SOMMARIO:

1. Premessa: l’approccio culturale al tema del controllo interno. - 2. Il sistema di controllo interno come momento dell’organizzazione d’impresa. - 3. Il sistema di controllo interno alla prova dei fatti: l’esperienza del Gruppo Pirelli. - 4. Il sistema di controllo interno: mappatura, valutazione e “gestione” dei rischi. - 5. Un concreto modello di governo dei rischi: il “modello” Pirelli. - 6. Il sistema di controllo interno: gli organi e gli organismi deputati alla verifica. - 7. Il sistema di controllo interno e l’Amministratore Esecutivo addetto. - 8. Il sistema di controllo interno: alcune brevi considerazioni finali.

1. Premessa: l’approccio culturale al tema del controllo interno.

Il controllo interno – e ancor più precisamente il c.d. “sistema di con­trollo interno” – costituisce argomento delicato ma soprattutto insidioso, perché confuso tra prospettiva aziendalistica e prospettiva giuridica, per­ché di moda anche se non propriamente attraente e fors’anche noioso, perché estremamente tecnico e quindi un po’ da iniziati o “chierici”. Quin­di argomento che suscita dibattito, si colora di slogan, talora suscita invet­tive, spesso è pieno di luoghi comuni. Invero, al vertice, c’è un approccio al tema, direi di tipo culturale, a mio avviso nient’affatto condivisibile. Cerco di spiegarmi partendo dal documento “Analisi dello stato di at­tuazione del Codice di autodisciplina delle società quotate 2012” di Asso­nime ed Emittenti Titoli. Si tratta invero, pure nella ricchezza di contenuti, di un’analisi con riferimento ai controlli interni tutta incentrata su temi esclusivamente strutturali. Ad esempio, vengono riportate le percentuali delle società che hanno individuato un Amministratore incaricato di sovrintendere al sistema di controllo interno; ancora, è rappresentata: la percentuale di società che hanno indicato nelle loro relazioni sul governo societario di aver istituito una funzione Internal Audit; informazioni numeriche sulla composizione del Comitato per il controllo interno così come dell’Organismo di Vigilanza ex d.lgs. n. 231/2001 o, ancora, la cadenza delle loro riunioni. Questa non vuole essere naturalmente una critica all’analisi condotta da Assonime ed Emittenti Titoli, puntuale e assai utile. Ma ciò è chiaro indice di come è per lo più visto il sistema di controllo interno: argomento di struttura organizzativa piuttosto che attinente all’attività d’im­presa nel suo insieme; in linguaggio medico, argomento di “anatomia” piuttosto che di “fisiologia”. Ciò, forse, in larga parte dovuto al fatto che le stesse relazioni sul go­verno societario sono “avare” in materia; da un lato, non venendo in esse rappresentati la “mission” del sistema, né il suo concreto funzionamento; dall’altro lato, non risultando declinati compiutamente i presidi organizzativi, le proce­dure e i processi (cioè la concatenazione [continua ..]

2. Il sistema di controllo interno come momento dell’organizzazione d’impresa.

È stato rilevato da più parti, che il sistema di control­lo interno non ha una propria definizione legislativa, né risulta regolato, a livello di normativa primaria, da una disciplina di carattere generale. Vero è però che il sistema di controllo interno è un’architettura orga­nizzativa composita e, per definizione, in itinere, rispetto alla quale qualsi­voglia disciplina con ambizioni di generalità, organicità e completezza, ri­schia di essere vuoi “in ritardo” vuoi (sempre) incompleta. Il primo punto da sottolineare ad ogni modo, a mio giudizio, è che il si­stema di controllo interno è primariamente momento e strumento “gestio­nale”; momento, perché è parte precipua dei doveri degli amministratori di predisporre l’organizzazione e che la stessa sia adeguata; strumento, perché è il modo per avere completa visibilità prima e intervenire poi sull’organiz­zazione. Per questa ragione, il “sistema di controllo interno” non può esaurirsi in un fenomeno di “compliance” a prescrizioni normative (siano esse di legge o di autodisciplina), configurandosi piuttosto come attività organiz­zativa vero e propria; un modo, quindi, con cui viene conformata l’attività di impresa: nel suo momento statico – strutturale, dunque – ma anche di­namico. Del farsi dell’azione imprenditoriale, per usare le parole del mio maestro Paolo Ferro Luzzi.

3. Il sistema di controllo interno alla prova dei fatti: l’esperienza del Gruppo Pirelli.

Ebbene, qual è l’esperienza sul campo, ex latere azienda? E si tratta di dato fondamentale, se è corretto, come profondamente credo, l’in­segnamento vivantiano circa l’essere il diritto una scienza dell’osserva­zione. Non esito a dire, sotto questo punto di vista, che in Pirelli il sistema di controllo interno permea tutta l’attività di impresa – dal momento “inizia­le” dell’acquisto delle materie prime a quello “finale” della vendita del pro­dotto finito, passando per il momento della trasformazione delle materie prime stesse. In concreto, questo ha voluto dire, e continua a voler dire, in primo luo­go, formalizzare in uno specifico documento valori e principi ai quali tutti coloro che operano nella (o comunque per l’)impresa sono tenuti a uni­formarsi nello svolgimento della loro attività (in Pirelli, tutto ciò è com­pendiato nei documenti chiamati “Codice Etico” e “Linee di Condotta”). Ancora, ha voluto – e vuol dire – predisporre procedure e implementare processi che scandiscono le attività correnti (di business) alla luce di alcuni principi base, segnatamente quelli di a) separazione dei ruoli nei singoli processi gestionali; b) tracciabilità delle scelte; c) effettuazione delle scelte stesse in base a criteri oggettivi (quanto più possibile, almeno). Tipico esempio, in Pirelli, la regolamentazione del processo di acquisto delle materie prime, che si concreta a) nella formalizzata separazione di ruolo nelle fasi chiave del processo (la funzione/ufficio che è “utente” finale del­la fornitura non può autonomamente decidere il fornitore); b) nell’esisten­za e l’utilizzo di criteri tecnico-economici per la selezione dei potenziali fornitori; c) nell’espletamento poi dell’attività selettiva fra i diversi fornitori sulla base di una obiettiva comparazione delle offerte; e, d) nella successiva valutazione complessiva di congruità e adeguatezza delle forniture ricevute. Ma il “sistema di controllo interno” in ambito aziendale vuol dire anche “costruzione” di una struttura organizzativa coerente con dimensioni, natura e complessità della attività svolta nonché con la sua localizzazione geografica, e ciò in termini sia di definizione di [continua ..]

4. Il sistema di controllo interno: mappatura, valutazione e “gestione” dei rischi.

In secondo luogo, la definizione di un adeguato (e direi effettivamente, non solo dichiaratamente, adeguato) sistema di controllo interno (inteso quale insieme strutturato di principi, regole, procedure e processi azienda­li) passa attraverso un’accurata valutazione dei rischi (lo dico subito: non solo i rischi di violazione di prescrizioni normative – c.d. “rischi di com­pliance” – bensì tutti i rischi che riguardano l’impresa e il modo di condur­la). E ciò perché fondamentale metro valutativo della efficacia del sistema di controllo in­terno è proprio la capacità di “prevenire” (anche evitandoli), “mitigare” e, in generale, “governare” i rischi. La categoria dei rischi aziendali – è cosa risaputa – è quanto mai ampia e variegata, e non certo limitata (pure naturalmente includendoli) ai rischi appunto di “compliance” (quali: il rischio di non conformità dei compor­tamenti dell’azienda alla normativa in materia di antitrust; a quella sulla privacy; a quella sulla salute e sicurezza sui luoghi di lavoro; alla c.d. “231”), riguardando più in generale: a) l’efficacia e l’efficienza delle opera­zioni (rischio operativo); b) l’attendibilità dei dati contenuti nell’informa­zione al mercato; c) le strategie adottate (c.d. rischio strategico); d) il mar­chio e, più in generale, l’immagine e la reputazione dell’impresa (rischio di immagine); e) le risorse finanziarie impiegate per supportare i processi operativi, e gli investimenti (rischio finanziario). E qui vorrei sottolineare un luogo comune, tanto a mio giudizio infon­dato quanto suggestivo (almeno a livello mediatico). “Rischio” non evoca negatività in sé. Si attribuisce peraltro spesso al termine una connotazione solo negativa, dimenticandocisi evidentemente che il rischio è invece una componente basilare – e assolutamente fisiologica – del fare impresa.

5. Un concreto modello di governo dei rischi: il “modello” Pirelli.

Tutte le sovraesposte considerazioni sono alla base del “modello” Pirelli di governo dei rischi, da ultimo rivisto e aggiornato lo scorso anno. Un modello le cui caratteristiche portanti risiedono nell’essere: a) “value driven”, in quanto i rischi sono qualificati come significativi, e pertanto oggetto di analisi e intervento, in relazione alla loro capacità di pregiudicare il raggiungimento degli obiettivi strategici di Gruppo delinea­ti nel Piano Strategico ovvero di intaccare gli asset aziendali “critici” (c.d. key value driver); b) “top-down”, in quanto è il top management che svolge un’azione di indirizzo nella identificazione delle aree di rischio prioritarie e degli eventi di rischio a maggior impatto per il business; c) soprattutto, di tipo quantitativo, fondato, in altri termini, su una misurazione puntuale degli impatti dei rischi sul risultato economico e finanziario atteso. I rischi, cioè, vengono misurati e valutati in relazione ai loro possibili (e pre-determinati) effetti su alcuni specifici indicatori economico-finanziari (PBIT, Cash Flow; andamento in borsa del titolo Pi­relli). Un modello, peraltro, pienamente inserito nella governance Pirelli, posto che vede il coinvolgimento diretto degli organi sociali così come del Top e del senior management e dei dipendenti tutti più in generale. Un ruolo centrale è attribuito invero al Consiglio di Amministrazione che, con l’ausilio di un apposito Comitato consiliare, valida l’esposizione complessiva dell’impresa al rischio, approva le strategie di risposta (c.d. Annual Risk Management Plan che contiene specifici piani di mitigazione dei rischi) e ne monitora l’implementazione. Il top e senior management è “rappresentato” da un apposito momento di coordinamento, il Comitato manageriale rischi (di cui fanno parte: il Ge­neral Counsel, il Direttore Generale, il CFO, i responsabili di funzioni chiave come le risorse umane, l’investor relations, gli affari legali, gli acquisti) il quale definisce la metodologia di identificazione e misurazione dei rischi e indica le aree di rischio prioritarie. Tale Comitato ha la responsabilità al­tresì di individuare le strategie di mitigazione e di elaborare una proposta (per il Cda) di Annual Risk Management Plan. Il Comitato manageriale si avvale a sua volta di un risk [continua ..]

6. Il sistema di controllo interno: gli organi e gli organismi deputati alla verifica.

L’ulti­mo aspetto saliente del sistema di controllo interno di un’azienda – ultimo beninteso in termini logici e funzionali, non di importanza – è co­stituito dall’attività (con i correlativi strumenti) di verifica. L’attività di verifica è realizzata, innanzitutto, istituendo ai diversi livelli organizzativi controlli specifici nell’ambito delle attività operative al fine di prevenire, individuare e correggere eventuali irregolarità o inadempienze. In Pirelli, ad esempio, è stato adottato uno specifico sistema di “attestazione” infor­matica dei processi, al fine di verificare che siano state correttamente ese­guite di volta in volta le operazioni di rilevazione e iscrizione di un ricavo, di un costo, di una nota di credito, ecc. In secondo luogo, un ruolo significativo in materia è svolto dall’Internal Audit, che ha il compito principale di valutare adeguatezza e funzionalità dei processi di controllo nell’ambito dell’intera Pirelli. L’attività dell’Inter­nal Audit si sviluppa attraverso un apposito piano, che peraltro è definito proprio partendo dall’attività di risk assessment innanzi ilustrata. Ma l’attività di internal audit non si concreta tuttavia – è opportuno sot­tolinearlo – in attività ispettive, per giunta di tipo “poliziesco”, bensì in at­tività di verifica dell’esistenza e del rispetto di regole e procedure con lo scopo di attestare l’adeguatezza dei presidi di controllo. Valga un esempio sul funzionamento concreto dell’attività di internal audit. Le relazioni sugli esiti dell’audit si struttura idealmente in tre parti: una prima parte, dedicata all’analisi del funzionamento di una specifica funzione/processo; una seconda parte, dedicata all’individua­zione delle aree di miglioramento e una terza parte, infine, dedicata ai “suggerimenti” (de­finiti dall’Internal Audit congiuntamente con la funzione aziendale interes­sata) per porre rimedio/mano alle carenze o aree di miglioramento indivi­duate. A tutto ciò fa seguito nel tempo un’apposita attività c.d. di “follow-up”, di verifica cioè della effettività dei rimedi apprestati o dei miglioramenti [continua ..]

7. Il sistema di controllo interno e l’Amministratore Esecutivo addetto.

Alcune considerazioni finali vanno a questo punto dedicate all’ammini­stratore delegato dal Consiglio di Amministrazione a definire gli strumenti e le modalità di attuazione del sistema di controllo interno, in esecuzione degli indirizzi stabiliti dal Consiglio stesso. All’Amministratore “addetto” al controllo interno non è – né può anche solo astrattamente essere – rimesso un controllo sulle singole operazioni, posto che deve occuparsi della funzionalità complessiva del sistema e cioè che: le procedure siano in essere, l’architettura degli schemi di controllo sia impostata, i controlli siano effettuati e infine siano posti in essere rimedi là dove siano verificate criticità o debolezze, per evitare che tali criticità e de­bolezze possano pregiudicare (o incidere comunque in modo negativo su) gli obiettivi strategici e gli asset critici dell’impresa.

8. Il sistema di controllo interno: alcune brevi considerazioni finali.