Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
2
dell’area di business riguardante il sistema informativo aziendale. Uno standard
tecnico, per il controllo e la sicurezza IT, che fosse anche orientato al business e ai
processi aziendali. Attraverso l’analisi della complessa struttura di cui esso è
caratterizzato, tali caratteristiche sono state riscontrate nel CobiT, in quanto strumento
concepito con l’obiettivo di colmare il ‘gap’ esistente tra i modelli di controllo di
business (CoSO) e i più specifici modelli di controllo dell’IT. Con l’applicazione
della metodologia CobiT al caso Olivetti Tecnost, ci si è inoltre focalizzati sulla
verifica della validità/efficacia implementativa dello strumento, soffermandosi sugli
aspetti maggiormente critici in relazione alla realtà oggetto d’analisi e, in particolare,
sulla sicurezza informatica.
La trattazione può essere suddivisa in tre parti. Nella prima, corrispondente ai
primi tre capitoli, sono trattati gli aspetti generali del governo d’impresa e del
Controllo. Il primo capitolo presenta la disciplina della Corporate Governance e la
sua influenza sulla struttura societaria, il secondo analizza il Sistema di Controllo
Interno, il terzo si focalizza sulla funzione di Internal Auditing come parte del
processo di Corporate Governance, in quanto valuta l’adeguatezza e l’efficacia del
Sistema di Controllo Interno riferendo al Vertice aziendale, ed è considerata lo
strumento per assicurare che tutti i rischi aziendali vengano accuratamente identificati
e gestiti. Nella seconda parte della ricerca, nel quarto capitolo, si sono presentati i
sistemi informativi integrati ERP, concentrando l’attenzione sull’applicativo SAP R/3,
e sull’outsourcing dei sistemi informativi, cui sempre più spesso le aziende ricorrono
nell’attuale contesto. Il capitolo quinto si occupa di revisione e controllo dei sistemi
informativi, esaminandone la struttura del controllo. Il sesto illustra la struttura degli
standard mondiali CobiT (Control Objectives for Information and Related
Technology) utilizzati dagli IS auditors di tutto il mondo, struttura di riferimento per il
controllo e la sicurezza nell’information technology. Il settimo capitolo illustra il
concetto di sicurezza nell’Information Technology. Nella terza parte si è presentata
l’Olivetti, descrivendo i sistemi informativi in Olivetti, in particolar modo SAP R/3.
L’ultimo capitolo riporta le risultanze e le relative (pubblicabili) raccomandazioni
dell’intervento revisionale effettuato, in base alla metodologia Cobit.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
3
Parte prima
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
4
CAPITOLO 1
CORPORATE GOVERNANCE E COLLEGIO SINDACALE: LA RIFORMA
“DRAGHI”
1.1 Introduzione
Negli ultimi anni la tematica del governo d’impresa è stata oggetto di studio
sotto molteplici punti di vista, a seguito della riconosciuta influenza della struttura
societaria nella definizione di Corporate Governance.
Con il termine Corporate Governance
1
si suole identificare l’insieme di
istituzioni e regole, giuridiche e tecniche, finalizzate alla realizzazione di un governo
dell’impresa che sia corretto, anche ai fini della tutela delle minoranze, oltre che
efficace ed efficiente, comprendendo nella nozione di governo dell’impresa la
gestione e il controllo della stessa.
Quindi è l’insieme dei processi per indirizzare e gestire l’attività aziendale
coniugando: raggiungimento degli obiettivi d’impresa, mantenimento di un
comportamento coerente alle aspettative, trasparenza (responsabilizzazione) nei
confronti degli azionisti e degli stakeholder. Con l’obiettivo di salvaguardare e
incrementare, nel tempo, il valore per gli azionisti e per gli stakeholder.
Il fulcro nevralgico della disciplina della corporate governance è rappresentato
dall’organo di gestione della società, ovvero dalla regolamentazione del Consiglio
d’Amministrazione, con particolare riferimento al suo funzionamento e al modo in cui
si atteggiano i rapporti fra l’organo di gestione e gli altri organi societari.
Pertanto ai fini della corporate governance, assumono rilevanza sia la gestione
dell’impresa affidata all’attività degli amministratori sia il controllo
dell’amministrazione, affidato ad organi (Collegio sindacale, società di revisione,
CONSOB, Banca d’Italia, ISVAP,…) che garantiscono la tutela di tutti gli
stakeholders.
Nelle imprese italiane questo tema ha assunto un grande rilievo sulla spinta di
numerosi fenomeni quali: i processi di privatizzazione che pongono il problema della
ricerca di assetti istituzionali funzionali allo sviluppo duraturo delle imprese; la
1
In questa trattazione ci riferiremo alle società quotate. Per quanto riguarda, invece, le non quotate, il d.d.l. 7123 (c.d. “Testo
Mirone”) costituisce un apprezzabile tentativo per dotare le società di un modello normativo moderno di corporate governance.
Il cuore della disciplina della corporate governance nel Testo Mirone è rappresentato dall’articolo 4, comma 8, il quale si pone
appunto l’obiettivo di delineare le direttive di riforma della normativa relativa all’amministrazione e ai controlli
sull’amministrazione per le società non quotate.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
5
necessità di molte aziende a base familiare di allargare il capitale sociale e quindi di
rinnovare i propri organi di governo per alimentare la crescita; le crisi che hanno
investito grandi gruppi; gli interventi della magistratura che hanno messo in luce gravi
irregolarità e omissioni nel comportamento dei Consigli di Amministrazione
2
.
Tali fenomeni hanno stimolato un ampio dibattito
3
nelle competenti sedi
istituzionali che ha portato alla recente approvazione di alcune innovative regole di
governo societario, destinate a stimolare l’interesse degli investitori verso le aziende
italiane quotate, favorendo dunque in ultima istanza lo sviluppo del nostro mercato
borsistico.
Le nuove disposizioni in materia di Corporate Governance sono state
emendate dal Governo in attuazione di una delega contenuta in una legge comunitaria
per il 1994; ivi si consentiva al legislatore delegato, in sede di riordinamento
normativo delle materie concernenti gli intermediari e i mercati finanziari di
modificare altresì la disciplina relativa alle società emittenti titoli sui mercati
regolamentati, secondo criteri finalizzati a rafforzare la tutela del risparmio e degli
azionisti di minoranza e con particolare riguardo a talune materie per cui più avvertita
era l’esigenza di interventi riformatori; il riferimento concerneva in particolare il
Collegio sindacale, i poteri delle minoranze, i sindacati di voto ed i rapporti di
gruppo
4
.
La delega è stata esercitata attraverso l’emanazione del D.Lgs. 24 febbraio
1998, n. 58, recante il “Testo Unico delle disposizioni in materia di intermediazione
2
I problemi della corporate governance hanno ricevuto un crescente interesse istituzionale anche nel nostro Paese, vedi Luigi A.
Bianchi, Considerazioni introduttive sul Corporate Governance, in Rivista delle società, n. 2-3, 1996, pag. 410.
La Consob già nella sua relazione per l’anno 1995, ha evidenziato l’esigenza di “una riforma in grado di incidere sul governo
della impresa e sul loro controllo dall’interno” sottolineando che dovrebbe trattarsi di una “riforma organica”, avente per oggetto
“l’intero sistema di governo delle imprese piuttosto che singoli aspetti” di tale sistema, considerati isolatamente. Tali concetti
sono stati ripresi dalla Raccomandazione Consob del febbraio 1997.
Anche la Banca d’Italia è intervenuta sull’argomento, nelle “Considerazioni Finali del Governatore” del 31 maggio 1996 infatti,
si legge che “si ritengono necessarie più efficaci forme di governo e di controllo delle società, una piena tutela degli interessi
degli azionisti di minoranza, un’ampia circolazione dell’informazione, lungo le linee della delega conferita dall’Esecutivo per
modificare la disciplina delle società quotate”.
3
I problemi della corporate governance hanno ricevuto un crescente interesse istituzionale anche nel nostro Paese, vedi Luigi A.
Bianchi, Considerazioni introduttive sul Corporate Governance, in Rivista delle società, n. 2-3, 1996, pag. 410.
La Consob già nella sua relazione per l’anno 1995, ha evidenziato l’esigenza di “una riforma in grado di incidere sul governo
della impresa e sul loro controllo dall’interno” sottolineando che dovrebbe trattarsi di una “riforma organica”, avente per oggetto
“l’intero sistema di governo delle imprese piuttosto che singoli aspetti” di tale sistema, considerati isolatamente. Tali concetti
sono stati ripresi dalla Raccomandazione Consob del febbraio 1997.
Anche la Banca d’Italia è intervenuta sull’argomento, nelle “Considerazioni Finali del Governatore” del 31 maggio 1996 infatti,
si legge che “si ritengono necessarie più efficaci forme di governo e di controllo delle società, una piena tutela degli interessi
degli azionisti di minoranza, un’ampia circolazione dell’informazione, lungo le linee della delega conferita dall’Esecutivo per
modificare la disciplina delle società quotate”.
4
L’art. 21 comma 4, L. 6 febbraio 1996 n. 52, che ha conferito delega al governo, recita: “In sede di riordinamento normativo
delle materie concernenti gli intermediari, i mercati finanziari e mobiliari e gli altri aspetti comunque connessi potrà essere altresì
modificata la disciplina relativa alle società emittenti titoli sui mercati regolamentati, con particolare riferimento al Collegio
Sindacale, ai poteri delle minoranze, ai sindacati di voto e ai rapporti di gruppo, secondo criteri che rafforzino la tutela del
risparmio e degli azionisti di minoranza”. Si tratta di una previsione legislativa che tiene conto dell’ampio dibattito svoltosi anche
a livello comunitario sulla corporate governance, a tale proposito si veda il Green Paper redatto dalla Commissione Europea sul
tema: “Il ruolo, la posizione e la responsabilità del revisore legale dei conti dell’Unione Europea”, luglio 1996.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
6
finanziaria”. Tale provvedimento, frutto del lavoro della Commissione ministeriale
presieduta da Mario Draghi, contiene innanzitutto disposizioni tese ad armonizzare la
normativa di recepimento delle direttive comunitarie con la disciplina già vigente in
tema di intermediari e di mercati finanziari; quindi dedica notevole spazio alle
innovazioni che incidono direttamente sulle società quotate
5
.
Fra le molte novità in materia societaria recate dal decreto legislativo quelle
forse più rilevanti riguardano l’organo sindacale delle società con azioni quotate. Con
gli artt. 148-154 del D.Lgs. 24 febbraio 1998, n.58 il Collegio sindacale delle società
quotate si configura organo profondamente diverso rispetto a quello delle società non
quotate, particolarmente per le funzioni che gli sono attribuite, il cui baricentro viene
nettamente spostato dal controllo legale dei conti a quello del controllo del sistema e
della corretta amministrazione. Sono così privilegiate la vigilanza sull’osservanza
della legge e dell’atto costitutivo, sul rispetto dei principi di corretta amministrazione,
sull’adeguatezza della struttura organizzativa della società, del sistema di controllo e
del sistema amministrativo contabile, sui rapporti tra controllante e controllata
6
.
Altri principi di corporate governance sono stati specificati a livello di
normativa secondaria, in particolare dai regolamenti attuativi emanati
successivamente dalla Consob. Per la prima volta, nella legislazione italiana,
l’espressione “sistema di controllo interno” assume uno specifico ruolo nell’ambito
della struttura organizzativa delle società e, in particolare, le attività della funzione di
controllo interno vengono svolte in modo autonomo e indipendente.
Un ulteriore e fondamentale contributo nel contesto italiano si è avuto con il
Codice di Autodisciplina, per le società quotate, emanato nell’ottobre 1999 dalla
Borsa Italiana S.p.A..
Recentemente si è avuta un’ulteriore conferma dell’importanza dei principi di
corporate governance, con la grande enfasi data alla nascita del segmento STAR
(Segmento Titoli Alti Requisiti), operativo nella primavera del 2001. La decisione
rappresenta per Piazza Affari una rivoluzione notevole, dato che vengono premiate le
società che meglio applicano alcune regole di base di corporate governance.
5
F. Bonomo, le nuove regole di Corporate Governance in Impresa c.i. n. 5 del 1998 pag. 1007.
6
R. Alessi, Corporate Governance in Le società n. 5/1998.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
7
1.2 Doveri del Collegio Sindacale
Il Collegio sindacale pertanto, come peraltro da tempo raccomandato dalla
Consob
7
, perde le proprie prerogative di controllore contabile, funzione demandata in
toto alle società di revisione, mentre è chiamato ad un più significativo vaglio del
controllo gestionale. Esso quindi nelle società quotate non sarà più chiamato alle
verifiche sulla regolare tenuta della contabilità sociale, sulla consistenza della cassa e
sull’esistenza dei valori dei titoli di proprietà sociale o da questa ricevuti ad altro
titolo, mentre sarà chiamato a verificare che non siano compiute operazioni non
giustificabili in base all’oggetto sociale o comunque tali da arrecare pregiudizio alla
situazione economica e patrimoniale della società. In altri termini vengono ridefiniti i
doveri del Collegio sindacale, che per certi aspetti vengono rafforzati ma soprattutto
vengono ben differenziati rispetto a quelli della società di revisione evitando quelle
sovrapposizioni di funzioni che spesso in passato venivano lamentate nell’ambito
delle società quotate.
Nella loro nuova veste i sindaci, oltre che vigilare sull’osservanza della legge
e dell’atto costitutivo e sui principi della corretta amministrazione, doveri da sempre
sostanzialmente previsti dall’art. 2403 del codice civile, dovranno verificare che la
struttura organizzativa della società sia idonea alla realizzazione degli atti di gestione
e che il sistema di controllo interno sia idoneo a farne apprezzare i caratteri di
economicità e redditività.
La verifica della adeguatezza della struttura organizzativa avrà quale scopo
primario il monitoraggio del grado di separazione tra le diverse funzioni di gestione,
custodia, registrazione e controllo, di coerenza generale dell’impianto organizzativo,
di coerenza del sistema delle deleghe. Attività che avrebbero potuto comunque essere
ricomprese nel più generale obbligo di vigilanza circa l’adeguatezza del sistema di
controllo interno. Per comprendere la portata di tale disposizione è opportuno
ricordare la definizione generalmente accettata di Sistema di Controllo Interno così da
evidenziare maggiormente il processo valutativo che deve condurre il Collegio alla
formulazione di una ragionevole certezza circa l’affidabilità di tali sistemi operanti
nella realtà societaria oggetto di analisi.
7
La Consob con riferimento ai Consigli di amministrazione ed ai Collegi Sindacali delle società quotate e alle società di
revisione iscritte all’Albo Consob, ha manifestato l’esigenza di adottare “comportamenti ritenuti idonei in particolari circostanze
a consentire che l’azione di controllo di detti organi e soggetti persegua la massima efficacia e trasparenza nell’ottica della tutela
dei patrimoni sociali e delle minoranze azionarie”. Raccomandazione Consob DAC/RM/ 97001574, del 20 febbraio 1997,
Lettera Accompagnatoria, pag. 2 in “Il fisco” n. 12/1997 pagg. 3144 e seguenti.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
8
Il sistema di controllo interno è costituito dalla pianificazione organizzativa e
dall’insieme di strumenti e misure coordinate poste in essere dal management per
conseguire, con ragionevole certezza, i seguenti obiettivi: affidabilità dei dati
contabili, efficacia ed efficienza di tutte le operazioni aziendali, il rispetto delle
strategie nonché delle pertinenti leggi e regolamenti. Fra i principali strumenti del
sistema di controllo interno sono da ricordare: le procedure, le rilevazioni contabili,
extracontabili, statistiche, la programmazione, il budget ed il controllo di gestione.
La responsabilità dell’implementazione di tali strumenti di controllo è quindi
di ogni singolo manager responsabile del proprio business; la verifica della
adeguatezza in termini di efficacia ed efficienza dell’architettura dei controlli posti in
essere è, oggi, posta anche in capo al sindaco. Soprattutto nelle aziende di grandi
dimensioni, considerata la complessità dei processi da monitorare e la specificità del
ruolo, tale attività è svolta dalle funzioni di Internal Auditing , funzioni poste
solitamente nell’organigramma aziendale alle dirette dipendenze del vertice aziendale
e composte da professionals aventi una specifica competenza in tema di controlli
interni.
Non può non sottolinearsi che aver posto un simile dovere di vigilanza in capo
al Collegio sindacale richiederà probabilmente l’acquisizione di ulteriori competenze
professionali finalizzate al ruolo da svolgere
8
. Forse consapevole di ciò il legislatore
nell’art. 150 del Testo Unico, con l’intento di alimentare un qualificato flusso
informativo, ha disposto che coloro che sono preposti al controllo interno riferiscano
anche al Collegio sindacale di propria iniziativa o su richiesta di uno solo dei sindaci.
L’espressione usata chiama in causa proprio gli organi di Internal Auditing. Sarà
interessante verificare come, nella pratica, si attuerà il rapporto tra una funzione
interna che si pone al servizio del Top Management al quale occorrono dei “sensori”
che rilevino le aree di rischio fonti di possibili problematiche da fronteggiare
tempestivamente ed il Collegio sindacale, che sebbene organo sociale è comunque
considerato “terzo” rispetto al corpo aziendale
9
.
Ultima considerazione attiene alla valutazione di opportunità che talune realtà
aziendali possono essere indotte a fare circa l’introduzione, laddove non già operante,
della funzione Internal Auditing. Secondo taluni autori, dalla commentata norma
discenderebbe addirittura un vero e proprio obbligo alla istituzione della funzione che
8
Ciò, peraltro, accentuerà l’esigenza di collegi sindacali al cui interno siano presenti professionalità sia di matrice giuridico-
fiscale che economico-aziendale.
9
G. Biacca “Italia Oggi” del 7 maggio 1998, breve commento su questo tema.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
9
possa così fungere da referente nel rapporto tra l’organo amministrativo e l’organo di
controllo sindacale
10
.
Dopo aver così puntualizzato e sensibilmente arricchito la funzione di
sorveglianza dell’attività gestoria, ai sindaci viene quindi attribuito un controllo di
sistema
11
, collegato sempre a funzioni di alta vigilanza. Come accennato essi debbono
infatti verificare l’adeguatezza della struttura organizzativa, di controllo interno ed
amministrativo contabile.
Il T.U. viene così a rivalutare significativamente il c.d. ispettorato interno
(Internal Auditing), ovvero quella funzione costituita nell’ambito aziendale ed
incaricata di effettuare un quotidiano controllo sulla correttezza amministrativa, il cui
efficace funzionamento si rimette adesso alla vigilanza dei sindaci.
Tale struttura è invero nuova per il diritto commerciale comune, ma non per il
diritto bancario e degli intermediari finanziari in genere. Qui la direzione
dell’ispettorato interno è ben conosciuta ed è da tempo tenuta a dialogare con il
Collegio sindacale
12
.
L’emersione adesso di tale struttura anche nell’ambito della disciplina delle
società quotate contribuisce senz’altro ad arricchire la gamma di controlli
sull’amministrazione, esonerando i sindaci da un controllo analitico degli atti ed
indirizzandoli piuttosto verso un controllo dell’adeguatezza degli assetti e delle
procedure organizzative: un “controllo dei controlli” appunto.
Al Collegio sindacale viene altresì richiesto di valutare e vigilare
sull’adeguatezza del sistema amministrativo contabile posto in essere dalla società
nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di
gestione, compito per il quale i sindaci possono avvalersi anche individualmente, ma
sotto la propria responsabilità e a proprie spese, di loro dipendenti e ausiliari (art.
151, comma 3).
10
B. Quatraro, Guida al Diritto, n. 19 del 16 maggio 1998: “Concordiamo con S. Fortunato nel ritenere che la lettera dell’art. 149
sembra delimitare la funzione del Collegio Sindacale delle società quotate all’alta vigilanza e quindi non più e non tanto sulle
singole operazioni poste in essere dall’organo amministrativo. Nella grande impresa, insomma, non sarebbe realistico pretendere
dai sindaci un controllo pressoché quotidiano e analitico dell’attività gestoria, come sembra assumere la disciplina di diritto
comune”.
Vedasi anche la Relazione conclusiva della Commissione Scientifica del Consiglio Nazionale dei Dottori Commercialisti, in
“Italia Oggi”, pag. 57 del 9 dicembre 1997. Ancora sul tema: F. Dezzani, in “Il fisco” n. 18/1998, pag. 68, sempre citando S.
Fortunato: “La correttezza è conformità a regole, pur non espressamente legificate, di buona amministrazione, regole che
attraverso il principio di diligenza professionale assumono rilevanza giuridica”.
11
P. G. Marchetti, Corporate Governance e disciplina societaria vigente, in Riv. Soc., 1997, pag. 199.
12
Cfr. Istruzioni della Banca d’Italia 30 luglio 1996 e la deliberazione del Comitato Interministeriale per il credito e il risparmio
del 2 agosto 1996.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
10
Tale adeguatezza appare peraltro condizione sine qua non, per la
significatività delle procedure di revisione contabile poste in essere dalla società di
revisione, soprattutto in relazione al giudizio a cui queste ultime sono chiamate
riguardo alla formazione del bilancio di esercizio
13
.
Affinché poi tali controlli non siano fini a se stessi, ma strumenti che insieme
realizzino un sistema di sicurezza ed efficienza, l’art. 150 dispone che sindaci e
revisori si scambino i dati e le informazioni rilevanti per l’espletamento dei rispettivi
compiti. Il giudizio sulla rilevanza degli elementi da comunicare è rimesso dalla legge
al prudente criterio discrezionale dei singoli organi. Per rendere più incisiva la
partecipazione del Collegio alle scelte societarie, viene sancito l’obbligo e non la
facoltà fino ad oggi prevista dall’art. 2405 comma 1 del codice civile, di assistere
anche alle riunioni del Comitato Esecutivo oltre che a quelle dell’Assemblea e del
Consiglio di Amministrazione. L’art. 150 del nuovo decreto amministrativo prevede
altresì che gli amministratori informino tempestivamente i sindaci, secondo le
modalità previste nell’atto costitutivo, sulle operazioni di maggior rilievo economico,
finanziario e patrimoniale effettuate dalla società, in particolare quelle da cui possono
emergere situazioni di conflitti di interesse per gli amministratori. Tali informazioni
avranno periodicità almeno trimestrale.
1.3 La relazione dei sindaci al Bilancio
Meno incisivi rispetto al passato risultano invece i controlli richiesti al
Collegio sul Bilancio d’esercizio. A riguardo infatti, pur conservando la possibilità di
esprimere un proprio parere in merito all’approvazione del più importante documento
societario, i sindaci non saranno più tenuti a riferire all’Assemblea sui criteri utilizzati
per la sua formazione. In particolare, non viene più richiesto al Collegio di esprimersi
sulla regolare tenuta della contabilità sulla quale sarà la società di revisione a dover
espletare un controllo periodico nel corso dell’esercizio e non solo in occasione del
“giudizio sul bilancio”.
Tra le funzioni sottratte al Collegio sindacale e demandate alla società di
revisione è opportuno ricordare le seguenti:
13
“In altri termini…”, scrive a riguardo Caratozzolo, “…con la previsione della valutazione del sistema di controllo interno,
sembra che il legislatore abbia voluto trasformare il Collegio Sindacale in una sorta di supervisore tecnico dei risultati della
revisione contabile effettuata dalla società di revisione e di longa manus, in questo campo, dalla Consob, alla quale esso ha
l’obbligo di comunicare – senza indugio – le irregolarità riscontrate nell’attività di vigilanza”; in “Il Giornale dei Dottori
Commercialisti” n. 3/1998, pag 14.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
11
™ il parere in merito alle deroghe ai principi di valutazione in casi eccezionali, data
la mancata applicazione per le società quotate, dell’art. 2429, comma 2, del codice
civile, sancita dall’art. 154 del nuovo testo unico;
™ i pareri relativi alla capitalizzazione dei costi di impianto e di ampliamento, dei
costi di ricerca sviluppo e pubblicità, nonché sulla iscrizione nell’attivo del
bilancio dell’avviamento eventualmente acquisito dalla società a titolo oneroso
(art. 2426 del codice civile, commi 5 e 6);
™ il parere sulla deliberazione del Consiglio d’Amministrazione e sul prospetto
contabile redatto dagli amministratori stessi in merito alla situazione contabile
della società all’atto della distribuzione di acconti su dividendi (art. 2433-bis del
codice civile);
™ nei conferimenti di beni in natura o di crediti nella costituzione della società, il
controllo entro sei mesi dalla costituzione, delle valutazioni contenute nella
relazione giurata dell’esperto designato dal Presidente del Tribunale;
™ il parere in merito alla congruità del prezzo di emissione delle azioni, nel caso in
cui la società proponga un aumento di capitale sociale con esclusione o
limitazione del diritto d’opzione.
Ciò non significa che il Collegio non debba ugualmente esprimere,
all’Assemblea convocata annualmente per l’approvazione del Bilancio, un proprio
parere o esprimere proposte in merito al Bilancio e alla sua approvazione, ma
semplicemente che i contenuti della relazione stessa debbano risultare parzialmente
difformi da quelli sino ad oggi utilizzati dai sindaci nelle relazioni ai bilanci.
Nella loro relazione, con l’entrata in vigore del T.U. 58/1998, i sindaci delle
società quotate evidenziano all’Assemblea:
1. i risultati dell’attività di vigilanza svolta ai sensi dell’art. 149 e le eventuali
irregolarità riscontrate;
2. eventuali rilevanti omissioni o irregolarità da parte degli amministratori,
riscontrate nell’ambito delle informazioni periodiche che gli amministratori sono
tenuti a fornire ai sindaci, ai sensi dell’art. 150 comma 1, rilevate in base alle
apposite segnalazioni della società di revisione, o rilevate direttamente dai sindaci
avvalendosi dei poteri propri del Collegio statuiti dall’art. 151, comma 1;
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
12
3. gli eventuali fatti censurabili riscontrati a seguito della denuncia dei soci, ai sensi
dell’art. 2408 del codice civile, così come modificato, per le società quotate,
dall’art. 128, comma 1, del testo unico
14
;
4. eventuali proposte in merito al Bilancio e alla relazione sulla gestione redatta dagli
amministratori, pareri in merito alla distribuzione degli utili o alla copertura della
perdita e l’invito ad approvare o meno il bilancio.
Ulteriore novità di rilievo rispetto alla disciplina precedente è la funzione,
svolta dal Collegio Sindacale, di prezioso collegamento fra la società quotata e la
Consob. Il Collegio è infatti tenuto a riferire senza indugio alla Consob le irregolarità
riscontrate nell’attività di vigilanza e a questo fine è tenuto a trasmetterle i verbali
delle riunioni e degli accertamenti compiuti (art. 149, comma 3). Le irregolarità
rilevanti ai fini delle suddette comunicazioni riguardano essenzialmente quelle
attinenti al funzionamento della società e cioè quelle relative alle operazioni sul
capitale, alla redazione dei bilanci, alla distribuzione di utili, ecc., atti questi rispetto
ai quali la Consob ha poteri di intervento.
1.4 Poteri del Collegio Sindacale
Il Collegio Sindacale viene finalmente fornito di una serie di poteri, che da
tempo venivano invocati quali mezzi di efficienza del controllo e che si auspica siano
estesi al più presto anche ai sindaci operanti nelle società ordinarie.
Viene confermata la norma secondo cui i sindaci, collegialmente o
individualmente, possono chiedere notizie agli amministratori sull’andamento delle
operazioni sociali o su determinati affari e possono procedere in qualsiasi momento ad
atti di ispezione e controllo. Le ispezioni e i controlli possono riguardare la complessa
attività sociale, da quella puramente formale e giuridica a quella direttamente
produttiva ed economica; possono quindi svolgersi sia negli stabilimenti e nei
magazzini, sia sui libri sociali e su quelli contabili.
E’ del tutto nuova la norma (art. 151, comma 2, del testo unico) con cui si
autorizzano i sindaci, previa comunicazione al presidente del Consiglio di
14
Nel comma 1 dell’art. 128 si legge “L’art. 2408, comma 2 del Codice Civile si applica quando la denuncia è fatta da tanti soci
che rappresentano almeno il 2% del capitale sociale”. Nelle società di capitali non quotate invece, perché il Collegio sia
richiamato ad indagare senza ritardo sui fatti denunciati è necessario che la denuncia sia fatta da tanti soci che rappresentino
almeno un ventesimo del capitale sociale.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
13
Amministrazione, di convocare l’Assemblea dei soci
15
, ipotesi fino ad oggi per lo più
avversata in dottrina e giurisprudenza
16
. La stessa norma prevede la possibilità per il
Collegio di convocare il Consiglio di Amministrazione o il Comitato Esecutivo
17
; la
sua opportunità è indiscutibile soprattutto pensando ai casi in cui l’invito degli
amministratori alla riflessione sulla importanza di alcune attività compiute o da
compiere sia utile anche al fine di evitare l’assunzione di eventuali iniziative di
correzione
18
.
Altra novità è costituita dalla norma con cui si autorizzano i sindaci ad
impiegare i dipendenti della società per l’espletamento delle loro funzioni, fornendo
loro così un complemento strumentale non dispendioso e di sicura utilità. Viene
confermata la facoltà dei sindaci di utilizzare propri dipendenti e ausiliari per valutare
soltanto l’adeguatezza e l’affidabilità del sistema amministrativo contabile,
sostenendone l’onere delle spese; gli accertamenti eseguiti devono però risultare dal
libro delle adunanze e delle deliberazioni del Collegio Sindacale.
Infine, se il Collegio ha fondato sospetto di gravi irregolarità
nell’adempimento dei doveri degli amministratori, può denunciare i fatti al Tribunale
ai sensi dell’art. 2409 del codice civile. Da “una legittimazione passiva unitamente
agli amministratori, secondo il dettato dell’art. 2409 del codice civile, si passa dunque
ad una legittimazione attiva esercitabile direttamente dal Collegio Sindacale”
19
.
15
Nell’ambito del codice civile tale potere è circoscritto alle ipotesi di omissione di convocazione dell’Assemblea da parte degli
amministratori (art. 2406 del codice civile) e cessazione dell’amministratore unico o di tutti gli amministratori (art. 2386, comma
4 , del codice civile).
16
Sul tema in giurisprudenza si veda tra le altre Cass. 7 febbraio 1972, n. 296, in “Giust. Civ.”, 1972, I, pag. 688.
17
A tale proposito va sottolineato che i sindaci decadono dal proprio ufficio se, senza giustificato motivo, non assistono non solo
– come previsto dall’art 2405 del codice civile – a due adunanze del Consiglio di Amministrazione e alle Assemblee ma, in base
al nuovo disposto di cui all’art. 149, comma 2, del testo unico, anche a due riunioni del Comitato Esecutivo.
18
Cfr. V. Salafia, Il Collegio Sindacale nelle società quotate in Le Società n. 3/1998.
19
Cfr. G.Biacca, L’ambiente di controllo nelle società quotate in Impresa c.i. n. 7-8/1998.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
14
CAPITOLO 2
IL SISTEMA DI CONTROLLO INTERNO
2.1 Definizione del Sistema di Controllo Interno (SCI)
Al Vertice aziendale competono crescenti responsabilità che derivano da
precisi obblighi e doveri: la redazione del Bilancio d'esercizio in modo chiaro e
veritiero, la vigilanza sull'andamento della gestione, la salvaguardia dell'integrità del
patrimonio aziendale e specifici adempimenti previsti da altre norme civili, fiscali e
previdenziali. L'adempimento a tali obblighi e doveri sfugge al diretto controllo del
Vertice stesso ed è per questo che, successivamente all'espansione delle dimensioni e
alla crescente complessità dell'attività d'impresa, si è delegata l'esecuzione diretta
delle operazioni gestionali alle diverse funzioni aziendali e divisioni
20
. Pur avendo
delegato la realizzazione delle azioni volte al conseguimento degli obiettivi, l'Alta
Direzione non rinuncia a controllare quanto è stato delegato. Vi è infatti una stretta
correlazione tra il sistema di controllo interno di una azienda ed il governo della
stessa, secondo i principi di integrità, trasparenza e legalità ispiratori delle moderne
filosofie di Corporate Governance. In particolare il governo societario può essere
considerato quale primo contesto organizzativo aziendale ed il Controllo Interno il
mezzo principale per il suo funzionamento.
Per ottimizzare il governo dell’azienda è pertanto basilare una definizione
chiara e sostanziale delle caratteristiche del sistema di controllo interno che si erge a
fondamento sul quale costruire un sistema di controllo societario moderno ed efficace
che permetta alla società di avere una migliore reputazione ed un migliore sviluppo
futuro
21
.
Sorge così, l'esigenza di predisporre e far funzionare un Sistema di Controllo
Interno (SCI) che consenta di accertare se le azioni poste in essere sono coerenti con
gli obiettivi aziendali, in modo da poter anche adottare tempestivamente le opportune
modifiche.
20
Chi ha la responsabilità della gestione concentra perciò, la propria attività sulla pianificazione degli obiettivi e sull'esercizio di
un ruolo di guida, coordinamento e supervisione dell'intera struttura organizzativa.
21
G. Nencioni, G. Cimarosti, Integrazione tra il sistema di controllo interno ed il governo d’azienda in Il controllo legale dei
conti n. 1 del 1998.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
15
La presenza di un buon sistema di controllo interno, è l'unico strumento che ha
un reale carattere preventivo, in grado di controllare l'orientamento dell'azienda verso
gli obiettivi strategici fissati
3
, prevenendo e contrastando i rischi esterni ed interni che
possono limitare il loro raggiungimento.
Anche in Italia l’espressione ‘controllo interno’ assume significati diversi per
soggetti diversi, a seconda degli obiettivi che questi vogliono realizzare. Cercheremo
pertanto di illustrare brevemente qui di seguito, le definizioni prevalenti negli ambiti
professionali che si interessano di tematiche legate al controllo.
Un documento di interesse in merito all’attività del Collegio Sindacale è
costituito dai Principi di comportamento del Collegio Sindacale in vigore dal 1°
gennaio 1997 i quali, nella norma 2.5 relativa alla “Valutazione del sistema di
controllo interno e dell’organizzazione contabile della società” al comma 2 b,
precisano che “il sistema di controllo interno è definito come l’insieme delle direttive,
delle procedure e delle tecniche contabili ed extracontabili adottate dalla società allo
scopo di garantire la conformità dell’attività aziendale all’oggetto sociale, la
salvaguardia del patrimonio e l’attendibilità dei dati dell’informazione sociale”
4
.
Il documento n. 3 dei Principi di Revisione fornisce una definizione analoga
5
e
puntualizza inoltre che un sistema di controllo interno può fornire solo una
realizzazione ma non assoluta, che gli obiettivi posti dal sistema siano realizzati in
quanto sussistono limitazioni, quali la possibilità di errori dovuti anche a negligenze e
incompetenza del personale, la possibilità di errori di stima, la possibilità della
direzione di aggirare il sistema ecc.
3
P. Braccini, L. Ceccolini, Il Sistema di Controllo Interno aziendale. Tecniche e strumenti di costruzione, analisi e valutazione
per imprenditori, manager, sindaci e revisori, Rimini, Maggioli, 1997,pag.27e31
4
Consiglio nazionale dei Dottori Commercialisti e Consiglio nazionale dei Ragionieri : I Principi di comportamento del collegio
sindacale, Giuffré, 1996.
5
Il Principio di Revisione n. 3 del Consiglio Nazionale dei Dottori Commercialisti e Consiglio Nazionale dei Ragionieri
definisce il sistema di controllo interno come “l’insieme delle direttive, delle procedure e delle tecniche adottate dall’azienda allo
scopo di raggiungere I seguenti obiettivi:
™ la conformità dell’attività degli organi aziendali all’oggetto sociale che l’impresa si propone di conseguire e alle direttive
ricevute;
™ la salvaguardia del patrimonio aziendale;
™ l’attendibilità dei dati.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
16
Un ruolo di rilievo nell’esame e nella valutazione dell’adeguatezza e
dell’efficacia del sistema di controllo interno è anche svolta dai revisori interni. Il
volume sugli Standard per la pratica professionale dell’Internal Auditing pubblicato a
cura dell’Associazione Italiana degli Internal Auditors nel 1995, definisce il Sistema
di Controllo Interno come il processo mediante il quale l’organizzazione ottiene una
ragionevole sicurezza di poter conseguire i seguenti obiettivi: efficacia ed efficienza
delle operazioni; affidabilità delle informazioni e dei bilanci; salvaguardia del
patrimonio; conformità alle vigenti leggi e regolamenti. Di particolare interesse è la
definizione che gli Standard danno al termine “controllo”. Questo è inteso come
“processo mediante il quale l’organizzazione ottiene una ragionevole certezza di poter
conseguire i seguenti obiettivi: efficacia ed efficienza delle operazioni, affidabilità
delle informazioni e dei bilanci, salvaguardia del patrimonio, conformità alle vigenti
leggi e regolamenti”. In definitiva gli elementi essenziali del concetto di controllo
sono gli obiettivi e le azioni intraprese per raggiungerli. Il controllo interno dunque,
riguarda tutti gli aspetti delle attività svolte dall’azienda (aspetti gestionali, aspetti di
legittimità delle operazioni, aspetti amministrativo-contabili relativi all’attendibilità
delle informazioni prodotte); il controllo interno è uno strumento per realizzare
obiettivi aziendali ed è quindi un mezzo per conseguire un fine; per realizzare gli
obiettivi sono necessarie azioni o interventi che consentono l’avanzamento verso i
traguardi stabiliti. Il controllo non riguarda solo gli organi o le strutture preposte alle
verifiche quali il Collegio Sindacale, i revisori interni ed esterni, ma riguarda tutti
incluso il Consiglio d’Amministrazione, i dirigenti e il personale, dai livelli più alti a
quelli più bassi. Il controllo diviene efficace se tutti sono convinti che esso è parte
integrante della loro attività e non un onere aggiuntivo. Il controllo interno infatti non
è costituito unicamente da tecniche, procedure, meccanismi organizzativi, ma
principalmente da processi svolti da individui che operano a tutti i livelli della
struttura aziendale; anche per tale motivo il controllo non può assicurare in assoluto
che gli obiettivi attesi siano realizzati, può solo fornire una sicurezza ragionevole che
ciò si verifichi.
Nonostante l’assenza di una definizione univoca ed omnicomprensiva di
controllo interno a causa del diverso utilizzo del termine in Italia da parte della
dottrina aziendalistica, della giurisprudenza e delle leggi e regolamenti, è tuttavia
possibile pervenire ad una definizione che sia quantomeno rappresentativa di come
dovrebbe essere strutturato per essere utile all’impresa, il sistema di valutazione e
monitoraggio delle attività aziendali.
Tesi di Laurea di Giulio Saitta: “L’Auditing dei sistemi informativi con la metodologia CobiT 3. Il caso Olivetti.”
17
Figura 2.1 – Il Sistema di Controllo Interno
Fonte: D. Lgs. 58/98; Codice di Autodisciplina Borsa Italiana S.p.A.; C.N.D.C.: “Guida
operativa sulla vigilanza del sistema di controllo interno”.
Basandosi quindi su correnti aziendalistiche aggiornate e recenti studi
effettuati
6
, il controllo interno può essere definito come un processo, svolto dal
Consiglio di Amministrazione, dai dirigenti e da altri operatori strettamente connessi
con la struttura aziendale, teso al conseguimento di una sicurezza in termini di:
⌢ efficacia ed efficienza delle attività gestionali (processi operativi);
⌢ attendibilità delle informazioni contabili e gestionali (informativa societaria);
⌢ conformità dei comportamenti aziendali alle leggi ed ai regolamenti in vigore.
6
Ci si riferisce, in particolare, allo studio effettuato dalla Treadway Commission e dalla Coopers & Lybrand, al fine di stabilire
un modello di riferimento di Sistema di Controllo Interno (modello CoSo), in rapporto al quale le aziende ed altre organizzazioni
possono valutare i propri meccanismi di controllo e decidere come migliorarli. Comitato Scientifico del Progetto Corporate
Governance per l'Italia. Il Sistema di Controllo Interno. Un progetto integrato di riferimento per il governo d'azienda, Milano, Il
Sole 24 Libri, 1997.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
