SCIGR – COSO Framework

Il Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR) è l’insieme delle regole, delle procedure e delle strutture organizzative approntate per il governo dell’azienda e per la gestione dei rischi.
Gli amministratori sono responsabili del SCIGR, che qualora non fosse adeguato alla natura e alle dimensione dell’impresa determinerebbe un deficit organizzativo rivelante. E’ necessario quindi identificare una best practice alla quale fare riferimento per valutare l’adeguatezza del proprio SCIGR.

Il più autorevole tra i modelli di controllo interno a livello internazionale è il “COSO Framework” emesso dal
Committee of Sponsoring Organizations of the Treadway Commission.
il COSO Framework definisce il Sistema di Controllo Interno come un processo messo in atto dal Consiglio di Amministrazione, dal management e da tutto il personale, volto a fornire una ragionevole garanzia sul raggiungimento dei seguenti 3 OBIETTIVI:

  • efficacia ed efficienza delle attività operative (Operations);
  • attendibilità delle informazioni interne ed esterne, finanziarie e non finanziarie (Reporting);
  • conformità alle leggi e alle norme vigenti cui l’impresa è soggetta (Compliance).

Il COSO Framework propone una struttura concettuale organizzata in 5 COMPONENTI di controllo:

  1. Ambiente di Controllo (Control Environment),
  2. Valutazione del Rischio (Risk Assessment),
  3. Attività di Controllo (Control Activities),
  4. Informazione e Comunicazione (Information & Communication),
  5. Attività di Monitoraggio (Monitoring Activities),

e risulta efficace se, con riferimento a uno o più obiettivi, tutte e cinque le componenti esistono nel disegno strategico, risultano implementate nel sistema aziendale e funzionano in maniera integrata nell’operatività giornaliera.

Il COSO Framework prevede una relazione diretta tra le seguenti tre dimensioni:

  • Obiettivi (operativi, di reporting, di conformità), sono ciò che l’organizzazione mira a raggiungere, in linea con la mission e la visione strategica;
  • Componenti, sono ciò che è necessario per il raggiungimento degli obiettivi;
  • Struttura organizzativa, intesa nell’ampia accezione di gruppo, divisioni, società, unità operative o funzioni e processi di business, quali vendite, acquisti, produzione, marketing, a cui si applica il Sistema di Controllo Interno.

Alle 5 componenti sono attribuiti 17 PRINCIPI, che si applicano ad ogni categoria di obiettivi:

AMBIENTE DI CONTROLLO (CONTROL ENVIRONMENT)
Principio n. 1 – L’organizzazione dimostra il proprio impegno rispetto ai valori etici e all’integrità
Principio n. 2 – Il Consiglio di Amministrazione è indipendente rispetto al management ed esercita
la propria supervisione sullo sviluppo e sull’implementazione del Sistema di controllo interno e di
gestione dei rischi
Principio n. 3 – Il management definisce, sotto la supervisione del Consiglio di Amministrazione, la struttura organizzativa, le linee di riporto, i livelli autorizzativi e le responsabilità funzionali al fine di perseguire gli obiettivi aziendali
Principio n. 4 – L’organizzazione dimostra il proprio impegno ad attrarre, sviluppare e trattenere risorse competenti in linea con il conseguimento degli obiettivi aziendali
Principio n. 5 – L’organizzazione, nel raggiungimento degli obiettivi aziendali, ritiene i singoli individui responsabili per la parte di Sistema di controllo interno e di gestione dei rischi di propria competenza

VALUTAZIONE DEL RISCHIO (RISK ASSESSMENT)
Principio n. 6 – L’organizzazione esplicita con sufficiente chiarezza i propri obiettivi, consentendo
l’identificazione e la valutazione dei rischi ad essi legati
Principio n. 7 – L’organizzazione identifica i rischi connessi al conseguimento degli obiettivi aziendali e ne determina le modalità di gestione
Principio n. 8 – L’organizzazione prende in considerazione potenziali frodi nel valutare i rischi di
conseguimento dei propri obiettivi aziendali
Principio n. 9 – L’organizzazione identifica e valuta i cambiamenti che potrebbero avere impatti significativi sul Sistema di controllo interno

ATTIVITÀ DI CONTROLLO (CONTROL ACTIVITIES)
Principio n. 10 – L’organizzazione definisce e implementa Attività di Controllo che contribuiscano a
ridurre i rischi entro livelli accettabili
Principio n. 11 – L’organizzazione definisce e implementa attività di controllo sulla tecnologia, per supportare il raggiungimento degli obiettivi aziendali
Principio n. 12: L’organizzazione declina le Attività di Controllo in politiche che definiscono i
comportamenti attesi e in procedure che ne determinano le modalità operative di applicazione

INFORMAZIONI E COMUNICAZIONE (INFORMATION & COMMUNICATION)
Principio n. 13 – L’organizzazione ottiene o genera e utilizza informazioni rilevanti e di qualità a
supporto del funzionamento del Sistema di controllo interno e di gestione dei rischi
Principio n. 14 – L’organizzazione comunica internamente le informazioni, compresi gli obiettivi e le
responsabilità di controllo interno, necessarie a supportare il funzionamento del Sistema di controllo
interno e di gestione dei rischi nel suo complesso
Principio n. 15 – L’organizzazione comunica con parti terze relativamente a questioni che interessano il funzionamento del Sistema di controllo interno e di gestione dei rischi

ATTIVITÀ DI MONITORAGGIO (MONITORING ACTIVITIES)
Principio n. 16 – L’organizzazione definisce, sviluppa ed esegue valutazioni continuative (ongoing) e
obiettive (separate) per accertare che le componenti del Sistema di controllo interno siano presenti e
funzionanti
Principio n. 17 – L’organizzazione valuta e comunica tempestivamente le carenze del Sistema di controllo interno ai soggetti responsabili di intraprendere le necessarie azioni correttive, incluso il senior management e il Consiglio di Amministrazione per quanto necessario e di competenza

Le caratteristiche più importanti dei principi sono descritte in 87 PUNTI DI ATTENZIONE. Questi ultimi, declinati in relazione al settore di attività, al contesto aziendale, alle sue dimensioni ed alla sua operatività, consentono di implementare un SCIGR e di valutare se i principi sono funzionanti.
Nella monografia ASSIREVI n. 1 – Gennaio 2019 vengono riportati tutti i punti di attenzione e suggeriti, a titolo esemplificativo, alcuni strumenti applicativi ai fini dell’attuazione del COSO Framework.

Le società che vogliono adottare processi robusti di gestione dei rischi in grado di orientare al meglio le strategie in base alle performance ma anche considerando le discontinuità che si possono originare da scenari particolarmente avversi ma plausibili, come la pandemia, possono adottare il modello COSO ERM Framework (Enterprise Risk Management), recentemente aggiornato anche per la gestione dei rischi ESG. In merito è disponibile la monografia ASSIREVI n. 3 – Novembre 2020 per una guida alla lettura.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *