Posizionamento strategico delle funzioni di Controllo e di Compliance e la centralità dell’Internal Auditing Giovanni Barbara Docente a contratto Università Cattolica Partner KStudio Associato (KPMG) Milano, 3 luglio 2008 Sistema di Controllo Interno Il Sistema di Controllo Interno può essere definito come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati” [Codice di Autodisciplina]. Esso è dunque un processo diretto a perseguire: la massima trasparenza nella gestione della società; una chiara ripartizione di ruoli e responsabilità; l’efficienza, la conoscibilità e la verificabilità della gestione societaria; il rispetto di leggi e regolamenti; la salvaguardia dei beni aziendali. 2 Quadro normativo di riferimento fonte primaria comunitaria: • Basilea II • MiFID nazionale: • codice civile • TUF • TUB • D.Lgs. 231/2001 secondaria • Istr. di Vigilanza Banca d’Italia • Reg. Intermediari • Reg. Congiunto Banca d’Italia/Consob • Istr. sulla Compliance • Disposizioni Banca d’Italia in materia di organizzazione e governo societario delle banche autoregolamentare Codice di Autodisciplina • Circolare Assonime • Codici etici • Relazione Corporate governance 3 Organi e funzioni Il Sistema di Controllo Interno dovrebbe articolarsi su una pluralità di livelli e sul concorso di diversi organi e funzioni, secondo una chiara identificazione dei rapporti gerarchici ed una corretta suddivisione di funzioni e responsabilità. ORGANI DI VERTICE • Consiglio di amministrazione • Collegio sindacale • Alta dirigenza FUNZIONI DI CONTROLLO • Comitato per controllo interno • Organismo di Vigilanza • Internal Auditing • Compliance • Risk Management • Controllo di gestione 4 Organi e funzioni: organigramma CONSIGLIO DI AMMINISTRAZIONE COLLEGIO SINDACALE COMITATO PER IL CONTROLLO INTERNO INTERNAL AUDITING ORGANISMO DI VIGILANZA COMPLIANCE ALTA DIRIGENZA RISK MANAGEMENT CONTROLLO DI GESTIONE LEGALE FINANZA HUMAN RESOURCE IT 5 Organi di vertice Il è l’organo incaricato di realizzare e gestire il sistema di controllo Consiglio di amministrazione interno. Esso definisce le politiche e le procedure per assicurare l’efficace gestione dell’operatività del sistema di controllo interno, individuando i soggetti preposti alle funzioni di controllo e definendone l’ambito dei poteri. Il ha la responsabilità di vigilare sulla funzionalità del sistema dei controlliCollegio interni sindacale e, nell’ambito di tale incarico, è tenuto ad accertare l’efficacia ed il coordinamento di tutte le strutture e funzioni coinvolte, promuovendo degli interventi correttivi in caso di carenze o anomalie. L’ (Amministratore delegato, Direttore generale, etc.) è incaricata di sovrintendere alla funzionalità del sistema dei controlli, in quanto ad essa è conferita la gestione operativa società e la cura dell’assetto organizzativo, amministrativo e contabile. Altadella dirigenza 6 Le funzioni di controllo , nominato in seno al CDA e composto da Comitato per il controllo interno amministratori non esecutivi, per la maggior parte indipendenti, ha funzioni istruttorie, consultive e propositive, volte ad orientare le scelte del CDA in materia di controllo interno. verifica, attraverso test periodici, la funzionalità del sistema ed individua eventuali azioni correttive; essa fornisce l’assurance complessiva sul disegno e sul funzionamento Internal Auditing del sistema di controllo interno attraverso valutazioni indipendenti. , organo dotato di autonomi poteri di iniziativa e controllo, incaricato di vigilare sul funzionamento e sull’osservanza del modello adottato dagli enti ed idoneo a prevenire i reatidi di cui al D.Lgs. 231/2001, disciplinante la responsabilità amministrativa delle Organismo Vigilanza imprese. 7 Le funzioni di controllo - segue Compliance , o funzione di controllo sulla conformità alle norme, ha il compito di assicurare l’idoneità delle specifiche procedure e dei codici di comportamento adottati all’interno dell’impresa, nonché il rispetto di tutte le norme di riferimento. è la funzione incaricata della misurazione e del controllo di tutti i rischi di Risk management impresa, volta ad orientare l’attenzione del Management verso la sistematica individuazione dei fattori che possono mettere a rischio il conseguimento degli obiettivi aziendali. , o controllo direzionale, è la funzione deputata a guidare la gestione operativa verso il conseguimento degli obiettivi aziendali; ad essa è affidato il compito di rilevare lo Controllotra di gli gestione scostamento obiettivi pianificati ed i risultati conseguiti, informando di tali scostamenti gli organi responsabili. 8 Le singole funzioni: la Compliance Compliance può essere definita come il complesso di poteri diretti a prevenire La funzione di ed impedire il rischio di non conformità a norme di legge o di regolamenti, ovvero di autoregolamentazione (ad, es. statuti, codici di autodisciplina). Essa ha la responsabilità di presidiare, implementare e consolidare, anche attraverso la salvaguardia della reputazione aziendale, il rapporto fiduciario con la clientela e con gli stakeholders. A tal fine: • identifica costantemente la normativa applicabile all’impresa; • valuta l’adeguatezza delle misure organizzative adottate per la prevenzione del rischio di non conformità, proponendo eventuali modifiche; • predispone adeguati flussi informativi diretti agli organi sociali ed alle altre strutture coinvolte. 9 La Compliance nella Corporate Governance La struttura organizzativa in cui si colloca la Compliance prevede ruoli e competenze capillari. Il Consiglio di amministrazione ha la competenza esclusiva e non delegabile in ordine alla nomina e revoca del Responsabile della funzione di Compliance, da effettuarsi sentito l’organo di controllo. Il Collegio sindacale è responsabile della supervisione complessiva del sistema di gestione del rischio di non conformità e dell’approvazione delle politiche di gestione del rischio. L’Alta dirigenza ha il compito di assicurare un’efficace gestione del rischio di conformità e definire i flussi informativi; in particolare: formalizza il regolamento e le procedure; identifica e valuta i rischi di conformità; declina ruoli, mansioni, modalità operative. 10 L’indipendenza della Compliance L’operatività della funzione deve essere garantita attraverso la nomina di un Responsabile, dotato di indipendenza (organizzativa e sostanziale), autorevolezza e professionalità, che coordini e sovrintenda alle diverse attività, anche attraverso la predisposizione di un apposito programma. L’indipendenza organizzativa permette, infatti, di: separare la Compliance dalle funzioni di gestione e di controllo; dotare di risorse proprie, sia professionali che economiche, il Responsabile della funzione. L’indipendenza sostanziale: assicura l’assenza di relazioni gerarchiche, sia in senso formale che sostanziale, permettendo al Responsabile di agire in piena libertà nell’esercizio della propria funzione. 11 Le singole funzioni: l’Internal Auditing Internal Auditing incaricata da un lato di controllare L’attività di revisione interna o è la funzione la regolarità dell’operatività e l’andamento dei rischi e dall’altro di valutare la funzionalità del complessivo Sistema di Controllo interno. Essa è una funzione “trasversale e super partes”, che consente di: supportare la governance aziendale; effettuare periodicamente delle valutazioni sul rispetto delle strategie aziendali da parte delle strutture esecutive; vigilare sull’adeguatezza del sistema di rilevazione, misurazione e gestione dei rischi; prevenire gli impatti di potenziali conflitti di interesse individuali. L’Internal Auditing (controllo di terzo livello) svolge dunque un’attività di verifica periodica sull’adeguatezza e sull’efficacia delle altre funzioni di controllo (primo e secondo livello). Da ciò deriva l’esigenza di indipendenza dall’Alta dirigenza e separatezza dalle altre funzioni di controllo. 12 L’indipendenza dell’internal Auditing Al fine di supportare il Management (Consiglio di amministrazione e Alta dirigenza) e l’organo di controllo (Collegio Sindacale) nella verifica periodica sull’adeguatezza e sull’efficacia di tutte le strutture coinvolte nel sistema di controlli, è necessario che il Responsabile dell’Internal Auditing non sia subordinato gerarchicamente ai responsabili delle aree sottoposte al controllo, a qualunque livello, compresa la direzione massima dell’azienda o del gruppo aziendale. A tal scopo è importante: dotare la funzione di adeguate risorse, in modo da garantire lo svolgimento delle verifiche pianificate; garantire la totale assenza di interferenze nello svolgimento degli interventi di verifica e nel processo di valutazione; prevedere un flusso informativo diretto al Consiglio di amministrazione ed al Collegio sindacale; approvare annualmente un piano di verifiche (Piano Audit) che tenga conto delle priorità di intervento individuate dalla funzione. 13 Conclusioni Le conclusioni su quanto esposto risultano alquanto evidenti. Ciò che occorre indagare è altro: Sono i sistemi di controllo delle nostre imprese adeguati ed in compliance alla normativa primaria e secondaria? L’esito di un’approfondita analisi evidenzierebbe che si predilige l’aspetto formale e, spesso, il funzionamento sostanziale dei controlli lascia a desiderare. 14