Modello ERM per la gestione del controllo interno

Pubblicato il 31 marzo 2025

Il sistema informativo assume un'importanza cruciale per il raggiungimento degli obiettivi relativi all'informativa finanziaria, alla gestione dei processi e alla comunicazione. Esso è composto dall'insieme delle registrazioni necessarie per elaborare le operazioni aziendali, non solo al fine di fornire informazioni adeguate, ma anche per mantenere traccia degli eventi gestionali avvenuti e della loro influenza sulle voci di attivo, passivo e patrimonio netto.

Un aspetto distintivo delle informazioni è che, affinché siano valide, devono essere efficaci e distribuite in modo uniforme, indipendentemente dalla loro destinazione (interna o esterna).

Per perseguire gli obiettivi stabiliti dalla governance aziendale, è essenziale garantire una circolazione diffusa delle informazioni a tutti i livelli. L'impiego dei sistemi informativi, nel contesto attuale, si sta rivelando parte integrante dell'operatività aziendale; la qualità e l'utilizzo di tali sistemi rappresentano indicatori significativi dell'evoluzione dell'azienda nel tempo. Infatti, consentono di ottenere dati necessari non solo per supportare processi decisionali rilevanti ma anche, in particolare, per sostenere scelte strategiche. Per assicurare l'affidabilità delle informazioni fornite, questi sistemi devono essere oggetto di verifiche periodiche.

Uno degli strumenti più usati oggi per gestire e migliorare questi controlli è l’Enterprise Risk Management (ERM), ovvero la gestione integrata dei rischi aziendali.

Le categorie presenti all’interno del sistema

Gli obiettivi aziendali possono essere suddivisi nelle seguenti categorie:

• Obiettivi strategici

  • devono essere allineati alla missione dell’azienda e fornire un supporto concreto al raggiungimento degli obiettivi generali.

• Obiettivi operativi

  • riguardano l’efficienza e l’efficacia delle attività aziendali. Sono monitorati dal management per valutare in modo corretto le performance operative.

• Obiettivi di reporting

  • interessano tutto quello che attiene alle informazioni sia interne che esterne. E’ importante che esse siano accurate, complete, coerenti e tempestive.

• Obiettivi di conformità

  • ineriscono la verifica delle scelte e dei provvedimenti aziendali adottati in conformità alla legge e ai regolamenti.

Il modello ERM e le componenti del sistema di controllo

Il sistema individua delle componenti di controllo la cui stretta unione ne permette il funzionamento.

Tali componenti del sistema possono essere così individuate:

• Ambiente interno

  • riguarda le persone presenti all’interno dell’azienda e le modalità in cui il rischio accettabile viene dalle stesse considerato ed affrontato.

• Definizione degli obiettivi

  • viene previsto che gli obiettivi da raggiungere vengano fissati antecedentemente all’individuazione dei potenziali rischi che ne possano compromettere il loro raggiungimento.

• Identificazione degli eventi

  Valutazione del rischio

  • nel corso dello svolgimento dell’attività aziendale si verificano una quantità notevole di eventi; scopo del componente di sistema è quello di intercettare eventi che possano avere un impatto sull’attività dell’azienda. Inoltre, dovrà fornire la distinzione tra eventi rischio ed eventi opportunità.

  • Dopo aver identificato i rischi, è necessario analizzarli per capire come gestirli. I rischi vengono valutati in:

    • rischi inerenti: il rischio puro in assenza di interventi correttivi.

    • rischi residui: il rischio che rimane dopo aver adottato misure per ridurlo.

• Replica al rischio

  • Una volta identificato un rischio, l’organo amministrativo – in coordinamento con gli altri vertici aziendali – definisce le risposte più appropriate, che possono includere:

    • Evitare il rischio

    • Ridurlo

    • Accettarlo

    • Condividerlo (compartecipazione).

  • È fondamentale che siano attivate procedure interne per assicurare che queste risposte siano attuate in modo efficace.

• Attività di controllo

  • E' necessario che a livello interno vengano attivate procedure tese a garantire che le risposte attuate a contrasto del rischio siano adeguatamente eseguite.

• Informazione e comunicazione

  • E' uno degli elementi di peculiare importanza nella gestione aziendale. Le informazioni che seguono un criterio di reciprocità dovranno essere trattate e diffuse efficacemente in modo da consentire ai soggetti interessati di adempiere celermente alle proprie responsabilità.

• Monitoraggio

  • Il monitoraggio continuo dell’intero processo di controllo consente di individuare tempestivamente eventuali criticità e di intervenire con le modifiche necessarie per migliorare il sistema.

Valutazione dei rischi secondo l’approccio ERM

Secondo l’Enterprise Risk Management i rischi vanno valutati:

• a livello strategico;
• a livello operativo;
• a livello di affidabilità;
• a livello di conformità alle leggi.

Nuovi aspetti

I nuovi aspetti inerenti alla valutazione del rischio sono così individuati:

• circoscrizione degli obiettivi del controllo da effettuare;
• individuazione dell’evento oggetto di controllo;
• analisi, valutazione e suddivisione del rischio in:

1. rischio sostenibile;
2. risposta al rischio da parte dell’impresa.

Modello ERM del 2017

Nel 2017 è stato aggiornato il modello con il nuovo titolo: Enterprise Risk Management – Allineare il Rischio con la Strategia e le Performance. Questo aggiornamento si concentra sugli elementi essenziali per attuare un efficace sistema di controllo in azienda.

Una caratteristica distintiva è che l'attenzione non si limita alla verifica funzionale del sistema, ma si estende anche all'efficacia delle informazioni in termini operativi. L'aggiornamento del modello si è reso necessario in relazione ai seguenti aspetti.

Integrazione:	Si è reso necessario procedere ad una integrazione tra i fenomeni e i processi strategici posti in essere. Difatti, l’assenza di tale integrazione ha fatto riscontrare una non corretta interpretazione o l’ignoranza del framework relativo.
Implementazione:	L’implementazione ha richiesto una revisione a causa della eccessiva frammentarietà e dispersione delle informazioni. Ciò ha comportato una informazione relativa ai singoli processi e non globale o strategica.
Coinvolgimento:	L’utilizzo del modello ERM al fine di migliorare la gestione degli affari ha sempre richiesto un coinvolgimento delle figure apicali presenti nell’azienda. Tale formula, rivelatasi non rispondente, ha richiesto delle modifiche.

Il sistema di gestione del rischio enterprise (ERM), analogamente ad altri modelli, ha subito l'impatto di una serie di influenze negative derivanti da eventi macroeconomici a livello globale.

Questi fenomeni hanno contribuito ad aumentare la complessità delle dinamiche aziendali, ponendo un'accentuata enfasi sulla gestione del rischio. Attualmente, l'attenzione si concentra sulla relazione tra rischio, strategia e performance aziendale.

Nuovi profili di rischio

Nella sua versione aggiornata, viene proposta una nuova modalità di valutazione e monitoraggio del rischio, basata su principi significativi per diverse aree.

• Risk governance & culture: la cultura del rischio intesa come analisi dell’espressione e dei comportamenti nel contesto del business;
• Risk, strategy & objective-setting: si riferisce all’analisi del potenziale cambiamento del rischio in funzione delle scelte operate dai vertici aziendali;
• Risk information, communication & reporting: evidenzia l’importanza della raccolta delle informazioni all’interno del sistema e della sua successiva condivisione sia interna che esterna all’azienda. La validità di tali informazioni è estremamente importante, dato che giocano un ruolo determinante sulla scelta delle relative strategie da attuare;
• Monitor risk management performance: si focalizza sulle performances riscontrabili sul modello di rischio implementato nell’azienda. Verifica in modo puntuale l’efficacia dei modelli che supportano il management aziendale al fine di stimare, valutare e comprendere il rapporto esistente tra il rischio e le performances aziendali.

Conclusioni

Ogni sistema di controllo interno, per quanto efficiente, può fornire informazioni caratterizzate da un'adeguata sicurezza, ma non può garantire con certezza il raggiungimento degli obiettivi stabiliti. Il grado di realizzazione è influenzato anche dai limiti intrinseci del sistema di controllo interno. Considerando che tali limiti sono legati alla valutazione umana, si giunge alla conclusione che non esiste un sistema di controllo interno infallibile.