Pubblicato sul sito www.linkedin.com in data 1 gennaio 2020.

Anno nuovo e vita nuova!

Con il nuovo anno entra nel vivo la fase implementativa della Riforma dello Statuto dell'imprenditore individuale e collettivo introdotta dal nuovo Codice della crisi d'impresa e dell'insolvenza che, nella Seconda Parte, rubricata "Modifiche al Codice civile", con gli articoli 375-384, modifica in modo "dirompente e significativo" una serie di articoli del Codice civile a partire dal 2086.

In attesa che lo schema del decreto, recante disposizioni integrative e correttive a norma dell'art. 1, comma 1, della Legge 8 marzo 2019, n. 20, venga emanato (si spera, nel corso del presente mese di gennaio), prosegue il "lavoro di avvicinamento" per dotare tutte le piccole e medie imprese (e non solo) di "assetti organizzativi, amministrativi e contabili," adeguati alla natura, dimensione e ciclo di vita dell'attività aziendale.

Uno degli aspetti che, in sede di predisposizione e approvazione del bilancio 2019, andrà affrontato con decisione e spirito innovativo, riguarda il rafforzamento dei presidi di pianificazione, controllo e monitoraggio dei rischi d'impresa.

Funzione questa, rientranti nella complessiva direzione aziendale, quasi mai delineata con chiarezza nella corporate governance delle PMI e che andrà ora puntualmente introdotte con atti formalizzati da tutte le imprese. Prima però di proporre, come sempre, un protocollo operativo, è necessario richiamare ai nostri fini la fondamentale differenza tra attività di controllo direzionale (Management Control) e l'attività di monitoraggio (Audit).

Già in un mio precedente articolo, pubblicato su Milano Finanza del 24 gennaio 2019, avevo affrontata diffusamente l'argomento ma, considerato l'importanza del tema, conviene riproporre i punti chiave (scusandomi con i lettori per l'inevitabile ripetizione di concetti e assunti).

Che differenza c'è tra attività di controllo (nella accezione anglosassone di "management control" ovvero controllo direzionale) e monitoraggio (monitoring)?

La questione, seppur apparentemente solo formale, come del resto ogni tassonomia che si rispetti, presenta viceversa aspetti operativi estremamente importanti sul piano della risk governance delle società (modelli di corporate governance, sistemi di controllo interni e gestione integrata dei rischi d'impresa), sia quotate che non quotate.

Oggigiorno, alla luce:

a) delle nuove "regole generali" imposte dagli articoli 375 e seguenti (adeguati assetti organizzativi, amministrativi e contabili e conseguenti responsabilità degli organi societari) imposti innanzitutto agli amministratori di società e, come vedremo, ai necessari organi consultivi oltre che, per il previsto obbligo di legge, agli organi di controllo;

b) degli "obblighi normativi" imposti dal combinato disposto dell'art. 3 e degli artt. 12 e seguenti, circa l'adozione, da parte di tutte le imprese, di un adeguato Sistema di Allerta Preventiva (Early Warning System), consistente nei programmi di valutazione del rischio di crisi aziendale a breve termine e valutazione della probabilità d'insolvenza a medio termine, in sinergia e collegamento informativo con gli analoghi presidi operativi imposte alle banche dall'EBA (cfr. Guideline on Origination Loan & Monitoring) e dalla BCE (Linee guida sulla gestione degli NPL),

sarà necessario individuare e contraddistinguere con esattezza, anche e soprattutto nelle PMI, le attività che le novellate norme del Codice civile e del Codice della crisi d'impresa e dell'insolvenza assegnano all'organo amministrativo (controlli di 2° livello) e ai sindaci e revisori (controlli di 3° livello).

Tali compiti, per essere realmente esimenti di responsabilità, dovranno essere recepiti nella corporate governance con un atto formale consistente nell'approvazione da parte dell'organo amministrativo di un "Regolamento interno per l'adozione delle procedure relative al Sistema di Allerta Precoce" (Early Warning System).

Con tale Regolamento, la società dovrà, preventivamente all'approvazione del bilancio 2019, definire protocolli operativi, strumenti e organi interni per il corretto adempimento di quanto prescritto dall'art. 12 1° comma ovvero "che l'organo amministrativo valuti costantemente, assumendo le conseguenti idonee iniziative, se l'assetto organizzativo dell'impresa è adeguato, se sussiste l'equilibrio economico finanziario e quale è il prevedibile andamento della gestione...".

In altri termini, introduca gli idonei processi operativi, strumenti informativi e strutture organizzative "anche in funzione della rilevazione tempestiva della crisi dell'impresa [ovvero, piani di valutazione del rischio di crisi aziendale nel breve periodo, N.d.R.] e della perdita di continuità aziendale [ovvero, valutazione della probabilità d'insolvenza a medio termine mediante adeguate analisi prognostiche multi-scenario, N.d.R.], così come previsto dal 1° comma del novellato art. 2086 del Codice civile.

Ma torniamo alla fondamentale distinzione tra attività di controllo (direzionale) e monitoraggio.

Entrambe le attività, che il senso comune spesso considera coincidenti e prive di significative differenze, in realtà, da punto di vista delle procedure d'allerta, impattano significativamente ed in modo differenziato sul modello di corporate governance.

In particolare, sul ruolo e responsabilità degli organi societari (amministratori, organi consultivi e sindaci) e di controllo contabile (revisori).

Il tema è di stringente attualità poiché il nuovo Codice, come già accennato, attribuisce ai suddetti soggetti, interni ed esterni, ruoli differenziati anche se strettamente correlati nel complessivo processo di gestione integrata del rischio di crisi d'impresa, d'insolvenza ed interruzione operativa di continuità aziendale.

In particolare, nei processi di allerta interna, una delle questioni "centrali" che sta animando l'attuale dibattito tra "specialisti" della materia, è definire con chiarezza ed in modo non confutabile, soprattutto ai fini del riscontro da parte degli organi giudiziari, "chi deve fare che cosa".

La materia, infatti, sul piano giuridico, assume decisamente rilevanza sia per qualificare l'eventuale responsabilità dei singoli organi sociali (a seconda dei casi, mala gestio o culpa in vigilando) sia per poter riscontrare nella loro condotta eventuali presupposti esimenti.

Ciò premesso, cerchiamo ora di far chiarezza sulle due differenti attività su cui si articola tutto il processo di gestione del rischio di crisi d'impresa e prevenzione del rischio insolvenza ed interruzione di continuità aziendale.

Con espresso riferimento al sistema di Controlli Interni e Gestione dei Rischi (SCIGR), il controllo (direzionale) è un'attività di 2° livello che presuppone un approccio tipicamente pro-attivo, che necessariamente "entra nel merito" dei dati analizzati e valutati, condizionandone positivamente la tendenziale evoluzione futura (forward-looking approach).

Esso, pertanto, presenta valenza diagnostica, prognostica e decisionale (nel senso, di problem solving ovvero di dare soluzione ad un problema), si alimenta del ricorrente confronto dinamico (follow-up) tra presente e futuro (e rispettivi KPI - Key Performance Indicator) e ha come focus prevalente il rischio e le sue componenti.

Per sua natura, è un'attività necessariamente di autogestione, nel senso che si presta difficilmente ad essere svolta in outsourcing. Comporta, inoltre, azioni mirate di governo, orientamento e direzione per il conseguimento degli obiettivi prefissati.

In definitiva, esso permettere di rispondere alle domande: perché siamo arrivati a questo punto? Qual è la tendenza in atto? Cosa possiamo fare per modificarla a nostro favore agendo sui singoli fattori di rischio?

Viceversa, il monitoraggio è un'attività di 3° livello che "fotografa" staticamente (time now) la situazione maturata ad una certa data ovvero, lo "stato avanzamento lavori" di un processo con valenza anamnestica (nel senso di ricostruzione eminentemente retrospettiva).

Non "entra nel merito" dei risultati ma si limita ad evidenziarne, secondo un approccio tipicamente reattivo e backward-looking, gli scostamenti tra presente e passato (e rispettivi KRI).

Per sua natura, è un'attività che si presta efficientemente ad essere etero-gestita, nel senso che può essere svolta in outsourcing, in quanto comporta azioni generiche di vigilanza, ispezione, osservazione e indagine, con focus prevalente sui costi e l'efficienza dei processi di gestione. In definitiva, esso permettere di rispondere alle domande: A che punto siamo rispetto agli obiettivi attesi o programmati?

Da questa breve disamina dei caratteri salienti delle attività di controllo e monitoraggio, emerge chiaramente come esse possono e devono essere diversamente assegnate ai diversi organi sociali e di controllo contabile.

Sul piano pratico ed operativo, le attività di controllo attengono all'organo amministrativo ed ai comitati consultivi, quando presenti (ovvero previsti dalla statuto o dai regolamenti interni), siano essi endo-consiliari che etero-consiliari (ad esempio, il Comitato Interno per la Gestione dei Rischi adatto alle medie imprese o l'Esperto Indipendente per la Gestione dei Rischi più adatto alle piccole imprese).

Viceversa, le attività di monitoraggio sono tipicamente svolte dagli organi di vigilanza societaria e contabile (sindaci e revisori).

Ma come impattano in termini di responsabilità queste due attività sul processo integrato di gestione del rischio di crisi d'impresa e d'insolvenza ed in particolare nelle procedure che in precedenza abbiamo definito Sistema di Allerta Precoce (Early Warning System)?

Per come sono state definite in precedenza le attività di controllo e monitoraggio, la prima responsabilità (anche esimente) per l'adozione di un idoneo sistema d'allerta per la "tempestiva rilevazione dello stato di crisi e dell'assunzione di idonee iniziative" (chiare attività di controllo di cui all'art. 2, 2° comma del Codice) spetta agli amministratori coadiuvati, nel loro processo organizzativo e gestionale, dall'organo consultivo a presidio dei processi di ERM (Enterprise Risk Management).

Saranno gli amministratori e non certo i sindaci ed i revisori a dover provvedere preventivamente in previsione dell'approvazione del prossimo bilancio d'esercizio e poi successivamente in via continuativa (attività di Risk Assessment) alla progettazione, realizzazione e corretto funzionamento di un "adeguato" assetto organizzativo, amministrativo e contabile, uniformato a corretti postulati di pianificazione e controllo, così come imposto dalla Riforma.

Proviamo a questo punto a riassumere i passi concreti che dovranno compiere nei prossimi giorni (entro il mese di approvazione del bilancio 2019 ovvero aprile 2020) gli amministratori di tutte le piccole e medie società (tutte le società anche quelle di persona esentate dalla nomina del sindaco/revisore ma non dall'adozione dei sistemi di allerta preventiva): predisporre ed approvare un regolamento interno rubricato "Regolamento interno per l'adozione delle procedure relative al Sistema di Allerta Preventiva ex artt. 12 e ss. del d.lgs. 12 gennaio 2019, n. 14".

A. Nominare, definendone funzioni, limiti operativi e rapporti con gli altri organi societari e con i revisori (se esistenti), un Comitato Interno per la Gestione dei Rischi. Tale organo consultivo avrà il compito di coadiuvare ed assistere l'organo amministrativo in particolare nelle attività di controllo direzionale a garanzia del mantenimento, sia nel breve che nel medio-lungo periodo, dell'equilibrio economico-finanziario e della continuità operativa aziendale. Nelle società di minore dimensione, potrà essere sostituito, nel rispetto del principio di proporzionalità che impone sempre una preventiva valutazione costi-benefici di ogni scelta organizzativa, da un singolo Esperto Interno per la gestione dei Rischi (normalmente, un dottore commercialista revisore legale opportunamente specializzato in analisi, valutazione e pianificazione finanziaria e risk managemet). L'organo consultivo partecipa attivamente al processo di pianificazione aziendale (budget di tesoreria e piano aziendale) definendo il quadro integrato di gestione dei rischi d'impresa (RAF – Risk Appetite Framework) sulla base della propensione al rischio definito preventivamente dagli amministratori (Risk Appetite).

B. Procedere ad un inziale valutazione preventiva degli adeguati assetti organizzativi, amministratici e contabili (Risk Assessmet), in conformità al principio di revisione ISA 315 e nel rispetto del ERM – CoSo Report 2017.

C. Predispone, se la dimensione, ciclo di vita e natura dell'attività svolta dalla società lo richiede (ad esempio, nel caso delle società con ciclo operativo superiore ai 12 mesi o che lavorano su commessa a SAL), il Contingency Plan (ovvero il piano d'azione da mettere in atto tempestivamente in caso di ristrutturazione ed escalation in caso di crisi d'impresa ed individuando preventivamente le fonti finanziarie da attivare anche mediante operazioni di dismissione o finanza straordinaria).

D. Assicurare agli organi di controllo societario e contabile (sindaci e revisori) un'adeguata base informativa uniformata a principi di qualità rappresentativa, significatività e tempestività (quality data set) con particolare riferimento al ciclo attivo, passivo, di tesoreria, d'investimento e finanziamento.

E. Se non ancora proceduto, provvedere senza indugio alla nomina del sindaco unico con compiti anche di revisione (per i motivi che dovrebbero essere ora chiari a tutti, si sconsiglia vivamente di nominare il revisore unico che non ha ne potrebbe avere compiti pro-attivi di vigilanza). Quest'ultimo, dopo aver proceduto preventivamente alla valutazione del rischio inerente all'incarico, dovrà immediatamente prendere contatto con l'organo consultivo per il necessario coordinamento tra le attività di controllo e di monitoraggio, condividendo gli obiettivi e le tempistiche delle verifiche ispettive (normalmente trimestrali quando, in caso di accertata situazione di squilibrio economico-finanziario o momentanea situazione di illiquidità, mensili).

Sembra molto ma non è nulla se si considerano le conseguenze dell'inerzia organizzativa: la perdita della capacità di credito da parte di banche e fornitori e un inevitabile declino.

Forse vale la pena pensarci subito, con attenzione e responsabilità.

Nota: il contenuto del documento deve essere interpretato in relazione al periodo in cui è stato redatto.

Potrebbero interessarti anche:

• Rassegna stampa
• Approfondimenti