L'azienda moderna si trova a dover operare in un ambiente sempre più competitivo all'interno del quale la sopravvivenza è subordinata non già all'eliminazione dei rischi bensì alla capacità di assumerli in maniera ragionata e consapevole, al fine di ridurre il margine di incertezza. A questo provvede il Sistema di Controllo Interno (s.c.i.) che tende ad assicurare una capacità di presidio e di indirizzo sulla gestione operativa, la cui esecuzione è demandata al personale di base.
Per avere un quadro - framework - di riferimento il più possibile chiaro e definito del concetto di s.c.i., bisogna fare riferimento alle indicazioni fornite dalle istituzioni ed autorità normative di riferimento sia nazionali che internazionali. Così facendo il s.c.i. può essere definito come "un insieme di procedure logiche di controllo definite dai responsabili d'azienda per garantire, con ragionevole sicurezza, che gli obiettivi di business siano raggiunti secondo un giusto equilibrio tra gli obiettivi economici aziendali e quelli di conformità alle leggi ed ai regolamenti in vigore". Il s.c.i. così definito affonda le sue radici nelle procedure logiche di controllo definite dai responsabili d'azienda.
Ma cosa sono le procedure ?
Le procedure possono essere intese come quelle regole scritte e/o non scritte circa il reale comportamento delle singole unità che formano il sistema azienda. Si tratta di regole comunque condivise, sintetizzanti i valori, la cultura, i bisogni, i comportamenti, ecc. delle persone che fanno parte del sistema azienda. In altre parole, l'azienda, per evitare una gestione "a braccio", si deve basare su un adeguato complesso di regole obbligatorie per legge e/o necessarie per esigenze gestionali; trattasi di un linguaggio simbolico che astrae rispetto alla realtà operativa e a cui tutti dovrebbero riferirsi per garantire coerenza e aderenza agli obiettivi di business.
Compito del management quindi, non è quello di evitare le regole, bensì quello di imporle seppur prima definendone il perimetro in termini molto precisi riguardo la natura e la complessità e quindi la quantità e la qualità delle procedure.
Può capitare infatti che mentre nelle aziende "manageriali", realtà complesse con una struttura organizzativa molto articolata e fortemente decentrata, le procedure siano formalizzate (scritte), nelle aziende "imprenditoriali", invece governate secondo una logica accentrata, con una forte presenza del vertice/imprenditore nel processo decisionale, tali procedure siano meno formalizzate o addirittura assenti.
Importante sarà il corretto bilanciamento ovvero il rispetto del concetto "architrave" del s.c.i., ovvero la "ragionevole sicurezza". Tale concetto implica che il costo per la implementazione e il funzionamento di un s.c.i. aziendale non deve eccedere i benefici attesi da esso; quindi la necessità di bilanciare i costi del controllo con i relativi benefici, richiede una notevole capacità di giudizio e di valutazione da parte del management oltre che un'adeguata competenza.
Un s.c.i. impone che l'attività del sistema azienda sia diretta verso gli "obiettivi di business " - quelli del soggetto economico - orientando e riducendo così la discrezionalità dei comportamenti individuali. Il non orientamento verso gli obiettivi può determinare improvvisazione, inconsapevolezza e irresponsabilità da parte dei soggetti aziendali.
Gli elementi principali costituenti una struttura del s.c.i. sono: a) l'ambiente interno; b) il sistema informativo; c) le procedure di controllo.
La struttura
L'ambiente interno della società riflette le attitudini del management e di tutto il personale di base, in relazione al controllo interno ed alla sua importanza nella società. Parliamo qui del tono dell'organizzazione, ovvero della coscienza delle persone che formano il sistema azienda anche in materia di controllo, e quindi a ciò che contribuisce alla qualità del controllo interno della società e alla veridicità dei dati. Forse, senza presunzione, è proprio l'ambiente interno a determinare il successo o l'insuccesso di un valido s.c.i. Il sistema informativo consiste negli hardware e software , ovvero applicazioni computerizzate definite per identificare, classificare, processare, ed archiviare tutte le transazioni ed i flussi documentali prodotti dal business. Questo tipo di transazioni e di documenti, permettono, in effetti, di assistere la normale operatività del business e consentono una preparazione attendibile del reporting finale, sia interno che esterno. Non bisogna dimenticare comunque che un sistema informativo, normalmente, comprende una combinazione di procedure sia automatiche sia manuali che condurranno poi alle rilevazioni in contabilità generale e/o gestionali e quindi alla predisposizione dei reports per gli utenti finali dell'informazione aziendale. Le procedure di controllo possono essere considerate in termini di: a) monitoraggio; b) applicative; c) informatiche.
I controlli di monitoraggio comprendono la regolare gestione e supervisione delle attività stabilite, in modo da consentire di verificare se gli obiettivi di business siano stati raggiunti. I controlli sulle applicazioni sono procedure atte a raggiungere obiettivi di controllo per transazioni derivanti da cicli. Frequentemente i controlli sulle applicazioni sono raggiunti da procedure manuali, che vengono eseguite in relazione o dipendono da procedure contabili e/o di controllo automatiche. I controlli sul computer sono necessari per assicurare che queste procedure operino correttamente. Così come sopra descritto il s.c.i., soprattutto nelle realtà aziendale del middle-market , può essere inteso come qualcosa che può essere d'intralcio, proprio perché può dare l'impressione di rigidità causabile al funzionamento del sistema azienda. In realtà un s.c.i., costruito nel modo più "calzabile" alle esigenze gestionali interne dell'azienda e alle esigenze legislative di riferimento del sistema stesso, - magari anche con l'aiuto di un consulente esperto in internal auditing -, può essere sicuramente cruciale e ad alto valore aggiunto, nell'individuazione e nella gestione dei rischi e quindi nella previsione degli ostacoli che possono rallentare, o addirittura impedire, il raggiungimento degli obiettivi di business. E' evidente come tale concezione di s.c.i. si stacca dalla definizione tradizionale che lo vedeva come strumento a sé di tipo reattivo e settoriale, per assurgere a strumento di gestione in grado di "leggere nel futuro" e quindi pro-attivo. Naturalmente, perché questo succeda, è necessario che le procedure siano il più possibile diffuse e condivise all'interno del sistema azienda, con la partecipazione di tutto il personale.
Conclusioni
Per gli organi di controllo del sistema azienda, diventa importante comprendere il s.c.i., descriverne il flusso informativo ed i controlli adottati dal management, al fine di valutarne l'affidabilità. Questo, per gli organi di controllo, rappresenta la base per una pianificazione efficiente ed efficace del lavoro di audit, e quindi per la determinazione della strategia di auditing.
Quindi diventa importante per l'auditor:
Gli approcci utilizzabili per svolgere questa attività di esame di s.c.i. sono diversi, e in letteratura non mancano validissimi riferimenti. Tuttavia, quello che forse meglio si "sposa" con la concezione di s.c.i. più sopra inquadrato, è quello anche definito " Top-down ". In pratica si tratta di una serie di interviste alla direzione ed al personale della società, finalizzate alla descrizione del business , dell'ambiente interno, del sistema informativo nonché delle procedure di controllo, anche con il ricorso a diagrammi. In questa accezione, l'auditor affianca, all'attività classica di revisione " ex-post " dei fatti aziendali, l'attività di analisi anche " ex-ante " di tutto il sistema azienda anche in chiave prospettica. Naturalmente qui subentrerà l'esperienza e il sano scetticismo dell'auditor, oltre che la competenza, per comprendere e valutare il s.c.i. e per trarne le dovute conclusioni finalizzate alla espressione finale di un giudizio di audit.
Audit-Tools, nelle sue diverse eccezioni, fornisce gli "attrezzi" necessari per mappare il sistema di controllo interno e identificare il rischio inerente allo stesso e quindi le informazioni base per definire un'adeguata pianificazione della revisione.
Dott. Antonio Cavaliere