Sicurezza comprovata
I sistemi di controllo interno (SCI) non sono solo prescritti dalla legge, ma sono anche un utile strumento di gestione per le aziende. Mentre i sistemi di certificazione come ISO e EFQM forniscono una visione olistica dell'organizzazione e dei processi, l'ICS statutario si concentra sui processi che hanno un impatto sul bilancio di un'azienda.
Dl SCI legale (art. 728a cpv. 1 n. 3 CO) riunisce tutte le misure di controllo interno che sorvegliano e controllano i processi finanziari di un'organizzazione. L'obiettivo è quello di identificare e minimizzare gli errori e i rischi nel lavoro quotidiano. Questo contribuisce alla protezione dei beni dell'organizzazione e a un reporting finanziario affidabile. È importante non usare l'ICS come un compito di controllo distaccato, ma piuttosto come uno strumento di gestione integrale.
Controllare i processi consapevolmente
Il primo passo è identificare le attività di business e i processi chiave in un'organizzazione. Successivamente, si valuta se c'è un'influenza diretta o indiretta sul bilancio. Infine, si valuta se questa influenza è materiale per l'azienda ed è inclusa nella considerazione dell'ICS. Sulla base di questa valutazione, vengono identificati i processi più importanti da considerare per l'ICS statutario. Questi sono documentati e rivisti per i rischi finanziari e le misure di controllo esistenti.
Lo scopo principale dell'ICS non è quello di definire e implementare il maggior numero possibile di funzioni di controllo in un processo, ma di controllare consapevolmente e sistematicamente i processi aziendali interni rilevanti e di renderli più sicuri per mezzo dei cosiddetti controlli chiave. Questi dovrebbero essere definiti e implementati nell'azienda. Importante per l'esistenza dell'ICS è che
- un ICS è in atto e verificabile;
- l'ICS è adattato ai rischi aziendali e alla portata delle attività aziendali;
- i dipendenti conoscono e comprendono i compiti del processo ICS;
- i controlli sono tracciabili;
- le persone responsabili all'interno dell'azienda sono chiaramente identificate;
- la consapevolezza del controllo è presente nell'azienda.
La legge richiede alle aziende pubbliche e ad altre aziende economicamente significative di gestire un SCI. Le disposizioni sul SCI si applicano indipendentemente dalla forma giuridica di un'entità da sottoporre a revisione se due dei tre criteri seguenti vengono superati in due esercizi consecutivi (art. 727 cpv. 1 CO):
- Vendite > 40 milioni di CHF
- Totale di bilancio > 20 milioni di CHF
- Posizioni a tempo pieno > 250 media annuale
Durante l'audit annuale regolare, il revisore deve confermare l'esistenza del SCI.
Il sistema appropriato
Per le grandi aziende multinazionali, le strutture esistenti e riconosciute a livello internazionale come la struttura COSO sono una buona scelta. Le componenti e le raccomandazioni descritte in questo quadro rappresentano un sistema olistico di misure ICS. COSO è ampiamente utilizzato oggi, soprattutto negli Stati Uniti, dove è obbligatorio per le società quotate. La legge svizzera non prescrive un sistema specifico. Si applica il principio che il SCI deve essere adattato alle circostanze specifiche dell'azienda. Così facendo, è fondamentalmente libero nel suo design. Come requisito minimo, i processi che portano al reporting finanziario devono essere illuminati.
Le medie imprese (MU) spesso affrontano una sfida particolare. I sistemi sovradimensionati non soddisfano le loro esigenze. I modelli ICS su misura offrono soluzioni adattate alle circostanze. La struttura, la documentazione e la manutenzione del sistema e dei meccanismi di controllo dovrebbero essere il più semplici possibile. Oltre a soddisfare l'obbligo legale, questi modelli sono anche destinati a garantire processi finanziari più efficienti e sicuri, che aiutano ad evitare errori nelle transazioni commerciali.
Audit del sistema di controllo
La revisione dell'ICS da parte della società di revisione copre i livelli aziendali, di processo e IT, così come la preparazione del bilancio annuale e del reporting. Dall'analisi della valutazione dei rischi, dell'ambiente di controllo e degli strumenti generali, il consiglio d'amministrazione o l'organo dirigente ricava il concetto di base del SCI. Questo non richiede di reinventare la ruota. Piuttosto, vengono incorporati documenti, direttive e linee guida esistenti. Questi includono regolamenti di firma e di autorità, descrizioni di lavoro, dichiarazioni di missione, ecc. I processi con un'influenza significativa sul bilancio annuale sono anche spiegati nel concetto di base e le procedure e le responsabilità dell'ICS sono registrate. I revisori esaminano questo documento.
Processi al microscopio
L'audit a livello di processo richiede una buona conoscenza dei processi aziendali e un know-how di gestione aziendale. I principali processi definiti, la loro documentazione e i controlli chiave sono verificati. Questo audit può essere effettuato tramite interrogazione, osservazione, revisione o per mezzo di un cosiddetto root sample, in cui vengono valutati la documentazione del processo e i controlli chiave. La stretta collaborazione tra revisore e cliente porta un grande valore aggiunto. I revisori esperti esaminano criticamente i processi operativi e possono essere consultati per suggerimenti di miglioramento.
Anche i processi aziendali supportati dall'IT fanno parte dell'audit ICS. Per le aziende più grandi, è indicato un audit IT, in cui gli specialisti esaminano in dettaglio i processi supportati dall'IT. Il contenuto dell'audit IT è l'intera infrastruttura, le interfacce, i programmi utilizzati e le informazioni sui processi manuali e automatizzati. Anche le misure organizzative come le autorizzazioni di accesso e le funzioni di protezione dei dati sono al centro dell'audit, così come il concetto di sicurezza informatica.
Bilanci annuali e reporting La preparazione dei bilanci annuali nasconde un potenziale di errore a causa della loro complessità. Per questo motivo, i singoli passi nella preparazione del bilancio devono essere documentati. La preparazione e la qualità delle figure sono di centrale importanza. Soprattutto nelle relazioni di gruppo, si deve garantire che le rispettive filiali consegnino bilanci che possono essere sottoposti a revisione. Soprattutto nel caso di quelle voci del bilancio annuale che si basano su una decisione discrezionale significativa, i controlli sovraordinati sono essenziali.
Il reporting al Consiglio di Amministrazione è effettuato dal responsabile del SCI. Tuttavia, i revisori sono anche obbligati a presentare un rapporto completo all'organo di governo sui risultati ottenuti e a proporre aggiustamenti.
L'efficacia dell'ICS non ha bisogno di essere verificata
Contrariamente ai requisiti esteri, il SCI in Svizzera non deve essere rivisto per la sua efficacia o funzionalità. Questo è il compromesso che il legislatore svizzero ha fatto. Un audit di efficacia avrebbe conseguenze di più ampia portata, sia per l'azienda che per il revisore. L'azienda dovrebbe essere in grado di dimostrare l'efficacia dell'ICS, il che comporterebbe un certo sforzo. Tuttavia, questo permetterebbe al revisore di fare più affidamento sui sistemi tramite audit funzionali. Le revisioni dettagliate nei bilanci annuali potrebbero essere ridotte di conseguenza. Questo approccio è più efficiente ed efficace, specialmente per le aziende con un alto volume contabile. Un audit di efficacia dà anche all'organo di gestione la certezza che i processi importanti nell'azienda funzionano in modo sicuro e quindi protegge i beni.