Prevenire è meglio che combattere
Le istanze in tema di corporate governance hanno prodotto, negli ultimi anni, una autentica rivoluzione nelle disposizioni di legge emanate in tema di sistemi di controllo interno.
Normative quali il Sarbanes Oxley Act, la legge 231/2001 riguardante la responsabilità amministrativa delle società, le disposizioni della legge 262/2005 in tema di responsabilità sui dati contabili societari (art. 154bis del Tuif 58/98) hanno comportato una fortissima accelerazione del dibattito sulle procedure aziendali che ha coinvolto non solo gli specialisti della materia ma anche management e giuristi.
Il fatto che elementi tipici delle attività di progettazione e assessment dei controlli interni di impresa siano divenute, col tempo, oggetto di legge rende auspicabile una forte integrazione tra approcci giuridici ed aziendalistici. In sostanza si è attualmente al cospetto di un corpus normativo emanato allo scopo di regolamentare non solo gli output dei comportamenti ritenuti leciti (il bilancio deve essere attendibile, i manager non devono pagare tangenti ecc.) ma anche i processi organizzativi e informativi adottati dalle aziende per prevenire la formazione di output che non siano a norma di legge. L'attenzione del legislatore si sposta dunque sempre più sulle procedure di controllo interno che devono essere in grado di prevenire comportamenti illeciti.
Quanto sopra rappresenta un cambiamento di approccio alquanto importante. Manager, giuristi e specialisti dei sistemi di controllo interno devono allora condividere una metodologia e un linguaggio prima sconosciuti ai più e acquisire dimestichezza con termini quali "colpa da organizzazione", "significant deficiencies", "offsetting controls", cuisoggetti caratterizzati da estrazioni culturali differenti non sempre attribuiscono lo stesso significato.
Questo processo di convergenza interdisciplinare è senza dubbio agevolato dalla presenza di framework internazionali emanati dal Coso (Committee of sponsoring organizations of the treadway commission): l'Internal control integrated framework del 1992 e l'Erm Enterprise risk management framework del 2004. Tali documenti, ad oggi, costituiscono gli standard di riferimento assolutamente prevalenti nel panorama internazionale per la progettazione e assessment dei sistemi di controllo interno, in una logica risk-driven, con riferimento agli obiettivi strategici dell'impresa e a quelli correlati di economicità della gestione (operations), attendibilità del sistema informativo (reporting) e conformità a leggi e regolamenti applicabili (compliance).
Non deve però essere sottaciuto come la strada da percorrere sia ancora piuttosto lunga e irta di insidie sovente poco evidenti ma dalle conseguenze alquanto rilevanti. Si pensi, a questo proposito, al dibattito attualmente in corso tra giuristi ed aziendalisti in materia di 231 in merito al fatto che il risk assessment possa o meno limitare l'intensità dei controlli, oppure le contrapposizioni aventi per oggetto il tema delle procedure o, meglio, se queste debbano necessariamente essere idonee a prevenire ex ante errori del management oppure possano anche solo individuarli tempestivamente ex post.
Indubbiamente si pone la necessità di ricercare un equilibrio metodologico tra la via imprenditoriale al sistema di controllo interno, fondata su competenza di self-risk assessment da parte dei manager e un approccio giuridico alla organizzazione aziendale che sia incentrato sulla prevenzione dei reati e ciò, soprattutto, allo scopo di evitare il deleterio perpetuarsi della storica contrapposizione fra controllo inteso come guida al comportamento organizzativo e controllo concepito quale contrapposizione di ruoli in senso ispettivo.