Posizionamento strategico delle funzioni di Controllo e di
Compliance e la centralità dell’Internal Auditing
Giovanni Barbara
Docente a contratto Università Cattolica
Partner KStudio Associato (KPMG)
Milano, 3 luglio 2008
Sistema di Controllo Interno
Il Sistema di Controllo Interno può essere definito come “l’insieme delle regole, delle procedure e delle
strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione,
misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta
e coerente con gli obiettivi prefissati” [Codice di Autodisciplina].
Esso è dunque un processo diretto a perseguire:
 la massima trasparenza nella gestione della società;
 una chiara ripartizione di ruoli e responsabilità;
 l’efficienza, la conoscibilità e la verificabilità della gestione societaria;
 il rispetto di leggi e regolamenti;
 la salvaguardia dei beni aziendali.
2
Quadro normativo di riferimento
fonte primaria
comunitaria:
• Basilea II
• MiFID
nazionale:
• codice civile
• TUF
• TUB
• D.Lgs. 231/2001
secondaria
• Istr. di Vigilanza
Banca d’Italia
• Reg. Intermediari
• Reg. Congiunto
Banca d’Italia/Consob
• Istr. sulla
Compliance
• Disposizioni
Banca d’Italia
in materia di
organizzazione e
governo societario
delle banche
autoregolamentare
Codice di
Autodisciplina
• Circolare
Assonime
• Codici etici
• Relazione
Corporate
governance
3
Organi e funzioni
Il Sistema di Controllo Interno dovrebbe articolarsi su una pluralità di livelli e sul concorso di diversi
organi e funzioni, secondo una chiara identificazione dei rapporti gerarchici ed una corretta
suddivisione di funzioni e responsabilità.
ORGANI DI VERTICE
• Consiglio di amministrazione
• Collegio sindacale
• Alta dirigenza
FUNZIONI DI CONTROLLO
• Comitato per controllo interno
• Organismo di Vigilanza
• Internal Auditing
• Compliance
• Risk Management
• Controllo di gestione
4
Organi e funzioni: organigramma
CONSIGLIO DI
AMMINISTRAZIONE
COLLEGIO
SINDACALE
COMITATO PER IL
CONTROLLO INTERNO
INTERNAL AUDITING
ORGANISMO DI
VIGILANZA
COMPLIANCE
ALTA
DIRIGENZA
RISK
MANAGEMENT
CONTROLLO
DI GESTIONE
LEGALE
FINANZA
HUMAN
RESOURCE
IT
5
Organi di vertice
Il
è l’organo incaricato di realizzare e gestire il sistema di controllo
Consiglio di amministrazione
interno. Esso definisce le politiche e le procedure per assicurare l’efficace gestione dell’operatività del
sistema di controllo interno, individuando i soggetti preposti alle funzioni di controllo e definendone
l’ambito dei poteri.
Il
ha la responsabilità di vigilare sulla funzionalità del sistema dei
controlliCollegio
interni sindacale
e, nell’ambito di tale incarico, è tenuto ad accertare l’efficacia ed il coordinamento di
tutte le strutture e funzioni coinvolte, promuovendo degli interventi correttivi in caso di carenze o
anomalie.
L’
(Amministratore delegato, Direttore generale, etc.) è incaricata di
sovrintendere alla funzionalità del sistema dei controlli, in quanto ad essa è conferita la gestione
operativa
società e la cura dell’assetto organizzativo, amministrativo e contabile.
Altadella
dirigenza
6
Le funzioni di controllo
, nominato in seno al CDA e composto da
Comitato per il controllo interno
amministratori non esecutivi, per la maggior parte indipendenti, ha funzioni istruttorie, consultive e
propositive, volte ad orientare le scelte del CDA in materia di controllo interno.
verifica, attraverso test periodici, la funzionalità del sistema ed individua
eventuali
azioni
correttive; essa fornisce l’assurance complessiva sul disegno e sul funzionamento
Internal
Auditing
del sistema di controllo interno attraverso valutazioni indipendenti.
, organo dotato di autonomi poteri di iniziativa e controllo,
incaricato di vigilare sul funzionamento e sull’osservanza del modello adottato dagli enti ed idoneo
a prevenire
i reatidi di
cui al D.Lgs. 231/2001, disciplinante la responsabilità amministrativa delle
Organismo
Vigilanza
imprese.
7
Le funzioni di controllo - segue
Compliance , o funzione di controllo sulla conformità alle norme, ha il compito di assicurare
l’idoneità delle specifiche procedure e dei codici di comportamento adottati all’interno
dell’impresa, nonché il rispetto di tutte le norme di riferimento.
è la funzione incaricata della misurazione e del controllo di tutti i rischi di
Risk management
impresa,
volta ad orientare l’attenzione del Management verso la sistematica individuazione dei
fattori che possono mettere a rischio il conseguimento degli obiettivi aziendali.
, o controllo direzionale, è la funzione deputata a guidare la gestione
operativa verso il conseguimento degli obiettivi aziendali; ad essa è affidato il compito di rilevare lo
Controllotra
di gli
gestione
scostamento
obiettivi pianificati ed i risultati conseguiti, informando di tali scostamenti gli
organi responsabili.
8
Le singole funzioni: la Compliance
Compliance può essere definita come il complesso di poteri diretti a prevenire
La funzione di
ed impedire il rischio di non conformità a norme di legge o di regolamenti, ovvero di
autoregolamentazione (ad, es. statuti, codici di autodisciplina).
Essa ha la responsabilità di presidiare, implementare e consolidare, anche attraverso la salvaguardia
della reputazione aziendale, il rapporto fiduciario con la clientela e con gli stakeholders.
A tal fine:
• identifica costantemente la normativa applicabile all’impresa;
• valuta l’adeguatezza delle misure organizzative adottate per la prevenzione del rischio di
non conformità, proponendo eventuali modifiche;
• predispone adeguati flussi informativi diretti agli organi sociali ed alle altre strutture
coinvolte.
9
La Compliance nella Corporate Governance
La struttura organizzativa in cui si colloca la Compliance prevede ruoli e competenze capillari.
Il Consiglio di amministrazione ha la competenza esclusiva e non delegabile in ordine alla nomina e
revoca del Responsabile della funzione di Compliance, da effettuarsi sentito l’organo di controllo.
Il Collegio sindacale è responsabile della supervisione complessiva del sistema di gestione del rischio di
non conformità e dell’approvazione delle politiche di gestione del rischio.
L’Alta dirigenza ha il compito di assicurare un’efficace gestione del rischio di conformità e definire i
flussi informativi; in particolare:
 formalizza il regolamento e le procedure;
 identifica e valuta i rischi di conformità;
 declina ruoli, mansioni, modalità operative.
10
L’indipendenza della Compliance
L’operatività della funzione deve essere garantita attraverso la nomina di un Responsabile, dotato di
indipendenza (organizzativa e sostanziale), autorevolezza e professionalità, che coordini e sovrintenda
alle diverse attività, anche attraverso la predisposizione di un apposito programma.
L’indipendenza organizzativa permette, infatti, di:
 separare la Compliance dalle funzioni di gestione e di controllo;
 dotare di risorse proprie, sia professionali che economiche, il Responsabile della funzione.
L’indipendenza sostanziale:
 assicura l’assenza di relazioni gerarchiche, sia in senso formale che sostanziale,
permettendo al Responsabile di agire in piena libertà nell’esercizio della propria funzione.
11
Le singole funzioni: l’Internal Auditing
Internal
Auditing incaricata da un lato di controllare
L’attività di revisione interna o
è la funzione
la regolarità dell’operatività e l’andamento dei rischi e dall’altro di valutare la funzionalità del
complessivo Sistema di Controllo interno.
Essa è una funzione “trasversale e super partes”, che consente di:
 supportare la governance aziendale;
 effettuare periodicamente delle valutazioni sul rispetto delle strategie aziendali da parte
delle strutture esecutive;
 vigilare sull’adeguatezza del sistema di rilevazione, misurazione e gestione dei rischi;
 prevenire gli impatti di potenziali conflitti di interesse individuali.
L’Internal Auditing (controllo di terzo livello) svolge dunque un’attività di verifica periodica
sull’adeguatezza e sull’efficacia delle altre funzioni di controllo (primo e secondo livello). Da ciò deriva
l’esigenza di indipendenza dall’Alta dirigenza e separatezza dalle altre funzioni di controllo.
12
L’indipendenza dell’internal Auditing
Al fine di supportare il Management (Consiglio di amministrazione e Alta dirigenza) e l’organo di
controllo (Collegio Sindacale) nella verifica periodica sull’adeguatezza e sull’efficacia di tutte le
strutture coinvolte nel sistema di controlli, è necessario che il Responsabile dell’Internal Auditing non
sia subordinato gerarchicamente ai responsabili delle aree sottoposte al controllo, a qualunque livello,
compresa la direzione massima dell’azienda o del gruppo aziendale.
A tal scopo è importante:
 dotare la funzione di adeguate risorse, in modo da garantire lo svolgimento delle verifiche
pianificate;
 garantire la totale assenza di interferenze nello svolgimento degli interventi di verifica e nel
processo di valutazione;
 prevedere un flusso informativo diretto al Consiglio di amministrazione ed al Collegio
sindacale;
 approvare annualmente un piano di verifiche (Piano Audit) che tenga conto delle priorità di
intervento individuate dalla funzione.
13
Conclusioni
Le conclusioni su quanto esposto risultano alquanto evidenti. Ciò che occorre indagare è
altro:
Sono i sistemi di controllo delle nostre imprese
adeguati ed in compliance alla normativa primaria e secondaria?
L’esito di un’approfondita analisi evidenzierebbe che si predilige l’aspetto formale e, spesso, il
funzionamento sostanziale dei controlli lascia a desiderare.
14