficacia ed efficienza dei processi.

Il sistema dei controlli interni secondo Banca d’Italia.

In modo non dissimile, Banca d’Italia definisce il sistema dei controlli interni come l’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare il conseguimento della verifica dell’attuazione delle strategie e delle politiche aziendali, del contenimento del rischio (Risk Appetite Framework “RAF”), dell’efficacia ed efficienza dei processi aziendali, dell’affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche, della prevenzione del rischio di commissione e coinvolgimento, anche involontariamente, in attività illecite e, più in generale, della conformità legislativa ed ai regolamenti e le procedure interne.

Le finalità perseguite tramite la corretta progettazione ed attuazione del sistema dei controlli interni, non valgono solo per le società vigilate, ma sono alla base di molte delle norme cogenti e volontarie che trovano applicazione trasversale.

Così la normativa antiriciclaggio (D.Lgs. 231/07), la normativa in materia di protezione dei dati personali (GDPR 679/16), la responsabilità amministrativa derivante da reato (D.Lgs. 231/01) o le norme ISO fondano il principio di accountability sulla capacità dell’impresa di definire un sistema di controlli interni capace di garantire sia l’osservanza delle disposizioni normative, sia di ridurre proporzionalmente i rischi cui la società è esposta, oltre che permettere di raggiungere gli obiettivi definiti in modo controllato; la valutazione di impatto, l’analisi di contesto e di rischio e il RAF ne sono un esempio.

In questo quadro di riferimento il sistema dei controlli diviene inevitabilmente lo strumento di gestione integrato del contenimento del rischio d’impresa. L’importanza del sistema dei controlli interni e la capacità di costruirlo e implementarlo a seguito di una robusta analisi di rischio è uno degli argomenti principali dei nostri corsi di formazione in compliance erogati da Probitas, l’Academy di PK Consulting. Ad esempio, il corso Esperto 231 approfondisce tale approccio, collegandolo a casi di scuola ed esperienze dirette.