Come Valutare il Sistema di Controllo Interno e di Gestione dei Rischi?

Più di recente (Ottobre 2017), l’Associazione Italiana delle Aziende Familiari (AIDAF) e l’Università Luigi Bocconi hanno promosso i «Principi per il governo delle società non quotate a controllo familiare. Codice di Autodisciplina», ad adozione volontaria, che richiamano, ancorché in forma semplificata, principi analoghi a quelli formulati dal Codice di Autodisciplina per le Società Quotate in materia di Controllo Interno e di Gestione dei Rischi.

Più articolata e complessa è, invece, la risposta alle seguenti domande:

• COME valutare il Sistema di Controllo Interno e di Gestione dei Rischi?
• QUALE processo implementare e quali attori coinvolgere nella valutazione?
• QUALI metodologie e strumenti di valutazione utilizzare?

AIIA e Protiviti hanno dedicato il quarto ciclo di incontri del CAE PROGRAM a questi temi, fornendo l’occasione ai CAE associati di confrontarsi sulle prassi utilizzate nelle proprie organizzazioni ai fini della valutazione del Sistema di Controllo Interno e di Gestione dei Rischi. In tale ambito, AIIA e Protiviti hanno condotto una ricerca, i cui risultati sono rappresentati nel documento da scaricare.

EXECUTIVE SUMMARY

Nella valutazione di adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi, attribuita di norma al Consiglio di Amministrazione, il ruolo del Responsabile della Funzione di Internal Audit è centrale, nonostante l’adozione di processi, metodologie e ruoli molto eterogenei.

Agli estremi opposti si trovano, infatti, società in cui il Responsabile Internal Audit è la figura istituzionalmente deputata a coordinare il processo che porta alla raccolta e al consolidamento delle informazioni necessarie al Consiglio di Amministrazione, e società in cui tale processo è governato direttamente dagli Organi di Governo deputati (e.g.: Comitato Controllo e Rischi), e il Responsabile Internal Audit è uno - seppur importante - tra i tanti attori coinvolti.

Analogamente, le società hanno sviluppato e implementato metodologie molto diverse fra loro a supporto della valutazione del SCIeGR: agli estremi opposti, troviamo organizzazioni che basano la valutazione esclusivamente sul giudizio professionale di tipo qualitativo, altre che, al contrario, applicano metodologie guidate, anche di tipo quantitativo.

Dai risultati della ricerca, emerge come le ragioni di tale eterogeneità non siano sempre riconducibili a dimensione, maturità o settore di appartenenza delle singole organizzazioni, bensì, piuttosto, all’assenza di linee guida istituzionali sul tema, come pure alla differente cultura del controllo e della gestione dei rischi delle singole realtà aziendali, ovvero, ancora, ai differenti livelli di attenzione sul tema da parte dei Consigli di Amministrazione o - laddove presenti - dei Comitati Controllo e Rischi.