La funzione di revisione interna

Tra le funzioni aziendali di controllo quella di Internal Audit è certamente la più conosciuta sia all’interno sia all’esterno delle banche, non tanto per la sua radicata origine, quanto al contrario per l’incisiva e puntuale attività di assurance che essa esercita su molteplici tematiche. Anche alla luce delle recenti novità introdotte da Banca d’Italia in tema di sistema dei controlli interni, emerge il ruolo attivo della funzione nei processi di cambiamento in corso, ove essa non si limita alla mera individuazione delle problematiche, ma contribuisce bensì a risolverle. Mentre per le altre funzioni sopra introdotte, il provvedimento non esplicitava già a partire dalla Sez. III del Cap. 7 la necessità di un adeguato presidio alla gestione dei sistemi informativi e del rischio IT, la medesima considerazione non può essere adotta in merito a tale funzione. Giustappunto, la normativa, riaffermando l’accreditato ruolo di controllo di terzo livello, recita: «….coerentemente con il piano di audit, la funzione di revisione interna.. verifica, anche attraverso accertamenti di natura ispettiva, … l’adeguatezza,

l’affidabilità complessiva e la sicurezza del sistema informativo (ICT audit)»42_.

Per tale via si mira a enfatizzare in particolare l’importanza della funzione di

Internal Audit nella fase di setup e funzionamento dell’ICT audit o dell’audit

operativo, oltre che nella rilevazione del rischio informatico. Uno degli imperativi della funzione è costruire un ponte tra le funzioni di controllo di livello per così dire inferiore e gli organi di vertice, assumendo in misura sempre più crescente il ruolo di “interlocutore”43 con l’organo con funzione di controllo44.

La normativa traccia in maniera chiara, seppur breve, i compiti rimessi alla funzione in parola. Forte attenzione viene da subito posta in merito all’organizzazione della stessa con la seguente disposizione: «al suo interno o mediante ricorso a risorse esterne» di «competenze specialistiche» volte ad «assolvere ai.. compiti di assurance» concernenti lo sviluppo e il funzionamento del «sistema informativo aziendale». In altre parole, ciascun intervento deve essere indirizzato in relazione alle skill, alle risorse ed ai fondi di cui l’internal

audit dispone. Così, infatti, non solo il legislatore ha voluto sottolineare la

42

V. BANCA D’ITALIA, Nuove disposizioni di vigilanza prudenziale per le banche, Tit. V, Cap. 7, Sez. III, Par. 3.4, cit.

43 _{Cfr. B}

ASEL COMMITTEE ON BANKING SUPERVISION, The internal audit function in banks, 2012, p. 3. «Supervisors should have regular communication with the bank’s internal auditors to discuss the risk

areas identified by both parties, understand the risk mitigation measures taken by the bank, and monitor the bank’s response to weaknesses identified».

44

Banca d’Italia riconosce a quest’organo il ruolo di “vertice del sistema dei controlli”, poiché a costui è rimessa la responsabilità di vigilare sulla funzionalità del sistema dei controlli interni nel suo complesso.

126

primaria esigenza di avvalersi di soggetti competenti in materia al proprio interno, ma ha altresì contemplato la possibilità di ricorrere a terze parti specializzate qualora non si possa contare su un adeguato livello di copertura o di efficacia da parte delle risorse interne. Precisa inoltre la consolidata «indipendenza» delle suddette risorse «rispetto alle unità assoggettate al controllo», a riprova della funzione ausiliaria che ad essa è attribuita nei confronti del management, e a voler rimarcare il livello di controllo superiore che essa esercita nei confronti di queste unità. Nulla invece la norma dice circa la previsione di eventuali riporti della funzione di ICT audit: tuttavia un richiamo seppur esiguo, si rinviene al Capitolo 7, laddove si sottende da un lato, il rapporto di accountability che lega la funzione in esame al Comitato Audit aziendale, e dall’altro il riporto gerarchico, nei modi e nei tempi opportuni, all’organo con funzione di supervisione strategica.

In merito alla possibilità di ricorrere alle verifiche in loco per il controllo dell’«adeguatezza, ..affidabilità complessiva e ..sicurezza del sistema informativo», il quadro normativo prevede la «pianificazione» dei su citati «interventi ispettivi» al fine di garantire «nel tempo un’adeguata copertura» di tutte le «applicazioni, infrastrutture e processi di gestione»45, che a vario titolo sono ricomprese all’interno del sistema medesimo. Si tratta di una previsione della massima importanza, posta a sottolineare quanto la funzionalità

complessiva di un sistema di controlli interni, non possa fare a meno di prescindere da una oculata attività di controllo da parte dell’ICT audit.

Se si considera come la funzione di internal audit abbia da sempre avuto il compito di operare su tutte le attività della banca, senza limitazioni di alcun tipo, con lo scopo di verificare ed assicurare in primis il rispetto delle norme interne ed esterne, nonché il ruolo di monitorare i processi e la rilevazione di eventuali carenze organizzative con la conseguente formulazione di pareri finalizzati al riallineamento dell’attività, pare riscontrarsi in questa attività una certa similitudine, o persino una sovrapposizione, con quella svolta dalla funzione di

compliance ICT. Ancor più se si considera il disposto per il quale la funzione di ICT audit ha la capacità di «fornire valutazioni sui principali rischi tecnologici

identificabili e sulla complessiva gestione del rischio informatico» dell’impresa bancaria, al di là della tipologia di accertamento utilizzata. In realtà, si tratta di due ruoli, che seppur connessi nell’esplicazione di alcune attività, sono in verità nettamente distinti: la funzione di conformità ICT rientra infatti tra le cosiddette funzioni di controllo di secondo livello e contribuisce oltre alla determinazione delle metodologie di misurazione del rischio di compliance, anche alla definizione delle procedure dirette a prevenire rischi rilevanti. Dal canto suo, invece, la funzione di audit si distingue dalla funzione di compliance, oltre che a livello definitorio, anche per la tipologia di attività svolta: non si tratta infatti di un’attività di controllo stricto sensu, ma si ha a che vedere appunto con un’attività di revisione, che si espleta in una serie di test di funzionalità e di

128

conformità. Potremmo dunque ben affermare, come alla funzione di audit spettino tra gli altri, anche il compito di svolgere con una certa periodicità verifiche ex post, e in aggiunta altrettante verifiche sia ex post che ex ante in merito all’adeguatezza e all’efficacia della funzione di compliance ICT.

Le stesse considerazioni valgono altresì per la funzione di risk management, che pur presentando evidenti interdipendenze con l’internal audit, richiede malgrado ciò competenze diverse e orientamenti non necessariamente coincidenti.

In questo quadro, audit e controllo sono adunque gli strumenti che servono ad accertare il reale funzionamento dell’IT Governance, in tutte le sue componenti e in un’ottica di conformità con quanto deciso dagli organi apicali, al fine ultimo di fornire possibili spunti per il suo miglioramento e di indirizzare le aree di non conformità verso il loro disegno originario. L’aggiornamento alla normativa, difatti, nel risollevare e rafforzare le tematiche di collaborazione e di istituzione di flussi informativi tra le funzioni di controllo, offre alla funzione di revisione interna, la possibilità di fiancheggiare la funzione di conformità e di controllo dei rischi, nella fase di «messa a punto» dei presidi, mantenendo tuttavia l’indipendenza e la separatezza di ciascuna funzione46_.

46

Oltretutto, le norme ribadiscono l’importanza di una posizione delle funzioni di controllo all’interno della struttura organizzativa che sia confacente alle esigenze di autorevolezza e di graduale impatto, proprie di tali funzioni. A livello di gruppo bancario, sarebbe inoltre utile che ciascuna controllata (vigilata) disponesse al proprio interno di funzioni proprie o che fossero nominati dei referenti interni con il compito di ragguagliare i responsabili funzionali della capogruppo, o ancora in alternativa, che le funzioni di gruppo svolgessero le proprie mansioni di controllo «of sufficient scope at the bank to