Definizione del rischio di controllo

Si definisce rischio di controllo CR (control risk) il rischio che un errore significativo non sia individuato e rimosso dalle procedure del sistema di controllo interno (SCI). Il revisore valuta l'entità di tale rischio mediante l'adeguata comprensione della struttura del SCI e la valutazione delle concrete modalità di funzionamento di questo (esecuzione dei c.d. test of control).
Il SCI può essere definito come un insieme di meccanismi, procedure e strumenti predisposti dalla direzione per assicurare il conseguimento degli obiettivi aziendali. Esso è tipicamente strutturato per assicurare il perseguimento di 3 obiettivi particolari:
- efficacia nel conseguimento degli obiettivi aziendali ed efficienza operativa (operations);
- attendibilità dei dati (reporting);
- conformità alle normative applicabili (compliance);
Il SCI aziendale può essere scomposto, secondo quanto stabilito dai principi di revisione del COSO (Committee on sponsoring organization), in 5 elementi complementari delineati in base ai codici di corporate governance, ai principi di revisione internazionali, ed alle normative nazionali (es. TUF):
1.    l'ambiente di controllo (control environment): rappresenta l'insieme dei controlli generali, cioè quelli che concorrono a dare affidamento all'organizzazione dell'azienda pur non riferendosi direttamente ad una nuova voce di bilancio o ad un ciclo operativo; l'ambiente di controllo consiste nell'azioni politiche e procedure che riflettono l'attitudine generale del soggetto economico dell'alta direzione e dei responsabili di unità organizzative in relazione all'importanza del SCI. Gli elementi dell'ambiente di controllo sono:
- un'elevata integrità e valori etici rigorosi del management;
- un'equilibrata filosofia di controllo e stile di direzione;
- la presenza di organi amministrativi indipendenti dalle direzioni esecutive;
- una struttura organizzativa che agevoli i controlli da parte del management;
- un'elevata attenzione alla competenza degli operatori che operano in posizioni critiche;
- un'assegnazione equilibrata di autorità e responsabilità;
- un'adeguata gestione delle risorse umane.
2.    il sistema informativo (information and communication): le caratteristiche del SCI devono essere tali da soddisfare particolari obiettivi conoscitivi, con riferimento sia alle transazioni che sia ai saldi finali.
3.    le procedure di controllo (control activities): rappresentano cinque categorie di controlli che sono tipicamente applicati con riferimento a specifiche transazione e saldi finali:
- adeguata separazione dei compiti;
- corretta autorizzazione per tutte le autorizzazioni;
- adeguata documentazione e registrazione delle operazioni;
- controllo fisico su beni e registrazioni;
- controllo indipendenti sulle prestazioni effettuate.
4.    le valutazioni del rischio gestionale (risk assessment) attiene alla capacità della direzione di:
a.    identificare situazioni di rischio gestionale che hanno delle ripercussioni sull'attendibilità delle informazioni rilevanti per la preparazione del bilancio d'esercizio;
b.    progettare controlli ad hoc che consentano di fronteggiare tali situazioni di rischio;
5.    il monitoraggio (monitoring): consiste nella verifica continua e/o periodica della efficacia dei calcoli interni e della effettiva operatività dei medesimi al fine di verificare che essi:
a.    operino secondo gli obiettivi formulati;
b.    siano adeguati rispetto ad eventuali cambiamenti intervenuti nella realtà operativa;
E' interessante notare come nell'accezione di SCI proposta dal COSO vi sia riferimento esplicito alla necessità di correlare l'intensità dei sistemi di controllo all'intensità dei rischi gestionali che essi affrontano. La previsione della valutazione del rischio gestionale quale elemento o principio dello SCI sintetizza la relazione moltiplicativa riconosciuta nei principi di revisione, secondo la quale il rischio della presenza di errori materiali nel bilancio di esercizio oggetto di revisione è funzione dell'apprezzamento congiunto del rischio inerente e del rischio di controllo:
MMR = IR x CR
MMR = Rischio di presenza di errori materiali; IR = Rischio inerente
CR = rischio di controllo
Se si accetta l'ipotesi che il revisore sia principalmente interessato ai controlli sull'attendibilità dei dati (c.d. Finacial auditing), il modello del rischio di revisione si potrebbe scomporre, in base alla distinzione tra controlli generali e specifici, il rischio globale in 2 distinte componenti:
- rischio di controllo generale, correlato all'efficacia dei controlli generali (ambiente);
- rischio di controllo specifico, correlato all'efficacia dei controlli specifici (sistema informativo e procedure di controllo).