3
Introduzione
Le crisi finanziarie del terzo millennio hanno messo in luce in modo inequivocabile le
potenziali vulnerabilità del settore bancario, che in alcuni casi (si pensi a Lehman Brothers
nel 2008, per arrivare ai più recenti casi della Silicon Valley Bank e Credit Suisse) sono
esplose evidenziando carenze nei sistemi di gestione dei rischi e inadeguatezze della
governance. Questo insieme di fattori, uniti alla crescente difficoltà di produrre utili, ha
contribuito ad un circolo vizioso che ha spinto le banche ad assumere rischi sempre maggiori,
in un contesto caratterizzato da crescente incertezza dovuta a fattori geopolitici e
conseguente volatilità. In risposta a ciò, il tema della corporate governance e del sistema dei
controlli interni hanno assunto un ruolo di centrale importanza, con la convinzione sempre
più diffusa che in passato le lacune e le inefficienze in questi ambiti abbiano contribuito alle
recenti crisi o comunque rallentato l'adozione di misure correttive tempestive ed efficaci.
Questa diffusa instabilità, unita alle crisi che hanno investito i mercati, ha indebolito la
fiducia verso le istituzioni finanziarie; gli interventi delle autorità centrali (Banca Centrale
Europea e Banca d’Italia) non sempre si sono rivelati tempestivi. L’attenzione del regolatore
si è quindi incentrata sul rafforzamento della governance degli intermediari e del sistema dei
controlli interni, imparando dalle lezioni della crisi per affrontare le vulnerabilità
identificate; tale affermazione trova il proprio fondamento nel concetto che per il
raggiungimento della stabilità a livello macro, ossia del sistema finanziario nel complesso,
sia necessario che si raggiunga innanzitutto la stabilità dei singoli operatori (c.d. stabilità a
livello micro).
Il presente lavoro si concentra sull’analisi del ruolo della funzione di revisione interna (c.d.
internal audit) circa il rafforzamento del sistema dei controlli interni nel loro complesso,
individuandone i punti di debolezza, pianificando ed attuando gli interventi correttivi, in
modo da garantire la tenuta dei sistemi di prevenzione dai rischi insiti nella gestione
caratteristica degli intermediari finanziari, dimostrandone in tal modo la capacità di creare
valore.
Il presente elaborato sarà suddiviso in 3 capitoli: il primo capitolo avrà una portata
prettamente introduttiva al fenomeno; pertanto, verrà affrontato il tema dei controlli interni
con un’accezione prettamente generale, per consentire un più agevole inquadramento della
funzione. Verrà trattata, in primis, la genesi dei sistemi di controlli interni fino a giungere
4
alla struttura degli stessi, ai principali riferimenti normativi e agli standard internazionali in
materia.
Il secondo capitolo tratterà con maggior dettaglio la tematica dell’Internal Audit,
analizzando il fenomeno da un punto di vista normativo, con particolare attenzione alle
relazioni con i principali stakeholders.
Nell’ultimo capitolo, seguìto dalle conclusioni, si tratterà il caso studio della Banca Popolare
di Fondi, con l’obiettivo di mettere in luce i reali vantaggi che apporta la funzione di
revisione interna in tale realtà bancaria, analizzandone gli strumenti metodologici e le
tecniche adottate, fornendo in tal modo una prova tangibile in merito alla value creation
1
.
1
Con creazione di valore si fa riferimento alla visione economico aziendale, accostando tale concetto ad una
maggiore efficienza ed efficacia della gestione, tramite una migliore consapevolezza nella gestione dei
rischi; discostandosi dunque dall’ottica della finanza aziendale, nella quale si analizza tale fenomeno nella
prospettiva di rendimento del capitale.
5
1. L’evoluzione del sistema dei controlli interni
1.1 Le origini del sistema dei controlli interni: dal CoSO Report all’ERM
A partire dalla metà degli anni Ottanta, a seguito di diversi scandali finanziari, procedure
fallimentari e fenomeni di illegalità
2
, quali frodi e falsi in bilancio, emersero una serie di
criticità nei sistemi di controllo interno delle società statunitensi. Questi eventi
evidenziarono la necessità di rafforzare i meccanismi di controllo e di prevenzione delle
pratiche fraudolente all'interno delle organizzazioni.
In risposta a tali problematiche, nel 1985, l'American Institute of Certified Public
Accountants, l'Institute of Internal Auditors, l'American Accounting Association e l'Institute
of Management Accountants unirono le proprie forze per istituire una commissione di
studio: la National Commission on Fraudulent Financial Reporting, meglio nota come
Treadway Commission. L'obiettivo principale di questa commissione era comprendere le
cause alla base dei fallimenti aziendali e sviluppare un modello di controllo interno in grado
di contrastare efficacemente le frodi e garantire la trasparenza e l'affidabilità delle
informazioni finanziarie.
La Treadway Commission diede vita ad un apposito sottogruppo di lavoro, denominato
Committee of Sponsoring Organizations che si dedicò quindi ad un'analisi approfondita delle
pratiche contabili e dei processi di controllo interno esistenti, collaborando con esperti del
settore come Coopers & Lybrand (attualmente PricewaterhouseCoopers – PwC),
conducendo ricerche approfondite per identificare le migliori pratiche e metodologie da
adottare.
Il risultato di questo sforzo fu la creazione di un modello di riferimento per la gestione del
rischio aziendale e il controllo interno, noto come CoSO Report. Questo documento,
sviluppato attraverso la collaborazione di varie organizzazioni professionali, fornì linee
guida essenziali per la progettazione e l'implementazione di sistemi di controllo interno
efficaci e per la prevenzione delle frodi aziendali.
2
Lincoln Savings Bank, Continental Illinois, Texaco
6
Il CoSO Report divenne rapidamente un punto di riferimento nel settore, influenzando
normative e pratiche aziendali non solo negli Stati Uniti, ma anche a livello internazionale.
La sua approvazione e adozione da parte di istituzioni di rilievo, come l'Istituto Monetario
Europeo e il Comitato di Basilea, confermarono la sua importanza e rilevanza nell'ambito
della corporate governance e della gestione del rischio aziendale.
Si definì allora un modello che andava a richiamare tutte le componenti necessarie per
definire un efficiente sistema di controllo interno. Il modello predisposto viene rappresentato
come una matrice tridimensionale ed è considerato un modello di successo sia per le aziende
private sia per il settore pubblico.
Figura 1: rappresentazione grafica tridimensionale del CoSO Report
L’approccio del CoSO Report si basa su tre assiomi principali:
1. Gli obiettivi dell’organizzazione;
2. I componenti;
3. La dimensione organizzativa.
La matrice tridimensionale definisce allora una forte interdipendenza di queste tre variabili
necessarie affinché il sistema di controllo interno contribuisca al raggiungimento di obiettivi
quali:
• Efficienza ed efficacia delle attività operative;
• Attendibilità dei dati e delle informazioni dei bilanci;
7
• Conformità alle leggi e ai regolamenti;
• Salvaguardia del patrimonio aziendale.
Ne consegue che il sistema dei controlli interni siano il “mezzo” per il raggiungimento degli
obiettivi ivi citati; quindi, una funzione integrata a tutti gli effetti che non può essere
considerata come un evento singolo bensì come parte fondamentale di processo svolto nel
continuo.
Il controllo interno è formato da cinque elementi che hanno uno stretto legame tra loro:
1. L’ambiente di controllo;
2. La valutazione del rischio;
3. L’attività di controllo;
4. Informazione e comunicazione;
5. Monitoraggio.
L’ambiente di controllo è l’insieme di tutte le componenti di tale sistema, composta da
molteplici variabili di carattere sociale, tecnico, individuali e istituzionali. In quest’ultimo
sono inclusi i valori etici, la filosofia di gestione del management, l’assegnazione di ruoli e
responsabilità, si tratta, dunque, del contesto organizzativo in cui vengono effettuati i
controlli.
La valutazione del rischio ha assunto un’importanza sempre più strategica per gli
intermediari, ai quali è richiesta la corretta e puntuale individuazione, misurazione, gestione
e monitoraggio degli stessi. I rischi dipendono da variabili sistemiche e interne, la
misurazione degli stessi si basa sul principio di proporzionalità. Esistono molteplici modalità
di raggruppamento dei rischi, dalla differenziazione di quelli quantificabili e non
quantificabili; questi ultimi se non correttamente governati possono mettere a repentaglio le
sorti dell’impresa, in quanto possono ripercuotersi sugli equilibri di gestione sia sulla
reputazione. Una buona misurazione e gestione degli stessi è alla base di una sana e prudente
gestione che definisce esiti positivi anche in termini di performance. Dal punto di vista
operativo occorre identificare e valutare se i rischi siano in linea con la propensione e con
gli obiettivi dell’organizzazione.
8
Le attività di controllo sono “l’insieme delle politiche e delle procedure che devono essere
attivate per ridurre i rischi connessi al raggiungimento degli obiettivi”
3
. Bisogna ricordare
che la stratificazione eccessiva delle attività e la poca comunicazione tra gli organi dello SCI
rende lo stesso sistema poco efficiente. Essi riguardano l’intera organizzazione aziendale,
con lo scopo di fronteggiare i rischi che impediscano il raggiungimento degli obiettivi di
quest’ultima.
Possiamo individuare tre categorie di attività di controllo:
• Controlli relativi agli aspetti operativi;
• Controlli sulle informazioni di bilancio;
• Controlli sul rispetto dei vincoli legali e regolamentari.
L’informazione e la comunicazione costituiscono un aspetto fondamentale per il sistema dei
controlli in quanto prerequisito essenziale per assicurarne il corretto funzionamento. La
comunicazione riveste un ruolo cardine per evitare pratiche di overlapping, ossia che si
verifichino sovrapposizioni nei controlli svolti da più funzioni sia perché una comunicazione
tra gli stessi rende l’attività di controllo più meticolosa e puntuale.
È necessario verificare l’efficienza del sistema del controllo interno attraverso attività di
monitoraggio periodiche in grado di verificare nel continuo la performance dello stesso,
valutare la resilienza ai cambiamenti di scenario ambientale e normativo, ma soprattutto per
permettere interventi correttivi all’eventuale presenza di anomalie riscontrate.
Il controllo può suddividersi in due modalità, uno determinato da attività di controllo
continue e l’altro da valutazioni specifiche, affidate a soggetti altamente specializzati e
indipendenti dal contesto aziendale.
Dodici anni più tardi dalla pubblicazione del primo framework, la Treadway Commission
pubblicò la versione aggiornata del CoSO Report, l’Enterprise Risk Management –
Integrated Framework, il quale viene definito come “un processo, posto in essere da un
consiglio di amministrazione, dal management e da altri operatori della struttura aziendale;
utilizzato per la formazione delle strategie in tutta l’organizzazione; progettato per gestire
3
Bava F., La responsabilità amministrativa della società ed il sistema di controllo interno, in Impresa
Commerciale Industriale, 2003
9
il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul
conseguimento degli obiettivi aziendali”.
4
La novità di questo framework risiede nell'attenzione ai rischi, gestiti strategicamente.
L'intento di questo modello non è solo quello di fornire al management uno strumento
efficace per individuare e valutare i rischi aziendali e il loro impatto, ma anche di consentire
una loro gestione consapevole e infine la loro riduzione, al fine di generare valore nel medio-
lungo termine.
Il nuovo framework introduce quindi due nuove variabili chiave:
1. Variabile strategica: questo elemento pone l'accento sull'importanza di una
prospettiva a lungo termine, dove gli obiettivi strategici sono fondamentali per il
conseguimento dei fini aziendali e, in particolare, per la creazione di valore per tutte
le parti interessate dell'azienda.
2. Variabile rischio: questa componente si suddivide a sua volta in diverse fasi:
- Definizione degli obiettivi e dei rischi: comprende l'identificazione e la
definizione chiara degli obiettivi aziendali e dei rischi associati.
- Identificazione degli eventi: si individuano gli eventi legati sia a fattori esterni
che interni che possono rappresentare rischi o opportunità per l'azienda.
- Risposta al rischio da parte del management: qui il management si confronta
con i rischi individuati e decide come affrontarli, che sia evitandoli,
accettandoli, riducendoli o condividendoli. Dunque, l’ERM funge da
strumento per contenere il rischio nei limiti delle soglie di tolleranza, tenendo
in debita considerazione il risk appetite.
4
Schema per i sistemi di controllo interno nelle organizzazioni bancarie, Comitato di Basilea, 1998.
10
Figura 2. Rappresentazione grafica CoSO ERM (Coso Report II)
Il nuovo approccio di gestione si concentra sull'allineamento della strategia aziendale con i
livelli di rischio considerati accettabili dal management, al fine di ridurre la volatilità delle
performance e ottimizzare le azioni di risposta ai rischi. Questo approccio integrato
promuove una visione d'insieme del rischio, considerandolo nell'ottica dell'intera
organizzazione anziché focalizzarsi sulle singole unità operative. Inoltre, amplia i requisiti
per l'informazione e la comunicazione, investendo su un orizzonte temporale più ampio.
Vengono introdotti concetti di rischio accettabile e di tolleranza al rischio.
Nel 2017, l'Enterprise Risk Management (ERM) subisce un altro significativo
aggiornamento con l'introduzione del nuovo framework "Enterprise Risk Management –
Aligning Risk with Strategy and Performance". Questo documento rappresenta un passo
avanti nel campo della gestione del rischio aziendale, focalizzandosi sull'allineamento dei
rischi con la strategia e le performance dell'azienda.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.