Entro dicembre 2014 tutte le società quotate che hanno aderito al COSO Framework sono tenute ad adeguarsi all’ultima versione: il COSO III.

L’adeguamento è necessario in quanto il Committee of Sponsoring of the Tradeway Commission (CoSO), composto dall’Institute of Management Accountants (IMA), dall’American Accounting Association (AAA), dall’American Institute of Certified Public Accountants (AICPA) e dall’Institute of Internal Auditors (IIA), and Financial Executives International (FEI), ha indicato nella data del 15 dicembre 2014 la fine della validità del COSO Report.

Il COSO Report rappresenta anche in Italia la best practice formalmente riconosciuta per le società quotate in Borsa, oltre a costituire un evidente riferimento concettuale alla Guida Operativa del Collegio Sindacale, delle circolari dell’ISVAP e della Banca d’Italia.

Il passaggio al COSO III, coinvolgerà principalmente le società di matrice anglosassone, che da uno studio condotto risultano essere quelle che in maggior numero hanno adottato il COSO I.

In Italia, da uno studio condotto sulle aziende quotate, a esclusione delle società di servizi finanziari e assicurativi, è emerso che 23 Blue Chip, sulle 27  analizzate, e 33 Mid Cap, sulle 46 analizzate, dichiarano di aderire al COSO Report e dovranno necessariamente recepire il COSO III. Inoltre 4 delle 23 Blue Chip e 9 delle 33 Mid Cap hanno già recepito il COSO ERM (COSO II)

PERCHÈ QUESTO CAMBIAMENTO
Il Committee of Sponsoring of the Tradeway Commission (CoSO) ha ritenuto necessario l’aggiornamento principalmente per due ragioni:
•    dal 1992 (anno di prima emissione del COSO Framework), l’ambiente in cui operano le imprese è totalmente cambiato, evolvendosi sia
      tecnologicamente sia in termini di business;
•    gli stakeholders sono sempre più attenti alla trasparenza e alla responsabilità rispetto al sistema di controllo interno a supporto della
      governance e delle decisioni: la qualità e stabilità di un valido sistema di Corporate Governance determina una quotazione più stabile e meno
      a rischio.

QUALI NOVITÀ
Il COSO III introduce alcuni importanti cambiamenti:
•    il Fraud Risk Assessment dovrà essere svolto nell’ottica del raggiungimento degli obiettivi, come previsto anche dal COSO I, e rispettare i
      nuovi principi a essi correlati. Le aziende dovranno estendere l’analisi ai vari tipi di frode (reporting, perdite, corruzione), andando oltre
      la sola area del financial reporting;
•    la Qualità dell’Informazione dovrà essere perseguita in tutti gli ambiti aziendali e non solo nell’area IT, cui storicamente era stata ricondotta,
      a tal riguardo sono stati introdotti i principi 11 e 13;
•    la responsabilità del management rispetto al sistema di controllo interno nell’ambito delle attività di Organizzazione anche in presenza di
      outsourcing viene ulteriormente rafforzata.

Nella sostanza il COSO III formalizza le linee guida del COSO I in metodologia e strumenti per l’implementazione del framework.

ELEMENTI DI CONTINUITÀ
Permane un aspetto di forte continuità rispetto al COSO I: la presenza, la coesistenza e il funzionamento dei 17 principi garantiscono l’efficacia del controllo interno sulla rendicontazione finanziaria (Internal Control Financial Reporting – ICFR). All’interno del documento COSO III i 17 principi sono articolati in “points of focus” per una migliore comprensione e al fine di rappresentare un adeguato strumento di guida all’applicazione dei medesimi. Nella pratica, i “points of focus” sono utilizzati dalle aziende e dalle audit firms nella forma di checklist.

LA METODOLOGIA
Il percorso di aggiornamento e di adeguamento al COSO III, necessita di uno sforzo variabile in funzione della dimensione aziendale, della complessità delle attività gestite e della qualità del sistema di controllo interno e della sua documentazione, prevede:
•    La formazione di un team di progetto che comprenda e approfondisca i cambiamenti chiave e le implicazioni per il sistema di controllo interno
      (es. i. il fraud risk assessment (principio 8), ii. la qualità dell’informazione (principio 13) rispetto alla pluralità dei soggetti coinvolti nell’analisi
       e nella gestione dei rischi aziendali, iii. il rafforzamento del ruolo di responsabilità del Board rispetto agli organi di corporate governance, iv.
       l’affinamento delle tecniche di risk self assessment attraverso il ricorso a verifiche indipendenti, v. la definizione della relazione tra rischio,
       performance e ricompensa, spostando l’obiettivo del controllo sulla garanzia del risultato);
•    La mappatura dei controlli esistenti in relazione alle 5 componenti e ai 17 principi del COSO III;
•    L’identificazione, la valutazione e la documentazione di eventuali modifiche al sistema di controllo interno;
•    L’aggiornamento della documentazione relativa al controllo interno, includendo i piani di valutazione e di verifica dei controlli;
•    La valutazione di eventuali carenze identificate.

Si riepilogano di seguito i 17 principi, in funzione delle 5 componenti del COSO III:
Control environment:
1.    The organization demonstrates commitment to integrity and ethical values;
2.    Board of Directors demonstrates independence from management and exercises oversight responsibility;
3.    Management, with Board oversight, establishes structure, authority and responsibility;
4.    The organization demonstrates commitment to competence;
5.    The organization establishes and enforces accountability;

Risk assessment:
6.    The organization specifies relevant objectives with sufficient clarity to enable identification of risks;
7.    The organization Identifies and assesses risk;
8.    The organization considers the potential for fraud in assessing risk;
9.    The organization identifies and assesses significant change that could impact system of internal control;

Control activities:
10.    The organization selects and develops control activities;
11.    The organization selects and develops general controls over technology;
12.    The organization deploys through policies and procedures;

Information & communication:
13.    The organization obtains or generates relevant, quality information;
14.    The organization communicates internally;
15.    The organization communicates externally;

Monitoring:
16.    The organization selects, develops and performs ongoing and separate evaluations;
17.    The organization evaluates and communicates deficiencies;

Autore:
Alberto Girardi
Partner di Ernst & Young
Membro del Gruppo di Lavoro Governance di Assirevi
Membro del Topic Governance della Bocconi Alumni Association

Milano, 21 ottobre 2014