Il Sistema di controllo interno e il D. Lgs. 231/2001 Giovanni Peradotto, Silvia Cornaglia, Donato Tondo Ordine dei Dottori Commercialisti di Torino Torino, 18 marzo 2004

Giovanni Peradotto I modelli di organizzazione, di gestione e controllo di cui al decr. lgs. n.231/2001, quali parti dei sistemi di controllo interno delle società

Le costruzioni giuridiche (sistema di accertamento delle responsabilità – sistema di applicazione delle sanzioni) si fondano sul tratto organizzativo degli enti e società. Ciò emerge chiaramente da elementi specifici quali: distinzione, senza tassativa elencazione, dei soggetti in posizione apicale e dei soggetti sottoposti all’altrui direzione, con accoglimento di tutte le possibili strutture organizzative; il collegamento della responsabilità degli enti e delle società alla “colpa di organizzazione”.

Sistema di controllo interno Quadro normativo Artt. 149 (doveri dell’organo di vigilanza) e 150 (informazione), del decr. lgs. n. 58/1998 Artt. 6 e 7 del decr. lgs. n. 231/2001

ARTT. DEL CODICE CIVILE NOVELLATI DAL D. LGS. N. 6/2003 (disciplina delle società per azioni – doveri dell’organo amministrativo e dell’organo di vigilanza)

Il legislatore italiano introducendo nell’ordinamento interno le realtà organizzative denominate “sistema di controllo interno” e “modelli di organizzazione e di gestione”, ha di fatto: individuato e fissato, tra i compiti imprescindibili degli organi amministrativi delle società, la loreo realizzazione iniziato a darne una qualche frammentaria regolamentazione dei contenuti. Lo stesso legislatore ha quindi implicitamente riconosciuto che nessun organismo può essere ben condotto senza un adeguato sistema di controllo interno.

Diventa quindi impossibile per gli organi amministrativi delle società dimostrare di aver adempiuto agli obblighi propri del loro ufficio con la diligenza professionale loro richiesta (art. 2392 cod. civ.), se non hanno adottato e applicato un adeguato sistema di controllo interno.

SISTEMA DI CONTROLLO INTERNO DEFINIZIONE NON univoca fra operatori aziendali, legislatori, studiosi, utilizzatori in genere Tentativo unificante realizzato da : COMMITTEE OF SPONSORING ORGANISATIONS OF THE TREADWAY COMMISSION (COSO) INTERNAL CONTROL INTEGRATED FRAMEWORK

Sistema di controllo interno Strutture e modelli concettuali elaborati dalla tecnica (campionario) Institut Canadien des Comptables Agréés – Contrôle et gouvernement d'entreprise - Recommandations sur le contrôle The Institute of Internal Auditors (USA) SIAS n.1 – Control : concepts and responsabilities NAA (USA) Guidance on Internal control The Institute of Chartered Accountants in England and Wales Internal control – Guidance for directors on the combined code Revue fiduciaire – Paris Dossier conseil – Le contrôle interne

Sistema di controllo interno SEGUE Sistema di controllo interno Strutture e modelli concettuali elaborati dalla tecnica (campionario) Alain Micol Le contrôle interne AA Vari – Egea Verso una nuova concezione di internal auditing Modelli di organizzazione e di gestione elaborati dalle Associazioni di categoria Associazione Italiana internal auditors Responsabilità amministrativa delle società: modelli organizzativi di prevenzione e controllo

INTERNAL CONTROL - INTEGRATED FRAMEWORK Sistema di controllo, come modalità di conduzione dei processi aziendali verso il raggiungimento di obiettivi dati è calato nelle seguenti aree cui corrispondono specifici obiettivi: - attività operativa efficacia ed efficienza - sistema informativo affidabilità delle informazioni - attività dell’ente conformità alla normativa in vigore

Da un punto di vista organizzativo-sostanziale, i cosiddetti “modelli di organizzazione e di gestione”idonei a prevenire la commissione di certi reati, altro non sono che la focalizzazione di una parte o aspetto della più generale realtà denominata sistema di controllo interno

Le fondamenta del sistema di controllo interno: Silvia Cornaglia Le fondamenta del sistema di controllo interno: Ambiente di controllo

COMPONENTI DEL SISTEMA DI CONTROLLO Monitoraggio ü Attività di monitoraggio continuo I nterventi di valutazione specifici Informazione e comunicazione Sistema informativo manuale e computerizzato Comunicazione interna ed esterna Attività di controllo interno Controllo amministrativo e contabile Procedure Separazione di responsabilità Sistema di deleghe ed autorizzazioni Valutazione dei rischi Identificazione ed analisi dei fattori di rischio – mappa dei rischi aziendali Gestione del cambiamento Ambiente di controllo Integrità e valori etici Competenze del personale Cda e Audit Committee Filosofia e stile di direzione Struttura organizzativa e responsabilità

UNO SPUNTO DI RIFLESSIONE Gli incidenti [tecnologici] sono sovente il risultato non tanto di deviazioni rispetto alle norme,quanto del normale funzionamento delle organizzazioni; dell’aderenza a norme e regole istituzionali piuttosto che di aberrazioni. [Alberto Baldissera, Incidenti tecnologici: fasi e sequenze causali, in AA.VV. La Tecnologia per il XXI secolo, Torino, 1998]

IL CONSEGUENTE PUNTO DI PARTENZA Qualsiasi modello organizzativo, anche quello oggettivamente migliore, porta in sé il germe del proprio fallimento, il proprio limite (impossibilità di azzerare il rischio). Qualsiasi norma, per quanto pesante sia il deterrente, incontrerà un interesse o una condizione che ne giustifica la violazione. La norma (sistema di controllo interno in senso stretto) di per sé non basta: occorre che coloro alla quale è rivolta siano convinti che rispettarla è la cosa migliore da fare

FAR RISPETTARE LE REGOLE Una norma può essere fatta rispettare per tre vie: giuridico - sanzionatoria tecnica etica (B. Latour, Fatti, feticci e fatticci, Venezia, 1999) La via etica è quella che garantisce risultati più duraturi

UNA COMPLICAZIONE Concetto di emergenza Essa [l’”emergenza”] modellizza ogni tipo di entità – un gruppo, un’organizzazione, una comunità, la società intera – come un sistema formato da individui e da strutture sovra-individuali che emergono da processi inter-individuali. Le proprietà di tali strutture non sono in alcun modo desumibili da quelle degli individui o dei processi che fluiscono tra loro. Costituiscono un livello superiore; sono inedite quanto imprevedibili. […] L’emergenza è un aspetto della auto-organizzazione dei sistemi. […] Ma accanto alle capacità di auto-organizzazione, i sistemi sociotecnici sanno esibire anche robuste capacità di auto-disorganizzazione. [Luciano Gallino, Critica della ragione tecnologica. Valutazione, governo, responsabilità dei sistemi socio-tecnici, in AA.VV. La Tecnologia per il XXI secolo, Torino, 1998]

ALCUNI STRUMENTI PER ... Far emergere i valori “giusti” Codici etici Modello organizzativo e sistemi di indirizzo e controllo Gestione per competenze Filosofia e stile di direzione La parola d’ordine è: coerenza

AMBIENTE DI CONTROLLO: DEFINIZIONE Cultura dell’organizzazione e regole del gioco Insieme di fattori che inducono le persone, ad ogni livello ed in ogni funzione, ad aderire consapevolmente ai principi di trasparenza e correttezza, coniugandoli con quelli di efficienza ed efficacia e a fondare quindi il loro agire a rigore, competenza, impegno. Fattori costituenti e termini di riferimento: regole generali di comportamento racchiuse in codici etici, valori a cui si ispira l’organizzazione, comportamenti del management.

IMPORTANZA DELL’AMBIENTE DI CONTROLLO L’ambiente di controllo costituisce le fondamenta della piramide di controllo: quale condizione necessaria, ancorché non sufficiente, per garantire l’efficacia del sistema di controllo interno; quale elemento probatorio della volontà dell’ente e dello sforzo profuso per la prevenzione dei reati (cfr. anche Provvedimento GIP di Milano).

RUOLO DELL’ENTE COME ISTITUZIONE Gli interventi dello Stato, della legge e del sistema educativo non possono più avere come scopo quello di rinforzare l’integrazione della società sottoponendo tutte le sue attività a norme, regolamenti e controlli. Questi interventi devono avere per obiettivo principale e nuovo quello di rinforzare la capacità di ogni individuo e di ogni gruppo sociale di combinare le proprie identità psicologiche e culturali con i propri ruoli tecnici ed economici. [Alain Touraine, Dall’economia di mercato agli attori della produzione, in AA.VV. La Tecnologia per il XXI secolo, Torino, 1998] => Orientamento alla gestione del cambiamento piuttosto che al mantenimento dell’ordine.

UN POSSIBILE MODELLO DI RIFERIMENTO Possibile modello di riferimento è quello della Balanced Scorecard di Kaplan e Norton, che prevede quattro tipologie di indicatori per controllare adeguatamente la gestione in funzione della realizzazione della strategia aziendale: indicatori economico – finanziari indicatori di soddisfazione del cliente indicatori di processo indicatori di apprendimento e crescita organizzativa (R. S. Kaplan – D. P. Norton – Balanced Scorecard. Tradurre la strategia in azione –– Torino, 2000)

CODICI ETICI La norma non richiede, come condizione necessaria per il riconoscimento dell’esistenza del modello di organizzazione e gestione previsto dall’art. 6, l’adozione di un codice di comportamento. L’adozione di un codice di comportamento, peraltro, è raccomandata dalle linee guida delle associazioni di categoria. Obiettivo è formalizzare e diffondere, in tutta l’organizzazione, i principi i valori cui la stessa si ispira, per creare, attraverso la condivisione effettiva e riscontrabile di principi e valori, un contesto meno favorevole alla commissione dei reati.

MODELLO ORGANIZZATIVO Convivenza tra modelli di gestione sempre più de-organizzati ed esigenza di procedure di controllo (in particolare ai fini dell’esimente di cui all’art. 6 del D. Lgs.231/2001): il problema della responsabilità legata al ruolo. Raccordo con il sistema dei valori, ove efficacemente adottato, quale collante organizzativo ove si richieda orientamento al risultato anziché al compito. Ulteriore risposta negli strumenti di indirizzo e controllo strategico, dalla gestione per competenze alla balanced scorecard.

GESTIONE PER COMPETENZE Competenze come sistema di conoscenze, capacità e comportamenti. La conoscenza e la condivisione effettiva dei valori recepiti dal codice di comportamento può rientrare, a tutti gli effetti, tra le competenze richieste (e misurate) alle persone che occupano ruoli chiave.

FILOSOFIA E STILE DI DIREZIONE E’ fondamentale la coerenza nell’assegnazione degli obiettivi. E’ necessario un sistema adeguato di misurazione dei risultati e incentivazione.

Componenti del Sistema di Controllo Interno e strumenti di gestione Donato Tondo Componenti del Sistema di Controllo Interno e strumenti di gestione

VALUTAZIONE DEI RISCHI FATTORI DI RISCHIO Ogni azienda dev’essere consapevole dei rischi che incontra e che deve affrontare. Sono FATTORI DI RISCHIO tutte le circostanze o i fatti la cui sopravvenienza può causare il mancato o insufficiente conseguimento degli obiettivi aziendali. I PRESUPPOSTI PER LA VALUTAZIONE: l’identificazione degli obiettivi di fondo della gestione; l’identificazione dei processi operativi e decisionali in cui si annidano i rischi; l’identificazione degli obiettivi specifici dei diversi processi aziendali.

VALUTAZIONE DEI RISCHI La valutazione dei rischi consiste nell’individuare e analizzare i fattori che possono pregiudicare il raggiungimento degli obiettivi, al fine di determinare come questi rischi dovranno essere gestiti. In altri termini, l’analisi dei rischi : consiste nella descrizione e nella valutazione del grado d’importanza dei rischi annidati nei processi aziendali; e si completa con l’individuazione dei meccanismi predisposti per padroneggiarli e mantenerli nei limiti in cui sono stati considerati accettabili.

ATTIVITÀ DI CONTROLLO DEFINIZIONE CONTROLLO PREVENTIVO-CONCOMITANTE; è l’insieme di regole nelle quali vengono calati i processi di gestione al fine di indirizzare, supportare e costringere le persone ad operare in conformità agli obiettivi specifici inerenti le loro funzioni; CONTROLLO ISPETTIVO; è l’insieme di attività volte a verificare a posteriori che le regole e le procedure di cui si è dotata l’organizzazione vengono effettivamente applicate.

IL CONTROLLO DELL’ORGANIZZAZIONE: ATTIVITÀ DI CONTROLLO GLI STRUMENTI IL CONTROLLO DELL’ORGANIZZAZIONE: Identificazione e manutenzione di procedure operative e gestionali; Applicazione del principio di separazione delle responsabilità; Adozione di un sistema di deleghe ed autorizzazioni (limitazione dei poteri); IL CONTROLLO GESTIONALE - ECONOMICO: Piani strategici, Budget, Preventivi finanziari; Contabilità analitica e Contabilità industriale; Contabilità generale e Bilancio; Analisi per indici, Rendiconto finanziario; Sistemi incentivanti, Sistemi sanzionatori, ecc.

INFORMAZIONE E COMUNICAZIONE INFORMAZIONE E FORMAZIONE Ogni operatore aziendale deve essere messo nelle condizioni di poter ricevere le comunicazioni e le informazioni necessarie ad adempiere ai compiti relativi al proprio ruolo e a soddisfare le proprie conseguenti responsabilità. COMUNICAZIONE = TRASPARENZA Le comunicazioni devono fluire dal basso verso l’alto e dall’alto verso il basso in modo da garantire la trasparenza dell’organizzazione e consentire ad ognuno di comprendere il senso della propria attività ed i legami che esistono tra la propria e quella degli altri nel perseguimento degli obiettivi aziendali.

MONITORAGGIO LA FUNZIONE DEL MONITORAGGIO Valutare l’adeguatezza e la capacità del sistema di controllo di assicurare che l’organizzazione raggiunga gli obiettivi stabiliti dal management. STRUMENTI supervisioni continue da parte dei responsabili di ogni livello (management e quadri) all’interno delle aree di loro competenza; valutazioni periodiche secondo preordinate metodologie.

GLI OBIETTIVI DEL CONTROLLO INTERNO IL CONTROLLO INTERNO è il processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori aziendali, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione delle seguenti categorie di obiettivi: GLI OBIETTIVI DEL CONTROLLO INTERNO obiettivi di efficacia ed efficienza delle attività operative; obiettivi di attendibilità delle informazioni di bilancio; obiettivi di conformità alle leggi ed ai regolamenti in vigore.

LEGAMI TRA COMPONENTI ED OBIETTIVI DEL CONTROLLO INTERNO Esiste un rapporto diretto tra gli obiettivi, ossia ciò che un’azienda persegue, ed i componenti, ovvero ciò che occorre per realizzarli, secondo un legame tridimensionale: per ciascuna unità operativa e per ciascun processo aziendale (asse X), i cinque componenti del sistema di controllo interno (asse Y) intersecano le tre categorie di obiettivi (asse Z). Ogni componente copre ed attraversa tutte e tre le categorie di obiettivi. ESEMPIO: I dati contabili ed extracontabili che costituiscono la componente “informazione e comunicazione”, sono indispensabili per gestire efficacemente i processi operativi, per predisporre bilanci attendibili e per controllare la conformità alle leggi ed ai regolamenti in vigore.

RESPONSABILITÀ E RUOLI DEI SOGGETTI COINVOLTI LE RESPONSABILITÀ NEL PROCESSO DI CONTROLLO INTERNO Ogni persona che opera in un’organizzazione ha responsabilità per il controllo interno. Il management è responsabile di tutto il sistema; l’organo direttivo (C.d.A.) ne ha la responsabilità ultima e ne assume la paternità; I responsabili amministrativi e finanziari (contabili e controllers) hanno una collocazione centrale nella dinamica del controllo esercitato dal management; i revisori esterni (collegio sindacale e revisori) contribuiscono alla realizzazione degli obiettivi aziendali in materia di informazioni di bilancio.

RESPONSABILITÀ E RUOLI DEI SOGGETTI COINVOLTI RUOLO DELL’ORGANO DIRIGENTE AI SENSI DEL D. LGS. 231/01 individuare le attività nel cui ambito possono essere commessi reati (valutaz. rischi); prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire (procedure di decisione); individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati (procedure operative); prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli (procedure informative); introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello (criteri sanzionatori e procedure applicative). verificare periodicamente ed eventualmente modificare il modello quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività;

“CASSETTA DEGLI ATTREZZI” CONTROLLO INTERNO E D.LGS. 231/01 CONSEGUIRE GLI OBIETTIVI DI FONDO per il cui raggiungimento l’Ente è stato costituito è responsabilità imprescindibile dell’organo direttivo. Ciò implica le seguenti responsabilità: organizzazione efficiente ed efficace delle risorse disponibili; adozione di provvedimenti gestionali idonei rispetto agli obiettivi; controllo della coerenza tra i processi e gli obiettivi; controllo della coerenza tra i risultati conseguiti e gli obiettivi; rispetto delle leggi e prevenzione dei comportamenti illegali. Il sistema di controllo interno rappresenta la “CASSETTA DEGLI ATTREZZI” dell’organo direttivo, indispensabile per adempiere alle proprie responsabilità con la necessaria diligenza professionale. Il Decreto Legislativo 231-2001 introduce le sanzioni per gli Enti il cui organo direttivo non si sia dotato di un adeguato ed efficace sistema di controllo (cosiddetto “modello di controllo”).