Cattolica - Confindustria Verona
Transcript
Cattolica - Confindustria Verona
LA FUNZIONE DI CONTROLLO INTERNO E DI COMPLIANCE NEL CONTESTO ASSICURATIVO, RIFERITO AD UN GRUPPO QUOTATO: GRUPPO CATTOLICA ASSICURAZIONI Dott. Werther Montanari Direttore Audit di Gruppo Società Cattolica di Assicurazione Soc. Coop. Verona, 8 ottobre 2009 Indice Capitolo 1 IL SISTEMA DI CONTROLLO INTERNO NELLE IMPRESE ASSICURATIVE INQUADRAMENTO NORMATIVO INQUADRAMENTO TEORICO INTEGRAZIONE CON IL SISTEMA DI AMMINISTRAZIONE RUOLO DEGLI ORGANI SOCIALI Capitolo 2 LA FUNZIONE DI INTERNAL AUDITING NELLE IMPRESE DI ASSICURAZIONE CASO APPLICATIVO ORGANIZZAZIONE DELLA FUNZIONE GESTIONE NEL GRUPPO ASSICURATIVO IL PROCESSO DI INTERNAL AUDITING Capitolo 3 LE RELAZIONI CON GLI ALTRI SOGGETTI DEL CONTROLLO CASO APPLICATIVO: LE RELAZIONI DEI SOGGETTI DEL CONTROLLO Capitolo 4 LA PROGETTAZIONE DEL SISTEMA DI CONTROLLO INTERNO CASO APPLICATIVO: PROGETTAZIONE DEL SISTEMA DI CONTROLLO INTERNO 2 Il sistema di controllo interno nelle imprese assicurative: inquadramento normativo La normativa nazionale di recepimento delle direttive comunitarie di terza generazione, già dalla metà degli anni ‘90, ha introdotto nell’ordinamento interno il principio secondo il quale le imprese di assicurazione con sede legale nel territorio della Repubblica si dotano di una buona organizzazione amministrativa e contabile e di adeguate procedure di controllo interno (D. Lgs. n. 174/95, art. 20, comma 4 e D. Lgs. n. 175/95, art.21, comma 4). La definizione di sistema di controllo interno nelle imprese di assicurazioni è stata fornita dall’Istituto per la Vigilanza sulle Assicurazioni Private e di Interesse Collettivo, attraverso i seguenti provvedimenti: Circolare n. 366/D del 3 marzo 1999 “Sistema di controllo interno, ruolo e responsabilità degli organi amministrativi e di controllo” Circolare n. 577/D del 30 dicembre 2005 “Disposizioni in materia di sistema di controlli interni e di gestione dei rischi” Regolamento n. 20 del 26 marzo 2008 “Disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 – codice delle assicurazioni private” 3 Il sistema di controllo interno: inquadramento teorico Il sistema dei controlli interni è costituito dall’insieme delle regole, regole delle procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell’impresa e a garantire, con un ragionevole margine di sicurezza: a) l’efficienza e l’efficacia dei processi aziendali; b) l’adeguato controllo dei rischi; c) l’attendibilità e l’integrità delle informazioni contabili e gestionali; d) la salvaguardia del patrimonio; e) la conformità dell’attività dell’impresa alla normativa vigente, alle direttive e alle procedure aziendali. ISVAP ha una visione ORGANIZZATIVA Il controllo è il processo svolto dal Consiglio di Amministrazione, dai dirigenti e da altri soggetti della struttura aziendale finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie (Efficacia e efficienza delle attività operative; Attendibilità delle informazioni di bilancio; Conformità alle leggi e regolamenti in vigore) Il framework COSO ha una visione MANAGERIALE La gestione del rischio aziendale (Enterprise Risk Management) è un processo posto in essere dal CDA, dai dirigenti e da altri operatori della struttura aziendale. E’ utilizzato per la formulazione delle strategie in tutta l’organizzazione; È progettato per individuare eventi potenziali che possono influire sull’attività aziendale, gestire il rischio entro i limitii del “rischio accettabile” accettabile e fornire ragionevole sicurezza sul conseguimento degli obiettivi aziendali. Il framework ERM ha una visione STRATEGICA 4 Integrazione con il sistema di amministrazione La riforma del diritto societario (D. Lgs.n. 6/03 e succ. mod. e int.) ha innovato la nozione attribuita al sistema dei controlli societari in sintonia con la best pratice internazionale e nazionale in materia di governo societario. La trattazione organica da parte del legislatore (sotto il titolo “dell’amministrazione e controllo”, capo V, libro V del Codice Civile) delle funzioni di amministrazione e controllo consente di codificare il contenuto della generale funzione di governo societario nei due specifici profili in commento. Il termine “controllo” nella nuova formulazione viene utilizzato con riferimento ad una finalità che investe la conduzione della società nel suo complesso e che, in varia guisa, compete a tutti gli organi istituiti nei diversi sistemi alternativi (“tradizionale”, “dualistico” e “monistico”). Sistema di amministrazione e controllo Ruolo degli organi sociali Ruolo dell’organo amministrativo 5 Ruolo degli organi sociali CONSIGLIO DI AMMINISTRAZIONE COLLEGIO SINDACALE Responsabile ultimo dello SCI: Verifica l’adeguatezza ed il concreto deve garantirne la costante completezza, funzionamento dell’assetto organizzativo funzionalità ed efficacia amministrativo e contabile re p ort Assistenza al CDA reporting COMITATO DI CONTROLLO INTERNO ing reporting ALTA DIREZIONE Responsabile dell’attuazione, mantenimento e monitoraggio dello SCI e della gestione dei rischi 6 La funzione di Internal Auditing nelle imprese di assicurazione (reg. Isvap n. 20, art. 15) L’Internal auditing (revisione interna) è la funzione aziendale incaricata di monitorare e valutare l’efficacia e l’efficienza del sistema di controllo interno e le necessità di adeguamento, anche attraverso attività di supporto e di consulenza alle altre funzioni aziendali. E’ obbligatoriamente istituita, di regola affidata ad una struttura interna, salvo l’ipotesi di ridotte dimensioni aziendali che facciano venire meno l’economicità della soluzione interna. L’esternalizzazione è quindi un’ipotesi organizzativa residuale, tranne nei gruppi di imprese che centralizzano la funzione presso un’unità specializzata. Le caratteristiche della funzione richiamate dalla norma sono: ¾ Indipendenza e autonomia sul piano organizzativo (cfr. con principio deontologico dell’obiettività) ¾ Incompatibilità ad assumere responsabilità operative ¾ Libertà di accesso alle strutture aziendali e alle informazioni relativi alle verifiche ¾ Adeguatezza di risorse umane e tecnologiche in ragione delle dimensioni aziendali e degli obiettivi di sviluppo. Uniforma la propria attività agli standard professionali comunemente accettati a livello nazionale ed internazionale. Si richiama la codificazione della professione eseguita a livello internazionale dall’Institute of Internal Auditors (IIA) e, in Italia, dall’Associazione Italiana Internal Auditors (AIIA). I pilastri dell’auditing sono di seguito indicati: 9 9 9 9 9 la definizione di Internal auditing[1]; il Codice etico; gli Standard internazionali IIA; le Guide interpretative agli standard IIA; la letteratura professionale. [1] La definizione di IIA è: “L’internal auditing è un’attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia ed efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.” 7 Caso applicativo: organizzazione della funzione Gruppo assicurativo Cattolica: capogruppo quotata che controlla undici compagnie di assicurazione e società di servizi Nel gruppo assicurativo analizzato, l’istituzione della funzione di internal auditing è avvenuta con delibera del Consiglio di Amministrazione del 1999, assunta in ottemperanza delle disposizioni della circolare ISVAP n. 366/D, e fu posta inizialmente alle dipendenze della direzione Legale; dalla fine del 2004 è stata costituita sotto forma di autonoma direzione aziendale. Alla fine del 2008, in occasione dell’istituzione della funzione Compliance, è stato ri-formulato il mandato conferito dall’organo amministrativo della società capogruppo al responsabile della funzione ed emanato il regolamento interno della funzione di revisione interna. Il regolamento interno declina con maggiore dettaglio poteri, compiti e responsabilità della revisione interna nonché i rapporti con le direzioni operative. Individua i flussi informativi rilevanti nei confronti degli organi sociali (Consiglio di Amministrazione, Comitato per il Controllo Interno, Collegio Sindacale, Direzione Generale); ne stabilisce la periodicità e la forma del documento. La disciplina della revisione interna realizzata nel gruppo in esame presenta ora una precisa gerarchia delle fonti: ¾il REGOLAMENTO ISVAP n. 20, emanato in attuazione degli artt. 87 e 191, comma 1 del codice delle assicurazioni private; ¾il MANDATO del responsabile della funzione di revisione interna conferito dall’organo amministrativo; ¾il REGOLAMENTO INTERNO della funzione; ¾i CONTRATTI DI SERVIZIO INFRAGRUPPO ed i relativi service level agreement; ¾la disciplina della PROFESSIONE DI INTERNAL AUDITOR emanata da AIIA. 8 Caso applicativo: gestione nel gruppo assicurativo 1) Le condizioni normative (art. 16 reg. isvap n. 20) da rispettare per l’accentramento della revisione interna in un’unità specializzata all’interno del gruppo assicurativo sono: 1. l’individuazione di un referente interno che curi i rapporti con il responsabile della funzione di gruppo 2. l’adozione di procedure che garantiscano di calibrare l’intervento di revisione interna in funzione delle caratteristiche operative di ciascuna delle imprese controllate. REFERENTE INTERNO Ai fini dell’individuazione del referente interno è fondamentale stabilire in via preliminare la relazione con la figura del responsabile dei controlli sulle attività di controllo [revisione interna, risk management, compliance] esternalizzate (di cui all’art. 33). Le ipotesi teoriche possibili sono: - I due ruoli sono alternativi (in tal caso il responsabile diverrebbe operativo solo nei casi di affidamenti al di fuori del gruppo di appartenenza) - i due ruoli, pur differenziati, possono essere assegnati allo stesso soggetto - I due ruoli sono assegnati a soggetti diversi (scelta prudenziale, in concreto operata). Al fine di garantire i requisiti di indipendenza e autorevolezza previsti dall’art. 33, la scelta è ricaduta su consiglieri non esecutivi. Sono stati inoltre differenziati i referenti e i responsabili della revisione interna rispetto a quelli del risk management e della compliance. Almeno in fase iniziale sussistono problemi del coordinamento tra i due ruoli ed il rischio di sovrapposizione degli interventi. 9 Caso applicativo: gestione nel gruppo assicurativo 2) PROCEDURE INFRAGRUPPO Si sono ricercati parametri sintetici e di certa determinazione che potessero essere indicatori significativi della dimensione aziendale e della complessità operativa delle singole imprese del gruppo, in base ai quali eseguire l’allocazione delle risorse di revisione interna misurate in giorni-uomo. Sono stati presi a riferimento una serie di parametri, quali premi lordi contabilizzati, il personale dipendente, il capitale sociale, il margine di solvibilità. Sono state fatte simulazioni con essi, considerati singolarmente e in modo congiunto. Il complesso delle considerazioni fatte sulle simulazioni condotte ha portato alla scelta di utilizzare il numero dei lavoratori dipendenti, come indicatore del grado di complessità operativa di un’impresa rilevante per le finalità di audit. Ciò in considerazione dei modelli organizzativi presenti nelle imprese del gruppo. L’allocazione delle risorse nel gruppo comporta la preliminare risoluzione del problema di stabilire la dimensione adeguata dell’organico complessivo di revisione interna. E’ evidente che la ripartizione di personale sulle imprese del gruppo deve consentire almeno di eseguire gli adempimenti normativi obbligatori. 10 Caso applicativo: il processo di internal auditing La normativa ISVAP si limita a dettare solo alcune indicazioni relativamente al ciclo di auditing, quali la predisposizione del piano di attività, la stesura di una relazione di consuntivo con le risultanze delle verifiche e delle carenze rilevate, i flussi informativi verso CDA, Alta direzione e Collegio sindacale. L’operatività della funzione è demandata alla codificazione della professione di internal auditors realizzata in Italia dall’AIIA. Nel gruppo assicurativo analizzato la funzione interna adotta il ciclo di auditing previsto dallo standard professionale, che si scompone nelle tre fasi di: - analisi preliminare - esecuzione dell’incarico - comunicazione dei risultati. La recente riorganizzazione dell’area ha permesso, attraverso l’emanazione del regolamento della funzione, di: ¾ Potenziare la fase comunicazionale attraverso l’introduzione sistematica dell’incontro con i responsabili delle aree esaminate nella fase iniziale dell’incarico (kick off meeting) e l’incontro di presentazione dei risultati (exit meeting) ai responsabili delle aree controllate. ¾ Aumentare il livello di attenzione alla fase di verifica delle azioni correttive (follow up). La formalizzazione del ruolo del referente interno nelle imprese che hanno esternalizzato la funzione, incaricando questo soggetto della più opportuna circolarizzazione delle relazioni di audit presso la propria società a favore degli interlocutori giudicati più idonei alla risoluzione delle carenze riscontrate, è finalizzata ad una gestione più pro-attiva delle problematiche emerse. 11 Il processo di audit (standard AIIA) Processo di AUDIT 12 Le relazioni con gli altri soggetti del controllo (Reg. Isvap n. 20, art. 17) La forma di collaborazione richiamata dalla norma (sotto la denominazione di “collaborazione tra funzioni e organi deputati al controllo” (art. 17)) si sostanzia nello scambio informativo finalizzato ad ottimizzare lo svolgimento dei rispettivi compiti di monitoraggio. La classificazione esemplificativa ma non esaustiva delle entità aventi compiti di controllo nelle imprese di assicurazione è la seguente: • • • • • • • • collegio sindacale, società di revisione, revisione interna, risk management compliance organismo di vigilanza di cui al D. Lgs. 231/01 attuario incaricato vita e rc auto ogni altro organo o funzione a cui è attribuita una specifica funzione di controllo ( es. dirigente preposto alla redazione dei documenti contabili societari ex art. 154 bis TUF nelle imprese quotate.) Il CDA deve definire e formalizzare i collegamenti tra le funzioni di controllo. Si noti che l’analisi delle relazioni tra organi è stata qui condotta non sulla base delle finalità sottostanti secondo quanto codificato da AIIA (finalità conoscitiva, assurance, attuativa, consulenziale), bensì in funzione del rapporto giuridico che lega l’entità del controllo alla società controllata. In tal senso sono stati individuati: •Strutture interne costituiti da personale legato all’impresa da contratto di lavoro (es. revisione interna capogruppo) •Soggetti esterni legati alla società da un contratto di servizi (revisione esterna, attuario incaricato, …) •Organi sociali (collegio sindacale, organismo di vigilanza 231…) 13 Caso applicativo: le relazioni dei soggetti del controllo ¾ Se la funzione di controllo si colloca nell’organizzazione aziendale, è sottoposta a precisi vincoli di gerarchia interna derivanti dal contratto di lavoro. Lo strumento di gestione è la procedura organizzativa. (es. le tre funzioni di controllo nell’impresa capogruppo). ¾ Se la funzione di controllo si colloca nell’organizzazione di gruppo in quanto è adottato il modello di centralizzazione, lo strumento di collegamento è il contratto di servizio (clausole e livelli di servizio). ¾ L’attuario incaricato dall’impresa nell’assicurazione del ramo vita e per l’attuario incaricato nell’esercizio dei rami di responsabilità civile dei veicoli e dei natanti può essere un dipendente o un collaboratore esterno. Le norme di legge gli conferiscono autonomia, libertà di giudizio e di accesso alle informazioni aziendali e ne sanciscono il dovere di collaborazione verso gli altri controllori; appare ridondante ipotizzare una contrattualizzazione ad hoc per gestire le relazioni e gli scambi informativi con gli altri soggetti, tenuto conto che la professionalità esterna riesce a esprimere un grado di autonomia maggiore rispetto a mere logiche di proceduralizzazione interna. ¾ La società di revisione (iscritta all’albo e sottoposta alla vigilanza di Consob in termini di organizzazione, indipendenza ed idoneità tecnica) ha il diritto di ottenere dagli amministratori documenti e notizie utili alla revisione e la facoltà di procedere ad accertamenti, ispezioni e controlli. Si deve inoltre avvalere di un attuario al quale conferire l’incarico di redigere la relazione sulla sufficienza delle riserve tecniche da allegare alla certificazione di bilancio. L’attuario revisore è l’ulteriore attore nel sistema dei controlli interni a latere dell’attuario incaricato dall’impresa. ¾L’organismo di vigilanza è istituito dal CDA ai sensi del D. Lgs. n. 231/01 in materia di responsabilità amministrativa degli enti; la progettazione organizzativa dei flussi informativi verso l’organismo di vigilanza di provenienza dalle aree operative, dalle funzioni di controllo e da eventuali altri interlocutori aziendali costituisce la modalità operativa per formalizzare la collaborazione funzionale auspicata dall’ISVAP, che trova ulteriore riscontro nelle verbalizzazioni degli incontri dell’organismo medesimo con la dirigenza. Analoghe considerazioni possono essere svolte per il dirigente preposto stante il compito assegnatogli dall’art. 154-bis del T.U.F. ¾Il collegio sindacale è organo di controllo eletto dall’assemblea, non sottoposto a dipendenze gerarchiche, con doveri e poteri di verifica. 14 La progettazione del sistema di controllo interno Quale ruolo può giocare la funzione di internal auditing nella progettazione del sistema di controllo interno e, quindi, nella creazione del valore di un’impresa? i più recenti orientamenti espressi in sede associativa suggeriscono di eseguire un’analisi di posizionamento della funzione di revisione interna rispetto alla propria azienda che consenta di: comprendere i bisogni provenienti dai clienti interni ed esterni dell’impresa (la domanda); individuare le figure che presentano ruoli in competizione (i competitori) con l’auditing rispetto al soddisfacimento della domanda interna, di cui è necessario identificare i rispettivi punti di forza e di debolezza, sia intrinseci nel ruolo che espressi dagli uomini che li rivestono; infine stabilire l’esistenza di barriere all’entrata, tenuto conto che la regolamentazione promossa dall’Autorità di settore si muove in direzione opposta. ed un’analisi di posizionamento della propria impresa rispetto al panorama delle società italiane che si articola nei due scenari estremi: aziende di tipo tradizionale, fortemente orientate alla compliance normativa, con funzioni di internal auditing impegnate essenzialmente in attività di ispezione e accertamento; aziende innovative, orientate al recupero dell’efficienza, con funzioni di auditing che svolgono prevalentemente attività di consulenza e che si avvalgono di metodologie a supporto del cambiamento. 15 Caso applicativo: progettazione del sistema di controllo interno L’analisi di posizionamento svolta nel gruppo assicurativo analizzato, ha messo in luce che: nell’ultimo decennio le dimensioni e la complessità interna del gruppo sono molto cresciute e con esse la necessità di evolvere verso modelli organizzativi più efficienti e moderni; nel contempo la funzione di revisione interna è evoluta in modo sincrono, avendo spostato progressivamente il proprio indirizzo dall’attività ispettiva obbligatoria alla ricerca di un ruolo più attivo di consulenza e di supporto. Questa evoluzione della funzione appare quanto mai opportuna nell’attuale periodo di congiuntura economica negativa, che impone alle imprese tagli ai costi ed il recupero di condizioni di competitività. Il ruolo attivo dell’internal auditing nella progettazione del sistema di controllo interno, stante i vincoli imposti dalla regolamentazione di vigilanza, si può concretizzare nella realizzazione dell’attività consulenziale e di supporto ai vertici direzionali e all’aree operative nonché attraverso un’azione di moral suasion che conduca a positivi follow up; di contro, nell’area ispettiva in senso stretto è prevalente la finalità di monitoraggio e valutazione del sistema di controllo interno. . 16 LA FUNZIONE DI CONTROLLO INTERNO E DI COMPLIANCE NEL CONTESTO ASSICURATIVO, RIFERITO AD UN GRUPPO QUOTATO: GRUPPO CATTOLICA ASSICURAZIONI Verona, 8 ottobre 2009