di Angelo MICOCCI
DAL CODICE PREDA AL CODICE DI AUTODISCIPLINA 2020: COME È CAMBIATO NEGLI ULTIMI 20 ANNI IL RUOLO DEL RESPONSABILE INTERNAL AUDIT NELLA GOVERNANCE DELLE SOCIETÀ EMITTENTI.
Nel mese di gennaio 2020, il Comitato Corporate Governance di Borsa Italiana ha ufficializzato il nuovo Codice di Autodisciplina.
Le nuove regole andranno in vigore dall’esercizio successivo a quello che si chiude il 31 dicembre 2020. Attualmente, per le Società quotate in Italia, rimane vigente quello del 2018.
Con riferimento al Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR), nel capitolo dedicato, il Codice di Autodisciplina identifica con precisione i ruoli e le responsabilità degli organi della governance aziendale, incluso il Responsabile Internal Audit (RIA).
Per tale motivo, e considerando la valenza cogente del Codice (l’adesione alle regole indicate, da parte delle società emittenti, è volontaria ma implica che ciascun “scostamento” sia chiaramente indicato nella relazione sul governo societario – principio del “comply or explain“), il Codice rappresenta un’autorevole best practice per tutti i professionisti dell’internal auditing, a prescindere dal dimensionamento e dal settore di appartenenza delle organizzazioni in cui operano.
In particolare, oltre a identificare la “job description” del RIA, le varie versioni del Codice, a partire dalla prima risalente al 1999 (cosiddetto Codice Preda) fino all’attuale aggiornamento (per un totale di n. 9 modifiche in circa 20 anni), ci offrono la grande possibilità di comprendere come il vertice aziendale (considerando la composizione del Comitato di Corporate Governance che redige il documento) abbia, nel tempo, modificato le proprie aspettative sul “prodotto” offerto dall’internal auditing.
Vediamo i principali cambiamenti intervenuti con una premessa che spiega il perché di questa rilevanza.
Negli ultimi 20 anni la professione di internal auditor ha subito una profonda trasformazione, passando da un ruolo meramente ispettivo a quello di business partner delle organizzazioni (che non significa comunque aver sostituito quello primario di fornire assurance al vertice aziendale).
Il percorso che gli internal auditor hanno seguito in questa trasformazione epocale è stato caratterizzato da una continua ricerca di un punto di equilibrio tra:
- l’operare in conformità con i propri standard professionali (IPPF – International Professional Practice Framework, emanato dal The Institute of Internal Auditors) e,
- il soddisfare le aspettative delle parti interessate ai servizi offerti dalle funzioni di internal audit (azionisti, vertice aziendale, management, ecc).
Il “successo” di medio-lungo periodo del RIA nell’organizzazione dipende dal raggiungimento o meno di un equilibrio congruo tra queste due direttrici, che hanno lo stesso grado di importanza ma altresì un grado di “determinazione” molto differente.
Gli IPPF, che garantiscono la conformità dell’operato degli auditor alle buone pratiche professionali internazionali, sono ben definiti e, nelle componenti “mandatory“, sono rappresentati:
- dai Principi,
- dalla Definizione di internal auditing,
- dagli Standard propriamente detti (di Connotazione e di Prestazione) e
- dal Codice etico professionale.
Le aspettative delle parti interessate ai servizi di internal audit sono invece ben più difficili da identificare in quanto variano nelle organizzazioni, alle volte in modo significativo (immaginiamo le differenze tra il settore privato e il settore pubblico). Le aspettative possono riguardare ambiti molto operativi (es. Predisporre reportistica chiara e tempestiva), ma anche di natura più strategica (es. Presentare piani di audit risk based allineati ai piani industriali, contribuire alla creazione di un sano ambiente di controllo, ecc.).
In relazione alla direttrice “aspettative“, volendo distaccarci da un approccio autoreferenziale, il Codice di Autodisciplina di Borsa Italiana ci consente quindi di avere indicazioni chiare e di dettaglio sui “desiderata” del vertice aziendale nei confronti del RIA. Vediamo quindi di sintetizzare le principali modifiche intervenute nello stesso dal 1999 ad oggi, con particolare riguardo al concetto di Sistema di Controllo Interno (SCI) e al ruolo del RIA (da “ispettore a business partner“):
- 1) Codice Preda (ottobre 1999): il SCI ha il “compito di verificare che vengano effettivamente rispettate le procedure interne sia operative, sia amministrative, adottate al fine di garantire una sana ed efficiente gestione” e di identificare, prevenire e gestire i rischi finanziari e operativi nonché le frodi a danno della società; esso è presidiato da uno o più Preposti che sono “liberi da vincoli gerarchici” e rispondono agli amministratori e al comitato controllo interno. Nei commenti, si evidenzia la necessità di dotare gli stessi di mezzi e risorse adeguate.
- 2) Versione di luglio 2002: si precisa, meglio, che il SCI è l’insieme dei processi diretti a monitorare l’efficienza delle operazioni aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi regolamenti, la salvaguardia dei beni aziendali. La responsabilità del monitoraggio del SCI è sempre assegnata alla figura “generica” del Preposto anche se si evidenzia, nei commenti alla fine del paragrafo, che “nelle società dotate di una funzione di internal audit, il preposto al controllo interno può identificarsi con il responsabile della medesima. Nelle società che non abbiano una tale funzione, il consiglio valuta periodicamente l’opportunità di istituirla”.
- 3) Versione di marzo 2006: si declina il SCI identificando le sue componenti, ossia gli obiettivi, i rischi e i controlli. La finalità rimane invariata (monitorare gli ambiti “operations, compliance, financial reporting”). Vengono dettagliate, per la prima volta, le responsabilità dei Preposti (ancora definiti al “plurale”). Essi sono incaricati di verificare che il sistema di controllo interno sia sempre adeguato, pienamente operativo e funzionante; non sono responsabili di alcuna area operativa e non dipendono gerarchicamente da alcun responsabile di aree operative; hanno accesso diretto a tutte le informazioni utili per lo svolgimento del proprio incarico e dispongono di mezzi adeguati allo svolgimento della funzione loro assegnata. Riferiscono al comitato controllo interno, al collegio sindacale e, se nominato, all’amministratore esecutivo incaricato di sovrintendere alla funzionalità del sistema di controllo interno; in particolare si esprimono sull’idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo. Si precisa inoltre, per la prima volta, che l’emittente istituisce una funzione di internal audit e che il preposto al controllo interno si identifica, di regola, con il responsabile di tale funzione aziendale.
- 4) Versione di luglio 2011: il documento presenta modifiche sostanziali. Intanto, recepisce le indicazioni della best practice Enterprise Risk Management, che enfatizza l’importanza della identificazione e valutazione dei rischi nell’implementazione del SCI. Questi ultimi possono essere gestiti non solo tramite i controlli ma, ad esempio, anche trasferendoli (ad esempio assicurandoli). Un primo effetto del nuovo paradigma basato sui rischi è che il Comitato del Board specializzato sul SCI diventa il Comitato Controllo e Rischi. In questa versione del 2011, l’elemento però più qualificante per gli Internal auditor è che viene esplicitamente sostituita la figura del “Preposto” con quella del RIA, che trova quindi una precisa collocazione nella governance delle organizzazioni. Le sue responsabilità vengono meglio declinate e integrate con la seguente: “verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile”. Il Comitato Corporate Governance di Borsa Italiana evidenzia inoltre, nel “commento che chiude il capitolo sette, che tra le funzioni di governo dei controlli, “una posizione centrale viene riconosciuta alla funzione di internal audit (o revisione interna), investita dell’attività di controllo di terzo livello” (i “commenti” sintetizzano anche tutta una serie di concetti importantissimi, come quello di SCI “integrato“). La trasformazione del RIA da “ispettore” a “business partner” è ormai un processo irreversibile.
- 5) Ultima versione di gennaio 2020: dopo i contributi del 2014 e del 2015 che non apportano modifiche al capitolo del SCIGR, nel nuovo Codice che entrerà in vigore dal 2021, vi sono altre importanti indicazioni che i RIA dovranno considerare nei propri piani di lavoro. Le indichiamo nei seguenti punti:
– Il SCIGR ha il fine di contribuire al successo sostenibile della società
– L’organo di amministrazione definisce i principi di coordinamento dei flussi informativi tra i soggetti coinvolti nel SCIGR, per evitare duplicazioni e promuovere efficacia/efficienza
– Si precisa che è il CEO il soggetto che deve istituire e mantenere il SCIGR (in sostituzione dell’Amministratore incaricato)
– Il RIA deve verificare il disegno e il funzionamento del SCIGR ma anche che lo stesso sia coerente con le linee di indirizzo definite dall’organo di amministrazione (ruolo più strategico)
– Nel declinare le responsabilità del RIA si distinguono in modo molto più netto gli aspetti “di connotazione” (dipendenza gerarchica dall’organo amministrativo) da quelli “di prestazione” (le aree di responsabilità operativa).
Nei prossimi mesi tutti gli organi della corporate governance delle società emittenti italiane dovranno adoperarsi per attuare quanto previsto nel nuovo Codice di Autodisciplina o per prepararsi ad evidenziare gli eventuali scostamenti nelle relazioni annuali.
Per il RIA si tratta quindi di definire e trovare un nuovo equilibrio: recepire le rinnovate aspettative del vertice aziendale ma pur sempre nel rispetto delle regole professionali.
Intervento del Dott. Angelo MICOCCI, Responsabile Internal Audit – SIDIEF S.p.A.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
Il Codice di Autodisciplina, Borsa Italiana, 2020
Il Codice di Autodisciplina, Borsa Italiana, 2018
Il Codice di Autodisciplina, Borsa Italiana, 2011
Il Codice di Autodisciplina, Borsa Italiana, 2006
Il Codice di Autodisciplina, Borsa Italiana, 2002
Il Codice di Autodisciplina, Borsa Italiana, 1999