Sistemi di qualità formale e servizi di “assurance”

0

Il presente articolo affronta dapprima il concetto di “assurance” nei servizi professionali contabili e amministrativi. Dopo aver ampliato la visuale di analisi agli standard di “assurance” al di fuori del settore contabile amministrativo, esamina se i sistemi di qualità formale possano essere considerati un sistema sovra-ordinato di “assurance” della gestione aziendale.

grafico1

Il concetto di “assurance” nei servizi professionali amministrativi e contabili

È noto che il concetto di “assurance” ricopre un ruolo fondamentale nei servizi professionali amministrativi e contabili. Come schema base della nostra analisi, faremo riferimento a un paradigma familiare alla professione statunitense di CPA – Certified Public Accountant (Dottore Commercialista e Revisore legale USA), ancorché poco conosciuto in Italia. Tale modello classifica i servizi professionali contabili in tre fondamentali categorie: i servizi di “attest”, i servizi “non-attest” e altri servizi di “assurance”. Questa distinzione ha il suo principale fondamento sul lavoro risalente al 1997 della Special Committee on Assurance Services (conosciuta come Eliot Committee) dell’AICPA (America Institute of CPAs).

“Attest” e “assurance” positiva e negativa

I servizi di “attest” si possono in sostanza sintetizzare come servizi di certificazione, dove il professionista esprime, sulla base di precise procedure richieste da standard professionali, un giudizio scritto (“opinion”) sulla conformità a standard di riferimento di asserzioni scritte dalla parte sottoposta a verifica e basate su informazioni chiave fornite da tale parte.
Quando questo accertamento si riferisce a bilanci consuntivi, si parlerà di “audit”, in Italia “revisione legale”. Negli altri casi sarà una “examination”, che può riguardante informazione consuntiva o prospettica, caratteristiche fisiche, eventi consuntivi, analisi specifiche, sistemi e processi o comportamenti.
I temi possono essere i più svariati, quali, ad esempio, previsioni e proiezioni finanziarie, bilanci pro-forma (riformulazione retroattiva di effetti di operazioni già effettuate o proposte, come se esse fossero state realizzate in data precedente), o aderenza al dettato normativo di leggi o regolamenti (“compliance”). Un esempio di “attestation” che non costituisce audit è il giudizio da parte del certificatore sul controllo interno sui bilanci (“internal control over financial reporting”), ormai conosciuto anche in Italia in quanto richiesto alle società USA quotate in ottemperanza al Sarbanes-Oxley Act del 2002.
L’obiettivo dei servizi di “attest” è certificare l’affidabilità di informazione più o meno strutturata (ad esempio, bilanci) sulla base della loro conformità a principi di riferimento. Generalmente questa certificazione è fruibile e a garanzia di una terza parte (ad esempio, in generale l’utente del bilancio). Proprio per questo, tali servizi richiedono non solo la professionalità ma anche l’indipendenza del certificatore.
È evidente dunque che essi offrono il grado di “assurance” più alto. L’“audit” e l’ “examination” si caratterizzano per “assurance positiva”, ossia un giudizio esplicito di congruità. Tuttavia, sempre nell’ambito dell’“attest” possiamo avere i servizi di “review”, caratterizzati da una “assurance negativa” ossia più limitata o moderata che si limita a costatare l’assenza di elementi giunti all’attenzione del professionista che possano far desumere specifiche deviazioni.
Infine, nelle così dette “agreed-upon procedures” il certificatore concorda i criteri da seguire per uno specifico esame. In questo caso non è fornito alcun livello di assurance, salvo i risultati delle procedure concordate.
Nel contesto USA, il riferimento base sono i cosiddetti Professional Standards dell’Auditing Standards Board (ASB) dell’AICPA, anche se esiste numerosa altra regolamentazione applicabile secondo i casi, quale per esempio i Public Company Accounting Oversight Board Pronouncement per la revisione legale.
Fra i Professional Standards citiamo

  • i Clarified SAS (Clarified Statements on Auditing Standards) applicabili ad incarichi di “audit”,
  • gli SSAE (Statements on Standards for Attestation Engagements) per attestation in generale incluso agreed-upon procedures e
  • i SSAR (Statements on Standards for Accounting and Review Services) per “review” e “compilation” (di cui tratteremo dopo).

In ambito internazionale, gli standard emanati dallo IAASB (International Auditing and Assurance Standards Board) dell’IFAC (International Federation of Accountants) sono gli ISA (International Standards on Auditing) per incarichi di revisione legale, gli ISRE (International Standards on Review Engagements) per “review” e gli ISRS (International Standards of Related Services) per “agreed-upon procedures” e “compilation”.
Gli standard di “attestation” in generale fanno parte degli ISAE (International Standards on Assurance Engagements), di sui si dirà dopo per quanto attiene a ISAE 3000.

I servizi “non-attest”

Nei servizi “non-attest” il professionista non fornisce alcuna “assurance”: il suo report, se fornito, specificherà che non viene fornito alcun giudizio. Per questo non è richiesta indipendenza. Un classico esempio è la redazione del bilancio per conto di un’azienda cliente (“compilation”). La famiglia di tali servizi è lunga: tenuta di contabilità, assistenza gestionale, informatica o finanziaria, valutazioni aziendali, servizi attuariali, assistenza di internal audit, servizi legali e fiscali, paghe e stipendi, ecc., tutti servizi in cui il professionista lavora per il suo cliente, pur nel rispetto degli standard professionali applicabili.

I servizi di “assurance”

L’Eliot Committee definì i servizi di “assurance” come servizi professionali indipendenti per ottenere informazioni, migliorare la qualità dell’informazione o migliorare la presa di decisioni. Tale categoria è però ampia, ricomprendendo al suo interno, come caso particolare, anche l’“attest”. La Commissione identificò svariati nuovi servizi di “assurance”. Questi possono essere personalizzati ed intesi per circostanze specifiche. Tipici esempi sul mercato USA possono essere i servizi di “assurance” sui rischi (quali il CPA Risk Advisory o l’ElderCare), “assurance” sulla performance (ad esempio; CPA Performance Review o HealthCare Effectiveness), “assurance” sui sistemi informativi (quali SysTrust or WebTrust).
La categoria però esclude i servizi fiscali e la consulenza. Quest’ultima, infatti, fornisce suggerimenti o raccomandazioni, mentre l“assurance” intende migliorare l’informazione o il suo uso. Qualora sorgano raccomandazioni, queste ne sono solo un sotto-prodotto. Come per l’“attest”, il rapporto nei servizi di “assurance” è in genere fra tre controparti, mentre la consulenza è tra il consulente e il cliente. Il consulente per definizione non è indipendente perché lavora per il suo cliente, a differenza del professionista nell’incarico di “assurance” la cui indipendenza si assume a beneficio di una terza parte ed è addirittura richiesta dagli standard professionali nel caso di “attest”. La consulenza non offre “assurance”. Ancorché i servizi di “assurance” non richiedano necessariamente asserzioni scritte da certificare, salvo che si tratti di “attest”, il livello di sicurezza fornito è flessibile, esplicito o implicito a secondo dei casi.

La nozione di “reasonable assurance”

Un assunto base nei servizi professionali contabili e amministrativi è che la sicurezza è sempre ragionevole (“reasonable assurance”), mai assoluta. Così la revisione legale non costituisce una garanzia assoluta che il bilancio sia privo di errori significativi. Parimenti, il sistema aziendale di controllo interno non può dare una sicurezza assoluta che errori significativi siano evitati o scoperti e corretti. Tale situazione è ascrivibile a limitazioni implicite, quali la possibilità di aggiramento dei controlli da parte del management, collusione o il semplice errore umano.

Gli standard di “assurance” al di fuori alla professione contabile-amministrativa

Il concetto di “assurance” è di portata generale ed esistono vari standard, tra i quali vari a livello nazionale di specifici paesi. Facciamo di seguito una breve rassegna dei principali standard internazionali e dei relativi concetti di assurance utilizzati.

ISAE 3000

ISAE 3000 è uno standard internazionale emesso dallo IAASB (International Auditing and Assurance Standards Board) dell’IFAC (International Federation of Accountants) che offre uno schema generale che si applica a incarichi diversi da “audit” e “review” di bilanci, di cui si è già detto prima. Il quadro di riferimento internazionale dello IAASB (“Framework”) per gli incarichi di assurance li classifica in due categorie. Quelli a sicurezza ragionevole (“reasonable assurance”) riducono rischio a un livello basso accettabile per le circostanze che permetta al professionista una forma “positiva” di espressione delle proprie conclusioni. Negli incarichi a sicurezza limitata (“limited assurance”) il rischio si attesterà a un livello più alto di quanto sia nel caso precedente, ma comunque accettabile affinché il professionista possa produrre una forma “negativa” di espressione delle proprie conclusioni.

AA1000AS

Tra gli standard internazionali, AA1000AS Assurance Standards fa parte di una famiglia di standard sviluppati da AccountAbility (un network globale non a fini di lucro), tra cui AA1000 Framework Standard, AA1000APS AccountAbility Principles, e AA1000SES Stakeholder Engagement Standard. AA1000AS si propone di allineare gli aspetti non finanziari della sostenibilità con il reporting finanziario e l’“assurance” e permette di coordinare certificazioni specifiche di sostenibilità. Secondo questo standard, sono possibili due categorie di incarichi di assurance:

  • il primo (Assurance su AA1000 AccountAbility Principles) certifica l’aderenza di un’organizzazione ad AA1000 AccountAbility Principles (presentati in AA1000APS) e del modo in cui essa li comunica nel suo reporting di sostenibilità. Questo tipo d’incarico però non verifica l’affidabilità dell’informazione riportata;
  • il secondo tipo d’incarico è AccountAbility Principles and Performance Information, che si estende anche all’affidabilità dell’informazione.
    Il livello di assurance in incarichi AA1000AS può essere alto o moderato, a seconda che il livello di rischio che le conclusioni siano errate sia molto basso ma non nullo oppure o che sia a rischio ridotto ma comunque sopra il livello prima detto. AA1000AS è compatibile con ISAE 3000 e anche con GRI Sustainability Reporting Guidelines.

In generale, il livello di assurance è funzione della disponibilità di dati, robustezza dei sistemi di gestione, sicurezza esistente per specifici aspetti della performance, processo interna di controllo, risorse dedicate al controllo, vincoli legali commerciali, competenze del certificatore. Lo scopo dei processi di “assurance” può essere vario: il rispetto di dettati normativi, affidabilità e credibilità verso terze parti, affidabilità dell’informazione per scopi decisionali, il miglioramento continuo manageriale. Gli obiettivi specifici possono riguardare la verifica dell’accuratezza e completezza dei dati, la robustezza dei sistemi informativi, la valutazione della significatività e rischi, la valutazione del rispetto di standard specifici.

I sistemi di qualità “formali”

In linea generale, si può tracciare una distinzione base (ovviamente questa è una semplificazione) tra sistemi di qualità di “prodotto” e sistemi di qualità formale di “processo”. Ad esempio, i controlli di qualità in ambiente di produzione o degli input di approvvigionamenti o output logistici si concentrano sull’aderenza di un oggetto di analisi (che chiamiamo qui “prodotto”) rispetto a standard che ne definiscono la qualità nella situazione specifica.
Qualità è qui concepita come conformità alle specifiche di “prodotto”. Un sistema di controllo della qualità di processo (che chiamiamo qui “sistema di qualità formale”) verte sulla conformità di un processo a principi che si presume che, se seguiti, siano essere in grado di dare una ragionevole sicurezza che il prodotto gestito dal processo aderisca ai relativi standard qualitativi. E’ immediato costatare che quest’ultima tipologia può spaziare in ambiti più svariati, fino a inglobare il sistema complessivo d’azienda. Ovviamente la famiglia degli standard di qualità ISO 9000 è un benchmark in termini di gestione per la qualità di processo. Di seguito cercheremo di illustrare un parallelo tra gli standard di qualità di processo e gli standard di “assurance” e la loro complementarità e integrazione.

L’interazione tra sistemi di qualità formale di “processo” e di qualità di “prodotto”

Facciamo alcune esemplificazioni, procedendo in via analogica.
Il revisore legale nel suo programma di “audit” deve determinare la natura, tempistica e ampiezza delle procedure di revisione legale. Una considerazione base per effettuare tale determinazione è la fotografia dell’esistenza o meno di un sistema di controllo interno in azienda e se questo sia stato reso operativo dal management. Applicando per analogia il nostro schema di classificazione dei sistemi di qualità, le procedure di revisione legale faranno un controllo di qualità del “prodotto” bilancio, verificando se le specifiche poste rispettino specifici requisiti per la conformità del bilancio al quadro normativo di riferimento. Viceversa, il sistema di controllo interno (definito dal management, non dal revisore legale) funzionerà come un sistema di qualità sul “processo” di produzione dell’informazione finanziaria, poiché la qualità del suo disegno, la sua messa in funzionamento e il suo grado di efficacia potranno fornire o no una ragionevole sicurezza che errori significativi in bilancio siano evitati o altrimenti scoperti e corretti. Se tale sistema non è adeguatamente disegnato o posto in funzionamento, il revisore si baserà quasi esclusivamente sulle proprie procedure di validità, altrimenti potrà valutare se il rischio di controllo sotto il massimo e conseguentemente ridurre le proprie procedure di revisione. Questo esempio, a ben vedere, illustra la complementarità tra i due sistemi in una situazione in cui un sistema di “assurance” di prodotto (la revisione legale) verifica per eccezione il funzionamento di un sistema di “assurance” di processo (il controllo interno). In questo caso, entrambi sono sistemi di “assurance” ma il primo funziona come sistema di “attest” e quindi certifica il secondo (come spiegato prima l’oggetto di un servizio di “attest” può ben essere un sistema o processo).
Facciamo ora un esempio in cui accade il reciproco.
Come noto, sulla base del D. Lgs. 231/2001 e successive integrazioni e modificazioni, l’introduzione ed efficace adozione, prima della commissione di reato, di “modelli di organizzazione, gestione e controllo” idonei a prevenire la realizzazione di certi illeciti penali può costituire un’esimente della responsabilità amministrativa degli enti per tali reati commessi, nel loro interesse o vantaggio, da determinati soggetti, preposti, dipendenti o anche solo in rapporto funzionale con l’ente stesso. A ben vedere, tale modello si può classificare come un sistema di “assurance” che è anche un sistema di “qualità formale di processo”, con “puntatori” a una serie di controlli di qualità di “prodotto”. Per esempio, per i reati di riciclaggio, specifici controlli verificheranno che gli adempimenti di registrazione e segnalazione di antiriciclaggio (nel nostro caso “prodotto”) siano effettuati, laddove applicabili, come prescritto dalla norma (nel nostro caso lo “standard di qualità di prodotto”). Questo esempio mostra ancora la complementarità tra i due sistemi, ma in senso inverso, dove un sistema di “assurance” di processo fa da regia e monitoraggio di sistemi di qualità specifici di “prodotto”.
Il diagramma seguente illustra la relazione tra i due livelli.

Riflessioni conclusive: si può prevedere un sistema di qualità formale essere un sistema sovra-ordinato di assurance?

Gli standard richiamati in questo articolo mostrano che il concetto di “reasonable assurance” si applica sia a “attest” sia ad “assurance” che non costituisce “attest”.
L’assemblaggio di input, output e processi crea “avviamento” e quindi valore dell’azienda. Un sistema di qualità formale di “processo” intelligentemente utilizzato a regia del sistema azienda e a monitoraggio dei sotto sistemi di controllo di qualità di “prodotto” crea valore di per se stesso e può costituire un sistema sovra-ordinato di “assurance”.
L’“assurance”, di per sé, crea affidabilità e credibilità per i vari “attori” del sistema azienda (“stakeholders”) e quindi valore dell’azienda.

Francesco BELLANDI

CPA - Certified Public Accountant, Dottore Commercialista - London, UK.
bellandif@tiscali.it
Share.

Comments are closed.