Strutturazione e attività delle funzioni di controllo
Transcript
Strutturazione e attività delle funzioni di controllo
L’internal audit e la compliance in un settore regolamentato Gianmarco Maffioli Nicola d’Auria TMF Compliance (Italy) Prendendo spunto dall’esperienza maturata nel settore finanziario, l’articolo illustra le principali criticità rilevabili nell’assetto organizzativo, procedurale e operativo delle funzioni di controllo, nella specie internal audit e compliance, di un tipico intermediario finanziario focalizzato sulla prestazione di servizi di investimento. Tali problematiche e la conseguente difficoltà delle funzioni di controllo ad assolvere pienamente al loro ruolo di supporto, oltre che di controllo, derivano principalmente da una non sempre chiara definizione delle rispettive mission e responsabilità e delle modalità di svolgimento delle attività di controllo. A fronte di tali questioni, sono delineate alcune proposte migliorative, il cui scopo ultimo è di ricondurre a unità, in capo agli organi societari, il pieno presidio sul sistema dei controlli interni. Sono altresì proposte alcune riflessioni sulla funzione di risk management, per la quale viene suggerita una più evoluta prospettiva di supporto alla gestione rispetto alla mera rilevazione di rischi operativi, come spesso riscontrato negli intermediari finanziari. Le principali riflessioni dell’articolo traggono spunto dall’osservazione del settore finanziario, ma sono replicabili in molteplici altri settori. L’organizzazione e la gestione delle imprese, in qualsiasi settore esse operino, sono sempre più condizionate da una serie di fattori quali un crescente inasprimento del contesto competitivo, ormai spintosi oltre i confini nazionali, la crescente varietà dei rischi a cui le società stesse sono esposte, nonché il sempre più rapido mutamento delle normative di riferimento. Gli operatori economici nella loro generalità strutturano dunque processi gestionali volti ad assicurare che il loro business sia svolto in modo sempre più adeguato, monitorano l’evoluzione del contesto esterno e interno per identificarne i rischi e le opportunità e studiano la progressiva evoluzione della normativa, che, oltre a creare vincoli, in taluni casi può dare vita anche a una serie di op- portunità. Di pari passo stanno evolvendo, anche se su percorsi non sempre convergenti, i processi di controllo che vengono a sovrapporsi, spesso condizionandone il disegno, ai processi gestionali. Nel presente articolo si esaminano le problematiche che stanno emergendo con riferimento al coordinamento dei sistemi di controllo nelle attuali strutture societarie; per fare ciò, si è ritenuto opportuno riferirsi a quanto sta accadendo nell’ambito di uno specifico settore, quello dell’intermediazione finanziaria, nel quale la strutturazione e l’organizzazione delle funzioni di controllo devono basarsi su specifici requisiti regolamentari. Si ritiene che quanto verrà illustrato con riferimento FUNZIONI DI CONTROLLO CFC04_353-362.indd 353 funzioni di controllo Strutturazione e attività delle funzioni di controllo Contabilità finanza e controllo 4.2011 353 25/03/11 16:11 funzioni di controllo agli intermediari finanziari operanti nell’ambito dei “servizi e attività di investimento”1 sia applicabile altresì a una generalità di altri soggetti, tra i quali in primis coloro che operano in settori anch’essi vigilati (società quotate, società operanti nell’editoria o nella chimica farmaceutica o in altri settori in cui sia individuabile un ente di controllo esterno). Le funzioni di controllo per i soggetti che prestano servizi e attività di investimento L’analisi del settore dell’intermediazione finanziaria, includendo in tale ambito il novero dei servizi e attività di investimento previsti dalla normativa, indipendentemente dalla tipologia di intermediari, evidenzia un quadro dei sistemi di controllo basato sostanzialmente su un dettato normativo (di legge o regolamentare) al momento non ancora replicato in altri settori in forma così dettagliata. La coesistenza di una pluralità di leggi e regolamenti, nonché di soggetti diversi tenuti a “normare” e contestualmente a vigilare sul corretto funzionamento del sistema (nel caso italiano, Banca d’Italia e Consob) ha richiesto agli intermediari rilevanti sforzi organizzativi, i cui primi risultati e al contempo le prime distorsioni sono via via emersi. In particolare, il presente lavoro prende in gran parte spunto dal recepimento in Italia della direttiva MiFID,2 che, in misura significativa, ha richiesto ai regulator3 nazionali la definizione di parametri minimi di controllo non previsti, in precedenza, nella stessa misura. Fra le principali novità introdotte dalle disposizioni normative di recepimento in Italia della normativa MiFID, particolare rilevanza riveste proprio l’obbligo4 di dotarsi di un’apposita funzione di controllo di conformità alle norme (compliance), nonché di funzioni di revisione interna (internal audit) e di gestione del rischio dell’impresa (risk management).5 Le predette funzioni in materia di servizi di investimento sono state inizialmente disciplinate dal regolamento 29 ottobre 2007,6 la cui stesura è stata curata, primo caso nella produzione normativa italiana, congiuntamente da parte della Banca d’Italia e della 354 CFC04_353-362.indd 354 Contabilità finanza e controllo 4.2011 Consob (Regolamento Congiunto), a riprova della rilevanza assunta dal ruolo di queste funzioni. Si aggiunga che, per le banche (quando esse prestino servizi di investimento), tali norme vanno lette in coordinamento altresì con quanto già previsto dalle istruzioni di vigilanza della Banca d’Italia in materia di sistema dei controlli interni,7 in particolare per ciò che concerne il controllo dei rischi e le attività di revisione interna, nonché con le disposizioni di vigilanza del medesimo organo in tema di conformità alle norme.8 Orbene, a distanza di tre anni dall’entrata in vigore del Regolamento Congiunto, le norme in esame risultano, pur se ampiamente condivise nei principi, ancora di difficile applicazione da parte degli intermediari finanziari a cui queste sono rivolte. Tale circostanza ha quindi indotto i medesimi organi di vigilanza a redigere, ancora congiuntamente, la Comunicazione 8 marzo 2011 a chiarimento dei principali criteri di ripartizione.9 Per le banche poi un’ulteriore complicazione è rappresentata dal fatto che ciascuna delle funzioni di controllo è regolamentata anche, come accennato, da un’altra fonte normativa, di diversa derivazione, riferibile a un complesso di attività più ampio e rispondente a finalità almeno in parte differenti. Ciò premesso, si riporta di seguito una panoramica generale delle principali problematiche che sono state riscontrate, e in alcuni casi non ancora del tutto risolte, sotto il profilo organizzativo, procedurale e operativo, nello svolgimento delle attività delle funzioni di controllo presso un tipico intermediario finanziario focalizzato sulla prestazione di servizi di investimento. Al contempo si propongono talune indicazioni che, nell’ambito del contesto di riferimento, sono ritenute idonee ad assicurare un più adeguato svolgimento delle attività di controllo, in termini sia di coerenza con il ruolo assegnato a ciascuna funzione dalla vigente normativa e di efficace conseguimento dei rispettivi obiettivi, sia di efficiente utilizzo delle risorse destinate alle medesime attività. Il complesso delle problematiche osservate e delle relative soluzioni proposte, pur con la pre- FUNZIONI DI CONTROLLO 25/03/11 16:11 Le dinamiche oggetto del presente lavoro sono rappresentate, considerati gli impatti che si sono sperimentati nel settore finanziario, avendo presenti alcune specifiche criticità illustrate nella tabella 1. Tale schema illustrativo aiuterà a rappresentare, secondo un approccio top down negli assetti di governance degli intermediari, le principali peculiarità emerse, le modalità in cui hanno trovato strutturazione le diverse funzioni e talune possibili soluzioni alle criticità emerse. Collocamento organizzativo e strutturazione delle funzioni di controllo Il posizionamento gerarchico nell’organigramma aziendale delle funzioni di controllo non ha mai de- stato vivaci dibattiti, essendo stato risolto sin dall’origine senza ambiguità e anzi, espressamente nel caso degli intermediari, ponendo le stesse in riporto diretto agli organi aziendali (tipicamente Consiglio di amministrazione e Collegio sindacale).10 È altresì vero che tale modello è ampiamente clonato anche in altri settori, allorquando si voglia dare a tali funzioni il medesimo incarico di attori super partes con un ruolo indipendente, ma collaborativo con le strutture operative e al contempo di supporto agli organi aziendali. Con frequenza possono però emergere problemi connessi alla dotazione di risorse dedicate allo sviluppo di tali funzioni. Assodato che queste sono presiedute da un responsabile (ufficialmente nominato per quanto attiene gli operatori finanziari), si assiste talvolta a significativi dibattiti in relazione alle risorse di cui questi si possono avvalere, a volte anche in condivisione con altre strutture; ammesso che in questi casi siano comunque rispettati i requisiti di indipendenza, tali allocazioni sono suscettibili di condizionarne, in parte e negativamente, l’attività. funzioni di controllo cisazione che comunque sono riferibili a società attive in uno specifico settore, costituiranno spunto per riflessioni attinenti ad altri contesti operativi, utili soprattutto laddove questi siano – similmente a quanto avviene nel settore finanziario – da incardinarsi in norme di legge o di regolamento destinate a indirizzare o quanto meno condizionare la gestione del business. L’analisi che segue è svolta avendo a mente principalmente le funzioni di internal audit e di compliance, le quali in molti casi sono già presenti, pur con differenti declinazioni a livello di attribuzioni organizzative, anche in società operative in altri settori. Con riferimento alla funzione di risk management, anch’essa destinata ad assumere un ruolo di maggiore rilievo anche in ambiti diversi da quello finanziario, le riflessioni saranno di carattere più organizzativo, in quanto un’approfondita disamina delle dinamiche che ne regolano il funzionamento richiederebbe una separata e specifica trattazione. Una di tali situazioni è, pur a fronte della previsione di responsabili distinti, la condivisione tra la funzione di compliance e quella di internal audit di una o più risorse di supporto. Per quanto attiene agli intermediari finanziari, soluzioni siffatte derivano spesso da scelte operate in occasione dell’adeguamento alle nuove disposizioni normative e, in particolare, delle modifiche di organico rese necessarie dalla “trasformazione” della precedente e “unica” funzione di controllo interno nelle due distinte funzioni di internal audit e di compliance. Scelte di tal genere sono risultate frequenti Tabella 1 Collocamento organizzativo e strutturazione delle funzioni di controllo Regolamentazione delle funzioni di controllo e articolazione delle loro attività Assetto operativo e meccanismi di coordinamento – – – – – – – – Linee di riporto Definizione dei ruoli Allocazione delle risorse Impostazione delle attività di verifica Definizione delle modalità di condivisione e riporto Monitoraggio ex post svolto dalle funzioni di controllo Convergenza delle metodologie di lavoro Interscambio informativo tra le funzioni FUNZIONI DI CONTROLLO CFC04_353-362.indd 355 Contabilità finanza e controllo 4.2011 355 25/03/11 16:11 funzioni di controllo Tabella 2 Internal audit Compliance Collocamento della funzione – Riporto diretto nei confronti degli organi aziendali Struttura della funzione Proporzionata alla complessità organizzativa – – Consiglio di amministrazione Commisurata all’ampiezza della normativa rilevante – – Collegio sindacale sia per ragioni legate alla natura di “controllo” di entrambe le funzioni predette, sia per ragioni imputabili ai costi che tale biforcazione ha comportato. Esse, seppure giustificabili nelle primissime fasi di transizione al nuovo assetto normativo, risultano ora difficilmente idonee in relazione alla necessità di assicurare a ciascuna delle funzioni coinvolte adeguata indipendenza reciproca e obiettività di giudizio nei vari ambiti di volta in volta oggetto di valutazione; una tale condivisione, laddove mantenuta, potrebbe scontare inoltre potenziali effetti negativi nei confronti delle stesse risorse coinvolte, in quanto suscettibile di ingenerare in queste ultime, spesso con una seniority ancora tutta da formare, una non chiara comprensione degli ambiti di competenza dell’una e dell’altra funzione e dei rispettivi e diversi approcci metodologici allo svolgimento delle attività di controllo. Dal punto di vista della strutturazione organizzativa, a parere di chi scrive, esistono soluzioni maggiormente efficaci a permettere di dotarsi di funzioni di controllo autonome senza l’aggravio eccessivo di ulteriori costi, soprattutto in una fase iniziale. La dotazione iniziale di risorse può infatti essere riequilibrata con una diversa riallocazione delle attività per cui ciascuna funzione è responsabile, ovvero privilegiando la “delega delle attività” alla “condivisione delle risorse”, in linea con quanto indicato con la Comunicazione 8 marzo 2011 di Banca d’Italia e Consob. Sia nell’ambito degli intermediari, sia con riferimento a qualsiasi altro soggetto che intenda dotarsi di una funzione di “controllo della conformità”, trattandosi di funzioni di controllo rispondenti sempre direttamente 356 CFC04_353-362.indd 356 Contabilità finanza e controllo 4.2011 – – Rapporti con le altre funzioni aziendali Evidenzia aree di miglioramento funzionale e operativo; condivide i risultati con le altre funzioni di controllo. Assolve un ruolo consultivo nei confronti di tutte le funzioni operative e di controllo; svolge verifiche anche mediante acquisizione degli esiti delle attività svolte da altre funzioni. agli organi sociali, lo svolgimento delle attività di “confine” da parte di una delle due funzioni a vantaggio dell’altra, meno dotata di risorse, può considerarsi in numerosi casi soluzione maggiormente efficace rispetto a potenziali “confusioni organizzative”, derivanti dalla commistione di ruoli e di responsabilità (tabella 2). In conclusione, anche un’allocazione sbilanciata, se contemperata da una precisa definizione dei ruoli, non rappresenta necessariamente un aspetto di criticità organizzativa. Quanto esposto in termini di strutturazione organizzativa si ritiene possa essere utilmente decontestualizzato rispetto al settore oggetto di indagine; gli operatori che siano tenuti a dotarsi o che decidano autonomamente di dotarsi di una funzione di controllo di conformità che vada a integrarsi con una già operativa funzione di audit, a parere di chi scrive, devono disegnare tale implementazione sulla base della mission che ritengono utile attribuire a ciascuna di esse studiando meccanismi di integrazione che non ne precludano la necessaria autonomia ed efficacia di azione. Regolamentazione delle funzioni di controllo e articolazione delle loro attività La regolamentazione interna delle funzioni di controllo è, in linea di principio, il principale strumento di definizione dei compiti e delle mansioni che queste devono ricoprire nella realtà aziendale. Il loro collocamento e il perimetro delle relative attività (comprendendo anche le eventuali attività da fare svolgere ad altre funzioni aziendali) deve essere oggetto di trat- FUNZIONI DI CONTROLLO 25/03/11 16:11 Riguardo alle modalità di reporting, un’espressa definizione, a livello procedurale, della periodicità e dei relativi destinatari, con specifica indicazione della caratteristica dei flussi informativi, può permettere agli organi aziendali di avere contezza della realizzazione dei piani di lavoro delle funzioni di controllo e di acquisire i relativi risultati su base periodica con un’efficiente visione d’insieme. Alternativamen- te una visione parcellizzata delle attività di verifica, non strutturata e organizzata, renderebbe difficile l’espressione di pareri su aspetti inerenti all’identificazione dei rischi aziendali e alla progettazione, realizzazione e gestione del sistema dei controlli interni. In merito al secondo dei punti menzionati, l’esplicitazione, a livello di procedure sia della funzione di compliance sia della funzione di internal audit, delle modalità di svolgimento delle attività di controllo permetterebbe una maggiore correlazione tra le attività svolte dalle funzioni e il resto delle strutture oggetto di verifica. Infatti, affinché le risultanze delle analisi dell’una e dell’altra funzione possano effettivamente tradursi in “raccomandazioni” suscettibili di essere realisticamente recepite nell’organizzazione e nella gestione aziendale, andrebbero altresì specificate le modalità di condivisione degli esiti delle verifiche svolte con i referenti dei processi interessati, preventivamente alla formalizzazione dei relativi report, in particolare allo scopo di proporre in modo condiviso (o per lo meno avendone discusso prima) gli eventuali interventi correttivi da porre in atto. funzioni di controllo tazione specifica in regolamenti e procedure interne. Con riferimento al contesto degli intermediari finanziari, i regolamenti delle funzioni di controllo si limitano spesso a riprodurre, senza sostanziali integrazioni, il ruolo e i compiti a esse assegnati dalla normativa,11 mentre più dettagliate indicazioni sarebbero opportune anche sotto altri profili che non sono oggetto di specifica disciplina da parte degli organi di vigilanza. Un’illustrazione ampia delle diverse fattispecie a cui ci si riferisce richiederebbe l’analisi dei singoli profili di attività dei diversi intermediari; in questa sede si ritiene opportuno porre in evidenza taluni aspetti ai quali, a prescindere dal contesto di riferimento, si attribuisce una significativa rilevanza. Ci si riferisce in particolare: – alla definizione delle modalità di reporting interno infra-annuale sull’attività svolta, – alla descrizione delle modalità di svolgimento delle attività di verifica e di preliminare condivisione degli esiti delle verifiche svolte con i referenti dei processi di volta in volta interessati, – soprattutto all’illustrazione dei flussi informativi che ciascuna funzione è tenuta a scambiarsi con le altre e, in particolare, con quelle di controllo. Infine, con riferimento alle informative reciproche tra le funzioni di controllo, l’indicazione, sempre a livello di regolamento delle funzioni, dei relativi flussi informativi e operativi permetterebbe, in un’ottica di coordinamento delle attività di verifica delle due funzioni, di evitare o tutt’al più ridurre, come si dirà più diffusamente oltre, sovrapposizioni ingiustificate nei controlli. La tabella 3 riporta in sintesi alcune aree di possibili Tabella 3 Ambiti di miglioramento Interventi realizzabili Ruolo, compiti e responsabilità Una più chiara distinzione, per la funzione di compliance, tra controlli ex ante e controlli ex post Reporting agli organi aziendali Una più chiara e omogenea definizione della periodicità e del contenuto dei flussi informativi di entrambe le funzioni, al fine di rendere le rispettive risultanze fruibili in modo integrato Una più dettagliata specificazione delle modalità di interfaccia delle attività di controllo di entrambe le funzioni con le unità organizzative oggetto di verifica, allo scopo di rendere agevole e “condivisa” la rimozione di eventuali carenze Una migliore illustrazione delle modalità di interscambio dei flussi informativi tra le due funzioni, finalizzato ad assicurare un più efficace coordinamento e a evitare sovrapposizioni non giustificate Conduzione delle attività di controllo Informativa reciproca tra le funzioni di controllo FUNZIONI DI CONTROLLO CFC04_353-362.indd 357 Contabilità finanza e controllo 4.2011 357 25/03/11 16:11 funzioni di controllo Tabella 4 – RUOLI DELLA FUNZIONE DI COMPLIANCE – – – – Ex ante Overview continuativa della normativa applicabile; compliance risk mapping continuativa; valutazione delle nuove iniziative; training periodico (aggiornamento) e specifico (informativo su nuovi temi) miglioramenti sotto il profilo procedurale emerse con riferimento al settore dell’intermediazione finanziaria. A integrazione di quanto sin qui osservato sugli aspetti procedurali, di primaria importanza nell’ambito delle funzioni di controllo, in questa sede si ritiene opportuno dedicare qualche ulteriore riflessione sul ruolo della funzione di compliance. Questa spesso è intesa, sulla scorta della normativa di derivazione bancaria e in linea con la mission tipicamente assegnata nel mondo anglosassone al compliance officer, quale funzione di controllo ex ante con una conseguente limitazione della relativa portata di intervento.12 Diversamente, meno risalto è talora posto sui compiti di verifica e di valutazione, tramite i controlli ex post, dell’adeguatezza e dell’efficacia delle procedure adottate, di non minore importanza per un efficace impatto delle attività della funzione. Questi, nell’ambito oggetto di indagine ovvero ai fini della prestazione dei servizi di investimento, sono espressamente assegnati dal Regolamento Congiunto alla funzione di compliance e sono altresì confermati dalla Comunicazione Congiunta 8 marzo 2011, ove sono menzionati i cosiddetti “controlli in loco”. Come sin qui premesso, gli intermediari finanziari sono tenuti, a norma di legge, a istituire la funzione di compliance. Un analogo obbligo non è invece previsto per le società industriali, anche se molte di queste aziende, in particolare se appartenenti a gruppi multinazionali, specie se quotati, oppure operanti in settori altamente regolamentati, hanno volontariamente introdotto tale funzione per fare fronte al robusto corpo di norme alle quali devono fare riferimento. Anche per le realtà industriali il rischio di non 358 CFC04_353-362.indd 358 Contabilità finanza e controllo 4.2011 Ex post Monitoraggio delle procedure adottate in termini di: – adeguatezza rispetto al corpo normativo; – efficacia alla riduzione del rischio di non conformità. Rilevazione della necessità di maggiore sensibilizzazione a specifiche tematiche di compliance conformità alle norme deve essere attentamente monitorato sia ex ante sia ex post, secondo le logiche prima brevemente richiamate, per evitare di incorrere, in conseguenza di una loro violazione, in sanzioni amministrative o giudiziarie, in perdite finanziarie rilevanti o danni reputazionali. La tabella 4 propone una traccia dei ruoli di un’ipotetica funzione di compliance ex ante ed ex post che prescinda dal settore di appartenenza. Assetto operativo e meccanismi di coordinamento Nell’ambito delle attività operative, si possono manifestare le maggiori problematiche in termini di sovrapposizione tra le funzioni di controllo. L’esperienza maturata dagli intermediari finanziari può essere rappresentativa delle potenziali anomalie nell’operatività delle funzioni interessate. Relativamente agli aspetti operativi, è possibile osservare, specialmente nell’ambito dei servizi di investimento, rilevanti inefficienze nello svolgimento delle attività di controllo, in buona parte discendenti da una non chiara specificazione, a livello procedurale e nei termini sinteticamente sopra richiamati, dei rispettivi ambiti di controllo e delle relative modalità di svolgimento delle verifiche. Si è rilevato, per esempio, che spesso i controlli dell’internal audit vengono a focalizzarsi, anziché – nella prospettiva naturale della funzione – sulla valutazione della funzionalità dei sistemi, processi e procedure di controllo interno dell’intermediario, su tematiche – più proprie della funzione di compliance – relative alla valutazione dell’adeguatezza ed efficacia delle procedure di prestazione dei servizi di investimento a garantire la conformità alla normativa.13 A ciò si aggiunga la rilevante differenziazione che FUNZIONI DI CONTROLLO 25/03/11 16:11 Ciò che ne consegue è che diventa spesso effettivamente difficile avere, in quella che è la prospettiva tipica di un componente del Consiglio di amministrazione o del Collegio sindacale, una visione d’insieme sul reale grado di rilevanza delle carenze di volta in volta rilevate dall’una e dall’altra funzione. Affinché le risultanze delle attività delle funzioni in discorso possano quindi essere effettivamente e pienamente utilizzate dagli organi aziendali, è evidente come siano quanto mai necessarie sia una costante informativa reciproca fra le due funzioni, sia una parziale convergenza delle metodologie di verifica rispettivamente seguite, ferma restando naturalmente l’osservanza dei relativi ruoli e responsabilità. Con tale obiettivo, si ritiene che sia utile che alla funzione di internal audit sia richiesto di dare maggiore sostanza a un approccio risk based nella pianificazione e conduzione dei singoli audit, prevedendo, per esempio, che ogni singola attività di controllo contemplata nel piano sia esplicitamente accompagnata da una valutazione preventiva di rischiosità del processo interessato e della qualità dei relativi controlli, che sarà utilizzata allo scopo di scadenzare gli audit secondo una logica di priorità degli stessi e di fare sì che questi includano una valutazione dell’efficacia e dell’efficienza del processo esaminato nel suo insieme. Analoga impostazione, con attinenza specifica alle tematiche di conformità alla normativa, dovrà essere richiesta alla funzione di compliance per quanto riguarda sia le attività ex ante sia quelle ex post. È inoltre necessario uno stretto coordinamento della funzione di internal audit con la funzione di compliance, sia preventivamente sia successivamente all’effettuazione degli audit, al fine, da un lato, di acquisire eventuali elementi già noti alla funzione di compliance che rilevino ai fini degli audit e, dall’altro, di definire puntualmente i controlli da effettuarsi a cura della funzione di internal audit. Tale coordinamento, espressamente posto in capo all’intermediario nella recente già citata Comunicazione Congiunta, è fondamentale alla luce del fatto che spesso, e non solo nell’ambito dei servizi di investimento, non è sempre oggettivamente possibile discernere i profili strettamente afferenti l’ambito dei controlli di conformità alle norme da quelli riguardanti, in senso più ampio, la complessiva adeguatezza, efficacia e funzionalità dei sistemi, dei processi, delle procedure e dei meccanismi di controllo tipici delle verifiche della revisione interna. La funzione di risk management nel sistema dei controlli interni Per concludere, anche per le attività della funzione di risk management si rendono opportune alcune specifiche notazioni. Il monitoraggio e la gestione dei rischi deve passare, indipendentemente dall’attività svolta da parte del soggetto che decide di implementare una funzione di risk management, da una profonda analisi delle attività svolte, ai fini di identificare quali siano gli aspetti che devono andare a costituire il nucleo dell’attività della funzione. La cosiddetta “mappatura dei rischi” rappresenta le fondamenta per qualsiasi altro tipo di considerazione e deve essere specificamente ritagliata sulla singola entità. Con riferimento al settore analizzato, si osserva che, presso gli intermediari finanziari focalizzati sulla prestazione di servizi di investimento, l’esposizione ai rischi di mercato e ai rischi di credito – proprio in quanto la gestione attiva di tali rischi non è l’attività core dell’intermediario – è in numerosi casi non significativa,14 mentre maggiore rilevanza assumono le altre categorie di rischio codificate nella prassi, quali quelle FUNZIONI DI CONTROLLO CFC04_353-362.indd 359 funzioni di controllo sovente si riscontra a livello di approccio metodologico seguito dalle due funzioni: – imperniato, in continuità con lo “stile” proprio della “tradizionale” funzione di controllo interno, su verifiche ex post di livello molto operativo, con dettagliata evidenza delle risultanze emerse, quello dell’internal audit; – più fondato, in linea con le norme di derivazione bancaria, su analisi ex ante e su un monitoraggio, a un livello più alto e nel continuo, su tematiche, progetti, adeguamenti rilevanti nella prospettiva di verifica di conformità alle norme, quello della compliance. Contabilità finanza e controllo 4.2011 359 25/03/11 16:11 funzioni di controllo relative ai rischi operativi (ivi inclusi i rischi legali e di non conformità), strategici e reputazionali. L’attività della funzione in esame, più che un’attività di risk management in senso ampio a beneficio degli organi aziendali, è tuttavia circoscritta spesso a una mera attività di monitoraggio dei rischi prevalentemente operativi, afferenti in particolare i portafogli della clientela.15 Tale attività si traduce infatti, in molti casi, prevalentemente nella produzione di elaborazioni finalizzate a monitorare e a garantire la regolarità dell’operatività svolta per conto della clientela, in termini, per esempio, di: – verifica della corretta implementazione di controlli di linea di tipo automatico;16 – assolvimento di taluni adempimenti richiesti dalla vigente normativa;17 – controllo del rispetto delle disposizioni della clientela18 in generale; – individuazione di situazioni da cui potrebbero originarsi rischi operativi o di mancato rispetto della normativa.19 Quanto precede rende quindi, già di per sé, una funzione siffatta maggiormente assimilabile a un’unità di middle office, più che a una funzione di controllo in senso proprio. A ciò si aggiunga poi che talvolta l’approccio seguito nella definizione e nello sviluppo delle elaborazioni predette non è supportato da una chiara visione di carattere progettuale all’impostazione della complessiva attività della funzione, essendo esso prevalentemente il risultato di un’attività di tipo bottom up, nel senso che, individuato uno specifico rischio operativo, viene di volta in volta definito l’indicatore ritenuto maggiormente idoneo a monitorarne l’eventuale manifestazione. Viceversa occorrerebbe che il lavoro della funzione di risk management fosse impostato in una prospettiva del tipo top down, seguendo cioè un approc- cio che, partendo da una ricognizione strutturata dei processi in cui è articolata l’attività dell’intermediario e delle singole fasi procedurali in cui possono essere scomposti i processi medesimi, proceda poi a una rilevazione sistematica delle varie tipologie di rischio suscettibili di impattare negativamente sullo svolgimento dei processi e, solo in un momento successivo, a fronte dei vari rischi rilevati, alla definizione degli indicatori deputati a prevenirne o quanto meno individuarne la manifestazione. Ciò consentirebbe alla funzione in discorso di potere assolvere, in primo luogo, al proprio ruolo di supporto nella definizione del cosiddetto “sistema di gestione del rischio” e di presidio al suo corretto funzionamento a servizio degli organi aziendali, fornendo altresì alla stessa gli strumenti metodologici per consentirne l’innalzamento del contenuto dell’informativa resa a questi ultimi da un livello incentrato sull’esposizione degli esiti di controlli strettamente operativi (ovvero mero monitoraggio) a un piano maggiormente focalizzato sulla rappresentazione delle aree e delle tematiche caratterizzate da maggiore rischiosità aziendale e sulla proposizione delle conseguenti misure correttive (ovvero gestione dei rischi in senso proprio). Lo sviluppo di una metodologia strutturata di rilevazione e gestione dei rischi potrebbe inoltre essere condiviso anche con le altre funzioni di controllo, in particolare: – l’internal audit ai fini della concreta implementazione dell’approccio risk based alla conduzione delle verifiche; – la compliance, allo scopo di definire un set strutturato di key risk indicators specificamente dedicati al monitoraggio e ai controlli di competenza di quest’ultima e alla gestione dei rischi di non conformità. Si veda la tabella 5. Tabella 5 – APPROCCIO RISK BASED DELLE FUNZIONI DI CONTROLLO Risk management Internal audit e compliance 360 CFC04_353-362.indd 360 – Definizione del “sistema di gestione del rischio” – Mappatura secondo logiche top down strutturata sui processi e sulle procedure aziendali Risk assessment della – Identificazione dei key risk indicators per lo svolgimento del proprio ruolo funzione in relazione al – Contributo, in esito alle attività di verifica, al mantenimento della proprio ruolo mappatura dei rischi Contabilità finanza e controllo 4.2011 FUNZIONI DI CONTROLLO 25/03/11 16:11 L’organizzazione aziendale deve essere costantemente orientata al perseguimento dei seguenti obiettivi: – conformità delle operazioni a leggi e regolamenti; – affidabilità e integrità delle informazioni (ivi comprese le informazioni finanziarie e di bilancio); – salvaguardia del patrimonio aziendale; – efficacia ed efficienza delle operazioni. In considerazione di ciò, è quindi evidente come, ad avviso di chi scrive, le considerazioni strutturali e organizzative sopra presentate risultino applicabili in gran parte anche con riferimento al settore industriale. Considerazioni conclusive La disamina sopra illustrata, come rappresentato in premessa, prende spunto da un contesto regolamentato, il cui disegno ha visto il concorrere di più legislatori (in primis Unione Europea e Stato italiano) e, in un momento successivo, di diverse entità regolamentari (Banca d’Italia e Consob). In molti casi, il nuovo quadro normativo è stato vissuto come imposizione di ulteriori complessità, derivanti dal dovere introdurre una nuova funzione indipendente da interfacciare direttamente con Consiglio di amministrazione e Collegio sindacale, nonché di ulteriori costi in un periodo di elevata crisi e turbolenza dei mercati. L’aspetto per il quale sono percepite problematiche di natura organizzativa e procedurale, nonché operativa, sono ancora le aree di sovrapposizione, che seppure minimiz- zabili, possono essere considerate inevitabili. Il governo di tali problematiche risulta, sulla base di quanto sin qui descritto, di fondamentale importanza per permettere all’intermediario di beneficiare di una strutturazione che, seppure imposta dalle norme, potrebbe, oltre che ridurre l’esposizione a una serie di rischi di natura non solo operativa, essere origine di dinamiche di razionalizzazione interna di processi e procedure. L’assestamento conseguente al normale evolversi delle strutture societarie ha fatto sì che le funzioni oggi operino secondo linee di indirizzo più chiare di quelle immediatamente successive al nuovo contesto normativo che possono oggi trovare un supporto ulteriore nelle linee applicative emesse da Banca d’Italia e Consob. Le tematiche analizzate con riferimento al contesto degli intermediari finanziari impegnati nella prestazione dei servizi di investimento presentano non poche peculiarità. Dall’altro canto, a parere di chi scrive, la declinazione che hanno avuto le funzioni di controllo nel particolare contesto descritto potrebbe essere un valido spunto di riflessione per quelle entità che sentano la necessità di dotarsi di una struttura di governance in cui lo sviluppo dei controlli di compliance possa avere un impatto diretto sulla conduzione del business. Si osserva inoltre che, in molti casi, orientamenti in tale senso sono già adottati, seppure in una forma embrionale, dalle strutture societarie più complesse; in tali fattispecie – si ritiene – gli aspetti fondamentali sui quali agire sarebbero quelli procedurali (soprattutto per quanto attiene alle attività di controllo ex post e di reporting), risolti i quali queste risulterebbero dotate di un ulteriore e strutturato strumento di governance. In conclusione si ritiene che, prescindendo dalle dimensioni, ma facendo attento riferimento alle caratteristiche interne del settore di operatività, un’attenta riflessione sulla struttura dei controlli riferiti anche alla conformità debba essere posta in essere da una pluralità di soggetti. Rientrano nel novero di chi possa sentire tale esigenza, oltre a tutte le attività che siano soggette a un’elevata regolamentazione diretta, anche coloro che, stante il sempre maggiore complicarsi del quadro legislativo, si trovano sovente a rivedere il proprio business o la propria organizzazione per rispondere a tali evoluzioni esogene. FUNZIONI DI CONTROLLO CFC04_353-362.indd 361 funzioni di controllo Nelle società non finanziarie la gestione del rischio è di fondamentale importanza; un incidente produttivo, commerciale, o ambientale può creare gravi danni economici e reputazionali se non viene previsto, valutato e presidiato, ovvero adeguatamente gestito. Diverse sono le tipologie di corporate risk che una società industriale può trovarsi ad affrontare: un’azienda deve sapere disegnare un’architettura finanziaria ottimale e definire le strategie di copertura dei rischi di mercato (oscillazione dei prezzi delle materie prime, variazione dei tassi e dei cambi); deve gestire e minimizzare i rischi operativi, il rischio reputazionale e, come accennato precedentemente, il rischio di compliance. Contabilità finanza e controllo 4.2011 361 25/03/11 16:11 funzioni di controllo 1 I servizi e le attività di investimento sono disciplinati dal D.Lgs. 58 del 24 febbraio 1998 (TUF); ai sensi dell’art. 1, comma 5, del TUF, trattasi dei seguenti: a) negoziazione per conto proprio; b) esecuzione di ordini per conto dei clienti; c) sottoscrizione e/o collocamento con assunzione a fermo ovvero con assunzione di garanzia nei confronti dell’emittente; c-bis) collocamento senza assunzione a fermo, né assunzione di garanzia nei confronti dell’emittente; d) gestione di portafogli; e) ricezione e trasmissione di ordini; f) consulenza in materia di investimenti; g) gestione di sistemi multilaterali di negoziazione. 2 Markets in Financial Instruments Directive, dir. n. 2004/39/CE del Parlamento Europeo e del Consiglio del 21 aprile 2004. 3 Nello specifico, come anticipato, Consob a presidio del corretto funzionamento del mercato finanziario e della corretta e trasparente prestazione dei servizi e degli attori in questo coinvolti e Banca d’Italia a presidio della stabilità del sistema e degli intermediari finanziari. 4 Sancito a carico delle banche e degli altri intermediari autorizzati alla prestazione di servizi di investimento e del servizio di gestione collettiva del risparmio dall’art. 12 del Regolamento Congiunto Banca d’Italia e Consob del 29 ottobre 2007. 5 Con riferimento alle funzioni di internal audit e di risk management, la normativa consente di non attribuire le stesse a una funzione organizzativa specifica, se ciò è in linea con il principio di proporzionalità; tale principio risponde alle esigenze di tutti quei soggetti per i quali l’individuazione delle menzionate attività in capo a funzioni distinte potrebbe incidere in misura significativa in termini di costi e non essere giustificata in ragione della natura, delle dimensioni e della complessità dell’attività svolta. La responsabilità sarebbe comunque in capo all’appropriato organo di governance, ovvero il consiglio di amministrazione nei sistemi tradizionali. 6 In particolare, artt. 13, 14 e 16 del Regolamento Congiunto Banca d’Italia e Consob del 29 ottobre 2007. 7 “Istruzioni di vigilanza per le banche” (circ. n. 229 del 21 aprile 1999 e successivi aggiornamenti), Titolo IV, Capitolo 11, Sezione II (Sistema dei controlli interni). 8 “Disposizioni di vigilanza” del 10 luglio 2007 aventi a oggetto “La funzione di conformità (compliance)”. 9 Comunicazione Congiunta di Banca d’Italia e Consob in materia di ripartizione delle competenze tra compliance e internal audit nella prestazione dei servizi di investimento e di gestione collettiva del risparmio, 8 marzo 2011. 10 Ovvero, in caso di sistema di dualistico, Consiglio di gestione e Consiglio di sorveglianza e, in caso di sistema monistico, Consiglio di amministrazione e Comitato per il controllo sulla gestione. 11 Nello specifico, gli artt. 14 e 16 del Regolamento Congiunto prevedono quanto segue: «Art. 14 – Revisione interna – 1. La funzione di revisione interna: a) adotta, applica e mantiene un piano di audit per l’esame e la valutazione dell’adeguatezza e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dell’intermediario; b) formula raccomandazioni basate sui risultati dei lavori realizzati conformemente alla lettera a) e ne verifica l’osservanza; c) presenta agli organi aziendali, almeno una volta all’anno, relazioni sulle questioni relative alla revisione interna». «Art. 16 – Controllo di conformità – 1. Gli intermediari adottano procedure adeguate al fine di prevenire e individuare le ipotesi di mancata osservanza degli obblighi posti dalle disposizioni di recepimento della dir. n. 2004/39/CE e delle relative misure di esecuzione, minimizzare e gestire in modo adeguato le conseguenze che ne derivano, nonché consentire alle autorità di vigilanza di esercitare efficacemente i poteri loro conferiti dalla relativa normativa. 2. A tal fine, gli intermediari attribuiscono alla funzione di controllo di conformità (compliance), le seguenti responsabilità, garantendo un adeguato accesso alle informazioni pertinenti: a) controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure adottate ai sensi dell’art. 15 e delle misure adottate per rimediare a eventuali carenze nell’adempimento degli obblighi da parte dell’intermediario, nonché delle procedure di cui al comma 1; b) fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini dell’adempimento degli obblighi posti dalle disposizioni di recepimento della dir. n. 2004/39/CE e delle relative misure di esecuzione. 3. La funzione di controllo di conformità presenta agli organi aziendali, con periodicità almeno annuale, le relazioni sull’attività svolta. Le relazioni illustrano, per ciascun servizio prestato dall’intermediario, le verifiche effettuate e i risultati emersi, le misure adottate per rimediare a eventuali carenze rilevate nonché le attività pianificate. Le relazioni riportano altresì la situazione complessiva dei reclami ricevuti, sulla base dei dati forniti dalla funzione incaricata di trattarli, qualora differente dalla funzione di controllo di conformità». 12 In particolare, nella prassi maggiormente ricorrente risultano assegnati alla funzione i seguenti ambiti di intervento: – identificazione nel continuo delle norme applicabili e valutazione del loro impatto sui processi e le procedure aziendali; – identificazione e valutazione periodica dei rischi di non conformità e proposizione dei relativi interventi di gestione; – proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformità individuati; – valutazione preventiva dei progetti innovativi; – prevenzione e gestione dei conflitti di interesse; – verifica di coerenza e conformità del sistema premiante aziendale; – attività formativa del personale e consulenza e assistenza agli organi aziendali. 13 Tali sovrapposizioni riguardano, per esempio, le verifiche aventi a oggetto la strategia di trasmissione e di esecuzione degli ordini, le modalità di profilazione della clientela e di valutazione dell’adeguatezza/appropriatezza dei servizi prestati, le procedure interne disciplinanti la prestazione dei servizi di investimento e, per il servizio di gestione di portafogli, il processo di asset management ecc. 14 Ciò che rende tali intermediari sensibilmente differenti rispetto, per esempio, a una banca “tradizionale” attiva nella raccolta del risparmio e nell’esercizio del credito. 15 Sia per quelli gestiti nell’ambito del servizio di gestione di portafogli, sia per quelli amministrati nell’ambito degli altri servizi di investimento prestati. 16 Per esempio, coerenza tra linea contrattuale sottoscritta dalla clientela e linea operativa censita a sistema, coerenza tra leva finanziaria contrattuale e operativa, aggiornamento dei limiti di investimento per linea di gestione ecc. 17 Per esempio, perdite rilevanti, rendiconti dei clienti gestiti, rendiconti dei clienti amministrati, market abuse ecc. 18 Per chiusura di mandati, istruzioni particolari, rispetto dei limiti contrattuali di investimento ecc. 19 Per esempio, generazione di scoperti di liquidità, utilizzo di controparti non autorizzate, tenuta non conforme del registro degli ordini, valorizzazione non corretta dei portafogli, non corretta gestione del conto errori, errata riconciliazione della liquidità e dei titoli, scostamenti non giustificati tra le performance dei clienti gestiti ecc. 362 CFC04_353-362.indd 362 Contabilità finanza e controllo 4.2011 FUNZIONI DI CONTROLLO 25/03/11 16:11