Si tratta della componente in base alla quale un’organizzazione valuta i rischi in grado di influenzare la sua capacità di raggiungere strategie e obiettivi prefissati.  

Il sistema di controllo interno (SCI) è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi del mancato raggiungimento delle seguenti categorie di obiettivi:

• efficacia ed efficienza delle attività operative;
• attendibilità delle informazioni di bilancio;
• conformità alle leggi ed ai regolamenti in vigore.

Secondo il COSO, il Sistema di Controllo Interno è costituito da 5 componenti strettamente interconnessi:

1. ambiente di controllo;
2. valutazione del rischio;
3. attività di controllo;
4. informazione e comunicazione;
5. attività di monitoraggio.

I benefici che si ricavano dall’adozione del COSO Framework sono i seguenti.

• Efficacia: le 5 le componenti del COSO forniscono una solida base per determinare il grado di garanzia fornita dal sistema di controllo.
• Efficienza: consente di eliminare controlli inefficaci, ridondanti o inefficienti che non forniscono valore aggiunto nella riduzione dei rischi di conseguimento degli obiettivi dell’organizzazione.
• Comparabilità: l’utilizzo di un unico quadro di riferimento e di un unico sistema di valutazione aiuta ad identificare i punti di forza e di debolezza del sistema di controllo interno.
• Comunicazione: l’integrazione dei criteri del COSO Framework consente di migliorare la comprensione dei concetti di controllo.

Il COSO Framework ha introdotto 17 principi di controllo di alto livello che coprono trasversalmente tutte le attività coinvolte nel COSO Framework.

Ambiente di controllo

1. L’organizzazione dimostra il proprio impegno rispetto ai valori etici e all’integrità.
2. Il CdA è indipendente rispetto al Management ed esercita la propria supervisione sullo sviluppo e sull’implementazione del sistema di controllo interno.
3. Il Management definisce, sotto la supervisione del board, la struttura organizzativa, le linee di riporto, i livelli autorizzativi e le responsabilità funzionali al fine di perseguire gli obiettivi aziendali.
4. L’organizzazione dimostra il proprio impegno ad attrarre, sviluppare e trattenere risorse competenti, in linea con il conseguimento degli obiettivi aziendali.
5. L’organizzazione, nel raggiungimento degli obiettivi aziendali, ritiene i singoli individui responsabili per la parte di sistema di controllo interno di propria competenza.

Valutazione del rischio

1. L’organizzazione esplicita con sufficiente chiarezza i propri obiettivi, consentendo l’identificazione e la valutazione dei rischi ad essi collegati.
2. L’organizzazione identifica i rischi connessi al conseguimento degli obiettivi aziendali e ne determina le modalità di gestione.
3. L’organizzazione prende in considerazione potenziali frodi nel valutare i rischi di conseguimento dei propri obiettivi aziendali.
4. L’organizzazione identifica a valuta i cambiamenti che potrebbero avere impatti significativi sul sistema di controllo interno.

Attività di controllo

1. L’organizzazione definisce e implementa attività di controllo che contribuiscono a ridurre i rischi entro livelli accettabili.
2. L’organizzazione definisce e implementa attività di controllo sulla tecnologia, per supportare il raggiungimento degli obiettivi aziendali.
3. L’organizzazione declina le attività di controllo in politiche che definiscono i comportamenti attesi e in procedure che ne determinano le modalità operative di applicazione.

Informazione e comunicazione

1. L’organizzazione ottiene o genera e utilizza informazioni rilevanti e di qualità a supporto del funzionamento del sistema di controllo interno.
2. L’organizzazione comunica internamente le informazioni, compresi gli obiettivi e le responsabilità di controllo interno, necessarie a supportare il funzionamento del sistema nel suo complesso.
3. L’organizzazione comunica con parti terze relativamente a questioni che interessano il funzionamento del sistema di controllo interno.

Attività di monitoraggio

1. L’organizzazione definisce, sviluppa ed esegue valutazioni continuative e ad hoc per accertare che le componenti del sistema di controllo interno siano presenti e funzionanti;
2. L’organizzazione valuta e comunica tempestivamente le carenze del sistema di controllo interno ai soggetti responsabili di intraprendere le necessarie azioni correttive, incluso il Senior Management e il board per quanto necessario e di competenza.