Compliance, funzione che aggiunge valore

UNIVERSITÀ DEGLI STUDI “ROMA TRE”
FACOLTÀ DI ECONOMIA
“Federico Caffè”
CORSO DI STUDI IN ECONOMIA AZIENDALE
Tesi di laurea
in Economia e gestione delle imprese
“COMPLIANCE, FUNZIONE CHE AGGIUNGE
VALORE”
RELATORE
Chiar.mo Prof.
Roberto Aguiari
CORRELATORE
Chiar.ma Dott.sa
Francesca Faggioni
LAUREANDO
Luca Gallo
Anno accademico 2005 – 2006
COMPLIANCE, FUNZIONE CHE AGGIUNGE VALORE
INTRODUZIONE………………………………….…………………………….5
1. FUNZIONE COMPLIANCE
1.1
Ragioni della compliance……………………………………...……………9
1.2
Il problema della conformità………………………………………………14
1.3
Compliance e “laws, rules and standards”, Gestione del rischio
amministrativo e di immagine……………………………………………..18
1.4
Corporate Social Responsibility (CSR)……………………………………23
1.5
Compliance funzione che aggiunge valore………………………………..40
2. LA FUNZIONE COMPLIANCE IN BANCA
Introduzione…………………………………………………..………….……..49
2.1
Integrazione della funzione compliance nell’organizzazione,
finalità e principi……………………………………………..………….52
2.2
Confronto e parallelismo tra compliance e gestione
dei rischi operativi in banca…………………………………......………63
2.3
Riflessi organizzativi e impatto della compliance
nelle banche di medio-piccola dimensione……………………..……….72
2.4
Requisiti quali-quantitativi definiti da Basilea 2
con particolare riguardo alle banche di prossimità……………...………74
2.5
Nuovi compiti compliance: MiFID……………………………...………87
2.6
Responsabilità “amministrativa” delle società
e modelli organizzativi; D.lgs 231/2001………………………….……..93
2.6.1
2.7
2
Adozione del modello organizzativo………….……………………….99
AICOM, Linee guida per il management……………………………….101
2.8
AICOM, Collocazione organizzativa, costi e benefici
della funzione compliance nelle banche che operano in Italia……...….104
3. COMPLIANCE E MANAGEMENT; GESTIONE DEL RISCHIO
3.1
Un approccio olistico alla funzione compliance……………….……….108
3.2
Il ruolo e le responsabilità del top-management:
diffusione della cultura compliance nell’organizzazione………..……..119
3.3
Enterprise Risk Management (EMR) e business continuità………..…..128
3.3.1 Compliance risk management…………………….…………….136
3.3.2 Operational risk management…………………………………..142
3.4
Metodologia e modelli di gestione………………………….…………..145
3.4.1
L’EMR COSO Framework………………………...…………..148
3.4.2
Il COBiT……………………………………………….………156
4. SARBANES-OXLEY
COMPLIANCE
E
ANALISI
DEI
COSTI/BENEFICI
4.1
The Sarbanes-Oxley Act of 2002……………………………………….165
4.1.1 Le disposizioni del SOA in materia di controllo
interno ed informativa societaria (sez. 302, 906 e 404)…………170
4.1.2 Obiettivi specifici del sistema di controllo ai fini
del SOA (sez. 302 e 404)………………………………………..181
4.1.3 La certificazione del revisore contabile (sez. 906)…………..….183
4.1.4 Relazione tra “disclosure controls and procedures”
e “internal control over financial reporting”………………….…190
4.2
I costi della Sarbanes-Oxley Act a confronto
con i benefici e le aspettative………………………………………..….191
4.2.1
Costi elevati per l’adempimento della sezione 404…………….195
3
4.3
I vantaggi di gestire la compliance con processi
automatizzati di amministrazione della funzione…………………..…..205
4.4
Compliance sostenibile, un approccio strategico genera benefici……...209
CONCLUSIONI………………………………………………………...……..220
APPENDICI…………………………………………………………..….……224
BILIOGRAFIA………………………………………………………..………227
WEBSITES…………………………………………………………….………240
4
‹‹Il problema dell’economia di mercato libera è che
richiede così tante guardie per farla funzionare››
Neal Ascherson
INTRODUZIONE
Le leggi da sempre riflettono i bisogni ed i valori attuali della società; di
conseguenza, la regolamentazione è una risposta, poiché raramente può anticipare
o immaginare le problematiche future, e ancora oggi richiede la definizione del
problema e l’identificazione di potenziali risoluzioni.
Il rispetto della legalità e della correttezza negli affari è, anch’esso, elemento
indispensabile dell’attività d’impresa, fondata sulla fiducia. Peraltro, l’evoluzione
dei mercati, finanziari e non, in termini di innovazione dei prodotti, di
trasferimento di rischi e di proiezione internazionale, rende più complessi
l’identificazione e il controllo dei comportamenti che possono costituire
violazione delle norme, degli standard operativi, dei principi deontologici ed etici
dell’attività di intermediazione.
Nel mutato contesto è necessario, da un lato, promuovere una cultura aziendale
improntata a principi di onestà, correttezza e rispetto non solo della lettera, ma
anche dello spirito, delle norme; dall’altro, approntare specifici presidi
organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e
di autoregolamentazione, richiedendo l’istituzione di un’apposita funzione di
prevenzione e gestione del rischio di violazioni delle richiamate prescrizioni.
Saper leggere i rischi, cogliere tempestivamente i segnali di cambiamento e di
pericolo, vale per il pubblico come per il privato, per lo Stato come per le aziende.
Oggi il cambiamento plasma ogni singola attività d’impresa. Il mutamento è
vissuto come una “costante” della vita d’impresa; la vera sfida sta perciò
nell’identificazione precoce dei cambiamenti esterni e interni, vissuti soprattutto
come opportunità. Non è più sufficiente monitorare ciò che accade dentro e fuori
l’azienda; è invece necessario individuare i segnali interessanti (o anomali) in un
contesto sociale, politico, amministrativo, culturale, tecnico, economico, ecc. di
movimento spesso vorticoso. Il business del presente e del futuro ha bisogno di
5
nuovi “sensori”, che completino il sostegno alle decisioni offerto dai sistemi MIS
(Management Information System).
Più che cambiare in tempo reale, c’è necessità di leggere in tempo reale ciò che
accade intorno a noi, per reagire prima che il pericolo si manifesti. È necessario
predefinire un modello che porti con sé la sicurezza, la trasparenza (in senso lato,
sia fisica che informatica) come elemento strutturale dell’azienda, e non più
rimanere alla sola imposizione del legislatore.
Da questo punto di vista, la compliance (la flessibilità, la capacità dell’azienda di
adeguarsi alle norme e alle leggi introdotte) agisce sull’innovazione della
sicurezza e della tecnologia nelle organizzazioni, riportando al centro le scelte
strategiche. Di compliance si è cominciato a parlare qualche anno fa con
l’introduzione negli Stati Uniti della Sarbanes-Oxley Act, poi di Basilea I e II in
Europa; ormai numerosissime sono oggi le norme e le leggi (pensiamo al d.lgs.
231/01 o al Codice della Privacy in Italia) che imbrigliano l’attività d’impresa e
costringono gli imprenditori a confrontarsi, forse per la prima volta, con
un’eccezionale complessità. Si tratta infatti di governare proattivamente il
cambiamento delle condizioni del contesto in cui l’azienda opera, non tanto per
evitare di trovarsi impreparati, quanto piuttosto per reagire con agilità alle novità
imposte da leggi, regolamenti e norme.
L’approccio proattivo alla compliance diventa innanzitutto una scelta che non può
prescindere dalla consapevolezza che ogni azione di governo messa in campo
diventi un’azione dalla durata teoricamente illimitata, subordinata all’esistenza
delle condizioni che ne hanno decretato la nascita, al tempo stesso però pronta a
trasformarsi in strumento di innovazione dei processi aziendali.
Governare un cambiamento incessante comporta costi elevati, sia in termini di
energie e risorse umane, che di costi di adeguamento da sostenere; la
contemporaneità degli adeguamenti richiesti fa sì che sia più economico ragionare
in termini di programmi e di processi di Compliance Management, piuttosto che
di progetti ad-hoc per singole regolamentazioni, alla ricerca di quell’iteratività che
permette di ottimizzare i costi. Fonti Gartner, per esempio, segnalano che prima
del 2007 il 75% delle società classificate “Fortune 500” si doteranno di una
governance capillare o di una vera e propria infrastruttura di compliance
(probabilità 0,8). Ci attende (e l’instabilità del contesto politico e sociale non fa
che dimostrarlo giorno dopo giorno) un periodo di progressivo inasprimento del
6
quadro normativo, la cui gestione è ancor più complicata per la necessità di
contemperare istanze locali e globali.
Il Compliance Management, agendo sui processi operativi di business, è uno
strumento di governo che va diffondendosi almeno tra le aziende più grandi,
costruito sui tre pilastri che rappresentano, ovunque, gli elementi costitutivi su cui
nascono e agiscono leggi e norme. Permette innanzitutto di capire processi e
politiche, poi di documentarli (come richiesto sempre dalle leggi e dalle norme),
infine di monitorarli e controllarne l’evoluzione. Oggi infatti non è più sufficiente
soddisfare i “requisiti base”; è necessario promuovere (e dimostrare di averlo
fatto) un’autentica cultura aziendale che realizzi (e difenda) l’integrità
dell’informazione, il management dei processi, la sicurezza dei dati, i requisiti di
privacy, la continuità del business. Trasparenza e conoscenza condivisa
rappresentano così i criteri base che informano il governo del cambiamento e tutte
le attività di sviluppo della compliance.
Per garantire la gestione della compliance così come è stata descritta,
multinazionali e aziende globali hanno già creato una funzione aziendale interna
dedicata; si tratta del Corporate Compliance Officer (CCO), chiamato anche Chief
Compliance Officer o Chief Governance Officer (talvolta alle dipendenze dirette
del Chief Risk Officer), al quale è affidato il compito di standardizzare gli
obiettivi di controllo e di verifica interni ed esterni, oltre a quello di seguire tutti i
cambiamenti e le innovazioni necessarie per assimilare le nuove regole e le nuove
politiche. Nelle situazioni più articolate, il CCO ha a disposizione un gruppo di
lavoro che si fa interprete delle tendenze di sviluppo delle regole e delle norme e
comunica con i consulenti e gli auditor per assicurare che il programma di
adeguamento e mantenimento prosegua.
Perché poi la compliance porti effettivi benefici al business (e non si trasformi
piuttosto in una specie di buco nero che drena energie e risorse economiche) è
indispensabile che sia trattata come un programma di sostegno all’operatività.
Supporti organizzativi, metodologia per il controllo dei processi, controllo dei
contenuti diventano i tre sostegni della corporate governance che più di altri
influenzano l’adeguamento alle nuove norme.
Accanto al CCO, talvolta in alternativa, numerose aziende scelgono oggi di avere
un IT Compliance Manager (ITCM), al quale affidare le scelte tecnologiche
necessarie per realizzare gli adeguamenti di legge richiesti e la cosiddetta
7
architettura per la compliance la cui costruzione non sempre richiede nuovo
software, più spesso richiede l’integrazione di applicazioni già disponibili,
utilizzando gli standard di riferimento. Le architetture per la compliance, inoltre,
supportano uno stile di management orientato alla prestazione; è il Corporate
Performance Management (CPM) che comprende i processi utilizzati per il
governo della Corporate Performance (dalla formulazione della strategia alla
definizione dei budget), le metodologie che guidano i processi individuati (per
esempio Balanced Scorecard o Valued-based Management), infine le metriche
utilizzate per le misure.
Realizzare strutture IT efficienti e flessibili è tuttora una delle prime dieci priorità
dei CIO, necessità che in questi anni si scontra con la difficoltà di disporre di
budget IT adeguati. L’azienda del Tempo Reale, infatti, si costruisce sulla
consapevolezza, la flessibilità, l’adattabilità e la produttività, cioè sui i
catalizzatori capaci di attivare e accelerare i processi. La consapevolezza
rappresenta la misura di quanto l’azienda davvero conosce delle informazioni e
delle attività necessarie a guidare l’intera struttura verso l’agilità. Il termine
flessibilità identifica la capacità di reagire ai cambiamenti previsti, mentre con il
termine adattabilità si intende la capacità di reazione all’imprevisto; infine la
produttività indica l’efficienza operativa dell’impresa. Flessibilità e agilità, in
particolare, superano la connotazione meramente produttiva e si trasformano in
elementi strutturali del tessuto sociale aziendale, chiamato ad adeguarsi al quadro
normativo senza stravolgere o mistificare la propria missione primaria, quella di
generare profitto. Ogni nuovo investimento finalizzato a ottemperare gli obblighi
di legge ha bisogno di trasformarsi in un investimento produttivo, che migliori la
prestazione; ecco perché il CPM è una componente critica della funzione di
compliance: senza la misura delle prestazioni non si misura l’impatto
dell’investimento sostenuto, non si può monitorare e controllare attivamente
l’azienda.
8
Capitolo 1
LA FUNZIONE COMPLIANCE
1.1
LE RAGIONI DELLA COMPLIANCE
Da sempre gli uomini si sono battuti contro altri uomini per mantenere l’ordine,
prevenire e risolvere conflitti, al fine di garantire un’equa distribuzione delle
risorse. In questo secolo la regolamentazione giuridica ha prevalso come
soluzione alle minacce all’ordine e alla giustizia.
Il rispetto della legalità e della correttezza negli affari è, da sempre, elemento
indispensabile dell’attività d’impresa, fondata sulla fiducia. Peraltro, l’evoluzione
dei mercati, finanziari e non, in termini di innovazione dei prodotti, di
trasferimento di rischi e di proiezione internazionale, rende più complessi
l’identificazione e il controllo dei comportamenti che possono costituire
violazione delle norme, degli standard operativi, dei principi deontologici ed etici
dell’attività di intermediazione.
Nel mutato contesto è necessario, da un lato, promuovere una cultura aziendale
improntata a principi di onestà, correttezza e rispetto non solo della lettera, ma
anche dello spirito, delle norme; dall’altro, approntare specifici presidi
organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e
di autoregolamentazione, richiedendo l’istituzione di un’apposita funzione di
prevenzione e gestione del rischio di violazioni delle richiamate prescrizioni.
Lasciando la piena discrezionalità nella scelta delle soluzioni organizzative più
idonee ed efficaci per realizzarli.
La funzione di conformità alle norme ha un’importanza determinante in termini di
creazione di valore aziendale, conseguibile attraverso il rafforzamento e la
preservazione del buon nome della società e della fiducia del pubblico nella sua
correttezza operativa e gestionale.
Nel perseguimento di questi obiettivi, l’attenzione delle aziende dovrà soprattutto
rivolgersi agli utenti dei beni e servizi offerti, non solo attraverso la puntuale e
coerente applicazione della disciplina posta a tutela della clientela, ma anche
9
assicurando loro un’informazione completa che promuova la consapevole
assunzione delle scelte.
Dotarsi di una funzione “Compliance” è divenuta quindi una necessità, non solo
perché le norme lo prevedono, ma soprattutto perché le sfide che si devono
affrontare lo impongono. Le dimensioni, la molteplicità e la diversità delle attività
svolte non cessano di crescere, le attività operative sono sempre più
decentralizzate. Tutto ciò comporta un notevole aumento dei rischi.
Nello stesso tempo l’ambiente si è evoluto. Gli scandali finanziari degli ultimi
anni negli Stati Uniti e in Europa, lo sviluppo dei mercati finanziari mondiali, i
rischi sistemici che potrebbero provocare perdita di fiducia nel sistema, le
richieste delle autorità di vigilanza, spingono per una sempre più elevata
autoregolamentazione e capacità di autocontrollo.
Le banche così come le altre realtà imprenditoriali, devono fare i conti con queste
normative trasversali, difficili da afferrare nei vari aspetti che le compongono
(giuridici, organizzativi, informatici, logistici, etc.), la cui violazione comporta
sanzioni particolarmente pesanti, anche di carattere penale, spesso irrogate
direttamente da distinte autorità che hanno competenza specifica su quella
materia. Senza contare l’impatto della violazione accertata all’immagine, alla
reputazione e, in ultima analisi, alla stabilità della società o dell’ente, valori
divenuti sempre più importanti e la cui sottovalutazione può comportare anche
danni economici ben superiori alle stesse sanzioni penali o amministrative subite.
Negli ultimi anni, sia a livello internazionale che nazionale, la cronaca finanziaria
ci ha permesso di assistere ad una serie di eventi, non difficilmente definibili
catastrofici, del settore.
Sono molteplici i motivi che hanno portato alla necessaria istituzione della
funzione compliance all’interno delle aziende, a partire dall’aumento delle
regolamentazioni in relazione ai diversi scandali e dagli ingenti danni subiti dai
risparmiatori, avvenuti sin dalla metà degli anni ’70 come lo scandalo Watergate,
fino ad arrivare ad oggi con gli scandali di Enron e Worldcom negli Stati Uniti e
di Parmalat, Cirio e Giacomelli in Italia.
10
Grafico 1.1 – Cronologia
A partire dall’inizio degli anni ’90 negli Stati Uniti a seguito dei disastrosi
scandali, la “compliance profession” nasce e si afferma negli uffici legali delle
grandi banche, delle assicurazioni e delle multinazionali, rafforzando i controlli
attraverso leggi che hanno aumentato il rischio per gli amministratori e il
management di tutte le imprese.
Nel caso della Enron, il titanico fallimento della regina texana è andata ad
intaccare la vita dei cittadini qualsiasi, travolgendo decine di migliaia di piccoli
risparmiatori, portandosi via 80 miliardi di dollari in valore di fondi pensioni,
riducendo in miseria almeno 11 mila dipendenti lasciandoli senza pensione, in
quanto il fondo pensione dei dipendenti della Enron, aveva investito in modo
sproporzionato in azioni e obbligazioni Enron. E tutto questo mentre il presidente
della società, Kenneth Lay, e i suoi amici al vertice, incassavano milioni di dollari
liquidando milioni di azioni e di obbligazioni prima che il pubblico sapesse le
reali condizioni in cui versava la società e prima ancora che il loro valore crollasse
da un massimo di 90 dollari ai 60 centesimi di oggi. Il disastro della società era
ben noto ai suoi dirigenti che preparavano i libri contabili a uso e consumo degli
auditors della Arthur Andersen, colpevoli, al minimo, di avere prese per buone le
carte che l'azienda dava loro. Esemplare caso dei rischi e dei prezzi che la
“deregulation” senza regole può far pagare.
Nel caso italiano migliaia di risparmiatori avevano dato fiducia a Callisto Tanzi e
soci, rimanendo travolti dal tracollo della società con conseguenze tangibili sulla
credibilità del sistema finanziario italiano. È subito venuta alla luce la gravità
11
dell’evento e delle sue possibili conseguenze sulla fiducia dei risparmiatori e di
conseguenza sull’economia del paese. Quando ormai si era compreso appieno la
truffa perpetrata per decenni da Parmalat e dai suoi amministratori, si è cercato di
capire cosa non abbia funzionato, quali siano state le lacune, le “maglie larghe”
nel sistema dei controlli che lo abbiano permesso. La politica, tra lunghi e accesi
dibattiti, ha cercato di rispondere alla sfiducia dei risparmiatori lavorando su una
nuova legge a tutela degli stessi, per ridare credibilità alla finanza italiana e non
permettere che in futuro si ripetano situazioni analoghe.
Questi sono solo un esempio delle crisi societarie che hanno fatto tremare dalle
fondamenta la finanza mondiale mettendo a nudo la facilità con la quale può
essere elusa qualsiasi normativa e ingannata qualsiasi autorità ad essa preposta,
smascherando la favola degli auditors infallibili, spezzando l'illusione della Borsa
come luogo ideale e sicuro per investire le pensioni.
Altre motivazioni alla compliance si possono trovare;

Nella diminuzione della presenza dello Stato, e dunque del controllo
sull’economia, attraverso le grandi operazioni di privatizzazione che negli
ultimi anni sono avvenute in Italia.

Nella necessità di dare un’immagine di azienda che rispetta tutte le leggi e
i regolamenti previsti, in quanto ciò aiuta ad aumentare la sensibilità della
clientela rispetto ai loro prodotti e
al fine di avere quella trasparenza
necessaria per mantenere alto il valore di borsa unitamente ai rapporti con i
propri stakeholders e con altri soggetti esterni (agenzie di rating, stampa,
analisti finanziari).

Nell’opportunità di far fronte alla crescita esponenziale, in molti settori,
degli enti regolatori nazionali e internazionali, come autorità indipendenti, ai
quali rispondere; Antitrust, Consob, Banca d’Italia, Authority per la privacy,
Authority per le Telecomunicazioni, Authority per l’Energia, ecc.

Nella constatazione dell’elevata crescita dei costi, relativi al costante
aumento di “laws, rules and standards” a cui bisogna uniformarsi. In questa
prospettiva implementare una funzione di compliance, se dapprima farà
registrare anch’essa un aumento dei costi di personale, di impianto, di
procedure, dovrebbe, in previsione futura, comportare una forte diminuzione
dei costi riferiti al controllo della conformità, ma non nel numero e nella
qualità dei controlli stessi, necessari al fine di condurre ad una sostanziale
12
diminuzione del rischio del manifestarsi di eventi negativi. Questo per effetto
della standardizzazione delle procedure informatizzate e dunque dei costi di
controllo umano.

Nel bisogno di creare una funzione al cui interno vi siano racchiuse
diverse professionalità: giuridiche, economico-aziendali, ingegneristiche e
altre professionalità tipiche del tipo di attività svolta dall’azienda. Definendo,
la relazione che la funzione Compliance deve avere con la funzione internal
audit. Si può supporre che, la funzione Compliance emani le direttive e che il
braccio operativo sia l’internal audit, senza però scartare la possibilità che la
stessa funzione di Compliance possa dotarsi di un certo numero di auditors,
anche se di numero molto inferiore rispetto a quelli presenti nell’internal audit.

Nell’esigenza di identificare chi deve nominare coloro che sono preposti a
tale funzione o meglio chi ne è il titolare. Questo rappresenta un punto molto
importante per definire i poteri che l’organizzazione intende affidare alla
nuova funzione. Definire a chi il responsabile della funzione compliance
debba riferire. Su questo ci sono almeno tre ipotesi:
♦
Deve rivolgersi all’Amministratore delegato o direttamente al
Presidente;
♦
Deve rivolgersi agli amministratori indipendenti;
♦
Deve rivolgersi al responsabile della funzione di internal audit
anche se in questo caso si creerebbe confusione in relazione al
rispetto dei livelli gerarchici.
In tale ambiente la funzione compliance ha la missione di vegliare affinché le
azioni intraprese dalle aziende siano coerenti con le regole di etica e deontologia,
con le disposizioni legislative e regolamentari e le proprie procedure interne. Per
poter raggiungere tale scopo è necessario che la funzione sia autonoma,
indipendente, professionale ed operativa e pertanto integrata nelle attività.
13
1.2
IL PROBLEMA DELLA CONFORMITÀ
Le leggi riflettono i bisogni ed i valori attuali della società; di conseguenza, la
regolamentazione è una risposta, poiché raramente può anticipare o immaginare le
problematiche future, e ancora oggi richiede la definizione del problema e
l’identificazione di
potenziali
risoluzioni. In
ambito
internazionale,
la
giurisprudenza non è l’unica forma di controllo sociale o di rivendicazione
normativa. Altre disposizioni comportamentali emergono dalla moralità, dalla
cortesia e dalle consuetudini sociali, che costituiscono parte delle aspettative
sociali.
Nella letteratura sulla regolamentazione, il termine “compliance” assume due
accezioni: quella principale verte sulle popolazioni di riferimento della
regolamentazione, sui limiti entro cui queste vi si conformano e le loro
motivazioni; la seconda è nata da un approfondimento sugli enti regolatori, sul
genere di strategie applicative normative impiegate e da impiegarsi.
Nel secondo caso, il termine compliance ha assunto un significato specialistico,
alquanto in contrasto con il primo, che guarda all’approccio regolatore, piuttosto
che alla risposta delle popolazioni di riferimento. Si tratta di un approccio
regolatore particolare che vuole garantire la compliance, contando soprattutto
sulla persuasione e cooperazione, anziché sulle sanzioni e pene legali.
Invece nel primo caso, la compliance definisce l’aspetto cooperativo e persuasivo
dell’attuazione regolamentare che, in quanto modello normativo, la pone a
confronto con l’approccio deterrente, il quale presuppone che le imprese operino
secondo i proprio interessi. Fin quando le aziende avranno come obiettivo
principale la massimizzazione del profitto, non potranno che essere degli amorali
calcolatori, rispettosi delle regole solo se le pene saranno abbastanza pesanti per
cui converrà evitarle, guardando alla compliance come al risultato di
un’equazione tra i benefici della “non-compliance” e la possibilità di venire
scoperti e puniti, in maniera severa. Nel complesso, si presume che le motivazioni
fornite dal metodo deterrente sono il timore della pena, piuttosto che il calcolo
razionale dell’onere potenziale delle pene e delle sanzioni.
Studiosi di legge ed economia assumono che tale approccio funzionerà solo in
presenza di ristrette circostanze: le aziende rivelano un’assoluta tendenza alla
massimizzazione del profitto; la giurisprudenza stabilisce senza ambiguità i
14
comportamenti scorretti; le pene legali forniscono l’incentivo primario alla
compliance aziendale; gli organismi esecutivi scoprono e puniscono i
comportamenti scorretti, utilizzando le risorse disponibili. Perlopiù queste
premesse non sono sempre valide, quindi un semplice modello deterrente non è
molto utile per spiegare cosa spinge le imprese a rispettare la legge, e questo sia
perché gli enti regolatori non sono così potenti ed efficienti come invece
dovrebbero essere per far funzionare l’approccio deterrente, sia perché vista l’alta
remunerazione e l’irrilevante penalizzazione di così tanti tipi di violazioni
aziendali, l’aspetto minatorio delle sanzioni non è abbastanza grave per distogliere
dalla non-compliance. Questo perché le conseguenze economiche della noncompliance, che non attirano l’attenzione su di se generando un qualche tipo di
crisi, vengono spesso trascurate da un management troppo occupato.
L’imposizione di pene consegue un miglioramento per la sicurezza delle imprese,
in quanto attira l’attenzione del management sul rischio che altrimenti sarebbe
stato trascurato. Solitamente, la razionalità limitata delle imprese e del top
management – cioè la capacità limitata delle persone e delle aziende nel trattare
informazioni nel corso di un processo decisionale – si riferisce al fatto che in
molti non valutano affatto la redditività razionale relativa alla compliance. Solo
nel caso in cui accadesse qualcosa che attiri l’attenzione sul rischio della noncompliance, l’approccio deterrente diverrebbe reale. Nell’eventualità di un
disastro di natura politica o economica, o qualora le aziende fossero abbastanza
grandi, affermate, altamente individuabili e quindi attente alla loro pubblica
immagine, solo allora sarebbe possibile un approccio di tipo deterrente.
Molte aziende sono incentivate a rispettare la legge, o ad apparire conformi ad
essa, così da conservare agli occhi del governo, del mercato e del pubblico una
certa legittimità.
Nel campo economico si cerca di attestare che gli individui e le aziende non
prendano decisioni sempre ed unicamente sulla base di calcoli finanziari, ma
considerino anche una varietà di altri fattori sociali ed ambientali, compresi i loro
valori e le aspettative altrui che ne influenzeranno le azioni.
Gli studiosi 1 hanno descritto tre forme di “isomorfismo istituzionale” che
chiariscono come le imprese utilizzino pratiche e strutture provenienti dal proprio
1
Il concetto di isomorfismo organizzativo è stato introdotto da Meyer e Rowan nel 1977
nell’ambito della teoria neoistituzionalista. Tale concetto indica i processi attraverso i quali
organizzazioni dello stesso tipo (università, ospedali,…) tendono ad assomigliare sempre più tra
15
contesto sociale, oltre quanto venga strettamente richiesto dai parametri finanziari
e tecnici in cui operano: si ha “isomorfismo mimetico” quando le imprese si
rifanno a strategie di apparente successo in altre simili compagnie; si ha
“isomorfismo coercitivo” quando le aziende sottostanno alle pressioni di soggetti
esterni potenti come lo stato; si ha “isomorfismo normativo” quando le imprese
importano le pratiche di compagnie professionalmente superiori. Questi
meccanismi mostrano come le aziende tendono ad adottare la compliance anche
quando non è propriamente nel loro interesse finanziario.
L’ipotesi che la maggior parte degli individui o delle imprese tende solitamente a
conformarsi alla legge per fiducia nel ruolo normativo e interesse personale a
lungo termine, è la base della teoria per cui sarebbe preferibile l’applicazione di
regole persuasive e cooperative piuttosto che punitive. Sebbene le strategie
persuasive e cooperative non siano sempre adeguate, in caso di successo, risultano
migliori delle sanzioni punitive, in quanto efficacemente ed effettivamente
producenti una compliance a lungo termine.
Una buona percentuale della ricerca empirica sociologica e psicologica converge
sull’assunto che le alternative informali e non coercitive sono potenzialmente più
efficaci delle disposizioni repressive nell’ottenimento della compliance alla
normativa a lungo termine. In tale contesto, la legislazione coercitiva risulta più
efficiente solo come soluzione di scorta o ultima risorsa.
L’attenzione degli studiosi si è quindi concentrata sull’analisi delle alternative alle
cosiddette strategie di comando e di controllo tradizionali, le quali si poggiano su
una semplice teoria deterrente. In particolare si tiene conto di un approccio
olistico alla regolamentazione, concreto e volto al risultato, cioè su ciò che
funziona, piuttosto che su posizioni puramente ideologiche riguardanti la forma
legale più auspicabile, e ad una verifica dell’efficacia delle strategie normative
che si avvarranno della complessità e della varietà delle motivazioni alla base
della compliance.
loro adottando strutture, strategie e processi simili. Meyer e Rowan osservano che in generale le
organizzazioni operano in un contesto altamente istituzionalizzato, che stabilisce normative e
criteri di razionalità ai quali le organizzazioni devono adeguarsi per potere essere giudicate
efficienti. Lo studio dei processi di isomorfismo è stato approfondito da Powell e DiMaggio, i
quali identificano tre tipi di isomorfismo, coercitivo, mimetico e normativo
16
La tesi più autorevole 2 sulla migliore combinazione di strategie normative è la
piramide delle strategie applicative, cioè una rappresentazione schematica del
pensiero secondo il quale, invece di usare prima le strategie normative più
drastiche, i regolatori dovrebbero stimolare i destinatari delle disposizioni,
incoraggiandoli a conformarsi volontariamente, adottando delle misure più
drastiche solo qualora dovessero fallire e tornare ad una condotta di responsabilità
solo in seguito al raggiungimento dell’obiettivo. La compliance è perfezionata da
una regolamentazione che risulta eventualmente cooperativa, esauriente e
tollerante. In questa dimostrazione, dare priorità nel tempo a delle soluzioni
normative ristoratrici e volte alla compliance, garantisce che le misure volontarie
e cooperative vengano usate più frequentemente, senza compromettere la
possibilità di adottare dei provvedimenti più duri laddove necessari.
Una tematica centrale all’attuale ricerca sulla regolamentazione, per comprendere
la compliance, consiste nel capire come le disposizioni governative interagiscano
con le altre forme direttive come l’autoregolamentazione, la consulenza interna e
le azioni di altre categorie come i gruppi professionisti (revisori, avvocati,
consulenti del lavoro), le autorità responsabili per l’emanazione di disposizioni,
imprenditori e associazioni industriali. Gli studiosi 3 utilizzano il concetto di
“pluralismo regolamentare” per spostare l’attenzione sul fatto che lo stato non è
l’unica fonte normativa. Questo interesse alle varie forme di regolamentazione ha
portato i ricercatori ad osservare nuovi settori, quali il sistema di consulenza
interna per la compliance, quello delle disposizioni sulla gestione aziendale,
quello dei terzi, in quanto tutori degli obiettivi politici, e quello degli incentivi alla
direzione della compliance.
Un argomento di interesse crescente sia per gli studiosi della compliance che per i
responsabili delle scelte politiche è l’aumentata applicazione dei sistemi aziendali
formali per la “regulatory compliance”.
I sistemi di compliance sono un’opportunità per l’impresa stessa di
responsabilizzarsi, rispettando gli obiettivi normativi, piuttosto che venire
appesantiti da ulteriori direttive. Un programma competitivo di compliance
2
Mizruchi, M.S., (1999), The Social Construction of Organizational Knowledge: A Study of the
Uses of Coercive, Mimetic, and Normative Isomorphism, in “Administrative Science Quarterly”,
dicembre 1999
3
H. Petersen, H. Zahle (eds.), 1995, “Legal Policentricity: Consequences of Pluralism in Law,
Darthmouth”, Aldershot.
C. Taralli, “Vicende del pluralismo giuridico tra teoria del diritto, antropologia e sociologia”
17
dovrebbe mirare alla compliance attraverso il raggiungimento concreto degli
obiettivi normativi, quali un ambiente più sano, un posto di lavoro più sicuro e dei
consumatori e risparmiatori ben informati. L’approccio della maggior parte dei
regolatori e delle imprese, in relazione alle questioni di compliance, non ha ancora
ottenuto le condizioni ideali postulate dalla dottrina.
1.3
COMPLIANCE E LAWS, RULES AND STANDARDS
Per affrontare questa nuova e non facilmente decifrabile funzione, originaria nel
mondo anglosassone, ma già in parte regolamentata in alcuni paesi dell’Europa
continentale, è bene partire dalla definizione fornita dal comitato di Basilea.
Nella sfera economica Basilea 4 definisce il “compliance risk”, come “An
independent function that identifies, assesses, advise on, monitors and reports on
the bank’s compliance risk, that is, the risk of legal or regulatory sanctions,
financial loss, or loss to reputation a bank may suffer as a result of its failure to
comply with all applicable laws, regulations, codes of conduct and standards of
good practice (together “laws, rules and standards”)”. Ovvero è un’attività che
identifica, valuta, consiglia, controlla e riferisce in merito al rischio di: sanzioni
legali o amministrative, perdite finanziarie, deterioramento dell’immagine della
banca per il mancato rispetto di leggi, regolamenti, procedure e codici di condotta,
best practices.
La definizione di Basilea conferisce alla funzione Compliance un ambito ampio e
diversificato, attribuendole una missione particolarmente onerosa.
In concreto i compiti attribuibili alla compliance, a partire dalle normative di
impatto generale sono così riassumibili:
 Assistere le strutture aziendali nell’applicazione dei regolamenti delle
rispettive attività;
 Segnalare le possibili ricadute che nuove regolamentazioni (leggi,
regolamenti e procedure) possono produrre sulle strutture e sulle
rispettive attività;
4
Bank for International Settlements. Basel Committee on Banking Supervision, “Compliance and
the compliance function in banks”, April 2005. www.bis.org.
18
 Contribuire alla soluzione di situazioni di non corrispondenza alle
norme rilevate nelle specifiche aree operative;
 Promuovere, ove ritenuto necessario e opportuno, interventi di audit
interno;
 Assicurare le relazioni con le autorità di controllo esterno;
 Diffondere una cultura compliance – ossia di conformità dei
comportamenti alle regole esterne ed interne, ivi comprese quelle
deontologiche
–
e
ciò
attraverso
interventi
formativi
e
di
sensibilizzazione di tutti i collaboratori dell’azienda;
 Stabilire standard e procedure che siano atti a ridurre la possibilità di
condotte illegali.
Naturalmente per svolgere tali compiti la funzione dovrà rapportarsi direttamente
al vertice aziendale e, in particolare, al consiglio di amministrazione, nonché
intrattenere stretti rapporti con l’audit, con l’operational risk e con il servizio
legale.
L’ambito dell’attività, oltre alle normative di impatto generale, riguarda in
generale: i rischi operativi, la “corporate governance” aziendale e, in una
accezione più ampia, estesa all’etica e alla deontologia di tutti i collaboratori
aziendali.
Si è in presenza di materie di carattere generale che impattano direttamente su
aspetti reputazionali, oltre che sanzionatori, e la cui disciplina presenta alcuni
tratti particolari e caratteristici di un preciso atteggiamento del legislatore:
 Si tratta di materie dove è rilevante l’aspetto di autoregolamentazione;
infatti è lo stesso legislatore che attribuisce alle imprese il compito di
introdurre regole interne e ciò anche in settori tradizionalmente pubblici,
come quelli affini alla regolamentazione penale (ad esempio nel caso del
riciclaggio e della responsabilità, ex d.lgs. 231/2001);
 Si evidenzia inoltre un impatto negoziale in quanto l’azienda al suo interno
nel dettare le regole deve coinvolgere i diversi interlocutori aziendali;
 Agli aspetti giuridici e negoziali si uniscono, con importanza sempre
crescente, gli aspetti organizzativi.
19
Un approccio di questo tipo può, in ultima analisi, condurre ad un cambiamento
strategico nella gestione del rischio, in quanto il percorso interno all’azienda può
avere come obiettivo finale quello di dotarsi di una funzione di compliance, a
fronte di una pluralità di funzioni coinvolte nella gestione dello stesso (audit, risk
management, organizzazione, aree di business).
Il rischio di non-compliance deve essere affrontato in maniera organica all’interno
dell’organizzazione attraverso una struttura “dedicata”, la funzione compliance
appunto, come per altro avviene già all’estero, Stati Uniti, Francia e Gran
Bretagna soprattutto.
Sono due gli aspetti sui quali bisogna soffermarsi; il primo riguarda il fatto che la
compliance non deve puntare alla mera interpretazione ed applicazione delle
norme ma, nelle materie di competenza, deve adottare efficaci norme interne e
interventi organizzativi, talvolta complessi, dedicandovi personale con specifiche
competenze giuridiche, economiche ed organizzative. Corollario di questa
impostazione è la altrettanto forte necessità di definire con chiarezza che tipo di
attività di controllo attribuire alla funzione compliance per evitare duplicazioni,
sovrapposizioni e contrasti tra le altre funzioni aziendali, soprattutto audit e
operational risks. In quanto, la funzione compliance assume ancora maggiore
efficacia nella misura in cui è indipendente e autonoma dalle altre funzioni.
Resta comunque predominante nelle compliance l’aspetto di funzione che opera
ex-ante e in modo proattivo nell’esaminare, valutare, dare impulso e adottare
soluzioni nelle materie a rischio compliance, passando da strumento che assicura
la mera conformità alla norma, a strumento che crea valore, realizzando per
l’azienda un vantaggio competitivo; il secondo importante aspetto, riguarda
l’organizzazione complessiva della compliance; in tal senso è indispensabile un
forte impulso da parte dell’intero vertice aziendale, che dovrebbe riguardare tutto
l’universo dell’impresa, dai vertici fino alle strutture operative, con un ruolo ben
definito, affidato ad un responsabile, strutturato e con ampi poteri di accesso alle
informazioni. Operazioni cosmetiche e di facciata hanno il fiato corto, aumentano
inutilmente i costi ed espongono l’azienda ad ulteriori e maggiori rischi di
sanzioni economiche e di ricadute negative sulla reputazione aziendale.
Questo approccio rappresenta una soluzione ottimale, consentendo una completa
articolazione di controlli e monitoraggio dei rischi, precisando che, così come
20
indicato nel documento di Basilea, l’adeguatezza e l’efficacia della funzione
compliance è sottoposta alla verifica e controllo dell’audit.
È comunque necessaria un’intensa collaborazione, e ciò anche in considerazione
della interrelazione tra le funzioni poste a tutela dei diversi rischi (solo a titolo di
esempio; l’audit ricomprende nella sua attività il controllo periodico sulla
compliance ed a sua volta in sede di ogni intervento ispettivo deve tra l’altro
verificare anche l’effettivo rispetto delle regole di compliance).
L’argomento della misurazione del contributo 5 che può fornire una funzione
compliance, al pari di quello delle altre funzioni di controllo o di staff, è un
argomento difficile da affrontare, ma sicuramente stimolante.
In generale, infatti, sono facilmente misurabili le attività contabilizzabili, ossia
quelle risultanti dal bilancio. In questo ambito, paradossalmente, la compliance
potrebbe essere misurata solo in negativo, almeno per la parte delle sanzioni e
delle perdite subite, o per la sua incidenza sui costi aziendali, derivanti dalla sua
non corretta applicazione. Ovviamente ciò non è soddisfacente in quanto, secondo
tale impostazione, l’attività sarebbe valutabile solo in presenza di oneri; è quindi
utile cercare di individuare dei possibili indicatori di performance della funzione.
Non si tratta di accademia, ma di una indagine necessaria finalizzata a definire
efficaci indicatori sia quantitativi che qualitativi della funzione.
Per quanto riguarda i primi, sono rinvenibili:
 Nel numero e importanza degli interventi di analisi e valutazioni
effettuate;
 Nella tempestività della reportistica ai vertici aziendali;
 Nella frequenza delle richieste di pareri e interventi da parte delle strutture
operative e non operative;
 Nel numero di interventi di sensibilizzazione e formazione effettuati,
nonché nel numero delle risorse coinvolte.
È necessario al riguardo, dotarsi di chiari ed efficaci strumenti organizzativi
preventivi ed a consuntivo; in sostanza, di un programma annuale che individui
con precisione attività ed interventi e, di una reportistica periodica ed a
5
Mauro Cicchinè, presidente Dexia Crediop, “funzione compliance: attività e indicatori di
performance”, convegno ABI, “modelli, strumenti e benchmark per la funzione compliance”,
Roma, 25-26 ottobre 2005
21
consuntivo, che sia in grado di evidenziare gli scostamenti, in più o in meno,
rispetto al programma.
Sicuramente più rilevanti e ancor più difficili da individuare e da misurare sono
quelli qualitativi, tra questi:
 Capacità innovativa nelle soluzioni prospettate;
 Proattività rispetto ai problemi affrontati;
 Autorevolezza acquisita nei confronti dei vari stakeholder interni ed anche
esterni;
 Presenza reale all’interno dell’azienda e dei diversi organismi decisionali;
 Certezza e efficacia degli interventi.
È da evidenziare che tali indicatori incidono sul rafforzamento dell’elemento
reputazionale dell’azienda.
Ancora, capacità di muoversi rapidamente nell’ambito di contesti normativi
interni ed esterni complessi, trovando soluzioni tempestive, efficaci e sostenibili
nel tempo. Sarebbe al riguardo interessante, ai fini di pervenire a forme di
misurazione con rilevanza anche esterna, inserire tra le materie oggetto di rating
(valutazione), la stessa attività di compliance, (attualmente rating specifici in
materia riguardano la sola corporate governance).
Un ultimo indicatore, straordinariamente importante, riguarda la formazione, sia
per il radicamento a tutti i livelli di una forte consapevolezza sulla “mission”
compliance, sia per lo sviluppo di competenze relazionali e deontologiche. Una
buona formazione trasmette i valori che sono alla base del patto sociale tra
azienda, clienti, dipendenti, volta allo sviluppo delle capacità di comportamento
etico da parte dei collaboratori.
Ciò significa rafforzare una cultura comune e un’identità aziendale sempre più
forte e fidelizzante, riducendo gli oneri per l’assunzione di nuove risorse e
fornendo un ulteriore strumento per attrarre i migliori talenti.
1.4
22
CORPORATE SOCIAL RESPONSABILITY (CSR)
Un punto di collegamento interessante da evidenziare è tra la compliance e la
responsabilità sociale d’impresa (CSR).
La compliance rappresenta le fondamenta sulle quali può essere costruita una
concreta politica di CSR; infatti, non si può parlare di azienda socialmente
responsabile se questa non rispetta le norme esterne e interne, se non assume
regole trasparenti di corporate governance, se non attua comportamenti
deontologici.
A sua volta l’azienda che sceglie di adottare politiche di CSR, deve essere in
grado di monitorarle nel continuo, di interpretarle e di diffonderle; ed a queste
attività può dare impulso la compliance.
È difficile trovare una definizione di CSR universalmente accettata 6, esistono in
letteratura varie proposte e varie interpretazioni, ma nessuna può, al momento,
ritenersi più autorevole di altre. Inoltre al concetto di "responsabilità sociale", se
ne affiancano spesso altri, apparentemente sinonimi, come "sviluppo sostenibile",
"integrità aziendale", approccio "triple-bottom-line", eccetera.
Anche l'abbreviazione CSR, dall'inglese "Corporate Social Responsibility", è
spesso utilizzata.
Dovendo spiegare in breve il valore attribuibile alla responsabilità sociale da parte
delle imprese che si vantano di perseguire questo scopo, bisognerebbe riassumere
le varie definizioni in un concetto di questo tipo, non certo di immediata
comprensione: "Al fine di evidenziare la propria gestione responsabile nei
confronti della popolazione e dell'ambiente in cui operano, le imprese integrano
nei propri interessi commerciali e nelle proprie operazioni gli aspetti sociali ed
ambientali su base volontaria, ed estendono questa preoccupazione anche a tutti
coloro che, identificabili sotto il termine anglosassone di stakeholder, portano
interessi all'impresa stessa, cioè influenzano il suo comportamento o sono
influenzati da esso."
Le imprese compiono pertanto un investimento sul capitale umano ed ambientale,
che coinvolge anche le condizioni di salute e di sicurezza sul lavoro dei lavoratori
ad ogni livello.
6
Roberto Ravaglia, Coordinatore Comparto “Gestione aziendale” dell'UNI (Ente Nazionale
Italiano di Certificazione), “Come può essere definita la responsabilità sociale delle imprese”.
23
Il COPOLCO 7, nel gruppo di lavoro che ha preparato un rapporto all'ISO 8 sulla
protezione del consumatore nel mercato globale, ha raccolto alcune definizioni,
presentandole con alcuni commenti.
Quella del "World Business Council on Sustainable Development 9" può essere
approssimativamente tradotta come il tentativo di un "business" di contribuire allo
sviluppo economico sostenibile, tramite il coinvolgimento degli operatori, delle
loro famiglie, della comunità locale e della società nella sua accezione più ampia,
con il fine di migliorare la qualità della vita. In quest'ottica, la responsabilità
sociale si associerebbe alla crescita economica e all'ecologia per contribuire allo
"sviluppo sostenibile".
Un'altra definizione insiste più sul collegamento delle decisioni legate alla
responsabilità sociale con il "business" derivato dai valori etici del rispetto degli
strumenti legali e della popolazione, delle Comunità e dell'ambiente.
Più semplicemente, il "Canadian Centre for Philanthropy" vede questo termine
come un insieme di pratiche di gestione aziendale che massimizzano gli impatti
positivi e minimizzano quelli negativi legati alle proprie operazioni.
La
"Corporate
social
responsibility
Newswire 10"
la
definisce
invece
"l'integrazione di tutte le operazioni di mercato e di tutti i valori in cui sono
rispettati gli interessi di tutte le parti coinvolte, includendo i clienti, i dipendenti, i
finanziatori e l'ambiente". Non resta che lasciare ad ognuno la scelta della
definizione che piace di più...
Tutte queste definizioni sembrano comunque ruotare attorno al concetto di "triplebottom-line", uno schema ambizioso per misurare e registrare le prestazioni
aziendali sotto il profilo economico, sociale e ambientale.
7
COPOLCO, Comitato ISO per le politiche dei consumatori
8
L'Organizzazione Internazionale per le Standardizzazioni (ISO) è un organismo internazionale
per la definizione degli standard, composto da rappresentanze di organi nazionali, che produce
standard industriali e commerciali a livello mondiale.
9
World Business Council on Sustainable Development, Associazione di 160 aziende
internazionali unite dal comune impegno per lo sviluppo sostenibile
10
CSRnews WIRE è una delle principali fonti della responsabilità sociale e sostenibile d’impresa,
con comunicati stampa, rapporti e informazioni, i cui membri sono aziende, agenzie e
organizzazioni sensibili al tema della CSR.
24
Figura 1.1 – Triple bottom line
Le imprese, negli ultimi decenni, hanno capito che la loro sopravvivenza e il loro
successo nel mercato internazionale non sono legati solo al raggiungimento di una
determinata performance in termini di profitto, ma anche all’assolvimento di
finalità di natura sociale.
Oggi, infatti, ad un prodotto non viene chiesto solo di avere un buon rapporto
qualità/prezzo, ma anche un basso impatto ambientale, un’equa retribuzione e
condizioni di lavoro accettabili per chi l’ha prodotto 11.
Da questo nasce una nuova importante “cultura d’impresa” che si sta diffondendo
nei giorni nostri: la responsabilità sociale d’impresa (RSI 12).
Per prima cosa bisogna chiarirne il significato e comprendere verso chi l’impresa
di oggi deve essere responsabile.
La Commissione Europea, nel 2001, definisce la RSI attraverso l’approvazione di
un Libro Verde, in questi termini:
11
Pilar Pérez, Divisione Normazione AENOR, “La responsabilità sociale delle imprese arriva alla
normazione”. Le organizzazioni esercitano quindi la responsabilità sociale dovendo soddisfare
come minimo le esigenze delle parti interessate. Investitori ed azionisti sono una "categoria
particolare di consumatori" ogni volta più consapevoli del modo in cui le aziende svolgono la
propria attività. Per questa ragione ci sono nel mercato strumenti quali gli indici “Dow Jones
Sustainability” e “FTSE4Good” che aiutano gli investitori a collocare i propri risparmi in
organizzazioni socialmente responsabili. Le politiche sociali ed ecologiche responsabili sono per
gli investitori un indicatore di una buona gestione interna ed esterna delle imprese.
12
Così verrà indica la Responsabilità sociale d’impresa nel corso del lavoro che si occuperà
principalmente del tema nelle aziende profit oriented. Per una dettagliata analisi dell’argomento
della Responsabilità sociale nelle aziende non profit di natura pubblica si rinvia a G. Farneti e S.
Pozzoli (a cura di), Bilancio sociale di mandato. Il ciclo integrato di strategia e controllo sociale,
IPSOA, Milano, 2005.
25
“La maggior parte delle definizioni della responsabilità sociale delle imprese
descrivono questo concetto come l’integrazione volontaria delle preoccupazioni
sociali ed ecologiche delle imprese nelle loro operazioni commerciali e nei loro
rapporti con le parti interessate.
Essere socialmente responsabili significa non solo soddisfare pienamente gli
obblighi giuridici applicabili, ma anche andare al di là investendo “di più” nel
capitale umano 13”.
Il termine “responsabilità” racchiude in sé l’impegno dell’impresa a rispondere di
tutti i propri comportamenti e risultati e a stabilire una comunicazione con gli
stakeholder che sia in grado di costruire un rapporto basato sulla fiducia e sullo
scambio di idee per il benessere comune.
Sottolinea inoltre come questo concetto debba andare ben oltre il mero rispetto
della legislazione vigente. L'incoraggiamento allo sviluppo di questo interesse
dovrebbe portare addirittura ad una crescita aziendale, in base agli aspetti positivi
che compensano abbondantemente l'apparente incremento dei costi.
Questi aspetti positivi sono la trasparenza, la miglior immagine sociale che si
ripercuote anche sulle possibilità più elevate di ottenere finanziamenti, il
miglioramento delle condizioni di lavoro e lo sfruttamento ottimale delle risorse
umane, che consentono prestazioni migliori o minor assenteismo, eccetera.
Facendo leva su queste voci è possibile, è intenzione della Commissione, ed è
interesse di ogni cittadino, avvicinare le imprese con convinzione alla
responsabilità sociale.
L’impresa è infatti responsabile verso tutti i suoi stakeholder, ossia verso tutte le
persone che hanno un interesse nei suoi confronti e sui quali si ripercuotono le sue
scelte.
13
Cfr. COMMISSIONE EUROPEA, Green Paper. Promoting a European Framework for
Corporate Social Responsibility, Bruxelles, Commissione Europea, 2001, p.7.
26
Figura 1.2- Stakeholders view dell’azienda
Nell’ultimo ventennio si sono sviluppate delle nuove teorie come la Stakeholder
Theory 14.
In questa ottica, recentemente, sono stati introdotti tre nuovi concetti connessi alla
RSI:
 sviluppo sostenibile: lo sviluppo che soddisfa i bisogni del mondo presente
senza compromettere la capacità delle future generazioni di soddisfare, a
loro volta, i propri bisogni 15;
 cittadinanza d’impresa: implica l’oltrepassare i propri doveri (“oltre la
legge”) per contribuire a creare benessere nella comunità in cui l’azienda
opera. La cittadinanza d'impresa si fonda sulla convinzione che non esiste
antitesi tra risultati economici di lungo termine e responsabilità sociale 16;
 triple bottom line: si propone di incorporare il concetto di sviluppo
sostenibile nella misurazione delle performance aziendali, significa che le
imprese dovrebbero sviluppare investimenti sostenibili e decisioni
14
Per un esame dettagliato si rinvia a T. Donaldson e L. Preston, “The Stakeholder Theory of the
Corporation:
Evidence and Implications”, Academy of Management Review, 1995.
15
Concetto sintetizzato per la prima volta nel Brundtland Report, World Commission on
Environment 1987.
16
M. Molteni (a cura di), Primo rapporto sulla Responsabilità Sociale d’Impresa in Italia, 2002.
27
societarie partendo dalla base (bottom), perseguendo simultaneamente tre
obiettivi (triple-line):
♦ un'equità sociale
♦ una qualità ambientale
♦ una prosperità economica.
Figura 1.3 – Triple bottom line
I fattori che hanno permesso il diffondersi della RSI sono principalmente di due
tipi:
 il diffondersi dell’idea dell’impresa come “attore sociale”: l’impresa non
riveste più un ruolo puramente tecnologico od economico, ma anche
culturale e morale;
 il diffondersi dell’etica come fattore competitivo: il cambiamento
dell’atteggiamento dei consumatori ha portato l’impresa a porre attenzione
anche ai valori 17.
In questo contesto competitivo, in continua evoluzione, l’impegno delle aziende
verso i propri stakeholder costituisce un importante fattore strategico alla base del
successo nel medio-lungo termine.
17
Cfr. A. Vaccari, Principi in pratica. Bilancio sociale e cittadinanza europea, Liocorno Editore,
Roma, 1998.
28
Figura 1.4 – Stakeholder value
Fonte: API Lecco, ALUB, Sviluppo Non Profit, Workshop “Responsabilità
sociale. Un scelta per l’impresa, Lecco, 17 febbraio 2005
Primi fra tutti sono appunto i consumatori a rivolgere alle aziende nuove richieste
di responsabilità sociale affiancandole alle domande tradizionali come la qualità
del prodotto, i servizi, ecc. Tutto questo viene testimoniato da un atteggiamento
più critico verso le imprese e dalla tendenza a punire quelle socialmente
irresponsabili attraverso, ad esempio, il boicottaggio degli acquisti dei loro
prodotti, come emerge da un’indagine condotta da Eurisko denominata
“Corporate social responsability Monitor 2004 18” (grafico 1.2 e 1.3).
Grafico 1.2 – Responsabilità “tradizionali” delle aziende
18
Il “Corporate social responsibility monitor” è un’ampia indagine internazionale condotta ogni
anno sui temi della responsabilità sociale delle imprese. Viene realizzata in 20 Paesi dagli istituti
che fanno parte del network GlobeScan di cui Eurisko è il partner italiano.
29
Grafico 1.3 – Responsabilità ambientali e sociali
La CSR si presenta quindi come la concretizzazione della filosofia gestionale del
stakeholder value, contrapposto all’approccio ben più limitato del shareholder
value, l’obiettivo dell’impresa è in questo caso quello di generare profitto, ovvero
valore per gli azionisti.
La novità significativa apportata negli ultimi anni, rispetto ad una concezione
“tradizionale” di CSR, è l’integrazione della dimensione economica della CSR,
che viene spesso riportata sotto il concetto di corporate governance, in altre parole
“il buon governo” dell’azienda, inteso come rispetto di norme base di
comportamento al vertice aziendale in cui gioca il suo ruolo la compliance
(struttura, ruoli e comportamento del CdA, correttezza e massima trasparenza
nella gestione finanziaria, nel reporting finanziario e nella comunicazione
d’impresa, ecc..).
30
Figura 1.5 – Step di sviluppo della RSI
L’impegno assunto dalle imprese che, quindi, “volontariamente” decideranno di
seguire il modello della responsabilità sociale si concretizzerà in un
comportamento ecologicamente ed eticamente corretto: “l’eco e l’etico
compatibilità” diverranno i due principi fondanti dell’orientamento strategico
dell’impresa, e troveranno applicazione nella totalità degli ambiti della gestione
aziendale, divenendo il perno della gestione ed amministrazione delle risorse
umane, della fase di pianificazione e produzione, e della fase del marketing,
venendosi a creare una visione etica d’impresa.
L’ impresa può essere considerata il frutto della cooperazione tra differenti
soggetti, gli stakeholders, che istituiscono rapporti mediante diverse forme
organizzative e contrattuali, esplicite o implicite, per raggiungere uno scopo
comune. La missione aziendale risponde all’esigenza di definire ed identificare lo
scopo della cooperazione tra gli stakeholders. I valori sono tratti culturali che
identificano l’impresa come insieme organizzato di individui volti al
perseguimento della missione. La visione etica dell’impresa riunisce e supera sia
missione che valori. Il rapporto di cooperazione che si instaura fra i diversi
stakeholders si caratterizza per due fattori importanti:
 i soggetti che aderiscono hanno interessi in parte concordanti e in parte in
conflitto;
31
 ciascun soggetto si attende di beneficiare del risultato dell’attività
cooperativa, in quanto fa investimenti (di capitale, lavoro, conoscenza,
ecc.) per il raggiungimento dello scopo comune.
Dal momento in cui esistono aspettative ed attese legittime in parte contrattuali,
occorre dare ad esse un riconoscimento (parziale o completo) mediante la
definizione dei diritti e delle responsabilità che l’impresa stabilisce nei confronti
dei suoi stakeholders.
È necessario definire dei criteri di bilanciamento fra le pretese legittime degli
stakeholders, in modo tale che ciascuno possa ritenere di essere stato trattato
giustamente,
ricevendo
un’equa
remunerazione
rispetto
all’investimento
compiuto. La visione etica è l’idea di giustizia propria di una particolare impresa
da cui deriva il criterio di valutazione e bilanciamento delle pretese degli
stakeholders e in base alla quale si decidono i comportamenti responsabili che
l’impresa deve tenere nei loro confronti.
Una tale visione esprime quindi l’idea di “contratto sociale” fra l’impresa e i suoi
stakeholders e costituisce un punto di equilibrio imparzialmente accettabile da
ciascuno, in base al quale ogni stakeholders può liberamente decidere di
contribuire o almeno non ostacolare il perseguimento della missione.
L’enunciazione dell’insieme dei diritti, dei doveri e delle responsabilità
dell’impresa nei confronti di tutti i suoi stakeholders, viene racchiusa nel Codice
Etico. Esso contiene i principi e le norme di comportamento, mediante le quali si
dà attuazione ai principi, che arricchiscono i processi decisionali e orientano i
comportamenti dell’impresa. Il codice etico esprime il “contratto sociale ideale”
dell’impresa e traduce in principi e norme operative i criteri etici adottati nel
bilanciamento di aspettative ed interessi degli stakeholders.
Per questo il Codice Etico è uno strumento di governo delle relazioni tra l’impresa
e i suoi stakeholders e di gestione strategica oltre che un insieme di regole di
condotta per il personale. Inoltre è il parametro di riferimento per esprimere
giudizi sensati e ragionevoli sulla affidabilità e buona reputazione dell’impresa.
Il Codice Etico è un documento ufficialmente approvato dal C.d.A che impegna
l’alta direzione e tutti i collaboratori dell’impresa. È infine uno strumento
volontariamente adottato dall’impresa.
32
Funzioni dello strumento:
 Funzione di legittimazione morale: i diritti e le responsabilità dell’impresa
nei confronti degli stakeholders espressi nel Codice Etico, offrono i
termini in base ai quali tutti gli stakeholders possono riconoscere che le
loro aspettative ed attese legittime sono trattate equamente. Il criterio di
bilanciamento delle attese diventa la base per un accordo sulla
cooperazione mutualmente vantaggiosa.
 Funzione cognitiva: il Codice Etico, attraverso l’enunciazione di principi
astratti e generali e di regole di comportamento precauzionali, consente di
riconoscere i comportamenti non etici (opportunistici) e di chiarire
l’esercizio appropriato (non abusivo) dell’autorità, della discrezionalità,
della delega e dell’autonomia decisionale di ciascun partecipante
all’organizzazione e di ciascun stakeholders.
 Funzione di incentivo: il Codice Etico genera incentivi all’osservazione
dei principi e delle regole in esso contenute, dal momento che dalla loro
osservanza dipende il formarsi della reputazione dell’impresa e lo stabilirsi
di relazioni di fiducia reciprocamente vantaggiose tra l’impresa e gli
stakeholders.
Il contenuto: il Codice Etico contiene le seguenti parti:
 Preambolo: fornisce in primo luogo, una definizione di Codice Etico,
incorpora la missione e la visione etica dell’impresa e un elenco completi
degli stakeholders dell’impresa;
 Principi etici dell’impresa: definiscono le aspettative dei vari stakeholders
che si ritiene debbano avere una legittimità morale nei confronti
dell’impresa e il loro livello di soddisfazione. I principi stabiliscono quale
livello di soddisfazione equa delle aspettative è un diritto dello
stakeholders, rispetto al quale l’impresa si assume una responsabilità e il
trattamento equo delle aspettative di ciascun stakeholder. Stabiliscono le
responsabilità, cioè i doveri fiduciari, dell’impresa nei confronti dei suoi
stakeholders. I principi richiedono conformità e reciprocità. La richiesta di
conformità è essenziale perché da essa dipende la reputazione
dell’impresa. Tutti i soggetti che contribuiscono alla realizzazione della
33
missione sono chiamati all’osservanza delle norme del Codice Etico che li
riguardano.
 Norme e standard di comportamento: esse devono essere formulate solo
dopo aver accuratamente identificato ed analizzato le aree critiche nei
rapporti con gli stakeholders, cioè le questioni e le situazioni in cui
possono manifestarsi casi di opportunismo o di comportamento non etico.
Occorre individuare le fattispecie astratte di opportunismo o di
comportamento non etico “tipiche” dell’attività aziendale. Le norme
possono essere di 2 tipi: divieti e standard preventivi di comportamento.
 Procedure di attuazione e controllo: contiene una descrizione analitica dei
meccanismi e degli organi predisposti dall’organizzazione al fine di
attuare, monitorare e diffondere il rispetto e le conformità al Codice Etico.
Organi di attuazione e controllo: Comitato Etico aziendale e Ethics
Officer.
 Revisione delle policies e procedure aziendali alla luce dei principi e
degli standard di condotta: l’intero edificio delle norme interne e delle
raccomandazioni deve essere coerente e per questo i principi e gli standard
generali di condotta restano essenziali per:
1) Valutare ex ante volta a volta le decisioni che devono essere prese
mediante l’esercizio di un “saggio” giudizio etico manageriale;
2) Giudicare ex post i comportamenti.
È fondamentale che la comunicazione all’interno e all’esterno permette al Codice
Etico di diventare determinante ed efficace nelle decisioni e nei comportamenti
aziendali, il che vuol dire farlo diventare patrimonio della cultura d’impresa. A
questo scopo si rende necessario informare e formare tutto il personale (dai
dirigenti ai neoassunti) tramite incontri che facciano innanzitutto conoscere
l’esistenza del Codice e i suoi contenuti e quindi insegnino ad applicarlo. Il
Codice Etico va infine comunicato anche agli altri stakeholders rilevanti, che
possono così giudicare, su tale base, i comportanti dell’impresa e richiederne a
loro volta una conformità.
La formazione etica in azienda si rivolge ad ogni membro dell’organizzazione, al
fine di metterlo in condizione di padroneggiare gli strumenti del ragionamento
morale necessari a discutere ed affrontare le questioni etiche connesse alle attività
34
aziendali e indispensabili per l’attuazione degli strumenti Q-RES 19, che se adottati
volontariamente, possono rappresentare per l’azienda un vantaggio competitivo ed
accrescerne e migliorarne la reputazione.
Il modello Q-RES prevede sei strumenti per il management della qualità etico
sociale;
♦ visione etica d’impresa;
♦ codice etico;
♦ formazione etica;
♦ sistemi organizzativi di attuazione e controllo;
♦ rendicontazione etico sociale;
♦ verifica esterna.
Ogni strumento è giustificato dalla sua funzione nel meccanismo della reputazione
ed è finalizzato ad accrescere la fiducia degli stakeholder verso l’impresa. Nelle
linee guida 20 sono definiti i criteri di eccellenza per ogni strumento, alla luce di
standard e le “best practice” esistenti.
 Le imprese assumono impegni in termini di responsabilità etico-sociale,
che vengono espressi per mezzo della dichiarazione della visione etica e
dell'elaborazione del Codice Etico d'impresa;
 Gli impegni vengono ulteriormente specificati in relazione alle aree
critiche nei rapporti con gli stakeholders e sono integrati nello svolgimento
dell'attività aziendale tramite la revisione delle strategie, delle politiche,
delle norme di comportamento e delle procedure;
 I collaboratori vengono informati degli impegni assunti dall'azienda e
vengono dotati degli strumenti cognitivi per la loro comprensione,
condivisione e applicazione tramite la comunicazione interna e le sessioni
formative;
19
Nell'approccio Q-RES alla responsabilità etico-sociale d'impresa il criterio di bilanciamento è
dato dall'idea del “contratto sociale” equo ed efficiente tra l'impresa e tutti gli stakeholder. Il tavolo
di lavoro Q-RES è formato da: CELE - Centre for Ethics Law & Economics; A.I.I.A.Associazione Italiana Internal Auditors; A.I.O.I.C.I. - Associazione Italiana Organismi
Indipendenti; Bosch Rexroth; Certiquality; Coop Adriatica; Coop Consumatori Nordest; Enel;
Glaxowellcome; Lindt; PWC; KPMG; SCS Azionninova; Sodalitas; Unicredito; Unipol.
20
Progetto Q-RES: La qualità della responsabilità etico-sociale d’impresa, linee guida per il
management, ottobre 2001, CELE – Centre for Ethics, Law & Economics.
35
 Tramite la formazione e i sistemi organizzativi bottom-up l'impresa cerca
di trasformare in prassi i principi etici dichiarati e di trasferire il suo
commitment
verso
gli
stakeholders
nei
comportamenti
effettivi,
riorientando la sua azione e performance economica in modo da renderla
coerente all'insieme dei valori e delle norme assunte;
 Tramite i sistemi organizzativi top-down, come ad esempio l'audit etico
interno, l'impresa realizza il controllo sulla compliance, svolgendo
indagini statistiche su aree a rischio etico, raccogliendo segnalazioni e
stabilendo eventuali sanzioni;
 Attivando il processo di rendicontazione l'impresa è in grado di misurare e
valutare la sua performance, cioè il grado di conseguimento dei risultati, e
di comunicarli agli stakeholders;
 La comunicazione sociale agli stakeholders permette loro di valutare la
corrispondenza tra impegni dichiarati nel codice e comportamenti
osservati per mezzo delle interazioni e della comunicazione sociale e
conseguentemente di aumentare la loro fiducia nell'azienda nella misura in
cui le azioni sono conseguenti ai principi e alle norme stabilite;
 L'accertamento della qualità degli strumenti di RES adottati dall'impresa,
tramite attività di verifica, infine, rende ancora più credibile l'impegno
dell'impresa.
Il Codice Etico è la base dell’intero meccanismo di reputazione su cui si fonda il
modello Q-RES ed è lo strumento che giustifica anche gli altri elementi. Infatti, la
formazione si rende necessaria per comprendere e applicare il ragionamento etico,
la rendicontazione ha lo scopo di misurare la performance etico-sociale e di
comunicare i risultati conseguiti o meno nel perseguimento del commitment; i
sistemi organizzativi di attuazione e controllo hanno la funzione di integrare gli
obiettivi e le strategie di business, e di attuare la verifica e il controllo della
conformità alle regole, ossia verificare sia la conformità delle azioni e dei
comportamenti alle norme di condotta, sia la revisione delle procedure aziendali
operata alla luce del Codice Etico (controllo della compliance).
Il messaggio che porta con sè questa nuova visione è che la CSR, inserita nella
strategia aziendale in modo opportuno, può permettere all’impresa di rafforzarsi
aumentando la creazione del valore.
36
Attraverso la RSI l’impresa deve riuscire a conciliare competitività e sostenibilità.
Uno degli strumenti usati dalle aziende per rendicontare l’impatto delle proprie
decisioni sulle comunità e sugli individui è il Bilancio sociale.
La valutazione della performance di un’impresa non può più limitarsi solo
all’analisi economica, ma deve anche riguardare quella ambientale e in particolar
modo quella sociale.
Il Bilancio Sociale integra il sistema della comunicazione d’azienda e si configura
come uno strumento utile al fine di dare espressione al processo di
responsabilizzazione dell’azienda nei confronti degli stakeholder. Questo è uno
strumento aziendale che, attraverso valori quantitativi e qualitativi, rende conto
dell’impatto complessivo che le azioni dell’azienda determinano nel contesto in
cui opera, ed è in grado di rispondere ai nuovi valori di trasparenza, concretezza e
lealtà che i consumatori sempre di più pretendono dalle imprese del nuovo
millennio.
Lo strumento che consente di far fronte a questa esigenza di comunicazione è il
bilancio sociale che costituisce un documento complementare al bilancio
d'esercizio. Esso attesta la certificazione di un profilo etico che legittima il ruolo
di una impresa, comunicando affidabilità, capacità di investire e creare lavoro,
dimostrando attenzione e sensibilità al contesto socio-economico in cui opera.
In particolare il bilancio sociale deve:
♦ Fornire informazioni sulla proprietà dell'impresa;
♦ Evidenziare le caratteristiche della cultura aziendale comunicando il
sistema di valori di riferimento della propria organizzazione;
♦ Far risaltare l'azienda come organismo utile, operante nel rispetto delle
condizioni ambientali e delle aspettative degli interlocutori interni ed
esterni;
♦ Illustrare il valore aggiunto prodotto e la sua distribuzione tra coloro che
hanno contribuito al processo produttivo;
♦ Far conoscere i mezzi impiegati per valorizzare le persone, l'innovazione
tecnologica, l'attività di formazione, l'igiene e la sicurezza sul lavoro, la
prevenzione dei rischi ambientali.
37
Il Bilancio sociale è un report che le aziende sempre di più affiancano al bilancio
d’esercizio, al fine di integrare il sistema informativo dell’azienda con
informazioni sociali ed ambientali. (fig. 1.5).
Figura 1.6 – Dove si colloca il Bilancio Sociale
Adattamento da: L. Hima (a cura di), Il bilancio sociale, settori e valenze; modelli di
rendicontazione sociale,gestione responsabile e sviluppo sostenibile; esperienze europee
e casi italiani, Il Sole40ore, Milano, 2002, pag 5
Mentre lo scopo del bilancio d’esercizio è quello di rappresentare la situazione
economica, finanziaria e patrimoniale dell’impresa alla fine dell’esercizio, quello
del Bilancio sociale è di rendicontare a tutti gli stakeholder dell’impresa, i risultati
dei suoi comportamenti e delle sue azioni in tema sociale ed etico. Il Bilancio
sociale, in sostanza, risponde alla domanda “cos’ha fatto l’impresa per tutti i suoi
interlocutori?”. Entrambi i documenti sono consuntivi, ma mentre il primo
contrappone costi e ricavi dal punto di vista economico, il secondo mette in
rapporto (attraverso valutazioni contabili o extracontabili, indicatori e dati) la
quantità e la qualità di relazione tra impresa e stakeholder, evidenziando i
vantaggi e il valore che essa ha prodotto per determinate categorie di interlocutori.
In questo senso in letteratura è frequente leggere che con il Bilancio sociale si è
passati dalla valutazione della “one bottom line”, all’analisi più globale della
“triple bottom line”. Ciò sta a significare che, mentre nel bilancio d’esercizio si
trova rappresentata la sola dimensione economica, in quello sociale si è passati ad
uno studio tridimensionale dell’azienda indagata sotto il profilo economico,
sociale e ambientale (fig. 1.6).
38
Figura 1.7 – Evoluzione della valutazione
ONE BOTTOM LINE
TRIPLE BOTTOM LINE
Dimensione
economica
Dimensione
economica, sociale
ambientale
Bilancio d’esercizio
Bilancio sociale
Alla base del Bilancio sociale c’è infatti la consapevolezza che la contabilità
ordinaria non basta per descrivere la complessa attività dell’impresa; se nel
bilancio ordinario l’impresa è un sistema che va osservato per la sua unicità, per il
bilancio sociale è una serie coordinata di eventi sociali (tavola 1.1).
Tavola 1.1 – Il bilancio sociale e il bilancio di esercizio
39
1.5
COMPLIANCE, FUNZIONE CHE AGGIUNGE VALORE
Creare valore per l’azienda significa che la funzione compliance è riconosciuta
come una funzione che non costituisce unicamente un Centro di Costo, ma che
riesce invece a creare un vero valore aggiunto, sia tramite il delivery che la
funzione è in grado di erogare direttamente, sia attraverso le competenze indotte,
capaci di creare un ambiente protetto nei confronti dei rischi che incombono
sull’intera Azienda. Si viene così a creare uno shift culturale necessario per
affrontare in modo consapevole i rischi operativi, riuscendo ad acquistare il
riconoscimento da parte degli stakeholder ed essere percepito come una funzione
capace di garantire modalità sicure per fare business.
La “cultura della compliance” può contribuire attivamente alla creazione di valore
attraverso il perseguimento di obiettivi, da un lato orientati a minimizzare il
rischio ad essa correlato, mediante l’implementazione di presidi e attività di
controllo dei potenziali eventi dannosi, e dall’altro indirizzati a evitare che tali
attività di controllo si trasformino in un livello di verifica burocratico, inefficiente
e incompatibile con lo svolgimento dei processi produttivi aziendali. Per tali
motivi le aziende devono realizzare lo sviluppo di adeguate tecniche di
rilevamento e valutazione dei rischi, di implementazione di presidi efficaci e
flessibili e di misurazione dei positivi effetti generati da tali presidi.
In generale, la percezione del valore aggiunto fornito dalle funzioni di controllo è
notevole, come si può ben vedere dalla figura 21
Grafico 1.4 – valore aggiunto delle funzioni di controllo interno e legal
21
Organizzazione delle funzioni di controllo interno presso le banche ed i commercianti di valori
mobiliari con particolare riferimento alla funzione di compliance Lavoro basato su un‘indagine
condotta nel mese di maggio 2006 presso tutte le banche e i commercianti di valori mobiliari in
Ticino
40
I valori vanno da 1 (nullo) a 5 (fondamentale), laddove il valore 3 rispecchia un
valore aggiunto “rilevante”.
In particolare la Compliance è percepita come un’importante funzione per il
successo dell’azienda. La così alta percezione del valore aggiunto di queste
funzioni, non generanti direttamente ricavi da parte delle aziende, è indice
dell’importanza che le Direzioni aziendali attribuiscono al buon funzionamento
del Sistema di Controllo Interno e della funzione Compliance.
In un’epoca in cui lo shareholders value è la principale grandezza di riferimento
per i top manager delle aziende, questa risposta può significare il riconoscimento
di valore ad una componente immateriale come la reputazione.
In altri termini, ragionando in analogia con uno dei più diffusi e riconosciuti
metodi valutativi (il cosiddetto discounted cash flow o DCF), valorizzare i
controlli interni significa valorizzare il fatto di diminuire la probabilità di eventi
generanti costi in futuro, che se attualizzati riducono il valore dell’azienda già dal
presente.
Figura 1.8 – Rischio di reputazione
41
Tale concetto, può essere compreso con l’esempio di due società che sono in
vendita oggi, le quali hanno la stessa identica redditività attuale e futura, e che si
differenziano solo nel fatto che, una dispone di controlli interni e di una
compliance molto più efficace dell’altra. Il prezzo che un investitore sarebbe
disposto a pagare oggi per l’azienda con i controlli interni e una funzione
compliance inefficace, sarà inevitabilmente più basso, perché quest’ultima corre
maggiormente il rischio di subire perdite nel futuro.
Tutta questa valorizzazione dell’importanza di una funzione compliance, può
quindi essere solo di auspicio per un sano ambiente di mercato, ed è perfettamente
in linea con i trend internazionali. Lo studio eseguito a livello internazionale da
PwC 22 evidenzia che le aziende percepiscono un forte valore aggiunto da parte
della Compliance, anche se nessuno ha ancora sviluppato un metodo sistematico
di misura del valore finalizzati alla quantificazione di questi vantaggi di tipo
indiretto, a cui diverse organizzazioni internazionali stanno lavorando. Chiedendo
se la compliance è vista come un “add value” per la propria organizzazione,
queste hanno risposto per il 78% di credere nel valore aggiunto della compliance,
anche se, il 22% di loro ha evidenziato una difficoltà della sua misurazione. La
difficoltà nella misurazione del valore della funzione compliance deriva dal fatto,
che tale rilevazione del valore segue una logica inversa, cioè del mancato
verificarsi di eventi non-compliant.
Il conglomerato europeo crede che “una funzione di compliance efficace permette
all’azienda di raggiungere i propri obiettivi, non solo impedendo che l’azienda
subisca danni, ma anche aumentando la capacità stessa dell’azienda di durare nel
tempo”. Tenendo conto inoltre che, la compliance è una necessità legale e una
funzione di controllo troppo acerba affinché il relativo valore possa essere
riconosciuto dal business. Come sottolineato da una importante organizzazione
europea, “il valore reale della politica sicurezza, è realmente apprezzato solamente
quando qualcosa va male”.
22
PricewaterhouseCoopers, Protecting the brand – The evolving role of the compliance function
and the challenges for the next decade, May 2005.
42
Tavola 1.2 – How compliance adds value
La funzione compliance contribuisce quindi alla creazione di valore, comportando
dei benefici, in via diretta per gli stakeholders, e indirettamente per tutti i
potenziali shareholders, attraverso strategie orientate;
 all’utilizzo di tecniche di quantificazione ex ante e di misurazione ex post,
che contribuiscono al raggiungimento degli obiettivi aziendali delle
diverse unità operative, ai fini di un’efficiente allocazione del capitale;
 alla disponibilità di accurate informazioni quantitative, oltre che
qualitative, sui profili di rendimento, ma anche sui rischi rilevanti a cui è
esposta l’azienda
 alla definizione e attuazione di strategie di mitigazione, mirate a ridurre le
perdite causate da fattori di rischio individuati.
In sintesi, le tre principali direttive di creazione del valore da parte della funzione
compliance sono:
1) per l’azienda, l’accresciuta consapevolezza dei rischi della gestione
aziendale permette un controllo più attento delle eventuali perdite
monetarie derivanti da multe e sanzioni o di eventuali contrazioni dei
43
ricavi o dei volumi di vendita indotti da una perdita di fiducia della
clientela e incide positivamente sui processi di valutazione delle società di
rating e sul costo del funding;
2) per i clienti, rappresenta un fattore di valorizzazione del rapporto
fiduciario alla base dei processi di intermediazione;
3) per il mercato, una maggiore tutela ne accresce la credibilità.
In un report 23, Jim DeLoach, manager director della Protiviti, asserisce che ogni
organizzazione
dovrebbe
rivalutare
quell’approccio
che
considera
una
implementazione delle regolamentazioni attraverso una attività ad hoc per
adottare un processo redditizio, sostenibile e a continuo valore aggiunto. Il senior
management non dovrebbe incorrere
nell’errore di limitare l’attenzione alla
compliance delegandone la responsabilità al middle management attraverso un
mandato, con l’obiettivo di ridurne i costi, in quanto i vantaggi derivanti dalla
compliance vanno oltre il semplice alleggerimento dello sforzo di conformità.
Il rischio rilevato è che le aziende progettino un processo continuo di compliance
intorno ad una struttura interna di controllo ad alto costo e questo non
permetterebbe di raggiungere i risultati che la maggior parte dei dirigenti desidera.
La soluzione a tale rischio va verso la transazione dal “progetto al processo” con
l’intento di aggiungere valore alla SOA compliance migliorandone la sostenibilità.
Secondo lo studio, nove CFO su dieci, affermano che i costi di conformità alla
Sezione 404 della SOA superano i benefici. La mancanza di progettazione,
l’insufficienza di personale ed il conseguente sovraccarico di lavoro, sono state il
frutto di un approccio alla conformità nel primo anno, in gran parte ad hoc,
caotico e disordinato. Ciò provocò ritardi nell’aggiornamento dei sistemi di
contabilità, scarsità di risorse e il disaccordo tra l’amministrazione e i revisori
contabili. Il primo anno di attuazione della compliance sec. 404 non può
considerarsi modello di efficienza. Inoltre coloro preposti alla definizione degli
standard hanno impiegato troppo tempo per la pubblicazione delle linee guida
rivolte agli auditors esterni. Ciò ha comportato una più difficile comprensione del
processo di implementazione della sec. 404. Il management non disponeva di una
guida specifica e per questo ha dovuto far riferimento agli standard rivolti agli
auditors e soggetti alla loro interpretazione nell’utilizzazione di quegli standard.
23
Moving from ‘Project to Process’ to Add Value to SOX Compliance While Improving
Sustainability, 2005, By James DeLoach, Protiviti Managing Director
44
Molte aziende hanno aspettato la tavola rotonda della Securities and Excange
Commission (SEC) dell’Aprile del 2005. Inoltre le società di contabilità erano
riluttanti a modificare le loro politiche e metodologie fin tanto che la Pubblic
Company Accounting Oversight Board (PCAOB) non avesse completato e
riportato la sua ispezione sulle società di audit. Alcune di queste aziende ora
stanno cercando di riguadagnare terreno sui vari aspetti che erano stati rinviati a
causa della maggiore attenzione e del maggiore impiego di risorse nella
amministrazione della compliance alla sec. 404, per far emergere la necessità di
una soluzione per ridurre i costi di conformità. Questo ha condotto ad un nuovo
approccio che consiste nel passaggio dal “progetto al processo”.
Figura 1.9 – From “Project to Process”
In questo passaggio è necessario che il management tenga presente tre aspetti: la
conformità alla SOA richiede un processo continuo; la necessità di un processo di
compliance sostenibile e di qualità; la necessità di un impegno concreto affinché
la conformità sia integrata con i processi di pianificazione e gestione esistenti al
fine di creare valore e di aumentare la redditività. Ad oggi la necessità del
passaggio dal progetto al processo è nota, ma fino ad ora nessuno lo ha realmente
attuato. Tale passaggio è definito come la transizione da un progetto ad hoc (per
specifica
regolamentazione)
ampiamente
adottato
nel
primo
anno
di
implementazione, verso un processo sostenibile, redditizio e a valore aggiunto.
Sono due gli elementi che le aziende devono realizzare affinché il passaggio dal
progetto verso il processo avvenga:
1) Pensare a più lungo termine;
2) Creare valore migliorando la sostenibilità;
45
Per quanto riguarda il primo punto, pensare a lungo termine necessita della
coesistenza di tre elementi: una struttura interna di controllo sostenibile, una
chiara prova del valore aggiunto, un processo di compliance redditizio. Una volta
che il management è in grado di realizzare questi aspetti, deve inserirli nel piano
di business e nei bilanci. Solamente quando le organizzazioni realizzeranno questi
tre elementi, avranno il controllo del processo di compliance e raggiungeranno
come risultato un valore aggiunto di entità maggiore ai costi di compliance
sostenuti.
Per quanto riguarda la sostenibilità del processo di compliance nel tempo, il
management deve ottenere la ripetibilità e l’efficacia della struttura interna di
controllo e la razionalizzazione dei costi sostenuti dall’organizzazione per la
conformità alla SOA soprattutto per quanto concerne la sec. 302 e 404. Un
approccio sostenibile alla compliance significa che la struttura interna di controllo
è in grado di far fronte alle nuove regolamentazioni senza sostenere eccessivi costi
di avviamento per l’attuazione della nuova regolamentazione. Il management,
quando valuta la sostenibilità deve quindi considerare se la struttura interna di
controllo sarà in grado di operare efficacemente al presentarsi di un cambiamento
significativo e se la struttura organizzativa è in grado di realizzare una conformità
continua nel tempo.
Figura 1.10 – Ottimizzazione dei controlli
46
La sostenibilità si riferisce alla qualità dei controlli interni all’azienda intesi come
un mix di controlli automatizzati e manuali e controlli preventivi e consuntivi (fig.
1.9). Una sostenibilità della struttura di controllo interno e del processo di
compliance permette a coloro che la certificano di focalizzare la propria
attenzione sulle nuove sfide di conformità.
Mentre di solito si parla di valore aggiunto rispetto alle attività di affari,
bisognerebbe considerare anche il valore aggiunto relativo ai processi di reporting
finanziario. Questi processi hanno ricevuto negli anni poca considerazione rispetto
ai processi del core business, non considerando che vi è uno stretto legame fra il
miglioramento della qualità del processo, delle prestazioni di costo e di tempo, e
una maggiore efficacia dell’Internal Control over Financial Reporting. L’uno non
può essere fatto senza l’altro.
La maggior parte delle aziende non ha avuto tempo sufficiente esplorare il
rapporto esistente fra le prestazioni del processo di business, la qualità del
controllo interno e la razionalizzazione dei costi di compliance. Questo è un
collegamento critico per il passaggio dal progetto al processo che guiderà verso i
risultati a valore aggiunto.
Sono dieci gli indicatori delle opportunità di valore aggiunto che suggeriscono
come si può migliorare l’efficienza di funzionamento e l’efficacia dei processi di
business che interessano i report finanziari. Inoltre evidenziano che una struttura
di controllo interno efficiente con processi semplificati e migliorati, determinano
una maggiore razionalizzazione dei costi di compliance, in quanto un processo
semplice è più facile da controllare rispetto ad uno complesso.
I dieci indicatori delle opportunità di valore aggiunto sono:
1) Riduzione dei tempi di registrazione dei dati nel registro generale;
2) Incremento della domanda di informazioni analitiche;
3) Alti tassi di errore nei processi di operazioni finanziarie quali i conti da
pagare, operazioni con contante e libro paga;
4) Attività ad alto costo dovuto al sovradimensionamento delle strutture e alle
procedure manuali complesse e a mansioni non indispensabili;
5) Il numero insolitamente alto di “giornali” manuali utilizzati per registrare
le transazioni o per fare aggiustamenti e riclassificazioni delle
informazioni riportate dal sistema ERP;
47
6) Elevata dipendenza dai fogli elettronici per la raccolta dei dati delle
transazioni, registrare manualmente le entrate o supportare le rilevazioni
finanziarie (financial disclosures);
7) Decentralizzare le business units con funzioni duplicate;
8) Un limitato ROI (return on investment) sugli investimenti IT;
9) Premere sull’ organizzazione finanziaria per la riduzione dei costi al fine
di compensare l’aumento dei costi di conformità e di controllo ai fini della
SOA;
10) Incremento dei costi derivanti da una maggiore complessità per quanto
riguarda l’autorizzazione alle transazioni.
Questi dieci punti sono importanti in quanto mostrano le occasioni che l’azienda
ha di migliorare la performance dei processi attraverso la realizzazione interna
della qualità, la riduzione dei tempi e dei costi dei processi, tutto questo mentre
simultaneamente si riduce il financial reporting risk. Con una mappatura dei
processi e con la documentazione della sec. 404 la redazione del reporting
finanziario sarà più trasparente che mai.
Per quanto riguarda il secondo aspetto, dopo avere orientato l’organizzazione a
scelte strategiche di più lungo termine, le aziende devono focalizzarsi sulla
creazione di valore migliorando la sostenibilità (“sustainability”). Compiere
questa operazione, significa concentrarsi su quattro elementi:
1) Infrastruttura organizzativa – l’amministrazione dovrebbe passare da una
mentalità di progetto ad una di processo e quindi da attività ad hoc e non
definite a processi definiti e controllati;
2) Responsabilità – le organizzazioni devono diventare meno guidate dal
team di progetto e maggiormente governate dai processi. Devono
concentrarsi meno sulla revisione esterna focalizzandosi proattivamente
sulla relazione con l’audit;
3) Cambiare il processo
di identificazione - le organizzazioni devono
spostare l’enfasi dalla documentazione iniziale al documento di gestione
ed alla reazione al cambiamento nella valutazione del rischio complessivo
di impresa.
48
Capitolo 2
LA FUNZIONE COMPLIANCE IN BANCA
INTRODUZIONE
La regolamentazione dei sistemi finanziari ha un’antica tradizione. L’esigenza di
disciplinare i comportamenti degli operatori, soprattutto degli intermediari, è stata
da sempre avvertita quale presupposto della stabilità dei mercati, nella
convinzione che questa riposi, a sua volta, su quella delle singole istituzioni. Il
livello di regolamentazione del settore finanziario, più spiccato che nel resto del
sistema economico, si spiega osservando che esso ha per oggetto lo scambio di
contratti aventi un’alta connotazione fiduciaria. Già questa prima circostanza, lo
scambio di contratti piuttosto che beni e servizi, rende necessaria una articolata
sovrastruttura regolamentare per definire la cornice normativa entro la quale tali
contratti abbiano valenza e, soprattutto, risultino utili in funzione delle esigenze
degli operatori che li pongono in essere. Il secondo elemento, la natura fiduciaria,
accresce la necessità di riferimenti precisi e affidabili; la fiducia degli operatori
non può che basarsi sull’esistenza di regole del gioco chiare, note a priori, stabili,
estese a una vasta schiera di fattispecie prefigurabili e rese efficaci (enforced, in
inglese) da un’autorità in grado di imporre comportamenti corretti ed
eventualmente di rimediare ai comportamenti scorretti posti in essere dagli
operatori.
La successiva finanziarizzazione dell’economia ha accentuato l’esigenza di
un’altissima standardizzazione dei contratti e delle regole di comportamento,
accrescendo notevolmente in questi ultimi anni l’enfasi verso il rispetto della
regolamentazione, a seguito della trasformazione intervenuta nei mercati
finanziari. Essi sono divenuti più grandi, ponendo in gioco valori di dimensioni
sempre maggiori in proporzione all’economia reale; sono diventati più raffinati,
con l’introduzione di strumenti finanziari più articolati (che utilizzano forme
contrattuali sempre più complesse); sono diventati geograficamente più ampi,
coinvolgendo davvero tutto il globo, prima ancora che ciò avvenisse per gli altri
settori economici. È evidente come ciascuno di questi tre vettori di sviluppo
49
prema per una sempre maggiore affidabilità degli intermediari, per la chiarezza e
la certezza delle regole del gioco.
Ma insieme all’esigenza della regolamentazione, funzionale al servizio che il
sistema finanziario deve rendere al sistema economico nel suo complesso, si è da
sempre avvertita anche la necessità di assicurare la dovuta libertà di iniziativa e di
esercizio dell’attività degli operatori e, al tempo stesso, garantire il rispetto di
regole di comportamento a presidio della loro stabilità. Si è discusso a lungo della
convergenza nel lungo termine dei due obiettivi, giungendo finalmente a
condividere che imprese sane, in un mercato competitivo, esprimono
comportamenti corretti, altrimenti nel caso contrario il mercato stesso
procederebbe alla loro espulsione. Così nel lungo periodo, le stesse forze del
mercato avrebbero la capacità di preservare la stabilità degli intermediari e del
sistema nel suo complesso. Nel breve periodo questo equilibrio potrebbe non
raggiungersi e comunque l’onere dell’espulsione dal mercato degli intermediari
grava su tutto il sistema economico, in primis sugli operatori finanziari.
Nel corso degli ultimi anni, l’indirizzo assunto dalle istituzioni nell’affrontare
questo dilemma è stato chiarissimo, in quanto si è scelto di attivare le forze
endogene del mercato capaci di rendere normale l’adozione di comportamenti
corretti e, addirittura, ove possibile, convenienti i comportamenti conformi alla
normativa. Ciò è stato perseguito adottando una disciplina con una sapiente
miscela di incentivi e deterrenti, di premi e sanzioni, cercando il più possibile di
utilizzare i primi e di lasciare i secondi come disincentivo potenziale. Ovviamente
nessun sistema è perfetto e così crisi finanziarie ed episodi di comportamento
scorretto da parte degli intermediari e degli operatori si susseguono con una
cadenza purtroppo frequente. Ma nessun episodio è davvero uguale agli altri,
segno che da ogni crisi si trae qualche insegnamento, ma anche la fantasia degli
operatori, intenti a perseguire vantaggi personali illeciti, è una forza robusta ed
efficace.
L’accresciuta estensione dei mercati finanziari su scala globale, amplificata dalla
diffusione di strumenti che sfruttano la leva e moltiplicano la loro dimensione, ha
allarmato le istituzioni di Vigilanza di tutto il mondo che le proporzioni delle crisi
finanziarie possono essere tali da non risultare governabili, non solo dalle singole
istituzioni nazionali, ma neppure mediante uno sforzo congiunto e coordinato di
tutte quelle mondiali. Inoltre, i costi di tali crisi sarebbero grandissimi per il
50
sistema economico nel suo complesso, forse non sopportabili, tali da generare
crisi economiche trascendenti il solo comparto finanziario. La responsabile
accettazione di questa evidente realtà ha suggerito di concentrare l’attenzione sul
momento della prevenzione delle crisi, rispetto a quello di terapia, realizzando
che, tale momento di prevenzione non possa che risiedere all’interno di ciascun
operatore e in particolare di ciascun intermediario, figure in prima linea per
rendere e mantenere un ambiente sano e rispettoso delle regole.
L’evoluzione, nel senso in cui si dice, è stata favorita anche da un’altra tendenza
emersa negli ultimi anni: quella verso la liberalizzazione dei mercati. Si è diffusa,
anche al di fuori dei sistemi finanziari, l’idea che i sistemi economici debbano
godere della massima libertà per poter esprimere al meglio le proprie energie
creative e innovative. L’intervento dello Stato, nelle sue varie articolazioni, è visto
come
ancora
indispensabile,
ma
da
diminuire
al
minimo
essenziale,
riconducendolo al ruolo di definizione delle regole del gioco e al controllo del
loro rispetto. Sempre di più si attribuisce alle istituzioni di Vigilanza, il ruolo di
arbitro delle regole stabilite oggettivamente e al di fuori degli interessi degli
operatori, piuttosto che quello di guida delle strategie e delle scelte operative degli
intermediari, funzione ritenuta impropria perché sconfina nell’ambito delle
attribuzioni inalienabili dei responsabili delle imprese finanziarie.
Nella scelta di adottare questo orientamento è presente anche la consapevolezza di
dover ricercare il giusto equilibrio fra la completezza dell’impianto normativo e la
snellezza del sistema giuridico. Due esigenze contrapposte, ma degne di tutela e
considerazione; da un lato, è bene prevedere ogni fattispecie astratta e considerare
qualunque circostanza possa verificarsi; ma d’altro canto, occorre non appesantire
di oneri e incombenze operative gli intermediari, giacché i costi associati alle
attività di riscontro e controllo non possono non traslarsi, in ultima analisi, sugli
utenti dei servizi finanziari e quindi sul sistema economico nel suo complesso. Un
modo per agevolare la soluzione di questo contrasto è quello di considerare
sempre le attività che rientrano nella Funzione di compliance, sia in chiave
regolamentare, sia in chiave gestionale, orientando quindi le attività non solo alla
verifica del rispetto del contesto normativo, ma anche al miglioramento dei
processi nell’ottica del processo di produzione economica.
Dunque, l’enfasi che oggi si pone sulla compliance, insieme alla disciplina di
Vigilanza, è il risultato delle seguenti tendenze interagenti:
51
1) L’evoluzione dei sistemi finanziari nel senso della estensione quantitativa
della complessità e della globalizzazione;
2) L’orientamento della Vigilanza sempre più verso la prevenzione delle
crisi, piuttosto che verso la soluzione delle stesse;
3) La scelta di far perno sulle forze endogene alle imprese finanziarie,
costruendo un sistema di incentivi, piuttosto che di deterrenti, e puntando
sulla responsabilizzazione degli intermediari e dei relativi organi di
governo.
Esse hanno portato il Comitato di Basilea a fare della compliance uno dei tre
pilastri della regolamentazione dei mercati o, per meglio dire, a ispirare a tali linee
uno dei pilastri.
2.1 FINALITA’ E PRINCIPI DELLA FUNZIONE COMPLIANCE IN
BANCA
Oggi non esiste una definizione di compliance che sia condivisa e consolidata;
esiste, invece, una definizione di bank’s compliance function proposta dal
Comitato di Basilea. È una definizione, quella adottata dal Comitato di Basilea, di
amplissimo respiro la cui introduzione certamente postula una riflessione – e forse
una riscrittura – sull’organizzazione aziendale e sulla ripartizione dei poteri al suo
interno. L’approccio proposto si caratterizza per la presenza di meno prescrittività,
maggiore personalizzazione, ma anche maggiore responsabilizzazione, in linea
con gli approcci più recenti che si vanno delineando a livello di regolamentazione.
Le regole spesso non bastano, la correttezza si gioca sui comportamenti, e la
disciplina di questi non può trovare fonte migliore di colui che tali comportamenti
deve porre in essere.
Da un lato, infatti, sempre maggiore è l’attenzione del legislatore al tema
“prevenzione dei rischi”, tema in relazione al quale le banche giocano un ruolo
“anticipatorio” rispetto a percorsi propri di altre realtà industriali.
Dall’altro, tale logica della prevenzione trova riscontro in una tendenza normativa
a rafforzare i poteri di prevenzione e di organizzazione, che vengono attribuiti
52
direttamente ai soggetti regolati; l’ordinamento valuta il risultato, il percorso
aziendale con il quale si è pervenuti al comportamento, ma si spoglia del potere di
individuare i mezzi per raggiungerlo.
Altrettanto sintomatico è l’approccio di Basilea 2 (si pensi alla “rivoluzione
rating” 24) in cui si promuovono approcci per la determinazione dei requisiti
minimi patrimoniali più sensibili al rischio effettivo della controparte e proprio
per questo incentrati sulle metodologie e best practices maturate nell’industry
bancaria. Il focus delle disposizioni, si sposta dall’oggetto della regolamentazione
– il rischio operativo o il rischio di credito – al sistema di gestione del rischio
presso i soggetti regolati.
In termini generali, quindi, essere “compliant” dovrebbe significare essere
responsabili nel dare concretezza operativa, in modo personalizzato, ad una serie
di principi indicati dai regulators o identificati autonomamente come valori per la
propria realtà.
Quindi, fare compliance, non può voler dire solo organizzare un processo
aziendale per ottenere il rispetto acritico di regole imposte dall’esterno, quasi in
una logica di check-list. Essere compliant, dovrebbe voler dire “fare la cosa giusta
rispetto ai principi ispiratori e farla sin dalla prima volta” e questo deve essere il
risultato a cui ogni realtà deve giungere a suo modo, in quanto il cosa fare e il
come farlo, la differenzia dagli altri.
Il documento pubblicato dal Comitato di Basilea sulla compliance 25, costituisce
un importante contributo al dibattito che di recente si è sviluppato nel sistema
bancario nazionale e internazionale sulla individuazione di nuovi modelli
gestionali del rischio di compliance. Va notato, tuttavia, come i cambiamenti
vengano anche ispirati da una rinnovata maggiore sensibilità dei diversi portatori
di interessi (utenti, mercati, operatori e le stesse autorità di Vigilanza) verso
l’adozione, da parte delle banche, di condotte e comportamenti improntati alla
24
Il rating, è un metodo utilizzato per classificare sia i titoli obbligazionari che le imprese in base
alla loro rischiosità.
Viene espresso attraverso un voto in lettere (es. AAA- Elevata capacità di ripagare il debito;
oppure, D - Società insolvente), in base al quale il mercato stabilisce un premio per il rischio da
richiedere all'azienda per accettare quel determinato investimento. Scendendo nel rating aumenta il
premio per il rischio richiesto e quindi l'emittente deve pagare uno spread maggiore rispetto al
tasso risk-free.
I rating sono periodicamente pubblicati dalle agenzie di revisione contabile dei bilanci: Standard &
Poor's, Moody's e Fitch.
25
Basel Commitee on Banking Supervision, Compliance and the compliance function in banks,
April, 2005.
53
correttezza e alla trasparenza nell’agire (governance). Emerge quindi una
particolare attenzione verso i valori e le strategie aziendali declinate in regole e
procedure operative coerenti.
Il “rischio di non compliance” deriva dunque dalle condotte aziendali che non
risultano aderenti alle leggi, ai regolamenti e agli standard di condotta. In questo
contesto di criticità rientrano anche i comportamenti non conformi alle best
practice di mercato o alle particolari regole di condotta stabilite all’interno della
singola banca. Quest’ultimo aspetto, del disallineamento dei comportamenti
interni dagli standard di riferimento, rappresenta un elemento innovativo
introdotto dai lavori del Comitato di Basilea. Infatti, il documento sulla
compliance, sembra attribuire una grande rilevanza a tutte le regole di condotta
adottate autonomamente dalle banche in via volontaria, (sviluppate internamente)
oppure, definite per aderire a prassi generalmente accettate dai mercati di
riferimento o, ancora, raccomandate dall’adesione degli intermediari a particolari
circuiti o associazioni di operatori specializzati.
Definire, internamente all’azienda, modelli di comportamento in linea con la best
practice e con le indicazioni provenienti dalla banca stessa, risulta essere un
approccio innovativo che una vasta categoria di soggetti apprezza in misura
particolare (si pensi ai clienti, ai mercati finanziari, ai dipendenti, agli azionisti,
agli analisti, alle stesse autorità di Vigilanza, ecc.); non operare in aderenza alle
norme, ai regolamenti o agli standard, può comportare una serie di possibili effetti
negativi per l’intermediario, tra i quali si segnalano: sanzioni penali e
amministrative, perdite finanziarie e, nei casi più gravi, danni alla reputazione
stessa del banca.
Interpretare correttamente l’importanza dell’evoluzione avvenuta nell’attività di
compliance, con il passaggio dalla mera aderenza a norme e regole esterne
(conformità), verso comportamenti concretamente realizzati all’interno delle
banche, risulta dunque un fattore particolarmente rilevante. Questo passaggio può
essere analizzato attraverso un percorso che mira a: comprendere le diverse
configurazioni che il rischio di non compliance può assumere; definire i principi
che devono ispirarne il governo; identificare le logiche che possono meglio
regolare l’efficace e l’efficiente implementazione della Funzione compliance.
54
Alcuni precisi orientamenti regolamentari 26 sottolineano l’importanza di adeguare
i propri modelli organizzativi e operativi alle mutate e più complesse condizioni
dei mercati e alle dimensioni stesse delle banche. Tutti questi interventi devono
essere letti e interpretati congiuntamente per poter definire compiutamente la
compliance. Infatti, essa è un processo che permea l’intera attività e
organizzazione della banca – dal top management alle singole unità produttive -,
partendo
dalla
definizione
di
politiche,
procedure
prassi
operative
e
comportamenti. Pertanto, la compliance può anche essere definita come un
insieme di presidi organizzativi e operativi che le banche sono chiamate ad
attivare al fine di sviluppare la “cultura della compliance” e successivamente far
rispettare “in concreto” le indicazioni previste in norme, disposizioni e prassi. Ciò
al fine di minimizzare i rischi di sanzioni penali, multe, perdite e più in generale
di limitare gli eventi che possano compromettere la reputazione stessa delle
banche.
Il coinvolgimento degli organi amministrativi della banca (C.d.A. e Alta
direzione) nella gestione del Compliance risk sembra ormai un requisito
indispensabile. Lo stesso Comitato di Basilea dedica i primi quattro principi alla
definizione del ruolo e della responsabilità del Consiglio di Amministrazione e
dell’Alta direzione, sottolineando che, innanzi tutto il commitment dell’organo
amministrativo delle banche rappresenta il presupposto fondamentale per tradurre
e diffondere i valori, come quelli di onestà, integrità e correttezza, e la cultura
della compliance nei comportamenti e nelle disposizioni a diretto impatto sulla
struttura aziendale e sui processi produttivi.
La seconda parte dei principi di governo della compliance è dedicatia alle
caratteristiche che deve assumere la funzione; e appaiono di particolare interesse
le indicazioni fornite dal documento sulle principali attività alla stessa assegnate.
In particolare, viene enfatizzato il supporto da fornire al management aziendale
circa le configurazioni e i presidi da avviare per l’organizzazione delle attività di
gestione e controllo del rischio, l’assistenza da prestare al senior management per
26
Oltre al documento di Basilea sulla compliance, si vedano anche i seguenti documenti: Bank for
International Settlements (BIS) www.bis.org; Compliance Framework for Internal Control System
in Banking Organisations, September 1998; Enhancing Corporate Governance for Banking
Organisations, September 1999; Internal Audit in Banks and the Supervisor’s Relationship whit
auditors, August 2001; Sound practices for the Management and Supervision of Operational Risk,
February 2003; International Convergence of Capital Measurement and Capita Standards – A
Revised Framework, june 2004; The Joint Forum, - Outsourcing in Financial Services, February
2005
55
le attività di sviluppo di nuovi prodotti e servizi, il presidio della formazione
interna ed esterna alla funzione e le attività di gestione e controllo del compliance
risk vero e proprio.
I tipi e le fonti delle regolamentazioni (figura 2.1) dalle quali trae origine la
disciplina della compliance 27 sono molti e possono essere classificati in relazione
alle finalità che gli stessi intendono perseguire, ovvero:
1) Proteggere gli interessi dei clienti e di altri soggetti esterni alla banca;
2) Disciplinare il comportamento dei dipendenti;
3) Definire l’assetto organizzativo, di governance e di processo della banca.
Figura 2.1 – Regolamentazioni globali
Atos Consulting, “tackling compliance to reap long-term benefit”, Research report 2006
La mancata aderenza a queste disposizioni, e l’assunzione di condotte non
allineate alle best practice e alle disposizioni interne previste dalle banche, può
generare un “rischio di non compliance”, i cui effetti più evidenti sono:
27
Si tratta di leggi, regolamenti internazionali, nazionali e locali, disposizioni degli organi di
Vigilanza e delle società che gestiscono mercati finanziari, circolari vincolanti e non degli organi e
delle associazioni di categoria, disposizioni interne e codici di condotta (interni o di categoria),
standard di comportamento in conformità alle migliori pratiche di mercato.
56
 Incorrere in sanzioni legali, ammende, multe e penali (amministrative,
civili, penali, interditive o di blocco permanente o temporaneo dell’attività
o della licenza).
 Sanzioni prodotte da organi di vigilanza (Consob, Banca d’Italia, UIC e
nei gruppi ISVAP, COVIP, ecc.), come ad esempio: sospensione o ritiro
della licenza, multa ad amministratori, dirigenti, dipendenti, sindaci,
revisori, ecc.).
 Perdita di natura finanziaria; potrebbero essere causate:
♦ Da eventi di non conformità normativa in grado di compromettere
la stabilità economica e finanziaria dell’intermediario stesso
all’interno del sistema;
♦ Dalla riduzione del valore del marchio o della rete utilizzata (di
sportelli, di promotori, di private bunker, ecc.), da migliori
opportunità di business, dalla riduzione della potenzia l’espansione
della banca.
 Perdita della reputazione o dell’immagine, in caso di mancata aderenza alle
leggi applicabili, alla regolamentazione, ai codici di condotta, e agli
standard di un best practice operativa.I
 nefficace e inefficiente rispetto delle politiche e delle procedure operative
interne al singolo intermediario, (rischio che oltre le funzioni deputate al
controllo interno della banca, anche le autorità di vigilanza devono valutare
e misurare); questo può comportare il ridisegno organizzativo, cambiamenti
nelle responsabilità e nelle attività, richiami e sanzioni disciplinari,
richieste di dimissioni, allontanamenti, ecc.
 Riconoscere significativi risarcimenti danni.
 Sanzioni, ammende legate a condotte illegali o elusive (ad esempio su temi
fiscali, legali, ecc.), realizzate per favorire clienti, ma in grado di aggirare
precisi requisiti regolamentari obbligatori (segnalazione all’autorità di
57
Vigilanza, redazione di reporting non conforme, ecc.), in danno
dell’immagine e della reputazione.
Un sempre maggior numero di banche persegue l’obiettivo di diffondere la cultura
e i principi ispiratori della compliance, anche attraverso l’autoregolamentazione, e
cioè la formalizzazione di codici di condotta e codici etici 28, che permettano la
declinazione dei principi generali, in precisi comportamenti da assumere
nell’attività quotidiana da parte delle banche stesse e dei loro dipendenti 29.
Nell’ambito dei principi che governano la compliance, il controllo dell’aderenza
tra, quanto dichiarato formalmente nei documenti di autodisciplina, e
l’applicazione effettiva dei comportamenti in essa descritti, diventa una delle
attività concrete che la compliance ha la responsabilità di verificare. In tal senso,
la funzione compliance, assume un ruolo centrale, nella verifica dell’aderenza alle
politiche e alle procedure interne di cui una banca intende dotarsi.
Per quanto riguarda l’analisi del ruolo e delle responsabilità attribuite alla
funzione compliance, si indaga sulle attività da essa potenzialmente svolte
all’interno della banca e sulle modalità per garantire la necessaria autorità e
indipendenza d’azione e valutazione.
Le banche sono libere di realizzare la funzione come meglio desiderano, essendo
possibile individuare al loro interno, tanto un unico soggetto “responsabile della
compliance” (Head of compliance, in grado di coordinare una serie di attività ad
essa connesse), quanto una funzione strutturata e organizzata mediante l’utilizzo
di
staff
e
risorse
diversamente
dislocate
(accentrate
o
decentrate)
nell’organizzazione. Se il ruolo di unità destinata a evitare il verificarsi di
sanzioni, dovute alla “non aderenza alle leggi, regolamenti e standard” appare
ormai assodato, la nuova “mission” da assegnare alla funzione è ora rappresentata
dallo svolgimento di compiti preventivi di presidio e di individuazione di attività
di controllo, che con maggiore efficacia riescano a monitorare i vari rischi
associati alla “non compliance”.
28
Gli operatori, usano definire questo insieme di regole di comportamento sostanzialmente simili,
con denominazioni differenti, come ad esempio: “codici di comportamento”, “codici
deontologici”, “codici di autodisciplina”, ecc.
29
Con particolare riferimento alle fattispecie di eventi si possono ricordare: l’operatività sui
mercati finanziari; il conflitto di interesse; l’insider dealing; il risparmio e i derivati; la soluzione
delle controversie extragiudiziali con i clienti; la privacy; l’informativa pre-contrattuale per i mutui
da concedere per l’acquisto della prima casa; l’adesione a Patti Chiari; la definizione della
governance aziendale per le società quotate, ecc.
58
Infatti, la costruzione di un adeguato framework, che permetta la corretta
percezione, rilevazione, gestione e monitoraggio del rischio di compliance,
presentando evidenti riflessi sulla gestione aziendale, appare cruciale per
l’elaborazione di decisioni strategiche e di obiettivi di business (scelte di prodotto,
di segmento, di sofisticazione delle attività, ecc.), in grado di soddisfare le
esigenze di strutturazione della funzione.
Figura 2.2 – Framework legale
Pertanto, il ruolo e le responsabilità da attribuire alla Funzione compliance
possono coprire esigenze che si estrinsecano su tre differenti livelli
nell’organizzazione aziendale:
1) Nel primo livello, di tipo prevalentemente operativo, la Funzione deve
assicurare nel continuo che le operazioni e le attività poste in essere dalla
banca mantengano un elevato livello di aderenza normativa. Questa
esigenza impone alla Funzione un contatto costante con le strutture
59
operative centrali e periferiche per fornire alle stesse il supporto necessario
alla risoluzione delle problematiche regolamentari che si manifestano
nell’operatività quotidiana: una sorta di help desk per le unità commerciali
e di business che hanno esigenze contingenti nella gestione delle accezioni
normative nel processo produttivo. L’attività di supporto dovrebbe essere
accompagnata
dal
tradizionale
esercizio
della
verifica
ex
post
dell’osservanza di leggi, regolamenti e standard, che rappresenta uno degli
strumenti a disposizione per il monitoraggio del grado di aderenza
normativa
2) Il secondo livello, presenta una valenza tattico-strategica. Qui la funzione
compliance è richiamata a valutare in via preventiva tutti i rischi di
compliance derivanti dall’introduzione di nuovi prodotti o dalla modifica
di quelli già offerti, dall’ingresso in nuovi segmenti di mercato e di
business o, addirittura, in aree geografiche non presidiate. In questa
accezione, il ruolo di supporto della funzione compliance al top
management e ai responsabili delle aree di business, è parte integrante
delle scelte che la banca intende adottare per sfruttare le opportunità di
mercato, ovvero per dare attuazione alle politiche necessarie al
raggiungimento degli obiettivi fissati nei piani pluriennali. Nondimeno, il
contributo della funzione, assume un importante supporto alle strategie
allorquando le ipotesi di integrazione o di aggregazione tra banche,
richiedono di analizzare differenti profili di aderenza normativa , in
particolare nell’ipotesi di operazioni cross border, dove entrano in gioco
ordinamenti giuridici e regole di vigilanza di differenti paesi a cui si
sovrappongono disposizioni e organismi sovranazionali 30.
3) Il terzo livello assegnato alla funzione compliance, consiste nel supporto
alle attività di pianificazione delle strategie. Infatti, l’analisi delle
implicazioni derivanti dalle modifiche del quadro
normativo
e
regolamentare è esenziale:
♦ per cogliere i rischi e le opportunità insiti nelle nuove
disposizioni, siano esse in fase avanzata di definizione, sia che
le stesse siano state recepite dall’ordinamento, ma non abbiano
ancora esplicato la propria efficacia;
30
Si pensi alle disposizioni antitrust presenti in numerosi paesi e alle ulteriori disposizioni che, in
sede comunitaria, permettono l’intervento della Commissione Europea.
60
♦ per valutare l’impatto dei mutamenti in atto sulla struttura
organizzativa, sulle strategie aziendali, sui piani di business.
Una corretta “pianificazione regolamentare”, permetterebbe alle banche di
cogliere le opportunità offerte dalle modifiche normative e, di conseguenza,
predisporre le azioni necessarie per acquisire un vantaggio competitivo, anche in
relazione alla più efficace gestione di altri rischi. Si pensi, ad esempio, alla
possibilità di una riduzione dell’assorbimento patrimoniale offerta dal nuovo
Accordo di Basilea sul Capitale 31. Le aziende in grado di adottare, prima dei
propri competitor, modelli avanzati di misurazione del rischio (rating), potranno,
a parità di altre condizioni, liberare risorse da destinare ad altre attività di
business, accrescendo la redditività del capitale investito e la creazione di valore
per gli azionisti, (questo testimonia anche l’importanza della gestione integrale
delle diverse configurazioni di rischio).
Definiti il ruolo e le responsabilità della Funzione compliance, è possibile ora
individuare e commentare le attività necessarie all’espletamento dell’incarico e al
raggiungimento degli obiettivi ad essa attribuiti. In prima istanza, la Funzione
valuta la conformità dei codici etici e/o di condotta, delle policy aziendali, nonché
delle procedure interne e delle istruzioni operative alle disposizioni di legge e
regolamentari che disciplinano l’attività dell’impresa bancaria. Si tratta in pratica
di “assessment” sul livello di aderenza della produzione normativa interna a
quella di emanazione esterna (legislazione nazionale e comunitaria, autorità di
Vigilanza, organismi di supervisione sopranazionale, associazioni di categoria,
ecc.), al fine di assicurare l’integrità dei principi e delle regole che sovrintendono
ai comportamenti posti in essere dalla banca.
Il mapping e l’assessment, propedeutici a qualsivoglia attività di gestione dei
rischi, rappresentano l’elemento di base per la programmazione delle attività della
funzione, e permettono di individuare le criticità e i punti di debolezza della
banca, nel perseguire l’obiettivo di aderenza alla normativa.
L’analisi del compliance risk, deve essere accompagnata dalla diffusione della
cultura dell’integrità, che la Funzione realizza mediante la predisposizione della
31
Basilea II, è il nuovo accordo internazionale sui requisiti patrimoniali delle banche. In base ad
esso le banche dei paesi aderenti dovranno accantonare quote di capitale proporzionali al rischio
derivante dai vari rapporti di credito assunti, valutato attraverso lo strumento del rating.
61
compliance policy, e con la promozione delle attività di formazione dei
dipendenti, dei collaboratori e del management della banca su tali tematiche.
Ulteriori attività riguardano, l’esame e il monitoraggio delle violazioni alle
disposizioni interne ed esterne, nonché alle policy e ai codici aziendali. A tali
azioni faranno seguito le proposte per l’adozione delle misure correttive, ovvero,
per l’adattamento e il miglioramento delle disposizioni e delle procedure interne.
In tale contesto, deve essere prestata particolare attenzione alle norme e alle
indicazioni riguardanti: il conflitto d’interessi e il market abuse; la trasparenza
dele condizioni nell’offerta dei servizi bancari e d’investimento, nonché
nell’offerta dei servizi di consulenza; l’usura e la lotta al fenomeno del riciclaggio
e del finanziamento al terrorismo; le politiche di assunzione dei rischi e i codici di
comportamento dei dipendenti; le regole di vigilanza prudenziale e di reporting
alle autorità di supervisione e controllo; le operazioni effettuate dagli
amministratori e dai dipendenti per conto proprio; i rapporti intrattenuti con la
clientela.
Per quanto riguarda le attività di supporto e consulenza alle unita operative , ai
responsabili delle aree di business e all’Alta direzione, la Funzione compliance
deve prestare il proprio contributo:
♦ nell’applicazione pratica delle norme e delle procedure alle attività
operative, nonché nella corretta esposizione delle disposizioni che
presentano profili di dubbia interpretazione;
♦ in occasione del lancio di nuovi prodotti o nuovi servizi alla clientela e
nella predisposizione delle valutazioni propedeutiche all’ingresso in nuovi
mercati o in nuove aree geografiche;
♦ nella realizzazione di ipotesi di integrazione tra banche o conglomerati
finanziari, in particolare di quelle transfrontaliere, ovvero in ipotesi di
costituzione di joint venture tra tali soggetti;
♦ nella
valutazione
dei
rischi
e
delle
opportunità
conseguenti
all’introduzione di nuove disposizioni di legge e regolamentari, nonché
delle conseguenti implicazioni organizzative, strategiche e di business che
si riflettono sulla banca.
62
La definizione di metodologie, strumenti e tecniche di compliance risk
management 32 e la successiva attuazione delle attività necessarie per la
rilevazione, la misurazione e il monitoraggio di tale fattispecie di rischio
completano il quadro delle attività che fanno capo alla Funzione, unitamente al
reporting periodico all’Alta direzione, al Consiglio di amministrazione e ad
eventuali comitati interni.
2.2
CONFRONTO
E
PARALLELISMO
TRA
COMPLIANCE
E
GESTIONE DEI RISCHI OPERATIVI IN BANCA.
L’attenzione e la sensibilità ai rischi sono molto importanti per la gestione delle
banche, esse, infatti, assumono rischi, li trasformano e li inglobano nei propri
prodotti e servizi. Le banche che gestiscono attivamente i loro rischi ottengono un
vantaggio competitivo poiché assumono i rischi in modo più consapevole,
anticipano i cambiamenti sfavorevoli dell’ambiente, si proteggono da eventi
inattesi e accrescono le loro competenze per valutare i rischi stessi. Le istituzioni
finanziarie hanno, quindi, diversi motivi per sviluppare pratiche per la gestione e
modelli di valutazione del rischio, in più, la Vigilanza cui sono soggette fa di
questo sviluppo una delle loro maggiori priorità, perché detta le norme di stabilità
patrimoniale e contenimento del rischio che ogni banca deve rispettare.
Originariamente, lo schema della regolamentazione tendeva a differenziare regole
di prudenza per ogni grande area di business della banca, questo tipo di vigilanza
strutturale segmentava il mercato e limitava la competizione. L’innovazione ha
reso le norme obsolete perché gli attori hanno trovato dei modi per aggirarle,
spostandosi dal loro ambito originario d’attività all’intera gamma delle aree di
business dell’industria finanziaria. Il corollario di questo processo di
deregolamentazione è stato quello di un’accresciuta competizione tra attori
differentemente esperti, l’implicazione è stata la crescita dei rischi. I fallimenti
che sono seguiti hanno fatto nascere il bisogno di una ri-regolamentazione verso
un tipo di vigilanza prudenziale che lascia liberi gli intermediari di articolare le
proprie scelte strategiche e operative nel rispetto di alcuni vincoli essenziali. Tale
32
Secondo alcuni esperti, si parla di Regulatory risk management, si veda M. Evans, C. Ilako, C.
di Florio, in American Banking Association, ABA Banking Journal, March/April, 2003
63
processo sta ancora evolvendosi con nuove linee guida provenienti, in particolare,
dalle organizzazioni internazionali di coordinamento tra le Autorità di Vigilanza.
Sovente, si attribuisce al termine “rischio” una connotazione negativa.
Semplificando, si potrebbe affermare che il rischio derivi solamente dalla
manifestazione di eventi negativi 33. Per converso, al termine compliance si
attribuisce una valenza positiva, in quanto si risulta conformi, rispetto a qualcosa
che ci viene imposto, quando si pongono in essere comportamenti e azioni efficaci
e orientati al soddisfacimento di quegli obblighi. Più precisamente, l’espressione
“non compliance risk” o rischio di non conformità, evidenzia la manifestazione di
eventi che conducono a perdite, monetarie o di altro tipo (immagine, reputazione,
ecc.), in conseguenza del mancato rispetto di normative, regole o standard di
autoregolamentazione.
Possiamo affermare che, sia i rischi operativi, sia i rischi di compliance, si
originano dal mancato o dall’inefficiente presidio di alcuni ambiti di operatività
aziendale. In effetti, i diversi documenti elaborati dal Comitato di Basilea in
materia di operational risk, evidenziano definizioni ampie, ma al contempo di
diffuso utilizzo presso le banche e in parte sovrapponibili, con riferimento alle
fattispecie di perdita che vengono incluse nelle definizioni.
Infatti, il Comitato di Basilea, definisce i rischi operativi, come il rischio di
perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse
umane e sistemi interni, oppure da eventi esogeni, includendo nel novero di questi
rischi quello legale, ma escludendo esplicitamente rischi strategici e di
reputazione 34. Per quanto concerne la definizione di compliance risk, il Comitato
indica la seguente formulazione: “the risk of legal or regulatory sanctions,
financial loss, or loss to reputation a bank may suffer as a result of its failure to
comply with all applicable laws, regulations, codes of conduct and standards of
good practice (together “laws, rules and standards”)” 35.
33
Questa interpretazione è applicabile ai rischi operativi, che com’è noto, sono rischi puri e non
rischi speculativi, la manifestazione di tali rischi può pertanto generare unicamente delle perdite e
non opportunità di guadagno. Ciò fa si che i rischi puri siano, a certe condizioni, “rischi
assicurabili”. Al contrario, i rischi speculativi, sono tipicamente rischi finanziari (es. rischio di
mercato o di cambio), che generano opportunità di guadagno, ma anche di perdite.
34
Sempre secondo la formulazione adottata dal Comitato di Basilea, il rischio legale, comprende
fra l’altro, l’esposizione ad ammende, sanzioni pecuniarie o penalizzazioni derivanti da
provvedimenti assunti dall’organo di vigilanza, ovvero da regolamenti privati (cfr. Comitato di
Basilea, Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali,
Basilea, giugno, 2004).
64
Le indicazioni fornite dal Comitato di Basilea, delineano pertanto un’area di
sovrapposizione tra le due tipologie di rischio.
Figura 2.3 – Confronto compliance risk con operational risk
Questa situazione sembrerebbe rendere necessario l’inquadramento dell’ambito di
applicazione delle definizioni e, al tempo stesso, richiede una riflessione sulle
modalità di valutazione e di gestione di questa tipologia di rischio. In primo
luogo, la presenza di un’area comune, potrebbe essere il temporaneo risultato
della stratificazione di documenti che presentano un diverso grado di maturità e,
quindi, di condivisione all’interno della comunità bancaria e finanziaria
internazionale 36. In secondo luogo, la valutazione dell’operational risk e del
compliance risk risponde, al momento, a due finalità differenti: solo per i rischi
operativi e previsto il calcolo di un requisito patrimoniale a copertura
dell’esposizione di tali rischi. Viceversa, il compliance risk è oggetto di
valutazione nel più complessivo quadro della misurazione di tutti i rischi
(finanziari e non), ai quali la banca si trova esposta in ragione delle attività svolte.
A tal fine, dovrebbe essere identificata una struttura ad hoc, la Funzione o l’Unità
di compliance, cui attribuire la valutazione del compliance risk. Questa struttura,
potrebbe pertanto qualificarsi, almeno in parte e in modo coordinato con l’internal
auditing, come “cartina tornasole o specchio” dell’efficacia dei presidi sui rischi
aziendali posti in essere dalla Funzione di risk management, in considerazione
delle sovrapposizioni che al momento si riscontrano, tra compliance risk e
35
Comitato di Basilea, Compliance and the compliance function in banks, Basilea, aprile 2005
Il primo documento elaborato dal Comitato di Basilea contenente la definizione di compliance
risk risale a ottobre 2003, ed è stato successivamente aggiornato ad aprile 2005; la definizione
corrente di rischi operativi, risale al 2001, con alcuni aggiustamenti successivi, che sono stati
recepiti con il Consultative paper 3 dell’aprile 2003.
36
65
operational risk. In altri termini, la Funzione di compliance, pur non svolgendo
attività di risk management, si propone come interlocutore privilegiato e supporto
organizzativo di estrema importanza per il risk management.
Dall’esame delle definizioni (e della conseguente interpretazione della figura 2.3)
osserviamo che il rischio legale è una fattispecie comune all’operational risk e al
compliance risk. Altrettanto può dirsi con riferimento a una parte delle perdite
monetarie (material financial loss), in particolare, le perdite che si determinano a
seguito di un mancato assolvimento di obblighi legislativi, (con conseguenti
esborsi per accertamenti di responsabilità a carico della banca), oppure le
“restituzioni” volontarie da parte della banca, subordinate al riconoscimento di
una sua condotta impropria nei confronti di terzi (ad esempio, nel comportamento
tenuto verso la clientela nell’esecuzione di specifiche operazioni).
Vi sono poi, fattispecie di rischio, che al momento possono ricondursi in modo
più univoco al rischio di compliance o ai rischi operativi. Si pensi, ad esempio, al
rischio reputazionale o all’accertamento di sanzioni in conseguenza di abusi di
posizioni di mercato, che appartengono al compliance risk, oppure alle perdite
conseguenti eventi esterni, che senza dubbio si configurano quale tipologia di
perdita operativa. Tuttavia, il quadro delineato (nella figura 2.3) che emerge
dall’esame delle definizioni, è da intendersi come una situazione suscettibile di
possibili future modificazioni, nella misura in cui la pratica operativa e le
discussioni in essere, all’interno della comunità finanziaria, potranno affinare le
definizioni in uso e gli obiettivi della valutazione e gestione di queste fattispecie
di rischi.
Si noti inoltre, come l’accadimento di eventi di perdita riconducibili a rischi
operativi, sembra in larga parte di natura “inconsapevole”, nella misura in cui si
tratta di eventi che si manifestano in maniera indipendente dalle decisioni
aziendali, sia perché accadono in conseguenza di fattori di rischio sui quali la
banca ha minori capacità di controllo (eventi esterni), sia in quanto
intrinsecamente collegati con l’esistenza stessa di un’attività d’impresa (in questo
caso di natura finanziaria). Al contrario, la presenza di un “non compliance risk”,
sembra originare prevalentemente da scelte consapevoli, adottate dal management
dell’impresa, che si concretizzano nel mancato rispetto della normativa interna o
esterna. L’esame del profilo formale della definizione, consente pertanto di
66
evidenziare un certo grado di sovrapposizione fra le fattispecie di rischi prese in
considerazione, come sottolineato dallo stesso Comitato di Basilea 37.
L’efficace raccordo della funzione compliance con l’operational risk management
può valorizzare il contributo della funzione di compliance sotto il profilo della
misurazione dei rischi “condivisi” 38.
La funzione di compliance condivide con l’operational risk management:
♦ attività di risk assessment, interviste ai process/risk owners, presidio
metodologico e coordinamento delle attività di control risk self
assessment;
♦ raccolta dei dati di perdita;
♦ verifica dell’idoneità dei presidi sui rischi operativi.
L’ operational risk management condivide con la funzione di compliance:
♦ serie storiche e stime sull’esposizione ai rischi;
♦ mappatura dei processi e analisi dei rischi.
A prescindere dal modello organizzativo adottato per la costituzione della fnzione
compliance, la stessa deve in ogni caso essere connotata:
 da un adeguato livello di autorità, reputazione e indipendenza, rispetto alle
aree di business;
 dalla presenza di collegamenti interfunzionali e di tipo gerarchico, in
grado di assicurare all’Alta direzione la conoscenza in ogni momento del
livello di compliance risk assunto dalla banca o dal gruppo bancario.
Infatti, l’indipendenza dalle funzioni operative costituisce il presupposto
essenziale per la corretta rilevazione del Compliance risk e per la successiva
realizzazione di adeguate azioni correttive. Ciononostante, la funzione deve
mantenere un contatto costante con le aree operative per gestire in via preventiva
tale fattispecie di rischio. In particolare, il coinvolgimento attivo della funzione è
37
“There is a close relationship between compliance risk and certain aspects of operational risk.
Other [banks] may prefer to have a separate compliance and operational risk function, but establish
mechanism requiring close cooperation between the two functions on compliance matters”.
Comitato di Basilea, compliance, cit.
38
intervento Dott. Clemente, Responsabile Vigilanza Enti Creditizi Banca d’Italia, convegno
AICOM, 28 giugno 2006
67
necessario nei Comitati strategici e nei Comitati prodotto, ogni qualvolta gli
argomenti ivi trattati determinano l’esposizione della banca al Compliance Risk.
Figura 2.4 – Governance structure
Per quanto riguarda i collegamenti funzionali e di tipo gerarchico, gli stessi
devono garantire un continuo flusso di informazioni dalle unità operative e dalle
aree di business, verso la Funzione compliance, e da questa verso l’Alta direzione
(Direttore generale, Amministratore delegato, Comitato esecutivo), il Consiglio di
amministrazione e il Collegio sindacale, nonché verso eventuali Comitati all’uopo
costituiti, come diretta emanazione degli organi collegiali di governo per la
trattazione di specifiche materie.
Nelle banche di più ampie dimensioni, potrebbe essere costituito un Comitato
compliance, a cui attribuire il compito di seguire per conto del Consiglio, tutte le
questioni attinenti alla compliance; in alternativa tali attribuzioni potrebbero
essere assegnate al Comitato per il controllo interno, per effetto delle sinergie che
si presentano nella trattazione delle problematiche di controllo interno e di
compliance, venendosi a creare in tal modo, un Comitato di audit & compliance.Il
corretto inquadramento nell’assetto organizzativo aziendale, ed eventualmente di
gruppo, e la definizione di adeguati collegamenti funzionali, permettono alla
68
Funzione compliance di contribuire in modo effettivo alla governance della banca,
di cui rappresenterebbe un importante elemento costitutivo.
Figura 2.5 – Il sistema dei controlli
Rilevanti interrelazioni 39 sussistono tra la funzione di conformità e diverse altre
funzioni aziendali (revisione interna, gestione del rischio operativo, funzione
legale, organizzazione, organismo di vigilanza individuato ai sensi della legge
231/2001, ecc.). La collaborazione con le richiamate funzioni consente a quella di
conformità di sviluppare le proprie metodologie di gestione del rischio in modo
coerente con le strategie e l’operatività aziendale, assicurando nel contempo
processi conformi alle normative esterne e ausilio consultivo.
Le tecniche di identificazione, gestione e monitoraggio dei rischi di compliance
devono essere allineate e coerenti con quelle utilizzate nei processi di risk
management e di controllo.
Il presidio del rischio di non compliance, già rientra nelle attività di governance
delle banche italiane, si rende quindi necessaria una trasversalità dell’azione di
39
Banca d’Italia, documento di consultazione agosto 2006: normativa di vigilanza in materia di
“conformita’ alle norme [compliance]”
69
presidio coordinata da un’apposita funzione. Emerge quindi, la necessità di
riattribuire le responsabilità e i compiti, ed eventualmente razionalizzare gli
organismi di controllo già esistenti e diversi dalla Funzione Compliance,
riferendosi in particolar modo alla funzione di Internal Auditing, a quella di
Operational Risk Management e alla funzione legale, al fine di evitare
duplicazioni, sovrapposizioni e contrasti tra funzioni.
Confrontando la Funzione Compliance con quella di internal auditing, si pongono
in rilievo le diversità e le sinergie che si vengono a creare:
 la Funzione compliance:
♦ si pone come obiettivi, l’identificazione dei rischi di compliance e la
conformità dei processi a norme e regole;
♦ utilizza una metodologia che comporta una visione analitica dei rischi;
♦ interviene in modalità bottom up, analisi di tutti i processi esposti ai rischi
di compliance.
 L’internal auditing:
♦ Si pone come obiettivo, la valutazione del sistema di controllo interno al
fine di rendere i processi più efficienti ed efficaci;
♦ Utilizza una metodologia che comporta una visione sintetica dei rischi;
♦ Interviene in modalità top down, attraverso l’approfondimento di aree a
rischiosità elevata.
♦
Le interazioni fra le due funzioni riguardano: l’utilizzo di metodologie di
valutazione dei rischi comuni (es. tecniche di control e risk assessment); sinergie
nell’individuazione dei rischi e nel potenziamento dei controlli; diffusione della
cultura del controllo e della conformità alle norme; sinergie nell’individuazione di
nuovi controlli (con costi relativi proporzionali ai rischi emergenti); creazione di
valore e stabilizzazione dei risultati aziendali di lungo periodo.
I benefici attesi, dalle sinergie e dalle relazioni interfunzionali, fra la funzione
compliance, l’internal audit e l’operational risk management, riguardano:
l’adozione di un unico repository dei processi; la condivisione delle metodologie,
delle tecniche e del linguaggio; una consapevolezza dei rischi e una valutazione
condivisa degli stessi con le funzioni coinvolte; un supporto consultivo e
regolamentare alle strategie e al business aziendale.
70
Ruoli e responsabilità, attività, caratteristiche e collegamenti funzionali della
Funzione compliance, devono essere chiaramente definiti nel momento in cui si
procede alla sua costituzione. Questo si realizza mediante la predisposizione di un
apposito regolamento della Funzione, in cui viene indicata la soluzione
organizzativa prescelta e le regole interne di funzionamento di tale unità.
Ulteriori aspetti necessari affinché la Funzione compliance possa operare
efficacemente sono:
♦ una struttura chiara e un sistema di riporto funzionale trasparente, in grado
di preservare l’indipendenza e rispettare il commitment degli organi
amministrativi della banca;
♦ adeguate risorse finanziarie, quest’ultime senza conflitti con le business
unit in relazione al processo di selezione, remunerazione e misurazione
della performance;
♦ un
regolamento
della
funzione,
inclusivo
di
organigramma,
funzionigramma e disciplina delle relazioni con le altre fnzioni di internal
audit, risk management e legal, ecc;
♦ la suddivisione delle responsabilità e delle attività di compliance, incluse
in un programma di attività annuale;
♦ la verifica periodica e indipendente dell’efficacia ed efficienza del
processo di avanzamento del programma di attività e dei possibili
miglioramenti.
La funzione di compliance richiede quindi, che le risorse umane e tecniche siano
adeguate a presidiare il rischio di non compliance, e devono essere strettamente
correlate alla dimensione, alla complessità organizzativa, al grado di
sofisticazione del business e dei prodotti offerti, all’articolazione territoriale e
geografica della banca.
71
2.3 RIFLESSI ORGANIZZATIVI E IMPATTO DELLA COMPLIANCE
NELLE BANCHE DI MEDIO-PICCOLA DIMENSIONE
Il controllo del compliance risk, come definito nel documento di Basilea, rientra
nelle attività di governance delle banche; sua importante connotazione, per una
efficiente Funzione compliance, è la trasversalità dell’attività di presidio svolta.
A tal fine risultano cruciali, tanto la capillarità dell’organizzazione, quanto la
definizione e l’attribuzione di compiti e responsabilità all’interno della struttura 40.
Requisito necessario al fine di contenere l’onerosità e di garantire l’adattamento
della funzione allo sviluppo aziendale è infine quello della flessibilità.
Dette caratteristiche sono riscontrabili all’interno delle banche di minori
dimensioni, in capo all’Unità di controllo rischi, la quale tradizionalmente opera
nella sfera dei controlli o della misurazione ex-post. In tal senso è evidente il
beneficio in termini di maggiore efficacia dell’attività svolta dalla funzione
compliance, che può derivare da un’organizzazione all’interno della quale le
risultanze delle verifiche del Controllo Interno siano nella immediata disponibilità
del compliance officer. Infatti, pur svolgendosi l’attività della Funzione
compliance nella sfera della verifica a fini di prevenzione, risulta difficile pensare
che un’efficace attività di prevenzione possa essere svolta in assenza delle
preventiva conoscenza dei comportamenti non conformi riscontrati in passato,
oggetto questi ultimi, di misurazione e analisi da parte dell’Unità di controllo
rischi. Pertanto l’assegnazione all’unità di controllo rischi, dei compiti tipici della
Funzione compliance, non può che tradursi in una maggiore efficacia dell’opera
svolta dalla Funzione in esame.
Inoltre ad esempio, il servizio controllo rischi delle piccole banche, svolge spesso
anche verifiche inerenti alla normativa antiriciclaggio; attività strettamente
connessa con l’esercizio della Funzione di Compliance, cui compete fare in modo
che la struttura di front dell’istituto, sia consapevole dei rischi di coinvolgimento
in operazioni di riciclaggio. L’attribuzione della compliance, all’Unità di controllo
rischi, garantirebbe pertanto l’assolvimento da parte del compliance officer, del
ruolo di deterrente dell’attività di antiriciclaggio, attraverso l’esercizio dell’attività
di supervisione sull’operato degli uffici di front.
40
In tal senso, l’intervento di A.Colombo di HSBC Bank, al convegno organizzato a Milano da
Iside Srl il 12 ottobre 2004, dal titolo La funzione compliance e il modello organizzativo.
72
Alla luce di queste considerazioni, si ritiene anche, che il servizio maggiormente
indicato a svolgere l’attività di compliance nelle piccole banche, sia proprio il
controllo rischi. Tale servizio, tra l’altro, gode di un sufficiente grado di
autonomia (requisito, quest’ultimo, indispensabile per lo svolgimento dell’attività
di compliance) e di una relazione diretta con il Collegio sindacale e il Consiglio di
amministrazione della banca.
Inoltre, a sostegno della tesi secondo la quale, la funzione di compliance nelle
piccole banche dovrebbe essere fatta risiedere nell’ambito del controllo rischi, si
richiama l’attenzione sulla disciplina regolamentare emanata dalla Consob 41 che
prevede l’istituzione della Funzione di controllo interno.
Anche tale funzione viene spesso svolta, nell’ambito delle piccole banche che
hanno già esternalizzato la funzione audit, dal comitato rischi.
A questa funzione, analogamente a quanto avviene per il compliance officer, sono
attribuiti dalla Consob incarichi e responsabilità in ordine alla verifica ex ante, del
corretto recepimento delle norme vigenti in materia di prestazione dei servizi di
investimento alla clientela, da parte degli intermediari.
Quanto infine all’ipotesi di assegnare la Funzione compliance all’internal
auditting, tale ipotesi è avversata dal citato documento dell’ottobre 2003, nel
quale, il Comitato di Basilea ha evidenziato l’inopportunità di tale soluzione, in
considerazione di come solo la separatezza delle due funzioni garantisca una
revisione indipendente dalla Funzione compliance da parte dell’internal auditor,
revisione quest’ultima, alla quale il compliance officer è opportuno che sia
periodicamente sottoposto, al paro delle altre unità organizzative della banca.
41
Si veda l’art.57 “Controllo interno”, della delibera Consob n.11522/98 di adozione del
regolamento di attuazione del d.lgs. 24 febbraio 1998, n.55, concernente la disciplina degli
intermediari e successivamente modificato con delibere n.11745 del 9 dicembre 1998, n.12409 del
1marzo 2000, n.12498 del 20 aprile 2000, n. 13082 del 18 aprile 2001 e n.13710 del 6 agosto
2002.
73
2.4 REQUISITI QUALI-QUANTITATIVI DEFINITI DA BASILEA 2,
CON
PARTICOLARE
RIGUARDO
ALLE
“BANCHE
DI
PROSSIMITÀ”
Basilea 2 è il cosiddetto Nuovo Accordo di Basilea, che definisce, a livello
internazionale, i requisiti patrimoniali delle banche in relazione ai rischi derivanti
dai crediti concessi, e introduce nuove e più sofisticate metodologie di valutazione
delle imprese che intendano accedere al credito. Secondo Basilea II le banche dei
paesi aderenti dovranno classificare i propri clienti in base alla loro rischiosità,
attraverso procedure di rating. Dovranno, successivamente, accantonare delle
quote di capitale definite in base al livello di rischio dei rapporti di credito
accordati per tutelarsi dai rischi assunti.
Tale livello di rischio viene definito tramite dei meccanismi detti di rating. Autore
dell'accordo è il Comitato di Basilea, istituito dai governatori delle Banche
centrali dei dieci paesi più industrializzati del mondo, il cosiddetto G10.
Il processo di consultazione intrapreso per la definizione del Nuovo Accordo sul
Capitale della banche, svoltosi nell’arco di cinque anni (1999-2004), ha portato a
un progressivo e significativo adattamento della prima ipotesi di Accordo del
2001 42. Un particolare riguardo è stato riservato alle specifiche problematiche
poste dall’estensione dell’Accordo alle banche minori, atteso che l’impianto
normativo era stato sin dall’origine basato sull’ipotesi di applicazione alle banche
a carattere internazionale.
Non appena rilasciata la versione definitiva dello schema di misurazione del
capitale e dei coefficienti patrimoniali delle banche (giugno 2004), gli
intermediari, si sono ritrovati inevitabilmente proiettati nel futuro: il nuovo mondo
di Basilea 2. Immediatamente per il sistema creditizio si è prospettato l’esigenza
di programmare la conformità ai prossimi schemi normativi di vigilanza
(compliance). L’attività progettuale vede coinvolti parecchi attori aziendali, a
partire dal CdA delle banche, che ne dovrà garantire la corretta pianificazione e
realizzazione, fino ai soggetti direttamente responsabili degli aspetti applicativi
trattati dalla normativa. L’unità organizzativa che si occuperà di compliance sarà
anch’essa chiamata a svolgere una funzione altrettanto rilevante nel processo di
42
In realtà, l’Accordo di Basilea del 1988 ha assunto una valenza a carattere universale, essendo
stato recepito dal oltre cento paesi in tutto il mondo.
74
avvicinamento a Basilea 2 e non solo. Sarà poi uno degli attori più significativi e
qualificati nell’assicurare anche il mantenimento nel tempo della medesima
compliance che, con tanto impegno e coinvolgimento di risorse, la banca ha
conseguito in precedenza.
Per adottare i modelli gestionali sui rischi di credito, ai fini della definizione dei
requisiti patrimoniali obbligatori, le banche devono confrontarsi con alcune
problematiche di natura specifica.
Innanzitutto, ogni intermediario dovrà definire un Piano personalizzato di
attuazione della normativa in coerenza con le caratteristiche peculiari della propria
struttura organizzativa 43. Nello specifico, ciascuno dovrà conformarsi almeno con
la condizione e la disponibilità dei seguenti fattori: risorse umane, competenze
professionali specifiche, sistemi informativi e procedure operative di supporto,
redditività aziendale e risorse patrimoniali libere 44. La figura 2.6, rappresenta il
processo di programmazione dell’entrata in Basilea 2 e le esigenze che la banca
deve considerare nell’attuazione della conformità ai metodi IRB.
Figura 2.6 – Processo di programmazione entrata Basilea II
43
Piano, sul quale le banche si confronteranno costantemente con l’autorità di Vigilanza in tutte le
fasi preparatorie che precedono l’eventuale validazione dei modelli interni e l’applicazione dei
metodi IRB ai fini prudenziali.
44
In termini di risorse di capitale non “vincolate” (assorbite) dai rischi assunti dalla banca nello
svolgimento della propria attività creditizia.
75
La fase di pianificazione precede quella di validazione e il successivo
mantenimento dello stato di conformità precedentemente conseguito 45. Il tutto è
supportato da alcune necessità, varie ed eventuali, tra cui si segnalano: revisione
periodica delle fasi del processo da parte dell’internal audit; costituzione della
Funzione compliance 46 che presidierà gli adempimenti normativi di varia natura,
posti a carico della banca, e ne valuterà i rischi d’inadempienza; realizzazione del
sistema di controllo e di monitoraggio dei rischi.
Per le banche di minori dimensioni, di norma largamente estranee ai processi di
internazionalizzazione e di competizione globale, la revisione dell’Accordo
rischia di concretizzarsi in un inasprimento dei coefficienti patrimoniali e in un
aggravio dei costi connessi ai controlli prudenziali, senza che ciò si traducesse
anche in incentivi al perseguimento di best practice nella sana e prudente gestione.
Più in generale, il superamento di criteri prudenziali indistinti e rigidi, di Basilea
1, a favore del sistema molto più articolato e discrezionale, di Basilea 2, può
comportare il rischio di re-introdurre forme di segmentazione dei mercati e dei
sistemi bancari, e di favorire complessi meccanismi di arbitraggio regolamentare.
Come l’accordo iniziale (Basilea 1988), anche il Nuovo Accordo prevede
l’obbligo per le banche di dotarsi di un capitale proprio minimo, (capitale di
vigilanza), espresso come percentuale del valore delle esposizioni, variabile in
funzione di alcune caratteristiche delle esposizioni stesse.
Mentre nell’accordo del 1988, il calcolo delle quote da accantonare dipendeva dal
tipo di controparte (sovrani, banche, imprese, ecc.), nel Nuovo Accordo, si è
scelto invece di correlare più strettamente gli accantonamenti ai rischi
effettivamente assunti dalle banche, valutati attraverso l’utilizzo di modelli di
rating esterni ed interni.
Il Nuovo Accordo si fonda su alcuni principi fondamentali, definiti “Pilastri”,
orientati a stabilire le linee guida che banche ed organismi di vigilanza dovranno
seguire ai fini di una maggiore tutela del credito e dei risparmiatori. Prima di
addentrarci nell’ambito dei modelli di valutazione del rischio e delle loro
45
La manutenzione ordinaria è connessa al processo di adeguamento periodico del sistema di
gestione dei rischi della banca al normale svolgimento della propria attività creditizia. La
manutenzione straordinaria, invece, è necessaria ogni qualvolta di verificano delle situazione
particolari che possono causare la perdita di conformità del sistema gestionale ai requisiti di
Basilea 2 (esempio: entrata in nuovi segmenti/mercati di operatività; offerta di nuovi
prodotti/servizi finanziari; peggioramento della significatività delle stime prodotte dai modelli
interni della banca).
46
76
Comitato di Basilea, Compliance and the compliance function in banks, aprile 2005
implicazioni per le imprese, diamo una breve descrizione del contenuto dei tre
pilastri:
 Primo pilastro: è volto a definire i requisiti minimi di capitale delle banche e
ad individuare le metodologie che le banche stesse dovranno adottare nella
valutazione dei rischi di credito (il cui criterio di valutazione è stato
modificato nel nuovo accordo), di mercato (già presente nell’accordo
precedente) ed operativi (introdotto con il nuovo accordo).
 Secondo pilastro: il criterio detto di “controllo prudenziale” è volto a ridefinire
le procedure che le autorità di vigilanza (per il nostro Paese la Banca d’Italia)
dovranno seguire nello svolgimento dei loro compiti, ai fini di una maggiore
tutela dei risparmiatori.
 Terzo pilastro: è volto a definire gli obblighi che le banche dovranno assolvere
nei confronti del mercato con particolare attenzione alle esigenze di
trasparenza e correttezza nei confronti della clientela.
Come già accennato, il nuovo accordo lega strettamente il patrimonio di una
banca ai rischi che la stessa si assume nei confronti della sua clientela. In questo
senso, esso prevede uno spettro di approcci alla valutazione del rischio che và da
metodologie semplici a metodologie più complesse, sia per la misurazione del
rischio di credito, ovvero del rischio legato alla possibilità che la controparte
risulti inadempiente, sia del rischio operativo, ossia del rischio legato al verificarsi
di eventi pregiudizievoli dovuti a fattori interni (ad esempio errori dovuti ai
sistemi informativi o problemi legati ad illeciti commessi da personale della
banca) o esterni alla banca stessa. L’obiettivo di fondo è costringere le banche ad
effettuare accantonamenti patrimoniali crescenti in ragione del livello di rischio
che esse si assumono. La misura risponde ad una necessità di solidità ed efficienza
di un mercato finanziario che si fonda in gran parte sulla stabilità del sistema
bancario.
77
Il Nuovo Accordo di Basilea prevede una maggiore attenzione alla valutazione del
rischio di credito sostenuto dalle banche. In particolare queste ultime, nella
valutazione di tali rischi, sono autorizzate a scegliere tra tre possibili approcci:
• Approccio standard;
• Approccio IRB Foundation;
• Approccio IRB Advanced.
Metodologia Standard
Questo approccio consente una valutazione del rischio di credito molto simile a
quella prevista dall’Accordo attualmente in essere, ma caratterizzata da una
maggiore sensibilità al rischio.
La Banca assegna una ponderazione di rischio a ciascuno dei suoi impieghi e
genera una somma di valori dell’attivo, ponderati. La ponderazione del rischio
associato a ciascuna controparte è calcolata in base alla valutazione della
controparte stessa, effettuata da agenzie di rating accreditate (Moody’s, S&P,
ecc.).
Nella tabella sopra riportata, sono indicate a titolo esemplificativo le percentuali
di ponderazione del rischio di diverse classi di rischio di controparti appartenenti
al segmento delle aziende “corporate”, definite in base al merito creditizio di
ciascuna di esse.
Per chiarire con un esempio, se un’azienda del segmento corporate appartenente
alla categoria di rischio A richiede un prestito non garantito per un ammontare di
500.000 Euro, la banca deve calcolare l’attivo ponderato che si ottiene
moltiplicando:
78
Poiché il calcolo del patrimonio di vigilanza sarà effettuato in base alla seguente
formula (stabilita dal Comitato di Basilea):
Ciò significa che il capitale accantonato dalla banca, misurato attraverso
l’approccio standard, dovrà ammontare ad almeno 20.000 Euro.
Se l’azienda, anziché avere un rating pari ad A, fosse priva di un rating, l’attivo
sottoposto a rischio ammonterebbe a 500.000 Euro e la relativa quota da
accantonare a 40.000 Euro.
Appare evidente come un finanziamento erogato ad un’azienda con un rating
migliore, risulti per una banca meno “costoso” in termini di quota di capitale da
accantonare, rispetto ad un finanziamento erogato nei confronti di un’azienda di
standing più elevato.
Questo primo approccio si basa dunque su rating esterni, ovvero assegnati da
agenzie specializzate.
Poiché in Italia il numero di aziende che possiedono un rating ufficiale, ovvero di
aziende che sono soggette a valutazione da parte delle agenzie di rating, è molto
esiguo e composto principalmente da aziende di grandi dimensioni, la maggior
parte del tessuto imprenditoriale del nostro Paese ricadrà nella categoria con
ponderazione 100%, fornendo scarse possibilità di ottenere vantaggi economici
alle banche che decideranno di adottare l’approccio standard. I crediti verso
privati e piccole e medie imprese appartenenti alla categoria “retail” godono
tuttavia di una definizione standard che in parte riduce l’onere di accantonamento
79
patrimoniale per le banche. Infatti l’attivo sottoposto a rischio per il calcolo del
requisito
minimo
di
capitale
dell’8%
rappresenta
solamente
il
75%
dell’ammontare del credito erogato al cliente.
Questo fattore, inoltre, crea instabilità nel sistema economico, e soprattutto è
causa di scarsa cura nei rapporti banca-impresa; per ovviare a questa empasse, il
Comitato di Basilea ha introdotto una nuova metodologia:
Metodologia IRB (internal rating based)
Con l’approccio basato sui rating interni (IRB), verrà concesso alle Banche di
utilizzare sistemi di rating realizzati al loro interno per valutare lo standing
creditizio degli affidati, ma sotto la stretta sorveglianza dell’Autorità di Vigilanza
(Banca Centrale). In sostanza, ciascuna banca valuterà il rischio di credito
associato ad ogni cliente, traducendo il risultato in stima del livello di possibili
future perdite. Queste stime formeranno la base dei requisiti minimi patrimoniali
che le banche dovranno possedere.
Il sistema di calcolo IRB delle attività ponderate per il rischio, si fonda su quattro
input:
1) La probabilità di inadempienza (“probability of default” – PD) misura la
probabilità che la controparte si renda inadempiente nell’arco di un dato
orizzonte temporale (1 anno);
2) La perdita in caso di inadempienza (“loss given default” – LGD) rileva la
parte dell’esposizione che andrà perduta all’eventuale verificarsi
dell’inadempienza; è il parametro che risente della diversa valutazione di
eventuali garanzie prestate dal debitore;
3) L’esposizione in caso di inadempienza (“exposure at default” – EAD) che,
per gli impegni di prestito, stima l’ammontare della linea creditizia
accordata destinato ad essere utilizzato in caso di inadempienza; è il
parametro che risente del diverso livello di revocabilità delle linee di
credito da parte della banca;
4) La durata (“maturity” – M) che esprime la scadenza economica residua
dell’operazione; è fissata in 2,5 anni nei metodi IRB foundation, mentre
nei metodi IRB advanced è calcolata come media ponderata dei tempi
80
mancanti ai diversi pagamenti previsti, ognuno ponderato per il relativo
importo. La vita residua deve sempre essere compresa tra uno e 5 anni.
Stabilito un valore per ciascuno di questi quattro input, la funzione di
ponderazione del rischio IRB per i crediti verso imprese genererà uno specifico
requisito patrimoniale per ogni esposizione. Per i crediti nei confronti delle PMI
(imprese con fatturato inferiore a 50 milioni di Euro) che potranno operare un
aggiustamento in funzione della dimensione aziendale nella relativa formula di
ponderazione del rischio.
La differenza tra il metodo IRB Foundation ed il metodo IRB Advanced è che il
primo prevede che la Banca valuti internamente la probabilità di insolvenza (PD)
di ciascun prenditore, mentre l’Autorità di Vigilanza fornirà tutti gli altri input del
modello di valutazione. Il secondo invece offrirà più autonomia alle banche che si
dimostreranno in grado di costruire sistemi di rating interni efficienti ed efficaci,
consentendo loro di stimare internamente anche i valori di LGD, di EAD e di
maturity (solo per le categorie non “retail”).
Le novità introdotte dal Nuovo Accordo, condurranno certamente ad un forte
aumento della sensibilità al rischio da parte delle banche. Il capitale verrà quindi
allocato alle imprese oggi più di ieri in base al miglior rapporto
rischio/rendimento possibile. Ci si attende quindi una maggiore attenzione nel
valutare le singole posizioni con le imprese. Infatti, il peso dei finanziamenti
varierà all’interno di classi predeterminate, ognuna delle quali richiederà un
impiego di patrimonio diverso.
In base a quanto visto sopra, i metodi più vantaggiosi per gli istituti di credito, in
termini di calcolo dei requisiti patrimoniali ai fini dello svolgimento della propria
attività, risultano essere i metodi IRB. Essi infatti consentono alle banche di
calcolare internamente il merito creditizio delle proprie controparti e di effettuare
ponderazioni sulla base di parametri calcolati autonomamente.
Il Comitato di Basilea impone però agli istituti di credito che desiderino adottare i
metodi IRB di dimostrare, alla data di entrata in vigore dell’Accordo (1° gennaio
2007), di possedere almeno 3 anni di conformità operativa, strumentale e
organizzativa a quanto previsto nell’Accordo stesso.
Questo significa che già oggi le banche che intendono adottare gli approcci più
sofisticati devono cominciare ad utilizzare sistemi di rating interno documentati e
81
statisticamente testati. I bilanci aziendali, a partire da quello del 2003, verranno
quindi analizzati per valutare la probabilità di insolvenza a 12 mesi, e la
rischiosità di ogni impresa verrà sintetizzata in un rating o in uno score (per le
categorie “retail”).
Secondo gli studi più recenti sulla materia, saranno proprio le PMI in particolare
a soffrire dell’evoluzione in atto nel rapporto tra banca e impresa. Ciò a causa di
una loro più difficile valutazione quali-quantitativa ai fini di un affidamento
(dovuta anche ad una maggiore “opacità” dell’informativa di bilancio) e a causa di
una storicamente riscontrata maggiore rischiosità.
Tuttavia, questo fenomeno può in parte essere bilanciato da un particolare
trattamento che è stato concesso alle PMI nella differente ponderazione per il
rischio, al quale si è accennato nell’introduzione all’approccio standard, da cui
deriva il requisito patrimoniale associato ad ogni forma di impiego delle banche.
Nell’aprile 2003 infatti è stato introdotto un particolare “sconto” sul peso di
finanziamenti ad aziende con fatturato annuo inferiore a 50 milioni di Euro per il
calcolo del requisito patrimoniale.
Figura 2.7 – Patrimonio di vigilanza
In altri termini, una banca che affida un’azienda di piccole e medie dimensioni
dovrà accantonare una quota di capitale inferiore rispetto ad un uguale
affidamento ad una grande azienda. Tale misura correttiva è ispirata alla volontà
82
di non penalizzare eccessivamente le banche di piccole dimensioni che erogano
crediti alla categoria “retail”, e deriva dalla consapevolezza che la massa dei
crediti verso soggetti di piccole dimensioni e con attività poco correlate tra loro è
caratterizzata, in un’ottica di portafoglio, da un rischio sistematico (ossia non
diversificabile) più basso rispetto ad un’uguale massa di crediti verso poche
grandi imprese, le cui attività sono statisticamente più correlate con l’andamento
generale dell’economia.
Una selezione delle imprese affidate più rigorosa attraverso l’introduzione di
miglioramenti nelle procedure di valutazione e di controllo dei crediti potrebbe
inoltre portare ad una sostanziale riduzione delle sofferenze, dei contenziosi e
delle perdite su crediti da parte delle banche.
Quindi, sulla base della prima bozza dell’Accordo, l’applicazione alle banche
minori dell’Approccio Standardizzato, per il calcolo del nuovo coefficiente,
rischiava di introdurre una penalizzazione relativa e, di fatto, un fattore di
disparità concorrenziale, visto che il sistema dei pesi delle attività a rischio
risultava pressoché simile a quello dell’Accordo del 1988. D’altronde, l’ipotesi di
beneficiare di pesi di rischio inferiori a fronte di clientela con rating esterno, si
rivelava del tutto irrealistica, considerando la scarsissima presenza di imprese
rated tra la clientela delle banche di piccole e medie dimensioni, soprattutto nella
realtà bancaria dell’Europa continentale. Per contro, l’introduzione nelle banche
“minori” di sistemi IRB, è sembrata sin dall’origine poco praticabile, né realmente
auspicata dalle autorità di Vigilanza, in considerazione dei costi di impianto e di
validazione di tali sistemi, nonché di alcuni oggettivi limiti applicativi (necessità
di know-how specialistico non facilmente reperibile, difficoltà nel rispettare i
requisiti organizzativi previsti per i sistemi IRB, scarsa significatività numerica
delle esposizioni da censire ai fini del buon funzionamento di un sistema di rating
interno).
In linea generale, gli approcci di misurazione del rischio di controparte basati sul
rating, sia esterni, ossia attribuiti dalle agenzie di rating, sia interni, ossia elaborati
internamente alle banche, sembrano corrispondere a un modo di svolgere l’attività
creditizia cosiddetto di tipo transaction lending, fondato sull’acquisizione di
informazioni strutturate sul cliente, in genere pubbliche, e su un’elaborazione
massima di dati che tende a privilegiare il trattamento della transazione, piuttosto
che la prestazione di un servizio personalizzato per il prenditore di credito. Questo
83
modello, basato sulla transazione, appare in una certa misura alternativo a quello
basato sulla relazione, cosiddetto appunto di tipo relationship lending, che tende
invece a sfruttare i vantaggi informativi connessi con la prossimità al cliente e la
conoscenza diretta, in genere protratta nel tempo. Il modello di relazione si fonda
quindi sulla disponibilità di informazioni generalmente non strutturate e
proprietarie, di natura quali-quantitativa, di norma riferite a un segmento di
piccole imprese, di solito non brillanti dal punto di vista informativo.
Risulta in questo contesto premiante, per le banche di prossimità, la capacità di
valutare anche informazioni di tipo qualitativo come la qualità del management, il
settore di appartenenza e il posizionamento nel settore, che risultano trattabili a
costi più elevati e meno“industrializzabili”, proprio perché meno standardizzate e
codificate. Le economie di scala che consentono di beneficiare di costi più
contenuti nel trattamento delle informazioni su volumi elevati di rapporti ed
operazioni non possono quindi pienamente essere sfruttate dalle banche di grandi
dimensioni come vantaggio competitivo nei confronti delle “banche di
prossimità”.
Nonostante sia improprio attribuire in modo netto e schematico, l’approccio di
tipo transaction lending alle grandi banche, e quello di tipo relationship lending
alle piccole banche a vocazione locale, si può comunque sostenere che
l’introduzione nelle banche minori di sistemi di valutazione basati sui rating,
potrebbe rivelarsi come un fattore di indebolimento del modello relazionale, sul
quale sembra essere fondato gran parte del successo delle piccole banche in molti
paesi ed in particolare delle banche di credito cooperativo italiane.
A seguito del proficuo confronto che si è sviluppato su questi temi, il Comitato di
Basilea, ha parzialmente modificato alcuni criteri previsti nell’Approccio
Standard, introducendo nella versione definitiva del giungo 2004, un sistema di
pesi di rischio più articolato (specifica ponderazione per il portafoglio retail,
riduzione di peso dei mutui ipotecari) e valorizzando ulteriormente le tecniche e le
possibilità di mitigazione del rischio.
Per questo motivo diviene ancora più importante per la banca riuscire a stabilire
con il cliente una relazione stabile, che attraverso le operazioni di finanziamento
consenta di veicolare lavoro bancario ed erogazione di servizi che generano
redditività.
84
In questo contesto risulta quindi confermata l’evoluzione in atto soprattutto nelle
PMI, che sono avviate verso una riduzione del numero di rapporti bancari: tale
fenomeno può essere in parte spiegato dalla crescita delle fusioni bancarie, che
negli anni scorsi ha interessato il mercato italiano e dalla volontà delle imprese di
instaurare rapporti più stabili ed intensi con un numero più ridotto di interlocutori,
con conseguenti benefici in termini di riduzione dei costi fissi di gestione dei
rapporti e dei costi impliciti ad una gestione della tesoreria operativa più
complessa.
Un discorso a parte meritano le imprese di piccole e medie dimensioni, che
privilegeranno scelte orientate ad instaurare rapporti stabili con “una banca di
riferimento”,
alla
quale
richiederanno
servizi
complementari
rispetto
all’erogazione del credito, offrendo in ogni caso garanzie collaterali, talvolta
rafforzate dalla decisione dell’imprenditore di affidare alla banca stessa anche la
gestione del proprio patrimonio personale.
Per valutare compiutamente l’impatto della normativa sul rapporto banca/impresa
è necessario considerare anche il mutato contesto di mercato nel quale operano le
aziende di credito, soprattutto nell’ambito dei servizi finanziari offerti alle PMI:
1) Le banche di grandi dimensioni sembrano progressivamente orientate
verso le operazioni di raccolta e di impiego dei capitali nel mercato
mobiliare, che appare più remunerativo e coerente con le strategie di
riorganizzazione in atto. Per tale motivo le grandi banche considerano
l’attività di erogazione del credito tradizionale alle imprese un’attività
“matura”, che garantisce quindi una redditività decrescente ed un rischio
non sempre giustificabile dal rendimento atteso.
2) L’evoluzione delle preferenze di investimento dei risparmiatori verso
strumenti di risparmio gestito pone nuove difficoltà di raccolta di capitali
impiegabili dalla banca per operazioni di finanziamento alle imprese.
3) Le banche cosiddette “di prossimità” potranno probabilmente aumentare il
proprio interesse verso le operazioni di finanziamento alle imprese a causa
di:
♦ una più ridotta competizione con le grandi banche nel settore
dell’erogazione del credito alle imprese; l’acquisizione delle nuove
esposizioni deve in ogni caso tenere conto del fatto che la crescita delle
quote di mercato può condurre ad un sostanziale peggioramento della
85
qualità dei prestiti, se non viene continuamente verificato il rischio dei
rapporti lasciati dalle banche più grandi. Le asimmetrie informative tra
banca e cliente possono accrescere la possibilità che proprio i clienti
con un maggiore grado di rischio si rivolgano alle banche che meno di
altre sono in grado di valutarlo correttamente, con un conseguente
peggioramento complessivo del livello di efficienza del nuovo sistema
ispirato a Basilea 2;
♦ una più efficiente capacità di valutare anche qualitativamente le
imprese affidate, a causa di un accesso più economico alle
informazioni disponibili nel territorio di competenza, di una
comunicazione più efficace delle informazioni qualitative da parte
della rete commerciale e di una gestione più flessibile del rapporto con
il cliente: in questo modello assume infatti maggiore importanza
informativa il ruolo del “gestore della relazione” con il cliente. Le
piccole banche sono generalmente dotate anche di una catena
decisionale
più
corta,
in
grado
di
rispondere
spesso
più
tempestivamente alle necessità del mercato e della clientela (ad
esempio con processi di istruttoria più veloci).
L’evoluzione descritta potrebbe rendere oggi più di ieri vantaggioso per le PMI
attivare rapporti con banche di prossimità, che appaiono meglio in grado di
valutare la complessità di aziende ed operazioni di dimensione contenuta.. Infatti,
le informazioni quantitative e mandamentali considerate dai sistemi di rating più
diffusi sono spesso meno adeguate a rappresentare correttamente l’andamento
aziendale delle PMI complesse rispetto a quello delle grandi aziende.
Infatti, la complessità di una azienda non è sempre correlata alla sua dimensione e
per tale motivo è possibile prevedere che Basilea 2 creerà una domanda di servizi
finanziari complessi da parte di piccole e medie imprese sofisticate, che più
difficilmente potranno essere erogati in modo economicamente vantaggioso dalle
grandi banche così come sono oggi strutturate.
Risulta in questo contesto premiante la capacità di valutare anche informazioni di
tipo qualitativo come la qualità del management, il settore di appartenenza e il
posizionamento nel settore, che risultano trattabili a costi più elevati e
meno“industrializzabili”, proprio perché meno standardizzate e codificate. Le
86
economie di scala che consentono di beneficiare di costi più contenuti nel
trattamento delle informazioni su volumi elevati di rapporti ed operazioni non
possono quindi pienamente essere sfruttate dalle banche di grandi dimensioni
come vantaggio competitivo nei confronti delle “banche di prossimità”.
2.5
NUOVI COMPITI COMPLIANCE: MiFID
In questi mesi è in corso di approvazione al Parlamento Europeo il “secondo
livello” della Direttiva 2004/39/CE relativa ai mercati degli strumenti finanziari
(MiFID – Markets in Financial Instruments Directive). Questo “secondo livello”,
presentato nel febbraio 2006 dalla Commissione Europea, contiene regole più
precise e misure tecniche per l’implementazione dei principi generali del MiFID,
già approvati il 21 aprile 2004.
L’approvazione della proposta rappresenta la base di partenza del processo di
adeguamento. Le disposizioni legislative e regolamentari di attuazione della
Direttiva dovranno essere recepite nella legislazione dei singoli Stati membri della
UE entro fine gennaio 2007. La Direttiva dovrà essere applicata nel novembre
dello stesso anno. E’ giunto quindi il momento di agire e predisporre tutte le
attività necessarie per recepire la nuova Normativa fin da ora.
Nelle intenzioni della Commissione, le norme contenute nella Direttiva
costituiscono un passo importante verso la costruzione di un mercato azionario
europeo integrato. Le imprese di investimento godranno realmente di un
"passaporto unico" e gli investitori beneficeranno del medesimo livello di
protezione, a qualsiasi sistema di intermediazione mobiliare europeo decideranno
di rivolgersi. Al tempo stesso l’introduzione della Direttiva nei singoli paesi
membri costituisce un elemento che può determinare significative modifiche alle
modalità competitive tra i diversi intermediari. L’adeguamento al nuovo contesto
è quindi un “must” da tenere in considerazione nella predisposizione e
implementazione delle future strategie degli intermediari finanziari italiani.
Gli obiettivi della Direttiva. La Direttiva MiFID è un elemento chiave del
“Financial Services Action Plan” dell’Unione Europea, progettato al fine di
facilitare l’integrazione dei mercati finanziari europei.
87
Gli obiettivi generali della Direttiva MiFID sono:
1) Efficienza, trasparenza ed integrazione delle infrastrutture di negoziazione,
ottenuta con:
♦ Trasparenza delle informazioni sulle negoziazioni pre e post trade;
♦ Nuove regole per tutte le piattaforme di negoziazione attive in Europa:
Mercati
Regolamentati
(con
la
rimozione
del
principio
di
concentrazione delle negoziazioni su di essi), MTF e transazioni “over
the counter”.
2) Protezione degli investitori, ottenuta con apposite regole di conduzione del
business:
♦ Classificazione dei clienti
♦ Marketing
♦ Informazioni sui Client Agreements
♦ Idoneità e conoscenza del cliente
♦ Convenienza e servizi “execution-only”
♦ Best Execution
♦ Gestione degli ordini dei clienti
♦ Reporting delle informazioni ai clienti
Le regole di organizzazione e controlli interni che ne scaturiscono sono relative a:
♦ Impostare una Funzione compliance, emanare Compliance arrangements
(incluse le operazioni personali);
♦ Sistemi e controlli interni (organizzazione interna, reporting e definizione
delle responsabilità di alto livello);
♦ Record – keeping;
♦ Gestione dei conflitti di interesse;
♦ Salvaguardia degli strumenti finanziari dei clienti
Il MiFID cambierà il modo in cui le banche e le società d’investimento conducono
il business con la loro clientela, l’adeguamento alla nuova Direttiva non si
configura pertanto come un
88
progetto di pura compliance, teso a far rispettare i nuovi requisiti richiesti in
ordine alla trasparenza ed alle garanzie per gli investitori, bensì come un progetto
di adeguamento ad un nuovo standard di Business.
L’evoluzione del mercato USA dimostra efficacemente come il processo di
adeguamento normativo abbia forti impatti sul business delle banche e delle
società d’investimento. Infatti, intervento normativo, evoluzione tecnologica nel
processo di negoziazione dei titoli e maggior esperienza degli investitori, hanno
creato un contesto per banche e imprese d’investimento caratterizzato da forte
competizione, commissioni più basse e quindi esigenza di agire su altre leve per
migliorare il prodotto.
Anche per il mercato europeo, in cui tecnologia e competenze degli investitori si
sono già evoluti, dopo il recepimento della Direttiva MiFID si presenteranno
ragionevolmente le medesime conseguenze.
L’adeguamento a tale normativa dovrà pertanto essere intrapreso con la finalità di
individuare e cogliere al meglio le opportunità di business
che ne scaturiscono.
Il ruolo assunto dalle funzioni di controllo (Compliance, Risk Management e
Internal Audit) nelle banche e nelle società d’investimento dovrà modificarsi in
conseguenza alle nuove richieste di trasparenza, dovranno inoltre, essere
adeguatamente considerate le sinergie tra l’adeguamento al MiFID e gli altri
progetti in corso relativi a Organizzazione e Internal Auditing, dato che molti dei
requisiti richiesti dalla Direttiva MiFID sono comuni anche ad altre normative. Le
nuove regolamentazioni introdotte dal MiFID saranno estese anche a strumenti
finanziari derivati, strumenti del mercato monetario e commodities. Le società che
operano nei servizi di investimento dovranno effettuare un’ampia revisione dei
processi esistenti come risultato di nuovi obblighi per la protezione degli
investitori. Il MiFID presenta forti implicazioni su tutti gli aspetti di processo
legati alla Best Execution.
I rischi più elevati, legati all’introduzione della direttiva MiFID riguardano: (vedi
figura)
89
Figura 2.8 – rischi connessi alla MiFID
A questo punto deve riferirsi delle previsioni in materia di requisiti organizzativi
e, in particolare, di procedure e controlli interni contenute nella direttiva
2004/39/Ce 47 (MiFID). Invero, l’art. 13 della direttiva – rubricato “Requisiti di
organizzazione” – detta principi già contenuti nel TUF 48 in materia di
organizzazione e controlli interni, al fine di assicurare una corretta ed efficiente
presentazione dei servizi di investimento, scevra anche da conflitti di interesse 49.
Di conseguenza, la sua attuazione non dovrebbe avere un particolare impatto sul
nostro ordinamento giuridico, fatta eccezione per alcune novità che a livello
47
Si tratta della direttiva 2004/39/Ce del Parlamento europeo e del Consiglio del 21 aprile 2004
relativa ai mercati degli strumenti finanziari,che modifica le direttive 85/611/Cee e 93/6/Cee del
Consiglio e la direttiva 2000/12/Ce del Parlamento europeo e del Consiglio e che abroga la
direttive 93/22/Cee del Consiglio (pubblicata nella Gazzetta ufficiale dell’Unione europea, L 145
del 30 aprile 2004). Tale direttiva dovrà essere attuata dagli Stati membri entro il termine di 24
mesi dalla sua data di entrata in vigore (coincidente con la pubblicazione in Gazzetta).
48
49
TUF – Testo Unico della Finanza.
L’art. 13 della MiFID stabilisce che:
le imprese di investimento adottano misure ragionevoli per garantire la continuità e la
regolarità nella prestazione di servizi e nell’esercizio di attività di investimento. A tal fine le
imprese di investimento utilizzano sistemi, risorse e procedure appropriati e proporzionati;
o le imprese di investimento dispongono di procedure amministrative e contabili sane, di
meccanismi di controllo interno, di procedure efficaci per la valutazione del rischio e di
meccanismi efficaci di controllo e tutela in materia di elaborazione elettronica dei dati;
o l’affidamento a terzi di funzioni operative essenziali deve essere accompagnato dall’adozione
di “misure ragionevoli per evitare un indebito aggravamento del rischio operativo” e “non può
mettere a repentaglio la qualità del controllo interno né impedire alle autorità di Vigilanza di
controllare che le imprese di investimento adempiano a tutti gli obblighi”.
o
90
regolamentare potrebbero essere introdotte dalla Commissione europea (in
attuazione del secondo livello della cosiddetta procedura Lamfalussy 50) in
relazione all’ipotesi di prestazione congiunta di più servizi di investimento e/o
accessori.
Più interessanti indicazioni si possono trarre dal parere del CESR (Commettee of
European
Securities
Regulators)
richiesto
dalla
Commissione
europea,
nell’ambito delle richiamate misure di secondo livello, in ordine alle misure
tecniche di attuazione della proposta direttiva MiFID 51.
Con specifico riferimento alla materia del controllo interno, la Commissione ha
richiesto al CESR un parere tecnico in merito ai principi base che le autorità
competenti devono tenere a mente per stabilire quando le imprese di
investimento 52 abbiano adottato misure ragionevoli al fine di assicurare che le loro
procedure amministrative e contabili siano considerabili sicure; le loro procedure
di controllo dei rischi siano considerabili efficaci; le disposizioni per il controllo e
la sicurezza dei sistemi di elaborazione delle informazioni siano considerabili
efficaci.
In punto ai principi generali, il CESR ha chiarito che al fine di determinare
l’adeguatezza dei propri sistemi, risorse e procedure, un’impresa d’investimento
deve prendere in considerazione tutte le circostanze rilevanti, tra le quali: la
natura, le dimensioni e la complessità dell’attività svolta dall’impresa
d’investimento e dei servizi di investimento prestati; le risorse e le procedure
adottate al fine di garantire che l’attività e i servizi d’investimento prestati
possono essere svolti senza interruzione, e che tali servizi e attività possano essere
velocemente riavviati nel caso in cui si verifichi una grave e improvvisa
interruzione di attività.
50
Com’è noto, la direttiva MiFID si caratterizza per l’attribuzione alla Commissione europea di
una potestà normativa di rango secondario per l’adozione delle misure di esecuzione dei principi
contenuti nella direttiva stessa (in attuazione, per l’appunto, del secondo livello della cosiddetta
procedura Lamfalussy). La Commissione europea, nell’assolvimento di tale compito, acquisisce
preventivamente i pareri del CESR (Committee of European Securities Regulators), organismo
sopranazionale che riunisce le autorità di nazionali di vigilanza sui mercati mobiliari e che
collabora , per l’appunto, con la Commissione alla costituzione di una nuova legislazione quadro
per il mercato finanziario europeo.
51
Si tratta del CESR’s Technical Advice on Possible Implementino Measures of the Directive
2004/39/EC on Markets in FinancialInstruments, disponibile sul sito www.cesr-eu.org (ref.
CESR/05-024b).
52
Per tali intendendosi “qualsiasi persona giuridica la cui occupazione o attività abituale consiste
nel prestare uno o più servizi di investimento a terzi e/o nell’effettuare una o più attività di
investimento a titolo professionale”
91
Secondo il CESR, i principi sui quali si deve basare l’organizzazione dell’impresa
d’investimento in tema di amministrazione, contabilità, sistemi e controlli,
prevedono processi decisori chiari, trasparenti, formali e documentati.
Con specifico riferimento ai controlli interni, il CESR ha chiarito che le imprese
di investimento devono verificare costantemente l’adeguatezza del loro sistema di
audit e compliance, al fine di assicurare l’adeguatezza e la effettività delle misure
di controllo interno all’impresa e rendere conto dell’attività svolta con frequenza
regolare al senior management.
Per quanto riguarda l’adempimento agli obblighi l’articolo 6 della direttiva MiFID
recita: “Gli Stati membri assicurano che le imprese di investimento istituiscano,
applichino e mantengano politiche e procedure adeguate per individuare il rischio
di mancata osservanza degli obblighi di cui alla direttiva 2004/39/CE da parte
dell’impresa,
nonché i rischi che ne derivano, e mettano in atto misure e
procedure idonee per minimizzare tale rischio e per consentire alle autorità
competenti di esercitare efficacemente i poteri conferiti loro dalla suddetta
direttiva”.
Gli Stati membri assicurano che, a tali fini, le imprese di investimento tengano
conto della natura, delle dimensioni e della complessità della loro attività, della
natura e della gamma dei servizi investimento, e delle attività di investimento che
prestano ed esercitano nel quadro della loro attività.
Gli Stati membri prescrivono alle imprese di investimento di istituire e mantenere
una funzione di controllo della conformità permanente, efficace e indipendente
che abbia le seguenti responsabilità:
a) controllare e valutare regolarmente l’adeguatezza e l’efficacia delle misure
e delle procedure messe in atto conformemente al paragrafo 1, primo
comma, e delle misure adottate per rimediare a eventuali carenze
nell’adempimento degli obblighi da parte dell’impresa;
b) fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi di
investimento e delle attività di investimento ai fini dell’adempimento degli
obblighi che incombono all’impresa in virtù della direttiva 2004/39/CE.
Per consentire alla funzione di controllo della conformità di svolgere i suoi
compiti con correttezza e indipendenza, gli Stati membri prescrivono alle imprese
di investimento di assicurare che siano soddisfatte le seguenti condizioni:
92
a) la funzione di controllo della conformità (funzione compliance), deve
disporre dell’autorità, delle risorse e delle competenze necessarie e avere
adeguato accesso alle informazioni pertinenti;
b) deve essere nominato un responsabile per la funzione di controllo della
conformità, al quale spetta presentare le relazioni in materia di conformità
di cui all’articolo 9, paragrafo 2;
c) i soggetti rilevanti che partecipano alla funzione di controllo della
conformità non devono partecipare alla prestazione dei servizi e
all’esercizio delle attività che essi sono chiamati a controllare;
d) il metodo per la determinazione della remunerazione dei soggetti rilevanti
che partecipano alla funzione di controllo della conformità non deve
comprometterne l’obiettività e non deve essere tale per cui sia probabile
che ne comprometta l’obiettività.
Tuttavia, l’impresa di investimento è esentata da uno o da entrambi i requisiti di
cui alla lettera c) o d), qualora dimostri che, tenuto conto della natura, delle
dimensioni e della complessità della sua attività e della natura e della gamma dei
servizi e delle attività di investimento che essa presta o esercita, l’obbligo di cui
alla lettera in questione non è proporzionato e che la sua funzione di controllo
della conformità continua ad essere efficace.
Particolarmente interessante si rivela, al riguardo, la bozza del testo del nuovo
art.57 del regolamento 11522/1998 53, che a sua volta recepisce le regole 11 – 14
elaborate in passato dal CESR in alcuni documenti 54, che hanno di fatto anticipato
quanto poi disposto in sede istituzionale dal Parlamento europeo e dal Consiglio
dell’Unione europea ( e quanto verrà disposto dalla Commissione europea in
attuazione del secondo livello della cosiddetta procedure Lamfalussy) in tema di
regole di condotta degli intermediari. Alla luce di quanto precede, in linea di
massima, può affermarsi che la bozza di normativa italiana pare già rispondere
alle dichiarazioni programmatiche del CESR.
53
Il testo dell’ultima bozza di nuovo regolamento 11522/1999 è disponibile sul sito della Consob
(www.consob.it) nella sezione “Regolamentazione – lavori preparatori”.
54
Si tratta dei seguenti documenti: European regime of investor protection – the harmonization of
conduct of business rules, e A European regime of investor protection – the professional and the
counterparty regimes, rispettivamente del mese di aprile e settembre 2000).
93
2.6
RESPONSABILITÀ “AMMINISTRATIVA” DELLE SOCIETÀ E
MODELLI ORGANIZZATIVI; D.LGS 231/2001
La pertinenza della nuova disciplina di cui al d.lgs. n. 231/2001 alla tematica della
compliance è di tutta evidenza.
Basterebbe fare rinvio alle cronache giudiziarie degli ultimi 2 anni per rendersi
conto di quali siano gli impatti di tale normativa sui rischi d’impresa e,
conseguentemente, sull’assetto di governance che le società operanti in Italia,
incluse ovviamente le banche, sono chiamate ad adottare al fine di conformarsi al
dettato normativo e presidiare adeguatamente i rischi da questo derivanti.
Il d.lgs. 8 giungo 2001, n. 231, recante la “disciplina della responsabilità
amministrativa delle persone giuridiche, delle società e delle associazioni anche
prive di personalità giuridica”, costituisce senza dubbio una delle più importanti e
significative novità introdotte nell’ordinamento giuridico italiano negli ultimi
anni.
Tale normativa ha infatti introdotto un nuovo tipo di responsabilità degli enti
collettivi per i reati commessi nel loro interesse o a loro vantaggio.
L’ampliamento della responsabilità mira a coinvolgere nell’applicazione della
pena per taluni illeciti penali non solo il patrimonio degli enti, ma anche gli
interessi economici dei soci i quali, fino all’entrata in vigore della legge de qua
non venivano affatto coinvolti dalle conseguenze della realizzazione dei reati
eventualmente commessi, a vantaggio della società, dagli amministratori e/o
dipendenti. Il principio della personalità della responsabilità penale infatti lasciava
queste figure indenni da qualsiasi conseguenza sanzionatoria, con esclusione
dell’eventuale azione per risarcimento danno, se applicabile.
Sul piano penale poi la nuova normativa produce effetti a dir poco dirompenti in
quanto né l’ente, né i soci possono dirsi estranei al procedimento penale per reati
commessi a vantaggio o nell’interesse dell’ente. Tutto questo determina un
interesse di quei soggetti che partecipano alle vicende patrimoniali dell’ente, al
controllo della regolarità e della legalità dell’operato sociale.
Infine, la responsabilità dell’ente è chiaramente aggiuntiva, e non sostitutiva, di
quella delle persone fisiche, che resta regolata dal diritto penale comune.
Il d.lgs. 231/01 dà attuazione ad una serie di atti internazionali e comunitari, e in
particolare alla Convenzione internazionale OCSE (Organizzazione per la
94
Cooperazione e lo Sviluppo Economico) sulla “lotta alla corruzione dei pubblici
ufficiali stranieri nelle operazioni economiche internazionali”, firmato a Parigi il
17 dicembre 1997, la quale prevedeva l’obbligo per gli Stati aderenti alla
Convenzione di mettere a punto un apparato sanzionatorio idoneo a perseguire
non solo la persona fisica autrice della corruzione, ma anche le imprese che ne
avevano tratto beneficio.
L’opportunità di affermare una responsabilità in via autonoma e diretta delle
persone giuridiche per i reati commessi nel loro interesse o a loro vantaggio era in
realtà da tempo al centro del dibattito della dottrina, la quale – osservando il
rilievo crescente che, nella realtà socio-economica, avevano via via assunto i
cosiddetti reati dei “colletti bianchi” – aveva evidenziato il costo, in termini di
efficienza punitiva e di reale tutela dei beni giuridici, del mantenimento del noto
principio “societas delinquere non potest”, e cioè del tradizionale convincimento
per il quale le persone giuridiche non possono commettere reati ed essere punite.
Al tempo stesso, l’introduzione di forme di responsabilità degli enti collettivi
discendeva dall’esigenza di armonizzare e razionalizzare, nei diversi ordinamenti
giuridici europei, le risposte sanzionatorie ai fenomeni di criminalità di impresa;
ciò anche al fine di creare un meccanismo dissuasivo rispetto a diffuse pratiche
(quali quelle di corruzione, truffa in finanziamenti, ecc.) potenzialmente
discorsive della concorrenza tra le imprese.
In adesione a tali orientamenti il d.lgs. 231/01 ha quindi introdotto nel nostro
ordinamento giuridico un nuovo tipo di responsabilità, che il legislatore definisce
“amministrativa”, ma che in realtà ha forti analogie con la responsabilità penale.
Infatti tale responsabilità sorge per effetto di un reato (e non di un illecito
amministrativo), il suo accertamento avviene nell’ambito di un procedimento
penale, il provvedimento sanzionatorio è sempre un atto giurisdizionale e, infine,
essa è autonoma rispetto alla persona fisica che ha commesso il reato (infatti
secondo il disposto dell’art. 8, l’ente potrà essere dichiarato responsabile anche se
la persona fisica che ha commesso il reato non è imputabile ovvero non è stata
individuata).
Ciò conferma la portata innovativa della normativa in commento, prefigurando
una sorta di equiparazione tra persona fisica e persona giuridica nell’ambito dei
comportamenti penalmente rilevanti.
95
Il nuovo paradigma sanzionatorio introdotto dal d.lgs.231/01 afferma quindi la
responsabilità degli enti collettivi per i reati commessi, nel loro interesse o a loro
vantaggio:
a) da soggetti che nella struttura organizzativa dell’ente rivestono una
posizione apicale (e cioè, ai sensi dell’art. 5, comma 1 del d.lgs.231/01,
tutti quei soggetti che all’interno dell’azienda, rivestono funzioni di
rappresentanza, di amministrazione o di direzione dell’ente o di una sua
unità organizzativa dotata di autonomia finanziaria e funzionale, nonché
da persone che esercitano, anche di fatto, la gestione e il controllo dello
stesso), ovvero;
b) da soggetti sottoposti alla vigilanza o alla direzione di questi ultimi
(intendendosi per tali, i lavoratori subordinati e parasubordinati, come pure
i fornitori e i services providers).
Quanto invece ai criteri di imputazione della responsabilità, stante la matrice
penalistica che informa la nuova disciplina della responsabilità degli enti, il
d.lgs.231/01 ha precisato che, affinché l’ente possa essere dichiarato responsabile,
occore che il reato discenda dalla colpa dell’ente, e cioè dalla violazione delle
regole di diligenza richieste dall’ordinamento giuridico per la tutela dei beni
giuridici di interesse collettivo. Ai fini della responsabilità dell’ente occorrerà
dunque non soltanto che il reato sia a esso ricollegabile sul piano oggettivo (le
condizioni alle quali ciò si verifica, come si è visto, sono disciplinate dall’art. 5);
di più, il reato dovrà costituire anche espressione della politica aziendale o
quantomeno derivare da una colpa di organizzazione 55, derivante dalla mancata
adozione dei presidi necessari a evitare che il reato sia commesso. È invece
espressamente esclusa la responsabilità dell’ente nell’ipotesi in cui i soggetti sopra
indicati abbiano agito nell’interesse esclusivo proprio o di terzi.
Per quanto attiene alla tipologia dei reati, le fattispecie che rilevano attualmente ai
fini dell’applicabilità del decreto in esame sono:
♦ taluni reati contro la Pubblica amministrazione (tra i quali, i reati di
malversazione a danno dello Stato, indebita percezione di erogazioni a
danno dello Stato, truffa a danno dello Stato, truffa aggravata per il
conseguimento di erogazioni pubbliche, corruzione, concussione);
55
96
Così si esprime, testualmente, la relazione ministeriale al d.lgs 321/01
♦ i reati di falsità in monete, in carte di pubblico credito e in valori in bollo
(tra gli altri, i reati di falsificazione di monete, spendita e introduzione
nello Stato, previo concerto, di monete falsificate, falsificazione di valori
di bollo);
♦ taluni reati societari (tra gli altri, i reti false comunicazioni sociali, falso in
prospetto, indebita restituzione dei conferimenti, illegale ripartizione degli
utili e delle riserve, illecite operazioni sulle azioni o quote sociali della
società controllante, operazioni in pregiudizio dei creditori, formazione
fittizia del capitale, indebita influenza sull’assemblea, aggiotaggio,
ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza);
♦ taluni delitti contro la personalità individuale (segnatamente i reati di
riduzione o mantenimento in schiavitù o servitù, nonché i reati ad esso
connessi);
♦ i delitti di abuso di informazioni privilegiate e di manipolazione del
mercato, di cui agli art. 184 e 185 del TUF, quali recentemente introdotti
dalla legge comunitaria 2004 56.
Le sanzioni previste per i casi in cui sia acclarata la responsabilità dell’ente sono
particolarmente rigorose, prevedendosi l’applicazione di sanzioni pecuniarie e/o
interditive (tra le quali l’interdizione dall’esercizio dell’attività, la sospensione o
la revoca delle autorizzazioni funzionali alla commissione dell’illecito, il divieto
di contrarre con la Pubblica amministrazione, il divieto di pubblicizzare beni o
servizi), nonché la confisca del prezzo o del profitto del reato e la pubblicazione
della sentenza di condanna.
Le sanzioni pecuniarie e interditive previste dal decreto in oggetto, si applicano
anche in relazione alla commissione di reati nelle forme del tentativo – sebbene in
56
Veda la legge 18 aprile 2005, n. 62 (“Disposizioni per l’adempimento di obblighi derivanti
dall’appartenenza dell’Italia alle Comunità europee. Legge comunitaria 2004”). In proposito si
evidenzia che l’art. 9 comma 2 di tale legge – che da attuazione alle direttive comunitarie
sull’abuso di informazioni privilegiate e sulla manipolazione del mercato – ha tra l’altro introdotto
nel TUF (d.lgs. 20 febbraio 1998, n. 58) il nuovo art. 187 quinquies, il quale afferma la
responsabilità dell’ente per le sanzioni amministrative irrogate ai propri soggetti “apicali”, o ai
soggetti sottoposti alla vigilanza o alla direzione dei primi9, per gli illecitida questi commessi nel
suo interesse o a suo vantaggio. Il successivo art. 187 septies attribuisce alla consob la competenza
a irrogare dette sanzioni amministrative. Si tratta di disposizioni di una certa rilevanza, in quanto
costituiscono il primo caso di (parziale) estensione dell’impianto del d.lgs.231/01 – e
segnatamente, degli artt. 6, 7, 8 e 12 – a illeciti di tipo non penale, ma amministrativo.
97
forma ridotta – salvo che l’ente abbia volontariamente impedito il compimento
dell’azione o la realizzazione dell’evento.
A fronte di un regime sanzionatorio cosi rigoroso – il cui impatto potenziale sui
rischi di impresa è di tutta evidenza – il legislatore ha peraltro previsto talune
ipotesi di esenzione dalla responsabilità amministrativa. Più in particolare, l’art. 6
del d.lgs.231/01 prevede che l’ente non risponde dei reati commessi dai soggetti
in posizione apicale se dimostra (vige quindi, in tal caso un’inversione dell’onere
della prova) che:
a) l’organo dirigente ha adottato ed efficacemente attuato, prima della
commissione del fatto, modelli di organizzazione e di gestione idonei a
prevenire reati della specie di quello verificatosi 57;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli nonché
di curare il loro aggiornamento, è stato affidato a un organismo dell’ente
dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli
di organizzazione e gestione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di
cui alla lettera b).
Secondo l’art. 7, per i reati commessi dai soggetti sottoposti l’ente risponde invece
solo se la commissione del reato è stata resa possibile dall’inosservanza degli
obblighi di direzione o vigilanza (ma in tale ipotesi l’onere della prova è a carico
della pubblica accusa).
In ogni caso, tali obblighi si presuppongono osservati se l’ente, prima della
commissione del reato, ha adottato ed efficacemente attuato un modello di
organizzazione, gestione e controllo idoneo a prevenire la realizzazione degli
illeciti penali considerati.
57
Si noti tuttavia come l’adozione del modello di organizzazione e gestione non sia obbligatoria,
trattandosi di una decisione rimessa alla mera discrezione dell’ente interessato. Va peraltro rilevato
che, nel caso delle società di capitali, la mancata adozione del modello potrebbe esporre l’organo
di gestione all’azione di responsabilità, nel caso in cui dalla mancata adozione del modello
dovessero derivare sanzioni a carico della società stessa.
98
2.6.1
ADOZIONE DEL MODELLO ORGANIZZATIVO
Il d.lgs.231/01 fornisce indicazione di carattere generale e piuttosto vaghe (scelta
per certi aspetti comprensibile, considerato l’ampio novero di soggetti a cui la
normativa si riferisce), che lasciano pertanto all’interprete il compito di
individuare, in concreto, il contenuto dei modelli organizzativi. Si tratta di un
compito non certo agevole quello di individuare quali caratteristiche debbano
possedere i modelli organizzativi al fine di potere assolvere alla loro funzione
scriminante, nell’ipotesi in cui la società dovesse essere coinvolta in un
procedimento penale ai sensi del d.lgs. 231/01.
E’ opportuno precisare poi che la legge prevede l’adozione del modello di
organizzazione, gestione e controllo in termini di facoltatività, e non di
obbligatorietà. La mancata adozione non è soggetta ad alcuna sanzione, ma
espone l’ente alla responsabilità per gli illeciti realizzati da amministratori e
dipendenti.
Da un punto di vista generale i compliance program fungono da criterio di
esclusione della punibilità, ove intervenga la commissione, da parte di soggetti
che siano titolari di posizioni apicali, ovvero di persone sottoposte alla direzione o
alla vigilanza dell’ente.
Sotto un altro profilo, l’esistenza di un compliance program è criterio di
attenuazione delle conseguenze giuridiche ed economiche conseguenti alla
responsabilità dell’ente. Nel caso di irrogazione di sanzioni pecuniarie, l’adozione
e l’efficacia applicativa, post factum, del modello, determina una riduzione delle
medesime in una misura complessiva tra un terzo e la metà, e nel caso di
risarcimento del danno la riduzione è compresa tra la metà e i due terzi.
L’adozione del modello diventa di fatto obbligatoria se l’azienda vuole
beneficiare dell’esimente. Naturalmente, facilita l’applicazione di tale esimente, in
termini squisitamente probatori, la documentazione scritta dei passi compiuti per
la costruzione del modello.
L’applicazione delle sanzioni agli enti incide direttamente sugli interessi
economici dei soci, in caso quindi di qualche possibile problema in tal senso,
legittimamente i soci potrebbero esperire azione di responsabilità nei confronti
degli amministratori inerti che, non avendo adottato il modello, abbiano impedito
all’ente di fruire del meccanismo di esonero dalla responsabilità. È indispensabile
99
quindi, verificare se questi modelli siano idonei a prevenire reati della specie di
quello che in pratica si è commesso, ex art. 6 del decreto, e se gli stessi siano stati
efficacemente attuati.
Il modello deve quindi prevedere, in relazione alla natura ed alla dimensione
dell’organizzazione aziendale cui deve applicarsi, nonché al tipo di attività svolta,
misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a
scoprire ed eliminare tempestivamente ogni situazione di rischio, attraverso un
tipico sistema di gestione dei rischi (risk management).
L’implementazione del modello organizzativo nei suoi termini generali può
sistematicamente ripartirsi in quattro fasi:
1) di avvio o di individuazione dei rischi, sulla base della struttura esistente
attraverso una mappatura delle attività aziendali;
2) di confronto della realtà esistente con i dettami del D.lgs 231/2001;
3) di costruzione del modello, con i relativi interventi organizzativi, ed
elaborazione di un sistema di controllo;
4) ed infine quella di effettiva operatività del modello realizzato.
La fase di avvio, riconducibile alla fase di individuazione dei rischi, è stata
articolata nei seguenti principali adempimenti:
♦ perimetrare i processi sensibili rispetto ai reati previsti dal d.lgs.
231/2001;
♦ rappresentare e delimitare i centri di responsabilità;
♦ descrivere per aree e processi la situazione esistente.
Con la fase successiva, si procede a:
♦ confrontare l’assetto organizzativo aziendale ai requisiti previsti dal
provvedimento normativo;
♦ individuare le aree di miglioramento in materia di controllo interno;
♦ confrontare la realtà in essere con i possibili disallineamenti rispetto al
modello normativo, nel rispetto del modello dettato dall’Associazione di
categoria.
La terza fase ha riguardato propriamente la costruzione del modello aziendale
articolato in un quadro normativo di riferimento e nei contenuti organizzativi.
100
Particolare attenzione si deve prestare in questa fase alla individuazione
dell’organismo di vigilanza e controllo, operando una attenta analisi delle opzioni
formulate dal modello di comportamento ABI 58.
Tra le diverse opzioni si può individuare il soggetto ritenuto idoneo nel Comitato
di Audit già composto da soggetti indipendenti e da componenti del consiglio di
amministrazione anche rappresentativi della minoranza.
Per renderlo conforme alle prescrizioni normative è necessario integrarlo nella
composizione inserendovi il Compliance Officer e il Presidente del collegio
sindacale, per le materie di rispettiva competenza, trasformando la denominazione
in Comitato di Audit e Compliance.
La quarta ed ultima fase, da non sottovalutare perché fondamentale
per l’efficacia del modello, è riconducibile alla vita del modello organizzativo
ossia alla sua diffusione dello stesso, alla formazione e sensibilizzazione del
personale ed in genere dei collaboratori, nonché di manutenzione del modello
rispetto alle successive modifiche organizzative e normative.
La manutenzione del modello è uno dei punti nevralgici del sistema: il modello
adottato infatti, oltre ad essere ovviamente perfettibile, ha bisogno di essere
continuamente tarato sulla realtà aziendale e sul contesto normativo tempo per
tempo esistenti.
Infine, i modelli, in quanto strumenti organizzativi della vita dell’ente, devono
qualificarsi per la loro concreta e specifica efficacia e per la loro dinamicità e
versatilità. Devono inoltre scaturire da una visione realistica ed economica dei
fenomeni aziendali e non esclusivamente giuridico-formali.
2.7 AICOM, LINEE GUIDA PER IL MANAGEMENT
Nella pratica sono state tracciate linee guida nella composizione e redazione dei
modelli organizzativi ad opera di varie associazioni. Alcune di queste
suggeriscono la separazione di compiti tra coloro che svolgono fasi cruciali
nell’ambito di un processo aziendalmente considerato a rischio, l’attribuzione dei
58
ABI, Linee guida dell’Associazione Bancaria Italiana per l’adozione di modelli organizzativi
sulla responsabilità amministrativa delle banche (d.lgs. n. 231/2001), febbraio 2004.
101
poteri di firma coerenti con le responsabilità organizzative e gestionali, l’esistenza
di un sistema di monitoraggio idoneo a segnalare in tempo reale situazioni di
criticità.
L’AICOM, (Associazione Italiana Compliance) è un associazione non
riconosciuta, senza finalità di lucro, nasce allo scopo di contribuire a promuovere
la cultura della compliance all’interno del sistema finanziario italiano e dei diversi
settori industriali, allineandosi ai contesti internazionali nei quali operano
importanti associazioni e perseguendo i principi enunciati già dall’ottobre 2003
dal Comitato di Basilea.
Allo scopo di promuovere e supportare il ruolo di Compliance AICOM ha deciso
di emanare le proprie Linee Guida per garantire che lo svolgimento di tale
compito risponda a quei requisiti basilari di autonomia, indipendenza e
autorevolezza senza i quali esso non potrebbe risultare realmente efficace.
Ove presente la Funzione risponde, al momento, più a specifiche esigenze di
governo e controllo preventivo interno che a regole esterne; lo svolgimento di tale
ruolo (già molto diffuso nel contesto italiano) varia da azienda ad azienda e si
adatta a contesti giuridici e culturali differenti, tipici delle organizzazioni
all’interno delle quali prende corpo.
Realtà differenti spesso significano finalità, perimetri d’intervento e strutture
organizzative non omogenei alla stessa attribuiti. Tuttavia, considerato il rilievo
esterno che i rischi presidiati dalla Funzione assumono, si ritiene utile
raccomandarne l’insediamento nel rispetto di alcuni principi basilari, di seguito
elencati.
AICOM, con la formulazione di propri principi standard, intende:
a) favorire lo sviluppo e la diffusione della cultura della compliance e la
conoscenza delle regole di base che caratterizzano questa attività;
b) agevolare lo scambio di informazioni sui temi legati alla conformità ed al
rispetto delle regole, ponendosi quale interlocutore delle principali
istituzioni
del
mondo
finanziario
e
industriale,
della
Pubblica
Amministrazione e della Vigilanza;
c) offrire supporto consulenziale a tutti coloro che necessitano di
approfondire gli argomenti legati alle materie di compliance.
102
L’Associazione, inoltre, si pone a supporto del management e dei vertici aziendali
che, integrando la Funzione nel sistema di controllo interno, intendono creare
valore per l’azienda, sia in termini di contenimento dei rischi e conseguentemente
di sanzioni e perdite, che in termini di miglioramento dell’immagine e del
marchio aziendale, con conseguente fidelizzazione della clientela e garanzia di
sviluppo di lungo periodo.
Più in generale l’impegno dell’AICOM è quello di far comprendere l’importanza
che assume la tutela della reputazione aziendale e, in particolare, nel settore
bancario, la gestione del banking face value.
Ciò comporta la necessità di non fermarsi al mero rispetto formale di leggi e
regolamenti, ma d’individuare una strategia d’impresa diretta a consolidare le
relazioni aziendali fiduciarie con gli stakeholders di riferimento.
In tale ambito diviene peraltro evidente la stretta correlazione che esiste tra
compliance e responsabilità sociale d’impresa. La compliance, infatti, è un
prerequisito della responsabilità sociale di impresa, non potendosi considerare
socialmente responsabile l’impresa che non rispetta le regole.
AICOM offre alla Funzione di Compliance un supporto nello svolgimento delle
seguenti attività :
a) prevenzione e monitoraggio preventivo dei rischi di compliance;
b) supporto consulenziale all’Organizzazione, al Risk Management, ai
Comitati di Audit e all’Internal Audit, al fine di consentire l’attivazione di
processi di prevenzione (il ciclo di compliance) dei rischi di compliance;
c) favorire lo sviluppo di adeguati flussi informativi di tipo bottom up e top
down sui rischi di compliance nell’ambito dei sistemi di controllo dei
gruppi aziendali.
A tale scopo, premessa la definizione che Basilea attribuisce alla Funzione di
Compliance si espongono le Linee Guida Associative redatte con riferimento al
mondo bancario, ma che possono costituire una guida anche per altri settori di
impresa (società finanziarie, assicurazioni, società quotate in borsa, ecc.).
Secondo il Comitato di Basilea la Funzione di Compliance è:
“An independent function that identifies, assesses, advises on, monitors and
reports on the bank’s compliance risk, that is, the risk of legal or regulatory
sanctions, financial loss, or loss to reputation a bank may suffer as a result of its
103
failure to comply with all applicable laws, regulations, codes of conduct and
standards of good practice (together “laws, rules and standards”.
Da ciò si evince che, per ciò che concerne i rischi di compliance, la Funzione
deve:
a. attuarne l’identificazione;
b. definire le procedure di monitoraggio e di controllo;
c. offrire supporto consultivo alle strutture aziendali;
d. seguire lo sviluppo delle normative nazionali ed internazionali;
e. formulare il reporting destinato agli organi amministrativi e di controllo
dell’azienda;
f. mantenere i rapporti con gli Organi di Vigilanza e con le Autorità;
g. coordinare e intervenire nell’attività di formazione e di sensibilizzazione
del personale, promuovendo lo sviluppo della cultura etica e deontologica
e di controllo..
Nel rispetto di tali principi AICOM 59 segue e sviluppa le tematiche connesse al
mondo della compliance.
2.8 AICOM, COLLOCAZIONE ORGANIZZATIVA, COSTI E BENEFICI
DELLA
FUNZIONE
COMPLIANCE
NELLE
BANCHE
CHE
OPERANO IN ITALIA
AICOM, Associazione Italiana Compliance, ha pubblicato, sul proprio sito i
principali risultati di una ricerca 60, relativa al profilo organizzativo, i costi ed i
benefici derivanti dall’introduzione della funzione compliance nelle società
finanziarie, è stata condotta 61 congiuntamente dall'AICOM, dall'Università di
Perugia e dalla Facoltà di Economia “Federico Caffè” dell'Università di Roma
TRE.
59
Associazione Italiana Compliance – AICOM,
compliance,consultabile sul sito www.assoaicom.org
Linee guida per la funzione
60
AICOM, Collocazione organizzativa, costi e benefici della funzione compliance nelle banche
che operano in Italia, consultabile sul sito www.assoaicom.org
61
Hanno partecipato all’indagine il Prof. R. Aguiari insieme ai laureandi L. Gallo e E. Bovoli per
la Facoltà di Economia “Federico Caffè” dell'Università di Roma TRE, l’avv.to C.Cola Presidente
AICOM e il Prof. L. Nadotti e la Dott.sa M. Gallo per l’Università degli studi di Perugia.
104
Il questionario era composto da 18 domande, suddivise in tre sezioni:
1) la collocazione organizzativa e la struttura della funzione compliance;
2) i costi e i benefici della funzione compliance;
3) la valutazione della percezione del compliance risk
Il campione oggetto di valutazione era composto da 33 aziende, prevalentemente
primarie banche nazionali e diverse tra le maggiori banche estere operanti in
Italia; solo 4 delle società che hanno risposto al questionario sono intermediari
non bancari.
Per quanto riguarda la collocazione organizzativa e la struttura della funzione
compliance, è emerso che la funzione Compliance è già presente nel 70% delle
aziende che rispondono al questionario 62. Fra le aziende che hanno già un'unità di
compliance (il 70% del campione esaminato) il 65% ha istituito un'unità apposita
mentre il restante 35% ha assegnato le funzioni di compliance ad unità
preesistenti.
Figura 2.9 – Unità di compliance
62
Si deve notare però che il campione di aziende preso in considerazione è stato volutamente
costruito al fine di includere le banche e le società finanziarie che sono apparse più sensibili
all’argomento della gestione dei rischi di compliance (sensibilità confermata anche dalla
partecipazione all’iniziativa).
105
Figura 2.10 – Unità di compliance apposita funzione / funzione preesistente
Per quanto riguarda l’ambito delle funzione compliance i dati sono:
♦ D.lgs 626/94 29%;
♦ Altro 54%;
♦ L. Privacy 75%;
♦ D.Lgs 231/2001 75%;
♦ Tub e normative di attuazione 83%;
♦ Tuf e normativa di attuazione 88%;
♦ Anti money laundering 92%;
♦ Market abuse 92%.
I risultati evidenziano un perimetro della compliance molto ampio, in cui risulta
consolidata la presenza di alcune attività, in particolare l’antiriciclaggio e la
normativa sul market abuse.
Per quanto riguardi i benefici ottenuti dall'introduzione della funzione compliance
nella azienda i scultati sono:
♦ Effettiva riduzione dei rischi 50%;
♦ Migliore tempestività e qualità nel dare risposte e trovare soluzioni 27%;
♦ Maggiore consapevolezza dei rischi dai responsabili delle diverse unità
73%;
♦ Maggiore consapevolezza dei rischi dal vertice aziendale 45%.
106
Per quanto riguarda il livello di conoscenza e consapevolezza dei rischi di
compliance i dati rivelano che il livello medio di conoscenza e consapevolezza dei
rischi di compliance sembra essere piuttosto elevato e descrive una popolazione
pronta a ricevere nuovi input da parte delle autorità preposte.
La ricerca si conclude con alcuni brevi spunti di riflessione molto interessanti.
L’attività di compliance deve essere organizzata al fine di contribuire alla
“creazione di valore”, minimizzando il rischio di incorrere in multe e sanzioni
varie e prevenire eventi dannosi che possano ledere l’immagine e la reputazione
dell’azienda, ma evitando che tali controlli di conformità si traducano in mere
verifiche burocratiche e inefficienti, incompatibili con i processi produttivi
aziendali, che creano invece un ambiente in cui la compliance è percepita come un
elemento di fastidio.
I costi sostenuti per implementare una unità interna indipendente incaricata di
svolgere l’attività di compliance rappresentano un vero e proprio investimento di
carattere pluriennale, non più la sola conseguenza della conformità a norme e
regolamenti, per non incorrere in sanzioni penali o amministrative, ma una sfida
strategica di gestione aziendale, che prenda il via dalla constatazione di trovarsi in
un mercato competitivo internazionale.
107
Capitolo 3
COMPLIANCE E MANAGEMENT: GESTIONE DEL RISCHIO
3.1
UN APPROCCIO OLISTICO ALLA FUNZIONE COMPLIANCE
C’è molta preoccupazione sull'approccio che molte aziende stanno seguendo per
adeguare i meccanismi organizzativi (strutture, formazione, procedure) e il livello
di esplicitazione della Funzione di Revisione e Controllo Interno all’insieme delle
normative.
A fronte di una proliferazione di dispositivi legislativi a livello nazionale ed
europeo e di una serie di scadenze perentorie in merito agli obblighi che gravano
sulle imprese, le iniziative che possono distinguersi per novità dell'approccio e dei
meccanismi sono davvero scarsi. L'approccio suggerito è sicuramente di tipo
"olistico 63", ovvero ispirato da una considerazione che da diversi decenni la
letteratura considera oramai assodata: l'impresa non può essere considerata un
sistema di settori, ma sempre più un sistema di processi, ognuno dei quali è
caratterizzato da "rischi" di varia natura (Basilea ne propone una prima
classificazione). Se i processi, com'è dimostrato, rappresentano la componente
dinamica dell'impresa, allora il Sistema di Controllo deve essere necessariamente
omnicomprensivo e seguito da una Regia interna, al fine di omogeneizzare ed
armonizzare regole, obiettivi, metodi ed, infine, la cultura. Cultura che non può
essere realizzata con semplici interventi sporadici e puntuali, ma solo grazie ad
una meticolosa opera di sensibilizzazione del management e delle risorse interne,
attraverso piani formativi e change management dedicati, attraverso la
condivisione di obiettivi chiari e specifici e mediante strategie di struttura
organizzativa ben ponderate. La regia dovrà governare il modello organizzativo
che assicurerà la "Compliance" aziendale al sistema normativo generale.
Insomma, la Compliance è sicuramente un argomento complesso, sta alle imprese
la scelta di renderlo più o meno complicato.
Negli anni recenti molte aziende hanno tentato con maggiore o minor fortuna di
conformarsi ai vari requisiti normativi (Basilea II, d.lgs 231/01, Sarbanes-Oxley
63
Adopting a Holistic Regulatory Compliance Approach: An Analysis of Total Cost of Ownership
(TCO) And Return on Investment (ROI) Benefits By Jeff Jinnett, JD, CISSP, MCP
108
Act ecc.), uno per volta. Ma questo approccio ha spesso portato a iniziative
costose e non ben mirate, che richiedevano ingenti investimenti e continui
aggiustamenti, portando effettivamente la compliance ad essere un onere troppo
elevato rispetto ai benefici da essa derivanti.
I CIO più avveduti hanno però scoperto che si ottengono risultati migliori se i
manager adottano una visione olistica della conformità aziendale. Anziché
considerare ogni normativa come una sfida isolata e a sé stante, i CIO più
all'avanguardia ora elaborano le iniziative di conformità secondo un approccio ad
ampio spettro, essenzialmente servendosi di processi gestionali standardizzati per
garantire una copertura generale volta a soddisfare più normative.
Una strategia olistica di successo è caratterizzata da sei requisiti essenziali:
1) Un deciso coinvolgimento del management esecutivo;
2) Opportuni sistemi di controllo aziendale;
3) Verifiche regolari;
4) Formazione
ad
ampio
spettro
(economico,
giuridico,
tecnico,
amministrativo ecc.) e comunicazioni regolari;
5) Meccanismi di feedback che coinvolgano i dipendenti;
6) Piani d'azione correttivi e disciplinari efficaci destinati a risolvere le
inosservanze in materia di conformità.
Sebbene le strategie di attuazione della compliance siano diverse da azienda ad
azienda, le iniziative capaci di dare i risultati attesi hanno vari elementi chiave in
comune. Innanzitutto, la conformità non può prescindere da un opportuno
investimento finanziario. PricewaterhouseCoopers riporta che il 51% delle
multinazionali americane ed europee aumenteranno la spesa media destinata
all'attuazione della conformità di un buon 23% nel corso dei prossimi 12 - 24
mesi. In secondo luogo, la conformità è una necessità per tutti i tipi di aziende,
siano esse pubbliche, private, grandi, medie o piccole. Le start up ad azionariato
privato, ad esempio, devono aderire ai criteri delle norme GAAP (Generally
Accepted Accounting Principles) per essere pronte ad gevolare possibili IPO
(Initial Public Offering) o per attirare più facilmente potenziali acquirenti. Inoltre,
le società a capitale privato e le società non statunitensi devono spesso dar prova
della loro conformità normativa per avere relazioni commerciali con grandi
società quotate in borsa che vogliono garantire a tutti i propri soci operazioni
109
commerciali trasparenti. In terzo luogo, la compliance presuppone un'efficace
collaborazione in particolare fra CEO, CFO, CIO, consulenti legali e Chief
Compliance Officer di un'azienda, ma in generale fra tutti i dirigenti.
Questo livello di comunicazione è essenziale, perché la definizione di conformità
aziendale continua a cambiare. I dirigenti inoltre ricevono spesso pareri e
indicazioni contraddittorie dai vari revisori. Le normative internazionali in materia
di conservazione dei dati e di procedure aziendali sono spesso in contrasto fra
loro. L'imminenza della scadenza dell'adeguamento alle normative, poi, induce le
organizzazioni a cercare delle scorciatoie, come ad esempio documentare un
processo gestionale superato, anziché soluzioni efficaci nel lungo periodo, come
l'automazione di tali processi.
Adottando una visione olistica della conformità, le organizzazioni possono
vincere queste sfide e adeguarsi in modo più efficace alle nuove normative che si
profilano all'orizzonte.
È necessario rendersi conto che non esiste orientamento unico che sia in grado di
soddisfare tutte le esigenze di compliance. Essa richiede invece una serie di
processi e soluzioni, e una sorveglianza continua.
Sono molti i CIO che condividono questo punto di vista. Secondo un articolo della
rivista CIO Insight, un buon 87% dei reparti IT aziendali è formalmente coinvolto
nel processo di continuo adeguamento alla conformità normativa e il 46% dei CIO
prevede per il 2005 un aumento della spesa IT destinata alla compliance.
In tutto il mondo, i senior executive IT sono alle prese con la necessità di
soddisfare decine di requisiti di conformità a normative locali, statali, federali e
internazionali. In generale, tali normative sono finalizzate a garantire la
riservatezza delle informazioni sui clienti, la sicurezza dei dati e l'integrità delle
informazioni, migliorando nel contempo i controlli finanziari e i processi
gestionali generali.
La conformità non è facilmente attuabile. Le organizzazioni più attente, ogni volta
che passano da un'iniziativa di conformità (ad esempio la Direttiva UE in materia
di protezione dei dati) alla successiva (ad esempio il Sarbanes-Oxley), anziché
affrontare ciascuna di esse in modo isolato, scelgono l'approccio olistico alla
conformità, adottando una serie di processi e di soluzioni generalmente applicabili
a tutti i principali requisiti normativi attuali. Le organizzazioni all'avanguardia si
110
rifanno a sei regole fondamentali per raggiungere e mantenere la conformità
normativa:
1) Dare l'esempio. La conformità normativa inizia dai vertici. Il management
deve prendere sul serio e ritenersi responsabile dell'attuazione della
compliance;
2) Implementare controlli appropriati. Adottare processi e procedure adeguati
per proteggere le attività dell'azienda da danni accidentali o intenzionali;
3) Svolgere i controlli con regolarità. Rivedere le procedure di controllo con
cadenza regolare e rafforzare quanto prima gli anelli più deboli della
catena;
4) Formare e comunicare con regolarità. Informare i dipendenti su ciò che ci
si attende da loro per mezzo di comunicazioni regolari in forma scritta ed
elettronica, a cui far eventualmente seguire discussioni verbali;
5) Dare ascolto alle critiche. Predisporre un processo che permetta ai
dipendenti di esprimere le proprie preoccupazioni, senza timore di
conseguenze. Ad esempio, creare una hot line per comunicazioni anonime;
6) Agire opportunamente e con rapidità. Quando sorgono dei problemi di
conformità, eseguire un controllo e, se opportuno, adottare misure
disciplinari o correttive.
Prima regola - Iniziare dall'alto
La prima regola riguarda esclusivamente i dirigenti. Senza un coinvolgimento
serio e costante del top management dell'azienda, le iniziative di conformità sono
destinate a incontrare difficoltà o al fallimento totale. Grazie all'interesse dei
manager, le aziende stanno iniziando a pensare alla compliance più come a un
insieme di “best practice” piuttosto che come a una semplice “legge” da
osservare 64. In altre parole, ora il management accetta la compliance come una
componente necessaria delle attività di business e dell'impegno a mantenersi
onesti. Il timore, l'ostilità e l'inosservanza della normativa e delle iniziative legate
alla conformità stanno cominciando a lasciare il passo alla cooperazione, al
riconoscimento di opportunità e al rispetto. Questo è quanto sta succedendo nelle
società più avanzate. Si deve poter contare su un atteggiamento di condivisione a
64
Afferma Sanjay Anand, autore del testo “The Sarbanes-Oxley Guide for Finance and
Information Technology Professionals”, una guida alla normativa Sarbanes-Oxley per operatori
finanziari e IT.
111
partire dal consiglio di amministrazione in giù, in tale processo di condivisione il
management deve prendere sul serio e ritenersi responsabile dell'attuazione della
compliance e della diffusione della sua cultura in tutta l’azienda.
Il consiglio di amministrazione deve comprendere anche un Compliance
Committee che si riunisce formalmente almeno otto volte all'anno. Dopo l'avvento
del Sarbanes-Oxley Act, questi comitati sono divenuti ancora più attivi e
comunicano regolarmente con il Presidente e CEO, con il CFO, il CCO, il Senior
Vice President e CIO e con altri protagonisti del processo di conformità. Il
Consiglio svolge inoltre un ruolo di primo piano nel reclutare dirigenti esperti di
compliance e nel garantire soluzioni organizzative orientate alla conformità
normativa.
Bisogna inoltre pensare in modo globale, invece di affrontare il problema della
conformità regione per regione, le aziende devono adottare una visione totale. È
quindi necessario essere al corrente di queste normative in quanto riguardano vari
settori dell'industria e paesi diversi. Questo è possibile soltanto se il team dei
senior executive ha un'esperienza di livello internazionale e familiarità con le
prassi e le normative locali dei vari paesi del mondo.
La natura umana non cambia di molto da paese a paese, le differenze fra una
regione e l'altra sono culturali. Per implementare un programma di conformità che
possa essere definito internazionale, è necessario tener conto delle varie culture.
In alcuni paesi un regalo da 250 dollari per un partner commerciale può essere
appropriato e ragionevole, in altri potrebbe essere contro le regole.
Bisogna quindi stabilire quali sono per i documenti più importanti per il proprio
business e quali leggi ne regolano la conservazione nei vari mercati in cui si
opera.
In quei casi si devono individuare le normative più severe e soddisfarle, per poi
soddisfare tutte le altre normative relative al proprio settore di business.
Seconda regola – Implementare controlli appropriati
Una volta costituito un team di provata esperienza responsabile della conformità,
si passa a documentare e valutare tutte le procedure gestionali. In questa fase,
molte aziende scoprono di avere procedure antiquate o manuali non conformi alle
normative correnti.
112
Alcune organizzazioni ad esempio non prevedono una separazione dei compiti fra
personale di vendita, dirigenti finanziari e altri reparti dell'azienda.
Ad esempio, CA 65 si avvale del proprio software, come pure della piattaforma
software di classe enterprise di SAP AG per garantire che vengano effettuati i
controlli opportuni. In particolare, l'iniziativa Global Computing Controls (GCC)
della società utilizza soluzioni BrightStor per la gestione, la protezione e il
recupero dei dati, eTrust per il controllo degli accessi e le attività di auditing e
amministrazione, ed eTrust CA-TopSecret Security per la protezione dei sistemi
operativi e dei database aziendali.
Inizialmente, l'implementazione dei controlli appropriati può sembrare un'impresa
titanica. Ma i senior executive possono sfruttare svariati standard fondamentali
come punti di partenza e semplificare così il processo. Ad esempio possono
adottare il COBIT (Control Objectives for Information and related Technology),
un diffuso standard metodologico messo a punto dalla Information Systems Audit
and Control Association (ISACA) e dall'IT Governance Institute, pubblicato nel
1996 e aggiornato regolarmente. Secondo la definizione dell'istituto, il COBIT
rappresenta un insieme di obiettivi di controllo generalmente accettati per tutti i
sistemi informativi aziendali, ovvero personal computer, minicomputer,
mainframe e ambienti distribuiti. Esso si basa sul concetto che le risorse IT
devono essere gestite da un insieme di processi raggruppati per affinità naturale al
fine di fornire le informazioni pertinenti e affidabili di cui, nell'opinione
dell'istituto, necessita un'organizzazione per raggiungere i propri obiettivi.
Mentre il COBIT, adottato da società dislocate in oltre 100 paesi, è focalizzato su
un'efficace IT governance, ITIL (IT Infrastructure Library) è un'infrastruttura di
gestione di processi e servizi, più pratica nel suo approccio alla gestione IT del
COBIT; inoltre, secondo Forrester Research di Cambridge, Massachussetts, essa
opera a un livello più capillare rispetto a quello delle infrastrutture di governance
tradizionali.
La metodologia ITIL si articola in una serie di documenti contenenti linee guida
su come fornire servizi IT di qualità e sulle infrastrutture logistiche e di ambiente
65
Computer Associates International, Inc.; CA opera nel settore del software per la gestione delle
risorse informatiche delle imprese. Oltre il 95% delle società “Global 1000” utilizza il software
CA per soddisfare i requisiti normativi producendo la documentazione necessaria più rapidamente
e semplicemente
113
necessarie per supportare l'IT secondo quanto stabilito dall'Office of Government
Commerci di Norwich in Gran Bretagna.
Un altro importante standard di controllo è l'ISO (International Organization for
Standardization) 17799. Sebbene le metodologie COBIT e ITIL si riferiscano alla
necessità della sicurezza IT e ne illustrino le caratteristiche, secondo Forrester
esse tuttavia non forniscono direttive dettagliate a proposito della struttura pratica
della sicurezza e dei controlli IT. Né ITIL né COBIT, quindi, sono
sufficientemente specifici circa la sicurezza delle informazioni al punto di
soddisfare le esigenze di un'organizzazione a questo particolare livello. È in
questo ambito che abbiamo invece assistito a un'adozione generalizzata della
ISO17799 (BS17799), norma su cui è basato lo schema intorno a cui viene
costruita un'architettura di sicurezza informatica. Come già altri schemi di base, la
ISO17799 fornisce una struttura all'interno della quale sviluppare e organizzare i
controlli specifici per la propria realtà operativa, per quanto, riferisce Forrester,
essa non provveda automaticamente a “riempire gli spazi vuoti” durante il
processo di documentazione.
Oltre a implementare standard orientati ai controlli, le società continuano a
investire pesantemente in software e servizi IT in linea con i requisiti di
conformità. Secondo la rivista CIO Insight, il 45% delle organizzazioni intende
infatti acquistare quest'anno software di business continuity, seguito da software
di tracciabilità delle e-mail (38%), gestione dei contenuti (32%) e financial
reporting (29%).
Terza regola - Svolgere i controlli con regolarità
CIO Insight riporta che circa il 60% delle società ha implementato processi per il
monitoraggio continuo dell'efficacia delle iniziative di conformità adottate, e un
ulteriore 30% ha in programma di sviluppare tali processi nel corso del prossimo
anno.
Molti CIO paragonano le scadenze dell'adeguamento alle normative di oggi, al
panico informatico che si verificò nel 1999 per il passaggio all'anno 2000
denominato “millennium bug”. A differenza del problema dell'anno 2000, però, le
iniziative di conformità di oggi richiedono un'applicazione costante e ripetuti
controlli. Allora le aziende erano in corsa con il tempo per controllare miliardi di
114
righe di codice e, se necessario, aggiornare le applicazioni per supportare le date a
quattro cifre, ovvero “2000”, in alternativa a quelle a due cifre, ovvero “00”.
“La maggior parte delle società è in attesa di capire che vento tira fra i revisori e
come reagisce il mercato a esiti di controlli interni non proprio cristallini,”
afferma Larry White, presidente del consiglio di amministrazione dell'Institute of
Management Accountants 66 (www.imanet.org), che conta più di 70.000 membri.
“Le aziende stanno cominciando a capire che – la conformità – non è uno di quei
grandi eventi che si verificano una volta sola, seguiti da un improvviso calo di
attenzione. Se si vuole mantenere la conformità, non si può mollare la presa. Le
aziende dovranno cominciare a cercare soluzioni per rendere più efficiente il
lavoro di tutti i giorni.” John Halamka della Harvard Medical School ha qualcosa
da dire in proposito. “Sei mesi fa pensavamo di aver predisposto tutti i controlli
necessari per le nostre policy di security,” ricorda Halamka. “Ma i nuovi attacchi e
i malware più recenti ci hanno costretto a modificare le nostre policy e a
sviluppare nuovi strumenti di valutazione per capire se qualcuno qui utilizza
software peer-to-peer o altre applicazioni contrarie alle nostre policy.”
L'approccio proattivo della Harvard Medical School nei confronti della
conformità non è tuttavia condiviso da molte organizzazioni che, invece,
affrontano i problemi man mano che si presentano. “Si tende a rispondere al fuoco
senza elaborare processi sostenibili efficienti,” osserva con rammarico White. “In
particolare per quanto riguarda la Sarbanes-Oxley Act, le organizzazioni tendono
ad applicare una logica di controllo alle verifiche, ma non attingono alle tecniche
di monitoraggio continuo dei processi, tipiche della produzione industriale, per
controllare la qualità.”
Anche le modifiche del codice di applicazioni legacy possono minare gli sforzi
compiuti per soddisfare i requisiti di conformità. “Nel mondo IT, molti fra i
programmatori migliori e i membri dello staff ricorrono a degli espedienti per
intervenire sui sistemi legacy”, osserva Chellappa Kumar, CIO del New York
College of Osteopathic Medicine (NYCOM), la seconda scuola di medicina più
grande degli Stati Uniti, ubicata a Old Westbury, New York. “Queste persone non
66
Institute of Management Accountants - IMA, (www.imanet.org), conta più di 70.000 membri.
IMA è dedicato a riequilibrare la professione di contabilità istruendo la società per quanto riguarda
il ruolo della costruzione di affari dei management accountants e dei professionisti della finanza
che lavorano all'interno delle organizzazioni.
115
lascerebbero mai intenzionalmente libero accesso ai dati, ma questi espedienti
possono creare inavvertitamente le condizioni perché ciò succeda”.
Quarta regola - Informare
Naturalmente,
qualsiasi
misura
di
controllo
aziendale
orientata
all'implementazione della conformità non vale nulla senza una comunicazione e
una formazione degli utenti adeguate. “Comunicare la filosofia di base e una
formazione adeguata in itinere sono per le società le due aree più irte di ostacoli
quando si tratta di conformità,” afferma Anand 67, esperto di compliance e autore
di successo. “Pur a fronte del dovuto coinvolgimento del top management e di
investimenti sufficienti in sistemi e tecnologia, la preparazione dei dipendenti in
relazione all'importanza della conformità e nel come utilizzare correttamente gli
strumenti a disposizione, è l'area in cui le aziende sono più carenti.”
“Il training e il riorientamento culturale sono due dei più importanti fattori di
successo per un'implementazione riuscita della conformità normativa,” aggiunge
Chellappa Kumar del NYCOM, che dedica circa il 20% del suo tempo alle
problematiche di compliance. “È essenziale far sì che il personale prenda sul serio
il problema della conformità. Spesso vedo che le organizzazioni cercano soltanto
una soluzione tecnica, dimenticando che devono convincere i dipendenti di quanto
sia importante la conformità.”
Al NYCOM, Kumar tiene ogni mese degli incontri di carattere pratico con gli
utenti, durante i quali vengono prese in esame le problematiche correnti in fatto di
processi e le possibili soluzioni tecniche dei problemi individuati. Altre
organizzazioni hanno inserito materiale sulla compliance nei documenti di HR
(human resources), nelle intranet e nella newsletter elettronica mensile indirizzata
ai dipendenti.
Quinta regola - Dare ascolto alle critiche
Se una società si dimostra carente in termini di compliance, i dipendenti devono
avere a disposizione dei canali di comunicazione che consentano loro di esprimere
le proprie perplessità senza timore di
67
Sanjay Anand, CEO of Sarbanes Oxley Group, nel gruppo è incluso il giornale Sarbanes-Oxley
compliance journal, www.s-ox.com, il quale si occupa di Proposed Rules, Final Rules, Concept
Releases, Interpretive Releases, Policy Statements and PCAOB Rulemaking. Suggerendo alle
aziende su come possono interessare e su come occuparsi di loro.
116
conseguenze. Questi possono essere costituiti da una hot line per comunicazioni
anonime o da account di posta elettronica anonimi che diano ai dipendenti la
possibilità di rendere note le proprie osservazioni.
“Oltre a fare in modo che questi canali di comunicazione vengano creati, occorre
anche accertarsi che tutti i dipendenti siano a conoscenza della loro esistenza,” ha
sottolineato Ed Golod, presidente di Revenue Accelerators, una società di New
York specializzata in servizi di consulenza strategica per i manager.
L'Health Science Center dell'Università del Texas, ad esempio, mette a
disposizione un numero verde tramite il quale i dipendenti possono denunciare in
forma anonima casi sospetti di violazione delle leggi federali o statali o del
regolamento dell'università.
Inoltre i dipendenti possono utilizzare la hot line dedicata alla conformità per
porre quesiti in caso di dubbio su come comportarsi in una particolare situazione.
Tutte le accuse di presunte violazioni vengono riportate all'Office of Legal Affairs
and Institutional Compliance dell'Health Science Center dell'Università del Texas
per approfondimento. L'origine della chiamata non viene rintracciata, né le
chiamate vengono registrate e il centro non dispone di funzioni di identificazione
del chiamante. Agli anonimi che chiamano viene tuttavia fornito un numero di
segnalazione che possono utilizzare per richiamare la hot line dedicata alla
conformità per aggiornamenti sulla questione sollevata. I dipendenti che chiamano
la hot line sono protetti contro ritorsioni o altre conseguenze dalla legge statale e
federale e dal regolamento dell'università.
Anche CA (Computer Associates International, Inc) ha creato una hot line
dedicata alla conformità etica. Durante le riunioni del comitato di controllo della
società, il CCO (Chief Compliance Officer) esamina lo stato di tutte le chiamate
con i membri del comitato per garantire che tutte vengano attentamente analizzate.
Sesta regola – Agire opportunamente e con rapidità
Quando sorgono dei problemi di conformità, le aziende devono eseguire un
controllo e, se opportuno, adottare misure disciplinari o correttive.
Secondo il parere di Faegre & Benson, uno studio legale di Minneapolis,
Minnesota, le aziende dovrebbero decidere come condurre delle indagini in
materia di conformità prima di trovarsi ad affrontare un'accusa o una denuncia
specifica. Molto importante, nell'opinione dello studio, è decidere se condurre
117
l'inchiesta internamente (e in tal caso chi dovrebbe farlo) o se rivolgersi a un
investigatore esterno. La seconda soluzione potrebbe giocare a favore
dell'indipendenza e della credibilità dell'inchiesta, facilitare l'interazione con i
revisori della società in relazione al raggio d'azione e ai risultati dell'inchiesta e
rendere più semplice la gestione delle questioni riguardanti il cosiddetto
“attorney-client privilege 68” .
Un altro aspetto importante è fare in modo che l'investigatore abbia accesso libero
e immediato a tutti i documenti pertinenti; ciò implica che le aziende devono
avere sistemi di archiviazione e conservazione dei dati efficaci e adeguati alle
normative in essere e a quelle di una potenziale introduzione futura di ulteriori
regole.
“Il numero e la rigorosità delle normative in materia di conformità aumenterà
piuttosto che diminuire,” sostiene Sanjay Anand, CEO di Sarbanes Oxley Group,
“Questo è dovuto all'evoluzione socio-economica del business e della società.
Assisteremo inoltre a una diminuzione esponenziale dell'ostilità nei confronti di
questa legislazione negli anni a venire, man mano che impariamo ad adattarci alle
nuove realtà delle funzioni manageriali e della responsabilità aziendale. La
conformità normativa continuerà a cercare di salvaguardare l'onestà delle persone,
a tutto vantaggio del maggior numero di soggetti interessati e degli azionisti.”
Il CCO di CA, Gnazzo, conclude: “Qualcuno deve assumersi la responsabilità
globale di garantire che vi sia un coordinamento fra i requisiti di conformità
attuali e futuri.” In CA e in altre società avanzate questa responsabilità globale
investe innanzitutto il Consiglio di amministrazione, estendendosi a CEO, CFO,
CIO e Chief Compliance Officer. Facendo leva su questo capitale intellettuale e
sugli strumenti IT appropriati, le aziende possono raggiungere e mantenere
un'efficace conformità normativa.
La compliance avrà sempre meno a che vedere con il tradizionale approccio della
conformità. Il management che aspira ad avere un ruolo anche al di fuori dei
propri confini nazionali ha capito che occorre passare da un approccio statico
amministrativo e corporativo, centrato sul solo rispetto delle norme, a una visione
dinamica, economica e individuale della singola impresa, che fa perno sulle
tecniche di gestione del rischio. Tenuto conto del fatto che la produzione
68
attorney-client privilege, “privilegio avvocato-assistito” mirante a consentire uno scambio
d'informazioni completo e libero fra avvocato e assistito, tutelando la riservatezza delle
comunicazioni e dei documenti correlati all'inchiesta o all'erogazione di una consulenza legale.
118
legislativa tende sempre più ad internazionalizzarsi, che i mercati sempre più
estesi e complessi renderanno il concetto di regole sempre più aleatorio, sorge la
necessità di dare spazio alla individualità personale e aziendale. E questo anche
per rispondere efficacemente ai tempi richiesti dalla operatività quotidiana, che
non coincidono con quelli della politica e produzione normativa. Si cercano,
dunque, risposte autonome interpretando sì le tendenze in atto, ma creando regole
di condotta appropriate. Partendo dalla pratica operativa quotidiana, si arriva a
gestire il rischio di compliance individuando le regole migliori per il proprio
business, minimizzando preventivamente il rischio di essere disallineati rispetto
alle regole e definendo come minimizzare successivamente i danni di effettivi
disallineamenti. Entra quindi in gioco il patrimonio culturale e dei valori di
ciascuna azienda, che è chiamata a fare le sue scelte strategiche e tattiche in
coerenza con il proprio ruolo e con le normative che più la riguardano.
La complessità del reticolo normativo impone oggi alle aziende, oltre l’istituzione
di una Unità di compliance quale centro di competenza, anche la capacità di saper
tradurre i principi normativi in cultura aziendale, giacché la compliance deve
essere garantita dall’impresa nel suo insieme e dunque da tutti i suoi collaboratori.
3.2
L RUOLO E LE RESPONSABILITÀ DEL TOP-MANAGEMENT:
DIFFUSIONE
DELLA
CULTURA
COMPLIANCE
NELL’ORGANIZZAZIONE
La visione generale è che la funzione di compliance, per quanto strutturata, deve
avere accesso diretto al senior management ed alla struttura di governance, i quali
sono responsabili dell’accertamento della compliance ai requisiti regolatori.
Il management riconosce che l’input della compliance è essenziale per prendere le
decisioni strategiche come la riorganizzazione del gruppo al fine di determinare le
modalità attraverso le quali i loro affari rispondono alla compliance ed alle
questioni regolatrici. Al contempo, è necessario che i membri del Board o i senior
executives che hanno il compito di sorvegliare la funzione di conformità abbiano
le abilità, l’esperienza e le qualità regolatrici richieste per distribuire
efficacemente le loro responsabilità.
119
La maggior parte delle funzioni di compliance ha un calendario delle riunioni
convenzionali con il senior management o con i comitati delle varie funzioni
durante l’anno. I rapporti formali riguardanti le attività di compliance sono
presentati tipicamente a tali gruppi su una base semi annuale o annuale. Tale
segnalazione è completata tramite accesso diretto al senior management se vi è
una questione problematica.
Nel rapporto fra il management e le business unit il fattore più importante è la
“fiducia”. Senza di questa, lo staff della compliance non potrebbe realizzare la sua
funzione in tutta la sua interezza.
Il rischio della compliance ha cominciato a ricevere l’attenzione del management
similarmente ad altri rischi, quale il market risk e i rischi operativi. Alcune
organizzazioni inoltre hanno espresso la preoccupazione circa le conseguenze
finanziarie del rischio di compliance e qualcuno aveva stabilito dei collegamenti
fra compliance e management del rischio operativo. Le più grandi organizzazioni
ora tendono ad avere le funzioni d’amministrazione del rischio e comitato di
rischio all’interno della funzione compliance.
Le aziende devono promuovere una cultura organizzativa che consigli il
comportamento etico e ad un impegno di compliance alla legge. Il senior
management è informato della necessità di controllare il rischio di reputazione e
del fatto che i problemi della compliance siano un danneggiamento sicuro della
reputazione di un’impresa, così come potrebbe potenzialmente
incorrere in
penalità.
Tutte le organizzazioni sono state rapide nell’imparare le lezioni dai paesi in cui la
conformità è stata stabilita da più tempo. Le organizzazioni internazionali
principali stanno cercando di sviluppare un metodo costante e olistico per la
compliance.
In generale è stato riconosciuto che la corporate governance e il senior
management di un’istituzione sono responsabili dell’accertamento della
conformità ai requisiti regolatori. La funzione di compliance è una funzione di
staff: il relativo scopo è quello di aiutare, raccomandare e controllare ma non
trasferire la responsabilità regolatrice generale. Sorge a volte un conflitto tra le
funzioni di compliance officer che devono al pubblico correttezza come parte
integrante del sistema regolatore e lealtà alla loro impresa.
120
L’impressione generale è che la maggior parte dei compliance officer sappiano
che il loro ruolo primario è di proteggere gli interessi della loro impresa. La
funzione di conformità ha guadagnato rilevanza come parte sempre più importante
dell’organizzazione del senior management per occuparsi delle materie regolatrici
e dell’annuncio degli argomenti per controllare il rischio di reputazione. Alcuni
dei più grandi attori stanno cominciando ad implementare una funzione forte di
conformità come fonte di vantaggio competitivo ed i regolatori degli Stati Uniti
sono felici di vedere questo ruolo svilupparsi.
In Italia il controllo all’interno dell’azienda, l’etica di affari e l’amministrazione
efficace della compliance sono sempre più critici nella visione di conformità nei
confronti dell’organizzazione. Il modo migliore per salvaguardare la sua
reputazione, deve includere l’etica e la compliance in tutti i sistemi, processi e
procedure nella cultura dell’organizzazione.
Includere l’etica e la conformità nella cultura corporativa può essere una sfida
importante. In questo modo è possibile trasformare il costo imposto dai regolatori
nel valore aggiunto nei confronti del mercato.
I principi della compliance devono essere ampiamente divulgati sia all’interno che
all’esterno della struttura. L’organizzazione decide di accertarsi che i relativi
impiegati conoscano e capiscano tali principi, in conformità con la loro posizione
e ruoli all’interno dell’azienda e promuovano il loro contributo costruttivo.
Quando si parla di controlli, la norma coinvolge, come sempre, anche le
responsabilità del consiglio di amministrazione. La normativa si propone di
“promuovere una cultura aziendale improntata a principi di onestà, correttezza e
rispetto non solo della lettera, ma anche dello spirito, delle norme; (...) di
approntare specifici presidi organizzativi, volti ad assicurare il rigoroso rispetto
delle prescrizioni normative e di autoregolamentazione.”
Il rischio di compliance viene definito in tale ambito come “il rischio di incorrere
in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di
reputazione in conseguenza di violazioni di norme di legge, di regolamenti,
ovvero di norme di autoregolamentazione o di codici di condotta.”
Il consiglio di amministrazione e il collegio sindacale sono considerati
responsabili della supervisione complessiva del sistema di gestione di tale rischio;
detto compito spetta: nel modello dualistico, al consiglio di sorveglianza e al
consiglio di gestione; nel modello monistico, al consiglio di amministrazione. In
121
particolare, il consiglio di amministrazione, sentito il collegio sindacale, con
apposita delibera (non delegabile) approva le politiche di gestione del rischio in
questione, ivi inclusa la costituzione di una funzione di conformità alle norme,
permanente e indipendente. Per le aziende che adottino il sistema di
amministrazione e controllo dualistico, è opportuno che lo statuto della banca
medesima preveda su dette materie una delibera del consiglio di sorveglianza, su
proposta del consiglio di gestione. In caso di modello monistico, la delibera deve
essere approvata, oltre che dal consiglio di amministrazione nel suo complesso,
anche dalla maggioranza dei componenti il comitato per il controllo sulla
gestione.
Almeno una volta l’anno il consiglio di amministrazione, sentito il collegio
sindacale, valuta l’adeguatezza della funzione di conformità alle norme e a tal fine
può avvalersi di un comitato costituito al suo interno; nel modello dualistico, detta
valutazione è svolta dal consiglio di gestione e gli esiti della stessa sono
comunicati al consiglio di sorveglianza, ovvero a un comitato costituito al suo
interno.
La compliance non può essere tale senza una base culturale che consideri il
rispetto delle norme come un valore primario cui l’azienda e il comportamento di
tutti i suoi attori devono ispirarsi. E, come disse una volta R. Breeden, ex
Presidente della SEC: “non è certo uno standard etico adeguato quello di aspirare
a concludere la giornata senza essere incriminati”.
Occorre quindi verificare, innanzitutto, se la cultura aziendale e l’azione
manageriale, che ad essa si ispira, supportino in modo efficace un’azione di
controllo in materia di rischio di compliance. Solo di rado infatti è sufficiente il
cedimento caratteriale di un unico attore per spiegare chiaramente la cattiva
amministrazione di un’azienda 69.
Ad esempio, le prime esperienze in materia di verifiche esterne della compliance
riferite all’applicazione del d.lgs. 231/01 mostrano che l’attenzione del Tribunale
penale è concentrata sulla sostanza e non sulla forma. L’esame del modello
organizzativo ex 231, ad esempio, non viene mai fatto in astratto o in relazione ad
aspetti puramente documentali: ciò che interessa al Giudice è la volontà di
prevenire i reati e l’applicazione pratica dei modelli e delle connesse procedure di
controllo. In linea teorica, se non esiste la propensione a delinquere, il modello
69
Convegno ABI, Il ruolo del CdA nel controllo della compliance, una nuova normativa della
Banca d’Italia in materia di compliance, 16 e 17 ottobre
122
non serve a nulla. Al tempo stesso, il d.lgs 231/01 prevede l’inversione dell’onere
della prova nel caso di soggetti apicali: si suppone che se il reato sia commesso a
questo livello, la società non può essere stata estranea ai fatti. Ovvero si suppone
implicitamente che il funzionamento della società non possa che ispirarsi alla
cultura del top management. Non vale quindi il principio che “se è legale, è
etico”: deve esservi un allineamento sostanziale e permanente tra compliance e
business ethics, tra adeguamento dei comportamenti alle norme e rispetto dei
valori etici dell’organizzazione.
Figura 3.1 – Business ethics
Il controllo sulla compliance presuppone la verifica della coerenza tra la cultura
aziendale e i principi di legge; il ruolo del consiglio di amministrazione è quello di
utilizzare gli strumenti per svolgere un’azione preventiva e di monitoraggio a tal
fine e di promuovere tali valori in tutta l’organizzazione.
La compliance è emersa come una delle aree più importanti di rischio che
un’organizzazione affronta. Ciò che una volta era il rischio meno considerato dal
senior management, rischio della compliance, insieme al reputational risk, hanno
123
raggiunto le zone più tradizionali di rischio, quali accreditamento, il mercato ed il
rischio finanziario per fronteggiare il rischio operativo all’ordine del giorno.
Figura 3.2 – Compliance management
Mentre la maggior parte delle imprese di servizi finanziari hanno sviluppato bene
la competenza dell’identificazione, di valutazione e dell’amministrazione nei
rischi più tradizionali, la compliance ai nuovi regolamenti è fonte della
preoccupazione del board e del senior management.
Tuttavia, la compliance dovrebbe essere osservata non soltanto come sottoinsieme
del rischio, per essere controllata come gli altri rischi, ma anche come un
“enabler” o catalizzatore per la creazione significativa di valore all’interno di
un’organizzazione. Sempre più aziende hanno scoperto che la compliance è una
funzione chiave all’interno dell’organismo aziendale. L’iniziale visione della
compliance come un’altra funzione interna o di controllo per il commercio sta
cominciando a modificarsi e a breve probabilmente sarà mutata completamente.
Sempre più aziende esigono che i loro uffici di compliance facciano uno “step
change” verso un livello di più alto valore aggiunto attraverso: miglioramento
della strategia, implementazione di processi di affari, valutazione del managing
risk, fornendo una consulenza al management, cogliendo le nuove possibilità nei
loro mercati.
124
Questo “step change” richiede una focalizzazione notevole sul contesto, sulle
abilità e sul comportamento del reparto di compliance. Per realizzare questo “step
change” del reparto compliance ci si dovrà allineare, sia all’interno che
all’esterno, alla strategia di affari e alle aspettative del cliente. Per quelli che
realizzano questo cambiamento, le ricompense ed i benefici sono significativi.
Una problematica frequentemente sollevata dai compliance directors e dal senior
management è: “come fa il reparto di compliance a comprendere e raggiungere la
best practice?” La risposta a tale domanda è che tutti i reparti di compliance sono
differenti quanto le aziende in cui operano. Quei reparti di compliance che
possono sostenere in conformità alla legge di essere fautori di best practice
riescono a far coesistere ed operare insieme quattro funzioni del funzionamento
con otto fattori essenziali, in una formula che permette loro di contribuire e
conseguire gli obiettivi generali dell’azienda. Le quattro funzioni del
funzionamento sono:
♦ Dimostrare la conformità alle regole relative;
♦ Includere la compliance all’interno dell’organizzazione;
♦ Controllare il costo di conformità;
♦ Identificare, richiamare e risolvere i problemi di regolazione.
Alcuni CCO (Chief Compliance Officer) hanno indicato che spendono
generalmente troppo tempo sulla prima ed ultima di queste funzioni, mentre
vorrebbero focalizzare i loro sforzi e risorse sulle due centrali.
Altri invece riconoscono che dirigendo i loro sforzi e risorse verso l’inclusione
della compliance ed il controllo dei costi all’interno delle loro organizzazioni,
ridurranno il tempo dedicato alla prima e ultima funzione.
Tuttavia, la dicotomia che affrontano i CCO è quella di impiegare le loro risorse
in modo da accertarsi che tutte e quattro le funzioni del funzionamento siano
controllate simultaneamente, spostando allo stesso tempo l’enfasi alle due
centrali.
Il metodo utilizzato dal top-management delle aziende più avanzate si focalizza
sull’impegno continuo alla compliance dell’organizzazione e permette di
sviluppare programmi di conformità efficaci e che siano in grado di sviluppare
una cultura compliance all’interno dell’azienda.
125
Questo avviene, attraverso una gestione competente e adeguata di risorse, persone
e informazioni con l’obiettivo di ottimizzare il valore, la sicurezza e i controlli dei
processi aziendali:
1) Attraverso i boards e il management “tone at the top”. L’etica negli affari
richiama come un’azienda coltiva una cultura di “fare la giusta cosa” e di
integrarla ai valori del nucleo, quali la responsabilità e la fiducia, nel senso
che il commercio è condotto attraverso l’organizzazione. Sia il board che il
management hanno bisogno di una visione forte e unificata riguardo allo
scopo del programma di compliance. Il management è responsabile della
progettazione ed esecuzione di un efficace programma di compliance,
mentre il board sorveglia l’amministrazione per accertarsi della corretta
esecuzione.
2) Con un codice di condotta “value driven”: i valori servono da obiettivo per
i processi decisionali dell’azienda e determinano come un’azienda si
comporta nei periodi incerti. L’etica e i valori dell’azienda per quanto
riguarda la compliance devono “essere vissuti” ed essere compresi in un
codice di comportamento chiaramente scritto e comunicato chiaramente a
tutti gli impiegati e terzi associati. Questo codice non dovrebbe esprimere
soltanto il valore dell’amministrazione, ma anche identificare e riflettere il
valore degli stakeholder importanti.
3) Con l’integrazione efficace nei business process: l’integrazione con i
processi di affari include le politiche e le procedure di sviluppo;
comunicando ed addestrando, uso del codice di comportamento e relativa
pratica, libere segnalazioni all’amministrazione e al board, comunicando
agli stakeholder le prestazione dell’azienda. L’integrazione si accerta che
il programma di etica e compliance sia operativo ed efficiente.
126
Figura 3.3 – Gestione competente e adeguata
Information System Governance e analisi dei rischi con ITIL e CoBIT, Marco Salvato, KPMG,
studio AIEA, Roma, 6 aprile 2006
Nel progettare una funzione di compliance, un’organizzazione deve considerare
sia i ruoli funzionali che le compliance responsability, considerando le soluzioni
IT (information technology) e le best practice al fine di comprendere anch’esse nel
programma di conformità.
Le pratiche migliori per realizzare una cultura di sostegno della compliance
riguardano:
♦ Board e senior management orientati all’etica e alla conformità;
♦ funzione globale di compliance sostenuta dalle possibilità cross-functional
del management;
♦ comunicazione efficace verso l’alto e verso il basso;
♦ responsabilità costante a tutti i livelli;
♦ integrazione della conformità nel sistema di misura e di ricompensa di
prestazioni specifiche;
127
♦ metodo basato sui valori, sull’etica e sulla conformità;
♦ knowledge management per facilitare buoni risultati del leverage;
♦ miglioramento continuo basato su un uso efficace di misure obiettive di
tecnologia conforme ai requisiti compliance per migliorare il management,
la comunicazione e il controllo;
♦ coinvolgimento costruttivo degli stakeholder interni ed esterni;
♦ miglioramenti di conformità del leverage per permettere miglioramento
negli affari;
♦ misura sistematica di efficacia del programma di compliance, compreso il
controllo e la mitigazione dei costi e dei rischi;
♦ sviluppo dei sistemi di controllo immediato e dei processi efficaci di
risoluzione dei problemi;
♦ definizione nuova del programma di conformità e di etica per comprendere
la struttura che fornisce il supporto per i programmi di responsabilità
sociale d’impresa attraverso la triple-bottom-line relativa alle prestazioni
economiche, ambientali e sociali dell’organizzazione.
3.3 ENTERPRISE
RISK
MANAGEMENT
(EMR)
E
BUSINESS
CONTINUITY
La sopravvivenza di un’azienda è assicurata dalla sua capacità di creare valore per
i suoi stakeholder. Tutte le aziende devono affrontare eventi incerti e la sfida del
management è di determinare il quantum di incertezza accettabile per creare
valore. L’incertezza rappresenta sia un rischio che un’opportunità e può
potenzialmente ridurre o accrescere il valore dell’azienda. L’ERM consente al
management di affrontare efficacemente le incertezze e i conseguenti rischi e
opportunità, accrescendo così le capacità dell’azienda di generare valore. Il
management massimizza il valore quando formula strategie e obiettivi al fine di
conseguire un equilibrio ottimale tra target di crescita e di redditività e rischi
conseguenti, e quando impiega in modo efficiente e efficace le risorse nel
perseguire gli obiettivi aziendali.
128
Figura 3.4 – Equilibrio rischio, valore, costo
Information System Governance e analisi dei rischi con ITIL e CoBIT, Marco Salvato, KPMG,
studio AIEA, Roma, 6 aprile 2006
Un modello di ERM COSO, ha le seguenti caratteristiche.
♦ L’allineamento della strategia al rischio accettabile – Il management
stabilisce il livello di rischio accettabile per valutare le alternative
strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per
gestire i rischi che ne derivano.
♦ Il miglioramento della risposta al rischio individuato – L’ERM fornisce
una metodologia rigorosa per identificare e selezionare tra più risposte
alternative al rischio quella più adeguata (evitare, ridurre, condividere,
accettare il rischio).
♦ La riduzione degli imprevisti e delle perdite conseguenti – Le aziende,
accrescendo la loro capacità di identificare eventi potenziali, di valutare i
relativi rischi e di formulare risposte adeguate, riducono la frequenza degli
imprevisti come pure i costi e le perdite conseguenti.
129
♦ L’identificazione e la gestione dei rischi correlati e multipli – Ogni
azienda deve affrontare una miriade di rischi che interessano diverse aree
dell’organizzazione, e l’ERM facilita la formulazione di un’efficace
risposta ai rischi con impatti correlati e risposte univoche a rischi multipli.
♦ L’identificazione delle opportunità – Analizzando tutti gli eventi
potenziali, il management è in grado di identificare e cogliere
proattivamente le opportunità che emergono.
♦ Il miglioramento dell’impiego di capitale – L’acquisizione di informazioni
affidabili sui rischi consente al management di valutare efficacemente il
fabbisogno finanziario complessivo e di migliorare, così, l’allocazione del
capitale.
Queste caratteristiche proprie dell’ERM aiutano il management a conseguire i
propri obiettivi di performance e di redditività e di evitare perdite di risorse.
Inoltre, contribuiscono ad assicurare l’efficacia del reporting e la conformità alle
leggi e ai regolamenti, e costituiscono un ausilio per evitare danni all’immagine
aziendale e le conseguenze che ne derivano. In sintesi, l’ERM supporta
l’organizzazione nel raggiungimento delle mete desiderate evitando insidie e
imprevisti di percorso.
Per l’impresa gli eventi rappresentano rischi e opportunità. Un evento può avere
un impatto negativo, un impatto positivo, o entrambi. Eventi con impatti negativi
costituiscono “rischi” che possono ostacolare la creazione di valore o erodere
quello esistente. Eventi con un impatto positivo possono compensare impatti
negativi o possono costituire “opportunità”. Le opportunità sono possibilità che un
evento si verifichi e influisca positivamente per il conseguimento degli obiettivi,
contribuendo, così, alla creazione di valore oppure preservando quello esistente. Il
management valuta le opportunità emerse, riconsiderando le strategie formulate in
precedenza o i processi di definizione degli obiettivi in atto ed elaborando nuovi
piani per cogliere i vantaggi che ne derivano.
L’ERM, che tratta dei rischi e delle opportunità che influenzano la creazione o la
preservazione di valore, è definito come il processo di gestione del rischio
aziendale, posto in essere dal consiglio di amministrazione, dal management e da
130
altri operatori della struttura aziendale, utilizzato per la formulazione delle
strategie in tutta l’organizzazione e progettato per individuare eventi potenziali
che possono influire sull’attività aziendale, al fine di gestire il rischio entro i limiti
del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento
degli obiettivi aziendali.
Questa definizione riflette alcuni concetti fondamentali. L’ERM è:
♦ un processo continuo e pervasivo che interessa tutta l’organizzazione;
♦ svolto da persone che occupano posizioni a tutti i livelli della struttura
aziendale;
♦ utilizzato per la formulazione delle strategie;
♦ utilizzato in tutta l’organizzazione: sia nelle sue singole attività (in ogni
livello e in ogni unità della struttura), che nella sua attività complessiva.
Esso include una visione del rischio che considera l’azienda nel suo
complesso;
♦ progettato per identificare eventi potenziali che potrebbero influire
sull’attività aziendale e per gestire il rischio entro i limiti del rischio
accettabile;
♦ in grado di fornire una ragionevole sicurezza al consiglio di
amministrazione e al management;
♦ in grado di conseguire obiettivi relativi a una o più categorie distinte, ma
che si possono sovrapporre.
Questa definizione è intenzionalmente estensiva e racchiude i concetti chiave,
fondamentali per capire come le aziende devono gestire il rischio; fornisce i criteri
di base da applicare in tutte le organizzazioni, quale che sia la loro natura. Si
focalizza direttamente sul raggiungimento degli obiettivi di una specifica
organizzazione e fornisce i criteri per valutare l’efficacia dell’ERM.
Nell’ambito della missione e della visione aziendale, il management definisce gli
obiettivi strategici, sceglie la strategia e fissa gli obiettivi specifici, coerenti con la
strategia, e li assegna a vari livelli della struttura organizzativa.
L’ERM è finalizzato al conseguimento degli obiettivi aziendali rientranti nelle
seguenti categorie:
♦ strategici – sono di natura generale e definiti ai livelli più elevati della
struttura organizzativa, allineati e a supporto della missione aziendale;
131
♦ operativi – riguardano l’impiego efficace ed efficiente delle risorse
aziendali;
♦ di reporting – riguardano l’affidabilità delle informazioni fornite dal
reporting;
♦ di conformità – riguardano l’osservanza delle leggi e dei regolamenti in
vigore.
Questa classificazione degli obiettivi aziendali consente di approfondire differenti
aspetti della gestione del rischio. Queste categorie distinte, ma connesse o
sovrapponibili (un determinato obiettivo può rientrare in più di una categoria)
riguardano esigenze diverse dell’azienda e possono essere di competenza diretta
di più manager. Questa classificazione consente inoltre di distinguere quanto ci si
può attendere da ciascuna categoria di obiettivi.
Un’altra categoria che riguarda la “salvaguardia delle risorse”, adottata da qualche
azienda, è descritta nel proseguo di questo studio.
Poiché gli obiettivi riguardanti l’affidabilità del reporting e la conformità alle
leggi e ai regolamenti sono sotto il diretto controllo dell’azienda, l’ERM è in
grado di fornire una ragionevole sicurezza per il conseguimento di questa
tipologia di obiettivi. Il conseguimento degli obiettivi strategici e operativi è
soggetto a eventi esterni che non sempre rientrano nella sfera di controllo
dell’azienda; di conseguenza, la gestione del rischio può solo fornire una
ragionevole sicurezza che il management e il consiglio di amministrazione, nel
suo ruolo di vigilanza, siano tempestivamente informati della misura in cui si
stanno realizzando detti obiettivi.
L’ERM è costituito da otto componenti interconnessi. Essi derivano dal modo in
cui il management gestisce l’azienda e sono integrati con i processi operativi.
Questi componenti sono:
♦ Ambiente interno - L’ambiente interno, che costituisce l’identità essenziale
di un’organizzazione, determina i modi in cui il rischio è considerato e
affrontato dalle persone che operano in azienda, come pure la filosofia
della gestione del rischio, i livelli di accettabilità del rischio, l’integrità e i
valori etici e l’ambiente di lavoro in generale.
♦ Definizione degli obiettivi – Gli obiettivi devono essere fissati prima di
procedere all’identificazione degli eventi che possono potenzialmente
132
pregiudicare il loro conseguimento. L’ERM assicura che il management
abbia attivato un adeguato processo di definizione degli obiettivi e che gli
obiettivi scelti supportino e siano coerenti con la missione aziendale e
siano in linea con i livelli di rischio accettabile.
♦ Identificazione degli eventi – Gli eventi esterni e interni, che influiscono
sul conseguimento degli obiettivi aziendali, devono essere identificati
distinguendoli tra “rischi” e “opportunità”. Le opportunità devono essere
valutate riconsiderando la strategia definita in precedenza o il processo di
formulazione degli obiettivi in atto.
♦ Valutazione del rischio – I rischi sono analizzati, determinando la
probabilità che si verifichino in futuro e il loro impatto, al fine di stabilire
come devono essere gestiti. I rischi sono valutati in termini di rischio
inerente (rischio in assenza di qualsiasi intervento) e di rischio residuo
(rischio residuo dopo aver attuato interventi per ridurlo).
♦ Risposta al rischio – Il management seleziona le risposte al rischio emerso
(evitarlo, accettarlo, ridurlo, comparteciparlo) sviluppando interventi per
allineare i rischi emersi con i livelli di tolleranza al rischio e di rischio
accettabile.
♦ Attività di controllo – Devono essere definite e realizzate politiche e
procedure per assicurare che le risposte al rischio siano efficacemente
eseguite.
♦ Informazioni e comunicazione – Le informazioni pertinenti devono essere
identificate, raccolte e diffuse nella forma e nei tempi che consentano alle
persone di adempiere correttamente le proprie responsabilità. In linea
generale, si devono attivare comunicazioni efficaci, in modo che queste
fluiscano per l’intera struttura organizzativa: verso il basso, verso l’alto e
trasversalmente.
♦ Monitoraggio – L’intero processo dell’ERM deve essere monitorato e
modificato ove necessario. Il monitoraggio si concretizza in interventi
continui integrati nella normale attività operativa aziendale o in
valutazioni separate, oppure in una combinazione dei due metodi.
L’ERM non è un procedimento strettamente sequenziale, nel quale un
componente influisce solo sul successivo. Si tratta, invece, di un processo
133
interattivo e multidirezionale in cui ogni componente può influire o influisce su un
altro componente, indipendentemente dalla sequenza del processo.
Esiste un rapporto diretto tra obiettivi, ossia ciò che un’azienda si sforza di
conseguire, e i componenti dell’ERM, ovvero ciò che occorre per conseguire gli
obiettivi. Questo rapporto è schematizzato in una matrice tridimensionale a forma
di cubo. Le quattro categorie di obiettivi (strategici, operativi, di reporting e di
conformità) sono rappresentate nelle colonne verticali del cubo, gli otto
componenti sono invece rappresentati nelle righe orizzontali del cubo, e le unità
operative dell’organizzazione sono rappresentate dalla terza dimensione della
matrice (vedi fig. 3.8 ERM COSO). Questo schema fa capire l’estrema flessibilità
del modello, che qui si illustra: esso può essere applicato, sia all’intero processo di
gestione del rischio aziendale, sia distintamente alle singole categorie di obiettivi,
ai componenti, alle singole unità operative e alle singole sub unità di queste
ultime.
La valutazione dell’efficacia del processo di gestione del rischio aziendale è un
giudizio soggettivo, fondato sulla presenza degli otto componenti e sul loro
corretto funzionamento. Pertanto, i componenti costituiscono anche dei criteri di
efficacia. Così, se in un processo tutti gli otto componenti sono presenti e
funzionano correttamente, ciò rappresenta una prova dell’assenza di debolezze
significative e che i rischi che si vogliono affrontare sono al di sotto del livello di
rischio ritenuto accettabile. Quando un processo di gestione del rischio aziendale è
giudicato efficace per ciascuna delle quattro categorie di obiettivi, ciò significa
che il consiglio di amministrazione e il management hanno una ragionevole
sicurezza di venire a conoscenza della misura in cui gli obiettivi strategici e
operativi si stanno conseguendo, che i report sono affidabili e che le leggi e i
regolamenti in vigore sono osservati.
Gli otto componenti non funzionano in modo identico in ogni azienda.
L’applicazione del modello, in aziende medio-piccole, per esempio, potrebbe
essere meno formale e meno strutturata. Ciò nondimeno, le piccole aziende
possono avere un efficace processo di gestione del rischio, purché ciascun
componente sia presente e funzioni correttamente.
Sebbene l’ERM procuri importanti benefici, tuttavia, esistono dei limiti. Oltre ai
fattori illustrati in precedenza esistono dei limiti dovuti a possibili errori di
giudizio quando si prendono decisioni gestionali, all’impossibilità di proteggersi
134
da tutti i rischi anche perché il rapporto costo-benefici diverrebbe gravoso, a errori
umani che possono procurare danni involontari, alla possibilità che i controlli
siano aggirati da parte di due o più persone, in collusione, e al management che
può eludere le decisioni sulla gestione dei rischi. Queste limitazioni non
consentono al consiglio di amministrazione e al management di ottenere una
sicurezza assoluta sul conseguimento degli obiettivi aziendali.
Il controllo interno è parte integrante dell’ERM, che qui si presenta. Pertanto, il
modello di gestione del rischio aziendale incorpora il controllo interno fornendo
un più completo strumento per il management. Il controllo interno è definito e
descritto nella pubblicazione intitolata “Il sistema di controllo interno 70”. Poiché
questa pubblicazione ha superato bene la “prova del tempo” e ha costituito la base
per regolamenti e leggi attualmente in vigore, essa rimane ancora valida come
pure la definizione e il modello di controllo interno.
Ogni persona che opera in un’organizzazione, ha una certa responsabilità
nell’ERM. Il CEO ne ha la responsabilità ultima e ne assume la paternità. Il
management promuove la filosofia di gestione del rischio e l’osservanza del
livello di rischio accettabile, e gestisce i rischi nella sua sfera di responsabilità in
coerenza con i livelli di “tolleranza al rischio”. Generalmente, il risk officer, il
direttore finanziario, l’internal auditor assolvono compiti chiave di supporto alla
gestione del rischio; altre persone svolgono invece compiti puramente esecutivi
nella gestione del rischio in conformità alle direttive e ai protocolli. Il consiglio di
amministrazione svolge un ruolo importante di supervisione del processo di
gestione del rischio aziendale e contribuisce alla determinazione del livello di
rischio accettabile. Un certo numero di soggetti esterni, come i clienti, i fornitori,
partner, revisori esterni e analisti finanziari spesso forniscono informazioni utili
per il buon funzionamento del processo di gestione del rischio aziendale, ma essi
non rispondono della sua efficacia, né fanno parte del processo medesimo.
70
PWC, PriceWaterhouse Cooper, “Il sistema di controllo interno”, ed. Il Sole 24 Ore, tale testo
propone la versione italiana del COSO Report, studio sulla best practice dei sistemi di controllo
interno, riprendendo l'edizione statunitense del 1992. Il COSO Report è ancor oggi indicato come
best practice di riferimento per l'architettura dei sistemi di controllo interno del Sarbanes-Oxley
Act del 2002, il provvedimento legislativo del Congresso di riforma dei mercati finanziari
americani, dalle relative norme di attuazione della SEC e dai documenti di studio della
Commissione Europea.
135
3.3.1
COMPLIANCE RISK MANAGEMENT
Il rischio normativo viene definito come il rischio di danni materiali, alla
reputazione o di attendibilità, emerso dall’impossibilità di rispettare le
disposizioni dei regolatori o dei codici relativi per la prassi migliore, che possa
supervisionare le imprese regolamentate, in qualsiasi area si trovi ad operare
l’organizzazione. Il rischio normativo influisce sulle aziende regolamentate in
qualsiasi industria e può venire classificato in:
 rischio a monte: i rischi esistenti prima della formulazione delle regole,
includendo quei rischi per cui l’organizzazione non è cosciente dei potenziali
sviluppi normativi, così che non riesce ad accertare l’impatto commerciale e
normativo della nuova legislazione, così che non riesce ad esercitare delle
pressioni efficaci sui legislatori ad i regolatori e non riesce, infine, a progettare
ed applicare efficientemente le nuove disposizioni.
 rischio a valle: rischi emersi dopo la formulazione delle regole, includendo il
rischio che le direttive esistenti non vengano rispettate dall’organizzazione,
che i cambiamenti nell’ambito commerciale dell’organizzazione possano
venire influenzati da norme nuove o esistenti o dai regolatori ed, infine, che le
violazioni
individuate
nell’organizzazione
non
vengano
corrette
tempestivamente.
 rischio normativo: i rischi di non sviluppare e gestire efficacemente il rapporto
con i regolatori, includendo un’indebolita influenza sulle pressioni politiche,
un metodo di supervisione troppo invadente ed un’azione coercitiva
invalidabile.
Le funzioni di compliance tradizionale e gestione del rischio potrebbero essere le
funzioni naturali per assumersi la responsabilità principale per la conduzione di
quei rischi normativi fondamentali. Ma, decisamente, questi non sono problemi
tecnici da delegare e di cui dimenticarsi in un secondo momento. Il senior
management ed i comitati amministrativi più rilevanti devono restare coinvolti da
vicino, non solo perché i rischi a valle possono essere molto alti, ma anche perché
una gestione efficiente dei rischi a monte e dei rapporti con i regolatori ai livelli
più autorevoli darà modo all’organizzazione di valutare ed influenzare più
efficientemente il cambiamento del panorama normativo.
136
Il rischio legato alla gestione della compliance ha cominciato a ricevere
sufficiente attenzione, al pari di altri rischi come quello operativo, del mercato e
su crediti. Alcune aziende hanno espresso preoccupazione sulle conseguenze del
rischio legato alla compliance, ed hanno anche stabilito stretti collegamenti tra la
compliance e la gestione del rischio operativo. I gruppi più grandi ora tendono a
rappresentare la funzione compliance insieme a quelle della gestione dei rischi ed
al comitato sui rischi.
Figura 3.5 – Risk compliance committee
La valutazione del rischio olistico sta guadagnando un profilo sempre più alto
all’interno dell’industria dei servizi finanziari, in quanto le aziende stanno
cercando non solo di conformarsi alle regole comportamentali di mercato, ma
anche di utilizzare il capitale quanto più efficientemente possibile. L’esperienza
ha dimostrato che le iniziative di compliance hanno un impatto estremamente
benefico sul risultato economico finale. La compliance alle regole di “know your
customer” a scopo antiriciclaggio di denaro sporco ad esempio, può combaciare
con una gestione più efficiente dei rapporti con la clientela.
Il processo di valutazione del rischio compliance tende a svilupparsi
maggiormente in quei paesi dove il controllo della compliance viene svolto
ampiamente dal dipartimento per la compliance. È chiaro che, in molti casi,
potrebbe venire applicato un approccio alla compliance fondato sul rischio,
137
mentre molte organizzazioni possono accostarsi all’esperienza concreta in cui le
funzioni della revisione interna si sono sviluppate negli anni verso la realizzazione
di settori prioritari per la revisione stessa.
Il rischio legato alla compliance viene definito come “il rischio di
danneggiamento del modello commerciale aziendale, della sua reputazione e
condizione finanziaria, dall’insuccesso nel rispettare le leggi e le regole, agli
standard interni e le politiche, nonché le aspettative dei principali interlocutori
sociali quali i clienti, i dipendenti e la società nel suo complesso”.
Una nuova indagine a livello globale, svolta dalla Price Waterhouse Coopers 71, su
160 senior executives (dirigenti) nel settore industriale, effettuata specificamente
su questa funzione, rivela che la conformità alle regole con mandato governativo è
considerata meno importante per evitare il rischio di reputazione rispetto alla
conformità dei codici morali e professionali interni. Aderire alla legge è
necessario, ma non sufficiente per proteggersi contro il reputational risk (rischio
di reputazione). Seguire le regole esistenti non basta; identificare la fonte e le
conseguenze delle regolamentazioni potenziali è quanto di più decisivo.
Il dipartimento di compliance da solo non può risolvere il conflitto di interesse
intrinseco tra il desiderio di un’organizzazione per gli utili ed il suo dovere di
ampliare gli interlocutori sociali. Le regole diventano inutili se vanno contro
l’intera organizzazione, e cioè se esiste una cultura della non-compliance.
La compliance è spesso reattiva ai cambiamenti aziendali solo se è consentito
dalle regole. Alla richiesta di identificare i sostenitori dell’adozione e
realizzazione dei codici di best practice, ad esempio, gli intervistati dell’indagine
hanno messo i regolatori al primo posto.
Tavola 3.1 – Realizzatori di best practice
71
Price Waterhouse Coopers, “Compliance: a gap at the heart of risk management”, gennaio
2003
138
Questo genere di approccio considera gli strati dei procedimenti di compliance
uno sovraordinato all’altro, aggiungendo le spese, aumentando la possibilità di
duplicazione ed incoerenza e riducendo la generale destrezza dell’impresa 72.
Lo studio Price Waterhouse Coopers sostiene che sussista una lacuna tra i
procedimenti ideati per mantenere l’organizzazione in linea con le sue
obbligazioni normative e le politiche necessarie per proteggere ed evitare
eventuali disallineamenti con tali obbligazioni. Si ha bisogno di una nuova
concezione di compliance per superare questa lacuna, che metta avanti il cliente,
che comprenda delle direttive interne, così come un regolamento esterno che
prevenga i danni all’organizzazione, piuttosto che andarli ad indagare dopo che si
sono sofferti, e che inserisca una cultura incentrata sulla compliance nel midollo
delle istituzioni.
I regolatori si stanno proiettando verso l’accesso immediato al rischio e alle
informazioni sulla compliance osservando il management mentre prende le sue
decisioni. La loro nozione di compliance comprende sempre di più le
informazioni di gestione interna ed i processi decisionali, provenienti dalla sala
del consiglio verso il front desk.
Le cose stanno cambiando verso un migliore funzionamento delle organizzazioni
di servizi finanziari. Piuttosto che vedere la compliance come una funzione a sé
stante, queste organizzazioni stanno ora integrandola nelle loro strutture di
gestione del rischio generale, rendendo tale gestione una parte fondamentale della
compliance globale effettiva. Ma troppe istituzioni continuano a deludere le
aspettative di una compliance di prima classe, stando ai risultati dell’indagine.
Meno di un quinto delle organizzazioni intervistate considera la consapevolezza
dei rischi legati alla compliance come una delle parti più significative del business
dell’azienda. Meno di un quarto è molto sicura che la propria organizzazione sia
pienamente in compliance con le disposizioni normative, i codici e le politiche
interne. Tutto ciò è allarmante; una molteplicità di esempi con un profilo alto
nell’industria dei servizi finanziari ha evidenziato che l’insuccesso della
compliance in una parte dell’azienda può minacciare l’intera organizzazione.
“Il cambiamento necessario per trasformare con successo la conformità richiede
uno spostamento culturale importante a tutti i livelli di un'organizzazione, a partire
72
Rollins, Lanza: “Essential project investement governance an reporting”, 2005
139
dalla parte superiore della stessa” dice Bob Moritz, capo dei servizi finanziari di
Price Waterhouse Coopers degli Stati Uniti.
Dall’indagine emergono tre principi basilari:
1) Gli amministratori ed i direttori dovrebbero formulare in maniera chiara
una concezione di compliance che vada ben oltre la sua funzione e che poi
possa condurre ad un processo di notifica. Delle politiche e delle
procedure trasparenti ed accessibili dovrebbero essere profondamente
radicate in tutte le funzioni e unità commerciali all’interno delle
organizzazioni. La responsabilità della compliance dovrebbe venire
introdotta in tutta l’impresa, dai giovani ai più anziani.
2) Si dovrebbe costruire un’infrastruttura sul posto, per consentire al
management di seguire le questioni attuali ed emergenti relative alla
compliance e comunicarle agli acquirenti interni ed esterni. Un sistema
completo di controlli e revisioni interne dovrebbe creare una situazione di
continui miglioramenti nella gestione del rischio legato alla compliance.
Parte del processo strategico dovrebbe consistere nella revisione delle
tendenze emergenti, così da essere in vantaggio e prevedere le nuove
problematiche, prima che vengano introdotte e diventi difficile trattarle.
3) La compliance deve essere utilizzata per orientare il valore. Una buona
compliance implica la comprensione e la notifica delle aspettative dei
clienti e degli altri acquirenti, migliorando quindi la qualità dei rapporti
fondamentali. Le procedure di compliance, stabilite ed introdotte,
velocizzano i processi di approvazione dei nuovi prodotti e della gestione,
incrementando la destrezza strategica in un mercato stimolante. Una
compliance più efficace rinforza il modello aziendale, abbassando il
premio sul capitale di rischio e quindi il costo del capitale. Le
organizzazioni che non riescono a riconoscere e colmare la lacuna tra
l’approccio del banco di controllo della compliance e la totalità del rischio
corso sono estremamente vulnerabili dal punto di vista del rischio sulla
reputazione.
Secondo l’indagine globale di PWC, sui 160 dirigenti dei servizi finanziari, il
rischio sulla reputazione è l’unico grande rischio affrontato dagli istituti
finanziari. Anche se dovesse essere considerato come un rischio secondario,
140
emergente dagli altri tipi di rischi come quello aziendale e normativo, le
riflessioni sulla tassonomia non dovrebbero nascondere il fatto che questa rimane
la più grande fonte di preoccupazione per l’industria.
Tavola 3.2 – Ambiente di rischio
In parte, tutto ciò riflette la certezza crescente e l’aumentata volontà da parte dei
regolatori e di altri che vorrebbero rimproverare pubblicamente le istituzioni per i
fallimenti del management. In parte, riflette uno scrutinio più invadente, dai
gruppi dei consumatori, ai consumatori singoli, agli azionisti ed ai media, fino alle
questioni di gestione governativa e del rischio e la loro crescente capacità di
influenzare il dibattito normativo e le decisioni aziendali.
Queste sfide, richiedono un maggiore sforzo delle istituzioni finanziarie piuttosto
che un semplice atteggiamento di completa uniformità alla legge. Alla richiesta di
identificare le politiche già efficienti nel limitare il rischio sulla reputazione nelle
istituzioni finanziarie, il gruppo intervistato ha scelto codici chiari ed accessibili
delle pratiche governative e sulla gestione del rischio, nonché dei controlli interni
efficaci. Solo dopo ritroviamo la responsabilità del personale all’aderenza di
codici comportamentali, dei regolamenti e alle migliori pratiche. Una rivelazione
è stata trovare solo al quarto posto nell’ordine gerarchico, il detenere una funzione
di compliance con delle risorse appropriate.
141
Tavola 3.3 – Mitigazione del rischio di reputazione
Gli intervistati risultano anche essere d’accordo nel preferire una compliance alle
politiche interne di controllo del rischio rispetto alla compliance con il governo
3.3.2
OPERATIONAL RISK MANAGEMENT
Un sistema di risk management può essere definito come un insieme di presidi
organizzativi, regole, infrastrutture tecniche e metodologiche di misurazione dei
rischi il cui obiettivo è quello di assicurare in ogni momento l’allineamento tra la
propensione al rischio definita dal vertice aziendale e l’esposizione effettiva al
rischio risultante dalle operazioni finanziarie in essere.
L’individuazione delle aree di rischio “risk mapping” assume rilievo cruciale e
richiede un’approfondita conoscenza delle procedure operative aziendali, nonché
un sistema informativo-contabile in grado di rilevare tempestivamente tutti i fatti
di gestione. L’attivita di risk mapping risulta non agevole soprattutto con
riferimento ai rischi operativi, qualificabili come “il rischio di perdite, dirette o
indirette, derivanti da inadeguatezza o fallimento dei processi interni, delle risorse
umane, dei sistemi ovvero imputabili a eventi esterni” 73. Per essere efficace la
mappatura dei rischi dovrebbe arrivare a un livello di dettaglio molto elevato,
riferibile alla singola business unit. In questa fase, il confronto tra il risk
73
Basel Committee on Banking Supervision, Internal Convergence of Capital Measurement
Standards: a revised framework, Basilea, giungo 2004.
142
management e i responsabili delle singole unità operative dovrebbe favorire la
diffusione di una cultura del controllo basata sul principio che una piena
consapevolezza dei rischi comporta ricadute positive anche in termini di
redditività prospettica dell’azienda. In pratica, occorre rimuovere la mentalità,
spesso diffusa, che vede l’attività di risk management in una dimensione esterna
all’istituzione, piuttosto che in un’ottica collaborativa.
I rischi operativi, ovviamente, sono sempre esistiti, tanto nelle realtà industriali,
quanto in quelle finanziarie, pur non essendo mai stati individuati quale categoria
di rischio a sé stante, meritevole pertanto di un autonomo trattamento come – e
per certi versi più – dei rischi finanziari. Viceversa, nel comparto industriale, i
rischi operativi sono percepiti come elementi chiave del risk management e le
esigenze di profitto e competitività hanno posto, da più tempo, il problema di un
adeguato trattamento dei rischi. Tuttavia vi sono ancora molteplici aree di criticità
con riferimento ai tre profili essenziali di identificazione, valutazione e gestione, a
testimonianza del fatto che il trattamento dei rischi operativi nelle realtà aziendali
sia ben lungi dall’essere completo.
I rischi operativi sono rischi puri e per questo, da una loro manifestazione,
possono scaturire solo perdite e mai opportunità di profitto.
Tuttavia, la strategia dell’organizzazione deve essere orientata alla creazione di
valore per gli shareholder per mezzo di tecniche di quantificazione ex ante e di
misurazione ex post della contribuzione agli obiettivi aziendali delle diverse unità
operative, ai fini di un’efficiente allocazione del capitale, della disponibilità di
accurate informazioni quantitative, oltre che qualitative, sui profili di rendimento,
ma anche sui rischi rilevanti a cui è esposto l’intermediario, della definizione e
attuazione di strategie di mitigazione mirate a ridurre le perdite causate dai fattori
di rischio individuati.
La funzione di compliance gestisce un portafoglio di rischi fortemente eterogenei
con riflessi in termini di applicabilità di tecniche di misurazione, anche in
relazione alla disponibilità di dati di perdita e di sovrapposizione con i rischi
gestiti dall’Operational Risk Management, come ad esempio il rischio legale,
oneri connessi con contestazioni/reclami della clientela, e altre perdite monetarie.
Serve dunque un efficace raccordo del Compliance Risk con l’Operational Risk
Management e ciò può valorizzare il contributo della funzione di compliance sotto
il profilo della misurazione dei rischi “condivisi”. In particolare, la funzione di
143
Compliance è di ausilio all’Operational Risk Management per attività di risk
assessment, interviste ai process/risk owners, per il presidio metodologico e di
coordinamento delle attività di control risk self assessment, per la raccolta dei dati
di perdita e per la verifica dell’idoneità dei presidi sui rischi operativi.
Viceversa l’Operational Risk Management aiuta la Funzione di Compliance per la
disponibilità di serie storiche e di stime sull’esposizione ai rischi, fornisce una
mappatura dei processi e analisi dei rischi.
Ma
il
contributo
maggiormente
rilevante
della
funzione
Compliance
all’Operational Risk Management, e più in generale all’ERM, nella creazione di
valore, nasce dalla riduzione dei rischi di non conformità, mediante l’ausilio al
governo dei cambiamenti interni ed esterni, grazie alla presenza di un processo
strutturato di analisi e valutazione delle esigenze anche prospettiche di
compliance, mediante una maggiore consapevolezza dell’intermediario sui rischi
a cui è esposto e sul grado di efficienza e qualità dei propri processi interni,
attraverso una minore volatilità degli utili derivante dal contenimento delle perdite
monetarie e di eventuali contrazioni di volumi e ricavi da servizi, e infine con una
incidenza positiva sulle valutazioni delle società di rating e degli investitori
istituzionali e sul costo del funding, con la protezione del marchio e della
reputazione, preservando e rafforzando il rapporto fiduciario con la clientela.
Infine, mentre sussistono dei problemi di delimitazione reciproca fra la funzione
compliance e l’internal auditing, in quanto viene esplicitamente richiesta
l’indipendenza della funzione compliance da una particolare unità organizzativa
costituita dall’auditing, non esistono espresse indicazioni sulla necessità di
costruire per la funzione compliance una unità organizzativa ad hoc.
Pertanto, un plausibile candidato, secondo alcuni e anche alla luce dei documenti
del Sound Practice for the Management an Supervision of Operational Risk74,
potrebbe essere individuato in una unità specialistica dell’ operational risk
management che già prevede l’identificazione, la valutazione ed il monitoraggio
del rischio legale.
Posto che gli eventi di compliance risk per la loro natura sembrerebbero rientrare
nell’ambito dell’operational risk, si richiede ai regulators di indicare esattamente
quali siano gli event type, che individuano gli eventi di compliance.
74
Basel Committee on Banking Supervision, “Sound Practices for the Management and
Supervision of Operational Risk”, Bank for International Settlement, February 2003
144
3.4
METODOLOGIA E MODELLI DI GESTIONE
Con l’enfatizzazione della separazione tra proprietà e controllo dovuta
all’incessante sviluppo dei mercati finanziari, nel corso degli anni Novanta si è
affermato il concetto di Corporate Governance quale moderno strumento di regole
a cui le aziende si devono rifare per garantire trasparenza, correttezza e affidabilità
della gestione aziendale verso gli azionisti e gli stakeholders in genere, in
un’ottica di massimizzazione del valore.
Oggi gran parte delle informazioni di business viene prodotta attraverso l'uso di
sistemi informatici. L’efficace gestione dell’informazione e dell’information
technology (IT) è di fondamentale importanza per la sopravvivenza ed il successo
di un’organizzazione. Per realizzare direttive efficaci e garantire adeguati controlli
le organizzazioni di successo richiedono una valutazione e una comprensione dei
rischi e dei vincoli IT a tutti i livelli dell’azienda. Il management deve pertanto
allineare strategie di business con strategie di IT, bilanciare i rischi anche in
termini di costi/benefici, usufruire di benchmark sull’efficienza dell’ambiente IT
presente e futuro.
Negli ultimi anni si è reso necessario possedere un modello per l’identificazione
dei confini e della struttura dei processi di gestione dei sistemi informativi: uno
standard generalmente accettato di regole tali da considerare “sotto controllo”
l’area informatica dell’azienda. A questo proposito gli auditors, invitati sempre
più dai managers per consulenze e raccomandazioni sulla sicurezza e sul controllo
IT, hanno guidato gli sforzi internazionali nell’elaborazione di nuovi standards.
Dall’analisi 75 degli studi Italiani ed Internazionali sulla Corporate Governance,
emerge il continuo riferimento, non solo agli aspetti fondamentali di
composizione e ruolo del CdA e degli altri organi societari, ma anche alla
necessità dello sviluppo di un Sistema di Controllo Interno (SCI) basato sulla
gestione dei rischi aziendali, come garanzia di un’applicazione sostanziale delle
norme di Corporate Governance
Un’efficace sistema di controllo interno e di gestione dei rischi è quindi la risposta
concreta di come amministratori e direttori possono far fronte alle loro
responsabilità in materia di trasparenza informativa, correttezza gestionale,
efficacia ed efficienza
75
Analisi svolta da Deloitte Touche Tohmatsu
145
Il sistema di "protocolli" per la gestione del rischio viene allora ad inserirsi,
integrandolo, nel sistema di controllo interno della società, definibile, secondo lo
standard internazionale di riferimento Co.S.O. (Committee of Sponsoring
Organizations della Commissione Treadway), quale "processo che si prefigge di
fornire una ragionevole sicurezza sulla realizzazione degli obiettivi di efficacia ed
efficienza delle attività operative, di attendibilità delle informazioni contabili ed
extracontabili, sia per i terzi che a fini interni, di conformità alle leggi, ai
regolamenti, alle norme e alle politiche interne e alla salvaguardia dei beni
aziendali".
Figura 3.6 - Focus sul Sistema di Controllo Interno e Risk Management
Corporate Governance e Sistema di Controllo Interno Normativa e regolamentazione
internazionale e nazionale di riferimento, Deloitte & Touche S.p.A.
Nel Rapporto viene messo in evidenza il ruolo primario che spetta all'organo di
governo nel sistema di controllo interno ( il c.d. "tone at the top" o
"comportamento esemplare del vertice").
Per essere efficace un sistema di controllo interno richiede l'attenzione continua
del Capo dell'esecutivo, che deve assumerne la "paternità", determinando le
condizioni ambientali favorevoli al pieno sviluppo del processo 76.
I requisiti ambientali analizzati nel Co.S.O. Report 77 riguardano aspetti critici
quali integrità e valori etici, valore attribuito alla competenza del personale,
filosofia e stile di direzione, struttura organizzativa, attribuzione di poteri e
76
V. PASTIN, Relazione al Convegno "Corporate crime in America: strengthening the good
citizen corporation", 7/8 settembre 1995, disponibile sul sito www.ussc.gov, pp. 140 e ss., il quale,
tra i fattori dell'organizzazione societaria che influiscono sull'effettività dei compliance programs,
menziona due tipologie di condotta dei vertici: l'adozione di sistemi premiali conseguenti al
raggiungimento di obiettivi economici ottenuti senza il rispetto dei principi etici adottati e le
ritorsioni avverso i dipendenti che hanno segnalato illeciti o violazioni del codice etico
77
Co.S.O. Report, pubblicato nel 1992 e aggiornato nel 1994
146
responsabilità, politiche e prassi riguardanti le risorse umane. Tutto ciò configura
una visione ampia del controllo interno, incentrata sul concetto di "gestione del
rischio" e sui valori di integrità e trasparenza, veri e propri principi-guida per
l'impostazione delle strutture organizzative.
Il COSO Report (Stati Uniti) 1992, fornisce la prima definizione di SCI,
identificato come un processo, svolto dal CdA, dai dirigenti e da altri operatori
della struttura aziendale, che si prefigge di fornire una ragionevole certezza in
merito al raggiungimento degli obiettivi rientranti nelle seguenti categorie:
♦ efficacia ed efficienza delle attività operative;
♦ affidabilità delle informazioni e del reporting economico finanziario;
♦ conformità a leggi e regolamenti in vigore
Il Report considera in maniera dettagliata i meccanismi di controllo e propone
strumenti quali le analisi di benchmark e i modelli di valutazione finalizzati al self
assessment, ovvero all’autovalutazione dei rischi e dei controlli.
In altri termini, il nuovo modello di controllo supera la tradizionale (ed angusta)
focalizzazione sulle attività di controllo ed ispettive; l'utilità di queste attività deve
essere vagliata in termini di rapporto tra costi e benefici, avendo di mira l'obiettivo
di
realizzare
un'appropriata
mitigazione
del
rischio,
inscindibile
dalla
complementare (necessaria) accettazione del rischio residuo.
A seguito dell’applicazione degli standard internazionali, delle linee guida, delle
ricerche nell’ambito delle “best practices” e allo sviluppo degli “obiettivi di
controllo”, è stata emanata nel 1994 la prima definizione del framework COBIT
(Control Objectives for Information and Related Technology), benchmark
internazionale per un efficace progresso nel campo dei controlli IT.
Gli standards CobiT, pubblicati dall’ISACA (Information Systems Audit and
Control Association), forniscono le best practices per supportare il management
nella determinazione del livello più adatto di sicurezza e controllo IT delle loro
organizzazioni. Cobit è un approccio alla gestione, al controllo e alla verifica dei
sistemi informativi, sviluppato per permettere la comprensione ai manager,
all’Alta Direzione, all’audit interno, dei controlli esistenti, delle performance e
delle potenziali criticità.
L’obiettivo è stato, innanzitutto, quello di individuare uno standard “aperto”,
quindi indipendente dalla piattaforma IT, che permettesse una valutazione
147
dell’area di business riguardante il sistema informativo aziendale. Uno standard
tecnico, per il controllo e la sicurezza IT, che fosse anche orientato al business e ai
processi aziendali. Attraverso l’analisi della complessa struttura di cui esso è
caratterizzato, tali caratteristiche sono state riscontrate nel CobiT, in quanto
strumento concepito con l’obiettivo di colmare il ‘gap’ esistente tra i modelli di
controllo di business Co.S.O. e i più specifici modelli di controllo dell’IT.
3.4.1
L’EMR Co.S.O. FRAMEWORK
La valutazione del proprio sistema di controllo interno, per risultare
sufficientemente oggettiva, deve essere condotta con riferimento ad un sistema di
controllo interno “ideale”, in cui nessuna componente e nessun aspetto siano
trascurati e che risulti largamente condiviso. Questo ruolo oggi viene assolto dal
Co.S.O. framework, descritto nel Co.S.O. Report.
Il Co.S.O. framework è il modello di sistema di controllo interno elaborato dal
1992 dal The Committee of Sponsoring Organizations of the Treadway
Commission 78 (Co.S.O.), e aggiornato nel 2004 (in collaborazione con
PriceWaterhouseCoopers) con l’EMR Co.S.O. framework (modello di un
processo di Enterprise Risk Management) il quale rappresenta l’evoluzione
concettuale dell’Internal Control Framework (del 1992).
Il Co.S.O. è universalmente accettato dalle principali organizzazioni e
associazioni di professionisti quale modello di riferimento, e di conseguenza il più
diffusamente accettato nell’adempimento alla SOA, suggerito dalla stessa SEC
quale modello di riferimento.
Nel 2004, data di redazione del Co.S.O. Report la Treadway Commission ha
emesso, “l’Enterprise Risk Management Framework” rappresentato da un
78
Definizione elaborata dal Committee of Sponsoring Organizations della Commissione Treadway
(CO.S.O. Report), nel documento "Internal Control - Integrated framework", 1992. La
Commissione è stata istituita nel 1985 per individuare le cause dei falsi in bilancio e formulare
suggerimenti per arginare questo fenomeno; era patrocinata dall'American Accounting
Association, dall'American Institute of Certified Public Accountants, dal Financial Executives
Institute, dall'Institute of Internal Auditors e dall'Institute of Management Accountants. Queste
associazioni, successivamente alla presentazione del rapporto della Commissione (1987),
costituirono un gruppo di lavoro (appunto il Committee of Sponsoring Organizations) che redasse
il Rapporto in discorso. Il Rapporto è stato tradotto ed adattato alla realtà italiana dal Progetto
Corporate Governance per l'Italia, il cui lavoro è stato raccolto in Il sistema di controllo interno,
Coopers e Lybrand, 1997.
148
modello di gestione dei rischi di impresa che amplia gli obiettivi (includendo gli
strategic objectives) e le componenti del Co.S.O. Framework (Objective setting,
Event identification, Risk reponse). Il controllo interno è incluso all’interno dell’
Enterprise Risk Management Framework ed è strumentale all’interno del modello
stesso al fine di focalizzare sui rischi la gestione di impresa.
Oltre l’indubbia qualità di questo framework di riferimento, una delle ragioni che
limita il ricorso ad altri modelli è data dal fatto che adottando un riferimento
diverso, occorre anche dimostrare che tale modello adottato è almeno equivalente
al EMR Co.S.O. Framework in termini di obiettivi e componenti considerati.
L’ERM si basa sull’ Internal Control — Integrated Framework, pubblicato nel
1992 dallo stesso Co.S.O., cioè sullo standard internazionale più noto e diffuso
per il sistema di controlli interni; tale standard, negli USA, è stato indicato come
guide line per la conformità al Sarbanes-Oxley Act dal SEC, l’organo di controllo
della borsa.
l’EMR Co.S.o. rappresenta un cambiamento fondamentale nell’approccio di
un’organizzazione verso le aree di rischio più rilevanti, incluse le questioni di
dominio aziendale correlate alla Sarbanes-Oxley Act del quale ne definisce la
road map dei punti di intervento.
Figura 3.7 – SOA road map
L’EMR è un metodo per scoprire, individuare e valutare i rischi, sia dal punto di
vista del rischio individuale, sia da un contesto più vasto, riguardante
149
l’interdipendenza dei diversi rischi ed il loro impatto sull’organizzazione.
Secondo i nuovi studi del Co.S.O. ERM, questo viene definito come un processo,
realizzato dal CdA, dal management o da altro personale, applicato ad un’analisi
che stabilisca una strategia per l’impresa. Lo scopo dell’EMR consiste nel fornire
una garanzia ragionevole del raggiungimento degli obiettivi aziendali,
identificando gli eventi che potrebbero influire sull’istituto. Il Co.S.O. ERM
esalterà l’importanza della gestione del rischio nel concetto di istituto o del livello
di tendenza al rischio, intendendo per questo quanto rischio un’organizzazione è
disposta a correre.
La struttura del Co.S.O. ERM, secondo le informazioni del progetto, divide le
procedure della gestione del rischio aziendale in quattro vaste categorie:
1) Obiettivi ERM strategici – sono dei traguardi ad alto livello che
sostengono la generale missione dell’organizzazione.
2) Obiettivi ERM operativi – si tratta di obiettivi che si concentrano sull’uso
efficiente ed efficace delle risorse complessive dell’organizzazione, che
può condurre le sue operazioni giornaliere sia in modo conservativo che
rischioso.
3) Obiettivi ERM dichiarativi – per prima cosa, questi obiettivi contemplano
l’attendibilità nel rendere conto alle parti interne ed esterne. Grazie alle
sanzioni imposte dalla SOA per i rendiconti fraudolenti, oggi le
organizzazioni sono molto attente nel limitare i rischi per gli obiettivi
dichiarativi. Resta comunque, un numero discreto di opzioni dichiarative
che possono comportare degli approcci più o meno rischiosi.
4) Obiettivi ERM relativi alla compliance – questi obiettivi si riferiscono alla
compliance con leggi e regolamenti, per cui anche qui, si possono
intraprendere approcci più o meno rischiosi. In tal caso le passività
potenziali derivano dal mancato rispetto di leggi.
Con un ERM efficace, rivolta ai suddetti obiettivi, la gestione aziendale dovrebbe
avere una verosimile certezza che sta facendo i passi necessari per gestire i propri
rischi generali. La dirigenza e l’amministrazione dovrebbero, per prima cosa,
identificare il genere e l’ambiente dei rischi che l’organizzazione sta affrontando,
che possono essere più o meno vari. Il management team dovrebbe considerare i
rischi potenziali in ognuna delle aree multiple, come quella per i rischi finanziari
150
ed operativi (rischi finanziari, sul capitale umano, normativi e giuridici, strategici,
operativi e tecnologici). Il team aziendale che accerta i rischi dovrebbe cercare di
non quantificare ogni rischio potenziale, ma considerare un’area di rischio
maggiore che potrebbe contrastare il progresso aziendale o limitarlo. Il
management dovrebbe rivolgersi a questi rischi con aria indagatrice e poi decidere
quali possono essere i rischi da correre o meno. Il risultato sarà ciò che il Co.S.O.
ERM chiama un quadro della tendenza al rischio, sviluppata dall’organizzazione,
e cioè alcune organizzazioni ed i loro manager tenderanno ad assumersi dei rischi
al contrario di altri, ognuno con una potenziale ricompensa o sanzione.
Il progetto di struttura del Co.S.O. ERM, quindi, sostiene che le organizzazioni
dovrebbero rendere esplicita la loro tendenza al rischio e comunicarla. L’idea
sarebbe quella di disporre tutti i manager sullo stesso livello di accettazione del
rischio, così come per i direttori delle unità, il resto dello staff e gli azionisti.
La fase successiva consiste nel creare ciò che può essere definito come rischio
portafoglio,
così
da
identificare
le
interrelazioni
tra
i
vari
rischi
dell’organizzazione, ma visto che molti non sono collegati, considerarli come
portafoglio potrebbe ridurne considerevolmente la volatilità, rendendo più
efficienti i rischi difesi individualmente. Basandosi su questi rischi potenziali,
l’organizzazione dovrebbe elaborare una strategia tale da fornirsi un qualche tipo
di protezione.
La struttura del COSO ERM, nella sua attuale forma progettuale, delinea un
approccio per comprendere i rischi maggiori dell’impresa e per sviluppare una
strategia che li possa gestire, intendendo con questo che un’organizzazione può
sviluppare dei controlli per evitare il rischio, può modificare la sua attività con
l’unico scopo di eliminare il rischio o può ottenere garanzie o altri controlli per
accettare il rischio. Analogamente alla disposizione Co.S.O. (1992), quella
Co.S.O. ERM propone una struttura con otto elementi ERM distinti:
1) Condizione ERM interna – internal environment. Effettua una mappatura
dell’organizzazione per business unit e location. Questo fattore rivela la
tendenza al rischio dell’organizzazione e dovrebbe aiutare ad influenzare il
rischio
e
a
controllare
la
consapevolezza
di
tutti
i
membri
dell’organizzazione stessa. Il management è responsabile per la fissazione
di questa base comportamentale verso i rischi rivolti a tutti i partecipanti in
151
qualità di gruppo di direttive. Ci sono delle similitudini, qui, con
l’ambiente di controllo del Co.S.O. (1992).
2) Disposizione degli obiettivi strategici e del rischio – objective Setting.
Assegna le misure, i test di verifica che si allineano con i valori corporativi
e stabiliscono i livelli di tolleranza di rischio. Stabilisce, inoltre, le
strutture di tempo e le prestazioni del processo. L’organizzazione
dovrebbe stabilire gli obiettivi nei termini strategici della commissione ed i
rischi che è disposta a correre. Gli obiettivi strategici rifletteranno la scelta
manageriale relativa a come l’organizzazione tenterà di accrescere il
valore, solitamente quello degli azionisti. Perseguendo questi obiettivi
strategici generali, un’organizzazione dovrebbe anche fissare degli
obiettivi legati al rischio generale.
3) Individuazione degli eventi – Event Identification. Secondo le nozioni del
Co.S.O. Internal Control – Integrated Framework (1992), il management
dovrebbe avviare dei provvedimenti in loco per realizzare l’ERM con
successo ed individuare quegli eventi con influsso positivo o negativo
sulle
strategie
legate
al
rischio.
Queste
circostanze
potrebbero
comprendere, tra l’altro, dei cambiamenti nell’ambiente competitivo, nelle
tendenze economiche o sociali o negli sviluppi di automazione.
4) Valutazione del rischio - risk assessment. Se dovesse presentarsi una
situazione a rischio, il management dovrebbe considerare il suo influsso
sugli obiettivi ERM, in termini sia di probabilità dell’evento, sia del suo
impatto.
5) reazione ai rischi – risk response. Il management dovrebbe individuare
varie opzioni di risposta al rischio e considerare gli effetti sulla probabilità
dell’evento e sull’impatto, relativamente alla tolleranza aziendale per il
rischio stesso. Le risposte ai rischi comprenderanno la risoluzione, la
riduzione, la condivisione e l’accettazione del rischio. La valutazione delle
reazioni al rischio e la garanzia che alcune di queste siano state selezionate
e realizzate, è un elemento chiave della struttura ERM organizzativa.
Comunque, un ERM efficace non sottintende che sia stata decisa la
miglior risposta al rischio, ma che tale risposta riesca a limitare la
probabilità del rischio e che l’influsso sull’organizzazione abbia stabilito
la sua stessa “fame”.
152
6) Attività di controllo – control activities. Le politiche e le procedure
dovrebbero garantire la realizzazione di appropriate risposte ai rischi.
Queste attività di controllo dovrebbero venire impiegate per tutti i livelli e
le funzioni all’interno dell’organizzazione, includendo l’approvazione,
l’autorizzazione, la revisione dell’esecuzione, le questioni relative alla
sicurezza e la separazione appropriata delle funzioni. Anche qui ci sono
molte similitudini tra i controlli interni Co.S.O. (1992) e la nuova struttura
Co.S.O. ERM (2004).
7) Informazione e comunicazione – information
& communication.
L’informazione legata al rischio, proveniente da fonti interne ed esterne,
deve essere identificata, fermata e comunicata in una forma che consenta
ai membri più adatti dell’organizzazione di adempiere alle proprie
responsabilità. Una comunicazione efficace dovrebbe influire in tutta
l’organizzazione, a tutti i livelli, come anche con i contraenti esterni, quali
acquirenti, i venditori, i regolatori e gli azionisti.
8) Monitoraggio del rischio – monitoring. Le procedure in corso dovrebbero
venire attuate per monitorare il programma ERM e la qualità della sua
applicazione nel tempo.
Figura 3.8 – ERM Co.S.O.
Un ERM viene considerato efficace quando questi otto elementi sono tutti
presenti ed operativi e ciò è vero indipendentemente dalle dimensioni
dell’organizzazione, anche se alcune istituzioni più piccole possono applicare la
153
loro struttura ERM in modo un po’ diverso. Da una prospettiva più ampia, il
progetto del modello ERM è uno strumento utile che amministratori ed azionisti
possono utilizzare per valutare come i loro management team riescano a gestire i
rischi che affrontano. La rappresentazione della figura (Co.S.O. – internal control)
mostra la struttura come viene proposta nell’iniziale relazione del Committee of
Sponsoring Organizations of the Treadway Commission. La disposizione
tridimensionale dell’ERM contempla le questioni discusse nella struttura di
revisione interna del Co.S.O., ma con sottili differenze. Ad esempio, questa
colloca la condizione di controllo alla base o come fondamenta per la revisione
interna, il cui monitoraggio si trova invece ad un livello più alto.
Figura3.9 – Co.S.O. Internal Control – Integrated Framework (1992)
Per la struttura ERM è vero il contrario, anche se ci sono diverse fasi aggiuntive
da considerare. Mentre la revisione interna Co.S.O. detiene delle classi distaccate
per ogni unità commerciale, la ERM pondera i rischi da un livello istitutivo ad
uno affiliato. Come già affermato il Co.S.O. ERM fornisce un metodo esaustivo ai
manager di tutti i livelli per considerare i rischi per tutta l’impresa, e dovrebbe
anche essere un modello valido per i manager più anziani per far fronte alla
Sarbanes-Oxley Act.
Non esistono, in Italia e nel mondo, obblighi “mandatory” di attuazione
dell’ERM. L’implementazione di un processo ERM Co.S.O. consente tuttavia di
gestire in maniera strutturata ed organica una serie di richieste regolamentari con
cui si confrontano, in particolare, le società quotate:
♦ Codici di Corporate Governance (es. Codice Preda in Italia);
154
♦ Normative antifrode (es. D.lgs. 231/2001);
♦ Regolamentazione su rischi specifici (es. legge antiriciclaggio, rischio
operativo – Basilea II; Risk management in SGR e SICAV; Risk
management – ISVAP);
♦ Standard di qualità (es. Cobit, ISO, ecc.).
Molte società dichiarano di aver implementato al loro interno processi di risk
assessment:
♦ PWC 2004 Global CFO Survey; l’ERM è stato definito una priorità per il
40% dei CFO intervistati;
♦ McKinsey 2003 Board of Directors Survey; il 64% degli amministratori
dichiara di conoscere i principali rischi aziendali;
♦ Protiviti Italia 2005 CFO Survey; il 75% circa del campione intervistato
dichiara di disporre di un processo o di una politica di gestione dei rischi.
Figura 3.10 – maturità dei processi di ERM
155
3.4.2
IL COBIT
In questi ultimi decenni l'information technology sta diventando fattore critico di
successo per molte organizzazioni, nonché parte integrante del business e suo
fondamentale supporto e sostegno per lo sviluppo. Occorre domandarci: perché
risulta essere così importante per la crescita dell'organizzazione? Naturalmente
perché l'informazione, il suo valore, e le tecnologie ad essa collegate, risultano
essere un fattore strategico e di facilitazione per il raggiungimento degli obiettivi
dell'organizzazione.
Molte aziende e imprese di successo, oltre a riconoscere i potenziali benefici della
tecnologia, iniziano a capire l'importanza della gestione dei rischi inerenti
l'implementazione delle nuove tecnologie. Il motivo di tanto interesse per i rischi
di business collegati all'IT risiede in misura principale negli investimenti sempre
maggiori richiesti per stare al passo con i tempi, e per fornire il supporto adeguato
ai processi di business. Inoltre, pochissimi manager sono in grado di misurare il
ritorno degli investimenti tecnologici, in una realtà dove la maggior parte dei
progetti IT, 49 % secondo uno studio del 2001 (Acadys – Standish Group), non
raggiunge i suoi obiettivi e fallisce. Quindi, il Vertice deve cercare di trovare la
giusta via per:
♦ allineare la strategia IT con quella di business;
♦ supportare e raggiungere strategie ed obiettivi dell'impresa;
♦ implementare strutture organizzative che facilitino il raggiungimento di
tali obiettivi;
♦ implementare un adeguato sistema di controllo interno dell'information
technology;
♦ riuscire ad individuare indicatori per la misurazione delle performance
delle nuove tecnologie.
156
Figura 3.11 - COBIT
Recentemente, sono venute alla luce grosse bancarotte di aziende americane,
Enron e WorldCom per tutte, le quali hanno aperto il dibattito sulla corportate
governance, intesa come l'insieme delle responsabilità ed obiettivi che il Vertice
ed i manager si pongono insieme agli obiettivi strategici, cercando di assicurare il
loro raggiungimento, accertando che i rischi vengano gestiti in maniera
appropriata e le risorse aziendali vengano utilizzate responsabilmente.
Inizialmente gli sviluppi della governance furono direzionati verso la necessità di
trasparenza sui rischi di impresa e sulla protezione del valore per gli azionisti
(shareholder value); successivamente, l'uso massiccio della tecnologia, nelle
organizzazioni, ha creato una dipendenza critica verso l'IT e quindi uno
spostamento del focus verso l'IT governance. Infatti, il Vertice ed i manager
necessitano di estendere il "governo aziendale" all'information technology per
essere sicuri che le strutture organizzative ed i processi IT sostengano e
supportino adeguatamente le strategie e gli obiettivi aziendali.
L'IT governance diventa così parte integrante del governo di impresa, come
l'information technology parte integrante dell'organizzazione.
Possiamo brevemente definire l'IT governance come il governo delle strutture
organizzative e dei processi che assicurano lo sviluppo dell'information
technology, finalizzato al supporto e raggiungimento delle strategie ed obiettivi
dell'organizzazione.
Dobbiamo precisare che i manager, nel contesto attuale, sanno consigliare il
Vertice su come operare tradizionalmente, ma sanno poco di risk management ed
157
IT governance. Necessitano quindi di una conoscenza di base dei rischi collegati
all'information technology, al fine di prevedere linee di azione e controlli
adeguati.
La metodologia COBIT, acronimo di "Control Objectives for Information and
related
Technology",
rappresenta
un
paradigma
internazionalmente
e
generalmente accettato sui controlli IT, che mette in grado le organizzazioni di
implementare una corretta struttura di IT governance nell'impresa, offrendo
supporto ai manager ed al Vertice per ottenere un adeguato controllo e governo
dei processi tecnologici.
La conformità alla Serbanes-Oxley Act è responsabilità dei CFO e CEO e la legge
non richiede un coinvolgimento specifico dell’IT, ma il CIO ha la responsabilità
di documentare i processi che possono influenzare le informazioni finanziare. L’
IT deve assicurare che il controllo delle informazioni finanziare soddisfi gli
standard imposti dalla legge. La sezione 404 della Legge, dedicata ai “controlli
interni” sui rapporti finanziari, è strettamente correlata ai processi IT di gestione
delle informazioni e di integrità e conformità dei dati. La sezione 409 della SOA,
che obbliga le società a divulgare un “cambiamento importante” che influenza
l’ambiente operativo/l’attività aziendale, ha un impatto sui processi IT per la
gestione delle modifiche e delle configurazioni dei sistemi. Per l’effettuazione dei
controlli la normativa fa, in primo luogo, riferimento alle raccomandazioni del
Committee of the Sponsoring Organizations (Framework Co.S.O.). L’IT
Governance Institute ha emesso un documento (IT Control Objectives for
Sarbanes-Oxley), focalizzato sulla sezione 404 della SOA, dove sono inclusi i
controlli di CoBit per 27 delle 34 aree di processo. Se CoBit definisce i controlli
per l’IT in relazione ai processi aziendali, le best practice “ITIL”, mediante la
definizione dei processi di servizio, facilitano e indirizzano di fatto circa la metà
dei controlli CoBit.
L’applicazione delle “best practice” di fatto facilita la verifica della conformità
alla SOA, ed in particolare assicura la copertura e la prevenzione dei Rischi
Finanziari.
La Sezione 404 riguarda i controlli generali atti a mantenere l'integrità dei
processi di elaborazione e rendicontazione dei dati finanziari. Perché, dunque, non
si tratta di una questione che interessa esclusivamente il dipartimento delle
finanze? I processi di rendicontazione finanziaria dell'azienda si affidano ad
158
applicazioni finanziarie, che a loro volta dipendono dai sistemi informatici. Molti
sistemi diversi – incluse applicazioni per risorse umane, paghe, gestione
magazzino, gestione fornitori, gestione clienti, acquisti, registrazione ordini e
applicazioni personalizzate – possono materialmente influire sui principali
rendiconti finanziari.
Pertanto, è probabile che un'azienda non possa superare l'audit e dimostrare un
adeguato controllo del proprio processo di reporting finanziario senza avere il
pieno controllo dei sistemi sottostanti e della gestione dell'IT. Conseguentemente,
l'organizzazione IT dell'azienda dovrà essere adeguatamente preparata e superare
un auditing interno dei controlli IT, al fine di garantire che i controlli interni non
solo siano implementati, ma siano anche efficaci ed utilizzati coerentemente.
I controlli generali dell'IT sono studiati per evitare – oppure per rilevare e
correggere – eventi indesiderati, che potrebbero compromettere l'integrità, le
transazioni, l'elaborazione e i dati risultanti. I controlli generali dell'IT
contribuiscono ad assicurare un'adeguata gestione e il corretto funzionamento
dell'infrastruttura IT che supporta il processo di reporting finanziario, nonché le
relative applicazioni e l'integrazione delle applicazioni.
Se i controlli generali sono deboli, l'intero processo di reporting finanziario
potrebbe essere compromesso in caso di violazione della sicurezza o del processo
generale, aprendo la strada a possibili azioni non autorizzate.
Per la valutazione dei propri controlli, quindi, occorre specificare ed utilizzare un
quadro di riferimento prestabilito. L'IT Governance Institute (ITGI) ha costruito
un framework di controllo incentrato sull'IT chiamato COBIT (Control Objectives
for Information and related Technology) che fornisce linee guida dettagliate sulla
governance dell'IT. L'ITGI ha inoltre pubblicato un compendio degli obiettivi di
controllo COBIT specificatamente studiato per prepararsi all'audit previsto nel
Sarbanes-Oxley Act, chiamato IT Control Objectives For Sarbanes-Oxley. Questo
gruppo di linee guida, che include obiettivi di controllo dettagliati in dodici
diverse aree di processo, viene utilizzato da molte aziende per valutare i propri
controlli IT ed accertarne la conformità con i requisiti della SOA.
L'aiuto delle soluzioni IT accelera gli sforzi di compliance in tre zone importanti
nel controllo generale dell’IT:
1) Application and Infrastructure Change Controls – adottare soluzioni IT per
il management dell’impresa, comporta dei vantaggi, in quanto, l’uso di
159
applicazioni IT accelera la preparazione in vista dell'audit richiesta dalla
Sezione 404, permettendo di dimostrare la padronanza di aree di controllo
chiave COBIT, nonché l'utilizzo coerente di tali controlli.
2) Controlli delle attività operative e della gestione dei problemi – Attività
operative e gestione dei problemi sono necessarie per contribuire ad
assicurare l'integrità, la completezza e l'accuratezza dei dati finanziari e
delle transazioni. L’azienda deve dimostrare di essere in grado di
rispondere ai guasti di sistema, in modo tale da assicurare la continuità
delle attività operative e il mantenimento dell'integrità e della completezza
delle transazioni o dei dati finanziari. Occorre stabilire specifici livelli di
servizio per l'IT che rispondano agli obiettivi di business dell’azienda e le
prestazioni e le capacità dei sistemi dovranno essere tali da supportare le
transazioni e i processi di reporting finanziario.
3) Controlli di gestione degli asset – L'attività di asset management, dalla
prospettiva dell'audit, include la responsabilità per gli asset IT, dalla
richiesta di acquisto al ricevimento, all'installazione e alla manutenzione,
fino alla relativa dismissione. L’azienda dovrà quindi verificare
periodicamente la lista degli asset IT e valutarne il valore registrato,
assicurando che producano un ritorno nell'arco della loro vita utile. È
necessario anche monitorare attentamente l'uso appropriato delle licenze
software, per evitare passività non registrate, nonché la violazione delle
leggi sull'utilizzo del software, che l'auditor potrebbe richiedere di
verificare. Infine, sarà necessario configurare l'hardware e il software in
modo da ridurre al minimo il rischio di accessi non autorizzati a sistemi e
dati. Si dovranno introdurre nel sistema controlli su sicurezza,
disponibilità e integrità dei dati elaborati, che andranno mantenuti
nell'intero ciclo di vita dell'asset
Scandali finanziari, terrorismo internazionale e protezione dei dati personali sono
alcuni dei fattori critici che hanno spinto istituzioni e associazioni internazionali a
definire standard e normative (internazionali o nazionali) riferiti ad alcuni o alla
globalità dei settori di attività. Con il termine compliance, che in questi ultimi
160
anni ha assunto un significato importante nell’Information Technology (IT), si
intende appunto la conformità alle normative che impongono ai responsabili
aziendali (IT ma non solo), interventi importanti per mettere in regola i sistemi
informativi. Il mancato adeguamento alle normative di tipo finanziario e
organizzativo e la scarsa protezione dei dati critici possono sfociare in ingenti
danni per le aziende, oltre a possibili sanzioni.
E’ ormai assodato che uno dei principali driver che spingono le aziende a
rafforzare il proprio sistema di sicurezza è rappresentato proprio dalla compliance.
Anche rimanendo nel solo ambito della sicurezza, è comunque consigliabile
circoscrivere l’argomento alle conformità che interessano il nostro paese.
Va innanzitutto chiarito che quando parliamo di “essere compliant a qualcosa”
significa adottare tutti i controlli previsti dalla normativa in questione in relazione
allo specifico oggetto di analisi. Ma le normative non dicono quasi mai quale
debbano essere le tecnologie da adottare per la conformità.
Ecco che i cosiddetti “framework” di controllo, come il COBIT, il COSO, l’ITIL,
il BS7799 (ora ISO) ed altri ancora diventano sempre più utili per adeguare il
sistema informativo aziendale a quanto richiesto dalle normative, dette anche
“regulation”.
Al fine di garantire la conformità a queste regulation è necessario svolgere
un’attività di coordinamento con molte aree aziendali, includendo il dipartimento
legale, l’IT, il dipartimento finanziario e coloro che sono responsabili dei processi
di business. La compliance deve essere di fatto considerata come un serio
problema dell’organizzazione e, se affrontato in modo efficiente ed efficace, può
creare un reale valore aggiunto al business stesso dell’azienda.
Generalmente le normative (o regulation) non specificano la tecnologia necessaria
per la relativa conformità.
Di conseguenza, coloro che si occupano di compliance in azienda devono stabilire
a priori quali metodi e best practice adottare per soddisfare i requisiti stabiliti dalle
singole normative. Gli elementi comuni a tutte le normative sono i controlli, vale
a dire una serie di procedure che possono assicurare il successo di un’operazione
di business o di una transazione: questo è il motivo per cui, oggi, i principali
framework di controllo stanno vivendo momenti di celebrità.
I controlli in questione devono soddisfare:
161
1) la tracciabilità, che fornisce le informazioni su chi esegue un’operazione,
chi l’approva, quando è stata fatta e qual è stato il risultato;
2) la trasparenza, che permette che tutte le operazioni di business e i
controlli possano essere completamente compresi e chiaramente
documentati;
3) la misurabilità, che deve garantire che tutti i processi possano essere
misurati e valutati sia in caso di successo che di insuccesso attraverso
operazioni di auditing, logging, correlazione e visualizzazione. Alcune
aziende stanno già adottando framework di controllo come modelli (best
practice) per la compliance. Fra questi, il COBIT, il COSO, e l’ITIL sono i
più noti.
Il COBIT è un framework che fornisce le best practice per analizzare, controllare
e governare l'informatica aziendale, gestire i rischi informatici e proporre dei
miglioramenti ai processi esaminati. Attualmente il COBIT è arrivato alla
versione 4.0, rilasciata nel 2005.
Come possiamo notare, questi ultimi anni rappresentano un momento particolare
per la compliance; se il 2005 è stato un anno caldo per l’attuazione di alcune delle
normative, sembra che i prossimi anni non saranno da meno.
Costruendo una relazione fra normative e sicurezza si individuano gli strumenti
necessari a garantire questo “matrimonio del terzo millennio” che interessa le
aziende e quindi l’IT.
Tavola 3.4 – Rrelazione normative/ sicurezza
162
Il ruolo di un framework come il CoBIT è duplice. Come anticipato, alcune di
queste regulation (es. la Sarbanes-Oxley), non entrano nei dettagli di come
realizzare i controlli necessari per raggiungere gli obiettivi prefissati.
Analizzando il documento “Compliance Insight” 79 relativo alla Sarbanes-Oxley, ,
possiamo notare il riferimento ai framework COSO, COBIT e ISO 17799. Questo
significa che, a seconda dell’argomento trattato, la Sarbanes-Oxley reindirizza il
lettore sui controlli specifici che si possono trovare nei tre freamework appena
menzionati.
La tabella seguente mostra invece la mappatura in termini di sola copertura tra
l’area “DS5 Ensure Systems Security” del COBIT e la ISO 17799 del 2000.
Ancora una volta possiamo affermare che vi sono delle sinergie tra alcuni
framework di controllo: questa tabella ne rappresenta un chiaro esempio
Tavola 3.5 – Obiettivi di controllo del COBIT
79
Ottenibile dal sito
163
Se consideriamo alcuni punti del COBIT, in riferimento alla Sarbanes-Oxley,
possiamo notare una chiara associazione (mappatura) tra l’Identity & Access
Management (una delle tre aree del mercato del software di sicurezza) e la
“Ensure Systems Security” (DS5) del capitolo “Deliver and Support” del COBIT
stesso.
Il tema della compliance è veramente ampio. È questo un momento in cui il
termine “governance” viene associato a diverse aree dell’IT ed in particolare alla
sicurezza. Per un governo vero e proprio della sicurezza IT non si possono
improvvisare procedure o soluzioni. Esistono delle normative di carattere
nazionale e internazionale che permettono alle aziende di sviluppare, con l’aiuto
di specifici framework, il sistema di sicurezza in conformità a quanto
espressamente richiesto in generale o dallo specifico settore di attività.
Un valido sistema di Identity & Access Management, ad esempio, rappresenta
l’essenza della compliance ed è chiaramente riscontrabile nella maggior parte
delle normative, dalla 196/03 alla Sarbanes-Oxley, da Basilea II al 21 CFR Part
11.
Il 2006 è l’anno in cui alcune di queste normative devono essere ufficialmente
attuate riflettendo seriamente sulla necessità di adeguare il sistema di sicurezza;
fra queste nuove scadenze, l’accordo di Basilea II (previsto per la fine di
quest’anno) e la Sarbanes-Oxley, la cui attuazione è stata prorogata per alcune
compagnie al luglio di quest’anno.
164
CAPITOLO 4
4. SARBANES-OXLEY COMPLIANCE E ANALISI DEI
COSTI/BENEFICI
4.1
THE SARBANES-OXLEY ACT OF 2002 (SOA)
Gli scandali Enron, WorldCom, Global Crossing, Qwest Communication
International, AllFirst, Rite Aid, Republic Securities, ImClone, hanno creato
diffidenza tra gli investitori del mercato nord-americano. Il Presidente G. W. Bush
ha dovuto prendere una netta posizione sulle modalità e le tecniche da utilizzare
per fronteggiare la crisi delle big corporations statunitensi e la sfiducia degli
operatori del mercato. Lo ha fatto richiamando, in via generale, un maggiore
rispetto dell’etica nella conduzione degli affari e nella gestione delle società e, in
particolare, rilevando dieci punti d’intervento legislativi (cd. ten-point plan).
Il “ten-point plan” (proposto a marzo, quando ancora si era rivelato solo il caso
Enron) é una sorta di proposta-risposta del Presidente alla Nazione per creare
nuovamente quella fiducia nei mercati finanziari e nella regolamentazione degli
stessi che gli statunitensi hanno perduto. Il plan in oggetto può così riassumersi:
pene più severe (detenzione sino a dieci anni) per chi commette frodi e certifica
bilanci falsi, per chi ostacola la giustizia distruggendo documenti; l’istituzione di
una nuova Corporate Fraud Task Force (che sembrerebbe essere stata sostituita
dal Board creato dalla Legge Sarbanes-Oxley), l’incremento dei poteri della SEC
(Securities Exchange Commission) relativamente al congelamento dei profitti
illegittimamente ottenuti dai manager e dagli amministratori; il divieto di erogare
prestiti ai dirigenti della società; una più intensa disclosure nelle transazioni e
nelle operazioni di acquisto e vendita di azioni della società da parte degli
amministratori e dei manager; il rafforzamento della SEC attraverso l’aumento dei
fondi.
Successivamente alla vicenda Worldcom, il Senato é andato oltre la proposta del
Presidente. Il Committee on Banking, Housing, and Urban Affairs del Senato,
presieduto dal Senatore (democratico) Paul S. Sarbanes, aveva proposto un nuovo
Bill, denominato Public Company Accounting Reform and Investor Protection Act
165
of 2002 (S. 2673), che ha dato il via ai lavori che hanno condotto il Congresso
all'adozione del Sarbanes-Oxley Act. Questo Bill era caratterizzato da modifiche
normative incisive, che lo differenziavano dalla proposta del Presidente.
In data 16 luglio 2002, il Senato ha approvato all’unanimità il Sarbanes Bill e,
successivamente, sia quest’ultimo che l’Oxley Bill sono stati discussi nel
Conference Committee, in modo da trovare un punto d’accordo tra le due versioni.
Effettivamente, in data 30 luglio 2002, il Presidente Bush ha firmato, nella East
Room della Casa Bianca, il nuovo Sarbanes-Oxley Act of 2002, così denominato
in quanto risulta essere la combinazione dei due Bills precedentemente
menzionati, a seguito dell’analisi dei due testi avvenuta presso il Conference
Committee. Il nuovo Act ricalca nella stessa struttura e nel contenuto il Sarbanes
Bill, al quale sono state aggiunte alla fine (titoli dall'VIII all'XI) le norme in
materia di sanzioni previste dall'Oxley Bill. Una tale speditezza legislativa e la
stessa firma del Presidente su un Act che prevede riforme strutturali, non
sorprendono, in quanto dettata dall'esigenza di ridare, velocemente, fiducia al
pubblico.
La riforma persegue obiettivi di credibilità e trasparenza dell’amministrazione
societaria e contabile, e si traduce in un’importante riforma strutturale della
corporate governance, al fine di proteggere gli investitori incrementando
l’accuratezza e l’affidabilità dell’informativa societaria. La Legge interessa
principalmente gli emittenti e le società di revisione; essa prevede un incremento
degli obblighi di comunicazione a carico delle società emittenti, inasprisce le
sanzioni penali per i reati finanziari, contiene norme dirette a favorire la
precisione e l’affidabilità della certificazione finanziaria, e introduce una nuova
regolamentazione dell’attività di revisione contabile, creando una commissione ad
hoc per le aziende di revisione.
Il Sarbanes-Oxley Act prevede delle modifiche normative in materia di
consulenze e di revisione contabile delle società quotate in borsa.
Le modifiche della riforma riguardano:
♦ la creazione di un board indipendente che si occupi del monitoraggio delle
società di revisione (PCAOB);
166
♦ la separazione dell’attività di consulenza da quella di revisione, cioè il
divieto di svolgere attività di consulenza a favore di imprese oggetto di
revisione;
♦ l’obbligo di rotazione del partner revisore;
♦ la certificazione da parte del senior corporate management (CEO e CFO)
della veridicità del bilancio annuale e delle relazioni finanziarie delle
società quotate;
♦ la full disclosure delle transazioni off-balance sheet (non iscritte in
bilancio) e di altre obbligazioni che possono influenzare o mistificare le
condizioni finanziarie della corporation;
♦ il potenziamento dei poteri dell’Audit Committee: è richiesta la diretta
supervisione sui revisori esterni e sulle procedure aziendali istituite ai fini
della e successiva gestione delle segnalazioni interne (c.d. “whistleblower
processes”);
♦ la concessione di maggiori finanziamenti alla SEC (Securities and
Exchange Commission). Con questo nuovo Act si vogliono aumentare le
risorse della SEC ed al contempo aumentarne i poteri per poter meglio
rispondere a più alti standards di tutela degli investitori. L’anno fiscale
2003 fu stabilito l’aumento del budget concesso alla SEC di $776 milioni e
il potere di quest’ultima di imporre sanzioni civili derivanti da violazioni
delle federal securities laws, che andranno ad incrementare dei fondi
costituiti per risarcire i danni degli investitori derivanti da tali misconducts
delle società.;
♦ l’attestazione del management sull’efficacia del sistema di controllo
interno.
I problemi che sono stati individuati e che richiedono correttivi sono quelli
riguardanti: la contabilità, i conflitti d’interesse (creazione di incompatibilità) e
l'aumento dei fondi alla SEC. L’unico cambiamento di diritto sostanziale é quello
che riguarda le incompatibilità, in quanto le altre previsioni costituiscono un
semplice rafforzamento di norme già precedentemente esistenti.
Mentre alcuni articoli della SOA hanno esecutorietà immediata, altre disposizioni
corrispondono a principi-quadro che sono state rese operative attraverso
l’emanazione di specifici regolamenti (Rule) da parte della commissione
167
statunitense per il controllo degli strumenti finanziari e delle borse (Security
Exchange Commission – SEC) e da un apposito comitato per il controllo delle
società di revisione aziendale (Public Company Account Oversight Bord –
PCAOB) istituito dal SOA. Finora, la SEC ha emanato dei regolamenti esecutivi
in materia di certificazioni contabili, corporate governance, obblighi di
comunicazione, responsabilità professionale dei consulenti legali interni ed esterni
ed indipendenza dei revisori contabili 80.
Gli obiettivi che più da vicino riguardano l’informativa societaria, vengono
perseguiti, tra l’altro, attraverso l’assegnazione ai vertici aziendali di rilevanti e
specifiche responsabilità in merito alla predisposizione dell’informativa societaria
e all’istituzione, monitoraggio e verifica dell’affidabilità del sistema dei controlli
e delle procedure adottate dall’emittente ai fini del riscontro dell’accuratezza delle
informazioni finanziarie e non.
In particolare assumono rilevanza:
♦ l’obbligo da parte del management di presentare nel rapporto annuale una
relazione (internal control report) sul sistema di controllo interno che
sovrintende la redazione del bilancio (cd. internal control over financial
reporting) che: indichi la responsabilità del management per la
predisposizione ed il mantenimento di tale sistema di controllo interno;
identifichi il framework utilizzato dal management per valutare l’efficacia
di tale sistema di controllo interno; contenga la valutazione della sua
efficacia al termine dell’esercizio finanziario (SEC Release No. 33-8238
del 5 giugno 2003 di attuazione della sezione 404 del SOA); il contenuto
della relazione è soggetto all’attestazione da parte del Revisore esterno;
80
In particolare, sono entrate in vigore simultaneamente alla pubblicazione della Legge: il divieto
di concedere mutui ad amministratori e consiglieri (cfr., parte III, par. 2.1 infra), l’obbligo di
restituzione da parte di CEO/CFO di incentivi e profitti (cfr., par. 2.2 infra) e le norme sulla
protezione dei c.d. “whistleblowers”. Le disposizioni della Sezione 302 del Sarbanes-Oxley Act
sulla certificazione delle relazioni finanziarie periodiche sono state rese esecutive con l’adopting
release emanato il 28 agosto 2002 (cfr., parte III, par. 1.1 infra). Allo stesso modo, recenti releases
adottati della SEC hanno dato attuazione, attraverso l’emanazione di c.d. final rules, alle
disposizioni della Legge in materia di codice etico ed esperto in materie finanziarie (cfr., par. 3.1
infra), transazioni non riportate in bilancio (cfr., par. 3.2 infra), non-GAAP financial measures
(cfr., nota 47 infra), nonché alle norme sull’indipendenza dei revisori contabili (cfr., par. 4.1 infra).
Inoltre, il 9 aprile 2003, la SEC ha adottato delle final rules in materia di indipendenza dell’audit
committee, dando attuazione alla delega di cui alla Sezione 301 della Legge. Inoltre, l’esecutorietà
degli obblighi previsti dalla Rule 10A-3 in materia di audit committee è subordinata all’adozione
da parte delle borse nazionali di regolamenti condizionanti l’ammissione alla quotazione nei propri
listini agli standards minimi fissati dalla SEC.
168
♦ l’obbligo dell’emittente di dotarsi si un sistema di controlli e procedure
finalizzati ad assicurare il rispetto degli obblighi informativi (cd.
“disclosure controls and procedures”) (sezione 302 del SOA);
♦ l’obbligo del principal executive officer e del principal financial officer
dell’emittente di rilasciare separate certificazioni con valenza civile (civil
certification – sezione 302 del SOA) e penale (criminal certification –
sezione 906 del SOA) sulla completezza e correttezza dell’informativa
finanziaria e non, fornita nel rapporto annuale.
La Legge, nella sua interezza, si applica genericamente, senza altre specificazioni,
alla categoria degli issuers, come definita dalla Sezione 2(a)(7) dell’Act.
Tale riferimento vale ad estendere la nuova disciplina a tutte le società emittenti,
statunitensi o straniere 81, che:
a) abbiano titoli quotati, ai sensi della Sezione 12 del Securities Exchange
Act (“Exchange Act”), presso un U.S. exchange o Nasdaq;
b) siano comunque soggette ad obblighi di comunicazione in base alla
Sezione 15(d) dello stesso atto 82;
c) abbiano depositato un ‘registration statement’ al fine di procedere ad
un’offerta pubblica di securities sul mercato statunitense, ai sensi del
Securities Act del 1933.
La Legge, quindi, è applicabile:
 alle società europee quotate negli Stati Uniti o che intendano procedere ad
un’offerta pubblica di securities per la quotazione sul mercato statunitense o,
ancora, che siano, comunque, soggette ad un obbligo di comunicazione nei
confronti della SEC, laddove, per esempio, abbiano un patrimonio superiore a
10 milioni di dollari e un numero di azionisti nel mondo superiore a
81
Ai sensi della SEC Rule 3b-4, si definisce foreign private issuer ogni società costituita fuori
dagli Stati Uniti che abbia i due seguenti requisiti: 1) che persone residenti negli Stati Uniti non
detengano direttamente o indirettamente la maggioranza delle azioni della società; 2) che la
maggioranza degli amministratori non sia composta da cittadini statunitensi o da residenti negli
Stati Uniti; o che il business dell’emittente sia gestito al di fuori degli Stati Uniti; o, infine, che la
maggior parte del patrimonio sia situato al di fuori degli Stati Uniti.
82
Ai sensi dell’Exchange Act, sono soggette agli obblighi di comunicazione presso la SEC, e
quindi sottoposte alla Legge, in qualità di reporting issuers, le società statunitensi anche non
quotate che abbiano un patrimonio superiore a 10 milioni di dollari e un numero di azionisti nel
mondo superiore a cinquecento.
169
cinquecento, di cui almeno trecento residenti negli Stati Uniti 83; un’esenzione
dagli obblighi di comunicazione è prevista per le società non statunitensi il cui
unico contatto con i mercati americani avviene tramite investitori istituzionali
ai sensi della SEC Rule 144A del 1990 o le cui azioni sono soggette al Level 1
American Depository Receipts (“ADRs”) 84;
 a quelle società europee che, pur non essendo quotate in una borsa
statunitense, siano però controllate da un issuer statunitense;
 alle società di revisione non statunitensi che svolgono attività di certificazione
in favore degli issuers non statunitensi.
I regolamenti di attuazione emanati ad oggi dalla SEC hanno reso esplicita
l’applicabilità di taluni precetti alle emittenti straniere, mentre soltanto in limitate
e circoscritte ipotesi le regole di attuazione hanno previsto delle esplicite
esenzioni.
4.1.1
LE DISPOSIZIONI DEL SOA IN MATERIA DI CONTROLLO
INTERNO ED INFORMATIVA SOCIETARIA
Sezione 302
Le disposizioni della Sezione 302 del SOA (rese operative dalla SEC mediante
l’adozione della Rule “Certification of Disclosure in Companies’ Quarterly and
Annual Reports” del 29 agosto 2002 85, successivamente modificata dalla Rule
“Management’s Report on Internal Contro Over Financial Reporting and
Certification of Disclosure in Exchange Act Periodic Reports” del 5 giugno
83
La Legge non si applica alle società non statunitensi che beneficiano dell’esenzione prevista
alla Sezione 12g3-2(b) dell’Exchange Act. Centinaia di società straniere hanno beneficiato di tale
esenzione. Nella lista pubblicata il 1° maggio 2002 compaiono le seguenti società italiane: AEM
S.p.A., Banca Popolare di Brescia, Banca Popolare di Lodi, Cassa di Risparmio di Firenze, Davide
Campari Milano S.p.A., ERG S.p.A., Interpump Group S.p.A., Olivetti S.p.A. e Saipem S.p.A..
84
Il Level 1 American Depository Receipts rappresenta la categoria base di ADRs (vale a dire,
titoli negoziabili sui mercati statunitensi che rappresentano un numero determinato di azioni di una
società non statunitense). Ricorrono al Level 1 le società non statunitensi che non hanno i requisiti
o l’intenzione di quotarsi presso una borsa statunitense.
85
Per le imprese che godono dello stato di foreign private issuers, le norme in esame si applicano
a partire dal rapporto annuale su Form 20-F, e a ogni sua eventuale modifica, depositato presso la
SEC successivamente alla data del 29 agosto 2002.
170
2003), stabiliscono il rilascio da parte del principal executive officer e del
principal financial officer (in genere CEO e CFO), ovvero persone che svolgono
analoghe funzioni, di separate certificazioni sulla correttezza e completezza
dell’informativa, finanziaria e non, presente nel rapporto annuale su Form 20-F
depositato presso la SEC.
In particolare ai soggetti citati è chiesto di attestare che:
1) hanno analizzato il rapporto annuale;
2) sulla base delle loro conoscenze:
♦ non vi sono indicazioni false riguardanti fatti di rilievo o omissioni di
fatti rilevanti necessari a rendere non ingannevoli le dichiarazioni rese,
avuto riguardo alle circostanze nelle quali esse sono state rese, in
relazione al periodo di tempo cui il rapporto annuale si riferisce;
♦ il bilancio e le altre informazioni finanziarie contenute nel rapporto
annuale rappresentano correttamente, sotto tutti gli aspetti rilevanti, la
situazione patrimoniale-finanziaria, il risultato dell’impresa e i flussi di
cassa dell’emittente alle date e per i periodi di tempo cui il rapporto
annuale si riferisce;
3) sono responsabili della predisposizione e del mantenimento dei controlli e
delle procedure finalizzati ad assicurare il rispetto degli obblighi
informativi (disclosure controls and procedures) e del sistema di controllo
interno che sovrintende la redazione del bilancio (cd internal control over
financial reporting) 86;
4) hanno progettato o determinato la progettazione, sotto la propria
supervisione, di:
♦ controlli e procedure finalizzati ad assicurare il rispetto degli obblighi
informativi (cd disclosure controls and procedures) e intesi, fra l’altro,
ad assicurare che le informazioni rilevanti relative alla società, incluse
86
Quanto indicato tiene conto delle modifiche apportate dalla SEC al testo della certificazione
richiesta dalla sezione 302 del SOA per effetto dell’adozione della Rule “Management’s Report on
Internal Contro Over Financial Reporting and Certification of Disclosure in Exchange Act
Periodic Reports” del 5 giugno 2003 di attuazione della sezione 404 del SOA, riguardante
l’“internal control over financial reporting”. Il nuovo testo della certificazione si applica ai bilanci
presentati al, o successivamente al 10 agosto 2003 ed include una certificazione del sistema di
controllo interno che sovrintende la redazione del bilancio (cd internal control over financial
reporting). Per gli emittenti non USA, l’adeguamento alle disposizioni relative all’ internal control
over financial reporting è previsto per i bilanci relativi agli esercizi finanziari chiusi al, o dopo il
15 aprile 2005 (bilancio 2005). Sino a quella data, la SEC consente di omettere dalla certificazione
richiesta dalla sezione 302 del SOA l’attestazione relativa all’internal control over financial
reporting.
171
le sue controllate consolidate, siano portate a conoscenza del CEO e
del CFO da parte di altri soggetti operanti all’interno di tali società in
modo tale da permettere decisioni in materia di informativa, in
particolar modo durante le fasi di preparazione del rapporto annuale;
♦ un sistema di controllo interno che sovrintende la redazione del
bilancio (cd internal control over financial reporting) al fine di
assicurare, per quanto ragionevolmente possibile, che l’informativa
finanziaria sia affidabile e che il bilancio pubblicato e diffuso dalla
società sia preparato in conformità ai principi contabili generalmente
accettati;
5) hanno valutato l’efficacia delle procedure e dei controlli finalizzati ad
assicurare il rispetto degli obblighi informativi (cd disclosure controls and
procedures) della società e, sulla base di tale valutazione, hanno incluso
nel rapporto annuale le proprie conclusioni in merito all’efficacia di tali
procedure e controlli al termine del periodo di tempo cui il rapporto si
riferisce;
6) hanno illustrato nel rapporto annuale ogni cambiamento relativo al sistema
di controllo interno che sovrintende la redazione del bilancio, intervenuto
nel corso del periodo di tempo cui il rapporto annuale si riferisce, che
abbia inciso in modo significativo o sia ragionevolmente in grado di
incidere in modo significativo sul sistema di controllo interno che
sovrintende la redazione del bilancio;
7) sulla base della loro più recente valutazione del sistema di controllo
interno che sovrintende la redazione del bilancio, entrambi hanno
comunicato al Revisore contabile della società ed al comitato per il
controllo interno (audit committee) 87:
a. ogni punto di debolezza significativo nonché ogni significativa carenza
nella progettazione o nell’esecuzione del sistema di controllo interno
che sovrintende la redazione del bilancio che sia ragionevolmente in
87
In Italia la comunicazione di frodi e di eventuali carenze del sistema di controllo interno è effettuata non solo al
Revisore e al Comitato per il controllo interno (audit committee), ma anche al Collegio sindacale; infatti l’art. 149 del
d.lgs 58/98 dispone: “il collegio sindacale vigila: (a) sull’osservanza della legge e dell’atto costitutivo; (b) sul rispetto
di principi di corretta amministrazione; (c) sull’adeguatezza della struttura organizzativa della società per gli aspetti di
competenza, del sistema di controllo interno e del sistema amministrativo-contabile nonché sull’affidabilità di
quest’ultimo nel rappresentare i fatti di gestione….”.
172
grado di incidere negativamente sulla capacità della società di
registrare,
elaborare,
riassumere
e
divulgare
le
informazioni
finanziarie;
b. ogni frode, anche non significativa, in cui sia coinvolto il management
o altri dipendenti con ruoli rilevanti nel sistema di controllo interno
che sovrintende la redazione del bilancio.
In base alla definizione contenuta nella Rule 13°-15(e) dell’U.S. Security
Exchange Act of 1934 (Exchange Act), i “disclosure controls and procedures”
rappresentano “i controlli e le altre procedure dell’emittente progettati per
assicurare che le informazioni da inserire nei rapporti che l’emittente deposita o
fornisce in base alle disposizioni dell’Exchange Act siano registrate, elaborate,
riassunte e divulgate secondo le tempistiche definite dalle forms e dalle Rules
della SEC”.
I disclosure controls and procedures includono tutti controlli e le procedure
progettati per assicurare che le informazioni, finanziarie e non, da inserire nei
rapporti che l’emittente deposita in base alle disposizioni dell’Exchange Act,
siano raccolte e comunicate al management dell’emittente, ivi inclusi il CEO ed il
CFO, in maniera idonea a consentire l’assunzione di decisioni tempestive in
relazione alle rappresentazioni da fornire.
I disclosure controls and procedures coprono uno spettro di informazioni
maggiore di quello coperto dall’internal control over financial reporting in quanto
relativi ad assicurare la conformità dell’informativa alla generalità dei requisiti
applicabili. I disclosure controls and procedures dovrebbero infatti identificare le
informazioni rilevanti al fine di valutare la necessità di descrivere nei rapporti
depositati forniti alla SEC gli sviluppi ed i rischi relativi agli affari dell’emittente.
I disclosure controls and procedures dovrebbero inoltre coprire informazioni da
valutare nel contesto del requisito generale di produzione di informazioni
necessarie a rendere non ingannevoli le dichiarazioni rese nei rapporti depositati o
forniti alla SEC.
Con riferimento alla valutazione dell’adeguatezza del sistema di disclosure
controls and procedures, sebbene non siano stabiliti criteri specifici, l’emittente è
chiamato a “sviluppare un processo (di valutazione, ndr.) confacente ala propria
attività e alle proprie condotte di gestione e supervisione interne”; ad ogni modo
173
è incoraggiata la costituzione di un disclosure committee che risponda all’alta
direzione aziendale e “abbia la responsabilità di considerare la rilevanza delle
informazioni e di definire tempestivamente gli obblighi di divulgazione da
rispettare”.
Sebbene la certificazione sia prevista in sede di redazione del rapporto trimestrale
o annuale (quarterly and annual reports, depositate presso la SEC ai sensi delle
Sezioni 13(a) e 13(d) dell’Exchange Act 88; La violazione dell’obbligo comporta
sanzioni di natura civilistica.), nelle intenzioni della SEC le nuove rules relative ai
disclosure controls and procedures devono supportare qualunque tipologia di
informativa predisposta. L’assenza di adeguate procedure e controlli, la loro
mancata revisione e valutazione ed altri inadempimenti delle rules applicabili
potrebbero pertanto essere sanzionati dalla SEC anche in presenza di una corretta
informativa nel rapporto annuale.
Infatti, la mancata osservanza delle regole sull’istituzione e il mantenimento delle
procedure di controllo espongono l’emittente al rischio di un procedimento
giudiziale da parte della SEC per violazione della Sezione 13(a) dell’Exchange
Act, a prescindere dall’esattezza o meno della risultante comunicazione 89. Gli
obblighi di certificazione relativi ai controlli interni si estendono al delicato
rapporto tra amministratori e revisori contabili o audit committee. Gli
amministratori firmatari dei Sections reports 13(a) e 13(d), infatti, in aggiunta alle
precedenti certificazioni, devono dichiarare di non aver omesso di comunicare ai
revisori contabili eventuali lacune o deficienze delle procedure di controllo tali da
mettere a repentaglio la veridicità e correttezza dei dati comunicati al pubblico,
nonché eventuali frodi commesse dagli amministratori o da altri dipendenti
88
Il regolamento di attuazione della SEC chiarisce che la certificazione in oggetto è obbligatoria
soltanto per le comunicazioni aventi natura periodica (trimestrale o annuale). Ciò si traduce, per le
società straniere, nell’obbligo di includere le certificazioni nelle Forms 20-F o 40-F. Si segnala
anche che il 31 marzo scorso la SEC ha pubblicato una proposta di modifica della sezione 302
della Legge la quale prevede che il filing delle certificazioni debba essere effettuato sotto forma di
allegato alle relazioni. Cfr., il SEC Release No. 33-8212. Tale modifica non altererebbe in alcun
modo il quadro delle responsabilità susseguenti alla violazione degli obblighi di certificazione.
89
Si segnala che la certificazione finanziaria è stata vincolata a standard assai più rigidi dei
principi accolti a livello di revisione contabile. Il SEC Release chiarisce che la dichiarazione che i
bilanci rappresentano in modo corretto, in ogni aspetto rilevante, le condizioni finanziarie
dell’emittente deve essere intesa come certificazione che l’informativa finanziaria resa pubblica
con il report, intesa nel suo complesso, è conforme a standard di assoluta accuratezza e
completezza, aventi portata più ampia dei generali parametri di revisione contabile GAAP.
174
coinvolti nell’espletamento dei suddetti controlli 90. Le final rules non specificano
la forma e la consistenza che tali procedure devono assumere. Tuttavia, esse
raccomandano la costituzione di un comitato interno con il compito di raccogliere
dati ed informazioni materiali e di relazionare gli amministratori firmatari 91.
Sezione 906
Unitamente alla certificazione prevista dalla sezione 302, la sezione 906 del SOA
(recante sanzioni di natura penale) stabilisce la separata attestazione, da parte del
CEO e del CFO, che il rapporto annuale contenente il bilancio “rispetta in piano
le disposizioni” dell’Exchange Act in materia di rapporti annuali, e che “le
informazioni contenute nel rapporto annuale riflettono correttamente, sotto tutti
gli aspetti rilevanti, la situazione patrimoniale-finanziaria e i risultati delle
operazioni dell’emittente”.
Quanto all’aspetto sanzionatorio, esso appare in linea con gli ambiziosi obiettivi
di riforma della Legge. Infatti, la Sezione 906 prevede l’irrogazione di una multa
fino a $1.000.000 e/o la reclusione fino a 10 anni per chi certifichi il report con
piena conoscenza (knowingly) che la relazione non rispetta i precetti di legge. Le
sanzioni si irrigidiscono in proporzione alla mens rea del responsabile: la norma
prevede una multa fino a $5.000.000 e/o la reclusione fino a 20 anni in caso di
condotta dolosa (willful). La Legge, per converso, è muta circa le conseguenze
derivanti dalla mancata certificazione o da una dichiarazione non in linea con le
formalità prescritte dalla Legge 92.
90
Il SEC Release ha integrato e completato la disciplina predisposta dalla Legge sotto due
importanti aspetti. In primo luogo, esso ha esteso l’obbligo di certificazione al cash flow
dell’emittente, di cui non v’è menzione nella Legge. Inoltre, la SEC ha sostituito il concetto di
controlli interni (internal controls) di cui alla Legge stessa con quello, più ampio, di procedure e
controlli interni intesi a garantire la trasparenza (disclosure controls and procedures).
91
Il SEC Release suggerisce che il comitato sia costituito dalle seguenti figure aziendali: il
“principal accounting officer” (o il controller), il general counsel o altra figura di consulente
legale interno con obbligodi relazionare il general counsel, il “principal risk management officer”,
il “chief investor relationsofficer” o altro dirigente avente analoghe funzioni, e altri dipendenti
dell’azienda il cui contributo appaianecessario secondo le circostanze.
92
Il 31 marzo 2003, la SEC ha pubblicato una proposta di modifica della sezione 906 della Legge.
Essa prevede che le certificazioni previste siano “fornite” alla SEC come allegato alle proprie
relazioni periodiche e, dunque, in forma pubblica. Secondo la proposta di regolamento, l’exhibit
non andrebbe tuttavia considerato parte integrante del filing ai fini dell’applicazione delle norme
federali in tema di responsabilità penale per dichiarazioni false o ingannevoli. Cfr., a tale
175
La certificazione disposta dalla sezione 906 del SOA è in parte differente rispetto
a quella indicata nella sezione 302 e alla rule della SEC, non soltanto per la natura
delle sanzioni – penali e non civilistiche – che conseguono alla sua falsificazione
o irregolarità. Essa, infatti, omette ogni riferimento alla rilevanza delle
informazioni e non attribuisce alcun rilievo alla conoscenza del firmatario. Inoltre,
l’oggetto dell’obbligo appare assai più circoscritto, in quanto il giuramento non si
estende ai controlli ed alle procedure di trasparenza, come previsto dalla Sezione
302 93.
In particolare la certificazione ai fini penali:
♦ non fa riferimento al grado di conoscenza del firmatario;
♦ non chiede di certificare l’affidabilità del sistema di controllo interno e
delle procedure adottate.
Considerate queste differenze, le disposizioni della sezione 906 sono da intendersi
come un obbligo informativo ulteriore e diverso rispetto a quello previsto dalla
sezione 302 del Sarbanes-Oxley Act.
A differenza di quanto previsto per le lettere di attestazione espressamente
predisposte nella forma delle sezioni 302 e 404 del SOA, per la fattispecie in
esame si fa riferimento ad una più generica “certificazione” non formalmente
predefinita.
Sezione 404
Le disposizioni della sezione 404 del SOA, rese operative dalla Rule SEC
“Management’s Reposrts on Internal Control Over Financial Reporting and
Certification of Disclosure in Exchange Act Periodic Reports” del 5 giugno 2003,
modificano l’Item 15 del Form 20-F e stabiliscono l’inserimento nel rapporto
proposito, la Sezione 18 dell’Exchange Act. In attesa dell’adozione di final rules in materia, la
SEC ha comunque incoraggiato le emittenti a fornire le certificazioni come “additional exhibit”
alle proprie relazioni periodiche, le Forms 20-F e 40-F. Cfr., SEC Release No. 33-8212.
93
La Legge tralascia invece di definire il concetto di relazioni periodiche (periodic reports), dando
originead alcuni dubbi interpretativi, specie per quanto concerne la Form 8-K e la Form 6-K.
Infatti, mentrela prima non ha natura periodica, ma corrente, la seconda è soltanto fornita alla SEC
e, come tale, nonè tecnicamente oggetto di deposito. Si ritiene comunque che sia la Form 8-K sia
la Form 6-K siano esclusedall’obbligo certificativo.
176
annuale di una relazione del management dell’emittente sul sistema di controllo
interno che sovrintende la redazione del bilancio che contenga:
♦ l’indicazione della responsabilità del management nell’istituzione e nel
mantenimento di un adeguato sistema di controllo interno che sovrintende
la redazione del bilancio (cd internal control over financial reporting);
♦ l’identificazione del modello (framework) utilizzato dal management per
valutare l’efficacia del sistema di controllo interno che sovrintende la
redazione del bilancio dell’emittente come richiesto dalle disposizioni
dell’Exchange Act in materia di rapporti annuali;
♦ la valutazione da parte del management dell’efficacia del sistema di
controllo interno che sovrintende la redazione del bilancio alla data di
chiusura del più recente esercizio dell’emittente. Tale valutazione dovrà
indicare se il sistema di controllo interno che sovrintende la redazione del
bilancio sia o meno efficace. Tale valutazione dovrà inoltre illustrare ogni
debolezza significativa nel sistema di controllo interno che sovrintende la
redazione del bilancio dell’emittente che sia stata identificata dal
management. Il mamagement non potrà concludere che tale sistema di
controllo interno sia efficace in presenza di una o più di tali debolezze
significative 94;
♦ l’indicazione che il Revisore che ha effettuato la revisione contabile del
bilancio incluso nel rapporto annuale contenente le informazioni richieste
dall’Item 15 della Form 20-F ha rilasciato l’attestazione sulla valutazione
da parte del management del sistema di controllo interno che sovrintende
la redazione del bilancio.
94
Il management dovrà inoltre illustrare ogni cambiamento nel sistema di controllo interno che
sovrintende la redazione del bilancio che sia stato identificato in relazione alla valutazione
richiesta dalla Rule 13°-15 dell’Exchange Act, sia intercorso nel periodo di tempo cui il rapporto
annuale si riferisce e abbia inciso in modo significatico, o sia ragionevolmente in grado di incidere
in modo significativo, sul sistema di controllo interno che sovrintende la redazione del bilancio
del’emittente.
177
Figura 4.1 – Sec 404, Management assessment process
L’attestazione prevista dalla sezione 404 del SOA va in pratica a sostituire la civil
certification
precedentemente
richiesta
dalla
sezione
302,
integrandola
sostanzialmente tramite più specifici richiami alla tematica dell’internal control
over financial reporting.
Alla società incaricata della revisione del bilancio è chiesto di attestare la
valutazione effettuata dal management 95; la circostanza che la valutazione dell’
internal control over financial reporting sia oggetto di attestazione da parte della
società di revisione non consente peraltro al management di delegare la propria
responsabilità relativa alla valutazione del sistema di controllo interno che rimane,
in via esclusiva, in capo alla società.
La mancanza di adeguate procedure e controlli potrebbe essere sanzionata dalla
SEC anche in assenza di carenze nell’informativa fornita.
L’espressione “internal control over financial reporting” è definita come il
processo progettato dai, o sotto la supervisione dei, principal executive and
principal financial officers dell’emittente (in genere identificati nelle persone del
CEO e del CFO), ovvero da persone che svolgono analoghe funzioni, e attuato dal
Consiglio di amministrazione, dal management e da altro personale, volto a
fornire ragionevole certezza sull’attendibilità dell’informativa finanziaria e sulla
redazione del bilancio pubblicato o diffuso dall’emittente in ottemperanza ai
95
Per espressa disposizione, l’attestazione svolta da parte della società incaricata della revisione
del bilancio non rappresenta un incarico aggiuntivo.
178
principi contabili generalmente accettati, e include quelle politiche e procedure
che:
1) attengono al mantenimento di registrazioni contabili che riflettano, con un
ragionevole dettaglio, accuratamente e correttamente le transazioni e le
cessioni dei beni aziendali;
2) forniscono la ragionevole certezza che le transazioni sono rilevate in modo
tale da consentire la redazione del bilancio in accordo con i principi
contabili di generale accettazione e che gli incassi e i pagamenti
dell’emittente sono effettuati esclusivamente secondo le autorizzazioni del
management e degli amministratori dell’emittente;
3) e forniscono la ragionevole certezza relativa alla prevenzione o alla
tempestiva individuazione di acquisti, utilizzi o cessioni non autorizzati di
beni aziendali che potrebbero avere un effetto significativo sul bilancio.
Pertanto, come meglio illustrato in seguito, i controlli a cui intende riferirsi la
sezione 404 sono focalizzati sui controlli interni relativi alla redazione del
bilancio e alla salvaguardia del patrimonio aziendale. La valutazione della loro
efficacia deve avvenire confrontando il proprio sistema di controlli con un metodo
di riferimento (cd. Framework; ad esempio il Co.S.O.) adeguato e riconosciuto
che sia stato predisposto da un ente o gruppo che abbia seguito procedure di due
process, ivi inclusa la distribuzione del framework al pubblico interessato per
ottenere commenti prima della sua adozione 96. Per essere considerato adeguato,
un framework deve: essere imparziale; consentire misurazione qualitative e
quantitative, ragionevolmente coerenti, del sistema di controllo interno di una
azienda; essere sufficientemente completo in modo che non vengano omessi quei
fattori rilevanti che modificherebbero le conclusioni in materia di efficacia del
sistema di controllo interno di una azienda; ed essere rilevante ai fini della
valutazione del sistema di controllo interno che sovrintende la redazione del
bilancio. Il modello di riferimento utilizzato per la valutazione deve essere
indicato nella relazione. Tra i possibili modelli di riferimento, coerentemente ai
96
Vedi SEC Release No. 33-8238 e Rule 13°-15(c) del Securities Exchange Act of 1934
179
suggerimenti della SEC, il Co.S.O. framework 97, appare essere lo standard di
generale accettazione.
La valutazione sull’efficacia del sistema di controllo interno posto in essere, deve
essere effettuata sulla base di procedure sufficienti a valutare il progetto, nonché,
attraverso l’esecuzione di appropriati test, sulla sua efficacia operativa 98.
La valutazione, inoltre, deve essere supportata da evidenze, adeguatamente
documentate, che devono fornire un ragionevole supporto per:
1) valutare se i controlli sono stati progettati in modo adatto a prevenire o
individuare significativi errori o omissioni;
2) concludere che i test sono stati adeguatamente pianificati ed eseguiti;
3) assicurare che i risultati dei test effettuati sono stati adeguatamente
considerati nell’espressione del giudizio sull’efficacia dei controlli.
Sebbene non siano previste specifiche disposizioni, la verifica deve essere svolta
su un arco temporale congruo per consentire al management l’espressione di un
giudizio sull’efficacia del sistema di controllo interno posto in essere con
riferimento alla data di chiusura dell’esercizio.
Qualora dalla valutazione emergessero eventuali “carenze materiali” (cd. material
weaknesses), per espressa disposizione del sistema di controllo interno posto in
essere non può essere qualificato come efficace.
Le material weaknesses rappresentano carenze nella progettazione e/o
nell’operatività del sistema di controllo interno tali da non consentire di ridurre,
ad un livello relativamente basso, il rischio che si verifichino, e non siano
tempestivamente individuate, dichiarazioni inesatte determinate da errori o frodi
per ammontare rilevante in relazione al bilancio 99. Le carenze in esame sono
illustrate nella relazione su internal control over financial reporting unitamente ad
97
Il frameworkin esame è stato definito, nel 1992, dal Committee of Sponsoring Organizations of
the Treadway Commission.
98
La SEC non stabilisce criteri specifici da adottare per la verifica di internal control over
financial reporting limitandosi a indicare, a titolo esemplificativo, che l’ambito della valutazione
include, ma non è limitato, ai controlli relativi: (I) all’apertura, alimentazione, registrazione,
elaborazione e riconciliazione dei saldi dei conti, delle classi di transazioni poste in essere e delle
informazioni fornite e delle relative asserzioni di bilancio; (II) all’apertura ed alla elaborazione di
transazioni non sistematiche e non routinarie; (III) alla selezione e applicazione dei principi
contabili adatti; (IV) alla prevenzione, identificazione e individuazione di frodi.
99
Tali definizioni di material weaknesses e significant deficency risultano in linea con quelle
contenute nell’Audit Standard n°2 emanato dal PCAOB.
180
ogni cambiamento, intervenuto nel corso dell’esercizio, che abbia inciso (o che sia
ragionevolmente in grado di incidere) in modo significativo sul sistema di
controllo interno che sovrintende la redazione del bilancio.
Le carenze significative e ogni rilevante punto di debolezza (cd significant
deficencies) nel progetto o nell’operatività del sistema di controllo interno
adottato, che siano ragionevolmente in grado di influenzare negativamente la
capacità dell’azienda di registrare, elaborare, riassumere e divulgare informazioni
finanziarie, nonché ogni frode, significativa o meno, in cui sia coinvolto il
management o altro personale che svolge un ruolo rilevante nel sistema di
controllo interno che sovrintende la redazione del bilancio della società, sono
portate a conoscenza del Revisore e del Comitato per il controllo interno 100;
l’avvenuta comunicazione è oggetto di attestazione dal parte del CEO e CFO.
4.1.2
OBIETTIVI SPECIFICI DEL SISTEMA DI CONTROLLO AI FINI
DEL SOA (SEZ. 302 e 404)
Le disposizioni relative ai “disclosure controls and procedures” e al’”internal
control over financial reporting” individuano come obiettivo principale la
correttezza
e
l’affidabilità
dell’informativa
finanziaria,
comunque
non
esclusivamente coincidente con la categoria “financial reporting”, definita fra gli
obiettivi di controllo del Co.S.O. framework.
Risultano pertanto esclusi dalla definizione di internal control over financial
reporting, in linea generale, gli obiettivi di presidio di efficacia ed efficienza delle
attività operative (operations) e di conformità a leggi e regolamenti (compliance),
ad eccezione dei seguenti obiettivi specifici di controllo esplicitamente inclusi nel
campo di applicazione dell’internal control over financial reporting:
♦ La salvaguardia del patrimonio aziendale (obiettivo specifico delle
operations);
♦ L’adeguata autorizzazione delle transazioni aziendali(obiettivo specifico
delle operations);
♦ La documentabilità delle transazioni;
100
Analogamente a quanto indicato in precedenzam in Italia la comunicazione in esame è
effettuata anche al Collegio sindacale
181
♦ La conformità a leggi e regolamenti relativi alla predisposizione
dell’informativa finanziaria (obiettivo specifico della compliance).
Tuttavia, l’osservanza di altre leggi e regolamenti potrebbe rientrare
indirettamente nell’oggetto della normativa nella misura in cui una violazione
significativa debba essere oggetto di informazione di mercato.
Il concetto di salvaguardia del patrimonio aziendale, definito nell’ambito del
sistema di internal control over financial reporting, è da intendersi come il
processo volto a “fornire la ragionevole sicurezza relativa alla prevenzione o alla
tempestiva individuazione di acquisti, utilizzi o cessioni non autorizzati di beni
aziendali che potrebbero avere un effetto significativo sul bilancio”.
Pertanto, la definizione di salvaguardia dei beni aziendali in tale accezione non
coincide con il più ampio e fondamentale obiettivo del management di proteggere
il valore dell’attivo dell’impresa e di accrescerlo nel tempo (mantenimento e
creazione di valore) 101.
Il concetto di “autorizzazione 102” delle transazioni aziendali è da intendersi con il
processo e le procedure adottate dall’azienda che consentono, con ragionevole
sicurezza, di attestare che i passi autorizzativi relativi ad impegni e disposizioni,
ovvero incassi e pagamenti, cono adeguatamente messi in atto e controllati.
Il concetto di “documentabilità” è da intendersi come la capacità dell’azienda di
produrre e mantenere tutta la documentazione necessaria al fine di consentire, con
un ragionevole livello di dettaglio, di valutare l’accuratezza e la corretta
rappresentazione di transazioni o vendite che riguardano i beni aziendali.
Il concetto di “conformità” a leggi e regolamenti (compliance) è da intendersi
come l’applicazione delle norme previste dalla legislazione di riferimento
relativamente all’informativa finanziaria con valenza esterna.
101
In quest’ottica, nel valutare il sistema di controllo sulla salvaguardia dei beni aziendali non
devono essere, ad esempio, considerati tutti i controlli sul processo decisionale di acquisizione e
vendita. La decisione di vendere un prodotto ad un prezzo che si dimostra non profittevole
potrebbe essere considerata da un punto di vista gestionale come un insuccesso nella protezione
delle attività esistenti, ma, se opportunamente autorizzata, non un difetto del sistema di internal
control over financial reporting.
102
L’autorizzazione delle transazioni aziendali, a differenza dell’autorizzazione propria della
salvaguardia dei beni, non è concepita come potere di disposizione dei beni aziendali, ma è
limitata alle verifiche autorizzative proprie di incassi e pagamenti.
182
4.1.3
LA CERTIFICAZIONE DEL REVISORE CONTABILE
Nel Sarbanes Oxley Act del 2002 sono molti gli articoli che cercano di migliorare
l’affidabilità e la correttezza dei reports finanziari, ma, senza ombra di dubbio, le
sezioni 302 e 404, con le sanzioni previste dalla sezione 906, sono da considerare
preminenti nella nostra analisi. Questa riforma disciplina svariati aspetti
dell’organizzazione delle imprese e del loro governo societario e, sicuramente,
inciderà in modo molto deciso sulle operazioni e sulle valutazioni economiche
delle suddette imprese quotate negli Stati Uniti. Un primo punto di partenza è
sicuramente quello dell’affidabilità dei bilanci e di tutti i reports finanziari emessi
dalle società quotate. I reports finanziari sono molto importanti in quanto sono
spesso l’unica forma di conoscenza effettiva che gli azionisti e gli investitori
hanno, riguardo all’andamento economico, finanziario e patrimoniale delle
imprese in cui loro investono o a cui sono interessati per vari ordini di motivi.
Inoltre, le già richiamate vicissitudini finanziarie che hanno coinvolto molte
imprese americane ed europee, hanno fatto sorgere nel legislatore americano, ma
anche in tutti gli stakeholders ed economisti in genere, l’esigenza di
regolamentare meglio il processo di formazione e comunicazione dei reports
finanziari.
Sempre i reports finanziari devono essere considerati strumenti fondamentali e,
ovviamente, devono correttamente rappresentare le reali condizioni economiche
dell’azienda, perché sono l’unico pilastro su cui si fonda il sistema economico
capitalista e, in definitiva, il mondo dei mercati finanziari. Si vuole asserire che
senza una vera affidabilità delle informazioni finanziarie, e con il sorgere di casi
sempre più clamorosi di crack o crisi aziendali, si rischia la perdita di fiducia degli
investitori, ma anche di tutti i soggetti interessati alla situazione di un’impresa e,
più in generale, si rischia la crisi del sistema economico capitalista.
L’obiettivo del Revisore contabile in sede di audit sull’internal control over
financial reporting è di esprimere un’opinione sulla valutazione di efficacia
fornita dal management riguardante il sistema dei controlli interni sull’informativa
finanziaria aziendale (Interna Control Report).
Per poter formare una solida base sulla quale costruire un’opinione di tale rilievo,
il Revisore deve pianificare ed eseguire un audit finalizzato alla verifica, con un
ragionevole grado di sicurezza, su come la società emittente abbia mantenuto
183
efficaci controlli interni relativi alle informazioni di natura finanziaria, così come
specificato nell’attestazione del management. A tal fine il Revisore procede
all’esame di tutta l’informativa finanziaria relativa al periodo ricadente all’interno
dell’arco temporale di riferimento per la suddetta attestazione.
Il mantenimento di un efficace sistema di controlli interni sull’informativa
finanziaria comporta l’assenza di carenze significative (material weakness) nel
disegno, nell’operatività e nel mantenimento dello stesso; pertanto, l’obiettivo
principale di un audit sull’ internal control over financial reporting consiste
nell’ottenere la ragionevole sicurezza in merito all’assenza di eventuali carenze
significative, così come attestato dal management della società emittente.
Al fine dell’ottenimento della ragionevole sicurezza, il Revisore è tenuto ad
esaminare la valutazione prodotta dal management ed a constatare come e se
effettivamente il sistema dei controlli interni sull’informativa finanziaria è stato
disegnato e reso operativo. Il Revisore acquisisce tali informazioni tramite diversi
strumenti, inclusi l’utilizzo dell’operato altrui (internal auditing, self assessment,
ecc.) e l’espletamento di vere e proprie attività di revisione.
Il Revisore considera il fatto che fra le categorie di soggetti che fanno affidamento
sulle informazioni che interessano il sistema di controllo interno sull’informativa
finanziaria, vanno inclusi investitori, creditori, Consiglio di amministrazione,
Audit committee, organi di controllo, ecc. il Revisore, inoltre, tiene presente che
gli utilizzatori esterni della documentazione finanziaria sono particolarmente
interessati all’informativa riguardante il suddetto sistema di controllo in quanto
determinante del livello qualitativo del reporting finanziario e quindi del livello di
affidamento stesso che tali soggetti ripongono sull’informativa finanziaria
prodotta. L’informazione in materia di controlli interni è anche finalizzata a
fornire un pronto avviso in merito a situazioni potenzialmente pericolose ai
soggetti interni ed esterni operanti nell’ambito del miglioramento del sistema dei
controlli stesso, quali Audit commettee e Organi di controllo.
Inoltre il SOA afferma il principio dell’illegalità, per ogni società di revisione,
delle sue prestazioni di servizi non audit in contemporanea all’attività di revisione,
tranne che per quanto previsto dalle esenzioni della stessa legge; il Sarbanes cita
esplicitamente una lista di otto servizi non audit di seguito riportati:
1) tenuta della contabilità od altri servizi relativi alle registrazioni contabili o
ai bilanci del cliente auditato;
184
2) creazione del sistema informativo dei dati finanziari;
3) servizi di stima o valutazione, opinioni di equità, redazione di report;
4) servizi degli attuariali;
5) outsourcing della funzione di internal auditing;
6) funzione manageriale e/o gestione delle risorse umane;
7) broker o consulente, consulente d’investimento o servizi di investment
banking;
8) servizi legali e di consulenza non riferiti all’attività di audit;
9) ogni altro servizio che il Board ritiene di vietare.
Il PCAOB ha quindi la facoltà di aumentare le tipologie di servizi non audit da
vietare, nonché la possibilità di implementare alcune esenzioni dopo un’analisi
caso per caso, seppur in quest’ultimo caso è necessaria l’approvazione della SEC.
Il revisore deve quindi evitare la prestazione di determinati servizi non audit a
emittenti o a sue società consociate nel momento in cui ha il compito di
revisionare il bilancio dello stesso emittente o delle sue consociate 103. La Sec ha
implementato le previsioni del SOA riguardo ai servizi non audit nel gennaio del
2003 con l’Act Release 8183 forse invadendo il campo delle prerogative del
PCAOB, azione questa giustificata dalla non ancora efficacia operativa raggiunta
dal Board in quel periodo e dalla contemporanea necessità di regolamentare
tempestivamente e più in dettaglio una disciplina alquanto delicata. Il principio
generale definito dalla SEC è che si vieta la prestazione di servizi non audit a
meno che è ragionevole concludere che i risultati forniti da questi servizi non
saranno oggetto delle procedure di revisione sui bilanci del cliente, ovvero “il
revisore non può controllare il suo lavoro”. La lista fornita dal SOA viene solo
estesa dividendo i servizi manageriali da quelli relativi alle risorse umane e quelli
legali da quelli di consulenza non audit. La lista delle circostanze che potrebbero
intaccare l’indipendenza del revisore non è esaustiva e per esaminare attentamente
103
Una società si deve ritenere consociata se una società emittente detiene direttamente o
indirettamente il suo controllo, se l’emittente influenza materialmente e significativamente le
decisioni della consociata, se la consociata detiene direttamente o indirettamente il controllo
sull’emittente o è in grado di esercitare influenza rilevante sulle decisioni dell’emittente. Più
specificatamente si potrebbe ritenere controllata una società di cui si possiede almeno la metà delle
azioni con diritto di voto, e quindi si è in grado di controllare praticamente tutta l’attività operativa
della stessa; inoltre, l’influenza significativa che una società esercita su di un’altra potrebbe essere
tale nel momento in cui si possegga più del 20 % del capitale sociale della società in oggetto.
185
questi casi, la SEC esplicitamente afferma che considererà se la fornitura di
servizi:
♦ crea un interesse reciproco o contrastante tra il revisore e
l’emittente;
♦ mette il revisore in condizioni di revisionare il suo lavoro;
♦ pone il revisore in una posizione di difensore del cliente;
♦ pone il revisore in una situazione simile a quella di manager o
impiegato del cliente.
I servizi di internal audit potrebbero essere svolti da società esterne a quella
dell’impresa emittente o da società di revisione se la società emittente riconosce
la sua responsabilità per la creazione e gestione di un adeguato sistema di
controllo interno, nomina un responsabile della funzione di internal audit e la
stessa società emittente non fa affidamento sul lavoro della società esterna per la
determinazione dell’efficacia e dell’affidabilità del sistema di controllo interno.
Tutti i servizi audit e non audit devono essere pre-approvati dall’audit committee
che si assume la responsabilità di tutti i servizi richiesti al revisore diversi
dall’audit che ne possano minare l’indipendenza; è ovvio che è anche interesse del
revisore evitare la prestazione di sevizi non audit vietati al suo cliente al fine di
non incorrere nelle dure sanzioni del PCAOB che potrebbero anche comportare la
revoca della registrazione che, in termini pratici, comporterebbe l’impossibilità a
svolgere l’attività di revisione per tutte le società emittenti, che negli USA sono
praticamente la totalità delle imprese.
Al riguardo la legge individua alcune eccezioni relative all’approvazione di tutti i
servizi audit e non audit da parte dell’audit committee. La richiesta di preapprovazione dell’audit committee è derogata, se riguarda servizi non audit
prestati ad un emittente da una società di revisione, se:
♦ l’ammontare complessivo degli onorari per tutti i servizi non audit ricevuti
non eccede il 5% del totale degli onorari pagati ai revisori, anche per i
servizi audit, nell’esercizio in cui i suddetti servizi non audit sono forniti;
♦ questi servizi non sono stati riconosciuti dall’emittente al momento in cui
è avvenuto l’accordo con il revisore come servizi non audit;
186
♦ tali servizi sono stati immediatamente portati all’attenzione dell’audit
committee e da esso approvati prima della conclusione della loro
prestazione.
Tutto ciò deve essere comunicato agli investitori per via degli appositi report
periodici che si inviano alla SEC e sono chiaramente resi pubblici. La
commissione ha comunque meglio definito i servizi non audit già elencati dal
Sarbanes:
♦ tenuta della contabilità o altri servizi relativi alle registrazioni contabili o
ai bilanci del cliente auditato comprendono il mantenimento e la
preparazione delle registrazioni contabili del cliente auditato, la
preparazione dei bilanci del cliente trasmessi alla Sec e l’individuazione di
tutti i dati necessari per la redazione dei bilanci di cui sopra;
♦ il design e l’implementazione del sistema informativo finanziario
comprende l’operatività diretta o indiretta o la supervisione delle
operazioni riguardanti il sistema informativo da parte del revisore,nonché
la creazione di sistemi hardware o software che aggreghino ed elaborino
dati finanziari da parte dello stesso;
♦ i servizi di stima o valutazione riguardano tutti quei processi svolti dal
revisore per la valutazione di assetts tangibili o intangibili e del passivo
della società emittente;
♦ i servizi degli attuariali consistono in tutte quelle consulenze sulle poste di
bilancio e i relativi conti, nonché l’assistenza fornita al cliente nella
comprensione dei metodi, dei modelli, delle ipotesi utilizzate nella stima di
un’esposizione di bilancio;
♦ l’outsourcing della funzione di internal auditing comprende ovviamente
tutti quei servizi forniti dal revisore relativi al sistema di controllo interno,
al sistema finanziario e al bilancio di una società cliente;
♦ le funzioni manageriali si verificano nel momento in cui il revisore agisce
come un amministratore, direttore o impiegato di un cliente sottoposto ad
audit, nonché lo svolgimento di ogni attività di programmazione,
supervisione, monitoraggio e decisione;
♦ la funzione risorse umane si riferisce alla selezione di candidati operata dal
revisore per conto del suo cliente, implementazione di test psico
187
attitudinali o test valutativi del personale, determinare la posizione, il
titolo, il pagamento ed i benefit che spettano ai dipendenti;
♦ l’attività di broker o dealer significa agire come promotore, sottoscrittore,
intrapresa di decisioni di investimento per il cliente o avere autorità
riguardo gli investimenti, le transazioni e i movimenti di capitale dello
stesso;
♦ i servizi legali potrebbero essere forniti da avvocati registrati.
Molti dubbi ha suscitato la disposizione della Sec riguardo i servizi fiscali, in
quanto sia Proposing release che nell’Adopting release si afferma che i servizi
fiscali non sono totalmente preclusi dal SOA, perché la sezione 201 afferma che i
servizi non audit, compresi i servizi fiscali, possano essere forniti dal revisore se
approvati anticipatamente dall’audit committee dell’emittente, il quale deve
accertarsi se i servizi fiscali costituiscano dei servizi di consulenza proibiti tanto
da pregiudicare l’indipendenza del revisore.
Si ricordano, inoltre, all’audit committee le tre situazioni su esaminate in cui il
revisore non si deve assolutamente trovare e si fa l’esplicito esempio della
partecipazione del revisore alla formulazione di quelle strategie fiscali che
minimizzino la tassazione a carico dell’emittente.
L’unica nota considerata positiva da molteplici osservatori, che si sono opposti a
queste disposizioni della SEC, è la messa in guardia operata dalla Commissione
sul fatto che i servizi fiscali non sarebbero servizi di consulenza appropriati da
prestare ad una società cliente.
Comunque, sulla scia delle molteplici proteste anche di commentatori autorevoli e
forse, comprendendo la possibile perdita di efficacia che le decisioni della SEC
potrebbero produrre sulla reale applicazione del concetto di indipendenza, ha
espresso la necessità di una sua revisione delle norme in oggetto e la possibile
emanazione di norme più articolate riguardo l’indipendenza del revisore, norme
che al momento non sono operative.
188
Uno spiraglio per la Corporate America
La Securities and Exchange Commission (SEC, la Consob statunitense) proporrà a
dicembre una proposta più flessibile della sezione 404 della Sarbanes-Oxley, la
legge che disciplina la corporate governance per le compagnie, a seguito del crac
Enron del 2002.
Secondo quanto scrive il Wall Street Journal, il lungo dibattito per rivedere le
rigidità della legge anti-scandali, finita nel mirino perché scoraggia tra l'altro le
nuove quotazioni a Wall Street (a favore di Londra e Hong Kong), starebbe quindi
per produrre i primi effetti visto che la SEC lavorerà con la Public Company
Accounting Oversight Board (l'agenzia che ha la supervisione delle società di
revisione) per definire alcune modifiche agli standard (i cosiddetti AS2) seguiti
per valutare l'adeguatezza dei conti aziendali.
Proprio questi schemi particolarmente rigidi si sono tradotti in una crescita
piuttosto sostenuta degli oneri a carico delle aziende. Il numero uno della SEC,
Christopher Cox, ha messo in moto il meccanismo di revisione, scrivendo alla
commissione di supervisione con l'auspicio che siano adottate regole contabili
capaci di rispettare di più le dimensioni dei gruppi.
Dimenticare Enron e World Com, ovvero i grandi scandali finanziari che hanno
segnato la stagione della vergogna per la finanza americana? Dopo Christopher
Cox, numero uno della SEC (la società che vigila sulla Borsa americana), è
arrivato il turno del segretario al Tesoro, Henry "Hank" Paulson, di aprire il
capitolo della revisione della Sarbanes-Oxley Act. Non va stravolta, ha avvertito il
già banchiere numero uno di Goldman Sachs 104 intervenendo all'Economic Club
di New York, ma ha bisogno di «un miglioramento», un rafforzamento capace di
bilanciare «tutela dei risparmiatori e necessità di innovazione dei mercati
finanziari» per fare in modo che gli Stati Uniti e la sua Mecca borsistica Wall
Street in particolare, continuino a indossare i panni di leader del settore su scala
globale.
104
Goldman Sachs è una delle piu grandi e affermate Merchant Bank (definibile anche con i termini Banca d'affari,
Banca d'investimento, Investment Bank) del mondo, ha sede a New York ma ha sedi anche a Londra, Francoforte,
Tokyo, Hong Kong e in tutti gli altri centri finanziari del Mondo. La Banca è quotata al New York Stock Exchange
(NYSE) con la sigla GS. Essa opera nei piu variegati e innovati settori finanziari, dalla Consulenza non solo alle
aziende o a ricchi imprenditori ma anche a Governi, non ha caso i suoi Top Manager sono spesso reclutati dalla politica
(gli ultimi due casi sono Henry Paulson ex presidente della banca e ora nuovo Segretario al tesoro Americano e Mario
Draghi vice presidente di Goldman e ora a capo di Banca D'Italia).
189
L'ex boss della principale banca d'affari del mondo, quindi, diventato ministro
dell'Economia degli Stati Uniti, mette le mani sulle regole fatte per frenare la
disinvoltura dei finanzieri e delle banche d'affari che ne disegnano le strategie.
L'obiettivo, ha chiarito tuttavia Paulson, è quello di «non caricare le aziende
americane con costi rilevanti e con una regolamentazione severa, capace alla fine
di danneggiare la competitività stessa del mercato dei capitali». La SarbanesOxley Act è da diverso tempo materia di dibattito tra gli esperti e nel mondo
politico, sulla scia dei ripetuti appelli lanciati dalla Corporate America per le
disposizioni troppo onerose contenute in particolare nella sezione 404 (sulla cui
revisione è al lavoro proprio la SEC) che obbliga le aziende a valutare i controlli
interni per garantire che i risultati finanziari diffusi sui mercati siano affidabili.
Queste norme, sostengono gli esperti, spiegherebbero la fuga dai mercati
regolamentati degli Stati Uniti di molte corporation che preferiscono andarsi a
quotare su listini più flessibili e in forte ascesa come Londra e Hong Kong. «I
nostri mercati restano forti e competitivi - ha argomentato il segretario al Tesoro ma hanno di fronte sfide che non possono essere facilmente risolte». Paulson fissa
l'attenzione sul capitolo 404 che dovrebbe «essere più efficiente e funzionale sul
lato dei costi», assicurando che lo spirito della Sarbanes-Oxley «è integro». C'è
solo da migliorare «l'effetto complessivo della legge». Vedremo come.
4.1.4
RELAZIONE
TRA
“DISCLOSURE
CONTROLS
AND
PROCEDURES” E “INTERNAL CONTROL OVER FINANCIAL
REPORTING”
La descrizione del concetto di “disclosure control and procedures” e di “internal
control over financial reporting”, evidenzia che i due ambiti di controllo si
sovrappongono senza però coincidere.
In particolare, come indicato in precedenza, il perimetro di riferimento dei
disclosure control and procedures (sec. 302) appare più ampio in quanto riferito
all’intera informativa prodotta, finanziaria e non, che l’emittente è tenuto a
depositare o fornire in base alle disposizioni dell’Exchange Act. L’obiettivo è
quello di assicurare uno standard generale di qualità dell’informativa presentata e
190
la conoscenza tempestiva, da parte del vertice aziendale, di ogni fatto rilevante per
consentire decisioni tempestive in merito all’informazione che deve essere fornita
nel rapporto annuale.
Il sistema di internal control over financial reporting (sec. 404) è focalizzato
sull’informativa finanziaria, ovvero sulla redazione del bilancio nel rispetto delle
disposizioni dei principi contabili applicabili e sulla salvaguardia del patrimonio
aziendale.
Pertanto le problematiche inerenti la predisposizione dell’informativa finanziaria
appaiono comuni a entrambi i concetti di controllo, mentre le indicazioni in
merito alla completezza dell’informativa non finanziaria e la tutela del patrimonio
aziendale rappresentano aspetti peculiari, rispettivamente dei disclosure control
and procedures e dell’ internal control over financial reporting.
La distinzione assume rilevanza sostanziale, almeno per gli aspetti di seguito
indicati:
♦ L’adeguatezza dei disclosure control and procedures non assicura, di per
sé, l’efficacia del sistema di controllo che sovrintende la redazione del
bilancio (internal control over financial reporting);
♦ Solo l’ambito del sistema di controllo delineato dalla sec. 404 (internal
control over financial reporting) è oggetto di verifica e attestazione anche
da parte della società di revisione.
4.2
I COSTI DELLA SARBANES-OXLEY ACT A CONFRONTO CON I
BENEFICI E LE ASPETTATIVE
All’esordio della Legge SOA, il Congresso ha dichiarato che tale Legge è volta a
proteggere
gli
azionisti
attraverso
il
miglioramento
dell’accuratezza e
dell’attendibilità delle rivelazioni della società eseguite in conformità alle
securities laws. Nel Release No. 33-8238, la SEC (2003a) discute i seguenti
benefici e costi. I primi benefici ricercati come risultato dell’implementazione del
regolamento della sezione 404 della SOA sono l’accresciuta fiducia degli azionisti
nei resoconti finanziari, una migliore trasparenza delle società, dati finanziari più
191
attendibili basati sugli effettivi sistemi di controllo interno riguardo a dati,
rivelazioni e deterrenti di frode finanziaria.
I costi menzionati dalla SEC (2003a) includono i costi di preparazione dei
resoconti richiesti al management sui controlli interni e sui costi trascritti dalla
testimonianza degli azionisti.
Sebbene i benefici siano difficili da quantificare, i costi non lo sono. Prima di una
attestazione è opportuno che le compagnie valutino e documentino i loro sistemi
di controllo esistenti, determino quali cambiamenti siano necessari per migliorare
tali sistemi, implementino i cambiamenti, e testino l’efficienza dei controlli interni
stabiliti. I costi per portare a termine questi incarichi includono i crescenti salari e
benefici interni personali, le tasse per la consultazione esterna e per la nuova o
aggiornata tecnologia (hardware and software).
Nel Release No. 33-8238, la SEC (2003a) fornisce una stima del costo intorno a
91,000 dollari per compagnia su una media dei costi annuali di implementazione
riferita solo alla sezione 404(a) della SOA. Tale stima non include i costi riferiti
all’attestazione dei revisori indipendenti. Un’indagine svolta con la collaborazione
dei dirigenti delle compagnie nel corso del 2003 e 2004 rivela una stima molto
alta dei costi.
L’indagine condotta dal CFO magazine nell’agosto del 2003 fornisce interessanti
informazioni sui costi di implementazione della sezione 404 della SOA (Nyberg
2003). Solo il 44% dei dirigenti intervistati seguono le tracce dei costi di
implementazione e più della metà di quelli che non li inseguono non intendono
farlo.
Questo denota che tali costi sono immateriali o che questi dirigenti non
riscontrano benefici nel valutare tali specifici costi.
Più di tre-quarti degli intervistati ha indicato che i costi stimati dalla SEC, (91,000
dollari), sono troppo bassi. Circa la metà degli intervistati ha valutato che i propri
costi annuali di implementazione, inclusa l’attestazione delle tasse, ammontano a
meno di 500,000 dollari. Sebbene il 49% degli intervistati crede che la propria
compagnia ha ottenuto internamente dei benefici dall’implementazione dei
processi, il 70% sostiene che i costi di compliance abbiano superato i benefici.
Questa valutazione è stata condotta con un questionario via e-mail su un campione
casuale di dirigenti individuati dalla lista del CFO in circolazione. Su 220 degli
intervistati, 139 sono dirigenti di compagnie pubbliche. Il Financial Executives
192
International (FEI) ha osservato i costi della sezione 404 della SOX nel primo
anno di implementazione, nel gennaio e luglio del 2004 (FEI 2004), dei propri
membri delle compagnie pubbliche. Più della metà degli intervistati di entrambe
le indagini rappresentano le grandi aziende con un reddito annuo di 1 miliardo di
dollari o più. In queste indagini, il FEI interroga i dirigenti su tre diversi tipi di
costi di compliance – i costi dello sfaff interno, costi esterni quali consultazione e
tasse sui software, e le tasse sulle valutazioni dei revisori.
La media dei costi totali stimata è aumentata da 1.9 milioni di dollari nella
valutazione di gennaio, a 3.1 milioni di dollari nella valutazione di luglio. Per gli
intervistati con un reddito annuale di 1 milione di dollari o più, la media dei costi
totali è cresciuta da 3.0 a 5.2 milioni di dollari. La media dei costi valutata è
aumentata per tutte e tre i tipi di costi, ma la proporzione per i diversi tipi di costo
è cambiata da gennaio a luglio. Gli intervistati a gennaio hanno visto che le tasse
attestate ammontano a circa il 30% dei costi totali, tale percentuale è scesa al 26%
nella valutazione di luglio. La media attesa delle tasse attestate dai revisori è stata
di 823,200 di dollari a luglio in confronto a 590,100 di dollari in gennaio. Per gli
intervistati con un reddito di 1 milione di dollari o più, la media delle tasse
attestate è stata stimata intorno a 1.33 milioni di dollari a luglio comparata con
0.92 milioni di dollari in gennaio.
Nel maggio del 2005, quattro grandi società contabili, Deloitte & Touche LLP,
Ernst & Young, KPMG e PricewaterhouseCoopers hanno rilasciato una ricerca105
condotta da CRA International sulle società degli Stati Uniti il cui campione
comprendeva società con un giro d’affari annuale di 2 bilioni di dollari 48%,
meno di 500 milioni di dollari 19% e fra 500 milioni e 2 bilioni di dollari 33%. La
survey, e la successiva discussione con i partecipanti, si è focalizzata in particolare
sugli aspetti seguenti:
♦ Costi per il raggiungimento della conformità alla legge;
♦ Benefici associati in particolare alla sec. 404 della SOA;
♦ Relazioni con i revisori esterni;
♦ Ruoli e responsabilità in riferimento ai Sistemi di Controllo Interno (SCI);
♦ Formazione e addestramento;
♦ Interrelazioni con i comitati di controllo interno;
♦ Costi di mantenimento e miglioramenti previsti.
105
Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey UpdateMay 2005
193
Nei primi due anni di applicazione della Sarbanes-Oxley Act, si sono verificati
numerosi impatti, non tutti positivi, in particolare riguardanti:.
♦ I costi, interni ed esterni;
♦ La complessita di applicazione delle norme non sempre esaustive;
♦ La definizione dei ruoli e responsabilità per il processo di monitoraggio;
♦ Le difficoltà di fronteggiare questi impatti, raggiungere gli obiettivi di
breve e medio termine ed al contempo far fruttare gli ingenti investimenti
effettuati.
Alla fine del secondo anno di applicazione integrale per le Società USA, stanno
però emergendo molti benefici, in particolare:
♦ La scoperta ed il conseguente uso di molte “features” già presenti, ma non
sfruttate nei Sistemi Informativi ed in particolare nei Sistemi ERP;
♦ Eliminazione di processi e/o controlli duplicati;
♦ Ottimizzazione dei cicli contabili;
♦ Elevazione della cultura aziendale in termini di “Governance” ed “Internal
Control”;
♦ Miglioramento della conoscenza da parte dei Board.
194
4.2.1
COSTI ELEVATI PER L’ADEMPIMENTO DELLA SEZIONE 404
Un gruppo di società di revisione, tra cui Deloitte & Touche, Ernest & Young,
KPMG e Pricewaterhouse Coopers, hanno chiesto (marzo 2005) al CRA
International Inc. di svolgere una indagine (“survey spring 2005”) e di rivedere i
dati relativi al costo di esecuzione della sec. 404 del Sarbanes-Oxley Act del
2002, per un campione di società (clienti delle società di revisione) “Fortune
1000” con capitalizzazione di borsa sopra i 700 milioni di dollari (Larger
Companies). A seguito di quel rapporto le società contabili chiesero al CRA di
controllare, per la sec. 404, i costi di esecuzione del secondo anno sia per le grandi
compagnie incluse nell’indagine della primavera 2005, che di un gruppo separato
di compagnie pubbliche più piccole con capitalizzazione di borsa tra i 75 milioni e
i 700 milioni di dollari (“Smaller Companies”).
L’indagine attuale, Spring 2006, aggiorna la precedente ricerca con i dati sui costi
e sui driver di costo, per l’anno due dell’applicazione della sez. 404 ed il numero
di debolezze materiali e di mancanze significative identificate. L’indagine Spring
2006 include un’analisi dei costi totali della sez. 404 e delle informazioni sulla
revisione contabile “audit fee” derivanti dalla documentazione contabile,
riguardante i compensi sostenuti dalla società per gli auditor esterni.
Per aiutare la comprensione, l’indagine distingue tra i costi totali della sec. 404 e
gli onorari per la revisione contabile tratti dai documenti contabili dell’azienda, di
cui una parte è attribuibile alla verifica di controllo interno relativa alla sec. 404 e
un’altra parte è attribuibile alla verifica dei rendiconti finanziari dell’emittente (e
altri servizi di revisione contabile,
definiti dalle procedure finalizzate ad
assicurare il rispetto degli obblighi informativi).
Nella precedente ricerca, le stime dei costi di esecuzione e di implementazione
dell’anno due di attuazione della sez. 404, si basavano essenzialmente su
“proiezioni di costo”. Mentre, i costi sec. 404 “anno due” dell’indagine Spring
2006 si basano su dati di costo più accurati, poiché la gran parte del lavoro di
esecuzione della sec. 404 per l’anno due era completa o quasi, nel periodo
dell’indagine.
L’indagine Spring 2006 fornisce, per la prima volta, dati sui compensi per il
servizio di revisione contabile (totale) delle compagnie, che comprendono le
competenze per la revisione contabile dei rendiconti finanziari, audit del controllo
195
interno della sec. 404 ed altri servizi di revisione inclusi nell’“audit fees”
(compensi per l’attività di audit), come definito per gli scopi definiti dalle
procedure finalizzate ad assicurare il rispetto degli obblighi informativi.
Tavola 4.1 – Riassunto costi; risultati dell’indagine Spring 2006
Per le compagnie indagate (“subject companies”), le rivelazioni più importanti
sono:
♦ Mentre le competenze totali audit nei documenti di delega erano piatte o
leggermente diminuite, i costi della sec. 404 (inclusi i costi interni, i costi
di terze parti e di audit fees per la 404) diminuirono notevolmente,
scendendo del 30.7% per le Smaller Companies e del 43.9% per la Larger
Companies;
♦ Dei costi totali della sec 404 dell’anno due, i compensi per l’attività di
audit per la sec. 404 diminuirono in media del 20.6% per le Smaller
Companies e del 22.3% per le Larger Companies;
196
♦ Nell’anno due i compensi per l’attività di audit della sec. 404 sono stati
computati per il 39% dei costi totali della sec. 404 per le Smaller
Companies e del 33% per la Larger Companies.
Le società di revisione attribuiscono l’aumento delle competenze audit non-404 a
diversi fattori, incluso procedure audit addizionali richieste da nuovi standards
diversi dalla sec. 404, o in risposta a risultati di verifica; costi di salario più alti
dovuti ad una aumentata richiesta di personale contabile (incluso emittenti di titoli
e regulators); costi addizionali relativi alla compliance e ai sitemi di controllo
indipendenti; e i più alti costi di adozione delle practice.
Gli Auditor indipendenti che lavorano per le compagnie, attribuiscono le
diminuzioni dei costi della sec. 404 essenzialmente a efficienze come risultato
dell’effetto dell’apprendimento e degli sforzi della documentazione sostenuti nel
primo anno, che non fu necessario ripetere nel secondo anno.
Alla richiesta di definire i tre motivi principali per la riduzione dei costi, gli
auditor hanno indicato i seguenti fattori:
 Maggiori
efficienze
ottenute
dall’esperienza
accumulata
nel
corso
dell’esecuzione. I test dei controlli dall’anno uno verso l’anno due, sono state
citate dal 38% degli auditor esterni per le Larger Companies e dal 49% per le
Small Companies come la più importante fonte della riduzione dei costi;
 La riduzione della documentazione dall’anno uno all’anno due: è stata citata
dal 32% degli external auditors delle Grandi Compagnie e dal 26% di quelli
delle Piccole Compagnie come il maggior fattore rilevante per l’avvenuta
riduzione dei costi;
 Una riduzione nell’uso di revisori esterni da parte delle compagnie: è stato
citato dall’8% delle Larger Companies e dal 13% delle Piccole società come il
principale responsabile della riduzione dei costi
In più, l’indagine Fall 2005 trovò che un’attesa diminuzione del numero dei
controlli chiave esaminati, i benefici dell’esperienza e maggiore fiducia nel lavoro
degli altri tenderebbe anche a ridurre i costi. Per le piccole società il numero dei
controlli chiave testati dagli auditors diminuì più del 21% in media da 262 a 206
dall’anno uno all’anno due. Per le Grandi Compagnie il numero medio dei
197
controlli chiave testati dall’audit è diminuito più del 19%, da 669 dell’anno uno, a
540 nell’anno due.
I management sia delle Grandi che delle Piccole Società, hanno anche ridotto la
propria verifica dei controlli chiave.
Gli auditor delle Piccole Compagnie hanno affermato di essersi fidati del lavoro
dei revisori interni alle società per il 22% dell’audit nel secondo anno, e dell 11%
nel primo. Per la Grandi Compagnie la fiducia nel lavoro dei revisori interni alle
società è aumentato dal 25% al 15% nell’anno due.
I dati della ricerca Spring 2006 indicano che per le società intervistate il numero
dei punti deboli reali e disavanzi significativi identificati dall’emittente di titoli e
dal contabile sono diminuiti nell’anno due rispetto all’anno uno. Le società di
revisione credono che ciò indica un generale miglioramento nell’internal controls
over financial reporting nelle società assoggettate alla ricerca.
Per le Piccole società, il numero dei reali punti deboli e delle mancanze
significative sono scesi da una media di 5.3 dell’anno uno all’1.3 nell’anno due,
mentre per le Grandi Compagnie sono scesi in media da 5.0 nell’anno uno a 2.5
nell’anno due.
È da più di tre anni che l’U.S. Congress ha decretato la SOA con l’intenzione di
ristabilire la fiducia nell’investitore. Negli ultimi due anni la sec. 404 ha richiesto
che il management di molte compagnie pubbliche e gli auditor indipendenti dalle
società riferiscano sull’efficacia del controllo interno delle compagnie sui report
finanziari (internal control over financial reporting).
Le quattro grandi società di revisione hanno chiesto al CRA di aiutarle a condurre
delle indagini periodiche per valutare alcuni orientamenti riguardanti l’esecuzione
della sec. 404. Ad oggi, CRA ha condotto tre di queste indagini. Tutte le indagini
coinvolgevano i dati di raccolta e di compilazione pertinenti ai cosi della sec. 404
e l’identificazione delle mancanze nel controllo interno.
Gli scopi primari dell’indagine Spring 2006 sono di:
 Aggiornare le stime di costo per l’anno due dell’indagine Fall 2005 con i
dati forniti dopo il completamento dell’esecuzione della sec. 404 nell’anno
due per determinare la misura in cui le aspettative per la riduzione dei
costi della sec. 404, anno due, sono state realizzate;
 Confrontare le variazioni nei costi totali per l’esecuzione della sec. 404
nell’anno due con le variazioni degli onorari degli auditor esterni, che
198
include sia le competenze per il lavoro su audit sec. 404, che le
competenze relative alla revisione contabile dei report finanziari e altri
servizi di audit che sono riportati come “audit fees”;
 Fornire informazioni riguardanti i motivi della diminuzione dei costi di
attuazione della sec. 404 nell’anno due.
Per questo studio, la CRA International ha fornito a ciascuna società di revisione
due campioni a caso selezionati fra le Larger Companies e le Small Companies
clienti delle società di revisione. Le aziende assoggettate all’indagine sono le
stesse di quelle utilizzate per l’indagine Fall 2005. Ciascuna società di revisione
richiedeva, a turno, dei dati sui costi e sugli audit fees dagli audit teams delle
società assoggettate all’indagine. Ogni accounting firms fornì al CRA i dati sui
costi medi e le competenze audit per ciascuno dei due gruppi (Larger e Small
Companies). CRA ha calcolato le risposte medie per ciascuno dei gruppi
pertinenti attraverso le risposte delle società intervistate. Le medie delle società
assoggettate all’indagine fornite dalle società di revisione, costituiscono la base
dei dati utilizzati in questa survey.
Per quanto riguarda i costi medi di esecuzione delle Small Companies, come
dimostrato nella tavola, i dati dell’indagine spring 2006 mostrano che le
compagnie piccole, nella ricerca, hanno rilevato una notevole riduzione nei costi
totali della sec. 404 e anche nelle competenze audit esterne relative alla sec. 404
durante il secondo anno di esecuzione.
Scoperte significative per le piccole compagnie includono:
 I costi totali della sec. 404 sono diminuiti ad una media di 860.000 dollari
nell’anno due rispetto a 1.24 milioni di dollari nel primo anno di
esecuzione; ciò significa una riduzione del 30.7%;
 Le spese medie per l’audit fees esterne abbinate alle sec. 404 sono
diminuite del 20.6% nel secondo anno di esecuzione;
 I
costi
totali
di
esecuzione
dell’anno
due
rappresentano
approssimativamente lo 0.24% delle entrate medie delle compagnie per le
quali i dati furono raccolti, paragonato allo 0.38% delle entrate nel primo
anno. Le competenze audit nell’anno due per la sec. 404 rappresentano lo
0.09% delle entrate.
199
Tavola 4.2 – Confronto tra anno uno e anno due dei costi medi di esecuzione
della sec.404 per le Smaller Companies
Grafico 4.1 – Costi medi di esecuzione dell’Anno-Due per la sec. 404 per le
piccole società
Come dimostrato dalla tavola, la media dei compensi per i servizi di revisione sec.
404 sono scese da 423.000 dollari del primo anno di esecuzione a 336.000 dollari
nell’anno due. Nell’anno due, gli “audit fees” rappresentano il 39% dei costi medi
della sec. 404 per le piccole compagnie. I costi interni e le competenze di terze
parti (escluse le audit fees sec. 404) furono stimate per il rimanente 61% dei costi
totali della sec. 404.
CRA International ha inoltre analizzato i risultati di due sottogruppi di Smaller
Companies, quelle con una capitalizzazione di mercato inferiore a 125 milioni di
200
dollari e quelle con una capitalizzazione compresa tra 150 milioni e 700 milioni di
dollari.
La riduzione media nei costi totali della sec. 404 per il 2004/2005 per questi
sottogruppi, è stata simile alla riduzione media dell’intero campione delle Smaller
Companies; i costi totali della sec. 404 per le compagnie con capitalizzazione di
mercato da 125 milioni di dollari a 700 milioni, diminuirono nel 2004 del 29%, da
1.33 milioni di dollari a 0.94 milioni. Mentre i costi totali della sec. 404 per le
società con una capitalizzazione di mercato inferiore a 125 milioni di dollari
diminuirono nel 2005 del 42%, da 0.92 milioni a 0.53 milioni di dollari.
La ricerca Spring 2006, inoltre, effettuò un confronto dei risultati dell’indagine
con gli importi derivanti dai proxy materials (documenti contenenti i compensi
delle società di audit esterne). La tavola, mette a confronto i cambiamenti medi
dei costi totali della sec. 404 con le total audit fees in proxy materials (composte
sia dalla sec. 404 che non 404). Sebbene gli audit fees e i costi totali per la sec.
404 si siano ridotti notevolmente, le competenze audit totali nei proxy materials
hanno fatto registrare una riduzione più modesta. A differenza dei costi totali della
sec. 404, in cui tutte le categorie di costo diminuirono, la riduzione nelle
competenza audit esterne (incluse sia nei costi totali della sec. 404 che nelle
competenze audit), fu largamente compensata da aumenti nelle audit fees
collaterali (non sec. 404). Questo rapporto di compensazione si risolse in una lieve
diminuzione delle competenze audit totali incluse dei proxy materials.
Tavola 4.3 – Confronto dei cambiamenti nei costi totali della sec. 404 rispetto al
cambiamento degli audit fees totali per le piccole compagnie.
201
Per le Larger Company dai costi medi di esecuzione della sec. 404 come
dimostrato dalla tavola 4.4, emergono risultati significativi:
 I costi totali della sec. 404 sono scesi da una media di 4.8 milioni di dollari
nell’anno due, rispetto agli 8.5 milioni di dollari sostenuti nel primo anno
di esecuzione, facendo registrare una riduzione dei costi medi sec. 404 del
43.9%;
 I costi interni e di terze parti per la sec. 404 è diminuito circa il 50% ad
una media dei costi per l’anno due di 3.2 milioni di dollari;
 Le spese medie sulle competenze sulle competenze audit sec. 404 sono
scese del 22.3%, da 2.02 milioni (anno uno) a 1.57 milioni di dollari
nell’anno due;
 I costi totali dell’anno due, rappresentano circa lo 0.05% del reddito medio
delle compagnie per le quali sono stati raccolti i dati, paragonato allo
0.11% del primo anno. Mentre, gli audit fees per l’anno due rappresentano
lo 0.02% del reddito.
Tavola 4.4 - Confronto tra anno uno e anno due dei costi medi di esecuzione della
sec.404 per le Larger Companies
202
Grafico 4.2 – Costi medi di esecuzione dell’Anno-Due per la sec. 404 per le
Larger Companies
Come dimostrato dal grafico 4.2, gli audit fees sec. 404, hanno rappresentato per
le Larger Companies il 33% dei costi medi totali di esecuzione della sec. 404 nel
2005. I costi interni di audit ed i pagamenti degli auditor esterni (esclusi quelli per
la sec. 404) hanno rappresentato i 67 per cento restanti dei costi totali della parte
404.
Per quanto riguarda il confronto tra i risultati e gli importi dell’indagine derivanti
dai proxy materials, la tavola 4.5 paragona i costi totali della sec. 404 alle
competenze audit totali. Dalla tavola emerge la diminuzione del 22.3% nei costi
di verifica esterni della sec. 404 per le grandi aziende, che ha compensato gli
aumenti nelle tasse di verifica di rendiconto finanziario (financial reporting) in
modo che i costi di verifica integrati totali (costi compresi per altri servizi di
verifica) segnalate dai proxy materials fossero essenzialmente costanti dall'anno
uno all'anno due.
203
Tavola 4.5 - Confronto dei cambiamenti nei costi totali della sec. 404 rispetto al
cambiamento degli audit fees totali per le Larger Companies
L’indagine ha effettuato una classificazione dei driver più importanti che hanno
condotto al cambiamento dei costi dall’anno uno all’anno due. I risultati
dell’indagine per le Larger e Smaller Companies sono ricapitolati nella tavola 4.6.
I tre driver principali per i cambiamenti nei costi, sono identici per entrambi i
gruppi di aziende. Il primo driver si individua nella riduzione dei costi di
esecuzione nell’anno due rispetto all’anno uno dovuta all’esperienza accumulata
nell’implementazione e valutazione dei controlli interni. Il secondo driver
riguarda il fatto che la documentazione iniziale sostenuta nell’anno uno non deve
poi essere ripetuta nell’anno due. Il terzo e ultimo driver citato deriva da una
riduzione nell’uso di auditor esterni da parte delle Companies nell’anno due
Tavola 4.6 – Percentuali degli auditors nella classificazione dei principali Driver
di costo della riduzione dei costi di esecuzione dell’anno due
204
Inoltre, l’indagine Fall 2005, prevedeva che una diminuzione prevista nel numero
dei controlli chiave esaminati, poteva mettere in luce i benefici derivanti
dall’esperienze accumulate nel corso dell’implementazione, e che una maggiore
fiducia riposta nell’internal audit avrebbe contribuito a ridurre i costi di
implementazione.
4.3 I VANTAGGI DI GESTIRE LA COMPLIANCE CON PROCESSI
AUTOMATIZZATI DI AMMINISTRAZIONE DELLA FUNZIONE
Le aziende devono far fronte ogni giorno a rischi e sfide. Le interruzioni del
funzionamento dei sistemi, con conseguente perdita di dati e diminuzione della
credibilità, costano ogni anno ad aziende ed enti pubblici milioni di euro in utili
mancati. Non stupisce, dunque, che la sicurezza informatica sia diventata una
delle principali priorità. Le regolamentazioni aziendali e la legislazione industriale
hanno ampliato la responsabilità relativa alla sicurezza informatica, estendendola
alle massime cariche di un'organizzazione.
Per molti CEO e CIO, la gestione dei rischi relativi alla sicurezza informatica è
diventata, quindi, una nuova area di responsabilità, che richiede formazione e
linee guida. Proteggere un'infrastruttura aziendale, e tutto il patrimonio in essa
contenuto, senza sapere bene da dove iniziare, può risultare un compito
scoraggiante.
Le aziende si trovano ad affrontare, come mai prima d'ora, la necessità di
conformarsi ai rigidi requisiti che governano la sicurezza e l'integrità dei dati
aziendali strategici. Per soddisfare tali requisiti, le organizzazioni devono sapere
quali utenti dispongono dei diritti di accesso e a quali risorse, monitorare le
variazioni di tali accessi, registrare accuratamente i risultati e fornirne report
storicizzati.
Inoltre, le aziende devono essere in grado di rispondere, in modo rapido ed
efficace, alle eventuali deviazioni dai controlli del processo IT e aziendale. La
mancata risoluzione dei problemi che compromettono la conformità e l'efficacia
generale della sicurezza potrebbe comportare una responsabilità legale da parte
dell'organizzazione.
205
Per migliorare le prestazioni di controllo e garantire la conformità con le
normative di settore, ad esempio Sarbanes-Oxley, le organizzazioni stanno
ampliando il personale, stipulando contratti con consulenti e implementando
nuovi processi, molti dei quali manuali e complessi. Inoltre, le attività di
preparazione e di conduzione dei controlli possono essere costose e impegnative,
oltre a creare maggiore pressione e carico di lavoro per i team della sicurezza. Le
aziende devono poter raggiungere i loro obiettivi di sicurezza, controllo e
conformità utilizzando dei metodi che siano gestibili, ripetibili, sostenibili ed
economici a lungo termine.
Le esigenze di governo, sicurezza e controllo dell'informatica dell'impresa
bancaria e finanziaria sono sempre più pressanti. Le competenze e la
responsabilità per l'adempimento di queste esigenze ricadono su Centri di
competenza diversi, non sono dunque di esclusiva pertinenza dell'Unità IT.
Indipendentemente dall'organizzazione interna, e da chi è chiamato a garantire
l'osservanza delle condizioni quadro normative, la non-compliance ha delle
ripercussioni su quasi tutti gli ambiti operativi e comporta dei rischi giuridici,
reputazionali e di immagine importanti. Di conseguenza l'impresa bancaria e
finanziaria, anche quella di piccole e medie dimensioni, deve dotarsi di strutture
(organizzative e tecniche) e di strumenti al passo con le innumerevoli norme
legislative e di autoregolamentazione esistenti e in continuo sviluppo.
Sempre più le società IT presentano le soluzioni di It Compliance, una vasta
gamma di prodotti e servizi per la sicurezza e la disponibilità che aiutano i clienti
a ridurre il costo della conformità. Attraverso l’offerta delle tecnologie necessarie
per controllare e analizzare continuamente l’ambiente di controllo, le soluzioni di
It Compliance permettono ai clienti di monitorare efficacemente le proprie attività
verificando che siano conformi agli standard vigenti. La conformità del sistema
informatico aziendale non può più essere un evento occasionale, ma un processo
continuo ed automatizzato per poter ridurre i costi e limitare le inefficienze.
Secondo un’indagine condotta da Securitycompliance.com, le norme più rigide
volte a controllare la riservatezza e la protezione dei dati, influenzano il 60% delle
aziende, dalle piccole imprese alle grandi realtà multinazionali.
206
Come emerge da uno Studio Multi-client di IDC 2005 intitolato “Le priorità della
conformità 106” e condotto da Vivian Tero, senior research analyst compliance
infrastructure,
più
dell’80%
delle
aziende
intervistate
sono
concordi
nell’affermare che non è possibile affrontare la conformità senza essere dotati di
una soluzione automatizzata per la gestione della documentazione e dei processi,
comprese alcune operazioni collegate come la valutazione e l’esecuzione di
controlli e log degli eventi.
L’offerta di servizi IT permette ai clienti di ridurre il costo della compliance
automatizzandone alcuni aspetti, come ad esempio: la gestione e l’attuazione delle
policy, la valutazione dei controlli, la raccolta di dati da diverse fonti di analisi, tra
cui prodotti di sicurezza e disponibilità e la conservazione dei documenti,
fornendo una visione completa della conformità delle aziende e dei relativi clienti.
In questo modo, le società di servizi IT limitano la necessità dei propri clienti di
rivolgersi a diversi titolari e responsabili dei dati per reperire queste informazioni,
poiché i dati sono raccolti in modo coerente e sostenibile, riducendo in tal modo le
imprecisioni.
Al fine di accorciare ulteriormente i tempi e i costi associati alla gestione della
compliance, le soluzioni di IT compliance centralizzano le informazioni ottenute
tramite le diverse attività, migliorando il processo decisionale e dimostrando con
sicurezza una conformità costante. Tali società di servizi IT, attraverso una
valutazione, è in grado di automatizzare la gestione della conformità integrando
diverse fonti e generando rapporti che misurano e dimostrano l’adeguamento a
diverse norme, standard e direttive, come ad esempio Sarbanes Oxley, HIPAA e
PCI.
L’offerta per l’IT Compliance aiuta le società clienti a definire, controllare e
governare le operazioni volte al raggiungimento della conformità informatica.
Queste attività cominciano con l’analisi dei requisiti del business, la definizione
degli obiettivi di controllo e la valutazione del rischio. Le policy allineate con gli
obiettivi del business vengono automaticamente mappate in base a varie norme,
quadri normativi e standard e, in seguito, distribuite agli utenti perché le
approvino.
Al fine di garantire un’ulteriore riduzione dei tempi e dei costi associati alla
conformità alle policy, l’IT compliance effettua il collaudo automatico dei
106
Vivian Tero, Compliance in Information Management Forum West Survey: “End-User
Attitudes and Investment Priorities”, July 2006, IDC International Data Group.
207
controlli informatici e integra varie fonti di informazioni. I dati vengono raccolti
in maniera coerente e sostenibile, riducendo le imprecisioni. Le soluzioni per l’It
Compliance permettono ai clienti di redigere e pubblicare rapporti che attestino la
loro attenzione verso la conformità e che consentano di ricevere consigli per
migliorare l’ambiente di controllo. Tali soluzioni, inoltre, forniscono indicazioni
per stabilire le priorità in base al rischio ed attuare i rimedi in base a dati raccolti
attraverso la rete d’informazioni sulla sicurezza.
Molte leggi e regolamentazioni adottate nello scorso decennio impongono
requisiti di sicurezza per aziende e agenzie governative. Alcune di queste, come la
normativa HIPAA (Health Insurance Portability and Accountability Act), la
California SB 1386 e la Direttiva Europea sulla Privacy, fanno riferimento alla
privacy dei consumatori. Altre, come la normativa Sarbanes-Oxley Act, si
concentrano sull'inviolabilità dei dati e sui sistemi sicuri di archiviazione e
reporting.
Altre ancora devono entrare in vigore; ad esempio i requisiti e gli standard stabiliti
nell'Accordo di Basilea II, che dovranno essere implementati nel 2007 e la
versione giapponese del Sarbanes-Oxley Act che entrerà in vigore solo nel 2008.
Tuttavia, rileva Gartner, nessuna di queste regolamentazioni definisce l’attenzione
dovuta nell’ambito della sicurezza e non esiste alcuna forma di certificazione che
garantisca che un prodotto o un servizio consentirà a un'organizzazione di
raggiungere una condizione di conformità10. Inoltre, secondo Forrester, benché i
requisiti di conformità per molte imprese richiedano di adottare misure sempre più
severe rispetto al passato per proteggere i dati privati memorizzati nei database, le
normative che stabiliscono queste regole non offrono strategie, né suggeriscono
best practice o linee guida per affrontare le sfide riguardanti la sicurezza 107.
Di conseguenza, molte organizzazioni arrancano ancora nel comprendere le
numerose normative che potrebbero riguardarle, e le loro implicazioni in termini
aziendali 108. Poiché le odierne organizzazioni sono, in misura crescente,
dipendenti dai sistemi informatici, la tecnologia riveste un ruolo chiave in
iniziative strategiche riguardanti la conformità, per assicurare la sostenibilità di
processi legati alla conformità, mitigare i rischi e gestire i costi correnti. In
107
108
“Trends 2006: DBMS Security”, Forrester Research, Inc., 2005
“Worldwide Outbound Content Compliance 2005 – 2009 Forecast and Analysis: IT Security
Turns Inside Out”, IDC, 2005
208
generale, le normative si concentrano sulle attribuzioni di responsabilità e sul
controllo all'interno dell'azienda, principalmente attraverso la disciplina dei
processi e la governance aziendale, e spesso sono implementate nell'IT.
Solitamente i requisiti di conformità comprendono:
 l'uso di sistemi di autenticazione per assicurare l'identità e l'autorizzazione
degli utenti;
 limitazioni di accesso alle informazioni:
 privacy dei dati personali;
 ripartizione delle responsabilità tra utenti e gruppi per limitare gli abusi;
 procedure di auditing, solitamente richieste per dimostrare la conformità e
comprendenti requisiti per livelli appropriati di reporting.
Le difficoltà e i costi di implementazione della conformità sono inaspriti dal fatto
che molte organizzazioni hanno un'infrastruttura informatica estremamente
distribuita, comprendente sistemi, dispositivi e dati sparsi per tutta l'impresa.
Queste non sono considerazioni banali. Malgrado il fatto che le scadenze per la
conformità non siano sempre certe, alcuni aspetti delle iniziative sono alquanto
chiari, come ad esempio le sostanziali multe in cui si incorre in caso di non
conformità, comprendenti spesso la responsabilità personale per i dirigenti
dell'azienda. Occorre anche sottolineare che incidenti legati alla perdita della
sicurezza informatica possono minare la fiducia dei clienti, causare un danno
d’immagine e perdita di profitti, avere un impatto negativo sul valore delle azioni
e dare adito ad azioni legali collettive 109.
4.4
COMPLIANCE SOSTENIBILE, UN APPROCCIO STRATEGICO
GENERA BENEFICI
Nello scenario complesso del mercato si confrontano e si scontrano diversi
approcci culturali; da un lato la complessità come fattore di rischio che
contribuisce a rendere la struttura aziendale labile, dall’altra la complessità come
fattore di crescita, in grado di proporre opportunità la cui evidenza, spesso, è data
109
“Eight Steps Needed to Define Reasonable Security”, Gartner, Inc., 2005
209
solo a chi sa sviluppare una cultura d’impresa capace di unire piuttosto che
separare. Questa dicotomia culturale si riflette nelle scelte delle soluzioni
tecnologiche. Il governo della compliance, per esempio, è un caso emblematico; a
fronte di una base normativa identica per tutti i soggetti coinvolti, diverse sono le
modalità di applicazione, in funzione dei rischi individuati e della capacità di
cogliere nelle procedure imposte spunti di innovazione organizzativa. Concepire
in questi termini la Sarbanes-Oxley Act, il testo unico sulla Privacy, oppure
Basilea 2, o ancora la certificazione di qualità ISO, potrebbe rivelarsi una via per
l’innovazione, trasformando i costi in investimenti. Sono proprio i costi di
adeguamento normativo caricati sulle aziende a essere fonte di preoccupazione
per gli imprenditori e il management. Difficile stimarli; negli Stati Uniti però,
dove il tempo trascorso dall’introduzione del Sarbanes Oxley Act (SOA) è ormai
significativo, sono già disponibili alcune valutazioni d’impatto della nuova norma
sui costi aziendali, stime che comprendono i costi di audit interno ed esterno, le
attività di controllo e monitoraggio necessarie per adeguarsi alla sezione 404 della
SOA.
Secondo Gartner 110 le società che hanno scelto singole soluzioni per ogni sfida
proposta dall’ingresso di nuove norme spenderanno dieci volte di più nei progetti
di compliance rispetto a quelle che hanno preferito un approccio proattivo e
programmatico.
Il contenimento dei costi registrato nel corso del tempo dall’attuazione di queste
regolamentazioni è anche il frutto dell’automazione dei processi, in particolare
quelli interni di controllo e monitoraggio che individuano le non conformità e
quelli di auditing. L’allineamento tra tecnologia e business di cui tante volte si è
parlato diventa allineamento con il processo di compliance, nella consapevolezza
che non esiste una soluzione valida per tutte le aziende, sebbene si vadano
sviluppando software per il compliance management, finalizzati appunto
all’automazione dei controlli interni, del workflow, del reporting.
La maggiore vigilanza dei governi e delle autorità di controllo sull’attività delle
aziende rappresenta un nuovo costo di esercizio e può assumere proporzioni
considerevoli. Se si esaminano queste spese, si effettua una mappatura delle
norme a cui le aziende devono conformarsi e si esplorano i componenti comuni a
molte di queste regole, l’esigenza di elaborare una strategia di adeguamento
110
Fonte French Caldwell, Simplifying Compliance: key technologies and best practices,
Symposium 2005, Barcellona.
210
proattiva emerge in tutta la sua urgenza. Per raggiungere questi obiettivi, occorre
modificare i processi di governance e i sistemi tecnologici aziendali non solo per
rispondere rapidamente all’insorgenza di nuove regole, ma anche per acquisire un
vantaggio competitivo e un livello più elevato di efficienza IT.
L’analista di Gartner Brian Wood in occasione del Gartner Symposium/ITxpo
2004
ha
dichiarato
“Un’architettura
per
la
conformità
non
richiede
necessariamente nuovi investimenti in software e un’implementazione immediata
su scala aziendale. La maggior parte delle organizzazioni dispone già di una
buona parte degli strumenti software necessari.” Secondo la società di ricerca, gli
stessi principi valgono anche per quanto riguarda l’adeguamento all’accordo
Basilea II e ad altre normative.
Gli analisti di Gartner hanno espresso altre rassicurazioni nel corso di questo
evento, sottolineando che qualunque azienda che disponga di un solido piano di
sicurezza e di business continuity, di un sistema di gestione dei documenti e di un
sistema di gestione dei servizi aziendali possiede le basi fondamentali per
un’architettura della conformità.
Istituendo un’architettura di questo tipo, le aziende possono ridurre il costo della
conformità alle normative in quanto “si elimina l’esigenza di assumere revisori o
consulenti esterni ogni volta che viene varata una nuova legge”, dichiara l’analista
di Gartner Rich Mogull. John Hagerty, esperto di conformità presso la AMR
Research di Boston, è d’accordo con questa tesi. “Se l’adeguamento alle nuove
norme viene gestito isolatamente di volta in volta, i costi risultano enormemente
superiori”, dichiara Hagerty, che a febbraio ha pubblicato una relazione,
“Planning for a Sustainable Active Compliance Architecture”, in cui la
conformità alle normative viene definita “un obiettivo strategico, non un semplice
insieme di progetti tattici”.
Secondo una ricerca condotta da Mercury111 in collaborazione con The
Economist 112 Intelligence Unit, una inondazione di regolamentazioni sta forzando
il settore dell’IT nella ricerca di nuove strategie orientate a minimizzare le
111
Sustainable Compliance – Industry regulation and the role of it governance, A survey and
white paper produced by Mercury in cooperation with the economist intelligence unit
112
The Economist Business Unit è una divisione del gruppo The Economist. Le aziende del
gruppo includono il giornale The Economist, CFO Magazine e di altre pubblicazioni
specialistiche.
211
difficoltà ed incrementare i benefici del richiamo alla conformità regolatrice
(regulatory compliance).
Un'indagine di 808 professionisti IT negli Stati Uniti, nell'Europa, Medio Oriente
e Africa (EMEA) e nell’Asia-Pacifico rivela quali regole stanno avendo un
maggiore impatto sulle operazioni IT e come i CIO ed i manager dell’IT stanno
cercando di rispondere a queste sfide. L'indagine ed un certo numero di interviste
approfondite condotte per questo rapporto, hanno mostrato che molte
organizzazioni sperano di trasformare la compliance da una costosa difficoltà ad
un beneficio per gli affari.
I risultati chiave della ricerca includono quanto segue:
1) La compliance porterà a difficoltà sempre maggiori e continue sulle
operazioni IT. Gli intervistati dell’indagine negli Stati Uniti, stanno
procedendo velocemente per rispondere alle esigenze del Sarbanes-Oxley
Act, mentre i board dell'Asia pacifico e di EMEA 113 sono maggiormente
focalizzati sui principi internazionali di contabilità (IAS - International
Accounting Standards). Ma mentre l’impulso regolatore alla conformità
differisce a secondo del paese o dell'industria interessata, la globalità delle
aziende sono d’accordo che la compliance è una sfida significativa per l’IT
e che continuerà ad assorbire le sue risorse per molti anni ancora.
2) L'obiettivo è di trasformare la compliance da costo puro a beneficio
aggiunto. Le aziende sperano di ottenere una serie di benefici dalla
compliance, attraverso un più accurato report finanziario, una migliore
visibilità dei rischi e una migliore IT governance. Ma questi obiettivi
saranno contrastati, a meno che i progetti di conformità non siano gestiti e
controllati correttamente ed efficacemente. Questo è già un problema per
molte aziende, nell'indagine il 40% dei quadri IT protestano che la
mancanza di un budget è un ostacolo importante al buon esito della
compliance.
3) l’IT governance deve svilupparsi per minimizzare il costo ed il rischio
della conformità. I progetti di compliance richiedono cambiamenti per il
113
212
EMEA, Europe, Middle East and Africa, Europa, Medio Oriente e Africa
processo di business e nelle moderne organizzazioni ciò significa
modificare i sistemi e le applicazioni IT. Per ridurre il costo ed il rischio
dei progetti IT compliance, occorre che le aziende sviluppino una struttura
di governo IT che faccia in modo che le nuove richieste regolatrici
vengano soddisfatte dall’organizzazione senza notevoli sforzi, come quelli
sostenuti nell’affrontare le regolamentazioni singolarmente.
I nuovi scandali che hanno colpito la corporate governance, e con il business
globale che opera sotto diverse giurisdizioni, la direzione verso maggiori controlli
sembra che debba continuare. Il massiccio carico di lavoro necessario per
adempiere alle richieste di norme diverse, unitamente all’aumento delle pene
sempre più severe, comporta per molte aziende un peso che spesso non riescono a
sostenere; ciò implica la necessità che gli esecutivi IT trovino un approccio più
sostenibile per la conformità. Questa ricerca dimostra che i piani a lungo termine
ed un governo IT forte, saranno la chiave per questo sforzo.
Per ciò che riguarda l’impatto della compliance, un numero crescente di norme
hanno trasformato la sfida della conformità in un problema maggiore per gli
executives IT globali di oggi. Nell’indagine molte aziende sono state prese da
problemi regolatori, e le grandi organizzazioni citano in particolare la regulatory
compliance come una delle principali sfide per la gestione IT.
Infine, per le aziende rispondenti con un giro d’affari superiore a 8 bilioni di
dollari, la conformità si colloca come una delle più grandi sfide correnti che
affronta IT per più dell’80% delle maggiori compagnie nella regione dell’Asia
Pacifica, per il 45% delle maggiori compagnie EMEA, per il 74% di tutte le
compagnie degli Stati Uniti.
213
Grafico 4.3 – Quali attività rappresentano la maggiore sfida per l’IT management
nell’organizzazione
L’importanza crescente della conformità come un problema per i managers IT,
riflette il ruolo vitale che il dipartimento IT ha nei progetti di compliance. Il focus
per gli esecutivi IT varia da industria a industria e da paese a paese; per esempio,
il 68% delle società rispondenti negli Stati Uniti hanno detto che la SarbanesOxley Act avrebbe un maggiore impatto nelle proprie operazioni IT, mentre i
principi IAS (standard internazionali di contabilità) e la conformità normativa
specifica del paese ha maggiormente occupato la mente degli esecutivi IT
nell’EMEA e APAC. Quello che la maggior parte di queste norme hanno in
comune, comunque, è che hanno maggiori diramazioni per come i processi
informativi delle organizzazioni richiedano personale e maggiori spese. Il
Sarbanes-Oxley Act e lo IAS sfidano le organizzazioni per creare le strutture,
controlli e bilanci per assicurare una maggiore trasparenza nei report finanziari.
Importante, sebbene SOA, IAS e Basilea II siano presenti in particolari mercati, è
la riservatezza dei dati che emerge come il problema più grande per i dipartimenti
IT su una base globale. Il 70% delle società rispondenti degli Stati Uniti, il 55% di
quelli dall’Asia Pacifica ed il 48% dalla regione EMEA hanno identificato la
riservatezza dei dati come la loro preoccupazione chiave della regulatory
compliance.
214
Grafico 4.4 – Le regolamentazioni che avranno un maggior impatto sulle
operazioni IT nei prossimi tre anni
Le pene imposte per la non-compliance della riservatezza sui dati va oltre le
sanzioni previste dalla legge. Nel 2005, un grande servizio stampa insieme alla
business information rivelò pubblicamente che alcuni ladri informatici erano
entrati nei sistemi IT ed avevano accesso alle informazioni sulla sicurezza sociale
e sulle patenti di guida degli Stati Uniti di più di 300.000 persone. Nonostante la
potenziale sanzione regolatoria per non aver protetto queste informazioni
personali, l’azienda sta combattendo per ridurre il danno al suo marchio ed alla
reputazione.
Questo esempio illustra l’ulteriore rischio che le moderne aziende affrontano in un
mondo dove ogni scandalo o fallimento derivante da una mancata regulatory
compliance è altamente visibile ai clienti ed al pubblico in generale. Di
conseguenza, la conformità si è sviluppata oltre il semplice rispetto di un obbligo
normativo per abbracciare una politica di maggiore controllo interno eseguita
dall’IT.
Per i dipartimenti IT, le nuove richieste di report stanno portando un cambiamento
verso i sistemi che sono diventati più formali, più orientati verso il processo, più
documentati di prima. Creando una struttura organizzativa per gestire le richieste
complesse, i progetti di conformità a più facce stanno mostrando di essere una
sfida maggiore per le aziende ed i loro dipartimenti.
“quello di cui si ha bisogno è una struttura governativa che sia riutilizzabile e
stabile attraverso i cambiamenti nella legge e cambiamenti nella strategia
215
dell’azienda”, dice il Dott. Peter Weill, direttore del centro per Information
System Research all’istituto di tecnologia del Massachussetts (MIT). “Senza tener
conto se si parla di conformità o altri processi di business, lo scopo è che la
struttura governativa non deve essere rifatta ogni volta che c’è un cambiamento o
un colpo esterno”.
Se l’IT può gestire effettivamente la conformità, l’indagine suggerisce che le
aziende dovrebbero essere anche in grado di trasformare il peso di norme in
maggiori benefici per gli affari. Secondo l’indagine, tre casi (report finanziari,
governo IT e miglioramenti del processo di affari), si distinguono come benefici
significativi della conformità. Di tutti e tre, quello finanziario è stato considerato il
beneficio dominante., con il 54% delle società USA, il 60% di EMEA ed il 66%
di APAC, credendo che report finanziari più accurati emergerebbero da iniziative
di conformità delle aziende.
Secondo Bob Suh, partner di gestione per la strategia tecnologica ad Accenture,
un problema del governo IT nel contesto della conformità è un report finanziario
tangibile e trasparente. “Siete un’azienda che si interessa a come fare soldi?” Ha
chiesto Suh. “Sembra banale, ma occorre che le compagnie riconoscano che le
loro abilità nel lasciare informazioni per adempiere ad una richiesta di
conformità dipenda da come le aziende gestiscono i processi di business prima di
tutto”.
Grafico 4.5 – Quali saranno le iniziative di compliance che riguarderanno le
diverse aree di business
216
Un miglior controllo sull’IT, miglioramenti di processo e maggiore visibilità del
rischio delle imprese sono stati gli altri benefici principali derivanti dalla
compliance.
Senza badare alle differenze di regione, l’indagine fa credere
fortemente che ci si aspetta di vedere dei benefici tangibili della compliance e
dalle iniziative del governo IT, oltre ad affrontare le responsabilità sancite dalla
legge.
Usando i processi e gli strumenti appropriati, un’azienda può reagire rapidamente
ogni volta e ovunque venga varato un nuovo insieme di norme. Già di per sé,
questo approccio può fornire un vantaggio competitivo, poiché consente di
focalizzarsi sull’attività aziendale, mentre i concorrenti cercano ancora di
adeguarsi alle ultime regole. In più, il monitoraggio delle informazioni per scopi
normativi migliora anche le conoscenze dell’azienda sui clienti, sui partner
commerciali e sull’ambiente competitivo.
Quindi per realizzare un programma di conformità sostenibile, le società devono
creare un'infrastruttura di conformità su tre livelli, che consenta l'adozione di
azioni affidabili e ripetibili;
1)
Unificare le risorse umane:
a. Creare ex novo o ridisegnare ruoli e incarichi per la
definizione e l'assegnazione delle responsabilità in materia
di conformità e divulgazione delle informazioni;
b. Stabilire iniziative formative, inclusi nuovi programmi e
standard;
c. Favorire un sistema di comunicazione variato e aperto in
seno all'intera organizzazione
2)
Migliorare i processi:
a. Definire
processi
per
la
valutazione,
la
verifica,
l'ottimizzazione, il monitoraggio e la certificazione dei
controlli interni su base trimestrale e annua;
b. Integrare le attività di identificazione dei rischi, di
valutazione dei controlli e di monitoraggio nell'ambito della
gestione quotidiana dei controlli interni;Migliorare la
c. comprensione dei processi aziendali;
d. Stabilire processi guida per la gestione della conformità.
217
3)
Ottimizzare la tecnologia:
a. Valutare e implementare fattori tecnologici a supporto della
gestione dei controlli interni;
b. Progettare e implementare tecnologie migliorative dei
processi di controllo e di monitoraggio;
c. Implementare un cruscotto aziendale che fornisca
un
quadro delle informazioni di controllo e di monitoraggio
finanziario e dei processi interni, dei parametri di qualità e
dello stato di conformità normativa;
d. Sviluppare capacità di monitoraggio, reporting e analisi in
tempo reale;
e. Sfruttamento delle tecnologie esistenti e/o implementazione
di nuove tecnologie.
Per quanto riguarda i vantaggi della conformità normativa in termini di gestione,
un approccio proattivo, coerente ed esaustivo alla conformità può aiutare ad
acquisire maggiori efficienze e a ridurre i costi, attraverso un triplice
miglioramento delle prestazioni aziendali:
1)
Riducendo i rischi:
a. Riduzione degli eventi critici nell'ambito delle pubbliche relazioni;
b. Riduzione delle violazioni minori alla sicurezza, con conseguente
risparmio di risorse;
c. Visione più chiara della situazione aziendale per una reattività più
appropriata;
d. Maggiore agilità;
2)
Favorendo l'efficienza:
a. Migliore comprensione e ottimizzazione dei processi di controllo interno
esistenti;
b. Riduzione del carico sulle risorse di help desk (fino al 50% delle richieste
di assistenza riguarda la reimpostazione delle password);
c. Maggiore produttività del personale, che accede più rapidamente alle
applicazioni interne grazie al provisioning automatico degli account;
218
d. Riduzione dei costi operativi (la gestione centralizzata di tutte le identità e
degli accessi degli utenti riduce i costi amministrativi);
3)
Aumentando l'efficacia:
a. Migliore comprensione e ottimizzazione dei processi di controllo interno
esistenti;
b. Migliore
accesso
a
informazioni
aggiornate
con
conseguente
ottimizzazione delle attività di definizione del budget, di pianificazione e
di analisi;
c. Maggiore competitività;
d. Processo decisionale più efficiente;
e. Maggiore agilità nel cogliere le nuove opportunità;
f. Automazione dei controlli per una maggiore trasparenza.
219
CONCLUSIONI
La funzione Compliance coinvolge un ambito ampio e diversificato nella gestione
e nelle attività di una azienda; ad essa si attribuisce una missione particolarmente
onerosa, ossia quella di assicurare l’individuazione e la valutazione dei rischi che
comportano sanzioni legali, perdite finanziare e di reputazione per il mancato
rispetto di leggi, regolamenti, procedure, codici interni e best practices e quella di
curare gli aspetti etici e comportamentali che l’azienda deve sostenere.
É generale l’idea che i costi di adeguamento rappresentino fondo perduto; per
questo l’approccio alla cosiddetta “regulatory compliance” deve essere
programmatico, agendo sul supporto organizzativo, sul controllo di processo e
sulla metodologia e sul controllo dei contenuti, in modo che gli sforzi profusi
vengano spalmati sull’intera struttura aziendale e siano la base su cui edificare un
nuovo
vantaggio
competitivo,
oltre
che,
nel
tempo,
una
fonte
di
ridimensionamento dei costi.
Secondo Gartner (fonte French Caldwell, Simplifying Compliance: key
technologies and best practices, Symposium 2005, Barcellona) le società che
hanno scelto singole soluzioni per ogni sfida proposta dall’ingresso di nuove
norme, spenderanno dieci volte di più nei progetti di compliance rispetto a quelle
che hanno preferito un approccio olistico, proattivo e programmatico.
Il contenimento dei costi è anche il frutto dell’automazione dei processi, in
particolare quelli interni di controllo e monitoraggio che individuano le non
conformità e quelli di auditing.
Come emerge dalla Survey di CRA International, Spring 2006, i tre driver
principali per la riduzione dei costi sono individuabili nella riduzione dei costi di
esecuzione riscontrati nel secondo anno di implementazione della Sec. 404,
dovuta all’esperienza accumulata nella realizzazione e valutazione dei controlli
interni. Il secondo driver riguarda il fatto che la documentazione iniziale sostenuta
nel primo anno di implementazione non deve poi essere ripetuta nell’anno due. Il
terzo e ultimo driver citato deriva da una riduzione nell’uso di auditor esterni da
parte delle Companies nell’anno due.
I costi di adeguamento normativo caricati sulle aziende sono comunque fonte di
preoccupazione per gli imprenditori e per il management. Ma a fronte degli
ingenti costi sostenuti nei primi anni di attuazione della SOA, si stanno ora
220
verificando i benefici, come rilevato dall’indagine della CRA Spring 2006. Oltre
all’accresciuta fiducia degli azionisti nei resoconti finanziari, ad una maggior
trasparenza delle società e dei dati finanziari resi più attendibili dai sistemi di
controllo interno, altri benefici sono riscontrabili nella scoperta ed il conseguente
uso di molte caratteristiche, “features,” già presenti, ma non sfruttate nei Sistemi
Informativi,
nelll’eliminazione
dei
processi
e
dei
controlli
duplicati,
nell’ottimizzazione dei cicli contabili, nell’elevazione della cultura aziendale in
termini di “Governance” ed “Internal Control” ed infine un miglioramento
dell’attenzione alla compliance da parte dei Board.
Alcune disponibili valutazioni dell’impatto del Sarbanes-Oxley Act del 2002 sui
costi aziendali registrano stime comprendenti i costi dell’audit interno ed esterno e
delle attività di controllo e di monitoraggio necessarie per l’adeguamento alla
sezione 404 della SOA; questa è risultata, da più indagini, essere una delle cause
dei crescenti costi che le imprese sostengono per implementare la funzione.
Il CFO MAGAZINE in un articolo, “Sticker Shock: The True Cost of SarbaneOxley Compliance”, riporta i risultati di un’indagine in cui molti managers
sostengono che i costi di compliance sono eccessivi.
Come è vero che una parte della legislazione così complessa come il SarbanesOxley Act ha portato inevitabilmente delle conseguenze inattese, è anche vero che
non tutti i risultati conseguiti sono contrari all’intento dell’Act. Ci sono valide
preoccupazioni sui costi riguardanti la sezione 404, e probabilmente è vero che
non è stata data abbastanza considerazione a tali costi, quando è stata approvata la
legislazione; in parte perché non è stata compresa in anticipo l’importante natura
di quelle disposizioni.
Per tali motivi la Securities and Exchange Commission (SEC, la Consob
statunitense) proporrà entro dicembre 2006 una proposta più flessibile della
sezione 404 della Sarbanes-Oxley Act. Secondo quanto scrive il Wall Street
Journal, il lungo dibattito per rivedere le rigidità della legge anti-scandalo, finita
nel mirino perché scoraggia tra l'altro le nuove quotazioni a Wall Street (a favore
di Londra e Hong Kong), starebbe quindi per produrre i primi effetti visto che la
SEC lavorerà con la Public Company Accounting Oversight Board (l'agenzia che
ha la supervisione delle società di revisione) per definire alcune modifiche agli
standard (i cosiddetti AS2) seguiti per valutare l'adeguatezza dei conti aziendali.
221
Proprio questi schemi particolarmente rigidi si sono tradotti in una crescita
piuttosto sostenuta degli oneri a carico delle aziende. Il numero uno della SEC,
Christopher Cox, ha messo in moto il meccanismo di revisione, scrivendo alla
commissione di supervisione con l'auspicio che siano adottate regole contabili
capaci di rispettare di più le dimensioni dei gruppi.
La via per l’interpretazione di questa sezione sta crescendo e prendendo una
propria vita, generando un’intera nuova industria di controlli sui resoconti
finanziari. Oggi le imprese sono molto più complesse e tecnologicamente
dipendenti rispetto al passato. Questo suggerisce che i modi con cui devono essere
controllate necessitano di essere riorganizzati.
Per tale motivo gli attori del mercato ed i players internazionali stanno
espandendo le loro attività di compliance per migliorare l’implementazione dei
processi delle loro imprese
Gran parte dei senior management non vede più la funzione compliance come
necessaria solamente per rispondere alle esigenze regolatrici. Le imprese
internazionali sono andate oltre i requisiti minimi regolatori al fine di sviluppare
strutture di compliance che migliorino il modo di operare all’interno del mercato,
riconoscendo
che
questa
funzione
possa
creare
valore
aggiunto
all’organizzazione.
Creare valore per l’azienda significa che la funzione compliance è vista come una
funzione che non costituisce unicamente un Centro di Costo, ma che riesce invece
a creare un vero valore aggiunto, sia tramite il delivery che la funzione è in grado
di erogare direttamente, sia attraverso le competenze indotte, capaci di creare un
ambiente protetto nei confronti dei rischi che gravano sull’intera Azienda. Si
viene così a creare uno “shift” culturale necessario per affrontare in modo
consapevole i rischi operativi, riuscendo ad acquistare il riconoscimento da parte
degli stakeholder ed essere percepito come una funzione capace di garantire
modalità sicure per fare business.
Il senior management capisce che la responsabilità della conformità non può
essere delegata alla funzione di compliance. Riconosce non soltanto che
l’amministrazione del rischio di reputazione è cruciale per il successo degli affari
in un mercato che muta continuamente secondo le esigenze dell’odierno
consumatore, ma anche l’importanza della compliance finalizzata ad un
posizionamento strategico.
222
La regulatory compliance sta muovendosi fino all’ordine del giorno del board e
deve rimanere a quel livello. Molti players internazionali, si sono resi conto della
molteplicità di contingenze che devono essere fronteggiate, e stanno investendo
nella compliance al fine di mantenere la sopravvivenza dell’organizzazione, in
quanto solo un efficiente ed efficace utilizzo di una funzione compliance
sostenibile comporta per l’azienda un vantaggio competitivo.
Questo risonoscimento porterà ad un’armonizzazione degli standard regolatori e
guiderà le imprese verso il raggiungimento della “best practice”.
223
APPENDICE n 1:
Lista delle sezioni del
SARBANES OXLEY ACT OF 2002
224
225
APPENDICE n 2:
Contenuto della sezione 404 del
Sarbanes-Oxley Act
226
BILIOGRAFIA
1. LA FUNZIONE COMPLIANCE
 Funzione compliance: attività e indicatori di performance, Mauro
Chicchinè Presidente Dexia Crediop
 Progetto Q-RES: La qualità della responsabilità etico-sociale d’impresa,
linee guida per il management, ottobre 2001, CELE – Centre for Ethics,
Law & Economics.
 Discussion
Paper,
INECE-OECD
Workshop
on
Environmental
Compliance and Enforcement Indicators: Measuring What Matters,
Prepared by: INECE Expert Working Group on Environmental
Compliance and Enforcement Indicators 22 OCTOBER 2003
 Banca d’Italia, Vigilanza Creditizia e Finanziaria, NORMATIVA DI
VIGILANZA IN MATERIA DI “CONFORMITA’ ALLE NORME
(COMPLIANCE)”, Documento per la consultazione, Agosto 2006
 PWC, Protecting the brand: The evolving role of the compliance function
and the challenges for the next decade, 2005
 Da Enron in poi: il pericolo di un epidemia, Luigi Guiso, LaVoce 2002
 Moving from ‘Project to Process’ to Add Value to SOA Compliance
While Improving Sustainability, By James W. DeLoach, Protiviti
Managing Director, 2005
 PWC, Regulatory Compliance: Adding value, A review of future trends,
2005
227
 La responsabilità sociale di imprese: attori, modelli. Cos’è cambiato e cosa
sta cambiando, A. Gandolfi, R. Klaus, C. Carletti, J. Gaffuri, CSR 2003
 Come può essere definita la responsabilità sociale delle imprese, Roberto
Ravaglia, Coordinatore Comparto "Gestione aziendale" dell'UNI
 The European Academy of “Business and Society”,SOLIDAS febbraio
2003
 La sfida compliance: gestire la conformità bancaria come vantaggio
competitivo, Finanza & Mercati
 The Environmental Law and Compliance Handbook, Berry, Dennison
2000
 Autodeterminazione. Un argomento a favore della «responsabilità ultima»,
Cimmino Luigi 2003
 Compliance is essential to running a successful business Gartner Research,
De Lotto Richard J. 2004
 Compliance: regulation and enforcement, Hutter Bridget 1997
 Regulation and Compliance in Operations, Loader David Norman 2003
 Basic Guide to Environmental Compliance, Vincoli Jeffrey W. 1993
 Moving from “project to process” to Add Value to SOA Compliance
While Improving Sustainability, by James W. DeLoach, Protivti Managing
Director
 Mizruchi, M.S., (1999), The Social Construction of Organizational
Knowledge: A Study of the Uses of Coercive, Mimetic, and Normative
Isomorphism, in “Administrative Science Quarterly”, dicembre 1999
228
 H. Petersen, H. Zahle (eds.), 1995, “Legal Policentricity: Consequences of
Pluralism in Law, Darthmouth”, Aldershot.
 C. Taralli, “Vicende del pluralismo giuridico tra teoria del diritto,
antropologia e sociologia”
 Bank for International Settlements. Basel Committee on Banking
Supervision, “Compliance and the compliance function in banks”, April
2005
 G. Farneti e S. Pozzoli (a cura di), Bilancio sociale di mandato. Il ciclo
integrato di strategia e controllo sociale, IPSOA, Milano, 2005.
 COMMISSIONE EUROPEA, Green Paper. Promoting a European
Framework for Corporate Social Responsibility, Bruxelles, Commissione
Europea, 2001, p.7.
 T. Donaldson e L. Preston, “The Stakeholder Theory of the Corporation:
Evidence and Implications”, Academy of Management Review, 1995.
 M. Molteni (a cura di), Primo rapporto sulla Responsabilità Sociale
d’Impresa in Italia, 2002.
 A. Vaccari, Principi in pratica. Bilancio sociale e cittadinanza europea,
Liocorno Editore, Roma, 1998.
2. LA FUNZIONE COMPLIANCE IN BANCA
 Compliance and the compliance function in banks; Basel Committee on
Banking Supervision, 2005
229
 Affrontare le sfide dell’adeguatezza patrimoniale nell’ambito di Basilea II,
Autori Vari SAP 2005
 M. Evans, C. Ilako, C. di Florio, in American Banking Association, ABA
Banking Journal, March/April, 2003
 Associazione Italiana Compliance – AICOM, Linee guida per la funzione
compliance, 2006
 Position Paper D.L.vo 231/2001, Responsabilità amministrativa delle
società: modelli organizzativi di prevenzione e controllo, Associazione
Italiana Internal Auditors, ottobre 2001
 La responsabilità amministrativa dele società. Un’indagine sull’adozione
del modello organizzativo previsto dal D.lgs. 231/01 nelle società quotate,
AIIA
 La responsabilità amministrativa degli enti, d.lgs.231/2001, AA.VV,
Milano, Ipsoa 2002
 Gazzetta Ufficiale, D. Lgs. 8 giugno 2001, n. 231 "Disciplina della
responsabilità amministrativa delle persone giuridiche, delle società e delle
associazioni anche prive di personalità giuridica, a norma dell'articolo 11
della legge, 29 settembre 2000, n. 300" Pubblicato nella Gazzetta Ufficiale
n. 140 del 19 giugno 2001
 CESR’s Technical Advice on Possible Implementino Measures of the
Directive 2004/39/EC on Markets in FinancialInstruments
 ABI, Linee guida dell’Associazione Bancaria Italiana per l’adozione di
modelli organizzativi sulla responsabilità
(d.lgs. n. 231/2001), febbraio 2004.
230
amministrativa delle banche
 Comitato di Basilea per la vigilanza bancaria, Convergenza internazionale
della misurazione del capitale e dei coefficienti patrimoniali, Nuovo
schema di regolamentazione, Bank for International Settlement, Giugno
2004
 European regime of investor protection – the harmonization of conduct of
business rules, e settembre 2000
 A European regime of investor protection – the professional and the
counterparty regimes, aprile 2000
 Basel Committee on Banking Supervision, Sound Practices for the
Management and Supervision of Operational Risk, Bank for International
Settlement, February 2003
 Sicurezza informativa: verso l’integrazione dei sistemi di gestione per la
sicurezza, Raoul Savastano, Responsabile Servizi Sicurezza KPMG Irm,
Convegno ABI – Banche e Sicurezza, Roma, 7 Giugno 2006
 Does Compliance with Basel Core Principles Bring Any Measurable
Benefits?, Richard Podpiera, International Monetari Found, 2004
 Compliance Function nel settore finanziario: Stato dell’Arte, AIIA, 2006
 Survey: l’attività di Compliance e le soluzioni organizzative adottate dale
Banche Prime evidenze, 12 Aprile 2006 Alberto Porzio – KPMG
 Organizzazione delle funzioni di controllo interno presso le banche ed i
commercianti di valori mobiliari con particolare riferimento alla funzione
di compliance, Massimiliano Pizolli, ottobre 2006
 La funzione compliance e il modello organizzativo, A.Colombo di HSBC
Bank, convegno Milano, Iside Srl il 12 ottobre 2004.
231
 I conflitti di interesse e la corporate governance nella valutazione del
rating delle banche, Roberto Del Giudice, Paolo Capizzano, Liuc Papers n.
184, Serie Impresa e mercati finanziari 4, gennaio 2006
 Commenti Abi alla bozza della guida operativa predisposta all’organismo
italiano di contabilità (Oic) per la transizione ai principi contabili
internazionali (Ias/Ifrs), ABI
 Position Paper del Sistema Bancario Italiano sul documento del Comitato
di Basilea "The compliance function in banks", ABI, Gennaio 2004
 Istruzioni di Vigilanza per gli Intermediari Finanziari iscritti nell’«Elenco
Speciale» Circolare n. 216 del 5 agosto 1996 - 6° aggiornamento del 15
ottobre 2002, PARTE RISERVATA AGLI INTERMEDIARI, Banca
d’Italia
 Basel Committee on Banking Supervision, Internal audit in banks and the
supervisor’s relationship with auditors: A survey, Bank for International
Settlements, August 2002
 Basilea II: sono ancora numerose le sfide che le banche devono affrontare
sul fronte dei preparativi – Autori Vari - Indagine condotta da: Accenture,
Mercer - Oliver Wyman e SAP, 2004
 MiFID: Direttiva 2004/39/CE relativa ai mercati degli strumenti finanziari,
Protiviti, luglio 2006
 Basilea I e II: impatti sulle piccole e medie imprese, Autori Vari
 Basilea II e le banche di medie dimensioni Capgemini, 2005
 La compliance in banca; Pogliaghi e Vandali, Ed. Bancaria 2005
232
 La compliance in banca, Gestire i rischi dopo Basilea 2 e assicurare la
conformità alle norme, A.A.V.V., Bancaria Editrice, 2005
 La responsabilità amministrativa delle società (indagine sull’adozione del
modello organizzativo previsto dal D.lgs 231/01); Associazione Italiana
Internal Auditors
 ABB COMPLIANCE PROGRAM, Modello organizzativo ABB Italia ;
Gruppo ABB (leader nelle tecnologie per l'energia e l'automazione)
 Funzione compliance, responsabilità “amministrativa” delle società e
modelli organizzativi (D.lgs. 231/2001);
 La
Funzione
di
Compliance
nelle
banche
italiane:
evoluzione normativa e contributo alla creazione del valore; Claudio
Clemente, Vigilanza sugli Enti Creditizi, Banca d’Italia, 2006
 Business Continuity Management e Sicurezza Integrata: l'esperienza di
Banca Intesa, Paolo Murgia, Servizio Continuità Operativa, Roma 22
Giugno 2006
3. COMPLIANCE E MANAGEMENT; GESTIONE DEL RISCHIO
 Cda, come usare bene i consiglieri indipendenti Andrea Boeri, Value
Partners, febbraio 2004
 La gestione del rischio aziendale, ERM - Enterprise Risk Management: un
modello di riferimento e alcune tecniche applicative, CoSO Committee of
Sponsoring Organizations of the Treadway Commission, AIIA, PWC, ed.
Il Sole24 ore, 2006
233
 Adopting a Holistic Regulatory Compliance Approach: An Analysis of
Total Cost of Ownership (TCO) And Return on Investment (ROI)
Benefits By Jeff Jinnett, JD, CISSP, MCP, 2003
 PWC, Compliance: A gap at the heart of risk management, June 2003
 Controllo di gestione quale componente generale del SCI, I. Michieli,
Global Management Group
 Position Paper, IL REPORTING SUL SISTEMA DI CONTROLLO
INTERNO, Un aspetto qualificante dei più avanzati codici di
autodisciplina espressi dal movimento internazionale di riforma della
Corporate Governance, AIIA, 1999
 Introduzione all’enterprise risk management, A. Cencioni, Protiviti,
maggio 2006
 Information System Governance e analisi dei rischi con ITIL e CoBIT,
Marco Salvato, KPMG, studio AIEA, Roma, 6 aprile 2006
 Barometro dei Rischi e del Risk Management italiano, Protiviti, 2005
 Enterprise risk management, an opportunità, C. Bhon, B. Kemp, AON,
february 2006
 Corporate Governance e Sistema di Controllo Interno Normativa e
regolamentazione internazionale e nazionale di riferimento Deloitte &
Touche, 19 dicembre 2002
 IT control objectives for sarbanes-oxley, the role of it in the design and
implementation of internal control over financial reporting, 2nd editinon,
IT Governance Institute®, 2006
234
 Atos Consulting, “tackling compliance to reap long-term benefit”,
Research report 2006
 “The Sarbanes-Oxley Guide for Finance and Information Technology
Professionals”, Sanjay Anand
 Rollins, Lanza: “Essential project investement governance an
reporting”,2005
 Basel Committee on Banking Supervision, Internal Convergence of
Capital Measurement Standards: a revised framework, Basilea, giugno
2004.
 V. PASTIN, Relazione al Convegno "Corporate crime in America:
strengthening the good citizen corporation", 7/8 settembre 1995
 Committee of Sponsoring Organizations della Commissione Treadway
(CO.S.O. Report), "Internal Control - Integrated framework", 1992
 Conventional IT Management Approaches to Compliance Fall Short, June
15, 2005, Robert Ciampa, Vice President of Marketing and Business
Strategy, Trusted Network Technologies
 Sarbanes–Oxley and it governance: new guidance on it control and
compliance, Marios Damianides, Information System Management, 2005
 IT Governance and Sarbanes-Oxley: The latest sales pitch or real
challenges for the IT Function?, Michelle L. Kaarst-Brown and Shirley
Kelly (Graduate) School of Information Studies, Syracuse University, NY
USA
 “Corporate Enterprise Risk Management & Business Continuity”,
Anthony Cecil Wright, ANSsAIF, Giugno 2006
235
 Worldwide Outbound Content Compliance 2005-2009, Forecast and
Analysis : IT Security Turns Inside Out, Brian E. Burke, IDC, january
2006
 IT control objectives for Sarbanes-Oxley, the importance of it in the
design, implementation and sustainability of internal control over
disclosure and financial reporting, IT Governance Institute®, 2004
 optimize compliance: business technology optimization for SarbanesOxley, Mercury, 2005
4. SARBANES-OXLEY
COMPLIANCE
E
ANALISI
DEI
COSTI/BENEFICI
 PWC, Management barometer, 2005
 Determinants of weaknesses in internal control over financial reporting,
School of Business New York University, 2005
 SARBANES-OXLEY SECTION 404: A Guide for Management by
Internal Controls Practitioners, IIA, 2006
 Following the Money, The Enron Failure and the State of Corporate
Disclosure,George Benston, Michael Bromwich, Robert E. Litan, and
Alfred Wagenhofer, Joint Centre for regulatorty studies, AEI Brooking,
2003
 The State of U.S. Corporate Governance 2004, S.n. Kaplan and B.
Holmstrom, & University of Chicago AEI-Brookings Jan 2004
 The Sarbanes-Oxley Act of 2002, Understanding the Independent
Auditor’s Role in Building Public Trust: A White Paper, PWC, 2003
236
 Rouge Corporations, Corporate Rouges & Ethics Compliance: The
Sarbanes- Oxley Act,2002 Public Administration & Management: An
Interactive Journal, 2003
 Manager’s guide to the Sarbanes Oxley Act, Wiley,Green Scott, 2004
 U. S. Multinational looking beyond initial Sarbanes 404 compliance to
Business
improvement.Nancy
Beacham,
PricewaterhouseCoopers,
November 2005
 Tackling compliance to reap long-term benefit, Research report, 2006
 The Costs of Being Public After Sarbanes-Oxley: The Irony of Going
Private, William J. Carney, Emory University, School of Law, 2005
 Compliance costs, spending increasing,T.McCollum, Publication: Internal
Auditor, Feb 2005
 Rogue Corporations, Corporate Rogues & Ethics Compliance: The
Sarbanes-Oxley Act, 2002 Breena E. Coates School of Public
Administration, San Diego State University, 2003
 Walking the financial tightrope: Balancing compliance and control with
the need to prepare for growth, A PeopleSoft financial management white
paper, March 2004
 Section 302 of the Sarbanes-Oxley Act of 2002: Disclosure Controls and
Procedures and the Related CEO and CFO Certification – Analysis and
Recommendations, Client ALERT, Oct 2002
 The true value of regulatory compliance. Publication: Environs, Dec 2003
 Sarbanes-Oxley Section 404 Work Looking at the Benefits by Larry E.
Rittenberg, Ph.D., CIA, CPA, Ernst & Young Professor of Accounting,
237
University of Wisconsin and Patricia K. Miller, CIA, CPA, CISA, Partner,
Deloitte & Touche LLP, Vice-Chairman, Professional Practices, IIA,
January 2005
 2006 Survey IT Audit in Banking in Europe, Deloitte, 2006
 A 4-Step Blueprint for Achieving Sustainable Compliance, SAP insider,
May 2005
 Optimize compliance: business technology optimization for SarbanesOxley, Survey , Mercury, 2005
 Sustainable compliance industry regulation and the role of IT governance
a survey and white paper produced in cooperation with the economist
intelligence unit, Mercuri, march 2005
 Complying with Section 404 of the Sarbanes-Oxley Act 2002: First Steps
Toward a Sustainable Process, Mary Grace Davenport and Paul L.
Horgan, PwC's "Americas Insurance Digest", April 2006
 Sarbanes-Oxley Section 404 Costs and Implementation Issues: Spring
2006 Survey Update, Prepared By:CRA International, April 17, 2006
 SOX Costs: Auditor Attestation under Section 404, Susan W. Eldridge,f
Accounting University of Nebraska at Omaha, Burch T. Kealey, June
2005
 The cost of being public in the era of Sarbanes-Oxley, Presented by:
Thomas E. Hartman, Foley & Lardner LLP, June 15, 2006
 Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey
UpdateMay 2005
238
 Vivian Tero, Compliance in Information Management Forum West
Survey: “End-User Attitudes and Investment Priorities”, July 2006, IDC
International Data Group.
 “Trends 2006: DBMS Security”, Forrester Research, Inc., 2005
 “Worldwide Outbound Content Compliance 2005 – 2009 Forecast and
Analysis: IT Security Turns Inside Out”, IDC, 2005
 “Eight Steps Needed to Define Reasonable Security”, Gartner, Inc., 2005
 French Caldwell, Simplifying Compliance: key technologies and best practices,
Symposium 2005, Barcellona.
 Sarbanes- Oxley compliance costs average $ 16 million per company, Melissa
Buden, RHR International, November 2004
 The rising cost of compliance, Jon Surmacz, CIO Magazine-trendlines, 2004
 Complying with Sarbanes-Oxley Section 302 & 404, A white paper, Proposing
practical, cost effective compliance strategies,Tim J. Leech, April 2003
239
WEBSITES
www.aicpa.org
www.aima.org
www.basilea2.com
www.barometersurveys.com
www.bis.org
www.business.org.nz/surveys
www.cbritaly.it
www.cftc.gov
www.cioinsight.com
www.cmswire.com
www.compliance.gov
www.compliancemag.com
www.complianceonline.com
www.complianceweek.com
www.confindustria.it
corporate.complianceonline.com
www.theecoa.org
www.fese.be
www.foley.com/coststudy2004
www.globalcompliance.com
www.kpmg.lu
www.reatisocietari.it
www.sec.gov
www.s-ox.com
240
www.soxtelevision.com
www.theiia.org
www.uni.com
www.isaca.org
www.aiiaweb.it
www.aei.brookings.org
241