Strutturazione e attività delle funzioni di controllo

L’internal audit e la compliance in un settore regolamentato
Gianmarco Maffioli
Nicola d’Auria
TMF Compliance (Italy)
Prendendo spunto dall’esperienza maturata nel settore finanziario, l’articolo illustra le principali criticità rilevabili nell’assetto organizzativo,
procedurale e operativo delle funzioni di controllo, nella specie internal
audit e compliance, di un tipico intermediario finanziario focalizzato sulla prestazione di servizi di investimento. Tali problematiche e la conseguente difficoltà delle funzioni di controllo ad assolvere pienamente al
loro ruolo di supporto, oltre che di controllo, derivano principalmente da
una non sempre chiara definizione delle rispettive mission e responsabilità e delle modalità di svolgimento delle attività di controllo.
A fronte di tali questioni, sono delineate alcune proposte migliorative, il cui scopo ultimo è di ricondurre a unità, in capo agli organi societari, il pieno presidio sul sistema dei controlli interni. Sono altresì
proposte alcune riflessioni sulla funzione di risk management, per
la quale viene suggerita una più evoluta prospettiva di supporto alla
gestione rispetto alla mera rilevazione di rischi operativi, come spesso riscontrato negli intermediari finanziari. Le principali riflessioni
dell’articolo traggono spunto dall’osservazione del settore finanziario, ma sono replicabili in molteplici altri settori.
L’organizzazione e la gestione delle imprese, in
qualsiasi settore esse operino, sono sempre più condizionate da una serie di fattori quali un crescente
inasprimento del contesto competitivo, ormai spintosi oltre i confini nazionali, la crescente varietà dei
rischi a cui le società stesse sono esposte, nonché il
sempre più rapido mutamento delle normative di
riferimento. Gli operatori economici nella loro generalità strutturano dunque processi gestionali volti
ad assicurare che il loro business sia svolto in modo
sempre più adeguato, monitorano l’evoluzione del
contesto esterno e interno per identificarne i rischi
e le opportunità e studiano la progressiva evoluzione della normativa, che, oltre a creare vincoli, in
taluni casi può dare vita anche a una serie di op-
portunità. Di pari passo stanno evolvendo, anche
se su percorsi non sempre convergenti, i processi di
controllo che vengono a sovrapporsi, spesso condizionandone il disegno, ai processi gestionali.
Nel presente articolo si esaminano le problematiche che stanno emergendo con riferimento al coordinamento dei sistemi di controllo
nelle attuali strutture societarie; per fare ciò, si è
ritenuto opportuno riferirsi a quanto sta accadendo
nell’ambito di uno specifico settore, quello dell’intermediazione finanziaria, nel quale la strutturazione e l’organizzazione delle funzioni di controllo
devono basarsi su specifici requisiti regolamentari.
Si ritiene che quanto verrà illustrato con riferimento
FUNZIONI
DI CONTROLLO
CFC04_353-362.indd 353
funzioni di controllo
Strutturazione e attività
delle funzioni di controllo
Contabilità finanza
e controllo
4.2011
353
25/03/11 16:11
funzioni di controllo
agli intermediari finanziari operanti nell’ambito dei
“servizi e attività di investimento”1 sia applicabile altresì a una generalità di altri soggetti, tra i quali in
primis coloro che operano in settori anch’essi vigilati
(società quotate, società operanti nell’editoria o nella
chimica farmaceutica o in altri settori in cui sia individuabile un ente di controllo esterno).
Le funzioni di controllo per i soggetti che
prestano servizi e attività di investimento
L’analisi del settore dell’intermediazione finanziaria, includendo in tale ambito il novero dei servizi
e attività di investimento previsti dalla normativa,
indipendentemente dalla tipologia di intermediari,
evidenzia un quadro dei sistemi di controllo basato
sostanzialmente su un dettato normativo (di legge
o regolamentare) al momento non ancora replicato
in altri settori in forma così dettagliata. La coesistenza di una pluralità di leggi e regolamenti, nonché di soggetti diversi tenuti a “normare” e contestualmente a vigilare sul corretto funzionamento
del sistema (nel caso italiano, Banca d’Italia e Consob) ha richiesto agli intermediari rilevanti sforzi
organizzativi, i cui primi risultati e al contempo le
prime distorsioni sono via via emersi.
In particolare, il presente lavoro prende in gran parte
spunto dal recepimento in Italia della direttiva MiFID,2
che, in misura significativa, ha richiesto ai regulator3 nazionali la definizione di parametri minimi di controllo
non previsti, in precedenza, nella stessa misura.
Fra le principali novità introdotte dalle disposizioni
normative di recepimento in Italia della normativa
MiFID, particolare rilevanza riveste proprio l’obbligo4 di dotarsi di un’apposita funzione di controllo di conformità alle norme (compliance), nonché di
funzioni di revisione interna (internal audit) e di gestione del rischio dell’impresa (risk management).5
Le predette funzioni in materia di servizi di
investimento sono state inizialmente disciplinate dal
regolamento 29 ottobre 2007,6 la cui stesura è stata curata, primo caso nella produzione normativa italiana,
congiuntamente da parte della Banca d’Italia e della
354
CFC04_353-362.indd 354
Contabilità finanza
e controllo
4.2011
Consob (Regolamento Congiunto), a riprova della rilevanza assunta dal ruolo di queste funzioni. Si aggiunga
che, per le banche (quando esse prestino servizi di investimento), tali norme vanno lette in coordinamento altresì con quanto già previsto dalle istruzioni di vigilanza
della Banca d’Italia in materia di sistema dei controlli
interni,7 in particolare per ciò che concerne il controllo
dei rischi e le attività di revisione interna, nonché con le
disposizioni di vigilanza del medesimo organo in tema
di conformità alle norme.8
Orbene, a distanza di tre anni dall’entrata in vigore
del Regolamento Congiunto, le norme in esame risultano, pur se ampiamente condivise nei principi,
ancora di difficile applicazione da parte degli intermediari finanziari a cui queste sono rivolte. Tale
circostanza ha quindi indotto i medesimi organi di
vigilanza a redigere, ancora congiuntamente, la Comunicazione 8 marzo 2011 a chiarimento dei principali criteri di ripartizione.9
Per le banche poi un’ulteriore complicazione è rappresentata dal fatto che ciascuna delle funzioni di
controllo è regolamentata anche, come accennato,
da un’altra fonte normativa, di diversa derivazione, riferibile a un complesso di attività più ampio
e rispondente a finalità almeno in parte differenti.
Ciò premesso, si riporta di seguito una panoramica generale delle principali problematiche
che sono state riscontrate, e in alcuni casi non ancora del tutto risolte, sotto il profilo organizzativo,
procedurale e operativo, nello svolgimento delle attività delle funzioni di controllo presso un tipico intermediario finanziario focalizzato sulla prestazione di
servizi di investimento. Al contempo si propongono
talune indicazioni che, nell’ambito del contesto di riferimento, sono ritenute idonee ad assicurare un più
adeguato svolgimento delle attività di controllo, in
termini sia di coerenza con il ruolo assegnato a ciascuna funzione dalla vigente normativa e di efficace
conseguimento dei rispettivi obiettivi, sia di efficiente
utilizzo delle risorse destinate alle medesime attività.
Il complesso delle problematiche osservate e
delle relative soluzioni proposte, pur con la pre-
FUNZIONI
DI CONTROLLO
25/03/11 16:11
Le dinamiche oggetto del presente lavoro sono
rappresentate, considerati gli impatti che si sono sperimentati nel settore finanziario, avendo presenti alcune specifiche criticità illustrate nella tabella 1.
Tale schema illustrativo aiuterà a rappresentare, secondo un approccio top down negli assetti di governance
degli intermediari, le principali peculiarità emerse, le
modalità in cui hanno trovato strutturazione le diverse
funzioni e talune possibili soluzioni alle criticità emerse.
Collocamento organizzativo e
strutturazione delle funzioni di controllo
Il posizionamento gerarchico nell’organigramma
aziendale delle funzioni di controllo non ha mai de-
stato vivaci dibattiti, essendo stato risolto sin dall’origine senza ambiguità e anzi, espressamente nel caso
degli intermediari, ponendo le stesse in riporto diretto
agli organi aziendali (tipicamente Consiglio di amministrazione e Collegio sindacale).10 È altresì vero
che tale modello è ampiamente clonato anche in altri settori, allorquando si voglia dare a tali funzioni il
medesimo incarico di attori super partes con un ruolo
indipendente, ma collaborativo con le strutture operative e al contempo di supporto agli organi aziendali.
Con frequenza possono però emergere problemi
connessi alla dotazione di risorse dedicate allo sviluppo di tali funzioni. Assodato che queste sono
presiedute da un responsabile (ufficialmente nominato per quanto attiene gli operatori finanziari), si
assiste talvolta a significativi dibattiti in relazione alle
risorse di cui questi si possono avvalere, a volte anche in condivisione con altre strutture; ammesso che
in questi casi siano comunque rispettati i requisiti
di indipendenza, tali allocazioni sono suscettibili di
condizionarne, in parte e negativamente, l’attività.
funzioni di controllo
cisazione che comunque sono riferibili a società attive
in uno specifico settore, costituiranno spunto per riflessioni attinenti ad altri contesti operativi, utili soprattutto
laddove questi siano – similmente a quanto avviene nel
settore finanziario – da incardinarsi in norme di legge o
di regolamento destinate a indirizzare o quanto meno
condizionare la gestione del business.
L’analisi che segue è svolta avendo a mente principalmente le funzioni di internal audit e di compliance, le quali in molti casi sono già presenti, pur con
differenti declinazioni a livello di attribuzioni organizzative, anche in società operative in altri settori. Con riferimento alla funzione di risk management, anch’essa destinata ad assumere un ruolo di
maggiore rilievo anche in ambiti diversi da quello
finanziario, le riflessioni saranno di carattere più
organizzativo, in quanto un’approfondita disamina
delle dinamiche che ne regolano il funzionamento
richiederebbe una separata e specifica trattazione.
Una di tali situazioni è, pur a fronte della previsione di responsabili distinti, la condivisione tra la
funzione di compliance e quella di internal audit di una
o più risorse di supporto.
Per quanto attiene agli intermediari finanziari, soluzioni siffatte derivano spesso da scelte operate in
occasione dell’adeguamento alle nuove disposizioni
normative e, in particolare, delle modifiche di organico rese necessarie dalla “trasformazione” della
precedente e “unica” funzione di controllo interno
nelle due distinte funzioni di internal audit e di compliance. Scelte di tal genere sono risultate frequenti
Tabella 1
Collocamento organizzativo e strutturazione delle funzioni
di controllo
Regolamentazione delle funzioni di controllo e articolazione
delle loro attività
Assetto operativo e meccanismi di coordinamento
–
–
–
–
–
–
–
–
Linee di riporto
Definizione dei ruoli
Allocazione delle risorse
Impostazione delle attività di verifica
Definizione delle modalità di condivisione e riporto
Monitoraggio ex post svolto dalle funzioni di controllo
Convergenza delle metodologie di lavoro
Interscambio informativo tra le funzioni
FUNZIONI
DI CONTROLLO
CFC04_353-362.indd 355
Contabilità finanza
e controllo
4.2011
355
25/03/11 16:11
funzioni di controllo
Tabella 2
Internal audit
Compliance
Collocamento
della funzione
– Riporto diretto nei
confronti degli organi
aziendali
Struttura
della funzione
Proporzionata
alla complessità
organizzativa
–
– Consiglio di amministrazione
Commisurata
all’ampiezza
della normativa
rilevante
–
– Collegio sindacale
sia per ragioni legate alla natura di “controllo” di
entrambe le funzioni predette, sia per ragioni imputabili ai costi che tale biforcazione ha comportato.
Esse, seppure giustificabili nelle primissime fasi di
transizione al nuovo assetto normativo, risultano
ora difficilmente idonee in relazione alla necessità di assicurare a ciascuna delle funzioni coinvolte adeguata
indipendenza reciproca e obiettività di giudizio nei vari ambiti di volta in volta oggetto di valutazione; una tale
condivisione, laddove mantenuta, potrebbe scontare
inoltre potenziali effetti negativi nei confronti delle
stesse risorse coinvolte, in quanto suscettibile di ingenerare in queste ultime, spesso con una seniority
ancora tutta da formare, una non chiara comprensione
degli ambiti di competenza dell’una e dell’altra funzione e dei
rispettivi e diversi approcci metodologici allo svolgimento delle attività di controllo.
Dal punto di vista della strutturazione organizzativa, a
parere di chi scrive, esistono soluzioni maggiormente
efficaci a permettere di dotarsi di funzioni di controllo
autonome senza l’aggravio eccessivo di ulteriori costi,
soprattutto in una fase iniziale. La dotazione iniziale
di risorse può infatti essere riequilibrata con una diversa riallocazione delle attività per cui ciascuna funzione è responsabile, ovvero privilegiando la “delega
delle attività” alla “condivisione delle risorse”, in linea
con quanto indicato con la Comunicazione 8 marzo
2011 di Banca d’Italia e Consob.
Sia nell’ambito degli intermediari, sia con riferimento a qualsiasi altro soggetto che intenda dotarsi di una
funzione di “controllo della conformità”, trattandosi di
funzioni di controllo rispondenti sempre direttamente
356
CFC04_353-362.indd 356
Contabilità finanza
e controllo
4.2011
–
–
Rapporti con le altre
funzioni aziendali
Evidenzia aree di miglioramento funzionale e
operativo;
condivide i risultati con le altre funzioni di controllo.
Assolve un ruolo consultivo nei confronti di tutte
le funzioni operative e di controllo;
svolge verifiche anche mediante acquisizione
degli esiti delle attività svolte da altre funzioni.
agli organi sociali, lo svolgimento delle attività di “confine” da parte di una delle due funzioni a vantaggio
dell’altra, meno dotata di risorse, può considerarsi in
numerosi casi soluzione maggiormente efficace rispetto
a potenziali “confusioni organizzative”, derivanti dalla
commistione di ruoli e di responsabilità (tabella 2).
In conclusione, anche un’allocazione sbilanciata, se
contemperata da una precisa definizione dei ruoli, non
rappresenta necessariamente un aspetto di criticità
organizzativa.
Quanto esposto in termini di strutturazione organizzativa si ritiene possa essere utilmente decontestualizzato
rispetto al settore oggetto di indagine; gli operatori che
siano tenuti a dotarsi o che decidano autonomamente
di dotarsi di una funzione di controllo di conformità
che vada a integrarsi con una già operativa funzione
di audit, a parere di chi scrive, devono disegnare tale
implementazione sulla base della mission che ritengono
utile attribuire a ciascuna di esse studiando meccanismi
di integrazione che non ne precludano la necessaria
autonomia ed efficacia di azione.
Regolamentazione
delle funzioni di controllo
e articolazione delle loro attività
La regolamentazione interna delle funzioni di controllo è, in linea di principio, il principale strumento
di definizione dei compiti e delle mansioni che queste
devono ricoprire nella realtà aziendale. Il loro collocamento e il perimetro delle relative attività (comprendendo anche le eventuali attività da fare svolgere ad
altre funzioni aziendali) deve essere oggetto di trat-
FUNZIONI
DI CONTROLLO
25/03/11 16:11
Riguardo alle modalità di reporting, un’espressa definizione, a livello procedurale, della periodicità
e dei relativi destinatari, con specifica indicazione
della caratteristica dei flussi informativi, può permettere agli organi aziendali di avere contezza della
realizzazione dei piani di lavoro delle funzioni di controllo e di acquisire i relativi risultati su base periodica
con un’efficiente visione d’insieme. Alternativamen-
te una visione parcellizzata delle attività di verifica,
non strutturata e organizzata, renderebbe difficile
l’espressione di pareri su aspetti inerenti all’identificazione dei rischi aziendali e alla progettazione, realizzazione e gestione del sistema dei controlli interni.
In merito al secondo dei punti menzionati,
l’esplicitazione, a livello di procedure sia della funzione
di compliance sia della funzione di internal audit, delle modalità di svolgimento delle attività di controllo permetterebbe una maggiore correlazione tra le attività svolte
dalle funzioni e il resto delle strutture oggetto di verifica. Infatti, affinché le risultanze delle analisi dell’una
e dell’altra funzione possano effettivamente tradursi in
“raccomandazioni” suscettibili di essere realisticamente
recepite nell’organizzazione e nella gestione aziendale,
andrebbero altresì specificate le modalità di condivisione degli esiti delle verifiche svolte con i referenti dei processi interessati, preventivamente alla formalizzazione
dei relativi report, in particolare allo scopo di proporre in
modo condiviso (o per lo meno avendone discusso prima) gli eventuali interventi correttivi da porre in atto.
funzioni di controllo
tazione specifica in regolamenti e procedure interne.
Con riferimento al contesto degli intermediari finanziari, i regolamenti delle funzioni di controllo si limitano spesso a riprodurre, senza sostanziali integrazioni,
il ruolo e i compiti a esse assegnati dalla normativa,11
mentre più dettagliate indicazioni sarebbero opportune anche sotto altri profili che non sono oggetto di
specifica disciplina da parte degli organi di vigilanza.
Un’illustrazione ampia delle diverse fattispecie a cui ci
si riferisce richiederebbe l’analisi dei singoli profili di attività dei diversi intermediari; in questa sede si ritiene
opportuno porre in evidenza taluni aspetti ai quali, a
prescindere dal contesto di riferimento, si attribuisce
una significativa rilevanza. Ci si riferisce in particolare:
– alla definizione delle modalità di reporting interno
infra-annuale sull’attività svolta,
– alla descrizione delle modalità di svolgimento delle attività di verifica e di preliminare condivisione
degli esiti delle verifiche svolte con i referenti dei
processi di volta in volta interessati,
– soprattutto all’illustrazione dei flussi informativi
che ciascuna funzione è tenuta a scambiarsi con le
altre e, in particolare, con quelle di controllo.
Infine, con riferimento alle informative reciproche tra le funzioni di controllo, l’indicazione, sempre a livello di regolamento delle funzioni, dei
relativi flussi informativi e operativi permetterebbe,
in un’ottica di coordinamento delle attività di verifica delle due funzioni, di evitare o tutt’al più ridurre,
come si dirà più diffusamente oltre, sovrapposizioni
ingiustificate nei controlli.
La tabella 3 riporta in sintesi alcune aree di possibili
Tabella 3
Ambiti di miglioramento
Interventi realizzabili
Ruolo, compiti e responsabilità
Una più chiara distinzione, per la funzione di compliance, tra controlli ex ante e controlli ex post
Reporting agli organi aziendali
Una più chiara e omogenea definizione della periodicità e del contenuto dei flussi informativi
di entrambe le funzioni, al fine di rendere le rispettive risultanze fruibili in modo integrato
Una più dettagliata specificazione delle modalità di interfaccia delle attività di controllo di
entrambe le funzioni con le unità organizzative oggetto di verifica, allo scopo di rendere agevole e “condivisa” la rimozione di eventuali carenze
Una migliore illustrazione delle modalità di interscambio dei flussi informativi tra le due funzioni,
finalizzato ad assicurare un più efficace coordinamento e a evitare sovrapposizioni non giustificate
Conduzione delle attività
di controllo
Informativa reciproca tra
le funzioni di controllo
FUNZIONI
DI CONTROLLO
CFC04_353-362.indd 357
Contabilità finanza
e controllo
4.2011
357
25/03/11 16:11
funzioni di controllo
Tabella 4 – RUOLI DELLA FUNZIONE DI COMPLIANCE
–
–
–
–
Ex ante
Overview continuativa della normativa applicabile;
compliance risk mapping continuativa;
valutazione delle nuove iniziative;
training periodico (aggiornamento) e specifico (informativo
su nuovi temi)
miglioramenti sotto il profilo procedurale emerse con
riferimento al settore dell’intermediazione finanziaria.
A integrazione di quanto sin qui osservato sugli
aspetti procedurali, di primaria importanza nell’ambito delle funzioni di controllo, in questa sede si ritiene opportuno dedicare qualche ulteriore riflessione
sul ruolo della funzione di compliance. Questa spesso
è intesa, sulla scorta della normativa di derivazione
bancaria e in linea con la mission tipicamente assegnata nel mondo anglosassone al compliance officer, quale
funzione di controllo ex ante con una conseguente limitazione della relativa portata di intervento.12
Diversamente, meno risalto è talora posto sui
compiti di verifica e di valutazione, tramite i controlli ex post, dell’adeguatezza e dell’efficacia delle procedure adottate, di non minore importanza per un
efficace impatto delle attività della funzione. Questi,
nell’ambito oggetto di indagine ovvero ai fini della
prestazione dei servizi di investimento, sono espressamente assegnati dal Regolamento Congiunto alla
funzione di compliance e sono altresì confermati dalla
Comunicazione Congiunta 8 marzo 2011, ove sono
menzionati i cosiddetti “controlli in loco”.
Come sin qui premesso, gli intermediari finanziari sono
tenuti, a norma di legge, a istituire la funzione di
compliance. Un analogo obbligo non è invece previsto per le
società industriali, anche se molte di queste aziende,
in particolare se appartenenti a gruppi multinazionali, specie se quotati, oppure operanti in settori altamente regolamentati, hanno volontariamente
introdotto tale funzione per fare fronte al robusto
corpo di norme alle quali devono fare riferimento.
Anche per le realtà industriali il rischio di non
358
CFC04_353-362.indd 358
Contabilità finanza
e controllo
4.2011
Ex post
Monitoraggio delle procedure adottate in termini di:
– adeguatezza rispetto al corpo normativo;
– efficacia alla riduzione del rischio di non conformità.
Rilevazione della necessità di maggiore sensibilizzazione a
specifiche tematiche di compliance
conformità alle norme deve essere attentamente
monitorato sia ex ante sia ex post, secondo le logiche prima brevemente richiamate, per evitare di
incorrere, in conseguenza di una loro violazione,
in sanzioni amministrative o giudiziarie, in perdite
finanziarie rilevanti o danni reputazionali.
La tabella 4 propone una traccia dei ruoli di un’ipotetica funzione di compliance ex ante ed ex post che
prescinda dal settore di appartenenza.
Assetto operativo e meccanismi
di coordinamento
Nell’ambito delle attività operative, si possono manifestare le maggiori problematiche in termini di
sovrapposizione tra le funzioni di controllo. L’esperienza maturata dagli intermediari finanziari può
essere rappresentativa delle potenziali anomalie
nell’operatività delle funzioni interessate.
Relativamente agli aspetti operativi, è possibile osservare, specialmente nell’ambito dei servizi di investimento, rilevanti inefficienze nello svolgimento delle attività di controllo, in buona parte discendenti da una non
chiara specificazione, a livello procedurale e nei termini
sinteticamente sopra richiamati, dei rispettivi ambiti di
controllo e delle relative modalità di svolgimento delle verifiche.
Si è rilevato, per esempio, che spesso i controlli dell’internal audit vengono a focalizzarsi, anziché
– nella prospettiva naturale della funzione – sulla
valutazione della funzionalità dei sistemi, processi e
procedure di controllo interno dell’intermediario, su
tematiche – più proprie della funzione di compliance –
relative alla valutazione dell’adeguatezza ed efficacia
delle procedure di prestazione dei servizi di investimento a garantire la conformità alla normativa.13
A ciò si aggiunga la rilevante differenziazione che
FUNZIONI
DI CONTROLLO
25/03/11 16:11
Ciò che ne consegue è che diventa spesso effettivamente difficile avere, in quella che è la
prospettiva tipica di un componente del Consiglio di
amministrazione o del Collegio sindacale, una visione
d’insieme sul reale grado di rilevanza delle carenze di
volta in volta rilevate dall’una e dall’altra funzione.
Affinché le risultanze delle attività delle funzioni in
discorso possano quindi essere effettivamente e pienamente utilizzate dagli organi aziendali, è evidente come siano quanto mai necessarie sia una costante
informativa reciproca fra le due funzioni, sia una parziale
convergenza delle metodologie di verifica rispettivamente seguite, ferma restando naturalmente l’osservanza dei
relativi ruoli e responsabilità.
Con tale obiettivo, si ritiene che sia utile che alla funzione di internal audit sia richiesto di dare maggiore
sostanza a un approccio risk based nella pianificazione e conduzione dei singoli audit, prevedendo, per
esempio, che ogni singola attività di controllo contemplata nel piano sia esplicitamente accompagnata
da una valutazione preventiva di rischiosità del processo interessato e della qualità dei relativi controlli,
che sarà utilizzata allo scopo di scadenzare gli audit
secondo una logica di priorità degli stessi e di fare sì
che questi includano una valutazione dell’efficacia e
dell’efficienza del processo esaminato nel suo insieme.
Analoga impostazione, con attinenza specifica alle tematiche di conformità alla normativa, dovrà essere richiesta alla funzione di compliance per quanto riguarda
sia le attività ex ante sia quelle ex post.
È inoltre necessario uno stretto coordinamento della funzione di internal audit con la funzione di compliance, sia preventivamente sia successivamente all’effettuazione degli audit, al fine, da
un lato, di acquisire eventuali elementi già noti alla
funzione di compliance che rilevino ai fini degli audit
e, dall’altro, di definire puntualmente i controlli da
effettuarsi a cura della funzione di internal audit.
Tale coordinamento, espressamente posto in capo all’intermediario nella recente già citata Comunicazione
Congiunta, è fondamentale alla luce del fatto che spesso, e non solo nell’ambito dei servizi di investimento,
non è sempre oggettivamente possibile discernere i profili strettamente afferenti l’ambito dei controlli di conformità
alle norme da quelli riguardanti, in senso più ampio,
la complessiva adeguatezza, efficacia e funzionalità dei
sistemi, dei processi, delle procedure e dei meccanismi
di controllo tipici delle verifiche della revisione interna.
La funzione di risk management nel sistema
dei controlli interni
Per concludere, anche per le attività della funzione
di risk management si rendono opportune alcune specifiche notazioni.
Il monitoraggio e la gestione dei rischi deve passare, indipendentemente dall’attività svolta da parte del
soggetto che decide di implementare una funzione di risk
management, da una profonda analisi delle attività svolte,
ai fini di identificare quali siano gli aspetti che devono
andare a costituire il nucleo dell’attività della funzione.
La cosiddetta “mappatura dei rischi” rappresenta le fondamenta per qualsiasi altro tipo di considerazione e deve
essere specificamente ritagliata sulla singola entità.
Con riferimento al settore analizzato, si osserva che,
presso gli intermediari finanziari focalizzati sulla
prestazione di servizi di investimento, l’esposizione
ai rischi di mercato e ai rischi di credito – proprio in
quanto la gestione attiva di tali rischi non è l’attività
core dell’intermediario – è in numerosi casi non significativa,14 mentre maggiore rilevanza assumono le altre
categorie di rischio codificate nella prassi, quali quelle
FUNZIONI
DI CONTROLLO
CFC04_353-362.indd 359
funzioni di controllo
sovente si riscontra a livello di approccio metodologico seguito dalle due funzioni:
– imperniato, in continuità con lo “stile” proprio
della “tradizionale” funzione di controllo interno, su verifiche ex post di livello molto operativo,
con dettagliata evidenza delle risultanze emerse,
quello dell’internal audit;
– più fondato, in linea con le norme di derivazione
bancaria, su analisi ex ante e su un monitoraggio, a un
livello più alto e nel continuo, su tematiche, progetti,
adeguamenti rilevanti nella prospettiva di verifica di
conformità alle norme, quello della compliance.
Contabilità finanza
e controllo
4.2011
359
25/03/11 16:11
funzioni di controllo
relative ai rischi operativi (ivi inclusi i rischi legali e di
non conformità), strategici e reputazionali.
L’attività della funzione in esame, più che un’attività di
risk management in senso ampio a beneficio degli organi
aziendali, è tuttavia circoscritta spesso a una mera attività di monitoraggio dei rischi prevalentemente operativi, afferenti in particolare i portafogli della clientela.15
Tale attività si traduce infatti, in molti casi, prevalentemente nella produzione di elaborazioni finalizzate a monitorare e a garantire la regolarità dell’operatività svolta
per conto della clientela, in termini, per esempio, di:
– verifica della corretta implementazione di controlli di linea di tipo automatico;16
– assolvimento di taluni adempimenti richiesti dalla vigente normativa;17
– controllo del rispetto delle disposizioni della
clientela18 in generale;
– individuazione di situazioni da cui potrebbero
originarsi rischi operativi o di mancato rispetto
della normativa.19
Quanto precede rende quindi, già di per sé, una funzione siffatta maggiormente assimilabile a un’unità di middle
office, più che a una funzione di controllo in senso proprio.
A ciò si aggiunga poi che talvolta l’approccio seguito
nella definizione e nello sviluppo delle elaborazioni
predette non è supportato da una chiara visione di carattere progettuale all’impostazione della complessiva
attività della funzione, essendo esso prevalentemente il
risultato di un’attività di tipo bottom up, nel senso che, individuato uno specifico rischio operativo, viene di volta
in volta definito l’indicatore ritenuto maggiormente
idoneo a monitorarne l’eventuale manifestazione.
Viceversa occorrerebbe che il lavoro della funzione di risk management fosse impostato in una
prospettiva del tipo top down, seguendo cioè un approc-
cio che, partendo da una ricognizione strutturata dei
processi in cui è articolata l’attività dell’intermediario
e delle singole fasi procedurali in cui possono essere
scomposti i processi medesimi, proceda poi a una rilevazione sistematica delle varie tipologie di rischio suscettibili di impattare negativamente sullo svolgimento
dei processi e, solo in un momento successivo, a fronte
dei vari rischi rilevati, alla definizione degli indicatori
deputati a prevenirne o quanto meno individuarne la
manifestazione.
Ciò consentirebbe alla funzione in discorso di
potere assolvere, in primo luogo, al proprio ruolo di
supporto nella definizione del cosiddetto “sistema di gestione del rischio” e di presidio al suo corretto funzionamento a servizio degli organi aziendali, fornendo altresì
alla stessa gli strumenti metodologici per consentirne
l’innalzamento del contenuto dell’informativa resa a
questi ultimi da un livello incentrato sull’esposizione
degli esiti di controlli strettamente operativi (ovvero
mero monitoraggio) a un piano maggiormente focalizzato sulla rappresentazione delle aree e delle tematiche
caratterizzate da maggiore rischiosità aziendale e sulla
proposizione delle conseguenti misure correttive (ovvero gestione dei rischi in senso proprio).
Lo sviluppo di una metodologia strutturata di rilevazione e gestione dei rischi potrebbe inoltre essere condiviso anche con le altre funzioni di controllo, in particolare:
– l’internal audit ai fini della concreta implementazione dell’approccio risk based alla conduzione
delle verifiche;
– la compliance, allo scopo di definire un set strutturato
di key risk indicators specificamente dedicati al monitoraggio e ai controlli di competenza di quest’ultima e alla gestione dei rischi di non conformità.
Si veda la tabella 5.
Tabella 5 – APPROCCIO RISK BASED DELLE FUNZIONI DI CONTROLLO
Risk management
Internal audit
e compliance
360
CFC04_353-362.indd 360
– Definizione del “sistema di gestione del rischio”
– Mappatura secondo logiche top down strutturata sui processi e sulle procedure aziendali
Risk assessment della
– Identificazione dei key risk indicators per lo svolgimento del proprio ruolo
funzione in relazione al
– Contributo, in esito alle attività di verifica, al mantenimento della
proprio ruolo
mappatura dei rischi
Contabilità finanza
e controllo
4.2011
FUNZIONI
DI CONTROLLO
25/03/11 16:11
L’organizzazione aziendale deve essere costantemente orientata al perseguimento dei seguenti obiettivi:
– conformità delle operazioni a leggi e regolamenti;
– affidabilità e integrità delle informazioni (ivi comprese le informazioni finanziarie e di bilancio);
– salvaguardia del patrimonio aziendale;
– efficacia ed efficienza delle operazioni.
In considerazione di ciò, è quindi evidente come, ad
avviso di chi scrive, le considerazioni strutturali e organizzative sopra presentate risultino applicabili in gran
parte anche con riferimento al settore industriale.
Considerazioni conclusive
La disamina sopra illustrata, come rappresentato in
premessa, prende spunto da un contesto regolamentato, il cui disegno ha visto il concorrere di più legislatori (in primis Unione Europea e Stato italiano) e, in un
momento successivo, di diverse entità regolamentari
(Banca d’Italia e Consob).
In molti casi, il nuovo quadro normativo è stato vissuto
come imposizione di ulteriori complessità, derivanti dal
dovere introdurre una nuova funzione indipendente da
interfacciare direttamente con Consiglio di amministrazione e Collegio sindacale, nonché di ulteriori costi in un
periodo di elevata crisi e turbolenza dei mercati. L’aspetto per il quale sono percepite problematiche di natura
organizzativa e procedurale, nonché operativa, sono
ancora le aree di sovrapposizione, che seppure minimiz-
zabili, possono essere considerate inevitabili. Il governo
di tali problematiche risulta, sulla base di quanto sin qui
descritto, di fondamentale importanza per permettere
all’intermediario di beneficiare di una strutturazione
che, seppure imposta dalle norme, potrebbe, oltre che
ridurre l’esposizione a una serie di rischi di natura non
solo operativa, essere origine di dinamiche di razionalizzazione interna di processi e procedure.
L’assestamento conseguente al normale evolversi delle strutture societarie ha fatto sì che le funzioni oggi operino secondo linee di indirizzo più chiare di
quelle immediatamente successive al nuovo contesto normativo che possono oggi trovare un supporto ulteriore
nelle linee applicative emesse da Banca d’Italia e Consob.
Le tematiche analizzate con riferimento al contesto degli
intermediari finanziari impegnati nella prestazione dei
servizi di investimento presentano non poche peculiarità. Dall’altro canto, a parere di chi scrive, la declinazione
che hanno avuto le funzioni di controllo nel particolare
contesto descritto potrebbe essere un valido spunto di
riflessione per quelle entità che sentano la necessità di
dotarsi di una struttura di governance in cui lo sviluppo dei
controlli di compliance possa avere un impatto diretto sulla
conduzione del business. Si osserva inoltre che, in molti
casi, orientamenti in tale senso sono già adottati, seppure
in una forma embrionale, dalle strutture societarie più
complesse; in tali fattispecie – si ritiene – gli aspetti fondamentali sui quali agire sarebbero quelli procedurali
(soprattutto per quanto attiene alle attività di controllo ex
post e di reporting), risolti i quali queste risulterebbero dotate di un ulteriore e strutturato strumento di governance.
In conclusione si ritiene che, prescindendo dalle dimensioni, ma facendo attento riferimento alle caratteristiche interne del settore di operatività, un’attenta riflessione
sulla struttura dei controlli riferiti anche alla conformità
debba essere posta in essere da una pluralità di soggetti.
Rientrano nel novero di chi possa sentire tale esigenza,
oltre a tutte le attività che siano soggette a un’elevata regolamentazione diretta, anche coloro che, stante il sempre
maggiore complicarsi del quadro legislativo, si trovano
sovente a rivedere il proprio business o la propria organizzazione per rispondere a tali evoluzioni esogene.
FUNZIONI
DI CONTROLLO
CFC04_353-362.indd 361
funzioni di controllo
Nelle società non finanziarie la gestione del rischio è di fondamentale importanza; un incidente
produttivo, commerciale, o ambientale può creare gravi
danni economici e reputazionali se non viene previsto,
valutato e presidiato, ovvero adeguatamente gestito.
Diverse sono le tipologie di corporate risk che una società
industriale può trovarsi ad affrontare: un’azienda deve
sapere disegnare un’architettura finanziaria ottimale e
definire le strategie di copertura dei rischi di mercato
(oscillazione dei prezzi delle materie prime, variazione
dei tassi e dei cambi); deve gestire e minimizzare i rischi
operativi, il rischio reputazionale e, come accennato
precedentemente, il rischio di compliance.
Contabilità finanza
e controllo
4.2011
361
25/03/11 16:11
funzioni di controllo
1
I servizi e le attività di investimento sono disciplinati dal D.Lgs. 58 del 24 febbraio 1998 (TUF); ai sensi dell’art. 1, comma 5, del TUF,
trattasi dei seguenti: a) negoziazione per conto proprio; b) esecuzione di ordini per conto dei clienti; c) sottoscrizione e/o collocamento
con assunzione a fermo ovvero con assunzione di garanzia nei confronti dell’emittente; c-bis) collocamento senza assunzione a fermo, né
assunzione di garanzia nei confronti dell’emittente; d) gestione di portafogli; e) ricezione e trasmissione di ordini; f) consulenza in materia
di investimenti; g) gestione di sistemi multilaterali di negoziazione.
2
Markets in Financial Instruments Directive, dir. n. 2004/39/CE del Parlamento Europeo e del Consiglio del 21 aprile 2004.
3
Nello specifico, come anticipato, Consob a presidio del corretto funzionamento del mercato finanziario e della corretta e trasparente
prestazione dei servizi e degli attori in questo coinvolti e Banca d’Italia a presidio della stabilità del sistema e degli intermediari finanziari.
4
Sancito a carico delle banche e degli altri intermediari autorizzati alla prestazione di servizi di investimento e del servizio di gestione
collettiva del risparmio dall’art. 12 del Regolamento Congiunto Banca d’Italia e Consob del 29 ottobre 2007.
5
Con riferimento alle funzioni di internal audit e di risk management, la normativa consente di non attribuire le stesse a una funzione organizzativa specifica, se ciò è in linea con il principio di proporzionalità; tale principio risponde alle esigenze di tutti quei soggetti per i quali
l’individuazione delle menzionate attività in capo a funzioni distinte potrebbe incidere in misura significativa in termini di costi e non
essere giustificata in ragione della natura, delle dimensioni e della complessità dell’attività svolta. La responsabilità sarebbe comunque in
capo all’appropriato organo di governance, ovvero il consiglio di amministrazione nei sistemi tradizionali.
6
In particolare, artt. 13, 14 e 16 del Regolamento Congiunto Banca d’Italia e Consob del 29 ottobre 2007.
7
“Istruzioni di vigilanza per le banche” (circ. n. 229 del 21 aprile 1999 e successivi aggiornamenti), Titolo IV, Capitolo 11, Sezione II
(Sistema dei controlli interni).
8
“Disposizioni di vigilanza” del 10 luglio 2007 aventi a oggetto “La funzione di conformità (compliance)”.
9
Comunicazione Congiunta di Banca d’Italia e Consob in materia di ripartizione delle competenze tra compliance e internal audit nella
prestazione dei servizi di investimento e di gestione collettiva del risparmio, 8 marzo 2011.
10
Ovvero, in caso di sistema di dualistico, Consiglio di gestione e Consiglio di sorveglianza e, in caso di sistema monistico, Consiglio di
amministrazione e Comitato per il controllo sulla gestione.
11
Nello specifico, gli artt. 14 e 16 del Regolamento Congiunto prevedono quanto segue:
«Art. 14 – Revisione interna – 1. La funzione di revisione interna: a) adotta, applica e mantiene un piano di audit per l’esame e la valutazione dell’adeguatezza e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dell’intermediario; b)
formula raccomandazioni basate sui risultati dei lavori realizzati conformemente alla lettera a) e ne verifica l’osservanza; c) presenta agli
organi aziendali, almeno una volta all’anno, relazioni sulle questioni relative alla revisione interna».
«Art. 16 – Controllo di conformità – 1. Gli intermediari adottano procedure adeguate al fine di prevenire e individuare le ipotesi di
mancata osservanza degli obblighi posti dalle disposizioni di recepimento della dir. n. 2004/39/CE e delle relative misure di esecuzione,
minimizzare e gestire in modo adeguato le conseguenze che ne derivano, nonché consentire alle autorità di vigilanza di esercitare efficacemente i poteri loro conferiti dalla relativa normativa.
2. A tal fine, gli intermediari attribuiscono alla funzione di controllo di conformità (compliance), le seguenti responsabilità, garantendo un
adeguato accesso alle informazioni pertinenti: a) controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure adottate
ai sensi dell’art. 15 e delle misure adottate per rimediare a eventuali carenze nell’adempimento degli obblighi da parte dell’intermediario,
nonché delle procedure di cui al comma 1; b) fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini dell’adempimento degli obblighi posti dalle disposizioni di recepimento della dir. n. 2004/39/CE e delle relative misure di esecuzione.
3. La funzione di controllo di conformità presenta agli organi aziendali, con periodicità almeno annuale, le relazioni sull’attività svolta. Le
relazioni illustrano, per ciascun servizio prestato dall’intermediario, le verifiche effettuate e i risultati emersi, le misure adottate per rimediare a eventuali carenze rilevate nonché le attività pianificate. Le relazioni riportano altresì la situazione complessiva dei reclami ricevuti,
sulla base dei dati forniti dalla funzione incaricata di trattarli, qualora differente dalla funzione di controllo di conformità».
12
In particolare, nella prassi maggiormente ricorrente risultano assegnati alla funzione i seguenti ambiti di intervento:
– identificazione nel continuo delle norme applicabili e valutazione del loro impatto sui processi e le procedure aziendali;
– identificazione e valutazione periodica dei rischi di non conformità e proposizione dei relativi interventi di gestione;
– proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformità individuati;
– valutazione preventiva dei progetti innovativi;
– prevenzione e gestione dei conflitti di interesse;
– verifica di coerenza e conformità del sistema premiante aziendale;
– attività formativa del personale e consulenza e assistenza agli organi aziendali.
13
Tali sovrapposizioni riguardano, per esempio, le verifiche aventi a oggetto la strategia di trasmissione e di esecuzione degli ordini, le modalità di profilazione della clientela e di valutazione dell’adeguatezza/appropriatezza dei servizi prestati, le procedure interne disciplinanti
la prestazione dei servizi di investimento e, per il servizio di gestione di portafogli, il processo di asset management ecc.
14
Ciò che rende tali intermediari sensibilmente differenti rispetto, per esempio, a una banca “tradizionale” attiva nella raccolta del risparmio e nell’esercizio del credito.
15
Sia per quelli gestiti nell’ambito del servizio di gestione di portafogli, sia per quelli amministrati nell’ambito degli altri servizi di investimento prestati.
16
Per esempio, coerenza tra linea contrattuale sottoscritta dalla clientela e linea operativa censita a sistema, coerenza tra leva finanziaria
contrattuale e operativa, aggiornamento dei limiti di investimento per linea di gestione ecc.
17
Per esempio, perdite rilevanti, rendiconti dei clienti gestiti, rendiconti dei clienti amministrati, market abuse ecc.
18
Per chiusura di mandati, istruzioni particolari, rispetto dei limiti contrattuali di investimento ecc.
19
Per esempio, generazione di scoperti di liquidità, utilizzo di controparti non autorizzate, tenuta non conforme del registro degli ordini,
valorizzazione non corretta dei portafogli, non corretta gestione del conto errori, errata riconciliazione della liquidità e dei titoli, scostamenti non giustificati tra le performance dei clienti gestiti ecc.
362
CFC04_353-362.indd 362
Contabilità finanza
e controllo
4.2011
FUNZIONI
DI CONTROLLO
25/03/11 16:11