The Committee of Sponsoring Organizations of the Treadway Commission (COSO)¹ ha rilasciato il 14 maggio, 2013, una versione aggiornata del suo Internal Control-Integrated Framework (il “Framework 2013”). Inoltre, il COSO ha rilasciato due documenti illustrativi: Illustrative Tools for Assessing Effectiveness of a System of Internal Control (gli “Illustrative Tools”) e Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples (il “ICEFR Compendium”) e un executive summary del Framework 2013.

Originariamente pubblicato nel 1992, l’Internal Control-Integrated Framework del COSO (il “1992 Framework”) è diventato uno dei framework di controllo interno più ampiamente accettato nel mondo. L’obiettivo principale del COSO nell’aggiornare e migliorare il framework è quello di affrontare i significativi cambiamenti del business e degli ambienti operativi che hanno avuto luogo negli ultimi 20 anni.

Il Framework 2013 e gli Strumenti Illustrativi possono essere acquistati dall’AICPA. Un executive summary del Framework 2013 è disponibile gratuitamente sul sito web del COSO.

Di seguito una panoramica dalla newsletter Heads Up di Deloitte pubblicata il 10 giugno 2013, dei miglioramenti del Framework 2013, una discussione sulle considerazioni per le entità che utilizzano il Framework del 1992 per conformarsi alla Sezione 404 del Sarbanes-Oxley Act del 2002 (SOX), e informazioni sulla transizione dal Framework 1992 al Framework 2013, compresi gli impatti su altri documenti correlati al COSO. Inoltre, le appendici della newsletter Heads Up del 10 giugno confrontano il Framework 2013 con il Framework 1992 ed evidenziano alcuni dei concetti ampliati nel Framework 2013. Per ulteriori informazioni sui framework, si vedano le newsletter Heads Up di Deloitte del 6 febbraio 2012 e del 7 agosto 2012.

Miglioramenti nel Framework 2013

Il Framework 2013 crea una struttura più formale per progettare e valutare l’efficacia del controllo interno:

1. Utilizzando principi per descrivere i componenti del controllo interno. Il 2013 Framework contiene 17 principi che spiegano i concetti associati ai cinque componenti del COSO Framework (ambiente di controllo, valutazione del rischio, attività di controllo, informazione e comunicazione e attività di monitoraggio). Nello sviluppo dei 17 principi, il COSO si è concentrato sui concetti del Framework del 1992; ha considerato i principi sviluppati e articolati nel COSO’s 2006 Internal Control Over Financial Reporting-Guidance for Smaller Public Companies (“Small Business Guidance”); e ha considerato i cambiamenti significativi nel business, negli ambienti operativi e nella governance dal 1992. COSO intende i principi per aiutare le aziende a progettare sistemi efficaci di controllo interno e valutare se tali sistemi funzionano efficacemente. Il Framework 2013 presume che, poiché i 17 principi sono concetti fondamentali dei cinque componenti, tutti e 17 sono rilevanti per tutte le entità. Di conseguenza, se un principio non è presente e funzionante, il componente associato non è presente e funzionante. In rare circostanze, a causa di questioni industriali, normative o operative, la direzione può determinare che un principio non è rilevante per una componente.Per descrivere ulteriormente i principi, il Framework 2013 usa i punti di attenzione, che tipicamente sono caratteristiche importanti dei principi. Mentre i punti di attenzione possono aiutare la direzione a progettare, implementare e valutare il controllo interno e valutare se i principi rilevanti sono presenti e funzionanti, essi non sono richiesti per valutare l’efficacia del controllo interno. La direzione può determinare che alcuni dei punti di focalizzazione non sono adatti o rilevanti e può identificarne e considerarne altri.

2. Creare un modo più formale di progettare e valutare il controllo interno secondo i principi. Vedere la discussione sotto “Sistemi efficaci di controllo interno”.

Mentre i concetti fondamentali del Framework 2013 sono simili a quelli del Framework 1992, il Framework 2013 aggiunge o espande le discussioni su ogni componente e principio, includendo miglioramenti come i punti di attenzione dettagliati. Per esempio, anche se il concetto di identificare e rispondere ai rischi era presente nel 1992 Framework, il 2013 Framework include discussioni più dettagliate sui concetti di valutazione del rischio, inclusi quelli relativi al rischio intrinseco, alla tolleranza al rischio, a come i rischi possono essere gestiti, e al collegamento tra la valutazione del rischio e le attività di controllo.

Inoltre, a differenza del 1992 Framework, il 2013 Framework include esplicitamente il concetto di considerare il potenziale rischio di frode nella valutazione dei rischi per il raggiungimento degli obiettivi dell’organizzazione (vedi Principio 8). Il 2013 Framework spiega che “come parte del processo di valutazione del rischio, l’organizzazione dovrebbe identificare i vari modi in cui la segnalazione fraudolenta può avvenire, considerando:

• Parte del management, per esempio nella scelta dei principi contabili
• Grado delle stime e dei giudizi nell’informativa esterna
• Schemi e scenari di frode comuni ai settori industriali e ai mercati in cui l’entità opera
• Regioni geografiche in cui l’entità fa affari
• Incentivi che possono motivare il comportamento fraudolento
• Natura della tecnologia e della capacità del management di manipolare le informazioni
• Transazioni insolite o complesse soggette a una significativa influenza del management
• Vulnerabilità al management override e potenziali schemi per aggirare le attività di controllo esistenti”

Il principio 8 discute anche considerazioni relative al management override, salvaguardia dei beni, incentivi e pressioni, opportunità di atti inappropriati, così come atteggiamenti e razionalizzazioni che possono giustificare azioni inappropriate. (Vedere la discussione aggiuntiva del Principio 8 nell’Appendice A in Heads Up, Volume 20, Issue 17.)

Inoltre, COSO ha aggiunto considerazioni in tutto il Framework 2013 riguardo:

• Uso di fornitori di servizi in outsourcing (vedere l’Appendice B in Heads Up, Volume 20, Issue 17).
• Maggiore rilevanza della tecnologia dell’informazione (vedi Appendice C in Heads Up, Volume 20, Issue 17).

La tabella sottostante riassume i principi per componente. L’appendice A fa corrispondere i principi alle sezioni topiche del 1992 Framework (come applicabile) e riassume, ad alto livello, alcuni dei concetti avanzati nel 2013 Framework.

Componenti e principi del controllo

Sistemi efficaci di controllo interno

In un sistema efficace di controllo interno secondo il 2013 Framework:

1. Ognuno dei cinque componenti e dei principi rilevanti deve essere presente e funzionante. Secondo il 2013 Framework:

• Presente è definito come “la determinazione che i componenti e i principi rilevanti esistono nella progettazione e implementazione del sistema di controllo interno per raggiungere obiettivi specificati.”
• Funzionamento è definito come “la determinazione che i componenti e i principi rilevanti continuano ad esistere nella condotta del sistema di controllo interno per raggiungere obiettivi specificati.”

2. I cinque componenti sono richiesti per operare insieme in modo integrato. Il Quadro 2013 spiega che:

• Operare insieme si riferisce alla “determinazione che tutti e cinque i componenti riducono collettivamente, ad un livello accettabile, il rischio di non raggiungere un obiettivo.”
• La gestione può dimostrare che i componenti operano insieme quando 1) “I “componenti sono presenti e funzionanti” e 2) “Le carenze di controllo interno aggregate tra i componenti non portano alla determinazione che esistono una o più carenze importanti.”

Nota dell’editore: Secondo le regole SEC relative alla conformità con la Sezione 404 della SOX, “la valutazione del controllo interno di una società sulla rendicontazione finanziaria deve essere basata su procedure sufficienti sia per valutare la sua progettazione che per testare la sua efficacia operativa.”² Allo stesso modo, il PCAOB Auditing Standard 5³ richiede che il revisore valuti la progettazione e l’efficacia operativa del controllo interno sulla rendicontazione finanziaria. Crediamo che “presente” e “funzionante” siano equivalenti a “design” ed “efficacia operativa”, rispettivamente.

Il Framework 2013 utilizza i termini “carenza di controllo interno” e “carenza importante” per descrivere i gradi di gravità delle carenze di controllo interno. Secondo il Framework 2013, una carenza di controllo interno si riferisce a una “carenza in uno o più componenti e in uno o più principi rilevanti che riduce la probabilità che un’entità raggiunga i suoi obiettivi”, e una carenza importante si riferisce a una “carenza di controllo interno o una combinazione di carenze che riduce gravemente la probabilità che l’entità possa raggiungere i suoi obiettivi”. Inoltre, il Framework 2013 spiega che una carenza importante esiste quando “un componente e uno o più principi rilevanti non sono presenti o funzionanti” o quando “i componenti non operano insieme”. Inoltre, se esiste una carenza importante, l’organizzazione non può concludere di aver soddisfatto i requisiti di un sistema efficace di controllo interno.

Importante, il Framework 2013 riconosce che nella valutazione delle carenze nel controllo interno, le autorità di regolamentazione, gli standard setter e altre parti possono stabilire criteri per definire la gravità delle carenze di controllo interno, valutarle e segnalarle. Per conformarsi ai requisiti di reporting del controllo interno sotto la SOX, la direzione continuerebbe a usare la terminologia di carenza significativa e debolezza materiale della SEC, e i revisori continuerebbero a usare la stessa terminologia sotto gli standard del PCAOB. Di conseguenza, quando un’azienda sta valutando la progettazione e l’efficacia operativa del suo controllo interno sul reporting finanziario esterno (ICEFR) (cioè, se i principi sono presenti e funzionanti) e identifica una carenza, la società dovrebbe utilizzare le definizioni e la guida della SEC per valutare la gravità della carenza, e il revisore dovrebbe utilizzare le definizioni e la guida secondo gli standard del PCAOB.

COSO Transition Guidance and Impact on Other COSO Documents

Durante il processo di commento pubblico sull’exposure draft del Framework 2013, vari stakeholder hanno richiesto che il COSO fornisca una data specifica per il completamento della transizione dal Framework 1992 al Framework 2013. Sulla base di questo feedback, il COSO ha fornito alcune specifiche di transizione e sta incoraggiando gli utenti a “passare le loro applicazioni e la relativa documentazione al Framework aggiornato non appena sia possibile nelle loro particolari circostanze”. Il COSO ha anche dichiarato che “continuerà a rendere disponibile il suo Framework originale durante il periodo di transizione che si estende fino al 15 dicembre 2014, dopo di che il COSO lo considererà superato”. Inoltre, il capo contabile della SEC Paul Beswick ha dichiarato che il “personale della SEC prevede di monitorare la transizione per gli emittenti che utilizzano il quadro del 1992 per valutare se e se qualsiasi azione del personale o della Commissione diventa necessaria o appropriata ad un certo punto in futuro”. Ha inoltre dichiarato che in questo momento, egli “semplicemente rimanda gli utenti del quadro COSO alle dichiarazioni che COSO ha fatto sul loro nuovo quadro e i loro pensieri sulla transizione.”

Durante il periodo di transizione (dal 14 maggio 2013 al 15 dicembre 2014), COSO suggerisce che qualsiasi “applicazione del suo Internal Control – Integrated Framework che coinvolge il reporting esterno dovrebbe rivelare chiaramente se è stata utilizzata la versione originale o 2013. Di conseguenza, quando le aziende forniscono la loro valutazione annuale del ICEFR in conformità con SOX, sarebbe opportuno indicare l’esatto quadro COSO che hanno utilizzato nell’eseguire la valutazione.

Nota del redattore: Il PCAOB Auditing Standard 5 afferma che “il revisore dovrebbe utilizzare lo stesso quadro di controllo adeguato e riconosciuto per eseguire la sua revisione del controllo interno sulla rendicontazione finanziaria come la gestione utilizza per la sua valutazione annuale dell’efficacia del controllo interno della società sulla rendicontazione finanziaria”. Di conseguenza, la tempistica di quando il revisore effettua la transizione al Framework 2013 per la revisione dell’ICEFR dipenderà dalla tempistica della transizione dell’azienda. Se l’azienda utilizza il 1992 Framework per l’anno solare che termina il 31 dicembre 2013, il revisore utilizzerà anche il 1992 Framework. Riteniamo che, in modo coerente con l’approccio per la divulgazione dell’esatto quadro COSO utilizzato nella valutazione ICEFR della direzione, sarebbe opportuno indicare nella relazione del revisore l’esatto quadro utilizzato.

La guida Small Business Guidance di COSO sarà sostituita dal ICEFR Compendium dopo il 15 dicembre 2014.

L’Enterprise Risk Management-Integrated Framework (l'”ERM Framework”) di COSO non è stato sostituito dal Framework 2013. Mentre l’ERM Framework e il 2013 Framework sono destinati ad avere diversi focus, i due framework sono progettati per completarsi a vicenda. COSO ritiene che anche se l’ERM Framework include parti del testo del 1992 Framework, l’ERM Framework continua ad essere adatto per progettare, implementare, condurre e valutare l’Enterprise Risk Management.

Anche la Guidance on Monitoring Internal Control Systems di COSO, che è stata scritta per aiutare le organizzazioni a comprendere e applicare le attività di monitoraggio in un sistema di controllo interno, continua ad essere rilevante (cioè, non è stata sostituita dal 2013 Framework). L’appendice F del Framework 2013 afferma che “le modifiche ai principi del Framework non altereranno sostanzialmente gli approcci sviluppati per la Guidance on Monitoring Internal Control Systems del COSO.”

Internal Control Over External Financial Reporting

L’impatto del Framework 2013 sulla valutazione dell’efficacia del ICEFR da parte della direzione (cioè, per rispettare la sezione 404 del SOX) dipenderà da come un’azienda ha applicato e interpretato i concetti del Framework del 1992. Per esempio, un sistema esistente di controllo interno può non dimostrare o documentare chiaramente che tutti i principi rilevanti sono presenti e funzionanti. COSO ha sviluppato il Compendio ICEFR per aiutare le aziende ad applicare il Framework 2013. Gli approcci discussi nel documento descrivono come le organizzazioni possono applicare i principi nel loro sistema di ICEFR, e gli esempi illustrano l’applicazione di ogni principio. Le aziende che usano il COSO per riferire sull’ICEFR possono considerare:

1. Leggere il Framework 2013 e identificare nuovi concetti e cambiamenti.

2. Valutare le loro esigenze di formazione e istruzione.

3. Determinare come il Framework 2013 influenzi la progettazione e la valutazione del ICEFR:

a. Valutare la copertura dei principi da parte dei processi esistenti e dei relativi controlli e considerare i punti di attenzione.

b. Valutare i processi attuali, le attività e la documentazione disponibile relativa all’applicazione dei principi.

c. Identificando eventuali lacune in quanto sopra.

4. Identificando le fasi, se ce ne sono, da eseguire nella transizione al Framework 2013, e:

a. Formulare un piano per completare la transizione entro il 15 dicembre 2014 (cioè, le aziende di fine anno solare che rispettano la sezione 404 della SOX dovrebbero effettuare la transizione al quadro 2013 per i periodi di rendicontazione che terminano dopo il 31 dicembre 2014).

b. Considerare l’utilizzo delle attività svolte nel 2013 (ad esempio, walkthroughs, test dei controlli rilevanti, valutazione delle carenze) per identificare i cambiamenti necessari e sperimentare sul campo l’applicazione del Framework 2013.

c. Confermare la corretta divulgazione del framework utilizzato durante il periodo di transizione e al momento dell’adozione del Framework 2013.

5. Coordinare e comunicare internamente con tutti i gruppi responsabili dell’implementazione, del monitoraggio e del reporting sull’ICEFR dell’organizzazione.

6. Discutere e coordinare le attività con la revisione interna (se applicabile) e il revisore esterno.

Strumenti illustrativi

Gli Strumenti Illustrativi di COSO forniscono esempi di come una società può applicare il Framework 2013 nella valutazione dell’efficacia del suo sistema di controllo interno. Il documento fornisce modelli illustrativi e include scenari con esempi di come completare i vari modelli. Tuttavia, gli strumenti illustrativi non sono destinati a:

• Soddisfare qualsiasi requisito normativo per la valutazione delle carenze di controllo interno.
• Illustrare la selezione dell’amministrazione dei controlli per attuare i principi o affrontare i rischi identificati.
• Illustrare le decisioni circa la natura, la tempistica, o la portata delle prove dei controlli per assicurare un sistema efficace di controllo interno.

-Prodotto da Jennifer Burns e Brent Simer, Deloitte LLP

Note finali
1. COSO è un’iniziativa congiunta di cinque organizzazioni del settore privato ed è dedicata a fornire una leadership di pensiero sviluppando strutture e linee guida sulla gestione del rischio aziendale, controllo interno e deterrenza della frode. Le cinque organizzazioni del settore privato sono l’American Accounting Association, l’American Institute of Certified Public Accountants, Financial Executives International, l’Institute of Management Accountants e l’Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File No. S7-40-02 e S7-06-03 (14 agosto 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.

.