Rivista Orizzonti del Diritto CommercialeISSN 2282-667X
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo pdf articolo pdf fascicolo


Il consiglio di amministrazione nel sistema di controllo interno e di gestione dei rischi di società quotate (di Peter Agstner, Sebastiano Costa)


Una new corporate governance sta segnando il mondo delle grandi società per azioni, con i legislatori nazionali e sovranazionale sempre più sensibili all’integrazione delle vitali questioni ambientali e sociali nella regolamentazione dei processi allocativi del mercato. Tale evoluzione incide, inter alia, sul ruolo del consiglio di amministrazione (specialmente) delle società quotate, e ciò in ragione dei mutati condizionamenti imposti per la gestione dei rischi dell’attività d’impresa. L’obiettivo del presente contributo è proprio quello di indagare il ruolo attuale del plenum consiliare nella gestione dei rischi d’impresa. In effetti, tra le funzioni di alta amministrazione, la conformazione del sistema di controllo interno e gestione dei rischi, nelle quotate generalmente rimessa al Codice di autodisciplina, assume un peso decisivo. A tale riguardo, particolare attenzione viene rivolta all’evoluzione del risk management nel suo sviluppo storico-diacronico e nel raffronto comparatistico con fondamentali esperienze straniere di autodisciplina.

Parole chiave: New Corporate governance; sistema controllo interno; gestione del rischio d’impresa.

The board of directors in the internal control and risk management system of listed corporations

A new corporate governance is marking the world of large joint-stock companies, with national and supranational legislators increasingly sensitive to the integration of vital environmental and social issues into the regulation of market allocation processes. This evolution affects, inter alia, the role of the board of directors (especially) of listed companies, due to the changed constraints imposed on the management of business risks. The objective of this contribution is precisely to investigate the current role of the board in enterprise risk management. Indeed, among the functions of senior management, the conformation of the internal control and risk management system, in listed companies generally regulated by the Corporate Governance Code, assumes a decisive weight. In this regard, particular attention is paid to the evolution of risk management in its historical-diachronic development and comparative juxtaposition with fundamental foreign self-regulatory experiences.

Keywords: New Corporate governance; internal control system; enterprise risk management.

Sommario/Summary:

1. La corporate governance “sostenibile” e l’oggetto d’indagine. - 2. Evoluzione storica: traiettorie generali. - 2.1. I primi passi dell’autoregolamentazione (Codice Preda e revisione del 2002). - 2.2. La transizione verso un sistema pienamente inclusivo del risk management (la nuova edizione del 2006, la modifica del 2011 e i successivi aggiornamenti). - 3. Il Codice di corporate governance nel panorama comparatistico. - 3.1. Il sistema dei controlli interni nell’autodisciplina inglese.L’UK Corporate Governance Code, sino al 2010 detto Combined Code [52] e da ultimo riformato nel 2018 sotto l’egida del Financial Reporting Council [53], detta 18 principi (A-R) divisi in cinque sezioni, tra cui quella avente ad oggetto la revisione, il rischio ed il controllo interno (audit, risk and internal control). Il FRC, nel documento denominato Revised UK Corporate Governance Code 2018 highlights, descrive questa nuova versione come “shorter and sharper” [54]. Nonostante tale sinteticità, o forse proprio in ragione di essa, autorevole dottrina ha avuto modo di sottolineare il trattamento esemplare riservato dall’UK CGC ai temi del controllo interno e del risk management [55]. In apertura del Code e sulla scia di quanto affermato nella relativa introduzione [56], vi è, anzitutto, il postulato secondo cui una società profittevole è diretta da un consiglio efficace (effective) e imprenditoriale (entrepreneurial), il cui ruolo è quello di promuovere il successo sostenibile a lungo-termine della società stessa, generando valore per gli azionisti e contribuendo alla società in generale (Principio A) [57]. Quale parte integrante e capitale di tale mission, vi è l’obbligo di istituire un quadro di controlli prudenti ed efficaci, che permettano la valutazione e la gestione dei rischi (Principio C). Nel sistema di amministrazione e controllo monistico della public company inglese, l’unico ad essere preso in considerazione dal codice di autodisciplina [58], tali funzioni di controllo interno e di gestione dei rischi risultano saldamente incardinate in capo al consiglio di amministrazione [59]. Tanto si evince immediatamente dal Principio O della sec. 4 del Code, il quale statuisce che il board deve predisporre le procedure per la gestione dei rischi, sorvegliare sull’assetto di controllo interno e determinare la natura e l’estensione dei principali rischi che la società è disposta ad assumere al fine di raggiungere i propri obiettivi strategici di lungo termine [60], il tutto in linea – seppure non esplicitato expressis verbis – con l’obiettivo primario della generale sostenibilità dell’attività gestoria. In particolare, il consiglio deve effettuare una solida valutazione dei principali rischi (finanziari e non), quest’ultimi consistenti in situazioni che possano mettere a repentaglio il modello di business aziendale, il rendimento futuro, la continuità aziendale e la reputazione societaria [61]. Il consiglio, poi, deve confermare nella propria relazione annuale al bilancio d’esercizio di avere svolto tale valutazione, con descrizione dei principali rischi, indicazione delle procedure messe in atto allo scopo di identificare i rischi emergenti e illustrazione delle modalità tramite cui questi vengono gestiti o mitigati (Previsione n. 28) [62]. Inoltre, il consiglio deve monitorare sui sistemi di controllo interno e di gestione dei rischi e procedere, a cadenza almeno annuale, ad una revisione della loro efficacia, riferendo del relativo esito nella relazione annuale; il monitoraggio e la revisione debbono comprendere tutti i controlli significativi, inclusi quelli finanziari, operativi e di compliance (Previsione n. 29). Da ultimo, viene statuito che il board debba indicare nella relazione annuale le modalità di valutazione delle prospettive future della società, con indicazione del periodo di riferimento preso in considerazione e delle ragioni per cui esso viene reputato adeguato, specificando all’uopo le proprie ragionevoli aspettative circa la continuità aziendale e la solvenza della società nel frangente temporale di riferimento (Previsione n. 31). - 3.2. … e nell’autodisciplina tedesca. - 3.3. … e nell’autodisciplina olandese. - 4. Il sistema di controllo interno nell’organizzazione d’impresa. - 5. La gestione del rischio nel sistema di controllo interno. - 6. I poteri del plenum consiliare: la determinazione delle linee di indirizzo. - 7. (segue). La valutazione di adeguatezza e di efficacia per il successo sostenibile dell’emittente. - 8. (segue). I flussi informativi e il coordinamento. - 9. Conclusioni. - NOTE


1. La corporate governance “sostenibile” e l’oggetto d’indagine.

Una new corporate governance sta segnando il mondo delle grandi società per azioni (e non solo) [1]. Il cambio di paradigma alla base di tale mutamento [2] può, con una certa dose di inevitabile approssimazione, così sintetizzarsi: si passa da una concezione dell’impresa incentrata sulla massimizzazione del profitto dei soci (shareholder value maximization), fedele a quello che comunemente viene etichettato come Friedman doctrine [3], ad un governo societario illuminato da un più accentuato stakeholderism, diretto a promuovere il successo “sostenibile” della società stessa [4]. Senza volere disconoscere il potere della narrazione nella costruzione e diffusione di certe idee giuridiche [5], è tuttavia innegabile che tale cambio di prospettiva, per un verso, ha dato rinnovato vigore alla discussione su tematiche “classiche” del diritto commerciale (quali la responsabilità sociale dell’impresa [6] e il corporate purpose [7]) e, per l’altro verso, ha condotto all’emersione di fenomeni “nuovi”, quali la finanza sostenibile e l’ESG governance (Environmental, Social, Governance) [8]. Queste tematiche stanno trovando un sempre più massiccio ingresso nei diversi ordinamenti giuridici, tanto a livello di hard law che di soft law, nazionali e sovranazionali [9]. Evidentemente non può essere questa l’occasione per ripercorre le molteplici implicazioni sistematiche e le ricadute applicative di tale “epocale” mutamento di orizzonte. L’attenzione, nella presente sede, investe una questione ben più specifica e circoscritta. La tensione verso l’integrazione delle questioni ambientali e sociali nella regolamentazione dei processi allocativi del mercato determina una modifica del ruolo del consiglio di amministrazione della grande società per azioni, in primis di quelle quotate nei mercati regolamentati, e ciò specialmente in ragione dei mutati condizionamenti imposti per la gestione dei rischi dell’attività d’impresa. Invero, nel modello del c.d. monitoring board – senz’altro ancora oggi seguito per le s.p.a. quotate italiane [10] – si realizza una polarizzazione dei compiti e delle funzioni riconducibili al potere gestorio: da un lato, la fase di vera e propria amministrazione attiva o gestione operativa, [...]


2. Evoluzione storica: traiettorie generali.

Il tema dei controlli interni ha radici antiche, rinvenendosi embrionali strutture di controllo già nello ius mercatorum dell’alto Medioevo [15] e, poi, più mature evoluzioni nel XVII secolo presso le prime compagnie commerciali (orientali e occidentali) [16]. Volendo in questa sede, per comprensibili ragioni, focalizzare l’attenzione sugli sviluppi più recenti del secolo passato, può anzitutto rammentarsi che il controllo interno, fenomeno sfuggente per la polivalenza dei significati connessi [17], ha ricevuto particolare attenzione soprattutto negli U.S.A., specialmente in relazione alla disciplina delle public corporations [18]. Nella pratica nordamericana, fino alla metà degli anni ’40, l’internal control veniva concepito come un aspetto incidentale, seppure importante, della revisione contabile, diretto a contribuire ad una maggiore affidabilità, in termini di veridicità e completezza, dei documenti contabili sottoposti a revisione. Successivamente, a partire dagli anni ’50, si impose un’accezione di controllo interno più ampia, tale da ricomprendere, accanto alla tradizionale verifica di regolarità contabile, anche i controlli propriamente gestionali [19]. Si assistette così ad un “salto di qualità” del sistema di controllo interno, la cui funzione non si esauriva più nella mera verifica della regolarità contabile (controllo-vigilanza), elevandosi piuttosto a strumento di controllo sull’effi­cacia ed efficienza della gestione operativa e sull’aderenza ai programmi aziendali (controllo-gestione) [20]. In altri termini, il controllo interno si evolveva «da funzione puramente censoria a funzione di “indirizzo e controllo”» [21]. Il segnalato cambio di passo trovava, a partire dagli anni ’70 del secolo scorso, stabile ingresso nella nostra letteratura economico-aziendale [22] e, seppure con leggero ritardo, anche nella dottrina giuscommercialistica [23]. Negli ultimi anni, soprattutto a causa del ritorno ciclico di rilevanti scandali finanziari (Enron, WorldCom, Parmalat, Vivendi Universal e, da ultimo, Wirecard) [24], il tema dei controlli societari è divenuto uno dei punti nevralgici della governance societaria [25]. Ad oggi, la nozione di controllo più accreditata a livello internazionale si [...]


2.1. I primi passi dell’autoregolamentazione (Codice Preda e revisione del 2002).

Di seguito si analizzerà lo sviluppo essenziale che la funzione di controllo interno ha avuto nel succedersi delle diverse edizioni del codice di autodisciplina: ciò al fine di appurare, anche alla luce della successiva indagine comparatistica, se e in quale misura tale strumento di autoregolamentazione sia riuscito a recepire le pressanti spinte di ammodernamento, rimanendo così al passo con i tempi [33]. Già nella prima versione del codice di autodisciplina (detto anche, come noto, “Codice Preda”), licenziato nel 1999 da parte del Comitato per la corporate governance delle società quotate [34], il sistema di controllo interno veniva concepito come elemento coessenziale alla efficiente gestione dell’impresa e non quale mero strumento di accountability. Infatti, nell’intenzione del suo promotore, esso doveva offrire «alle imprese quotate italiane uno strumento capace di rendere ancora più conveniente il loro accesso al mercato dei capitali», nonché «un modello di organizzazione societaria adeguato a gestire il corretto controllo dei rischi d’impresa e i potenziali conflitti d’interesse …» [35]. Nondimeno, il perimetro delle funzioni assegnate ai relativi preposti risultava, in questo primo frangente, sostanzialmente circoscritto al controllo interno sui rischi di natura finanziaria ed operativa [36]; e ciò in un’ottica spiccatamente di verifica e di compliance ex post coerente con gli standard internazionali all’e­poca più accreditati (CoSO I). Nel 2002 si assisteva alla prima revisione del codice di autodisciplina, di rilievo certamente non secondario [37]. Anzitutto, il controllo interno veniva inteso come processo [38], coinvolgente tutte le funzioni aziendali e tendente alla realizzazione di quattro obiettivi principali, ossia il monitoraggio dell’effi­cienza delle operazioni aziendali, dell’affidabilità dell’informazione finanziaria, del rispetto di leggi e regolamenti e della salvaguardia dei beni aziendali (Art. 9.1). Si precisava, in secondo luogo, che la responsabilità del sistema di controllo interno apparteneva al consiglio di amministrazione come plenum e non soltanto agli amministratori delegati, come invece ancora previsto nella versione originaria del 1999. A tale organo collegiale spettava, quindi, il compito di fissare le linee [...]


2.2. La transizione verso un sistema pienamente inclusivo del risk management (la nuova edizione del 2006, la modifica del 2011 e i successivi aggiornamenti).

La transizione verso una concezione del sistema di controllo interno più funzionale anche alla gestione dei rischi è avvenuta nel marzo 2006 con l’adozione di una nuova edizione del codice di autodisciplina ad opera di Borsa Italiana s.p.a. Il dato temporale non rappresenta certo una casualità, visto il sostanziale recepimento delle indicazioni formulate nel rapporto CoSO II del 2004. Si manifestava, inoltre, l’esigenza di tenere conto delle importanti modifiche apportate dalla riforma societaria del 2003 e dalla legge per la tutela del risparmio del 2005, intervenuta a ridosso delle vicende Parmalat e Cirio [40]. Orbene, a parte la rinnovata veste formale del codice di corporate governance, con suddivisione di ogni articolo in principi, criteri applicativi e commento, l’elemento di maggiore innovazione è indubbiamente rappresentato da una definizione più ampia del sistema di controllo interno, ora dato dalla piena integrazione tra controllo interno e risk management [41]. Coerentemente, il principio 8.P.1 precisava che «il sistema di controllo interno è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati»; l’implementazione di un simile assetto organizzativo doveva, ancora una volta, «contribui[re] a garantire la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti» (Art. 8.P.2). A parte una puntuale revisione nel 2010 in tema di remunerazione degli amministratori [42], l’autodisciplina delle società quotate ha visto in questo suo percorso evolutivo una modifica significativa nel 2011, stavolta elaborata dal nuovo comitato per la corporate governance costituito dalle principali associazioni di categoria delle imprese assicurative, bancarie e industriali, degli investitori istituzionali e da Borsa Italiana [43]. Tra gli elementi di maggiore interesse spicca il riferimento alla gestione dei rischi quale componente co-essenziale del sistema di controllo interno (ora anche) nella rubrica dell’art. 7, rendendo così pienamente [...]


3. Il Codice di corporate governance nel panorama comparatistico.

È noto che in questo ambito regolamentare è in atto una decisa tendenza verso la creazione di un comune e convergente level playing field [47]. Esso dovrebbe permettere agli operatori di mercato, e in particolare agli investitori istituzionali, una più facile riconoscibilità e accettabilità degli standard di buon governo societario (sostenibile) e, così, in ultima istanza, contribuire ad un migliore rendimento aziendale e a un minore costo del capitale [48]. In linea con la traccia generale della presente indagine, lo sforzo di approfondimento comparatistico è principalmente volto alla ricostruzione del ruolo svolto nel rispettivo sistema di controllo interno dall’organo incaricato della funzione di supervisione strategica. L’esame condotto sarà di tipo funzionale, con l’interesse ad appuntarsi non tanto sull’allocazione nominalistica o strutturale della funzione di indirizzo strategico presso l’uno o l’altro organo e/o ufficio, quanto sulla comprensione della sua direzione “teleologica” nel rispettivo sistema di controllo interno. Ciò permetterà un raffronto proficuo tra sistemi di governo societario che solo in apparenza, per la loro diversa caratterizzazione strutturale, sembrano “divergenti” [49]. Quanto all’oggetto della comparazione, l’analisi investirà, dapprima, la fondamentale realtà del Regno Unito, da sempre considerata “patria” delle best practices internazionali in materia [50], e, successivamente, le esperienze maturate in Germania e Olanda, particolarmente interessanti in virtù dei loro peculiari sistemi dualistici di corporate governance [51].


3.1. Il sistema dei controlli interni nell’autodisciplina inglese.L’UK Corporate Governance Code, sino al 2010 detto Combined Code [52] e da ultimo riformato nel 2018 sotto l’egida del Financial Reporting Council [53], detta 18 principi (A-R) divisi in cinque sezioni, tra cui quella avente ad oggetto la revisione, il rischio ed il controllo interno (audit, risk and internal control). Il FRC, nel documento denominato Revised UK Corporate Governance Code 2018 highlights, descrive questa nuova versione come “shorter and sharper” [54]. Nonostante tale sinteticità, o forse proprio in ragione di essa, autorevole dottrina ha avuto modo di sottolineare il trattamento esemplare riservato dall’UK CGC ai temi del controllo interno e del risk management [55]. In apertura del Code e sulla scia di quanto affermato nella relativa introduzione [56], vi è, anzitutto, il postulato secondo cui una società profittevole è diretta da un consiglio efficace (effective) e imprenditoriale (entrepreneurial), il cui ruolo è quello di promuovere il successo sostenibile a lungo-termine della società stessa, generando valore per gli azionisti e contribuendo alla società in generale (Principio A) [57]. Quale parte integrante e capitale di tale mission, vi è l’obbligo di istituire un quadro di controlli prudenti ed efficaci, che permettano la valutazione e la gestione dei rischi (Principio C). Nel sistema di amministrazione e controllo monistico della public company inglese, l’unico ad essere preso in considerazione dal codice di autodisciplina [58], tali funzioni di controllo interno e di gestione dei rischi risultano saldamente incardinate in capo al consiglio di amministrazione [59]. Tanto si evince immediatamente dal Principio O della sec. 4 del Code, il quale statuisce che il board deve predisporre le procedure per la gestione dei rischi, sorvegliare sull’assetto di controllo interno e determinare la natura e l’estensione dei principali rischi che la società è disposta ad assumere al fine di raggiungere i propri obiettivi strategici di lungo termine [60], il tutto in linea – seppure non esplicitato expressis verbis – con l’obiettivo primario della generale sostenibilità dell’attività gestoria. In particolare, il consiglio deve effettuare una solida valutazione dei principali rischi (finanziari e non), quest’ultimi consistenti in situazioni che possano mettere a repentaglio il modello di business aziendale, il rendimento futuro, la continuità aziendale e la reputazione societaria [61]. Il consiglio, poi, deve confermare nella propria relazione annuale al bilancio d’esercizio di avere svolto tale valutazione, con descrizione dei principali rischi, indicazione delle procedure messe in atto allo scopo di identificare i rischi emergenti e illustrazione delle modalità tramite cui questi vengono gestiti o mitigati (Previsione n. 28) [62]. Inoltre, il consiglio deve monitorare sui sistemi di controllo interno e di gestione dei rischi e procedere, a cadenza almeno annuale, ad una revisione della loro efficacia, riferendo del relativo esito nella relazione annuale; il monitoraggio e la revisione debbono comprendere tutti i controlli significativi, inclusi quelli finanziari, operativi e di compliance (Previsione n. 29). Da ultimo, viene statuito che il board debba indicare nella relazione annuale le modalità di valutazione delle prospettive future della società, con indicazione del periodo di riferimento preso in considerazione e delle ragioni per cui esso viene reputato adeguato, specificando all’uopo le proprie ragionevoli aspettative circa la continuità aziendale e la solvenza della società nel frangente temporale di riferimento (Previsione n. 31).

L’UK Corporate Governance Code, sino al 2010 detto Combined Code [52] e da ultimo riformato nel 2018 sotto l’egida del Financial Reporting Council [53], detta 18 principi (A-R) divisi in cinque sezioni, tra cui quella avente ad oggetto la revisione, il rischio ed il controllo interno (audit, risk and internal control). Il FRC, nel documento denominato Revised UK Corporate Governance Code 2018 highlights, descrive questa nuova versione come “shorter and sharper” [54]. Nonostante tale sinteticità, o forse proprio in ragione di essa, autorevole dottrina ha avuto modo di sottolineare il trattamento esemplare riservato dall’UK CGC ai temi del controllo interno e del risk management [55]. In apertura del Code e sulla scia di quanto affermato nella relativa introduzione [56], vi è, anzitutto, il postulato secondo cui una società profittevole è diretta da un consiglio efficace (effective) e imprenditoriale (entrepreneurial), il cui ruolo è quello di promuovere il successo sostenibile a lungo-termine della società stessa, generando valore per gli azionisti e contribuendo alla società in generale (Principio A) [57]. Quale parte integrante e capitale di tale mission, vi è l’obbligo di istituire un quadro di controlli prudenti ed efficaci, che permettano la valutazione e la gestione dei rischi (Principio C). Nel sistema di amministrazione e controllo monistico della public company inglese, l’unico ad essere preso in considerazione dal codice di autodisciplina [58], tali funzioni di controllo interno e di gestione dei rischi risultano saldamente incardinate in capo al consiglio di amministrazione [59]. Tanto si evince immediatamente dal Principio O della sec. 4 del Code, il quale statuisce che il board deve predisporre le procedure per la gestione dei rischi, sorvegliare sull’assetto di controllo interno e determinare la natura e l’estensione dei principali rischi che la società è disposta ad assumere al fine di raggiungere i propri obiettivi strategici di lungo termine [60], il tutto in linea – seppure non esplicitato expressis verbis – con l’obiettivo primario della generale sostenibilità dell’attività gestoria. In particolare, il consiglio deve effettuare una solida valutazione dei principali rischi (finanziari e non), quest’ultimi consistenti in [...]


3.2. … e nell’autodisciplina tedesca.

Il Deutscher Corporate Governance Kodex (DCGK), nella sua ultima versione pubblicata in data 27 giugno 2022 [63], che sostituisce quella precedente del 2020 [64], si presenta in veste estremamente snella, formato da 26 principi (Grundsätze), ciascuno composto il più delle volte da una sola frase, e da diverse e altrettanto brevi raccomandazioni (Empfehlungen) e suggerimenti (Anregungen). In tema di controlli interni, l’attuale versione del Kodex prevede a carico del consiglio di gestione (Vorstand) l’obbligo di istituire un adeguato ed efficace sistema di controllo interno e di gestione dei rischi al fine di assicurare un responsabile trattamento degli stessi (Principio n. 4), comprensivo viepiù di un sistema di compliance management (Principio n. 5). Se la messa a punto di simili processi e strutture era da sempre fuori discussione [65], ora, con formulazione più stringente (bedarf) a mo’ di imperativo ipotetico in luogo della precedente locuzione più lasca (sorgt), il Codice tedesco ne esplicita la vincolatività. Ciononostante, almeno sino a tempi recentissimi, la previsione in questione non era esente da criticità [66]. Infatti, essa in qualche modo strideva con le regole del diritto azionario comune, ove il § 91, Abs. 2, AktG si limita(va) ad imporre la predisposizione da parte del Vorstand di un sistema di allerta (c.d. Frühwarnsystem) capace di intercettare anticipatamente le situazioni determinanti un rischio per la continuità aziendale, senza tuttavia richiedere, secondo la dottrina più autorevole, la costituzione obbligatoria di un articolato sistema di gestione dei rischi [67]. Oggi, in ragione delle modifiche apportate nel 2021 con il menzionato FISG [68], pure a livello dell’AktG il neointrodotto Abs. 3 del § 91 impone al consiglio di gestione di una società quotata l’obbligo di istituire, di là del suddetto Frühwarnsystem, anche un adeguato ed efficace sistema di controllo interno e di gestione dei rischi in relazione alla dimensione e alla specifica situazione di rischio dell’impresa [69]. Risultando, quindi, certamente doveroso, a dire il vero già alla stregua della generale responsabilità gestoria ex §§ 76, Abs. 1 e 93, Abs. 1, AktG [70], l’an dell’istituzione di tali sistemi di controllo, ampia discrezionalità permane, [...]


3.3. … e nell’autodisciplina olandese.

Da ultimo, a chiusura dell’excursus comparatistico, attenzione merita il Codice di autodisciplina olandese del 2016 (De Nederlandse Corporate Governance Code) [78]. Il diritto societario olandese, comunemente identificato con l’appellativo di European Delaware [79], si caratterizza anche su questo fronte per un approccio regolatorio efficace ed incisivo, funzionale a realizzare un sistema di pesi e contrappesi solido e trasparente [80]. Come già riscontrato nelle altre esperienze autodisciplinari oggetto d’ana­lisi, anche nel modello olandese si afferma, prima di tutto, che il consiglio di gestione è responsabile della continuità aziendale della società e delle sue controllate, con il focus rivolto alla creazione di valore nel lungo termine nell’in­teresse dei diversi stakeholders rilevanti (Principio 1.1). Un ruolo centrale spetta nuovamente al consiglio di sorveglianza come organo di alta amministrazione e di supervisione strategica. Infatti, viene richiesto che il consiglio di sorveglianza venga sin dall’inizio coinvolto dal consiglio di gestione nella formulazione delle strategie funzionali alla realizzazione di valore nel long-term (Principio 1.1.2). A tal fine, il consiglio di sorveglianza deve regolarmente discutere tale strategia, la sua implementazione e i principali rischi associati ad essa (Principio 1.1.3) [81]. Tutto ciò viene ulteriormente ribadito nelle note esplicative del Codice (ivi al punto 1.1.), ove si rammenta, appunto, che i componenti del consiglio di gestione e del consiglio di sorveglianza sono chiamati ad agire in modo sostenibile nell’esercizio delle proprie funzioni. In quest’ottica, la sostenibilità di lungo termine assurge a principio-guida in sede di determinazione della strategia e di adozione delle decisioni gestorie (tra l’altro, tendendo conto anche della responsabilità nella relativa catena di approvvigionamento). In perfetta continuità con ciò, il Codice olandese passa poi a regolare il risk management, prevedendo, anzitutto, che la società debba istituire adeguati sistemi di controllo e di gestione dei rischi, interni ed esterni (Principio 1.2) [82]. A tale scopo, conferisce al consiglio di gestione il compito di procedere ad una preliminare mappatura e analisi dei rischi connessi alla strategia e alle attività d’impresa, con contestuale determinazione [...]


4. Il sistema di controllo interno nell’organizzazione d’impresa.

Ultimata l’analisi storico-comparata e, tenendo a mente i suoi risultati, per proseguire con l’intento prima dichiarato di indagare il ruolo del plenum consiliare delle società quotate nella gestione dei rischi d’impresa, occorre adesso volgere l’attenzione alla disciplina attuale del SCIGR italiana. L’articolo 6 del Codice di Autodisciplina attribuisce all’organo di amministrazione (ossia al consiglio di amministrazione, nel modello tradizionale) il compito di definire le linee di indirizzo del SCIGR, di valutarne annualmente l’adeguatezza (Principio XIX) e di dettare i «principi che riguardano il coordinamento e i flussi informativi tra i diversi soggetti coinvolti» nel SCIGR (Principio XX). In via di prima approssimazione, il sistema di controllo interno così delineato può dirsi senz’altro coerente tanto con le linee storico-evolutive prima segnalate, quanto con i tratti ricorrenti nei codici di autodisciplina degli ordinamenti stranieri presi in esame [84]. Nel seguito ne daremo conto compiutamente; prima, però, è opportuno chiarire la rilevanza del sistema di controllo interno nell’ambito delle regole di governance societaria, e ciò anche al fine di meglio definire l’ambito di applicazione del parametro di adeguatezza, che, come vedremo, orienta e condiziona il SCIGR. È ricorrente notare come il legislatore nell’ultimo trentennio si sia sempre più di frequente intromesso nello spazio di libertà tradizionalmente vantato dall’imprenditore sul piano dell’organizzazione d’impresa in relazione alle regole di coordinamento dei fattori produttivi impiegati [85]. Ciò, del resto, è perfettamente in linea col particolare valore da assegnare all’organizzazione nel contesto dell’impresa societaria, dove, alle regole sul coordinamento degli atti d’impresa (i.e. “organizzazione dell’attività d’impresa”), si aggiungono quelle che concernono la posizione dei soci nei confronti del gruppo sociale, i loro reciproci rapporti, nonché le competenze, le relazioni e il funzionamento degli organi attraverso cui l’ente compie la sua attività (i.e. “organizzazione della titolarità”) [86]. La distinzione fra organizzazione dell’attività d’impresa e organizzazione della [...]


5. La gestione del rischio nel sistema di controllo interno.

Tutto ciò detto, e passando più nello specifico alla verifica qui in programma, il primo profilo da evidenziare – quale portato della linea evolutiva prima segnalata al § 2 [sub lettera a)] – è la centralità del fattore rischio nelle vigenti regole di autodisciplina. A tal proposito viene, soprattutto, in rilievo il Principio XVIII dell’art. 6 del Codice di Autodisciplina, secondo cui il SCIGR si compone delle regole, procedure e strutture organizzative volte all’effettiva ed efficace identificazione, misurazione, gestione e monitoraggio dei principali rischi generati dallo svolgimento dell’attività d’impresa. Si tratta di una vera e propria definizione del contenuto del sistema dei controlli, il quale, quindi, per dirsi conforme alle indicazioni del Codice, dovrà comporsi di tutti i momenti e le fasi previste, ancorché definite in concreto in applicazione del principio di proporzionalità. È ricorrente notare come la progressiva definizione legislativa dell’organiz­zazione d’impresa (tanto nei settori speciali, quanto, in generale, per l’impresa societaria) si sia realizzata attraverso la «normativizzazione di regole aziendalistiche», ossia per mezzo del richiamo (spesso anche letterale) di prescrizioni e modelli propri delle scienze aziendalistiche [92]. Ciò, se (come pure da più parti notato) non esenta l’interprete dall’onere di definire il significato delle locuzioni secondo i consueti parametri interpretativi [93], richiede comunque di accordare particolare rilievo ai risultati delle scienze aziendalistiche, per lo meno per i profili più strettamente attinenti al contenuto del sistema dei controlli interni. Così, pur rinviando alla dottrina specialistica [94], importa qui ripercorrere, in estrema sintesi, l’evoluzione della concezione del rischio nel contesto proprio dell’organizzazione aziendale. Con una certa dose di semplificazione, può dirsi che il modello di analisi più primitivo (c.d. Traditional Risk Management), per il quale i rischi rilevanti ai fini dei controlli interni sono solamente quelli operativi, è stato presto sostituito dal più evoluto modello del c.d. Business Risk Management, in cui l’analisi del rischio da elemento accessorio delle singole aree funzionali diventa oggetto di apposite e [...]


6. I poteri del plenum consiliare: la determinazione delle linee di indirizzo.

Il secondo portato della precedente analisi storico-comparata a trovare conferma nella autodisciplina vigente è la rilevanza del plenum consiliare nel­l’ambito del SCIGR. Emerge, infatti, nitidamente l’attribuzione ad esso di poteri di vera e propria macro-conformazione dei profili decisivi del sistema medesimo. E, per la verità, si tratta di una tendenza da tempo fatta propria dal­l’autodisciplina [113]. Il che, oltre a essere del tutto conforme al modello presupposto dal CoSO Report, è del pari, come detto, coerente con l’evo­luzione della concezione del controllo (quale fase propria dell’attività di gestione, c.d. decision control) e con le indicazioni del modello del c.d. monitoring board. A tal proposito, sono rilevanti, soprattutto [114], anzitutto, il potere/dovere del plenum di definire «le linee di indirizzo del sistema di controllo interno e di gestione dei rischi in coerenza con le strategie della società» (art. 6, Principio XIX); in secondo luogo, il potere/dovere del consiglio di provvedere alla valutazione di adeguatezza ed efficacia del sistema di controllo (art. 6, Principio XIX); in terzo luogo, il compito attribuito all’organo di definire «i principi che riguardano il coordinamento e i flussi informativi», nonché, e conseguentemente, il suo ruolo di destinatario (per vero, non sempre esclusivo) dei reports informativi degli altri organi e uffici coinvolti nel sistema stesso (art. 6, Principio XX). Iniziando dal primo dei detti poteri, va notato come l’organo amministrativo sia chiamato a definire i principi e i criteri generali del sistema di controllo interno, che dovranno poi essere precisati, attuati e, perciò, rispettati dagli altri organi e uffici interni della società. L’indicazione – oltre a rimarcare il fatto (ormai pianamente riconosciuto) che l’istituzione di un sistema di controllo interno sia oggetto di un vero e proprio dovere degli amministratori [115] – dà contenuto alla funzione di alta amministrazione, garantendo al plenum una partecipazione dinamica alla gestione [116]: abbandonata l’idea secondo cui la funzione di amministrazione sia del tutto avulsa da quella di controllo, il potere in questione concretizza, nella sua manifestazione forse più alta, il potere/dovere degli amministratori non esecutivi di provvedere alla [...]


7. (segue). La valutazione di adeguatezza e di efficacia per il successo sostenibile dell’emittente.

Il secondo potere, che dà contenuto alle prerogative del plenum nel contesto qui in esame, è dato dalla verifica e valutazione dell’adeguatezza del SCIGR: ai sensi del Principio XIX e della Raccomandazione n. 33, lett. a), il consiglio di amministrazione è chiamato a verificare – con cadenza almeno annuale – che il SCIGR sia idoneo a svolgere i compiti ad esso affidati, presidiando e gestendo i principali rischi secondo i parametri dell’adeguatezza e dell’efficacia [123]. Se il requisito dell’efficacia pare di immediata comprensione [124], a maggiori discussioni ha dato luogo quello dell’adeguatezza [125]. In effetti, l’accordo tra gli interpreti si ferma al riconoscimento della sua dipendenza dalle caratteristiche concrete dell’impresa, secondo una valutazione caso per caso priva di validità generale, dando così piena rilevanza all’in­dicazione testuale secondo cui l’adeguatezza è legata, appunto, alla «natura e alle dimensioni dell’impresa». Si tratta di elementi che introducono un opportuno strumento di flessibilità da articolare in funzione delle specifiche caratteristiche dell’attività d’impresa: il tipo di attività, il suo oggetto, la dimensione dell’azienda e del suo patrimonio [126]. La lettera a) della Raccomandazione n. 33 conferma il dato e lo specifica: così, dispone in via espressa (e non implicita come il terzo comma dell’art. 2381 c.c.) che l’adeguatezza del SCIGR deve essere guidata dalle specifiche «caratteristiche dell’impresa»; e aggiunge altresì che la valutazione deve avvenire sulla base del «profilo di rischio assunto». Ciò è perfettamente in linea con la centralità riconosciuta al rischio dell’atti­vità d’impresa nel sistema dei controlli. A ben vedere, la discussione in dottrina ha riguardato due profili, strettamente connessi tra loro, ossia: i) il rapporto fra il dovere di adeguatezza e gli altri obblighi degli amministratori; ii) la funzione del giudizio di adeguatezza in relazione al perseguimento dell’interesse sociale. Così, secondo una prima impostazione, il dovere di adottare un assetto organizzativo, amministrativo e contabile adeguato – e di valutarne nel corso del tempo la persistenza – è una [...]


8. (segue). I flussi informativi e il coordinamento.

Il terzo e ultimo potere, che dimostra la centralità del consiglio di amministrazione, si manifesta in relazione ai flussi informativi e al coordinamento degli altri organi coinvolti nel sistema di controllo interno: l’art. 6 del Codice di Autodisciplina, al Principio XX attribuisce all’organo amministrativo il compito di definire i «principi» relativi al coordinamento e ai flussi informativi fra i soggetti coinvolti nel SCIGR. La previsione, oltre a confermare la centralità del coordinamento [148], accorda una specifica rilevanza ai flussi informativi fra i vari organi e uffici, del tutto conforme alla evoluzione dei moderni sistemi di governo societari, soprattutto là dove si segua il modello del c.d. monitoring board [149]. In effetti, l’informazione endosocietaria è oggi destinataria di una diffusa disciplina tanto per le società quotate, quanto per le società non quotate. Può anzi dirsi che la regolamentazione dei rapporti infra-organici e intra-organici nell’ambito delle società per azioni si sostanzi in gran parte nella definizione di un flusso informativo fra organi o all’interno del medesimo organo [150]. E, in tale contesto, le regole di cui agli assetti organizzativi, amministrativi e, soprattutto, contabili rappresentano il presupposto per il corretto funzionamento dei flussi informativi: la predisposizione degli assetti appare, cioè, integrare una condizione preliminare (e necessaria) per la raccolta, la sistemazione (rectius, valutazione) e la diffusione delle informazioni pertinenti all’andamento sociale. I flussi informativi finiscono, dunque, per costituire la manifestazione esteriore della procedimentalizzazione realizzata dagli assetti medesimi [151]. Tali profili, però, non esauriscono la portata dei flussi informativi. Per vero, sempre sul piano generale degli assetti organizzativi, amministrativi e contabili, è possibile riconoscere al flusso informativo un’ulteriore rilevanza, per così dire, “interna” agli assetti. Specie nella loro componente dinamica, le regole, le procedure e le strutture organizzative di cui questi si compongono sono volte ad assicurare la produzione, gestione e valutazione di “informazioni”, ossia di dati, notizie e previsioni concernenti l’andamento del­l’attività d’impresa. L’informazione [...]


9. Conclusioni.

Volendo tirare le fila del complessivo discorso svolto in questa sede, le seguenti succinte conclusioni si impongono. In primo luogo, nell’evoluzione storico-diacronica dell’autoregolamentazione italiana, si è potuto constatare la centralità crescente del rischio aziendale e della funzione di risk management, nonché il ruolo sempre più preminente del c.d.a. come plenum nel SCIGR. In secondo luogo, sul piano dell’indagine comparatistica svolta [159], si è osservata una tendenza verso la creazione di un comune e convergente level playing field, caratterizzato dalla sostenibilità quale asse portante della “nuova” intelaiatura del SCIGR e dalla (confermata) assoluta centralità in esso del rispettivo organo di supervisione strategica quale plenum. È stata poi analizzata la regolamentazione nazionale, avendo specifico riguardo alle indicazioni del Codice di Autodisciplina in vigore. Così, posta la collocazione del SCIGR nell’ambito dell’organizzazione d’impresa, sono state analizzate le fasi in cui l’autodisciplina scompone la gestione del rischio. Attraverso tale indagine, è stato possibile rimarcare la assoluta centralità del rischio, quale vero “protagonista” della regolamentazione e dei processi organizzativi d’impresa, confermando in tal modo il primo dei profili evidenziatisi nell’evoluzione storico-diacronica. Nel prendere atto dell’ormai consolidata tendenza a includere nei processi di valutazione tutti i c.d. rischi “ESG”, è stato possibile, inoltre, mettere in luce le peculiarità del c.d. rischio da impresa, tanto nella fase di individuazione quanto in quella di vera e propria gestione. Il secondo dato storico-comparato a trovare conferma è stato quello del preminente ruolo del plenum consiliare nella macro-conformazione dei profili decisivi del SCIGR. Il profilo è sembrato di particolare interesse, potendo da esso trarre il segno di un mutamento del modello presupposto dal regolatore: dal c.d. monitoring board al c.d. advising board. Di particolare rilievo in tal senso, è anzitutto il potere del plenum consiliare di definire le linee di indirizzo del SCIGR che, a ben vedere, accorda al plenum la possibilità di ingerirsi nella predeterminazione del livello di rischio massimo o minino ritenuto accettabile; in secondo luogo, il potere [...]


NOTE