Posizionamento strategico delle funzioni di Controllo e di Compliance e la centralità dell’Internal Auditing Giovanni Barbara Docente a contratto Università Cattolica Partner KStudio Associato (KPMG) Milano, 3 luglio 2008
Sistema di Controllo Interno Il Sistema di Controllo Interno può essere definito come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati” [Codice di Autodisciplina]. Esso è dunque un processo diretto a perseguire: la massima trasparenza nella gestione della società; una chiara ripartizione di ruoli e responsabilità; l’efficienza, la conoscibilità e la verificabilità della gestione societaria; il rispetto di leggi e regolamenti; la salvaguardia dei beni aziendali.
Quadro normativo di riferimento fonte primaria secondaria autoregolamentare comunitaria: Basilea II MiFID nazionale: codice civile TUF TUB D.Lgs. 231/2001 Istr. di Vigilanza Banca d’Italia Reg. Intermediari Reg. Congiunto Banca d’Italia/Consob Istr. sulla Compliance Disposizioni in materia di organizzazione e governo societario delle banche Codice di Autodisciplina Circolare Assonime Codici etici Relazione Corporate governance
Organi e funzioni Il Sistema di Controllo Interno dovrebbe articolarsi su una pluralità di livelli e sul concorso di diversi organi e funzioni, secondo una chiara identificazione dei rapporti gerarchici ed una corretta suddivisione di funzioni e responsabilità. ORGANI DI VERTICE Consiglio di amministrazione Collegio sindacale Alta dirigenza FUNZIONI DI CONTROLLO • Comitato per controllo interno • Organismo di Vigilanza • Internal Auditing • Compliance • Risk Management • Controllo di gestione
Organi e funzioni: organigramma
Consiglio di amministrazione Organi di vertice Il è l’organo incaricato di realizzare e gestire il sistema di controllo interno. Esso definisce le politiche e le procedure per assicurare l’efficace gestione dell’operatività del sistema di controllo interno, individuando i soggetti preposti alle funzioni di controllo e definendone l’ambito dei poteri. Il ha la responsabilità di vigilare sulla funzionalità del sistema dei controlli interni e, nell’ambito di tale incarico, è tenuto ad accertare l’efficacia ed il coordinamento di tutte le strutture e funzioni coinvolte, promuovendo degli interventi correttivi in caso di carenze o anomalie. L’ (Amministratore delegato, Direttore generale, etc.) è incaricata di sovrintendere alla funzionalità del sistema dei controlli, in quanto ad essa è conferita la gestione operativa della società e la cura dell’assetto organizzativo, amministrativo e contabile. Consiglio di amministrazione Collegio sindacale Alta dirigenza
Le funzioni di controllo , nominato in seno al CDA e composto da amministratori non esecutivi, per la maggior parte indipendenti, ha funzioni istruttorie, consultive e propositive, volte ad orientare le scelte del CDA in materia di controllo interno. verifica, attraverso test periodici, la funzionalità del sistema ed individua eventuali azioni correttive; essa fornisce l’assurance complessiva sul disegno e sul funzionamento del sistema di controllo interno attraverso valutazioni indipendenti. , organo dotato di autonomi poteri di iniziativa e controllo, incaricato di vigilare sul funzionamento e sull’osservanza del modello adottato dagli enti ed idoneo a prevenire i reati di cui al D.Lgs. 231/2001, disciplinante la responsabilità amministrativa delle imprese. Comitato per il controllo interno Internal Auditing Organismo di Vigilanza
Le funzioni di controllo - segue Compliance , o funzione di controllo sulla conformità alle norme, ha il compito di assicurare l’idoneità delle specifiche procedure e dei codici di comportamento adottati all’interno dell’impresa, nonché il rispetto di tutte le norme di riferimento. è la funzione incaricata della misurazione e del controllo di tutti i rischi di impresa, volta ad orientare l’attenzione del Management verso la sistematica individuazione dei fattori che possono mettere a rischio il conseguimento degli obiettivi aziendali. , o controllo direzionale, è la funzione deputata a guidare la gestione operativa verso il conseguimento degli obiettivi aziendali; ad essa è affidato il compito di rilevare lo scostamento tra gli obiettivi pianificati ed i risultati conseguiti, informando di tali scostamenti gli organi responsabili. Risk management Controllo di gestione
Le singole funzioni: la Compliance La funzione di può essere definita come il complesso di poteri diretti a prevenire ed impedire il rischio di non conformità a norme di legge o di regolamenti, ovvero di autoregolamentazione (ad, es. statuti, codici di autodisciplina). Essa ha la responsabilità di presidiare, implementare e consolidare, anche attraverso la salvaguardia della reputazione aziendale, il rapporto fiduciario con la clientela e con gli stakeholders. A tal fine: identifica costantemente la normativa applicabile all’impresa; valuta l’adeguatezza delle misure organizzative adottate per la prevenzione del rischio di non conformità, proponendo eventuali modifiche; predispone adeguati flussi informativi diretti agli organi sociali ed alle altre strutture coinvolte. Compliance
La Compliance nella Corporate Governance La struttura organizzativa in cui si colloca la Compliance prevede ruoli e competenze capillari. Il Consiglio di amministrazione ha la competenza esclusiva e non delegabile in ordine alla nomina e revoca del Responsabile della funzione di Compliance, da effettuarsi sentito l’organo di controllo. Il Collegio sindacale è responsabile della supervisione complessiva del sistema di gestione del rischio di non conformità e dell’approvazione delle politiche di gestione del rischio. L’Alta dirigenza ha il compito di assicurare un’efficace gestione del rischio di conformità e definire i flussi informativi; in particolare: formalizza il regolamento e le procedure; identifica e valuta i rischi di conformità; declina ruoli, mansioni, modalità operative.
L’indipendenza della Compliance L’operatività della funzione deve essere garantita attraverso la nomina di un Responsabile, dotato di indipendenza (organizzativa e sostanziale), autorevolezza e professionalità, che coordini e sovrintenda alle diverse attività, anche attraverso la predisposizione di un apposito programma. L’indipendenza organizzativa permette, infatti, di: separare la Compliance dalle funzioni di gestione e di controllo; dotare di risorse proprie, sia professionali che economiche, il Responsabile della funzione. L’indipendenza sostanziale: assicura l’assenza di relazioni gerarchiche, sia in senso formale che sostanziale, permettendo al Responsabile di agire in piena libertà nell’esercizio della propria funzione.
Le singole funzioni: l’Internal Auditing L’attività di revisione interna o è la funzione incaricata da un lato di controllare la regolarità dell’operatività e l’andamento dei rischi e dall’altro di valutare la funzionalità del complessivo Sistema di Controllo interno. Essa è una funzione “trasversale e super partes”, che consente di: supportare la governance aziendale; effettuare periodicamente delle valutazioni sul rispetto delle strategie aziendali da parte delle strutture esecutive; vigilare sull’adeguatezza del sistema di rilevazione, misurazione e gestione dei rischi; prevenire gli impatti di potenziali conflitti di interesse individuali. L’Internal Auditing (controllo di terzo livello) svolge dunque un’attività di verifica periodica sull’adeguatezza e sull’efficacia delle altre funzioni di controllo (primo e secondo livello). Da ciò deriva l’esigenza di indipendenza dall’Alta dirigenza e separatezza dalle altre funzioni di controllo. Internal Auditing
L’indipendenza dell’internal Auditing Al fine di supportare il Management (Consiglio di amministrazione e Alta dirigenza) e l’organo di controllo (Collegio Sindacale) nella verifica periodica sull’adeguatezza e sull’efficacia di tutte le strutture coinvolte nel sistema di controlli, è necessario che il Responsabile dell’Internal Auditing non sia subordinato gerarchicamente ai responsabili delle aree sottoposte al controllo, a qualunque livello, compresa la direzione massima dell’azienda o del gruppo aziendale. A tal scopo è importante: dotare la funzione di adeguate risorse, in modo da garantire lo svolgimento delle verifiche pianificate; garantire la totale assenza di interferenze nello svolgimento degli interventi di verifica e nel processo di valutazione; prevedere un flusso informativo diretto al Consiglio di amministrazione ed al Collegio sindacale; approvare annualmente un piano di verifiche (Piano Audit) che tenga conto delle priorità di intervento individuate dalla funzione.
Conclusioni Le conclusioni su quanto esposto risultano alquanto evidenti. Ciò che occorre indagare è altro: Sono i sistemi di controllo delle nostre imprese adeguati ed in compliance alla normativa primaria e secondaria? L’esito di un’approfondita analisi evidenzierebbe che si predilige l’aspetto formale e, spesso, il funzionamento sostanziale dei controlli lascia a desiderare.