Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo dell'azienda attraverso l'individuazione, valutazione, monitoraggio, misurazione e mitigazione/gestione di tutti i rischi d'impresa, coerentemente con il livello di rischio scelto/accettato dal vertice aziendale. Il fine ultimo del SCI è il perseguimento di tutti gli obiettivi aziendali.
Definizione della Banca d'Italia
La Banca d'Italia (nelle Istruzioni di Vigilanza) definisce il sistema di controllo interno come l'insieme di:
- Regole. Ruoli e responsabilità: organigramma → funzionigrammi → mansionario. Chi fa, quando e come. La funzione dei controlli è quella di realizzare i vari ruoli in modo oggettivo, codificando gli attori di ogni processo aziendale e comportamenti attesi.
- Strutture Organizzative o funzioni o sistemi (anche informativi).
- Procedure/processi. Viste più o meno in dettaglio, le procedure sono contenute nei processi: processi → procedure → fasi. Cosa fare. Codifica dei meccanismi di interazione degli accadimenti aziendali o insieme delle azioni conseguenti, esempio la catena di montaggio.
Gli elementi sopra riportati sono funzionali a garantire:
- rispetto/supporto delle strategie aziendali o governance operativa;
- salvaguardia del valore aziendale dalle perdite;
- affidabilità/integrità del sistema informativo;
- conformità a leggi, normative di vigilanza, piani, regolamento e procedure;
- oggettività dei processi decisori;
- coerenza/adattamento di comportamenti e org.ni per il rispetto delle strategie, del contesto operativo e di mercato;
- funzionalità della struttura/processi;
- regolarità della gestione.
Definizione del COSO Report
Il COSO Report (Committee of Sponsoring Organizations) emanato dalla Treadway Commission[1] definisce il SCI come l'insieme di:
- A) Ambiente aziendale di controllo: sensibilità dei vertici aziendali verso la definizione degli strumenti principali costituenti: formalizzazione di ruoli, compiti e responsabilità (poteri delegati, regolamenti interni, funzionigrammi, separatezza funzionale); sistema di comunicazione interna (scadenzatura delle informazioni necessarie e tempistiche di produzione di flussi e report, tempestività delle informazioni direttive, sensibilità e ricettività da parte delle strutture operative). Valutandone la coerenza con le strategie e gli obiettivi aziendali.
- B) Processo di gestione dei rischi: processo continuo di identificazione e analisi di quei fattori endogeni ed esogeni che possono pregiudicare il raggiungimento degli obiettivi aziendali, al fine di determinare come questi rischi possono essere gestiti (identificazione, misurazione e monitoraggio).
- C) Adeguatezza della struttura dei controlli: modalità con cui vengono disegnati, strutturati ed effettivamente eseguiti i controlli ai diversi livelli organizzativi (di linea/operativi, gerarchico-funzionali, sulla gestione dei rischi e di revisione interna), necessari a garantire al vertice aziendale la corretta applicazione delle direttive impartite.
- D) Sistema informatico: valutazione della integrità e della completezza dei dati e delle informazioni, al fine di garantire la gestione e controllo di tutti i processi e attività aziendali.
- E) Attività di monitoraggio: capacità dei referenti aziendali (risk owner, funzioni di gestione dei rischi, IA, vertici aziendali) di presidiare in modo continuativo il SCI, nonché di identificare e realizzare gli interventi migliorativi necessari a risolvere le criticità rilevate, assicurando mantenimento, aggiornamento e miglioramento del SCI.
Note
Altri progetti