Premessa
7
Premessa
Il lavoro qui presentato si prefigge il compito di evidenziare l’evoluzione dei sistemi di
controllo interno avvenuta negli ultimi due decenni avvalendosi come metro di confronto
del framework prodotto dal Committee of Sponsoring Organizations of the Treadway
Commission (CoSO), del quale è stato da poco rilasciato un ulteriore aggiornamento.
Il sistema di controllo interno è uno degli argomenti più trattati e discussi dell’ultimo
periodo anche in relazione ai recenti scandali finanziari. Ciò perché tale sistema pone la
propria attenzione da un lato sull’individuazione e sull’identificazione dei principali rischi
corsi dall’organizzazione nella conduzione del business e dall’altro sulla verifica che i
meccanismi di protezione attuati siano adeguati alla salvaguardia delle performance, della
creazione di valore e del rispetto delle normative vigenti (Paletta, 2008). Per
l’implementazione di tale sistema, che ormai è presente in quasi la totalità delle grandi
imprese e che si sta rapidamente diffondendo anche in quelle di piccole e medie
dimensioni, si è imposto come standard e come punto di riferimento il quadro proposto
dal CoSO.
Per tale motivo l’analisi condotta verte principalmente sull’esposizione dei diversi
framework rilasciati dalla commissione negli ultimi venti anni (il primo fu rilasciato nel
1992). Non ci si prepone dunque di analizzare dettagliatamente e di riportare la letteratura
che contraddistingue il controllo interno, ma di delineare le caratteristiche e le specificità
di quest’ultimo attraverso la descrizione dei quadri proposti dal CoSO.
Per una funzionale lettura appare opportuno sintetizzare i contenuti dei singoli
capitoli e giustificare la disposizione logica degli argomenti trattati.
Nel primo capitolo viene riportata in breve la storia del comitato ed i presupposti,
soprattutto normativi, che hanno condotto alla fondazione della commissione
Treadway. In tale capitolo pertanto si descrivono i fattori precedenti e contingenti
alla realizzazione del primo framework e le motivazioni che hanno spinto il CoSO a
realizzarlo. Sempre in questo capitolo viene anche descritta l’attuale composizione
Premessa
8
del board della commissione, ciò non solo per darne una rappresentazione più precisa
e puntuale, ma soprattutto perché il sistema di controllo interno rappresenta uno dei
perni del sistema di governance societaria e pertanto si è ritenuto opportuno
sottolineare l’adeguatezza dei membri del consiglio della commissione con il compito
prestabilito e il rispetto dei principali requisiti emersi ultimamente nella letteratura di
riferimento.
Nel secondo capitolo ci si cala direttamente, invece, all’interno del primo framework
proposto nel 1992. Dopo aver riportato la definizione di controllo interno espressa
dal CoSO, viene descritto l’intero quadro facendo riferimento ad ogni singolo
elemento dello stesso e riportando il metodo d’indagine svolto all’epoca.
Il capitolo seguente verte sul framework successivo: il CoSO ERM del 2004. In
questo capitolo l’attenzione si sposta dai sistemi di controllo interno verso
l’enterprise risk management, il quale può essere considerato una sovrastruttura del
primo. A tal proposito si è ritenuto necessario sviluppare uno stringato excursus sulla
natura e sull’evoluzione dell’ERM prima di affrontare il quadro del 2004. Per non
appesantire eccessivamente la letteratura si è optato per non riportare integralmente il
nuovo quadro, ma di descrivere esclusivamente gli elementi nuovi e le differenze
sostanziali rispetto al framework precedente.
Il quarto capitolo riguarda l’ultimo aggiornamento rilasciato. In esso vengono
riportate le motivazioni e le metodologie sottostanti alla realizzazione del nuovo
quadro, il quale è un rinnovamento di quello proposto nel 1992 e non di quello del
2004 poiché verte sui sistemi di controllo interno. In esso viene descritto
l’aggiornamento del framework attraverso l’analisi di diciassette principi che erano
già presenti nel modello presentato ormai venti anni fa, ma che non erano stati
singolarmente evidenziati.
Infine, prima delle conclusioni e dei riferimenti bibliografici, è proposto un capitolo
concernente alcuni limiti, emersi in tutti e tre i modelli, dei sistemi di controllo
interno ed i ruoli e le responsabilità dello stesso all’interno delle aziende. In
particolare per questo ultimo argomento vi è un approccio più distaccato rispetto al
lavoro svolto dal CoSO e si fa riferimento ai sistemi di controllo in maniera più
generica, evidenziando anche quali siano le normative presenti nel nostro Paese.
Capitolo I
9
Capitolo I
IL COSO
1.1 LA STORIA DEL CoSO
Il CoSO (Committee of Sponsoring Organizations of the Treadway Commission)
nasce nel 1985 per sponsorizzare il “National Commission on Fraudulent Financial
Reporting”, un’iniziativa privata il cui scopo era di studiare i fattori causali che possono
portare a report finanziari fraudolenti e che ha inoltre sviluppato una serie di accortezze e
raccomandazioni per le aziende pubbliche ed i relativi sistemi di auditor, per la SEC
1
, per
altre autorità di controllo e per le università.
La commissione fu fondata con il patrocinio congiunto delle cinque maggiori associazioni
professionali americane: l’American Insitute of Certified Public Accountants (Aicpa)
2
,
l’American Accounting Association (Aaa)
3
, la Financial Executives International (Fei)
4
,
l’Institute of Internal Auditors (Iia)
5
e l’lnstitute of Management Accountants (Ima ossia
l’ex National Association of Accountants)
6
, tuttavia era e rimane del tutto autonoma ed
indipendente dalle stesse.
1
SEC: il Securities and Exchange Commission è un ente federale statunitense preposto alla vigilanza della
borsa valori. È l’equivalente dell’italiana Consob ed è stata istituita nel 1934 per volere dell’allora
presidente Roosevelt nell’ambito del New Deal.
2
Aicpa: l'Istituto Americano dei Certificatori di Bilancio è un organizzazione che si occupa di revisione dei
conti in 128 Paesi.
3
Aaa: associazione che promuove lo studio e la ricerca in materia di contabilità.
4
Fei: organizzazione che sostiene e diffonde presso i propri membri novità e principi in materia finanziaria
per la crescita del business aziendale.
5
Iia: leader mondiale per gli standard, la certificazione, la ricerca e la formazione per la professione di
Internal Auditor.
6
Ima: è un’organizzazione professionale che si prefigge di essere un punto d’incontro per tutti i
professionisti interessati alle best practice in ambito di contabilità e gestione finanziaria.
Capitolo I
10
Già nel 1987 la Commissione Treadway (l’appellativo deriva dal nome del primo
presidente) emise un primo rapporto contenete delle raccomandazioni per le istituzioni
indicate in precedenza, formulando alcuni accorgimenti riguardanti direttamente il
controllo interno, ove si sottolineava l’importanza dell’ambiente di controllo, dei codici di
comportamento, dei comitati di auditing competenti e operativi, di una funzione di
revisione interna attiva e obiettiva e dove si ribadiva l’esigenza di relazioni del
management sull’efficacia del sistema di controllo interno
7
.
Nello stesso si evidenziava inoltre che le organizzazioni promotrici dovessero operare
congiuntamente per integrare le diverse concezioni e definizioni del controllo interno e
sviluppare un punto di riferimento comune, auspicando che tali linee guida potessero
fornire alle società con azionariato diffuso un supporto per il miglioramento e per la
valutazione dell’efficacia del proprio SCI.
I risultati di questo lavoro, pubblicato dall’Ima, raccomandavano che le organizzazioni
promotrici si impegnassero a stabilire criteri pratici e largamente accettati per l’istituzione
del controllo interno e la valutazione della sua efficienza. Il gruppo di lavoro suggeriva
che i criteri fossero diretti a soddisfare le esigenze del management, essendo questo il
responsabile primario dell’istituzione, del monitoraggio, della valutazione del controllo
interno e della rendicontazione relativa allo stesso. Consigliava tuttavia che i criteri
suddetti fossero sviluppati mediante un processo che li rendesse accettabili anche per altri
soggetti interessati, come i revisori interni ed esterni, i docenti e le autorità di controllo.
Diverse altre iniziative riguardanti il controllo interno sono successivamente venute alla
luce: l’Auditing Standards Board dell’Aicpa ha pubblicato nel 1988 un principio di
revisione dedicato allo stesso argomento: questo documento definiva più chiaramente gli
elementi strutturali del controllo interno di un’azienda, aumentava la responsabilità dei
revisori indipendenti sulla comprensione dello stesso e forniva linee guida per la
valutazione dei rischi del controllo nello svolgimento della revisione di bilancio.
Il momento chiave nel caso della Commissione si ebbe però nel 1992 con la
pubblicazione del CoSO Internal Control – Integrated Framework (in seguito CoSO IC –
IF), un framework sul SCI che tutt’ora è il punto di riferimento utilizzato in ambito sia
pubblico sia privato. In questa pubblicazione si disegnava una struttura composta da
7
Nel proseguo della trattazione tale terminologia potrebbe trovarsi abbreviata con la sigla SCI.
Capitolo I
11
cinque elementi cardine che doveva essere debitamente analizzata e sviluppata per
analizzare e monitorare il controllo interno.
L’obiettivo primario del CoSO è di istituire dei parametri univoci e una concezione
comune attorno a tre elementi tra loro interconnessi: il controllo interno, l’enterprise risk
management (ERM) e le frodi in ambito finanziario. Se per il primo elemento si fa
riferimento al CoSO IC-IF, per il secondo ci si rifà al CoSO ERM: pubblicato nel 2004,
riprende e amplia il modello IC-IF, inserendovi anche elementi riguardanti i rischi e gli
obiettivi aziendali. Nel corso degli anni la Commissione ha continuato a concentrarsi su
questi argomenti, che non sono statici, ma che si evolvono in base al contesto esterno e ha
pertanto condotto ulteriori ricerche e pubblicato delle altre “guide”, senza però mai
stravolgere i framework precedenti
8
.
Per quanto concerne invece le frodi finanziarie, il CoSO ha divulgato due ricerche (una
con i dati risalienti al periodo 1987-1997 e l’altra con i dati tra il 1998 e il 2007) in cui
analizza le cause principali per cui è stata possibile la loro realizzazione e degli
accorgimenti per evitarle e scongiurarle in futuro.
1.2 PRESUPPOSTI E NORMATIVE INTERNAZIONALI
L’elevato numero di scandali finanziari di grosse dimensioni occorsi negli ultimi
anni dimostra come l’adesione imposta o volontaria delle imprese quotate alle best
practice dei codici di autodisciplina non sia del tutto sufficiente ad evitare le asimmetrie
informative del mercato e dunque ad evitare ingenti e dannosi default se non vi è
un’adeguata trasparenza nella catena informativa, che costringa al rispetto di puntuali
obblighi giuridici di pubblicità ed a conseguenti poteri sanzionatori da parte delle autorità
vigilanti.
Negli ultimi anni, particolare attenzione è stata dedicata al controllo interno da numerosi
8
Ad esempio si possono ricordare nel 1996 l’ “Internal Control Issues in Derivatives Usage”, l’ “Internal
Control over Financial Reporting – Guidance for Smaller Public Companies” pubblicato nel 2006 e poi
seguito dal “Guidance on Monitoring Internal Control Systems” presentato nel 2009.
Capitolo I
12
enti pubblici e privati e da organizzazioni professionali che hanno formulato
raccomandazioni e regolamenti in materia. Quest’attività ha prodotto un ampio ventaglio
di filosofie e linee di pensiero e di conseguenza, di opinioni sulla natura e sullo scopo del
controllo interno nonché sui mezzi necessari per attuarlo efficacemente.
Il momento di svolta in cui anche nella letteratura e nel pensiero comune tra gli
economisti si è affermata l’importanza del SCI si è realizzato quando è emerso il peso e la
rilevanza di informazioni affidabili e certe come strumento indispensabile per l’attuazione
del controllo. Il tessuto manageriale delle più importanti aziende e di quelle in maggiore
espansione ha recepito e attribuito sempre con maggiore importanza l’impiego di
informazioni contabili ed extracontabili per il controllo e la gestione in ambito aziendale,
pubblico o privato che fosse.
Primi passi vennero svolti nell’implementare sistemi al fine di migliorare l’utilità e
l’affidabilità delle informazioni, nonché di renderle facilmente comprensibili anche per
gli stakeholder esterni all’impresa. La classe dirigenziale si accorse anche che nelle
aziende con un alto numero di dipendenti si rendeva necessario delimitare il più possibile
la discrezionalità del personale fruendo di efficaci metodi manageriali che consentissero
un maggior controllo delle attività svolte.
Sotto il profilo della revisione contabile, si è riconosciuto che nelle aziende provviste di
efficaci sistemi di controllo interno la revisione del bilancio può essere eseguita in modo
più efficiente e che la stessa possa dare maggiori garanzie di affidabilità. A tal proposito
già dagli anni Quaranta negli Usa le organizzazioni professionali di revisori esterni ed
interni hanno pubblicato numerosi rapporti, raccomandazioni e princìpi riguardanti la
correlazione tra controllo interno ed attività di revisione. Tali pubblicazioni precisavano
la definizione e gli elementi del controllo interno, le tecniche per la sua valutazione e le
responsabilità dei vari soggetti coinvolti.
Tuttavia fino alla metà degli anni Settanta l’attività di controllo interno era principalmente
focalizzata sulla progettazione dei sistemi e sulla revisione, mirata al miglioramento e ad
un miglior utilizzo dei sistemi di controllo nell’attività di revisione stessa.
Lo scandalo Watergate del 1972 fu poi alla base di una nuova letteratura in ambito di
controllo interno, il quale fu il leitmotiv di molti economisti per tutti gli anni ’70 e ’80.
Anche gli organi legislativi e normativi dedicarono notevole attenzione al SCI in seguito
Capitolo I
13
alle indagini condotte separatamente dall’Office of the Watergate Special Prosecutor e
dalla Securities and Exchange Commission (SEC), che rilevarono come alcune delle più
importanti società statunitensi avevano versato irregolarmente contributi a politici locali
ed effettuato pagamenti discutibili o illeciti, incluso tangenti, per corrompere funzionari di
governi esteri.
A seguito di queste indagini un Comitato del Congresso degli Stati Uniti si occupò di tali
irregolarità, presentando un disegno di legge successivamente trasformato nel Foreign
Corrupt Practices Act (Fcpa)
9
del 1977.
In seguito alla sua emanazione molte società ad azionariato diffuso ampliarono le
dimensioni ed i poteri delle proprie funzioni di revisione interna con l’obiettivo di
scongiurare futuri scandali di simile portata.
Nello stesso periodo (1974) fu istituita dall’Aicpa (American Institute of Certified Public
Accountants) la Commission on Auditors Responsibilities, meglio nota come
Commissione Cohen, per studiare le responsabilità civili e penali dei revisori. Uno dei
capisaldi raccomandati da questa commissione era che il management presentasse,
congiuntamente al bilancio, anche una relazione sulla situazione del sistema di controllo
interno della società e che i revisori stessi si pronunciassero su tale relazione.
Come conseguenza della relazione della Commisione Cohen, emessa nel 1978, il
Financial Executives Istitute (Fei) diramò ai propri membri una lettera di adesione alle
proposte della commissione aggiungendo ulteriori suggerimenti per la sua realizzazione.
Da allora le relazioni del management sul controllo interno sono apparse con sempre
maggior frequenza nei rendiconti annuali delle società ai propri azionisti.
Nel 1979 la SEC, basandosi sulle iniziative della Commissione Cohen e del Fei, fece un
ulteriore passo proponendo norme per l’emissione di relazioni obbligatorie del
management sui controlli interni, all’interno delle quali fosse prevista anche una relazione
svolta da un revisore indipendente.
La proposta della SEC si rivelò importante per due motivi: innanzitutto chiariva che
l’istituzione ed il mantenimento di un SCI era da sempre stato compito primario del
9
Fcpa: Oltre a provvedimenti contro la corruzione contiene disposizioni in materia di contabilità e controllo
interno soprattutto per quanto concerne l’affidabilità e la veridicità delle scritture contabili. Da tale legge
prende spunto anche il d.lgs. 231/2001 riguardante la responsabilità delle persone giuridiche.
Capitolo I
14
management, in secondo luogo poiché affermava che gli standard adottati per il controllo
sono fondamentali per consentire a tutti gli stakeholder, ma in particolare per gli
investitori, di meglio valutare l’operato del management, nonché l’attendibilità dei bilanci
infrannuali o di altri documenti che non devono obbligatoriamente essere sottoposti a
revisione.
Sebbene questa mozione sia stata successivamente ritirata a causa delle numerose critiche
ricevute per i suoi costi di realizzazione e per la scarsa importanza delle informazioni da
segnalare obbiettata da alcuni manager, resta comunque un punto importante nella storia
delle normative sul controllo interno in quanto il suo principale intento era quello di
rafforzare l’impegno del management a mantenere un efficace sistema di reporting anche
in tutti quei documenti che fuoriescono dall’impresa, ma che non necessitano di una
revisione legale.
In parallelo rispetto alla proposta della SEC l’Aicpa formò nel 1979 un’ulteriore
commissione, la Special Advisory Committee on Internal Control (anche chiamata
Minahan Committee), cercando di colmare le lacune in tema di SCI nella maggior parte
delle grandi aziende. Tale commissione non ebbe particolare risonanza in ambito
internazionale, anche se è utile menzionare che un suo membro evidenziò come all’epoca
le finalità del controllo interno fossero troppo legate alla letteratura in ambito di auditing,
mentre sarebbe stato utile espanderle anche verso altri orizzonti (Heier et alii, 2005).
Lo scarso eco che ebbe la Minahan Committee fu senza dubbio causata anche dal fatto
che l’anno successivo la Financial Executives Research Foundation (Ferf), in risposta al
Fcpa, affidò ad un gruppo di ricerca il compito di attestare il livello di diffusione degli
standard in ambito di controllo interno nelle società statunitensi.
Nel 1980 dunque la Ferf pubblicò questo studio che raccoglieva e descriveva tutte le
informazioni relative a caratteristiche, condizioni, prassi e procedure di controllo nonché
l’individuazione dell’ampia divergenza di opinioni sulla definizione, natura, finalità e
modalità di attuazione di un efficace sistema di controllo interno. Un secondo studio fu
pubblicato l’anno successivo nel quale si definivano i criteri concettuali per la valutazione
dei sistemi di controllo.
Nel periodo tra il 1980 e il 1985 (anno di fondazione del CoSO) sono stati condotti
ulteriori sviluppi e si è raggiunto un perfezionamento dei principi di revisione relativi al
Capitolo I
15
controllo interno. In questo lasso di tempo sono stati infatti condotti moltissimi studi,
sebbene gli economisti convergano nell’indicare queste pubblicazioni come “secondarie”
rispetto a quelle prodotte in precedenza.
A tal proposito è utile ricordare:
• nel 1980 l’Aicpa formulò un principio sulla valutazione del controllo interno e
sulle relative relazioni del revisore indipendente;
• nel 1982 sempre l’Aicpa pubblicò un documento contenente criteri relativi alle
responsabilità del revisore indipendente nello studio e nella valutazione del
controllo interno nell’ambito della revisione di bilancio;
• nel 1983 l’Institute of Internal Auditors diffuse un elaborato che stabiliva e
aggiornava i criteri guida per i revisori interni sulla natura del controllo e sui ruoli
dei soggetti coinvolti nella sua istituzione, manutenzione e valutazione;
• nel 1984 l’Aicpa presentò alcune note supplementari riguardanti gli effetti
dell’elaborazione automatizzata dei dati sul sistema di controllo interno.
Figura 1: Cronistoria degli avvenimenti più importanti riguardanti il SCI
Fonte: produzione propria
Questi riportati in precedenza sono dunque i presupposti da cui è scaturita l’idea e la
necessità di sviluppare il CoSO, tuttavia si ritiene fondamentale riportare anche un
elemento nato posteriormente rispetto alla commissione, ma che rappresenta una delle sue
più efficaci e importanti conseguenze.
Capitolo I
16
Nel 2002 in seguito a diversi scandali finanziari il governo degli Stati Uniti emise la
cosiddetta SOX
10
: una legge che riprende a piene mani alcuni dei principali elementi dei
sistemi di controllo interno e che, attraverso il Public Company Accounting Oversight
Board (PCAOB
11
), cita espressamente il CoSO: “In the United States, the Committee of
Sponsoring Organizations (CoSO) of the Treadway Commission has published Internal
Control – Integrated Framework. Known as the CoSO Report, it provides a suitable and
available framework for purposes of management’s assessment.” (PCAOB Auditing
Standard No. 2. par. 14). Ciò a riprova di quanto il CoSO si sia fortemente radicato come
framework fondamentale e di riferimento per il controllo societario.
Ulteriori dimostrazioni sono date dal fatto che il modello di riferimento definito dal
Comitato di Basilea per il sistema di controllo interno nelle banche è basato sugli stessi
“componenti” definiti nel CoSO Report, mentre il Codice di Autodisciplina per le società
quotate in Borsa (il c.d. “Codice Preda”) riprende esplicitamente la definizione di sistema
di controllo e le caratteristiche del controllo interno evidenziate dal CoSO.
10
SOX: La Sarbanes-Oxley Act è una legge federale emanata dal governo degli Stati Uniti d'America nel
luglio del 2002 in seguito ai diversi scandali finanziari che hanno contraddistinto quel periodo. Tra questi si
ricordano quelli della multinazionale Enron, della società di revisione Arthur Andersen, e delle WorldCom
e Tyco International.
Il nome deriva dai due iniziali progetti di legge presentati dal deputato Mike Oxley e dal senatore Paul
Sarbanes: i due disegni furono poi unificati il 24 luglio dello stesso anno e approvati con un’ampia
maggioranza in ciascuna camera.
La legge si propone di migliorare la corporate governance e garantire la trasparenza delle scritture contabili
usando come deterrente l’accusa anche in ambito penale nei casi di falso in bilancio. Tale norma prevede
anche un inasprimento delle pene e una maggiore responsabilità degli auditor all'atto della revisione
contabile.
Oltre a ridefinire i compiti della SEC, la legge costituisce il Public Company Accounting Oversight Board,
ovvero il consiglio di vigilanza sui bilanci delle aziende quotate. La portata di una simile legge è stata tale
che, secondo alcuni storici dell'economia, si tratta di uno degli atti governativi più significativi in campo
economico dai tempi del New Deal.
I punti nodali su cui la legge focalizza la sua attenzione sono:
• maggiore responsabilità per il management per quanto concerne l'accuratezza delle informazioni
contabili sui bilanci e relazioni finanziarie;
• la creazione di una nuova autorità di controllo dei revisori esterni;
• un inasprimento delle pene per i crimini contabili e illeciti fiscali;
• più poteri e maggiori garanzie per le minoranze azionarie.
11
PCAOB: è una società privata, creata nel 1992 contestualmente alla SOX, che sorveglia gli auditor delle
società pubbliche. La sua mission è: “Protect the interests of investors and further the public interest in the
preparation of informative, fair, and independent audit reports”.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
