Funzioni aziendali di controllo: audit, risk management

All’interno di UnipolSai il Sistema di controllo interno e di gestione dei rischi è articolato su tre livelli.

Prima di tutto vi sono i controlli di linea anche detti “controlli di primo livello” diretti ad assicurare il corretto svolgimento delle operazioni. Essi vengono effettuati dalle stesse strutture operative attraverso diverse unità che riportano ai responsabili delle strutture stesse, ovvero eseguiti nell’ambito delle attività di

back office; per quanto possibile, tali controlli vengono incorporati nelle

procedure informatiche. Le strutture operative suddette sono le prime responsabili del processo di gestione dei rischi e devono assicurare l’osservanza delle procedure adottate oltre al rispetto del livello di tolleranza al rischio stabilito.

Proseguendo nell’analisi, vi sono i controlli sui rischi e sulla conformità cosiddetti “controlli di secondo livello”, che hanno l’obiettivo di assicurare: la corretta attuazione del processo di gestione dei rischi; la realizzazione delle attività a loro affidate dal processo di gestione dei rischi; il rispetto dei limiti operativi assegnati alle varie funzioni; la conformità alle norme dell’operatività aziendale.

Le funzioni nominate per eseguire questo tipo di controlli sono diverse da quelle operative definite sopra; esse oltre a ciò concorrono anche alla definizione delle politiche di governo e del processo di gestione dei rischi.

Infine si rileva la revisione interna vale a dire i “controlli di terzo livello” relativi all’attività di verifica sulla completezza, funzionalità, adeguatezza e affidabilità del Sistema di controllo interno e di gestione dei rischi ivi compresi i controlli di primo e secondo livello oltre alla coerenza dell’operatività aziendale rispetto ad esso. Di seguito (figura 4) viene riportato il modello di Risk and Control

93

Figura 4: Modello di Risk and Control Governance del Gruppo UnipolSai.

Fonte: Bilancio Consolidato Unipolsai 2015.

L’assetto organizzativo di Unipolsai prevede che le funzioni aziendali di controllo, vale a dire le funzioni di Audit, Risk Management e Compliance, siano tra loro separate sotto un profilo organizzativo, rispondano direttamente al CdA e operino sotto il coordinamento dell’Amministratore Incaricato. Le funzioni Risk

Management e Compliance e Antiriciclaggio, strettamente connesse al “Chief Risk Officer”97 (posta a riporto del Consiglio di Amministrazione) consentono, nel rispetto del principio di separatezza tra funzioni operative e funzioni di controllo, il rafforzamento del presidio integrato dei rischi. Questo sistema permette al Gruppo di tenere sotto controllo le diverse attività svolte, attraverso lo sviluppo di sinergie tra le funzioni di controllo di secondo livello.

97

Il C.R.O. è il garante, nell’ambito del sistema dei controlli interni, della gestione complessiva dei rischi della compagnia e del gruppo; la sua figura governa e coordina, in maniera accentrata, tutte le tematiche relative al presidio dei rischi aziendali oltre ad assicurare la coerenza nell’implementazione delle linee guida definite, sulla materia, dall’organo amministrativo.

Le funzioni suddette, servendosi di una metodologia e di un sistema informativo di supporto comuni, assicurano criteri uniformi non solo nella descrizione dei processi ma anche nella valutazione dei rischi operativi e dell’efficacia del Sistema di controllo interno e di gestione dei rischi.

Unipolsai ha inoltre adottato, ai sensi delle disposizioni regolamentari introdotte nel corso del 2014, la politica per la valutazione del possesso dei requisiti di idoneità alla carica la cosiddetta “Fit&Proper Policy”. Quest’ultima, con riferimento all’organo amministrativo e di controllo, ai responsabili delle funzioni aziendali di controllo e al Chief Risk Officer, descrive quelle che sono le procedure di valutazione dei requisiti di idoneità alla carica in termini di onorabilità, professionalità e indipendenza, nonché di insussistenza di situazioni impeditive, di cause di sospensione e di situazioni di incompatibilità.

Entrando nel dettaglio delle funzioni di controllo, la funzione di Audit ha il compito di valutare, in relazione alla natura dell’attività esercitata ed al livello dei rischi assunti, la completezza, la funzionalità, l’affidabilità e l’adeguatezza del Sistema di controllo interno e di gestione dei rischi. La funzione infatti verifica l’operatività e l’idoneità di tale sistema, attraverso un piano di audit, approvato dal CdA, basato su un processo strutturato di analisi dei principali rischi.

Tra i compiti della funzione rientra lo svolgimento delle seguenti tipologie di attività:

 gli audit di processo (assicurativi, gestionali, finanziari e di Information

Technology);

 la predisposizione, per i doveri assegnati, delle relazioni previste dalla normativa e lo svolgimento di attività ad esse correlate;

 le verifiche di compliance e ispettive sulle agenzie assicurative e sui servizi di liquidazione;

 le verifiche sulle frodi interne dei dipendenti, dei fiduciari e dei soggetti appartenenti alle reti commerciali;

95

 la collaborazione al Comitato Controllo e Rischi, alla Società di Revisione, al Collegio Sindacale e all’Organismo di Vigilanza ex D. Lgs. n. 231/ 2001.

Nell’ambito delle attività di audit, le verifiche riguardano in modo particolare:  la funzionalità del complessivo Sistema di controllo interno e di gestione

dei rischi insita nei processi esaminati nonché l’individuazione di andamenti anomali;

 il rispetto della normativa, delle politiche e delle direttive approvate dal CdA, delle procedure organizzative e, in genere della regolamentazione interna;

 il rispetto dei limiti previsti dai meccanismi di delega oltre al completo e corretto utilizzo delle informazioni disponibili;

 l’adeguatezza dei sistemi informativi e la loro affidabilità affinché non sia inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le proprie decisioni;

 la rispondenza dei processi amministrativo-contabili a criteri di correttezza e di regolare tenuta della contabilità;

 l’efficacia ed efficienza dei controlli svolti sulle attività esternalizzate. Inoltre agli incaricati della funzione di audit viene consentito l’accesso a tutte le strutture aziendali e alla documentazione relativa alla specifica area oggetto di intervento, che devono fornire informazioni corrette e complete.

Al termine di ciascun intervento di revisione viene redatto il relativo report destinato all’Alta Direzione ed ai soggetti interessati dall’intervento. Tali relazioni vengono tempestivamente inviate, in caso di rilevazione di situazioni di particolare rilevanza o gravità, al Consiglio di Amministrazione, al Collegio Sindacale, al Comitato Controllo e Rischi e all’Amministratore Incaricato.

La funzione di Risk Management ha invece il compito di individuare, misurare, valutare e monitorare su base continuativa i rischi attuali e prospettici a livello individuale e aggregato cui Unipolsai potrebbe essere esposta. Inoltre supporta il CdA, l’Amministratore Incaricato e l’Alta Direzione nella valutazione del

disegno e dell’efficacia del Sistema di gestione dei rischi, riportando agli stessi organi le sue conclusioni evidenziando eventuali carenze e suggerendo le modalità per risolverle. Tale funzione svolge il sua mansione all’interno del processo ORSA, assicurando un coordinamento delle attività svolte dalle diverse strutture aziendali legate alla gestione dei rischi; in particolare, è responsabile oltre che del disegno e dell’implementazione degli strumenti necessari alla misurazione dei rischi, anche della loro manutenzione ed evoluzione nel tempo. Tra questi assume peculiare importanza la definizione dei metodi diretti a valutare il capitale necessario per fronteggiare i rischi individuati, come il c.d. Modello Interno. Tale modello, infatti, dal momento che prevede la misurazione di ogni rischio con opportune metriche ed idonei strumenti, permette una migliore comprensione dei rischi effettivi cui la compagnia è esposta.

La funzione di Risk Management dell’impresa in analisi, inoltre, contribuisce alla diffusione di una vera e propria cultura del rischio ad ogni livello della struttura organizzativa.

Per concludere, la funzione Compliance ha la responsabilità di valutare, secondo un approccio risk-based, l’adeguatezza delle procedure, dei processi, delle politiche e dell’organizzazione interna di Unipolsai. Questa valutazione ha l’obiettivo di prevenire il rischio di non conformità, vale a dire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (come leggi, regolamenti, provvedimenti delle Autorità di Vigilanza) e di autoregolamentazione (ad esempio statuti, codici di condotta, codici di autodisciplina, politiche interne e documenti di comunicazione aziendale).

Dal momento che tale rischio risulta diffuso a tutti i livelli dell’organizzazione aziendale, viene richiesta una adeguata gestione dello stesso, soprattutto in relazione ai rapporti con la clientela.

La funzione Compliance opera attraverso:

 l’identificazione in via continuativa delle norme applicabili e la valutazione del loro impatto sui processi e sulle procedure aziendali;

97

 la valutazione dell’adeguatezza e dell’efficacia delle misure adottate da Unipolsai per la prevenzione del rischio di non conformità, e la proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio di tale rischio;

 la valutazione dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure) derivanti dalle modifiche raccomandate;

 la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte.

La funzione di compliance può svolgere un’attività ex ante per valutare la conformità alle norme dei nuovi prodotti, progetti e processi nonché dell’organizzazione aziendale, in relazione all’entrata in vigore di nuove normative. Assumono una particolare rilevanza le fasi di “analisi della normativa”, “valutazione dei rischi” e “identificazione degli adeguamenti”. Al contrario, eseguendo un’attività ex post, relativa alla fase di monitoraggio, la funzione valuta lo stato di conformità dei processi aziendali rispetto alle norme, tramite l’analisi dei presidi esistenti e dello stato di attuazione degli interventi programmati.