preloader
 Il Risk Management secondo il COSO Report

Il Risk Management secondo il COSO Report

Il COSO Report nasce negli Stati Uniti su iniziativa del settore privato, ed in particolare delle associazioni professionali più prestigiose (American Institute of Certified Public Accountant, American Accounting Association, Financial Executive Institute) che hanno dato vita alla Treadway Commission con l’obiettivo di elaborare un modello innovativo di sistema di controllo.

Lo sviluppo del modello fu affidato a Coopers & Lybrand (oggi PricewaterhouseCoopers).

[info_box] Il risultato dello studio, pubblicato nel 1992, è denominato COSO (Committee of Sponsoring Organizations) Report e rappresenta tutt’ora il modello di riferimento per il controllo interno.[/info_box]

Il modello presentato nel COSO Report è diventato il modello di riferimento utilizzato sia dai codici di autodisciplina da parte di associazioni di categoria, sia dalla normativa nazionale ed internazionale in materia di Corporate Governance.

A titolo di esempio il modello di riferimento definito dal Comitato di Basilea per il sistema di controllo interno nelle banche è basato sugli stessi “componenti” definiti nel COSO Report, mentre il Codice di Autodisciplina per le società quotate in Borsa (il c.d. “Codice Preda”) riprende esplicitamente la definizione di sistema di controllo e le caratteristiche del controllo interno evidenziate nel COSO Report.

Il Public Company Accounting Oversight Board (PCAOB), creato con il Sarbanes-Oxley Act, ha emesso uno standard per regolamentare la verifica di un sistema di controllo interno per le società quotate negli Stati Uniti; lo standard cita esplicitamente il COSO report.

[pullquote align=”right”] In the United States, the Committee of Sponsoring Organizations (COSO) of the Treadway Commission has published Internal Control – Integrated Framework. Known as the COSO Report, it provides a suitable and available framework for purposes of management’s assessment.”  PCAOB Auditing Standard No. 2. par. 14 [/pullquote]

Secondo il COSO Report, il sistema di controllo interno si caratterizza per i seguenti elementi:

  • il controllo è un processo, svolto dal CdA, dai dirigenti e da tutto il personale aziendale, finalizzato a fornire una ragionevole certezza sul raggiungimento degli obiettivi aziendali che rientrano in particolare nelle seguenti categorie
    •  efficacia ed efficienza delle attività operative;
    • attendibilità delle informazioni di bilancio;
    • conformità alle leggi e regolamenti in vigore;
  • l’attività di controllo va vista in senso dinamico e cioè va sintonizzata sugli obiettivi d’impresa;
  • il concetto di controllo è strettamente collegato a quello di rischio, definito come la possibilità che gli obiettivi non vengano conseguiti. In questo contesto, il concetto di rischio si estende evidentemente ben oltre la tradizionale area finanziaria; il controllo interno è attività che coinvolge tutti i soggetti attivi nell’impresa: dal consiglio di amministrazione al personale in genere, dai livelli più alti a quelli inferiori;
  • il controllo interno diviene efficace se esiste la percezione di esso come parte integrante dell’attività di impresa e non come adempimento sostanzialmente improduttivo;
  • il controllo interno non è costituito solo dalle strutture di poteri e deleghe, dalle procedure, dai manuali o dagli organigrammi, ma dalle attività di uomini. Ciò ne costituisce anche il limite: la flessibilità e la discrezionalità connesse con l’intervento umano comportano che il controllo interno non può assicurare in assoluto il conseguimento degli obiettivi prefissati.

Fonte: Committee of Sponsoring Organizations

Esiste un rapporto diretto tra obiettivi e componenti del controllo interno: Il sistema di controllo è costituito da 5 componenti interconnessi, (come mostrato nella figura sopra nelle righe in orizzontale)essi derivano dal modoin cui il managementgestisce l’azienda esono fortemente integrati con iprocessi gestionali. Tutte e cinque le componenti devono coesistere affinché il sistema di controllo sia efficace.

  • Per Monitoring intendiamo l’insieme delle attività necessarie per valutare e verificare periodicamente l’adeguatezza, operatività ed efficacia dei controlli interni.
  • Per Information & Communication intendiamo il processo istituito per assicurare l’accurata e tempestiva raccolta e comunicazione di informazioni.
  • Per Control Activities l’insieme delle prassi e procedure di controllo costituite per definire la riduzione dei rischi ad un livello accettabile e garantire il raggiungimento degli obiettivi aziendali.
  • Per Risk Assestment si intende il processo volto ad assicurare l’individuazione, analisi e gestione dei rischi aziendali.
  • Per Control Environment l’ambiente nel quale gli individui operano rappresentandone la cultura al controllo permeata nell’organizzazione.

Gli obiettivi del controllo così evidenziati risultano essere:

  • Efficacia ed efficienza delle attività operative.
  • Attendibilità delle informazioni di bilancio.
  • Conformità alle leggi e regolamenti in vigore.

Tali obiettivi vanno sviluppati implementati ed efficacemente applicati all’intera organizzazione o ad una qualunque delle sue unità o processi.

AUTORE