SCIGR – COSO Framework

Il Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR) è l’insieme delle regole, delle procedure e delle strutture organizzative approntate per il governo dell’azienda e per la gestione dei rischi.
Gli amministratori sono responsabili del SCIGR, che qualora non fosse adeguato alla natura e alle dimensione dell’impresa determinerebbe un deficit organizzativo rilevante. E’ necessario quindi identificare una best practice alla quale fare riferimento per valutare l’adeguatezza del proprio SCIGR.

Il più autorevole tra i modelli di controllo interno a livello internazionale è il “COSO Framework” emesso dal
Committee of Sponsoring Organizations of the Treadway Commission.
il COSO Framework definisce il Sistema di Controllo Interno come un processo messo in atto dal Consiglio di Amministrazione, dal management e da tutto il personale, volto a fornire una ragionevole garanzia sul raggiungimento dei seguenti 3 OBIETTIVI:

  • efficacia ed efficienza delle attività operative (Operations);
  • attendibilità delle informazioni interne ed esterne, finanziarie e non finanziarie (Reporting);
  • conformità alle leggi e alle norme vigenti cui l’impresa è soggetta (Compliance).

Il COSO Framework propone una struttura concettuale organizzata in 5 COMPONENTI di controllo:

  1. Ambiente di Controllo (Control Environment),
  2. Valutazione del Rischio (Risk Assessment),
  3. Attività di Controllo (Control Activities),
  4. Informazione e Comunicazione (Information & Communication),
  5. Attività di Monitoraggio (Monitoring Activities),

e risulta efficace se, con riferimento a uno o più obiettivi, tutte le 5 componenti esistono nel disegno strategico, risultano implementate nel sistema aziendale e funzionano in maniera integrata nell’operatività giornaliera.

Il COSO Framework prevede una relazione diretta tra le seguenti tre dimensioni:

  • Obiettivi (operativi, di reporting, di conformità), sono ciò che l’organizzazione mira a raggiungere, in linea con la mission e la visione strategica;
  • Componenti, sono ciò che è necessario per il raggiungimento degli obiettivi;
  • Struttura organizzativa, intesa nell’ampia accezione di gruppo o società, divisioni, unità operative, funzioni e processi di business, quali vendite, acquisti, produzione, marketing, a cui si applica il Sistema di Controllo Interno.

Alle 5 componenti sono attribuiti 17 PRINCIPI, che si applicano ad ogni categoria di obiettivi. Tutti i principi devono essere attuati.

AMBIENTE DI CONTROLLO (CONTROL ENVIRONMENT)
Principio n. 1 – L’organizzazione dimostra il proprio impegno rispetto ai valori etici e all’integrità.
Principio n. 2 – Il Consiglio di Amministrazione è indipendente rispetto al management ed esercita la propria supervisione sullo sviluppo e sull’implementazione del Sistema di controllo interno e di
gestione dei rischi.
Principio n. 3 – Il management definisce, sotto la supervisione del Consiglio di Amministrazione, la struttura organizzativa, le linee di riporto, i livelli autorizzativi e le responsabilità funzionali al fine di perseguire gli obiettivi aziendali.
Principio n. 4 – L’organizzazione dimostra il proprio impegno ad attrarre, sviluppare e trattenere risorse competenti in linea con il conseguimento degli obiettivi aziendali.
Principio n. 5 – L’organizzazione, nel raggiungimento degli obiettivi aziendali, ritiene i singoli individui responsabili per la parte di Sistema di controllo interno e di gestione dei rischi di propria competenza.

VALUTAZIONE DEL RISCHIO (RISK ASSESSMENT)
Principio n. 6 – L’organizzazione esplicita con sufficiente chiarezza i propri obiettivi, consentendo l’identificazione e la valutazione dei rischi ad essi legati.
Principio n. 7 – L’organizzazione identifica i rischi connessi al conseguimento degli obiettivi aziendali e ne determina le modalità di gestione.
Principio n. 8 – L’organizzazione prende in considerazione potenziali frodi nel valutare i rischi di conseguimento dei propri obiettivi aziendali.
Principio n. 9 – L’organizzazione identifica e valuta i cambiamenti che potrebbero avere impatti significativi sul Sistema di controllo interno.

ATTIVITÀ DI CONTROLLO (CONTROL ACTIVITIES)
Principio n. 10 – L’organizzazione definisce e implementa Attività di Controllo che contribuiscano a ridurre i rischi entro livelli accettabili.
Principio n. 11 – L’organizzazione definisce e implementa attività di controllo sulla tecnologia, per supportare il raggiungimento degli obiettivi aziendali.
Principio n. 12: L’organizzazione declina le Attività di Controllo in politiche che definiscono i comportamenti attesi e in procedure che ne determinano le modalità operative di applicazione.

INFORMAZIONI E COMUNICAZIONE (INFORMATION & COMMUNICATION)
Principio n. 13 – L’organizzazione ottiene o genera e utilizza informazioni rilevanti e di qualità a supporto del funzionamento del Sistema di controllo interno e di gestione dei rischi.
Principio n. 14 – L’organizzazione comunica internamente le informazioni, compresi gli obiettivi e le responsabilità di controllo interno, necessarie a supportare il funzionamento del SCIGR nel suo complesso.
Principio n. 15 – L’organizzazione comunica con parti terze relativamente a questioni che interessano il funzionamento del Sistema di controllo interno e di gestione dei rischi.

ATTIVITÀ DI MONITORAGGIO (MONITORING ACTIVITIES)
Principio n. 16 – L’organizzazione definisce, sviluppa ed esegue valutazioni continuative (ongoing) e obiettive (separate) per accertare che le componenti del Sistema di controllo interno siano presenti e funzionanti.
Principio n. 17 – L’organizzazione valuta e comunica tempestivamente le carenze del Sistema di controllo interno ai soggetti responsabili di intraprendere le necessarie azioni correttive, incluso il senior management e il Consiglio di Amministrazione per quanto necessario e di competenza.

Le caratteristiche più importanti dei principi sono descritte in 87 PUNTI DI ATTENZIONE. Questi ultimi, declinati in relazione al settore di attività, al contesto aziendale, alle sue dimensioni ed alla sua operatività, consentono di implementare un SCIGR e di valutare se tutti i principi sono attuati e funzionanti. Il principio è attuato nel caso in cui tutti o parte degli aspetti declinati nei punti di attenzione risultino efficacemente applicati.

Riepilogando:

  1. per il raggiungemento di ogni OBIETTIVO, tutti i 5 COMPONENTI devono essere presenti;
  2. ogni componente è declinato secondo diversi PRINCIPI; tutti i principi devono essere attuati;
  3. in ogni principio sono descritti diversi PUNTI DI ATTENZIONE; un principio è attuato se sono presenti almeno una parte dei punti di attenzione.

Nella monografia ASSIREVI n. 1 – Gennaio 2019 vengono riportati tutti i punti di attenzione e suggeriti, a titolo esemplificativo, alcuni strumenti applicativi (nelle Tabelle 1 e 2) ai fini dell’attuazione del COSO Framework.

Le società che vogliono adottare processi robusti di gestione dei rischi in grado di orientare al meglio le strategie in base alle performance ma anche considerando le discontinuità che si possono originare da scenari particolarmente avversi ma plausibili, come la pandemia, possono adottare il modello COSO ERM Framework (Enterprise Risk Management), recentemente aggiornato anche per la gestione dei rischi ESG. In merito è disponibile la monografia ASSIREVI n. 3 – Novembre 2020 per una guida alla lettura.