Coso Report e principio ISA 315

Coso Report e principio ISA 315

Il Coso Report è il principale documento che definisce il sistema di controllo interno di un'azienda. Gli obiettivi perseguiti sono gli stessi di un sistema di controllo interno generale:

controllo di gestione;

controllo amministrativo-contabile;

controllo di conformità.

Gli elementi distintivi del Coso Report sono principalmente due:

considera il controllo come un processo perché è dato dall'insieme di azioni in sequenza realizzate per attuare gli obiettivi stabiliti;

il controllo è esteso a tutta l'organizzazione secondo gradi di intervento e livelli di responsabilità diversi.

In sintesi il Coso Report è un processo gestito dal vertice dell'organizzazione, dal management e da altro personale al fine di fornire una ragionevole sicurezza di poter conseguire gli obiettivi dell'azienda sotto tre aspetti:

I. efficace ed efficiente svolgimento delle operazioni;

II. attendibilità delle informazioni;

III. conformità a leggi e regolamenti.

Il principio ISA 315 e il Coso Report scompongono in modo analogo il sistema di controllo interno in cinque elementi:

ambiente di controllo interno;

valutazione del rischio;

attività di controllo;

informazioni e comunicazioni;

monitoraggio.

L'ambiente di controllo è la componente più importante ed è data dall'insieme degli elementi intangibili quali il contesto culturale, organizzativo e sociale, in cui vengono applicati i meccanismi di controllo; include le attività di governance, di direzione e l'atteggiamento, la consapevolezza e le azioni dei responsabili di tali attività in relazione al controllo interno ed alla sua importanza nell'impresa.

Per valutare la struttura dell'ambiente di controllo e considerare se questo sia realmente posto in essere il revisore deve considerare i seguenti elementi e le modalità con cui sono stati inseriti nei processi dell'impresa:

a)     comunicazione e vigilanza su valori etici e di integrità;

b)     considerazione dell'importanza della competenza;

c)     partecipazione dei responsabili delle attività di governance;

d)     filosofia e stile operativo della direzione;

e)     struttura organizzativa;

f)      attribuzione di autorità e responsabilità;

g)     direttive e procedure in tema di risorse umane.

Il processo di valutazione del rischio adottato dall'impresa è finalizzato ad identificare e rispondere ai rischi connessi alla attività ed ai risultati che ne conseguono.

Ai fini dell'informativa economico-finanziaria, il processo di valutazione del rischio adottato dall'impresa include le modalità con cui la direzione identifica i rischi attinenti alla preparazione di un bilancio che dia una rappresentazione veritiera e corretta in conformità al quadro normativo sull'informazione economico-finanziaria dell'impresa applicabile, ne stima la rilevanza , ne valuta la probabilità di manifestazione e decide le azioni da intraprendere per gestirli.

I rischi relativi all'informativa economico-finanziaria includono eventi e circostanze esterni ed interni che possono manifestarsi ed influenzare negativamente la capacità dell'impresa di rilevare, registrare, elaborare e dare informativa sui dati economico-finanziari in coerenza con le asserzioni della direzione nel bilancio.

Identificati i rischi, la direzione considera la loro significatività, la probabilità del loro manifestarsi e come essi debbano essere gestiti.

Le attività di controllo sono le direttive e le procedure che aiutano a garantire che le disposizioni della direzione siano eseguite. Assicurano l'adozione dei provvedimenti necessari per far fronte ai rischi che potrebbero pregiudicare la realizzazione degli obiettivi aziendali. Le attività di controllo, siano esse nell'ambito dei sistemi informativi o manuali, hanno diversi obiettivi e vengono applicate a vari livelli organizzativi e funzionali; esse possono essere suddivise in tre categorie:

attività di controllo relative agli aspetti operativi;

attività di controllo sulle informazioni di bilancio;

attività di controllo sul rispetto dei vincoli legali e regolamentari.

Inoltre i controlli possono essere di tipo preventivo, successivo o di carattere concomitante.

In linea generale, le attività di controllo rilevanti ai fini della revisione contabile possono essere classificate come direttive e procedure attinenti ai seguenti aspetti:

esami della performance;

elaborazioni informatiche;

controlli fisici;

separazione delle funzioni.

Un sistema informativo è costituito dall'infrastruttura (componenti fisiche e hardware), software, persone, procedure e dati.

Il sistema informativo rilevante per gli obiettivi di informativa economico-finanziaria, che include il sistema informativo per la redazione del bilancio, è costituito dalle procedure e dalle registrazioni stabilite per rilevare, registrare, elaborare le operazioni dell'impresa e darne informativa e mantenere evidenza contabile delle relative voci di attività, passività e patrimonio netto.

La qualità delle informazioni generate dal sistema influenza la capacità della direzione di prendere decisioni appropriate nel gestire e controllare le attività dell'impresa, nonché di redigere relazioni economico-finanziarie attendibili .

La comunicazione permette di comprendere i ruoli e le responsabilità individuali pertinenti al controllo interno nel contesto dell'informazione economico-finanziaria. La comunicazione consente di far fluire le informazioni e di trasmetterle in ogni direzione nell'azienda. I canali di comunicazione trasparente servono ad assicurare che i rilievi siano segnalati e gestiti.

Il monitoraggio dei controlli da parte della direzione richiede di valutare se i controlli stiano operando come programmato e se siano stati modificati in modo appropriato al variare delle condizioni. È responsabilità della direzione stabilire e mantenere il controllo interno su base continuativa.

Il monitoraggio dei controlli rappresenta un processo per valutare nel tempo la qualità del funzionamento del controllo interno, è svolto per garantire che i controlli continuino ad operare con efficacia.

Il monitoraggio dei controlli è realizzato attraverso attività di verifica continuative, valutazioni separate o una combinazione delle due.

Le attività di monitoraggio continuo fanno parte delle attività ricorrenti di un'impresa ed includono le normali attività amministrative e di supervisione.