COSO Report - Riassunto Corporate Governance & Internal Auditing PDF

Preview

Summary

Sbobinature degli argomenti trattati nel corso d'esame...

Description

L’Enterprise Risk Management ed i modelli internazionalmente riconosciuti: Il COSO Report Il tema fondamentale consiste nelle modalità di individuazione, gestione e valutazione dei possibili impatti dei rischi che possono essere associati ad un’attività imprenditoriale. Il rischio aziendale d’impresa può essere definito come l’insieme dei possibili effetti positivi (opportunità – upside risk) e negativi (minacce – downside risk) di un evento inaspettato sulla situazione economica, finanziaria e patrimoniale dell’impresa. A tal proposito, occorre evidenziare che l’universo dei rischi è ampio e diversificato; inoltre, attiene ad aspetti di natura strategica, di comunicazione (cd. financial reporting) e di natura regolamentare. In particolare, le tipologie di rischio dipendono dall’obiettivo perseguito dall’impresa. A tal proposito, si possono distinguere diverse tipologie di rischio: 1. i rischi strategici, ossia i rischi derivanti da cambiamenti del contesto operativo o da decisioni aziendali non adeguate o scarsamente reattive al contesto competitivo o dall’esposizione a variabili di mercato poste fuori dal controllo del management; 2. i rischi operativi, ossia i rischi di perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni oppure da eventi esogeni; 3. i rischi finanziari, ossia quei rischi che sono legati al prezzo di strumenti negoziati su mercati finanziari. Esempi tipici sono: - rischio di cambio legato a transazioni commerciali; - rischio di tasso di interesse; - rischio legato ad un eccessivo indebitamento. 4. i rischi d’immagine, ossia il rischio di una perdita o di una flessione di utili derivante da una percezione negativa dell’immagine dell’azienda da parte di clienti, controparti, investitori, azionisti o autorità di vigilanza; 5. i rischi informatici, ossia rischi che minacciano la sicurezza dell’informazione e della comunicazione delle informazioni aziendali. Al fine di contrastare il rischio d’impresa, l’imprenditore ha il potere di organizzare come meglio crede i fattori produttivi che concorrono all’impresa, operando le scelte relative alla conduzione dell’impresa stessa: quindi cosa produrre o scambiare, come, dove e con quali mezzi. Il risk management è l’insieme dei processi e delle attività attraverso cui l’azienda identifica, analizza, quantifica, comunica, elimina e monitora i rischi associati alla attività aziendali ed ai processi operativi, in modo da rendere l’organizzazione aziendale capace di minimizzare le perdite e massimizzare l’efficacia e l’efficienza del risultato. La definizione di sistema di controllo interno è stata oggetto di attenzione sia da parte del Codice di Autodisciplina sia da parte del Coso Report. Secondo il Codice di Autodisciplina, il sistema di controllo interno è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione sana, corretta e coerente con gli obiettivi prefissati. Secondo il COSO Report, il controllo interno è un processo, svolto dal CdA, dai dirigenti e da tutto il personale aziendale, finalizzato a fornire una ragionevole certezza sul raggiungimento degli obiettivi aziendali che rientrano in particolare in tre categorie (o dimensioni):  efficacia ed efficienza delle attività operative (le cd.operations);  attendibilità delle informazioni di bilancio (il cd.financial reporting);  conformità alle leggi e regolamenti in vigore (la cd.compliance). 1

Dunque, si può evidenziare come la definizione di controllo interno riflette alcuni concetti fondamentali:  in primo luogo, il controllo interno è un processo, ovvero è un mezzo per raggiungere un fine, non rappresenta il fine;  il controllo interno è svolto da risorse: non è dunque un mero insieme di procedure e manuali, ma un insieme di persone ad ogni livello dell’organizzazione;  il controllo interno può fornire soltanto un ragionevole livello di assurance, non l’assoluta certezza;  il controllo interno è strutturato per il raggiungimento di obiettivi in una o più categorie che hanno delle aree di sovrapposizione. Durante il processo di definizione dei rischi, è fondamentale che l’alta direzione definisca il livello di rischio che l’impresa è in grado di sopportare. Questo perché nella definizione delle azioni che devono essere implementate, ovvero nelle attività di risk management che devono essere implementate, queste attività saranno proporzionali al punto al quale l’impresa vuole spingersi. Quindi, ogni sistema di controllo interno deve essere strutturato dopo che l’alta direzione ha definito il cd. risk tolerance e il cd. risk appetite. Il sistema di controllo interno è un elemento dinamico di gestione delle minacce che vengono gestite in termini di risk tolerance e risk appetite. Il risk tolerance è il livello di rischio, definito dall’alta direzione, che l’impresa è in grado di tollerare nell’obiettivo di continuità aziendale e con lo scopo di raggiungere gli obiettivi che si è prefissata. Si tratta del livello di rischio che si può sostenere e che deve essere riportato entro una determinata soglia. Quindi il risk tolerance consiste nella possibilità di mitigare il rischio riportandolo entro limiti accettabili. Il risk appetite invece è il livello di rischio che l’impresa effettivamente è propensa a mitigare, e quindi ad accettare, ossia la propensione al rischio. Non c’è infatti guadagno senza rischio. Quindi maggiore è la propensione a spingersi nel tollerare il rischio, maggiore sarà il conseguente guadagno dell’impresa. La visione moderna del sistema di controllo interno (SCI) comporta un trade-off tra costi e benefici così da giungere alle condizioni ottimali in cui il costo marginale dei controlli non è superiore ai benefici ottenuti.

La costruzione di un sistema di controllo interno, basato sulla preventiva definizione del risk appetite, è richiesta sia dal Coso report sia dall’Enterprise Risk Management (ERM), ovvero l’evoluzione del Coso report. Nello specifico, il COSO è un benchmark di sistema di controllo interno che fornisce le linee guida necessarie per definire un sistema di controllo interno efficace ed efficiente. L’Enterprise Risk 2

Management (ERM) è sostanzialmente un’evoluzione del COSO, che aggiunge degli obiettivi di business maggiori, l’obiettivo di natura strategica e, nell’ultimo aggiornamento di giugno 2017, ha stressato la necessità di definire e tenere in considerazione l’universo dei rischi nella definizione della strategia e nel monitoraggio delle performance. Non a caso, uno dei passi principali per la definizione della strategia è la preventiva definizione del livello di risk appetite, ossia il livello di rischio che l’impresa accetta, facendo delle considerazioni sul rischio quando si svolgono delle analisi dal punto di vista strategico. Nella risk e control governance, l’Enterprise Risk Management (ERM) ed il sistema di controllo interno (SCI) sono gli strumenti con cui gli organi di gestione adempiono le proprie responsabilità in termini di:  correttezza gestionale;  trasparenza delle informazioni;  efficienza ed efficacia.

L’Enterprise Risk Management è un approccio metodologico strutturato e proattivo alla gestione dei rischi legati a tutti gli aspetti delle attività d’impresa: strategie, mercati, processi, risorse finanziarie, risorse umane, tecnologie. “Enterprise” serve ad enfatizzare la rimozione delle barriere di funzione, di divisione, di entity nonché quelle culturali che caratterizzano il risk management tradizione, a favore di un approccio integrato, focalizzato sullo sviluppo futuro delle attività aziendali e orientato ai processi, che può aiutare le organizzazioni complesse a gestire in modo organico tutti i rischi d’impresa e a identificare le opportunità connesse. Quindi, l’essenza dell’Enterprise risk management non è la completa eliminazione dei rischi, che comporterebbe l’azzeramento di ogni possibilità di rendimento. Il focus è gestire i rischi, cioè valutare e decidere dove e come poter scommettere consapevolmente. Per rischio si intende la possibilità che un evento negativo impedisca la realizzazione degli obiettivi di un’organizzazione. Pertanto, l’Enterprise Risk Management consiste nella definizione dell’implementazione di politiche, procedure, definizione della struttura organizzativa volte alla mitigazione di un rischio. L’Enterprise Risk Management è infatti il processo per aumentare la fiducia nella capacità di un’organizzazione di anticipare, prevenire e aggirare gli ostacoli al raggiungimento dei propri traguardi. In questo contesto, il sistema di controllo interno è il processo volto a garantire una ragionevole sicurezza riguardo il raggiungimento degli obiettivi aziendali:  efficacia ed efficienza delle operazioni aziendali;  migliorare l’attendibilità delle informazioni del bilancio fornite al mercato;  conformità della società alle leggi e ai regolamenti applicabili. In sostanza, si tratta di: 3

  

stabilire gli obiettivi aziendali; identificare i rischi ad essi correlati; definire il sistema di enterprise risk management.

Il Coso report: “COSO” è l’acronimo di Committee Of Sponsoring Organizations of the Treadway Commission. Si tratta di un’organizzazione volontaria, privata, dedicata a migliorare la qualità dell’informativa finanziaria attraverso l’eticità del business, l’effettività del sistema di controllo interno e la solidità della corporate governance. È stata istituita nel 1985 negli Stati Uniti per sponsorizzare la “National Commission on Fraudulent Financial Reporting”, il cui presidente era James Treadway. Nel 1987, la commissione pubblicò un report, il cd. “COSO report”, che raccomandava le modalità per prevenire la redazione di bilanci falsi. Nel maggio 2013, il modello è stato aggiornato al fine di:  contemplare la maggiore complessità del business e dell’ambiente operativo e la sempre crescente componente tecnologica; e  garantire maggiore trasparenza e affidabilità al sistema di controllo che supporta le decisioni operative e di business. Gli obiettivi che si è posto il Committee Of Sponsoring Organizations of the Treadway Commission (COSO) sono:  fissare una definizione di controllo interno che soddisfi le necessità delle diverse parti interessate;  stabilire un modello di riferimento in rapporto al quale le imprese e le altre organizzazioni possano valutare il grado di affidabilità del controllo interno; e  fornire una base comune di riferimento (linguaggio comune) per la Direzione, gli Amministratori, gli Organismi di regolazione delle attività, ecc. Si tratta di un modello di riferimento sostanziale per le imprese italiane e, in particolare per:  le società quotate ed assimilate alle quotate (Codice di comportamento di Borsa Italiana ed art. 124 bis del TUF, modificato dalla legge 262/2005);  le Banche (istruzioni di vigilanza della Banca d’Italia);  le Compagnie di assicurazione (Circolare ISVAP); e  altre imprese, in virtù di un principio di analogia. Il COSO Report è un modello innovativo di sistema di controllo ed uno standard internazionale di fatto tra i modelli di ERM. È diventato il riferimento per il controllo interno ed è utilizzato sia dai codici di autodisciplina definiti da associazioni di categoria, sia dalla normativa nazionale ed internazionale in materia di Corporate Governance. Nello specifico, il COSO è un benchmark di sistema di controllo interno, definito dall’omonima commissione di studi, che fornisce le linee guida necessarie per definire un sistema di controllo interno efficace ed efficiente, cui l’impresa deve ispirarsi. Il COSO è stato oggetto di numerosi aggiornamenti nel corso degli anni, ma nonostante ciò sono sia la definizione di sistema di controllo interno sia le sue componenti sono rimaste sempre invariate. Il COSO viene rappresentato sinteticamente con un cubo dove nella parte frontale sono evidenziate le componenti, ovvero tutte le componenti in cui può essere scomposto ed analizzato un sistema di controllo interno dell’impresa; nella faccia superiore sono evidenziati gli obiettivi, mentre nella faccia laterale è evidenziato l’ambito di applicazione che mostra come il sistema di controllo interno debba applicarsi all’interno dell’impresa. Esiste un rapporto diretto tra gli obiettivi che l’impresa persegue e le componenti, ovvero ciò che occorre per analizzarli. In particolare, ogni componente compre e attraversa le tre categorie di obiettivi. 4

Si tratta di un modello principle-based, ovvero basato su una serie di principi a cui l’impresa deve conformarsi per adottare questo modello; quindi è sostanzialmente applicabile a tutte le imprese, di tutte le dimensioni e di tutti i settori. Allo stesso tempo il modello è applicabile sia all’impresa nel suo complesso sia alle sue singole unità operative. Dunque, il COSO si applica sia all’intera azienda che a tutte le sue unità. Infatti, proprio perché è un modello principle-based, è applicabile in linea di principio a tutta l’impresa, considerata nel suo complesso e, poiché si tratta di un modello scalabile, gli stessi principi, caratteristiche e linee guida del modello possono essere applicate a livello della singola funzione, divisione o ufficio, ovvero a livello della singola unità dell’azienda. Quindi la faccia laterale del cubo serve a dare la dimensione degli interventi: dall’impresa nel suo complesso fino alla singola funzione aziendale.

Un sistema di controllo efficace riduce il rischio di non raggiungere uno o più obiettivi (operation, reporting e compliance) ad un livello accettabile. Ciò è garantito se:  le cinque componenti del sistema di controllo ed i relativi principi sono presenti e perfettamente funzionanti;  le cinque componenti operano congiuntamente in maniera integrata. La faccia superiore comprende gli obiettivi ovvero, operations, reporting e compliance: si tratta degli obiettivi che qualsiasi sistema di controllo interno deve perseguire. Un buon sistema di controllo interno deve infatti aiutare il management a raggiungere gli obiettivi che si è prefissato. Il management definisce gli obiettivi sia di business che di governo in coerenza con le strategie dell’impresa ed in linea con i livelli di rischio ritenuti accettabili e sostenibili. Gli obiettivi a sua volta influenzano le strategie dell’impresa. Il raggiungimento degli obiettivi comporta l’assunzione di rischi e la definizione delle azioni di mitigazione. Nello specifico, le cd. operations riguarda l’efficacia ed efficienza delle attività operative; il cd. financial reporting riguarda l’attendibilità delle informazioni di bilancio; infine, la cd. compliance riguarda la conformità alle leggi e regolamenti in vigore.

5

Come evidenziato in precedenza, la faccia frontale del cubo descrive invece le cinque componenti del sistema di controllo interno quali:  ambiente di controllo (control Environment);  gestione del rischio (risk assessment);  attività di controllo (control activities);  informazione e comunicazione (information & communications);  monitoraggio (monitoring activities). L’ambiente di controllo (cd. control environment) consiste nella consapevolezza/cultura del controllo nell’ambito di un’organizzazione. Un ambiente di controllo efficace esiste quando le persone che compongono l’organizzazione comprendono le proprie responsabilità e sono portate ad agire in modo etico. La direzione influenza l’ambiente di controllo mediante la diffusione di modelli e procedure scritte, standard comportamentali ed etici. Pertanto, data la sua fondamentale importanza, l’ambiente di controllo rappresenta la base su cui si fondano tutte le restanti componenti del sistema di controllo interno. L’ambiente di controllo include:  l’integrità e valori etici che influenzano il disegno, la gestione ed il monitoraggio del sistema di controllo;  la competenza del personale, rappresentata dalle conoscenze e dalle capacità tecniche necessarie per portare a termine i compiti assegnati;  il Consiglio di Amministrazione e il Comitato di Controllo Interno , i cui membri possiedono esperienza professionale, levatura morale, impegno nella supervisione, rigore nei controlli, indipendenza della Direzione;  la filosofia e lo stile di direzione, che riguardano le modalità con cui l’impresa viene gestita;  la struttura organizzativa, che fornisce un quadro sistematico per pianificare, eseguire, controllare e monitorare le attività d’impresa;  l’attribuzione di poteri e responsabilità che riguarda il livello fino al quale singole persone o strutture organizzative sono incoraggiate ad affrontare questioni e risolvere problemi;  le politiche e procedure della gestione delle risorse umane con riferimento a assunzione, orientamento, formazione e valutazione. Si tratta di tutti elementi che l’impresa deve prendere in considerazione per valutare e definire il livello di rischio a cui l’impresa si sta esponendo. Con riferimento all’”ambiente di controllo”, i principi introdotti dall’aggiornamento del COSO intervenuto a maggio 2013 sono: 1. l’impresa dimostra l'impegno per l'integrità e valori etici; 2. il consiglio di amministrazione dimostra l'indipendenza dalla gestione e dalle esercitazioni di responsabilità di supervisione; 3. la direzione, con la supervisione del Board, stabilisce struttura, autorità e responsabilità; 4. l’organizzazione dimostra impegno per la competenza; 5. l’organizzazione stabilisce la responsabilità. Una volta compreso l’ambiente all’interno del quale il personale dell’impresa si trova ad operare, è opportuno identificare i principali rischi e procedere ad una loro valutazione, in modo da decidere le opportune azioni di mitigazione che devono essere implementate. La valutazione dei rischi (cd. risk assesssment) consiste nell’identificazione, catalogazione e valutazione (anche in termini di impatto) di tutti i possibili rischi che possono incidere sulla vita dell’impresa. 6

In particolare, per rischio si intende quello intrinseco all’attività imprenditoriale. La direzione dell’impresa stabilisce il livello di rischio accettabile. È opportuno sottolineare che i rischi sono funzione degli obiettivi che, pur non costituendo un componente del sistema di controllo interno, ne rappresentano un presupposto. In sostanza, identificare gli obiettivi a cui l’impresa tende presuppone l’individuazione del rischio associato al perseguimento dello stesso obiettivo. Di conseguenza, l’azione di mitigazione che sarà posta in essere sarà funzionale a mitigare il rischio che non consente il raggiungimento di quel determinato obiettivo. Quindi, l’identificazione dell’obiettivo consente di individuare il rischio ad esso associato e consentire che la conseguente attività di controllo sia funzionale alla mitigazione del rischio stesso. Pertanto, il risk assessment prevede:  la definizione degli obiettivi che, pur non costituendo un componente del sistema di controllo interno, ne rappresentano un presupposto;  l’identificazione dei rischi associati agli obiettivi di business ai vari livelli dell’organizzazione. Sono state sviluppate numerose tecniche per identificare i rischi: gran parte di queste comprendono metodi qualitativi e quantitativi tesi a stabilire le priorità e ad individuare attività ad alto rischio: Control Self Assessment (CSA), Enterprise Risk Management (ERM), Risk and Control Assurance (RCA).  l’analisi dei rischi che si articola in: a) valutazione dell’importanza del rischio; b) valutazione della probabilità che il rischio si verifichi e stima dei costi per perdite connesse ai rischi identificati; c) considerazioni sul modo in cui il rischio dovrà essere gestito, ovvero valutazione delle opportune misure. In sostanza, l’analisi dei rischi è volta a classificare i rischi sulla base di due variabili quali la probabilità di accadimento e l’impatto. Una volta identificati tutti i rischi a cui l’impresa è esposta, occorre la probabilità di accadimento dell’evento rischioso e il suo impatto negativo sull’organizzazione. Quindi, alla probabilità di accadimento si valuta l’impatto, ovvero l’effetto sull’organizzazione se il rischio si verifica, producendo un evento negativo. Si tratta dunque di verificare da un lato il grado di probabilità di ac...