L'applicazione del concetto di rischiodel controllo: un modello operativo di valutazione

Per il concetto di rischio inerente, anche con riferimento al SCI e ai correlati rischi di errore, esistono diversi  modelli operativi  di riferimento e classificazione. Può essere difficoltoso individuare per ogni fenomeno osservato, a quale categoria di controlli esso appartenga e quali rischi si possono avere da lacune presenti nella sua architettura ed operatività. Secondo il COSO Report i controlli sono classificabili in:
- Ambiente di controllo;
- Informazione e comunicazione;
- Attività di controllo.
Il COSO Report aggiunge 2 aspetti in relazione al grado di relatività e dinamismo dei controlli:
- Valutazione dei rischi: i controlli devono essere relativizzati rispetto agli specifici rischi;
- Monitoraggio: i controlli devono seguire il dinamismo aziendale e devono essere sottoposti a revisione se non più allineati rispetto ai mutamenti sostanziali dei processi operativi.
Nella prassi, diverse società di revisione strutturano le proprie attività di verifica dell'affidabilità dello SCI operando una distinzione delle procedure amministrativo – contabili dividendola:
1.    Controlli di monitoraggio: comprendono strumenti e procedure che coinvolgono il management e sono:
a.    Supervisione organizzativa del management per le attività compiute nei processi sotto la loro responsabilità;
b.    Analisi da parte dei management degli exceptions report, ovvero i rapporti scritti o altre comunicazioni che informano in merito al verificarsi di eccezioni nelle transazioni, ciò implica un coinvolgimento del management nella gestione dell'eccezioni, che vanno risolte tempestivamente;
c.    Analisi dei report gestionali comprendenti la valutazione sia delle performance economico – finanziarie sia dei risultati operativi.
2.    Controlli sulle applicazioni: comprendono quelli sulle transazioni a livello di micro-organizzazioni e quindi di singoli operatori, per verificare il rispetto delle procedure che presidiano gli obiettivi operativi. Spesso sono divisi in:
a.    Controlli a livello di transazioni, relativi alle modalità di raccolta, inserimento e pro cessazione delle informazioni;
b.    Controlli a livello di ciclo, relativi alla modalità di elaborazione, aggiornamento, accumulazione e protezione/integrità dei dati.
In ottica manageriale, i controlli interni presentano vari aspetti di criticità, e sono:
- I SCI non sono infallibili, ma presentano specifiche probabilità di non essere adeguati;
- Il livello di efficacia dei sistemi di controllo può essere apprezzato osservandone i risultati, ovvero il livello di riduzione nell'attesa di errori correlata ai singoli obiettivi assegnati ai controlli medesimi;
- I sistemi di controllo possiedono un costo, sia nella fase di progettazione che operativa.
La fallibilità dei sistemi di controllo è legata alla circostanza che il disegno/architettura dei controlli lascia sempre dei vuoti, ciò comporta esistenze di attività non proceduralizzate che possono presentare una maggiore incidenza di errori. Ma anche una procedura ben disegnata non è detto che funzioni in modo corretto, e inoltre, esistono sempre possibilità di aggirare i controlli da parte degli operatori aziendali. Pertanto possono esistere e sono ineliminabili errori sia nel disegno sia nel funzionamento dei controlli, e la loro efficacia può essere apprezzata in termini di riduzione degli errori legati al raggiungimento degli obiettivi di economicità, attendibilità e conformità normativa.