La “Crisi di Impresa” induce a riflettere di regole partendo da un’analisi sulla loro evoluzione giuridica con al centro il modo di fare impresa prima ancora di valutare i nuovi parametri della L. 14/2019.

Questa evoluzione ha portato a una rivoluzione epocale nella gestione dei fattori economici, trovando fondamento nell’organizzazione e nel sistema dei controlli, presupposto della governance aziendale avanzata e dunque della buona amministrazione.

Il quadro normativo dal 1990

La necessità di una maggiore regolamentazione per il governo d’impresa è storicamente determinata dall’accelerazione di azioni scorrette da parte dei vertici aziendali di alcune società, sfociate in scandali finanziari mondiali. La lista negli ultimi 30 anni è lunga – Parmalat, Cirio, Gnutti, i furbetti del quartierino (Coppola, Ricucci, Statuto) – segnata da gravi perdite per la collettività e per gli stakeholder. Negli USA i casi eclatanti sono stati Emron e Worldcom.

È con l’avvento della diffusione della tecnologia internet a scopi imprenditoriali che nasce il termine di New Economy. Il termine identificava un’evoluzione dell’economia dei paesi industrializzati attraverso le tecnologie web, passaggio che portava da un sistema industriale produttivo prettamente manifatturiero a un sistema rivolto ai servizi, con un forte utilizzo di asset immateriali orientati al contesto globale.

Questa rivoluzione, profonda e strutturale, a metà degli anni 90 tra gli operatori economici ha insinuato la percezione di una tecnologia in grado di modificare strutturalmente i normali corsi macroeconomici. In particolare alcuni operatori ne hanno sovrastimato i benefici per maggiore efficacia ed efficienza economiche (grazie a un aumento della produttività e a una riduzione dei costi di transazione): insieme alla congiuntura positiva tale percezione ha innescato tipicamente l’aumento dei corsi azionari. Il risultato noto a tutti? La più grande bolla speculativa del secolo. Un esempio paradossale è stata la grande richiesta di azioni nel corso della quotazione in borsa di BASICNET – Robe di Kappa, società che nulla aveva a vedere con le tecnologie web, nonostante l’estensione NET.

La bolla esplose nel marzo del 2000, generando fallimenti e profonde e irreversibili tensioni sui mercati finanziari.

La reazione negli USA fu repentina: l’allora presidente George Bush, con la firma del Sarbanes-Oxley Act, incise profondamente sulla regolamentazione del governo d’impresa statunitense prima e mondiale poi, introducendo nuovi e stringenti adempimenti di corporate governance per tutte le imprese quotate alla borsa americana. Divennero centrali e divennero cultura d’impresa il tema della responsabilità gestionale dei membri del consiglio di amministrazione e del top management, della redazione e veridicità dei documenti informativi societari, dei conflitti di interessi tra società di consulenza e società di revisione.

La regolamentazione del contesto italiano passa attraverso numerosi interventi, sia legislativi sia dettati dal mercato del capitale di rischio (Borsa Italiana S.p.a.).

Di seguito l’evoluzione sintetica di questa evoluzione normativa.

• La legge 58/1998 cosiddetta Legge Draghi, che introduce l’espressione sistema di controllo interno nella legislazione italiana, con portata generale per le società quotate, e ne affida al collegio sindacale la vigilanza sulla relativa adeguatezza. Il collegio sindacale è dunque collocato al centro del sistema dei controlli endosocietari. Alla società di revisione viene deputato il controllo sulla contabilità, i bilanci e i pareri di congruità sulle operazioni straordinarie. Viene introdotta la figura del Preposto al Controllo Interno.
• Per allineare la normativa italiana a quella internazionale in tema di responsabilità delle persone giuridiche e nel quadro degli interventi sulla funzione dei controlli interni, facendo riferimento in particolare al profilo dell’assetto organizzativo e gestionale della società si colloca il Dlgs. n. 231/01. Il fondamentale decreto ha statuito la responsabilità amministrativa dell’ente per i reati commessi nel suo interesse da parte di soggetti riferibili all’ente stesso (Gasparri, 2013), nonché il Codice Etico quale documento integrativo del MOG Modello di Organizzazione e Gestione (“Convenzione OCSE sulla lotta alla corruzione di pubblici ufficiali nelle operazioni economiche internazionali”, sottoscritta da molti Paesi, tra cui l’Italia, nel 1997, atto ispirato a sua volta al Foreign Corrupt Practices Act statunitense).
• Il Dlgs. n. 6/03 (Riforma del diritto societario) ha poi riformato organicamente la disciplina delle società di capitali, contribuendo a determinare l’attuale configurazione del sistema di controllo interno: con questo intervento normativo il consiglio di amministrazione di tutte le imprese azionarie, incluse le quotate, acquista un ruolo di monitoraggio sull’attività gestionale degli amministratori esecutivi, con conseguente ampliamento della platea di soggetti e organi costituenti il sistema dei controlli endosocietari.

La normativa dunque sancisce un obbligo di cooperazione tra i diversi organi sociali (Internal Governance): in particolare gli organi delegati sono chiamati a “curare”, il consiglio di amministrazione a “valutare” (art. 2381 C.C.), il collegio sindacale a “vigilare” sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società (art. 2403 C.C.).

La riformulazione dell’art. 2381 C.C. – disposizione applicabile anche alle società quotate – sancisce definitivamente il ruolo di supervisione in capo al consiglio di amministrazione nei confronti degli organi delegati e conferma la differenza sostanziale tra poteri e doveri spettanti agli amministratori non esecutivi rispetto a quelli degli amministratori esecutivi.

• Alla luce degli scandali finanziari riscuote una crescente attenzione il tema dell’adeguatezza del sistema amministrativo contabile, quale insieme di procedure finalizzate a garantire l’attendibilità delle informazioni aziendali di bilancio. La risposta del legislatore arriva con la legge 262/2005 sulla responsabilizzazione del management aziendale e con l’inserimento di norme per garantire l’indipendenza della società di revisione rispetto alle attività di audit.

• Il ruolo dei controlli endosocietari si è ulteriormente ampliato a partire dalla fine degli anni ’90, anche per l’effetto dell’autodeterminazione di una serie di disposizioni dirette alle società quotate coordinate dal presidente della Borsa Italiana. Si fa riferimento al Codice di Autodisciplina delle società quotate (Codice Preda), redatto nel 1999 dal Comitato per la Corporate Governance presso Borsa Italiana S.p.a. e aggiornato successivamente. Il documento rappresenta il tentativo di adattare al contesto italiano e sistematizzare le best practice (di cui più aventi si dirà) già recepite nelle più importanti esperienze straniere, spesso destinate a definire modelli poi introdotti come normativa primaria. Obiettivo programmatico dell’iniziativa è fornire “stimolo, sostegno e rafforzamento delle migliori pratiche al servizio del mercato”. Vengono identificati modelli organizzativi e di articolazione interna, princìpi ordinatori e regole concrete di comportamento degli organi di gestione e di controllo, nonché requisiti strutturali e funzionali di elementi dell’organizzazione aziendale rilevanti per il governo della società, in particolare riguardo al sistema di controllo interno (Gasparri, 2013).

• Il Dlgs. 81/2008 (attuazione dell’art. 1 della Legge n. 123/2007 in materia di tutela della salute e della sicurezza nei luoghi di lavoro) e il DLgs. 196/2003 (Codice in materia di protezione dei dati personali) contengono riferimenti, seppur minori, alla gestione dei rischi e ribadiscono la centralità dei processi di identificazione e valutazione dei rischi e di formazione del personale.

• Il riflesso si ha nella revisione legale con l’emanazione del Dlgs. 39/2010 e con l’introduzione di nuovi princìpi contabili (Isa Italia 315): l’identificazione e la valutazione dei rischi di errori significativi attraverso la conoscenza analitica dell’impresa e del contesto in cui opera. Il collegio sindacale acquisisce la funzione di Comitato per il controllo interno e la revisione contabile. Per il controllo interno nasce lo standard Iso 31000.

• Introduzione della Legge 190/2012 (Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione, cosiddetta Legge anticorruzione), che istituisce l’ANAC Autorità Nazionale Anticorruzione e la figura del RPCT Responsabile della Prevenzione della Corruzione e Trasparenza. La legge obbliga inoltre alla redazione di un PTPCT Piano Triennale per la Prevenzione della Corruzione e Trasparenza, prevedendo la formazione del personale e istituendo i seguenti controlli:

a) individuare le attività, tra le quali quelle di cui al comma 16, nell’ambito delle quali è più elevato il rischio di corruzione, anche raccogliendo le proposte degli apicali

b) per le attività individuate ai sensi della lettera a) prevedere meccanismi di formazione,repliche orologi attuazione e controllo delle decisioni idonei a prevenire il rischio di corruzione

c) con particolare riguardo alle attività individuate ai sensi della lettera a) prevedere obblighi di informazione nei confronti del responsabile chiamato a vigilare sul funzionamento e sull’osservanza del piano

d) monitorare il rispetto dei termini, previsti dalla legge o dai regolamenti, per la conclusione dei procedimenti

e) monitorare i rapporti tra l’amministrazione e gli operatori economici interessati a procedimenti di autorizzazione, concessione o erogazione di vantaggi economici di qualunque genere, anche verificando eventuali relazioni di parentela o affinità sussistenti tra i titolari, gli amministratori, i soci e i dipendenti degli stessi soggetti e i dirigenti e i dipendenti dell’amministrazione

f) individuare specifici obblighi di trasparenza ulteriori rispetto a quelli previsti da disposizioni di legge.

In tale contesto nasce lo standard e la certificazione ISO 37001.

• Il Dlgs n. 175/2016 (TUSP Testo Unico in materia di Società Pubbliche) e la Raccomandazione Del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili per le società in controllo pubblico (marzo 2019) prevedono un ulteriore salto nel concetto di governance, soprattutto sulla continuità aziendale.

• GDPR Regolamento Europeo Privacy n. 2016/679 contiene riferimenti alla gestione dei rischi, ribadisce la centralità dei processi di identificazione e valutazione dei rischi e della formazione.

• Il Dlgs. n. 231/2017 in attuazione della direttiva UE n. 849/2015 (cosiddetta IV Direttiva antiriciclaggio) per i reati di riciclaggio e autoriclaggio.
• Il Dlgs n. 14/2019 (Codice della crisi di impresa), che incide nuovamente sui controlli anticipatori della crisi di impresa e apporta sostanziali modifiche al Codice Civile.

• All’art. 2086 del Codice Civile, dopo il primo comma è aggiunto il seguente:

“Sia che operi in forma societaria sia in forma collettiva, l’imprenditore ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale”.

• All’art. 2477:

“La gestione dell’impresa si svolge nel rispetto della disposizione di cui all’articolo 2086, comma 2, e spetta esclusivamente agli amministratori, i quali compiono le operazioni necessarie per l’attuazione dell’oggetto sociale”.

• All’art. 2381 comma 6:

“Gli amministratori sono tenuti ad agire in modo informato; ciascun amministratore può chiedere agli organi delegati che in CdA siano fornite informazioni relative alla gestione della società”.

• All’art.  2428:

“Il bilancio deve essere corredato da una relazione degli amministratori contenente un’analisi fedele, equilibrata ed esauriente della situazione della società e dell’andamento e del risultato della gestione, nel suo complesso e nei vari settori in cui essa ha operato, anche attraverso imprese controllate, con particolare riguardo ai costi, ai ricavi e agli investimenti, nonché una descrizione die principali rischi e incertezze cui la società è esposta”.

Pubblica Amministrazione

Indagare sul processo di riforma della Pubblica Amministrazione significa studiarne il sistema dei controlli.

Il controllo è infatti uno degli aspetti più emblematici del sistema amministrativo perché ne presuppone e insieme ne riflette tutte le dinamiche principali. Con il termine New Public Management (NPM) si designa un modello di governo manageriale e un insieme di tecniche di gestione delle amministrazioni pubbliche basati su pratiche trasposte dal settore privato. L’idea di base è integrare il diritto amministrativo e le pratiche gestionali tradizionali, che regolano il funzionamento di un ente pubblico, con metodi di gestione più orientati al risultato, garantendo maggiore economicità, efficienza ed efficacia nella gestione delle risorse e nella fornitura dei servizi. Il NPM si è sviluppato come risposta necessaria ad alcune grandi trasformazioni, tra cui la profonda crisi che aveva colpito gran parte delle democrazie occidentali. A tal proposito l’OCSE cominciò a sollecitare i governi nazionali per alzare i livelli di competitività del settore pubblico attraverso la riduzione e il controllo della spesa, la riorganizzazione del personale e l’adozione di tecniche e strumenti per la misurazione dei costi e la gestione dei servizi già sperimentati nel settore privato.

L’amministrazione delineata dal paradigma è orientata più a coordinare e controllare che a eseguire: si introduce infatti una logica di responsabilizzazione dei dirigenti (Legge 241/1990) considerati alla stregua dei manager privati; si suggerisce l’adozione di standard predefiniti cui le diverse attività amministrative dovrebbero ancorarsi e di indicatori per misurare la qualità e l’efficienza delle prestazioni; si pone grande enfasi sull’output, cioè sui risultati dell’azione amministrativa e sui servizi forniti ai cittadini, sull’adozione di stili aziendalistici di gestione delle attività e delle risorse umane, nonché sul potenziamento dell’autodisciplina dei dipendenti pubblici.

La necessità di modernizzare la Pubblica Amministrazione è imprescindibile: per attuare il principio di buon andamento che trova il suo primario fondamento nell’art. 97 della Costituzione, il legislatore nazionale si è spinto u una riorganizzazione profonda della cultura amministrativa.

In tale prospettiva notevole rilevanza assume il profondo ripensamento del sistema dei controlli interni, operato con il Dlgs.n. 286/ 1999 n. 286, dal TUEL (D.L. 174/2012) e dalla la legge Madia . 

Il nuovo impianto si caratterizza, nelle intenzioni, per essere un sistema integrato di controlli interni rivolto a riordinare e potenziare gli strumenti di monitoraggio e di analisi di costi, rendimenti e risultati dell’attività delle amministrazioni pubbliche.

Le principali caratteristiche di questo approccio vanno lette attraverso una triplice dimensione: manager, mercato, misurazione:

• separazione tra funzioni di indirizzo e obiettivi di competenza dell’organo politico e funzioni di gestione dei processi, affidata al management
• alleggerimento degli apparati amministrativi, esternalizzando alcune funzioni gestionali; costituendo società di servizi pubblici anche con partecipazione di privati; maggior ricorso al mercato e alla concorrenza (forme di contracting out, fornitura di servizi a domanda individuale attraverso voucher e altri meccanismi competitivi, con la creazione di un “quasi mercato”
• acquisti centralizzati, razionalizzazione dei processi di pianificazione e valutazione delle performance, articolazione nell’ambito della struttura organizzativa di specifici budget e obiettivi di gestione, relativo conferimento di autonomie e deleghe di responsabilità manageriali
• valorizzazione delle risorse umane; incentivazione del personale sulla base delle performance organizzative e individuali (Performance-related pay)
• reingegnerizzazione dei processi per il miglioramento di efficienza ed efficacia, anche attraverso l’impiego di ICT
• maggior attenzione alla qualità dei servizi e all’ascolto dei cittadini utenti
• introduzione nel pubblico di best practice manageriali di stampo privatistico
• orientamento al risultato.

Da questo approccio discende il sistema dei controlli interni nella Pubblica Amministrazione, disciplinato dagli articoli. 147 e seguenti del TUEL, introdotti dall’art. 3, c. 2, punto d) del D.L. n. 174/2012 convertito con modificazioni nella Legge 213/2012.

Il sistema dei controlli interni individua le seguenti attività:

• controllo di regolarità amministrativa e contabile
• controllo strategico
• controllo di gestione
• controllo degli organismi gestionali esterni

• controllo sulla qualità servizi erogati
• controllo degli equilibri finanziari.

Tali forme di controllo devono essere condotte in modo scrupoloso e devono garantire il contenuto essenziale della totale azione amministrativa rinvenibile nella sua regolarità e correttezza.

I controlli esterni sono affidati alla Corte dei Conti.

I controlli

Gli organi delegati “curano”, il Consiglio di Amministrazione “valuta”, il Collegio Sindacale “vigila” sull’adeguatezza del sistema organizzativo, amministrativo e contabile.

Per inquadrare correttamente i complessi problemi che la materia solleva, occorre prendere le mosse dalla Riforma del diritto societario. La riforma del 2003 ha elevato, come è noto, i princìpi di corretta amministrazione a clausola generale di comportamento degli amministratori, prima espressamente contemplata soltanto per le società quotate [art. 149, lett. b) TUF].

Il rispetto delle regole di buona gestione, elaborate dalla prassi e dalle scienze aziendali e non solo giuridiche, è oggi dunque norma di diritto comune. La violazione delle regole in sede penale equivale a condanna certa per gli amministratori.

Il paradigma degli assetti organizzativi adeguati assurge a canone necessario di organizzazione interna dell’impresa, sul piano gestionale, amministrativo e contabile e conseguentemente a direttrice fisiologica dell’attività, oltre che a strumento di tracciabilità dei processi e criterio di valutazione della responsabilità di amministratori,orologi replica dirigenti e controllori.

Fulcro degli assetti organizzativi adeguati è il sistema di controllo interno, che costituisce lo snodo cruciale dell’articolazione del potere d’impresa e delle regole di responsabilità. L’obbligatorietà del sistema di controllo interno deve essere riconosciuta come princìpio di diritto societario comune quale elemento necessario ai fini dell’adeguatezza della struttura organizzativa della società (sia pure con caratteri di maggiore o minore complessità in ragione della dimensione e della tipologia dell’impresa).

Le buone prassi

La traduzione della materia giuridica in elementi organizzativi sul tema del controllo interno è avvenuta attraverso l’operato di alcune commissioni americane (anni ’90) per la valutazione delle frodi. Con l’ausilio delle scienze aziendalistiche sono state determinate best practice per la costruzione dei sistemi di controllo.

Il primo studio nasce nel 1992 negli Stati Uniti come iniziativa delle associazioni professionali più prestigiose d’America (American Institute of Certified Public Accountants, American Accounting Association, Institute  of Internal Auditors, Institute of Management Accountants, Finanacial Executive Institute), che hanno dato vita a una commissione di studio all’interno della National Commission on Fraudolent Financial Reporting (NCFFR) conosciuta come Treadway Commission (dal nome del suo Presidente James Treadway). La commissione incaricò alla Coopers & Lybrand di realizzare uno studio per il miglioramento dei sistemi di controllo interno (SOX Section 302 e 404) e per elaborare un concetto comune di controllo a tutti gli operatori interessati (autorità di controllo, dirigenti, revisori, membri del consiglio di amministrazione, Ceo, Cfo).

Il testo conclusivo del 1992 è il CoSO Report – Internal Control  Integrated Framework del quale si da la rappresentazione grafica:

Coso I                                                   E.R.M.

Nel 2001 la commissione CoSO lanciò un nuovo progetto per elaborare un modello di riferimento in grado di essere rapidamente adottato dai manager per valutare e migliorare la gestione del rischio aziendale, inteso come rischio di gestione, definendo un modello di riferimento integrato nei processi operativi e comprendente tutte le tipologie di rischio.

Lo studio produsse nel 2002 il cosiddetto ERM Enterprise Risk Management.

Ecco gli obiettivi, ormai cultura diffusa anche in Italia:

– strategici: sono espressi in termini generali e devono essere allineati alla mission aziendale, supportandola. Riflettono la scelta del management sugli strumenti di creazione di valore per gli stakeholder

– operativi: riguardano l’efficacia e l’efficienza delle operazioni aziendali. Devono riflettere il contesto sia macroeconomico sia microeconomico. Il management deve assicurarsi che gli obiettivi siano reali, riflettano le esigenze del mercato e siano espressi nei giusti termini, al fine di consentire un’attendibile valutazione della performance

– di reporting: riguardano le informazioni, che devono essere accurate, complete e coerenti con i fini perseguiti

– di conformità: le aziende devono condurre le loro attività (e spesso assumere provvedimenti particolari) in conformità alle leggi e ai regolamenti in vigore.

Lo studio CoSO II – ERM ha identificato otto componenti del sistema di controllo:

1. contesto interno: il management formula la strategia di base e determina il livello di accettabilità del rischio. Determina,replica watches in termini generali, l’analisi del rischio, gli strumenti con cui è prevenuto e affrontato da dipendenti e operatori esterni

2) definizione degli obiettivi: gli obiettivi devono essere determinati prima di procedere all’identificazione degli eventi che possono pregiudicare il loro conseguimento

3) identificazione degli eventi: devono essere identificati gli eventi che possono avere un impatto sull’ attività aziendale. Comporta l’identificazione di fatti potenziali di origine interna ed esterna tali da pregiudicare il conseguimento degli obiettivi. È necessario distinguere gli eventi che rappresentano rischi da quelli che rappresentano opportunità

4) valutazione del rischio: i rischi identificati sono analizzati allo scopo di gestirli e porre rimedi (remediation). I rischi sono collegati agli obiettivi e possono pregiudicarne il raggiungimento. I rischi sono valutati sia in termini di “rischio inerente” (rischio in assenza di qualsiasi intervento) sia di “rischio residuo” (rischio dopo aver attivato interventi per ridurlo), determinando la probabilità che il rischio si verifichi e il relativo impatto (cosiddetto metodo “is as”)

5) risposta al rischio: il management identifica e valuta le risposte possibili al rischio, che potrebbero essere: evitare, accettare, ridurre e compartecipare il rischio. Selezionare una serie di azioni per allineare i rischi emersi con la “tolleranza al rischio” e il “rischio accettabile”

6) attività di controllo: devono essere definite e realizzate politiche e procedure per assicurare che le risposte al rischio siano efficacemente eseguite

7) informazione e comunicazione: le informazioni pertinenti devono essere identificate, raccolte e diffuse nella forma e nei tempi che consentano alle persone di adempiere alle proprie responsabilità. Occorre comunicare in modo efficace sull’intera struttura organizzativa: verso la base, verso il vertice e trasversalmente.

8) monitoraggio: l’intero processo deve essere monitorato e modificato, quando necessario. Il monitoraggio si concretizza in interventi continui, integrati nella normale attività operativa aziendale, in valutazioni oppure in una combinazione dei due metodi.

Le modifiche attuali (CoSo 2017) si focalizzano maggiormente sul rischio globale.

I nuovi standard enfatizzano alcuni principi chiave:

• importanza di integrare l’ERM nella governance, nei processi aziendali e nel processo decisionale
• riconoscere l’importanza del rischio nel contesto della strategia e della performance
• evidenziare che il rischio riguarda soprattutto le persone. La cultura e i comportamenti devono essere allineati al core value e agli obiettivi.

Interazione fra privato e pubblico

La funzione di auditing nel settore pubblico assume un’importanza rilevante: si configura infatti come strumento per proteggere l’interesse pubblico.

L’auditing nella Pubblica Amministrazione è la base per una buona governance e un’accurata gestione della ‘cosa pubblica’.

Appare chiaro che l’interazione tra pubblico e privato non può che essere biunivoca.

Il know-how accumulato nel settore privato può e deve infatti porsi al servizio del settore pubblico nei Paesi, come l’Italia, dove la governance pubblica del rischio è ancora carente.

La tematica della Risk Governance non è prerogativa del mondo delle imprese private, della sola gestione del rischio in un contesto aziendale, ma si pone in un orizzonte ben più ampio, ricomprendendo la pubblica amministrazione e più in generale le istituzioni che reggono i sistemi giuridici ed economici.

Interdipendenza tra pubblico e privato: la Public Governance influenza il business e l’attrattività di un ‘sistema paese’.

Ecco dunque in una prospettiva di sistema il vero elemento di valore e la vera rivoluzione culturale.

Conclusioni Qualsiasi organizzazione, impresa, pubblica amministrazione, associazione può (e forse deve) applicare i principi dell’ERM per la gestione dei rischi associati alla propria attività. Se il Risk Management è un processo propedeutico alla creazione di valore, all’abbattimento dei costi, al miglioramento dell’efficienza e dell’efficacia dei processi produttivi, alla mitigazione dei reati, delle frodi e della corruzione, allora tutte le organizzazioni possono trarre vantaggi dall’adozione di queste pratiche