Mi capita spesso di incontrare dirigenti, amministratori delegati, presidenti del consiglio di amministrazione o del collegio sindacale che si sentono molto sicuri dell’efficacia e dell’efficienza del sistema dei controlli interni della loro società.
E’ veramente così? Possono dormire sonni tranquilli?
Fino a quando tutto va bene apparentemente sì. Quando qualcosa va storto, però, la prima cosa che dicono è “in realtà lo immaginavamo”.
La mia risposta (segreta) è “ma come potevi pensare potesse essere diversamente?”.
La mia risposta (palese e comprensiva) è “facciamo un check-up e vediamo cosa e come migliorare la situazione”, ben conscio che se i buoi sono scappati qualcuno ha aperto la porta oppure qualcuno l’ha lasciata aperta! I buoi non aprono le porte da soli!
Perché invece non pensarci prima? In fondo non è costoso (viene molto meno di una sanzione amministrativa in capo alla società, oppure in capo ai singoli membri dell’alta direzione o degli organi di governo societario, oppure ancora di un grave incidente operativo e conseguente impatto finanziario), non porta via tanto tempo (poche interviste contro il tempo speso tra avvocati e ricorsi), migliora lo stesso clima aziendale (le persone parlano di come migliorare il loro stesso lavoro e dunque rende loro proattivi) e soprattutto fluidifica i processi, permettendo alle persone di concentrarsi su questioni più remunerative e cruciali (sviluppo di nuovi servizi e prodotti, sviluppo commerciale …).
*****
Il check-up va diviso in tre momenti (A, B e C).
(A) Il primo momento è diviso in tre fasi.
(A1) Si analizza l’organigramma, il funzionigramma (cioè la descrizione analitica “di chi fa che cosa” nelle diverse Aree aziendali) e la normativa aziendale.
(A2) Si cominciano ad analizzare i controlli interni esistenti determinando quanto gli stessi siano considerati e considerabili efficaci ed efficienti rispetto alla tipologia di rischio (operativo, finanziario, di conformità, …) ed al suo grado (alto, medio, basso).
In tale fase, ciascuna area aziendale deve spiegare quali controlli esegue, se sono formalizzati nella documentazione interna, dove sono conservati i risultati e quale reporting viene utilizzato e chi ne è il destinatario.
Inoltre si comincia a “scavare nella storia” cercando situazioni in cui un controllo è fallito (non ha evitato il rischio oppure non ha messo in evidenza l’episodio) oppure un’attività ha comportato un rischio non preso in considerazione.
Infine si stimano l’efficacia e l’efficienza dei singoli controlli.
(A3) Per ciascuna attività di cui al funzionigramma e relative sottoattività si procede all’identificazione del rischio e alla sua misurazione.
Se il rischio è “di conformità” è necessario prima un esame della normativa applicabile e la costruzione di un inventario delle norme applicabili.
Infine si determina il rischio “lordo” altresì detto “inerente”.
(A4) La fase finale vede la composizione della Matrice Finale che riassume per ciascuna area aziendale la descrizione delle attività e la relativa descrizione del rischio lordo nonché la sua misurazione, si riportano i controlli esistenti e quelli nuovi con la loro codifica di riferimento e di riconduzione alla normativa interna (vd. oltre) e si determina il rischio “netto” altresì detto “residuale”.
(B) Il secondo momento si divide in tre fasi.
(B1) Nella prima fase si procede all’analisi della normativa aziendale, eventualmente da sistematizzare e modificare.
Probabilmente è necessario dare un ordine gerarchico alla normativa aziendale e diversificare i livelli di approvazione e di titolarità del singolo documento.
(B2) Nella seconda fase si provvede anche a collegare la descrizione dei controlli, formalizzati nella documentazione, alla normativa aziendale e a creare l’inventario e l’agenda dei controlli (loro periodicità).
(B3) Infine la terza fase vede l’attribuzione dell’esecuzione dei controlli in capo ai soggetti operativi (cd. controlli di primo livello), oppure a soggetti indipendenti interni all’azienda.
(C) Il terzo momento è quello che dovrebbe permettere ai dirigenti, agli amministratori delegati, ai presidenti del consiglio di amministrazione o del collegio sindacale finalmente di dormire sonni tranquilli, quanto meno perché sono a conoscenza di ciò che succede nella società. E’ necessario dunque ideare la reportistica verso l’alta dirigenza e verso gli organi di governo e la fissazione della tempistica di riferimento.
E’ questo il momento forse più delicato, perché determina la selezione delle informazioni e la loro eventuale aggregazione e sintesi e dunque la presa di coscienza della situazione effettiva sullo stato dei controlli interni.
*****
I dirigenti, gli amministratori delegati, i presidenti del consiglio di amministrazione o del collegio sindacale possono allora “dormire tranquillamente”?
Si se periodicamente mettono in discussione il loro sistema dei controlli ed affrontano con spirito critico e con approccio sistematico e basato sui rischi concreti le eventuali problematiche che dovessero emergere, facendosi soprattutto aiutare dall’esterno in quanto chi non è quotidianamente coinvolto nella gestione della società analizza la situazione in maniera indipendente e non influenzata dalle circostanze.
Avv. Eugenio M. Mastropaolo – Legal Grounds – Legal On Demand