Cattolica - Confindustria Verona

LA FUNZIONE DI CONTROLLO
INTERNO E DI COMPLIANCE NEL
CONTESTO ASSICURATIVO,
RIFERITO AD UN GRUPPO QUOTATO:
GRUPPO CATTOLICA
ASSICURAZIONI
Dott. Werther Montanari
Direttore Audit di Gruppo
Società Cattolica di Assicurazione Soc. Coop.
Verona, 8 ottobre 2009
Indice
‰ Capitolo 1
ƒ IL SISTEMA DI CONTROLLO INTERNO NELLE IMPRESE ASSICURATIVE
ƒ INQUADRAMENTO NORMATIVO
ƒ INQUADRAMENTO TEORICO
ƒ INTEGRAZIONE CON IL SISTEMA DI AMMINISTRAZIONE
ƒ RUOLO DEGLI ORGANI SOCIALI
‰ Capitolo 2
ƒ LA FUNZIONE DI INTERNAL AUDITING NELLE IMPRESE DI ASSICURAZIONE
ƒ CASO APPLICATIVO
ƒ ORGANIZZAZIONE DELLA FUNZIONE
ƒ GESTIONE NEL GRUPPO ASSICURATIVO
ƒ IL PROCESSO DI INTERNAL AUDITING
‰ Capitolo 3
ƒ LE RELAZIONI CON GLI ALTRI SOGGETTI DEL CONTROLLO
ƒ CASO APPLICATIVO: LE RELAZIONI DEI SOGGETTI DEL CONTROLLO
‰ Capitolo 4
ƒ LA PROGETTAZIONE DEL SISTEMA DI CONTROLLO INTERNO
ƒ CASO APPLICATIVO: PROGETTAZIONE DEL SISTEMA DI CONTROLLO INTERNO
2
Il sistema di controllo interno nelle imprese assicurative:
inquadramento normativo
La normativa nazionale di recepimento delle direttive comunitarie di terza generazione, già dalla metà degli anni ‘90,
ha introdotto nell’ordinamento interno il principio secondo il quale le imprese di assicurazione con sede legale nel
territorio della Repubblica si dotano di una buona organizzazione amministrativa e contabile e di adeguate
procedure di controllo interno (D. Lgs. n. 174/95, art. 20, comma 4 e D. Lgs. n. 175/95, art.21, comma 4).
La definizione di sistema di controllo interno nelle imprese di assicurazioni è stata fornita dall’Istituto per la
Vigilanza sulle Assicurazioni Private e di Interesse Collettivo, attraverso i seguenti provvedimenti:
ƒ Circolare n. 366/D del 3 marzo 1999 “Sistema di controllo interno, ruolo e responsabilità degli organi
amministrativi e di controllo”
ƒ Circolare n. 577/D del 30 dicembre 2005 “Disposizioni in materia di sistema di controlli interni e di gestione dei
rischi”
ƒ Regolamento n. 20 del 26 marzo 2008 “Disposizioni in materia di controlli interni, gestione dei rischi,
compliance ed esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma
1, del decreto legislativo 7 settembre 2005, n. 209 – codice delle assicurazioni private”
3
Il sistema di controllo interno: inquadramento teorico
Il sistema dei controlli interni è costituito dall’insieme delle regole,
regole delle procedure e delle strutture organizzative
volte ad assicurare il corretto funzionamento ed il buon andamento dell’impresa e a garantire, con un ragionevole
margine di sicurezza:
a) l’efficienza e l’efficacia dei processi aziendali;
b) l’adeguato controllo dei rischi;
c) l’attendibilità e l’integrità delle informazioni contabili e gestionali;
d) la salvaguardia del patrimonio;
e) la conformità dell’attività dell’impresa alla normativa vigente, alle direttive e alle procedure aziendali.
ISVAP ha una visione ORGANIZZATIVA
Il controllo è il processo svolto dal Consiglio di Amministrazione, dai dirigenti e da altri soggetti della struttura
aziendale finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti
categorie (Efficacia e efficienza delle attività operative; Attendibilità delle informazioni di bilancio; Conformità alle leggi
e regolamenti in vigore)
Il framework COSO ha una visione MANAGERIALE
La gestione del rischio aziendale (Enterprise Risk Management) è un processo posto in essere dal CDA, dai dirigenti
e da altri operatori della struttura aziendale. E’ utilizzato per la formulazione delle strategie in tutta l’organizzazione;
È progettato per individuare eventi potenziali che possono influire sull’attività aziendale, gestire il rischio entro i limitii
del “rischio accettabile”
accettabile e fornire ragionevole sicurezza sul conseguimento degli obiettivi aziendali.
Il framework ERM ha una visione STRATEGICA
4
Integrazione con il sistema di amministrazione
La riforma del diritto societario (D. Lgs.n. 6/03 e succ. mod. e int.) ha innovato la nozione attribuita al sistema dei
controlli societari in sintonia con la best pratice internazionale e nazionale in materia di governo societario.
La trattazione organica da parte del legislatore (sotto il titolo “dell’amministrazione e controllo”, capo V, libro V del
Codice Civile) delle funzioni di amministrazione e controllo consente di codificare il contenuto della generale
funzione di governo societario nei due specifici profili in commento.
Il termine “controllo” nella nuova formulazione viene utilizzato con riferimento ad una finalità che investe la
conduzione della società nel suo complesso e che, in varia guisa, compete a tutti gli organi istituiti nei diversi
sistemi alternativi (“tradizionale”, “dualistico” e “monistico”).
Sistema di amministrazione e controllo
Ruolo degli organi
sociali
Ruolo dell’organo
amministrativo
5
Ruolo degli organi sociali
CONSIGLIO DI AMMINISTRAZIONE
COLLEGIO SINDACALE
Responsabile ultimo dello SCI:
Verifica l’adeguatezza ed il concreto
deve garantirne la costante completezza,
funzionamento dell’assetto organizzativo
funzionalità ed efficacia
amministrativo e contabile
re
p
ort
Assistenza al CDA
reporting
COMITATO DI
CONTROLLO
INTERNO
ing
reporting
ALTA DIREZIONE
Responsabile dell’attuazione, mantenimento
e monitoraggio dello SCI
e della gestione dei rischi
6
La funzione di Internal Auditing nelle imprese di
assicurazione (reg. Isvap n. 20, art. 15)
L’Internal auditing (revisione interna) è la funzione aziendale incaricata di monitorare e valutare l’efficacia e
l’efficienza del sistema di controllo interno e le necessità di adeguamento, anche attraverso attività di
supporto e di consulenza alle altre funzioni aziendali.
E’ obbligatoriamente istituita, di regola affidata ad una struttura interna, salvo l’ipotesi di ridotte dimensioni aziendali che facciano venire
meno l’economicità della soluzione interna. L’esternalizzazione è quindi un’ipotesi organizzativa residuale, tranne nei gruppi di imprese che
centralizzano la funzione presso un’unità specializzata.
Le caratteristiche della funzione richiamate dalla norma sono:
¾
Indipendenza e autonomia sul piano organizzativo (cfr. con principio deontologico dell’obiettività)
¾
Incompatibilità ad assumere responsabilità operative
¾
Libertà di accesso alle strutture aziendali e alle informazioni relativi alle verifiche
¾
Adeguatezza di risorse umane e tecnologiche in ragione delle dimensioni aziendali e degli obiettivi di
sviluppo.
Uniforma la propria attività agli standard professionali comunemente accettati a livello nazionale ed internazionale.
Si richiama la codificazione della professione eseguita a livello internazionale dall’Institute of Internal Auditors (IIA)
e, in Italia, dall’Associazione Italiana Internal Auditors (AIIA). I pilastri dell’auditing sono di seguito indicati:
9
9
9
9
9
la definizione di Internal auditing[1];
il Codice etico;
gli Standard internazionali IIA;
le Guide interpretative agli standard IIA;
la letteratura professionale.
[1] La definizione di IIA è: “L’internal auditing è un’attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia ed
efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera
valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.”
7
Caso applicativo: organizzazione della funzione
Gruppo assicurativo Cattolica: capogruppo quotata che controlla
undici compagnie di assicurazione e società di servizi
Nel gruppo assicurativo analizzato, l’istituzione della funzione di internal auditing è avvenuta con delibera del
Consiglio di Amministrazione del 1999, assunta in ottemperanza delle disposizioni della circolare ISVAP n. 366/D, e
fu posta inizialmente alle dipendenze della direzione Legale; dalla fine del 2004 è stata costituita sotto forma di
autonoma direzione aziendale.
Alla fine del 2008, in occasione dell’istituzione della funzione Compliance, è stato ri-formulato il mandato conferito
dall’organo amministrativo della società capogruppo al responsabile della funzione ed emanato il regolamento
interno della funzione di revisione interna.
Il regolamento interno declina con maggiore dettaglio poteri, compiti e responsabilità della revisione interna nonché
i rapporti con le direzioni operative. Individua i flussi informativi rilevanti nei confronti degli organi sociali (Consiglio di
Amministrazione, Comitato per il Controllo Interno, Collegio Sindacale, Direzione Generale); ne stabilisce la
periodicità e la forma del documento.
La disciplina della revisione interna realizzata nel gruppo in esame presenta ora una precisa gerarchia delle fonti:
¾il REGOLAMENTO ISVAP n. 20, emanato in attuazione degli artt. 87 e 191, comma 1 del codice delle
assicurazioni private;
¾il MANDATO del responsabile della funzione di revisione interna conferito dall’organo amministrativo;
¾il REGOLAMENTO INTERNO della funzione;
¾i CONTRATTI DI SERVIZIO INFRAGRUPPO ed i relativi service level agreement;
¾la disciplina della PROFESSIONE DI INTERNAL AUDITOR emanata da AIIA.
8
Caso applicativo: gestione nel gruppo assicurativo 1)
Le condizioni normative (art. 16 reg. isvap n. 20) da rispettare per l’accentramento della revisione interna in un’unità
specializzata all’interno del gruppo assicurativo sono:
1. l’individuazione di un referente interno che curi i rapporti con il responsabile della funzione di gruppo
2. l’adozione di procedure che garantiscano di calibrare l’intervento di revisione interna in funzione delle
caratteristiche operative di ciascuna delle imprese controllate.
REFERENTE INTERNO
Ai fini dell’individuazione del referente interno è fondamentale stabilire in via preliminare la relazione con la figura del
responsabile dei controlli sulle attività di controllo [revisione interna, risk management, compliance]
esternalizzate (di cui all’art. 33). Le ipotesi teoriche possibili sono:
- I due ruoli sono alternativi (in tal caso il responsabile diverrebbe operativo solo nei casi di affidamenti al di fuori del
gruppo di appartenenza)
- i due ruoli, pur differenziati, possono essere assegnati allo stesso soggetto
- I due ruoli sono assegnati a soggetti diversi (scelta prudenziale, in concreto operata).
Al fine di garantire i requisiti di indipendenza e autorevolezza previsti dall’art. 33, la scelta è ricaduta su consiglieri
non esecutivi. Sono stati inoltre differenziati i referenti e i responsabili della revisione interna rispetto a quelli del risk
management e della compliance.
Almeno in fase iniziale sussistono problemi del coordinamento tra i due ruoli ed il rischio di sovrapposizione degli
interventi.
9
Caso applicativo: gestione nel gruppo assicurativo 2)
PROCEDURE INFRAGRUPPO
Si sono ricercati parametri sintetici e di certa determinazione che potessero essere indicatori significativi della
dimensione aziendale e della complessità operativa delle singole imprese del gruppo, in base ai quali eseguire
l’allocazione delle risorse di revisione interna misurate in giorni-uomo.
Sono stati presi a riferimento una serie di parametri, quali premi lordi contabilizzati, il personale dipendente, il capitale
sociale, il margine di solvibilità. Sono state fatte simulazioni con essi, considerati singolarmente e in modo congiunto.
Il complesso delle considerazioni fatte sulle simulazioni condotte ha portato alla scelta di utilizzare il numero dei
lavoratori dipendenti, come indicatore del grado di complessità operativa di un’impresa rilevante per le finalità di
audit. Ciò in considerazione dei modelli organizzativi presenti nelle imprese del gruppo.
L’allocazione delle risorse nel gruppo comporta la preliminare risoluzione del problema di stabilire la dimensione
adeguata dell’organico complessivo di revisione interna. E’ evidente che la ripartizione di personale sulle imprese del
gruppo deve consentire almeno di eseguire gli adempimenti normativi obbligatori.
10
Caso applicativo: il processo di internal auditing
La normativa ISVAP si limita a dettare solo alcune indicazioni relativamente al ciclo di auditing, quali la
predisposizione del piano di attività, la stesura di una relazione di consuntivo con le risultanze delle verifiche e delle
carenze rilevate, i flussi informativi verso CDA, Alta direzione e Collegio sindacale.
L’operatività della funzione è demandata alla codificazione della professione di internal auditors realizzata in Italia
dall’AIIA. Nel gruppo assicurativo analizzato la funzione interna adotta il ciclo di auditing previsto dallo standard
professionale, che si scompone nelle tre fasi di:
-
analisi preliminare
-
esecuzione dell’incarico
-
comunicazione dei risultati.
La recente riorganizzazione dell’area ha permesso, attraverso l’emanazione del regolamento della funzione, di:
¾
Potenziare la fase comunicazionale attraverso l’introduzione sistematica dell’incontro con i responsabili
delle aree esaminate nella fase iniziale dell’incarico (kick off meeting) e l’incontro di presentazione dei
risultati (exit meeting) ai responsabili delle aree controllate.
¾
Aumentare il livello di attenzione alla fase di verifica delle azioni correttive (follow up).
La formalizzazione del ruolo del referente interno nelle imprese che hanno esternalizzato la funzione, incaricando
questo soggetto della più opportuna circolarizzazione delle relazioni di audit presso la propria società a favore degli
interlocutori giudicati più idonei alla risoluzione delle carenze riscontrate, è finalizzata ad una gestione più pro-attiva
delle problematiche emerse.
11
Il processo di audit (standard AIIA)
Processo di AUDIT
12
Le relazioni con gli altri soggetti del controllo (Reg. Isvap n.
20, art. 17)
La forma di collaborazione richiamata dalla norma (sotto la denominazione di “collaborazione tra funzioni e organi
deputati al controllo” (art. 17)) si sostanzia nello scambio informativo finalizzato ad ottimizzare lo svolgimento
dei rispettivi compiti di monitoraggio. La classificazione esemplificativa ma non esaustiva delle entità aventi
compiti di controllo nelle imprese di assicurazione è la seguente:
•
•
•
•
•
•
•
•
collegio sindacale,
società di revisione,
revisione interna,
risk management
compliance
organismo di vigilanza di cui al D. Lgs. 231/01
attuario incaricato vita e rc auto
ogni altro organo o funzione a cui è attribuita una specifica funzione di controllo ( es. dirigente preposto
alla redazione dei documenti contabili societari ex art. 154 bis TUF nelle imprese quotate.)
Il CDA deve definire e formalizzare i collegamenti tra le funzioni di controllo.
Si noti che l’analisi delle relazioni tra organi è stata qui condotta non sulla base delle finalità sottostanti secondo
quanto codificato da AIIA (finalità conoscitiva, assurance, attuativa, consulenziale), bensì in funzione del rapporto
giuridico che lega l’entità del controllo alla società controllata. In tal senso sono stati individuati:
•Strutture interne costituiti da personale legato all’impresa da contratto di lavoro (es. revisione interna capogruppo)
•Soggetti esterni legati alla società da un contratto di servizi (revisione esterna, attuario incaricato, …)
•Organi sociali (collegio sindacale, organismo di vigilanza 231…)
13
Caso applicativo: le relazioni dei soggetti del controllo
¾ Se la funzione di controllo si colloca nell’organizzazione aziendale, è sottoposta a precisi vincoli di gerarchia
interna derivanti dal contratto di lavoro. Lo strumento di gestione è la procedura organizzativa. (es. le tre funzioni
di controllo nell’impresa capogruppo).
¾ Se la funzione di controllo si colloca nell’organizzazione di gruppo in quanto è adottato il modello di
centralizzazione, lo strumento di collegamento è il contratto di servizio (clausole e livelli di servizio).
¾
L’attuario incaricato dall’impresa nell’assicurazione del ramo vita e per l’attuario incaricato nell’esercizio
dei rami di responsabilità civile dei veicoli e dei natanti può essere un dipendente o un collaboratore
esterno. Le norme di legge gli conferiscono autonomia, libertà di giudizio e di accesso alle informazioni
aziendali e ne sanciscono il dovere di collaborazione verso gli altri controllori; appare ridondante
ipotizzare una contrattualizzazione ad hoc per gestire le relazioni e gli scambi informativi con gli altri
soggetti, tenuto conto che la professionalità esterna riesce a esprimere un grado di autonomia maggiore
rispetto a mere logiche di proceduralizzazione interna.
¾
La società di revisione (iscritta all’albo e sottoposta alla vigilanza di Consob in termini di organizzazione,
indipendenza ed idoneità tecnica) ha il diritto di ottenere dagli amministratori documenti e notizie utili alla
revisione e la facoltà di procedere ad accertamenti, ispezioni e controlli. Si deve inoltre avvalere di un
attuario al quale conferire l’incarico di redigere la relazione sulla sufficienza delle riserve tecniche da
allegare alla certificazione di bilancio. L’attuario revisore è l’ulteriore attore nel sistema dei controlli interni
a latere dell’attuario incaricato dall’impresa.
¾L’organismo di vigilanza è istituito dal CDA ai sensi del D. Lgs. n. 231/01 in materia di responsabilità
amministrativa degli enti; la progettazione organizzativa dei flussi informativi verso l’organismo di vigilanza di
provenienza dalle aree operative, dalle funzioni di controllo e da eventuali altri interlocutori aziendali costituisce la
modalità operativa per formalizzare la collaborazione funzionale auspicata dall’ISVAP, che trova ulteriore riscontro
nelle verbalizzazioni degli incontri dell’organismo medesimo con la dirigenza. Analoghe considerazioni possono
essere svolte per il dirigente preposto stante il compito assegnatogli dall’art. 154-bis del T.U.F.
¾Il collegio sindacale è organo di controllo eletto dall’assemblea, non sottoposto a dipendenze gerarchiche, con
doveri e poteri di verifica.
14
La progettazione del sistema di controllo interno
Quale ruolo può giocare la funzione di internal auditing nella progettazione del sistema di
controllo interno e, quindi, nella creazione del valore di un’impresa?
i più recenti orientamenti espressi in sede associativa suggeriscono di eseguire un’analisi di posizionamento della
funzione di revisione interna rispetto alla propria azienda che consenta di:
ƒ
comprendere i bisogni provenienti dai clienti interni ed esterni dell’impresa (la domanda);
ƒ
individuare le figure che presentano ruoli in competizione (i competitori) con l’auditing rispetto al
soddisfacimento della domanda interna, di cui è necessario identificare i rispettivi punti di forza e di
debolezza, sia intrinseci nel ruolo che espressi dagli uomini che li rivestono;
ƒ
infine stabilire l’esistenza di barriere all’entrata, tenuto conto che la regolamentazione promossa
dall’Autorità di settore si muove in direzione opposta.
ed un’analisi di posizionamento della propria impresa rispetto al panorama delle società italiane che si articola nei
due scenari estremi:
™
aziende di tipo tradizionale, fortemente orientate alla compliance normativa, con funzioni di internal
auditing impegnate essenzialmente in attività di ispezione e accertamento;
™
aziende innovative, orientate al recupero dell’efficienza, con funzioni di auditing che svolgono
prevalentemente attività di consulenza e che si avvalgono di metodologie a supporto del cambiamento.
15
Caso applicativo: progettazione del sistema di controllo
interno
L’analisi di posizionamento svolta nel gruppo assicurativo analizzato, ha messo in luce che:
ƒnell’ultimo decennio le dimensioni e la complessità interna del gruppo sono molto cresciute e con esse la necessità
di evolvere verso modelli organizzativi più efficienti e moderni;
ƒnel contempo la funzione di revisione interna è evoluta in modo sincrono, avendo spostato progressivamente il
proprio indirizzo dall’attività ispettiva obbligatoria alla ricerca di un ruolo più attivo di consulenza e di supporto.
Questa evoluzione della funzione appare quanto mai opportuna nell’attuale periodo di congiuntura economica
negativa, che impone alle imprese tagli ai costi ed il recupero di condizioni di competitività.
Il ruolo attivo dell’internal auditing nella progettazione del sistema di controllo interno, stante
i vincoli imposti dalla regolamentazione di vigilanza, si può concretizzare nella realizzazione
dell’attività consulenziale e di supporto ai vertici direzionali e all’aree operative nonché
attraverso un’azione di moral suasion che conduca a positivi follow up; di contro, nell’area
ispettiva in senso stretto è prevalente la finalità di monitoraggio e valutazione del sistema di
controllo interno.
.
16
LA FUNZIONE DI CONTROLLO
INTERNO E DI COMPLIANCE NEL
CONTESTO ASSICURATIVO,
RIFERITO AD UN GRUPPO QUOTATO:
GRUPPO CATTOLICA
ASSICURAZIONI
Verona, 8 ottobre 2009