Il sistema di controllo interno e di gestione dei rischi nel nuovo

Transcript

Il sistema di controllo interno e di gestione
dei rischi nel nuovo Codice di Autodisciplina
Roma, 18/10/2012
Francesco La Manno
Borsa Italiana
Il Codice di Autodisciplina
•
1999: Prima versione del Codice di Autodisciplina
•
2002: Seconda versione del Codice di Autodisciplina
•
2006: Terza versione del Codice (aggiornato nel 2010)
•
2011: nuovo Comitato e nuova versione del Codice …
Il nuovo Comitato per la Corporate Governance
• Promotori: → Associazioni d’impresa
Abi
Ania
Assonime
Confindustria
→ Assogestioni
→ Borsa Italiana
• Mission: → promuovere best practices
→ redigere e aggiornare il Codice di Autodisciplina
→ monitorare l’applicazione del Codice
• Comitato:
→ 24 membri in carica per 3 anni
→ Presidente G. Galateri, Vice Presidente D. Siniscalco
→ Il Comitato si riunisce almeno una volta l’anno
→ Il Comitato è assistito da una Segreteria Tecnica
→ Il Comitato si avvale dei consigli di 3 esperti
Il nuovo Comitato per la Corporate Governance
Gli altri membri
Luigi Abete (Chair Assonime)
Paolo Andrea Colombo (Chair Enel)
John Philip Elkann (Chair Fiat)
Luca Garavoglia (Chair Campari)
Edoardo Garrone (Chair Erg)
Federico Ghizzoni (CEO Unicredit)
Guido Giubergia (Chair Ersel SGR)
Stefano Micossi (Chair CIR)
Aldo Minucci (Chair Ania)
Paolo Scaroni (CEO Eni)
Pierluigi Stefanini (Chair Unipol)
Carlo Acutis (Deputy Chair Vittoria Assicurazioni)
Franco Bernabè (Chair Telecom Italia)
Enrico Tommaso Cucchiani (CEO Intesa Sanpaolo)
Raffaele Jerusalmi (CEO Borsa Italiana)
Giordano Lombardo (Chair Pioneer SGR)
Marcella Panucci (General Manager Confindustria)
Alessandro Profumo (Chair Banca MPS)
Giovanni Sabatini (General Manager ABI)
Luitgard Spögler (Governance Expert BlackRock)
Massimo Tononi (Chair Borsa Italiana)
Marco Tronchetti Provera (Chair Pirelli & C.)
Esperti
Bruno Cova
Paul Hastings
Piergaetano Marchetti
Università Bocconi
Angelo Provasoli
Università Bocconi
I tre pilastri del Codice
1. Efficacia del CdA
Compiti di supervisione strategica del CdA
Efficacia dei lavori del CdA
Assistenza dei comitati interni al CdA
2. Indipendenza
Rigorosa definizione di indipendenza con particolare riferimento
ai rapporti con gli azionisti influenti
Ruolo degli indipendenti, in particolare all’interno dei comitati
3. Accountability
Informazioni dettagliate al pubblico
Sistema dei controlli interni
Schema ruoli/relazioni nel sistema dei controlli
Richiesta di
informazioni
Consiglio d’amministrazione
Attribuzione compiti
Rapporto periodico
Collegio Sindacale
Rapporto periodico
Relazioni art. 154
bis TUF
Comitato controllo e
rischi
D.lgs 39/2010
Organi
delegati e
direzione
Segnalazione
tempestiva di
carenze e anomalie
Dirigente preposto
alla redazione
documenti contabili
Rapporto periodico
Rapporto periodico
Scambio di
informazioni
Scambio di
informazioni
Rapporto periodico
Rapporto
periodico
Attività di audit
(inclusa 231)
Rapporto
periodico
Informativa periodica
Scambio di
informazioni
Organismo di vigilanza 231
Rapporti periodici
FUNZIONI AZIENDALI
Fonte: NED Community
Soc. di revisione
Piano audit
Scambio di informazioni
Internal Audit
Scambio
informazioni
Consob
Razionalizzazione del sistema dei controlli
(overview)
• Netta distinzione tra:
– comitato controllo e rischi che assiste il cda nelle sue valutazioni e
decisioni (= supporto alla gestione) e
– collegio sindacale, che vigila sulle procedure (= vigilanza)
• Rafforzamento autonomia del responsabile internal audit
È nominato/revocato/retribuito con delibera del cda previo parere
favorevole del comitato controllo e rischi e sentito il collegio
sindacale
Predispone piano di audit, che viene approvato dal cda
• Emittenti valutano l’opportunità di attribuire al collegio sindacale le
funzioni di organismo di vigilanza ex d.lgs. 231/2001
Enfasi su rischi, mappatura soggetti, principali ruoli
Comitato
controllo e rischi: supporta
valutazioni e decisioni del cda
in tema di controlli
CDA: definisce
le linee di indirizzo
e valuta l’adeguatezza
del sistema
Collegio sindacale: vigila
sull’efficacia del sistema
Sistema di controllo interno
e di gestione dei rischi
Amministratore
Incaricato: implementa il
sistema
Altre funzioni
aziendali (compliance, risk
management, etc.): articolate per
dimensioni e complessità
dell’impresa
Internal Audit:
verifica adeguatezza e
funzionamento del
sistema
Finalità del sistema dei controlli
• Il sistema di controllo interno e di gestione dei rischi è costituito dall’insieme
delle regole, delle procedure e delle strutture organizzative volte a consentire
l’identificazione, la misurazione, la gestione e il monitoraggio dei principali
rischi
• Tale sistema è integrato nei più generali assetti organizzativi e di governo
societario adottati dall’emittente e tiene in adeguata considerazione i modelli
di riferimento e le best practices esistenti in ambito nazionale e internazionale
• Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a
una conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal
consiglio di amministrazione, favorendo l’assunzione di decisioni consapevoli
• Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l’efficienza
e l’efficacia dei processi aziendali, l’affidabilità dell’informazione finanziaria,
il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure
interne.
(7P1, 7P2)
Le componenti del sistema dei controlli
• Le componenti del sistema spaziano dai cosiddetti controlli “di linea” (o «di
primo livello») effettuati dai responsabili di aree operative, al cosiddetto
controllo di gestione, che attiene alla pianificazione e controllo del business
aziendale, sino alla revisione interna (internal audit), intesa come attività di
verifica generale sulla struttura e sulla funzionalità dei controlli interni
(controllo «di terzo livello»)
(Commento art. 7)
Chi fa cosa (modello tradizionale)
Codice civile
Codice di Autodisciplina
• Il CdA VALUTA l’adeguatezza
dell’assetto organizzativo,
amministrativo e contabile della
società
Il CdA
• definisce la natura e il livello di rischio
compatibile con gli obiettivi strategici
dell’emittente (1C1b)
• Gli organi delegati CURANO che
• definisce le linee di indirizzo del sistema di
l’assetto organizzativo,
controllo interno e di gestione dei rischi …
determinando il grado di compatibilità dei
società sia adeguato alla natura e
rischi con … gli obiettivi strategici (7C1a)
alle dimensioni dell’impresa
• valuta, con cadenza almeno annuale,
• Il collegio sindacale VIGILA
l’adeguatezza del sistema di controllo
sull’adeguatezza dell’assetto
interno e di gestione dei rischi rispetto alle
organizzativo, amministrativo e
caratteristiche dell’impresa e al profilo di
contabile adottato della società e
rischio assunto, nonché la sua efficacia
sul suo concreto funzionamento
(7C1a)
Codice civile
Disposizioni Vigilanza (in consultazione)
società
Il CdA
• definisce e identifica il livello di rischio
accettato (c.d. “tolleranza al rischio” o
“appetito per il rischio” )
• definisce:
a) gli indirizzi strategici e le politiche di
governo dei rischi e provvede al loro
riesame periodico, in relazione
all’evoluzione dell’attività aziendale e del
contesto esterno
b) le linee di indirizzo del sistema dei
controlli interni, verificando che esso sia
coerente con il livello di rischio accettato e
gli indirizzi strategici stabiliti …
c) i criteri per individuare le operazioni di
maggiore rilievo da sottoporre al vaglio
preventivo della funzione controllo rischi
Codice civile
società
L’amministratore “incaricato”
• cura l’identificazione dei principali rischi
aziendali, tenendo conto delle
caratteristiche delle attività svolte
dall’emittente e dalle sue controllate, e li
sottopone periodicamente al CdA
• dà esecuzione alle linee di indirizzo
definite dal CdA curando la progettazione,
realizzazione e gestione del sistema e
verificandone costantemente l’adeguatezza
e l’efficacia
• si occupa dell’adattamento del sistema alla
dinamica delle condizioni operative e del
panorama legislativo e regolamentare
contabile adottato della società e • è, di norma, l’amministratore delegato, ma
potrebbe essere un consigliere che non ha
altre deleghe operative
Chi fa cosa (organo di controllo)
L’organo di controllo
• vigila “sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile
adottato della società e sul suo concreto funzionamento” (art. 2403,
applicabile alle società con modello tradizionale o duale non quotate)
• vigila “sull'adeguatezza della struttura organizzativa della società per gli
aspetti di competenza, del sistema di controllo interno e del sistema
amministrativo-contabile nonché sull'affidabilità di quest' ultimo nel
rappresentare correttamente i fatti di gestione” (art. 149 t.u.f., applicabile
alle società con modello tradizionale o duale quotate)
• vigila “sull'adeguatezza della struttura organizzativa della società, del sistema
di controllo interno e del sistema amministrativo e contabile nonché sulla sua
idoneità a rappresentare correttamente i fatti di gestione” (art. 2409
octiesdecies, applicabile alle società con modello monistico quotate e non)
• vigila su “l'efficacia dei sistemi di controllo interno, di revisione interna, se
applicabile, e di gestione del rischio” (art. 19 d.lgs. 39/2010)
Codice civile
società
Il collegio sindacale
• ricopre un ruolo centrale nel sistema di
vigilanza di un emittente (commento 8)
• esercita un compito di vigilanza anche
preventiva e non meramente ex post, che si
traduce in una verifica sui processi il cui
esito va portato all’attenzione degli
amministratori, affinché adottino le misure
correttive necessarie (commento 8)
• scambia tempestivamente con [≠ riceve
da!] il comitato controllo e rischi le
informazioni rilevanti (8C5)
• esprime pareri su nomina, revoca e
remunerazione del resp. IA e sul piano di
audit da questi presentato (7C1)
• gli emittenti valutano l’opportunità di
attribuire al CS le funzioni di odv (comm.7)
Codice civile
L’organo con funzione di controllo
• ha la responsabilità di vigilare sulla
completezza, funzionalità e adeguatezza
del sistema dei controlli interni
• svolge le funzioni dell’organismo di
vigilanza - previsto ai sensi della legge n.
231/2001, in materia di responsabilità
amministrativa degli enti - che vigila sul
funzionamento e l’osservanza dei modelli di
organizzazione e di gestione di cui si dota
la banca per prevenire i reati rilevanti ai
fini della medesima legge
società
Chi fa cosa (CdA)
• definisce le linee di indirizzo del sistema …
• valuta, con cadenza almeno annuale, l’adeguatezza del sistema …
• approva, con cadenza almeno annuale, il piano di lavoro predisposto dal
responsabile della funzione di internal audit, sentiti il collegio sindacale e
l’amministratore incaricato del sistema di controllo interno e di gestione dei
rischi
• descrive, nella relazione sul governo societario, le principali caratteristiche del
sistema di controllo interno e di gestione dei rischi, esprimendo la propria
valutazione sull’adeguatezza dello stesso
• valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella
eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali
emerse in sede di revisione legale
• su proposta dell’amministratore incaricato del sistema di controllo interno e di
gestione dei rischi e previo parere favorevole del comitato controllo e rischi,
nonché sentito il collegio sindacale:
– nomina e revoca il responsabile della funzione di internal audit;
– assicura che lo stesso sia dotato delle risorse adeguate
– ne definisce la remunerazione coerentemente con le politiche aziendali
Chi fa cosa (Comitato controllo e rischi)
• valuta, unitamente al dirigente preposto alla redazione dei documenti contabili
societari e sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei
principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della
redazione del bilancio consolidato
• esprime pareri su specifici aspetti inerenti alla identificazione dei principali
rischi aziendali
• esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di
controllo interno e di gestione dei rischi, e quelle di particolare rilevanza
predisposte dalla funzione internal audit
• monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di
internal audit
• può chiedere alla funzione di internal audit lo svolgimento di verifiche su
specifiche aree operative, dandone contestuale comunicazione al presidente
del collegio sindacale
• riferisce al consiglio, almeno semestralmente, in occasione dell’approvazione
della relazione finanziaria annuale e semestrale, sull’attività svolta nonché
sull’adeguatezza del sistema di controllo interno e di gestione dei rischi
FORUM
LA CORPORATE
GOVERNANCE
IN BANCA: L’EVOLUZIONE
DELLA
DISCIPLINA,
Chi fa cosa
(mancata
istituzione
del
CCR)
L’AUTOVALUTAZIONE DEL BOARD E L’EXECUTIVE COMPENSATION
• La scelta di non istituire il Comitato Controllo e Rischi è fondata sulla valutazione
di fattori relativi alla complessità e al settore di attività dell’emittente tra cui:
– natura dell’attività svolta e appartenenza a un settore regolamentato
– fatturato o l’attivo di bilancio
– numero dei dipendenti
– capitalizzazione di mercato
– numero e collocazione geografica delle controllate o partecipate
– svolgimento di attività di impresa in aree geografiche a rischio
– numero, qualifiche professionali e disponibilità di tempo degli amministratori
• Non si può evitare la nomina del Comitato Controllo e Rischi se l’emittente è
controllato da altro emittente o sottoposto a direzione e coordinamento (4C2)
• All’espletamento delle funzioni che il Codice attribuisce al comitato devono
essere dedicati, all’interno delle sedute consiliari, adeguati spazi, dei quali venga
dato conto nella relazione sul governo societario (4C2)
• È richiesto a ciascun amministratore un impegno speciale e al presidente – o altro
amministratore a ciò designato – di informare in modo adeguato i colleghi in
merito agli argomenti da discutere (commento 7)
Chi fa cosa (Amministratore incaricato)
•
•
•
•
cura l’identificazione dei principali rischi aziendali …
dà esecuzione alle linee di indirizzo definite dal CdA …
si occupa dell’adattamento del sistema alla dinamica …
può chiedere alla funzione di internal audit lo svolgimento di verifiche su
specifiche aree operative e sul rispetto delle regole e procedure interne
nell’esecuzione di operazioni aziendali, dandone contestuale comunicazione al
presidente del CdA, al presidente del CCR e al presidente del CS
• riferisce tempestivamente al CCR (o al CdA) in merito a problematiche e
criticità emerse nello svolgimento della propria attività o di cui abbia avuto
notizia, affinché vengano prese le opportune iniziative
• L’AI può essere un amministratore con deleghe operative o un amministratore
senza altre deleghe, che sia ritenuto particolarmente adatto alla funzione
• Affidare l’incarico a un amministratore con deleghe operative può presentare
vantaggi legati alle specifiche conoscenze possedute da tale soggetto. Peraltro
può essere utile, in tal caso, che l’emittente individui adeguati presidi circa le
proposte su nomina, revoca e remunerazione del responsabile dell’internal
audit (ad es. condivisione con il presidente del consiglio di amministrazione, in
quanto non sia a sua volta investito di deleghe operative)
FORUM
LA CORPORATE
GOVERNANCE
IN BANCA:
L’EVOLUZIONE DELLA DISCIPLINA,
Chi fa cosa
(resp.
internal
audit)
L’AUTOVALUTAZIONE DEL BOARD E L’EXECUTIVE COMPENSATION
• verifica, sia in via continuativa sia in relazione a specifiche necessità e nel
rispetto degli standard internazionali, l’operatività e l’idoneità del sistema di
controllo interno e di gestione dei rischi, attraverso un piano di audit, approvato
dal CdA, basato su un processo strutturato di analisi e prioritizzazione dei
principali rischi
• non è responsabile di alcuna area operativa e dipende gerarchicamente dal CdA
• ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico
• predispone relazioni periodiche contenenti adeguate informazioni sulla propria
attività, sulle modalità con cui viene condotta la gestione dei rischi nonché sul
rispetto dei piani definiti per il loro contenimento nonché una valutazione
sull’idoneità del sistema di controllo interno e di gestione dei rischi
• predispone tempestivamente relazioni su eventi di particolare rilevanza
• trasmette le relazioni periodiche e su eventi rilevanti ai presidenti del CS, del
CCR e del CdA nonché all’amministratore incaricato
• verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi
inclusi i sistemi di rilevazione contabile
Chi fa cosa (altre funzioni aziendali di controllo)
• Il Comitato ritiene che spetti a
•
ciascun emittente stabilire quale sia
l’assetto organizzativo più idoneo,
in relazione alle caratteristiche
dell’impresa, a consentire un
efficace presidio sui rischi: in tal
modo, è possibile che il
monitoraggio e la gestione dei rischi
vengano affidati alla responsabilità
di manager (e strutture aziendali)
non dedicati a ciò in via esclusiva.
Le funzioni cui è attribuito un
controllo di secondo livello … sono
soggette alla revisione generale da
parte dell’internal audit.
Se coerente con il principio di
proporzionalità, le banche possono, a
condizione che i controlli sulle diverse
tipologie di rischio continuino ad essere
efficaci:
- affidare lo svolgimento della funzione di
conformità alle norme alle strutture
incaricate della funzione di controllo dei
rischi
- affidare lo svolgimento delle funzioni
aziendali di controllo all’esterno a
soggetti terzi dotati di requisiti idonei in
termini di professionalità e indipendenza
Chi fa cosa (collegio sindacale)
• Al collegio sindacale spetta un compito di vigilanza anche preventiva e
non meramente ex post, che si traduce in una verifica sui processi il cui
esito va portato all’attenzione degli amministratori, affinché adottino
le misure correttive eventualmente necessarie (commento art. 8)
• Il conseguente coordinamento con gli organi di gestione, anche
delegati, è compatibile con il ruolo di vigilanza sulla conformità (alle
norme, allo statuto, alle procedure interne), tipicamente affidato al
collegio sindacale, che lo differenzia in modo netto rispetto al CdA e al
CCR, i quali svolgono essenzialmente un ruolo di valutazione anche di
merito sull’adeguatezza degli assetti e sull’andamento della gestione
(commento art. 8)

Il sistema di controllo interno e di gestione dei rischi nel nuovo

Transcript

Documenti analoghi

volantino - Agesci Lazio

Raoul Francesco Vitulo Presidente del Collegio Sindacale Nato a

cv Pellegrinon - Il rosa e il grigio

DETERMINAZIONE DELL`AMMINISTRATORE UNICO N. 44 DEL 30

INFORMATIVA SU CdA ASTRI Si è tenuta venerdì 13 settembre la

Norma Q.3.5. Vigilanza sull`adeguatezza e sul funzionamento del

Relazione del Collegio Sindacale

L. 223/91: dalla comunicazione alla consultazione

Intervista a Gillian Karran Cumberlege

Claudia Rossi