SCI: cos’è il controllo di gestione

Ogni azienda vuole minimizzare i rischi. Incidenti, errori o persino atti criminali non dovrebbero verificarsi nelle aziende. Ciò vale, ad esempio, per la salute e la sicurezza sul lavoro o la protezione dei siti di produzione contro l’accesso non autorizzato da parte di terzi. Mentre per questi aspetti abbastanza concreti possono essere attuate precise misure e regole, una corretta gestione finanziaria o un buon organo di amministrazione è più difficile da garantire. Per questo motivo molte aziende stanno istituendo un sistema di controllo di gestione interno (SCI), che ha il compito di garantire un sistema di governo che sia in linea con le strategie e gli obiettivi dell’azienda.

La direzione di un’azienda controlla in una certa misura i propri dipendenti. Ma chi controlla le azioni e le decisioni della direzione? Un sistema di controllo di gestione interno può migliorare la sicurezza aziendale per queste ed altre aree dell’azienda. L’obiettivo è prevenire sia gli errori che gli atti criminali. Al fine di ridurre al minimo i rischi, un SCI è costituito da regole e flussi di lavoro progettati per prevenire, per quanto possibile, comportamenti illeciti. Se tutti i dipendenti si attengono a queste regole, è difficile che si verifichino errori e l’inosservanza delle regole può essere individuata rapidamente.

I meccanismi di controllo possono essere preventivi, paralleli o successivi al lavoro da monitorare, a seconda dell’utilità e dell’applicabilità in ogni contesto specifico. La particolarità del sistema di controllo di gestione è il monitoraggio interno. Invece di ricorrere a soggetti esterni come organi di controllo (vigilanza finanziaria o revisori contabili), come accade in altri sistemi, un buon SCI consente ai dipendenti di controllarsi a vicenda.

Un sistema di controllo di gestione efficace è composto da due elementi: un sistema di gestione interno e un sistema di controllo interno. La prima categoria riguarda le regole per la gestione di un’impresa. Il controllo invece è la parte più complessa e ramificata del SCI. Nella migliore delle ipotesi, queste misure dovrebbero essere eseguite automaticamente.

In generale, i sistemi di controllo interno devono garantire che nessuno in azienda si comporti in modo illecito, che tutti i processi si svolgano regolarmente e che la corruzione e la criminalità economica vengano prevenute. Il campo di azione del SCI include inoltre:

• la salvaguardia del patrimonio: il patrimonio esistente deve essere protetto dalle perdite;
• la tracciabilità: tutti i processi devono essere registrati correttamente e tempestivamente;
• il miglioramento: la tracciabilità dei processi permette di migliorarli;
• il rispetto delle regole: il sistema garantisce che tutti i partecipanti rispettino le regole.

Per raggiungere questi obiettivi, un sistema di controllo di gestione si basa su quattro principi diversi:

• separazione di ruoli e compiti: le funzioni esecutive (ad es. acquisti), contabili (ad es. contabilità di magazzino) e amministrative (ad es. gestione di magazzino) all’interno di un processo aziendale non devono essere eseguite dalla stessa persona o dallo stesso gruppo;
• controllo: ogni processo importante di un dipendente deve essere controllato da qualcun altro;
• informazioni minime: ogni dipendente dovrebbe ricevere solo le informazioni necessarie a svolgere i propri compiti e non di più;
• trasparenza: con una chiara idea della situazione ideale, anche persone estranee possono giudicare se i compiti vengono eseguiti correttamente.

Esistono due modelli di sistemi di controllo di gestione interni popolari che hanno riscosso molto successo e sono indicati con gli acronimi CoSO e COBIT.

CoSO è in realtà un’organizzazione privata statunitense che si dedica al miglioramento generale delle strutture aziendali. Essa si occupa, ad esempio, di questioni etiche ma anche di molti aspetti che rientrano nell’ambito dei SCI. Per questo motivo, l’organizzazione ha sviluppato già negli anni ‘90 il CoSO Report, una raccolta di tecniche applicative, che è stato aggiornato nel 2004.

Il modello è composto da quattro diverse categorie:

• strategic: obiettivi generali dell’attività aziendale
• operations: uso efficiente delle risorse
• reporting: attendibilità dei report
• compliance: osservanza delle leggi

Queste categorie sono collegate tra loro da cinque componenti:

• ambiente di controllo: questa componente si occupa principalmente di etica, filosofia e competenze, ma anche di aspetti strutturali dell’azienda. L’ambiente di controllo è costituito da vari standard per l’esecuzione dei controlli. Sono inoltre specificati i meccanismi che consentono al management di assegnare le responsabilità;
• valutazione dei rischi: quali sono i potenziali rischi per l’azienda? La valutazione dei rischi viene effettuata sulla base di specifici obiettivi aziendali. Tutto ciò che può impedire il raggiungimento degli obiettivi è percepito come un rischio;
• attività di controllo: questa componente riguarda l’attuazione dei controlli. Le decisioni e le direttive della direzione devono essere pienamente attuate. Per l’attuazione saranno utilizzate procedure specifiche;
• informazione e comunicazione: la diffusione delle informazioni e la comunicazione interna ed esterna rientrano in questa componente. Per la diffusione di informazioni possono essere utilizzate relazioni orali, manuali e linee guida scritte;
• monitoraggio: il monitoraggio prevede la valutazione della procedura. Si effettua un controllo continuo e regolare dell’applicazione e del funzionamento del SCI.

Tutte le categorie si riferiscono a tutti i componenti e dovrebbero essere applicate a tutti i livelli aziendali.

L’aggiornamento successivo del Report, pubblicato nel 2017, affronta le nuove sfide poste dalla digitalizzazione.

Il framework dell’associazione internazionale degli auditor dei sistemi informativi si occupa dei sistemi IT di un’azienda. Mentre CoSO si concentra principalmente sulla contabilità e la gestione, COBIT si occupa delle strutture tecnologiche all’interno di un’azienda. COBIT (nella quinta versione) comprende cinque principi, sette categorie e 37 processi suddivisi in cinque domini.

I cinque principi di COBIT sono ipotesi di base:

• soddisfare tutte le necessità: il sistema deve soddisfare tutti i bisogni delle parti interessate (stakeholder). Questo principio presuppone quindi anche la definizione delle parti interessate;
• copertura dell’intera azienda: per evitare la perdita di informazioni, ogni parte dell’azienda deve essere integrata nel SCI, anche al di fuori della funzione IT;
• applicare un unico framework integrato: affinché COBIT possa funzionare nel modo più efficace possibile, non si dovrebbero affiancare due strutture diverse. Due sistemi non solo aumentano lo sforzo, ma possono provocare anche un numero maggiore di errori;
• un approccio olistico: COBIT 5 interviene in tutti i processi di un’azienda e rende così possibile il raggiungimento congiunto degli obiettivi aziendali;
• separazione di controllo e gestione: in un sistema di controllo di gestione interno funzionante, il management e il controllo devono essere chiaramente separati l’uno dall’altro al fine di evitare che le persone responsabili prendano decisioni sbagliate.

Per avere successo, COBIT 5 tiene traccia di sette diversi fattori abilitanti, che sono collegati tra loro.

• Principi, policy e framework: gli obiettivi desiderati vengono convertiti in esecuzioni pratiche per consentire il lavoro quotidiano.
• Processi: questo fattore abilitante include un insieme di pratiche che possono essere utilizzate per raggiungere gli obiettivi prefissati.
• Strutture organizzative: questo fattore abilitante viene utilizzato per decidere quali ruoli devono essere assegnati tra i dipendenti.
• Cultura, etica e comportamenti: sia per l’intera azienda che per ogni singolo dipendente vengono introdotti comportamenti volti a migliorare la cultura aziendale nel lungo periodo.
• Informazione: al fine di gestire correttamente le informazioni, sia quelle interne che quelle esterne dell’azienda, questo fattore abilitante fornisce indicazioni su qualità, sicurezza e accesso.
• Servizi, infrastruttura e applicazioni: questo punto determina quali tecnologie e applicazioni devono essere utilizzate per garantire che i sistemi informatici siano sicuri e disponibili in qualsiasi momento.
• Dipendenti, abilità e competenze: il livello di formazione e la qualità di ogni dipendente è importante per poter prendere decisioni corrette e intraprendere azioni correttive.

I 37 processi definiti da COBIT si riferiscono, a loro volta, a casi d’uso specifici all’interno di un’azienda. Essi forniscono indicazioni su come alcuni gruppi di persone – COBIT distingue tra gestione e governance – dovrebbero comportarsi in situazioni specifiche.

Negli Stati Uniti, il Sarbanes-Oaxley Act ha portato all’istituzione obbligatoria di sistemi di controllo di gestione interni. Sono stati determinanti gli scandali che hanno coinvolto grandi aziende come Enron e Worldcom, che non avevano preparato i loro bilanci con la dovuta onestà. Molte pratiche nei sistemi di controllo interno (anche internazionali) derivano dai requisiti di legge stabiliti dal Sarbanes-Oaxley Act negli Stati Uniti. Le leggi italiane non prescrivono esplicitamente un SCI, ma richiedono gli effetti e le pratiche di un tale sistema.

Il legislatore nazionale, tuttavia, non prevede un solo testo legislativo in termini di controlli interni, ma diversi. Si possono citare, ad esempio, il D.Lgs. 58/1998, l’art. 2428 del Codice Civile, il D.Lgs. 39/2010 e il D.Lgs. 231/2001, che definiscono obblighi di trasparenza sul sistema di controllo interno e sulle modalità di gestione dei rischi aziendali. Anche attraverso i principi di redazione del bilancio si possono evincere alcune normative per un controllo di gestione interno.

Vi sono inoltre altre raccomandazioni non obbligatorie, contenute nel Codice di Autodisciplina, che costituiscono un modello di “best practice”; l’adesione a queste ultime è tuttavia volontaria. Questo codice sottolinea, tra l’altro, la centralità del rischio nel sistema dei controlli e focalizza l’attenzione sulla relativa gestione. In questo modo deve essere garantita una conduzione sana dell’impresa che sia coerente con i suoi obiettivi strategici.

Nella pratica il SCI viene adattato alle circostanze e alle esigenze dell’impresa (o di un’organizzazione o autorità). Ogni sistema di controllo di gestione è unico. Spesso, per garantire processi sicuri e chiari in un’azienda, non è tanto determinante la documentazione quanto la cultura aziendale e i comportamenti interiorizzati. Ciò richiede una comunicazione trasparente tra la direzione e ogni singolo dipendente.

Altri punti, invece, sono basati su report accurati, che forniscono agli organismi di controllo le informazioni necessarie per monitorare la gestione (o altre aree rilevanti di un’azienda). Questi rapporti possono essere generati regolarmente oppure in base alle circostanze. Un’informazione finanziaria dettagliata è, naturalmente, di particolare interesse per un sistema di controllo interno.

I SCI rappresentano spesso una sfida, soprattutto per le imprese di piccole dimensioni. Al fine di implementare con successo un sistema di questo tipo, è necessario disporre di personale che possa assumere il controllo. Nelle piccole imprese, tuttavia, molte aree diverse sono spesso affidate a una sola o a poche persone, rendendo il controllo più difficile. Questo punto debole è ancora più evidente se la direzione aziendale è, ad esempio, nelle mani di una sola persona. In casi come questo, dovrebbero quindi essere i dipendenti a controllare la gestione, una circostanza difficile da applicare nella pratica.

Può quindi essere utile applicare un concetto bottom-up, in cui i singoli aspetti vengono integrati gradualmente nel SCI prima di passare all’introduzione di un sistema olistico. Il punto di partenza può essere, ad esempio, la contabilità, per la quale ogni azienda dispone già di un sistema di reporting. Un SCI di successo nelle PMI non richiede solo l’autodisciplina, ma anche una documentazione adeguata.

Gli imprenditori hanno familiarità anche con altri sistemi di controllo che possono aver già stabilito nella loro attività o che stanno prendendo in considerazione. Ciò include, ad esempio, il sistema di gestione dei rischi (SGR). Si potrebbe ipotizzare che il SGR e il SCI siano identici, dato che entrambi i sistemi riguardano il monitoraggio dell’impresa e la gestione dei rischi, ma le procedure sono molto diverse, sebbene vi siano delle sovrapposizioni.

La gestione dei rischi ruota attorno a complesse strategie di corporate governance aziendale e ai pericoli che possono derivare da tali decisioni. Il sistema di controllo di gestione interno si concentra invece maggiormente sull’attività effettiva dei dipendenti e dei dirigenti. Viene costantemente monitorato se tutti si attengono alle regole, che devono essere rispettate anche dal SGR. Ciò significa, da un lato, che i sistemi di gestione dei rischi e i sistemi di controllo di gestione interni vanno di pari passo e, dall’altro, che è comunque consigliato applicarli entrambi in parallelo all’interno dell’azienda.

Anche il sistema di gestione della conformità (SGC) presenta delle differenze rispetto agli altri due sistemi. L’obiettivo del SGC è prevenire azioni o pratiche illegali. Anche questi rappresentano chiaramente dei rischi, ma non sono gli unici. Si può anche agire in conformità con la legge e mettere comunque in pericolo l’azienda attraverso altre azioni.

La revisione interna, un altro termine che appare regolarmente nel contesto del monitoraggio di un’impresa, può essere considerata una misura del SCI. Si tratta di una categoria inferiore, mentre i SCI, SGR e SGC operano sullo stesso livello.

Vi preghiamo di osservare la nota legale relativa a questo articolo.