Comprendere i quadri di controllo interno
I quadri di controllo interno forniscono la struttura utilizzata dalle organizzazioni per progettare, implementare e valutare i propri controlli interni. Un quadro di riferimento ben scelto aiuta a garantire che il reporting finanziario sia affidabile, le operazioni siano efficienti e l’organizzazione rispetti le leggi e i regolamenti applicabili.
Cos'è un quadro di controllo interno?
Un quadro di controllo interno è un insieme strutturato di linee guida che definiscono come un’organizzazione dovrebbe stabilire e mantenere il proprio sistema di controlli interni. Fornisce un linguaggio comune per discutere dei controlli, una metodologia per valutarne l’efficacia e una base per riferire alle parti interessate.
Senza un quadro normativo, le organizzazioni rischiano un approccio ad hoc ai controlli che lascia lacune nella copertura, crea ridondanze e rende difficile comunicare lo stato dell’ambiente di controllo a revisori, regolatori e consiglio di amministrazione.
Il quadro COSO
Il quadro del Committee of Sponsoring Organizations of the Treadway Commission (COSO) è il quadro di controllo interno più ampiamente adottato negli Stati Uniti e in molte altre giurisdizioni. Pubblicato originariamente nel 1992 e aggiornato nel 2013, definisce il controllo interno attraverso cinque componenti correlate.
Ambiente di controllo pone le basi. Comprende la cultura dell'organizzazione, i valori etici, la struttura di governance e l'impegno della leadership al controllo interno. Un forte ambiente di controllo stabilisce il tono dell’intera organizzazione.
La valutazione del rischio è il processo di identificazione e analisi dei rischi che potrebbero impedire all'organizzazione di raggiungere i propri obiettivi. Ciò include la valutazione della probabilità e dell’impatto dei rischi e la determinazione di come dovrebbero essere gestiti.
Le attività di controllo sono le politiche e le procedure che aiutano a garantire l'attuazione delle direttive del management. Includono approvazioni, autorizzazioni, riconciliazioni, separazione dei compiti e controlli sia manuali che automatizzati.
Informazione e comunicazione garantisce che le informazioni rilevanti fluiscano in tutta l'organizzazione in modo tempestivo. Ciò include sia la comunicazione interna tra i dipartimenti che la comunicazione esterna con regolatori, revisori e investitori.
Le attività di monitoraggio valutano se le cinque componenti sono presenti e funzionano nel tempo. Ciò include il monitoraggio continuo attraverso attività di gestione regolari e valutazioni separate come gli audit interni.
I 17 Principi del COSO
L’aggiornamento del 2013 al quadro COSO ha introdotto 17 principi che si associano ai cinque componenti. Questi principi forniscono indicazioni più specifiche su come si configura nella pratica un controllo interno efficace. Ad esempio, il Principio 1 afferma che l’organizzazione dimostra un impegno verso l’integrità e i valori etici, mentre il Principio 16 affronta la selezione, lo sviluppo e l’esecuzione di valutazioni continue e separate.
Altri framework
Mentre il COSO domina negli Stati Uniti, altri framework servono a scopi o aree geografiche specifiche.
COBIT (Obiettivi di controllo per le informazioni e le tecnologie correlate) si concentra sulla governance e sulla gestione dell'IT. È particolarmente utile per le organizzazioni che cercano di rafforzare i controlli sui sistemi informativi e sui rischi tecnologici.
La Guida Turnbull è stata ampiamente utilizzata nel Regno Unito prima di essere sostituita da una guida aggiornata. Sottolinea la responsabilità del consiglio di mantenere un solido sistema di controllo interno e di verificarne l'efficacia.
Il modello delle tre linee (aggiornato rispetto alle tre linee di difesa) pubblicato dall'Institute of Internal Auditor fornisce un quadro per la governance e la garanzia. Chiarisce ruoli e responsabilità tra le funzioni di gestione, rischio e conformità e audit interno.
Scegliere il quadro giusto
La scelta del quadro dipende da diversi fattori, tra cui i requisiti normativi, il settore, le dimensioni dell’organizzazione e la maturità dei controlli esistenti. Molte organizzazioni utilizzano COSO come framework principale e lo integrano con COBIT per controlli specifici dell'IT.
Le società quotate in borsa negli Stati Uniti sono effettivamente tenute a utilizzare un quadro riconosciuto come il COSO per le loro valutazioni SOX Sezione 404. La SEC ha affermato che il management deve utilizzare un quadro adeguato e riconosciuto nella valutazione dei controlli interni sull'informativa finanziaria.
Considerazioni sull'implementazione
L’adozione di un framework non è un progetto una tantum. Richiede un impegno costante nella documentazione, nei test e nel miglioramento. I passaggi chiave includono la mappatura dei controlli esistenti rispetto ai componenti e ai principi del quadro, l'identificazione delle lacune, la progettazione di nuovi controlli ove necessario e la definizione di processi di monitoraggio.
La documentazione è particolarmente importante. Ogni controllo dovrebbe essere collegato al rischio che affronta, alla componente del quadro che supporta e alle prove che produce. Gli strumenti di audit che mantengono collegamenti tracciabili tra controlli, prove e documenti di supporto rendono questo processo più gestibile, soprattutto per le organizzazioni con ambienti di controllo complessi.
Il risultato finale
Un quadro di controllo interno non è solo un requisito di conformità. È uno strumento di gestione che, se adeguatamente implementato, rafforza la governance, migliora l’efficienza operativa e aumenta l’affidabilità del reporting finanziario. Il quadro che scegli conta meno della disciplina con cui lo applichi.