Ogni azienda vuole mi­ni­miz­za­re i rischi. Incidenti, errori o persino atti criminali non do­vreb­be­ro ve­ri­fi­car­si nelle aziende. Ciò vale, ad esempio, per la salute e la sicurezza sul lavoro o la pro­te­zio­ne dei siti di pro­du­zio­ne contro l’accesso non au­to­riz­za­to da parte di terzi. Mentre per questi aspetti ab­ba­stan­za concreti possono essere attuate precise misure e regole, una corretta gestione fi­nan­zia­ria o un buon organo di am­mi­ni­stra­zio­ne è più difficile da garantire. Per questo motivo molte aziende stanno isti­tuen­do un sistema di controllo di gestione interno (SCI), che ha il compito di garantire un sistema di governo che sia in linea con le strategie e gli obiettivi dell’azienda.

Cos’è un sistema di controllo di gestione interno?

La direzione di un’azienda controlla in una certa misura i propri di­pen­den­ti. Ma chi controlla le azioni e le decisioni della direzione? Un sistema di controllo di gestione interno può mi­glio­ra­re la sicurezza aziendale per queste ed altre aree dell’azienda. L’obiettivo è prevenire sia gli errori che gli atti criminali. Al fine di ridurre al minimo i rischi, un SCI è co­sti­tui­to da regole e flussi di lavoro pro­get­ta­ti per prevenire, per quanto possibile, com­por­ta­men­ti illeciti. Se tutti i di­pen­den­ti si attengono a queste regole, è difficile che si ve­ri­fi­chi­no errori e l’inos­ser­van­za delle regole può essere in­di­vi­dua­ta ra­pi­da­men­te.

I mec­ca­ni­smi di controllo possono essere pre­ven­ti­vi, paralleli o suc­ces­si­vi al lavoro da mo­ni­to­ra­re, a seconda dell’utilità e dell’ap­pli­ca­bi­li­tà in ogni contesto specifico. La par­ti­co­la­ri­tà del sistema di controllo di gestione è il mo­ni­to­rag­gio interno. Invece di ricorrere a soggetti esterni come organi di controllo (vigilanza fi­nan­zia­ria o revisori contabili), come accade in altri sistemi, un buon SCI consente ai di­pen­den­ti di con­trol­lar­si a vicenda.

Un sistema di controllo di gestione efficace è composto da due elementi: un sistema di gestione interno e un sistema di controllo interno. La prima categoria riguarda le regole per la gestione di un’impresa. Il controllo invece è la parte più complessa e ra­mi­fi­ca­ta del SCI. Nella migliore delle ipotesi, queste misure do­vreb­be­ro essere eseguite au­to­ma­ti­ca­men­te.

Compiti e principi di un SCI

In generale, i sistemi di controllo interno devono garantire che nessuno in azienda si comporti in modo illecito, che tutti i processi si svolgano re­go­lar­men­te e che la cor­ru­zio­ne e la cri­mi­na­li­tà economica vengano prevenute. Il campo di azione del SCI include inoltre:

  • la sal­va­guar­dia del pa­tri­mo­nio: il pa­tri­mo­nio esistente deve essere protetto dalle perdite;
  • la trac­cia­bi­li­tà: tutti i processi devono essere re­gi­stra­ti cor­ret­ta­men­te e tem­pe­sti­va­men­te;
  • il mi­glio­ra­men­to: la trac­cia­bi­li­tà dei processi permette di mi­glio­rar­li;
  • il rispetto delle regole: il sistema ga­ran­ti­sce che tutti i par­te­ci­pan­ti ri­spet­ti­no le regole.

Per rag­giun­ge­re questi obiettivi, un sistema di controllo di gestione si basa su quattro principi diversi:

  • se­pa­ra­zio­ne di ruoli e compiti: le funzioni esecutive (ad es. acquisti), contabili (ad es. con­ta­bi­li­tà di magazzino) e am­mi­ni­stra­ti­ve (ad es. gestione di magazzino) all’interno di un processo aziendale non devono essere eseguite dalla stessa persona o dallo stesso gruppo;
  • controllo: ogni processo im­por­tan­te di un di­pen­den­te deve essere con­trol­la­to da qualcun altro;
  • in­for­ma­zio­ni minime: ogni di­pen­den­te dovrebbe ricevere solo le in­for­ma­zio­ni ne­ces­sa­rie a svolgere i propri compiti e non di più;
  • tra­spa­ren­za: con una chiara idea della si­tua­zio­ne ideale, anche persone estranee possono giudicare se i compiti vengono eseguiti cor­ret­ta­men­te.
N.B.

Non esiste un concetto di SCI uni­ver­sa­le che possa essere applicato equamente a tutte le aziende. A seconda delle di­men­sio­ni, del settore e della forma giuridica dell’impresa, deve essere svi­lup­pa­to un SCI in­di­vi­dua­le.

Framework

Esistono due modelli di sistemi di controllo di gestione interni popolari che hanno riscosso molto successo e sono indicati con gli acronimi CoSO e COBIT.

CoSO (Committee of Spon­so­ring Or­ga­ni­za­tions of the Treadway Com­mis­sion)

CoSO è in realtà un’or­ga­niz­za­zio­ne privata sta­tu­ni­ten­se che si dedica al mi­glio­ra­men­to generale delle strutture aziendali. Essa si occupa, ad esempio, di questioni etiche ma anche di molti aspetti che rientrano nell’ambito dei SCI. Per questo motivo, l’or­ga­niz­za­zio­ne ha svi­lup­pa­to già negli anni ‘90 il CoSO Report, una raccolta di tecniche ap­pli­ca­ti­ve, che è stato ag­gior­na­to nel 2004.

Il modello è composto da quattro diverse categorie:

  • strategic: obiettivi generali dell’attività aziendale
  • ope­ra­tions: uso ef­fi­cien­te delle risorse
  • reporting: at­ten­di­bi­li­tà dei report
  • com­plian­ce: os­ser­van­za delle leggi

Queste categorie sono collegate tra loro da cinque com­po­nen­ti:

  • ambiente di controllo: questa com­po­nen­te si occupa prin­ci­pal­men­te di etica, filosofia e com­pe­ten­ze, ma anche di aspetti strut­tu­ra­li dell’azienda. L’ambiente di controllo è co­sti­tui­to da vari standard per l’ese­cu­zio­ne dei controlli. Sono inoltre spe­ci­fi­ca­ti i mec­ca­ni­smi che con­sen­to­no al ma­na­ge­ment di assegnare le re­spon­sa­bi­li­tà;
  • va­lu­ta­zio­ne dei rischi: quali sono i po­ten­zia­li rischi per l’azienda? La va­lu­ta­zio­ne dei rischi viene ef­fet­tua­ta sulla base di specifici obiettivi aziendali. Tutto ciò che può impedire il rag­giun­gi­men­to degli obiettivi è percepito come un rischio;
  • attività di controllo: questa com­po­nen­te riguarda l’at­tua­zio­ne dei controlli. Le decisioni e le direttive della direzione devono essere pie­na­men­te attuate. Per l’at­tua­zio­ne saranno uti­liz­za­te procedure spe­ci­fi­che;
  • in­for­ma­zio­ne e co­mu­ni­ca­zio­ne: la dif­fu­sio­ne delle in­for­ma­zio­ni e la co­mu­ni­ca­zio­ne interna ed esterna rientrano in questa com­po­nen­te. Per la dif­fu­sio­ne di in­for­ma­zio­ni possono essere uti­liz­za­te relazioni orali, manuali e linee guida scritte;
  • mo­ni­to­rag­gio: il mo­ni­to­rag­gio prevede la va­lu­ta­zio­ne della procedura. Si effettua un controllo continuo e regolare dell’ap­pli­ca­zio­ne e del fun­zio­na­men­to del SCI.

Tutte le categorie si ri­fe­ri­sco­no a tutti i com­po­nen­ti e do­vreb­be­ro essere applicate a tutti i livelli aziendali.

L’ag­gior­na­men­to suc­ces­si­vo del Report, pub­bli­ca­to nel 2017, affronta le nuove sfide poste dalla di­gi­ta­liz­za­zio­ne.

COBIT (Control Ob­jec­ti­ves for In­for­ma­tion and Related Tech­no­lo­gy)

Il framework dell’as­so­cia­zio­ne in­ter­na­zio­na­le degli auditor dei sistemi in­for­ma­ti­vi si occupa dei sistemi IT di un’azienda. Mentre CoSO si concentra prin­ci­pal­men­te sulla con­ta­bi­li­tà e la gestione, COBIT si occupa delle strutture tec­no­lo­gi­che all’interno di un’azienda. COBIT (nella quinta versione) comprende cinque principi, sette categorie e 37 processi suddivisi in cinque domini.

I cinque principi di COBIT sono ipotesi di base:

  • sod­di­sfa­re tutte le necessità: il sistema deve sod­di­sfa­re tutti i bisogni delle parti in­te­res­sa­te (sta­ke­hol­der). Questo principio pre­sup­po­ne quindi anche la de­fi­ni­zio­ne delle parti in­te­res­sa­te;
  • copertura dell’intera azienda: per evitare la perdita di in­for­ma­zio­ni, ogni parte dell’azienda deve essere integrata nel SCI, anche al di fuori della funzione IT;
  • applicare un unico framework integrato: affinché COBIT possa fun­zio­na­re nel modo più efficace possibile, non si do­vreb­be­ro af­fian­ca­re due strutture diverse. Due sistemi non solo aumentano lo sforzo, ma possono provocare anche un numero maggiore di errori;
  • un approccio olistico: COBIT 5 in­ter­vie­ne in tutti i processi di un’azienda e rende così possibile il rag­giun­gi­men­to congiunto degli obiettivi aziendali;
  • se­pa­ra­zio­ne di controllo e gestione: in un sistema di controllo di gestione interno fun­zio­nan­te, il ma­na­ge­ment e il controllo devono essere chia­ra­men­te separati l’uno dall’altro al fine di evitare che le persone re­spon­sa­bi­li prendano decisioni sbagliate.

Per avere successo, COBIT 5 tiene traccia di sette diversi fattori abi­li­tan­ti, che sono collegati tra loro.

  • Principi, policy e framework: gli obiettivi de­si­de­ra­ti vengono con­ver­ti­ti in ese­cu­zio­ni pratiche per con­sen­ti­re il lavoro quo­ti­dia­no.
  • Processi: questo fattore abi­li­tan­te include un insieme di pratiche che possono essere uti­liz­za­te per rag­giun­ge­re gli obiettivi pre­fis­sa­ti.
  • Strutture or­ga­niz­za­ti­ve: questo fattore abi­li­tan­te viene uti­liz­za­to per decidere quali ruoli devono essere assegnati tra i di­pen­den­ti.
  • Cultura, etica e com­por­ta­men­ti: sia per l’intera azienda che per ogni singolo di­pen­den­te vengono in­tro­dot­ti com­por­ta­men­ti volti a mi­glio­ra­re la cultura aziendale nel lungo periodo.
  • In­for­ma­zio­ne: al fine di gestire cor­ret­ta­men­te le in­for­ma­zio­ni, sia quelle interne che quelle esterne dell’azienda, questo fattore abi­li­tan­te fornisce in­di­ca­zio­ni su qualità, sicurezza e accesso.
  • Servizi, in­fra­strut­tu­ra e ap­pli­ca­zio­ni: questo punto determina quali tec­no­lo­gie e ap­pli­ca­zio­ni devono essere uti­liz­za­te per garantire che i sistemi in­for­ma­ti­ci siano sicuri e di­spo­ni­bi­li in qualsiasi momento.
  • Di­pen­den­ti, abilità e com­pe­ten­ze: il livello di for­ma­zio­ne e la qualità di ogni di­pen­den­te è im­por­tan­te per poter prendere decisioni corrette e in­tra­pren­de­re azioni cor­ret­ti­ve.

I 37 processi definiti da COBIT si ri­fe­ri­sco­no, a loro volta, a casi d’uso specifici all’interno di un’azienda. Essi for­ni­sco­no in­di­ca­zio­ni su come alcuni gruppi di persone – COBIT distingue tra gestione e go­ver­nan­ce – do­vreb­be­ro com­por­tar­si in si­tua­zio­ni spe­ci­fi­che.

Obblighi legali

Negli Stati Uniti, il Sarbanes-Oaxley Act ha portato all’isti­tu­zio­ne ob­bli­ga­to­ria di sistemi di controllo di gestione interni. Sono stati de­ter­mi­nan­ti gli scandali che hanno coinvolto grandi aziende come Enron e Worldcom, che non avevano preparato i loro bilanci con la dovuta onestà. Molte pratiche nei sistemi di controllo interno (anche in­ter­na­zio­na­li) derivano dai requisiti di legge stabiliti dal Sarbanes-Oaxley Act negli Stati Uniti. Le leggi italiane non pre­scri­vo­no espli­ci­ta­men­te un SCI, ma ri­chie­do­no gli effetti e le pratiche di un tale sistema.

Il le­gi­sla­to­re nazionale, tuttavia, non prevede un solo testo le­gi­sla­ti­vo in termini di controlli interni, ma diversi. Si possono citare, ad esempio, il D.Lgs. 58/1998, l’art. 2428 del Codice Civile, il D.Lgs. 39/2010 e il D.Lgs. 231/2001, che de­fi­ni­sco­no obblighi di tra­spa­ren­za sul sistema di controllo interno e sulle modalità di gestione dei rischi aziendali. Anche at­tra­ver­so i principi di redazione del bilancio si possono evincere alcune normative per un controllo di gestione interno.

Vi sono inoltre altre rac­co­man­da­zio­ni non ob­bli­ga­to­rie, contenute nel Codice di Au­to­di­sci­pli­na, che co­sti­tui­sco­no un modello di “best practice”; l’adesione a queste ultime è tuttavia vo­lon­ta­ria. Questo codice sot­to­li­nea, tra l’altro, la cen­tra­li­tà del rischio nel sistema dei controlli e focalizza l’at­ten­zio­ne sulla relativa gestione. In questo modo deve essere garantita una con­du­zio­ne sana dell’impresa che sia coerente con i suoi obiettivi stra­te­gi­ci.

At­tua­zio­ne pratica di un sistema di controllo di­re­zio­na­le

Nella pratica il SCI viene adattato alle cir­co­stan­ze e alle esigenze dell’impresa (o di un’or­ga­niz­za­zio­ne o autorità). Ogni sistema di controllo di gestione è unico. Spesso, per garantire processi sicuri e chiari in un’azienda, non è tanto de­ter­mi­nan­te la do­cu­men­ta­zio­ne quanto la cultura aziendale e i com­por­ta­men­ti in­te­rio­riz­za­ti. Ciò richiede una co­mu­ni­ca­zio­ne tra­spa­ren­te tra la direzione e ogni singolo di­pen­den­te.

Consiglio

Per garantire che im­por­tan­ti in­for­ma­zio­ni sul SCI restino di­spo­ni­bi­li in azienda, è con­si­glia­to fornire guide, manuali e fogli in­for­ma­ti­vi, che con­sen­ta­no ai di­pen­den­ti di restare sempre ag­gior­na­ti e di con­sul­ta­re i propri compiti e doveri in qualsiasi momento.

Altri punti, invece, sono basati su report accurati, che for­ni­sco­no agli organismi di controllo le in­for­ma­zio­ni ne­ces­sa­rie per mo­ni­to­ra­re la gestione (o altre aree rilevanti di un’azienda). Questi rapporti possono essere generati re­go­lar­men­te oppure in base alle cir­co­stan­ze. Un’in­for­ma­zio­ne fi­nan­zia­ria det­ta­glia­ta è, na­tu­ral­men­te, di par­ti­co­la­re interesse per un sistema di controllo interno.

I SCI rap­pre­sen­ta­no spesso una sfida, so­prat­tut­to per le imprese di piccole di­men­sio­ni. Al fine di im­ple­men­ta­re con successo un sistema di questo tipo, è ne­ces­sa­rio disporre di personale che possa assumere il controllo. Nelle piccole imprese, tuttavia, molte aree diverse sono spesso affidate a una sola o a poche persone, rendendo il controllo più difficile. Questo punto debole è ancora più evidente se la direzione aziendale è, ad esempio, nelle mani di una sola persona. In casi come questo, do­vreb­be­ro quindi essere i di­pen­den­ti a con­trol­la­re la gestione, una cir­co­stan­za difficile da applicare nella pratica.

Può quindi essere utile applicare un concetto bottom-up, in cui i singoli aspetti vengono integrati gra­dual­men­te nel SCI prima di passare all’in­tro­du­zio­ne di un sistema olistico. Il punto di partenza può essere, ad esempio, la con­ta­bi­li­tà, per la quale ogni azienda dispone già di un sistema di reporting. Un SCI di successo nelle PMI non richiede solo l’au­to­di­sci­pli­na, ma anche una do­cu­men­ta­zio­ne adeguata.

Cosa distingue il SCI da altri mec­ca­ni­smi di controllo di gestione

Gli im­pren­di­to­ri hanno fa­mi­lia­ri­tà anche con altri sistemi di controllo che possono aver già stabilito nella loro attività o che stanno prendendo in con­si­de­ra­zio­ne. Ciò include, ad esempio, il sistema di gestione dei rischi (SGR). Si potrebbe ipo­tiz­za­re che il SGR e il SCI siano identici, dato che entrambi i sistemi ri­guar­da­no il mo­ni­to­rag­gio dell’impresa e la gestione dei rischi, ma le procedure sono molto diverse, sebbene vi siano delle so­vrap­po­si­zio­ni.

La gestione dei rischi ruota attorno a complesse strategie di corporate go­ver­nan­ce aziendale e ai pericoli che possono derivare da tali decisioni. Il sistema di controllo di gestione interno si concentra invece mag­gior­men­te sull’attività effettiva dei di­pen­den­ti e dei dirigenti. Viene co­stan­te­men­te mo­ni­to­ra­to se tutti si attengono alle regole, che devono essere ri­spet­ta­te anche dal SGR. Ciò significa, da un lato, che i sistemi di gestione dei rischi e i sistemi di controllo di gestione interni vanno di pari passo e, dall’altro, che è comunque con­si­glia­to ap­pli­car­li entrambi in parallelo all’interno dell’azienda.

Anche il sistema di gestione della con­for­mi­tà (SGC) presenta delle dif­fe­ren­ze rispetto agli altri due sistemi. L’obiettivo del SGC è prevenire azioni o pratiche illegali. Anche questi rap­pre­sen­ta­no chia­ra­men­te dei rischi, ma non sono gli unici. Si può anche agire in con­for­mi­tà con la legge e mettere comunque in pericolo l’azienda at­tra­ver­so altre azioni.

La revisione interna, un altro termine che appare re­go­lar­men­te nel contesto del mo­ni­to­rag­gio di un’impresa, può essere con­si­de­ra­ta una misura del SCI. Si tratta di una categoria inferiore, mentre i SCI, SGR e SGC operano sullo stesso livello.

Vi preghiamo di osservare la nota legale relativa a questo articolo.

Vai al menu prin­ci­pa­le