Lo standard ISO 31000 nel sistema di controllo interno e di gestione

Applicazioni dello standard
ISO 31000:2009 Risk Management –
“Principles and guidelines”
Lo standard ISO 31000 nel sistema di controllo interno e di
gestione dei rischi ex art. 7 del Codice di Autodisciplina delle
società quotate in Borsa.
di Stefano Barlini, CT31000, CIA, CISA, CCSA, QAR, professionista specializzato in servizi di
consulenza e formazione in materia di risk management e controllo interno. E’ associato a Crowe
Horwath AS per i servizi di risk consulting.
Crowe Horwath AS è una società di revisione e consulenza che fa parte di Crowe Horwath
International tra i primi 10 network internazionali di consulenza globale presente in oltre 100
Paesi. Crowe Horwath AS è specializzata nei servizi di Audit, Risk Consulting, Advisory e Forensic
Accounting con sedi a Milano, Roma, Torino, Trento e Napoli.
Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale 4.0
Internazionale.
Per
leggere
una
copia
della
licenza
visita
il
sito
web
http://creativecommons.org/licenses/by-nc/4.0/ o spedisci una lettera a Creative Commons, 171 Second
Street, Suite 300, San Francisco, California, 94105, USA.
Lo standard ISO 31000 nel SCIGR ex art.7 Codice Autodisciplina
Finalità del documento
Il presente documento intende avviare una ricerca sull’applicabilità dello standard ISO 31000:2009 Risk
Management – “Principles and guidelines” al sistema di controllo interno e di gestione dei rischi richiesto
agli emittenti ai sensi dell’articolo 7 del Codice di Autodisciplina delle società quotate in borsa.
Ringraziamenti
L’autore ringrazia The Global Institute for Risk Management Standards per gli spunti forniti anche
attraverso il LinkedIn Group “ISO 31000 Risk Management Standard”.
2
Lo standard ISO 31000 nel SCIGR ex art.7 Codice Autodisciplina
Dopo aver introdotto lo standard ISO 31000:2009 “Risk Management – Principles and guidelines”, ci si può
ora domandare se esso possa essere applicato e produrre benefici nella implementazione o nella revisione
e miglioramento dei sistemi di controllo interno e di gestione dei rischi di cui all’articolo 7 del Codice di
Autodisciplina delle società quotate in Borsa.
Limitando l’analisi alla sola componente dei principi, è noto che l’ultima versione del Codice di
Autodisciplina delle società quotate in borsa risalente al Dicembre del 2011 ha innovato rispetto alle
precedenti versioni i requisiti inerenti il sistema di controllo interno e di gestione dei rischi in capo agli
emittenti:
1. esplicitando il concetto di rischio attorno a cui è ora proposta la definizione del sistema di controllo
interno; [centralità del rischio]
2. riferendo “… l’insieme delle regole, delle procedure e delle strutture organizzative …” non più come
l’oggetto stesso del sistema di controllo interno, ma come il framework di cui si deve dotare
l’emittente ai fini della “… identificazione, misurazione, gestione e monitoraggio dei principali
rischi”; [framework di supporto al processo di risk management]
3. ampliando nella sua definizione le finalità del sistema di controllo interno e di gestione dei rischi:
a. dalla “…salvaguardia del patrimonio sociale, l’efficienza e l’efficacia delle dei processi
aziendali…” (prima operazioni), nonché “… l’affidabilità dell’informazione finanziaria, il
rispetto di leggi e regolamenti…” (sostanzialmente basata sulla definizione fornita dal
“COSO I” Internal Control – Integrated Framework emesso dal COSO nella sua prima
versione nel 1992);
b. all’inclusione degli “…obiettivi aziendali..” al cui raggiungimento mediante “…l’assunzione di
decisioni consapevoli…” contribuisce un “…efficace sistema di controllo interno e di gestione
dei rischi” (che riflette maggiormente le definizioni contenute nel “COSO II” Enterprise Risk
Management – Integrated Framework emesso dal COSO nella sua prima versione del
2004); [obiettivi aziendali inclusi nella definizione]
4. aggiungendo che tale sistema di controllo interno e di gestione dei rischi non è autonomo e
distinto, ma è “… integrato nei più generali assetti organizzativi e di governo societario adottati
dall’emittente…”; [integrazione con il sistema di governo societario]
5. elevando (da criterio applicativo) a livello di principio, l’indicazione dei “… modelli di riferimento e le
best practices esistenti in ambito nazionale e internazionale ...” come base per la realizzazione del
sistema di controllo interno e di gestione dei rischi. [modelli e migliori pratiche nazionali e
internazionali]
L’articolo 7 del Codice di Autodisciplina completa poi l’aggiornamento dei requisiti in capo agli emittenti
identificando i principali attori del sistema di controllo interno e di gestione dei rischi, e le relative
responsabilità, comunque rimettendo all’autonomia dell’emittente le scelte organizzative più appropriate
in funzione sostanzialmente del proprio profilo di rischio.
Lo standard ISO 31000 può essere applicato in un sistema di controllo interno e di gestione dei rischi?
Le novità introdotte nella versione del Dicembre 2011 del Codice di Autodisciplina, più sopra riepilogate
con riferimento ai principi di cui all’articolo 7, hanno inequivocabilmente ampliato l’oggetto del requisito in
capo agli emittenti: da un sistema di controllo interno si è, infatti, passati ad un (più ampio e comprensivo
del primo) sistema di (enterprise) risk management.
3
Lo standard ISO 31000 nel SCIGR ex art.7 Codice Autodisciplina
Nel panorama attuale delle linee guida di riferimento, lo standard ISO 31000:2009 Risk Management –
“Principles and guidelines” è certamente quello che meglio si propone per fornire la base per la
realizzazione o revisione e miglioramento dei sistemi di controllo interno e di gestione dei rischi di cui
all’articolo 7 del Codice di Autodisciplina; ciò, probabilmente ancor di più dopo che nel Maggio del 2013 la
nuova versione del “COSO III” Internal Control – Integrated Framework è tornata, non solo
metaforicamente, alle originarie 5 componenti, focalizzandosi esplicitamente solo sul controllo interno e
sulla valutazione della sua efficacia.
Certamente un sistema di risk management basato sullo standard ISO 31000:2009 può dare seguito in
maniera completa ed appropriata alla generalità dei requisiti discendenti dall’articolo 7 del Codice di
Autodisciplina degli emittenti e sopra riepilogati a mero titolo esemplificativo; esso infatti:
1. attribuisce evidentemente un ruolo centrale al rischio e quindi alla sua gestione;
2. fornisce delle linee guida per la realizzazione, implementazione, monitoraggio e revisione, ed infine
per il miglioramento continuo (in accordo al ciclo Plan, Do,Check, Act) del framework a fondamento
del processo di risk management;
3. lega la definizione e il concetto di rischio agli obiettivi di un’azienda o organizzazione in generale;
4. esplicita più volte fin già dai principi che il risk management è parte integrante del sistema di
gestione effettivo con cui sono assunte le decisioni ai vari livelli, e non debba invece intendersi
come un sistema di gestione separato e “stand-alone”;
5. rappresenta uno standard ISO oggi ufficialmente adottato come proprio standard in materia di Risk
Management dalla grande maggioranza dei Paesi, inclusi i Paesi dell’UE (Germania, Gran Bretagna,
Francia, Italia, etc.), USA, Canada, Brasile, Giappone, Russia, Cina, Australia, India, Sud-Africa, etc.
(http://g31000.org/national-standards-adopt-iso31000/).
Quali allora i benefici?
L’analisi effettuata mostra che è quindi possibile realizzare o rivedere criticamente e migliorare un sistema
di controllo interno e di gestione dei rischi conforme ai requisiti di cui all’articolo 7 del Codice di
Autodisciplina, basandosi sullo standard internazionale ISO 31000:2009. Quali potrebbero però essere i
benefici derivanti?
1. Basare un sistema di controllo interno e di gestione dei rischi su uno standard internazionale che
riprende le migliori pratiche di riferimento e possiede l’intrinseca forza e spessore di uno standard
ISO, può essere particolarmente utile innanzi a qualsiasi soggetto interno o esterno che sia
chiamato ad esprimere una valutazione sull’adeguatezza del disegno e sulla sua efficace attuazione.
2. L’integrazione del sistema di controllo interno e di gestione dei rischi (es. unico framework, unica
risk policy, metodologia, etc.), nel più ampio sistema di gestione aziendale, è essenziale ai fini della
sua efficace attuazione. Lo standard ISO 31000 ha proprio come suo primo obiettivo la realizzazione
di tale integrazione (cfr. Introduzione all’ISO 31000) non solo per esigenze di mera conformità a
requisiti di legge e regolamento, ma anzitutto per esigenze di miglioramento della performance
aziendale.
3. A rafforzare ulteriormente la vocazione all’integrazione dei vari sistemi di gestione che hanno a che
fare con la gestione di qualsiasi tipo di rischio, l’ISO 31000 ha come proprio punto di forza e
obiettivo esplicito quello di armonizzare i processi di Risk Management secondo le attuali e future
versioni degli altri standard e linee guida che riguardano, invece, specifici rischi e/o settori (es. ISO
27001, ISO 14001, OHSAS 18001, etc. ), non sostituendosi in alcun modo ad essi, ma fornendo
4
Lo standard ISO 31000 nel SCIGR ex art.7 Codice Autodisciplina
piuttosto un approccio comune. Tale è il ruolo conferitogli dall’Annex SL delle Direttive ISO poste ad
indirizzo dello sviluppo di nuovi standard internazionali o di nuove versioni di quelli correnti
(http://www.iso.org/iso/home/standards_development/resources-for-technicalwork/iso_iec_directives_and_iso_supplement.htm).
4. Lo standard ISO 31000 è in continua evoluzione e, oltre ad essere già stato ufficialmente adottato
in maniera diffusa a livello mondiale, è ragionevole attendersi che avrà sempre più maggior
consenso e applicazione e si arricchirà, facendo proprie le ulteriori migliori e/o più importanti
pratiche internazionali di riferimento, di ulteriori strumenti applicativi che consentiranno di
standardizzare le pratiche di risk management nel mondo (si vedano le notizie riguardanti il piano
di lavoro del comitato ISO / TC 262 responsabile dello sviluppo ed emissione dello standard ISO
31000:2009, nonché dell’ISO Guide 73:2009 Risk management – Vocabulary).
5