Legge 262 del 28 dic

La legge 262/200525 nota come “legge sul risparmio” entra a far parte del perimetro di competenze dell’attività compliance, andando a modificare alcune disposizioni contenute nel Testo Unico della finanza26, che è risultato essere il primo riferimento normativo oggetto dell’attività di verifica della conformità, secondo quanto emerso dall’indagine empirica27. Inoltre, come sarà chiarito in maniera più esplicita nelle pagine che seguono, la legge sul risparmio va ad ampliare l’attività di internal auditing, attribuendogli delle competenze e delle responsabilità che ne influenzano l’assetto operativo e organizzativo, e, intervenendo sulla informativa societaria, produce riflessi sul sistema di controllo interno.

Deve essere ricordato che la legge 262/2005 si applica a tutte le società con azioni quotate in Italia, mentre ancora controversa è la possibilità di applicazione alle società non quotate.

Per mezzo della legge sul risparmio il legislatore ha proceduto a rafforzare il sistema dei controlli sull’informativa economico finanziaria, attraverso la definizione di meccanismi formali di assunzione delle responsabilità (dichiarazione/attestazione) delle seguenti figure aziendali:

• gli “Organi amministrativi delegati”, ai quali si conferisce l’obbligo di redigere un’attestazione da allegare al bilancio di esercizio e consolidato circa l’adeguatezza e l’effettiva applicazione delle procedure amministrative e contabili, nonché la corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili;

25

La legge 262/2005, approvata il 28 dicembre 2005, è entrata in vigore il 12 gennaio 2006. 26

Gli art. 6, 15 e 30 della legge sul risparmio modificano e integrano il TUf per quanto riguarda nello specifico le disposizioni relative alla redazione dei documenti contabili societari e l’introduzione della figura di un Dirigente preposto alla redazione di tali documenti.

27

L’88% degli intermediari dichiara di far rientrare il TUf e le normative di attuazione nel raggio d’azione della funzione compliance. Cfr.: supra Capitolo II, paragrafo 3.1.

• il “Direttore Generale”, al quale spetta l’obbligo di dichiarare per iscritto la corrispondenza al vero delle informazioni e dei dati sulla situazione economica, patrimoniale e finanziaria previsti dalla legge e dal mercato;

• il “Dirigente preposto alla redazione dei documenti contabili societari” (in linea di massima identificabile con il CFO/Direttore Amministrazione Finanza e Controllo), che ha la responsabilità di predisporre adeguate procedure amministrative e contabili per la redazione del bilancio di esercizio e, ove previsto, del bilancio consolidato, nonché di ogni altra comunicazione di carattere finanziario; inoltre, anche in questo caso, è prevista l’attestazione, con apposita relazione allegata al bilancio d’esercizio o consolidato, dell’adeguatezza e dell’effettiva applicazione delle procedure amministrative e contabili nel corso dell’esercizio cui si riferisce il bilancio, nonché della corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili. A fronte di queste disposizione di legge, le società interessate dovranno intraprendere un necessario processo di allineamento organizzativo, che includerà azioni finalizzate a:

• l’analisi degli impatti della legge su ruoli e responsabilità degli Organi

amministrativi delegati e della figura del Direttore Generale (ove esistente);

• l’identificazione della figura del Dirigente preposto alla redazione dei

documenti contabili societari ed il connesso conferimento di adeguati poteri e

mezzi per l’espletamento delle nuove responsabilità definite per Legge;

• la definizione dei rapporti tra il Dirigente preposto alla redazione dei documenti

contabili societari e gli organismi preposti al controllo (ovvero Collegio

Sindacale, Comitato di Controllo Interno, funzione Internal Audit, ecc.);

• l’esplicitazione, all’interno dell’organizzazione aziendale, delle responsabilità relative “al fare” e “al controllare”. A fronte della “formale” identificazione dei responsabili finali delle comunicazioni societarie, sarà necessaria una “sostanziale” identificazione delle responsabilità di produzione delle informazioni che partono dai processi di business28.

La Funzione di internal audit è chiamata a svolgere, in applicazione del dettato legislativo, un ruolo di assistenza al management, come esplicitamente richiesto dalla norma.

28

In merito, l’Associazione Italiana Internal Auditors (AIIA) ha pubblicato nel settembre del 2005 un position paper dal quale “(…) è possibile individuare le diverse funzioni e i ruoli che l’Internal Auditing può svolgere:

a) può fornire un’importante funzione consultiva o può assistere l’organizzazione aziendale nell’identificare, valutare e implementare il sistema di gestione dei rischi e di controllo;

b) può, grazie alla propria indipendenza ed autonomia, svolgere attività di controllo, analisi e verifica, fornendo i propri risultati alla linea manageriale; c) può svolgere, grazie alle sue competenze, attività di formazione in materia di

controllo interno, risk assessment e valutazione dell’efficacia/efficienza dei controlli stessi;

d) può essere fonte di competenze e metodi da trasmettere per processi strutturati di autodiagnosi aziendale del sistema di controllo dei processi (Control Risk Self

Assessment”);

e) può formulare pareri oggettivi - basati su opportune evidenze di audit - sull’adeguatezza dei controlli implementati nella predisposizione del bilancio e dell’informativa finanziaria.

Tali attività potranno costituire utili strumenti di valutazione per il Dirigente preposto

alla redazione dei documenti contabili societari nell’assunzione delle proprie responsabilità,

nonché per il Comitato per il Controllo Interno, ove costituito (…)”

L’attività di internal audit risulta ampliata, come indicato, anche alla disciplina sul risparmio, con funzioni di controllo, di consulenza, attestazione e formazione che naturalmente implicano un rischio di sovrapposizione con l’attività di compliance, laddove essa sia chiamata a verificare la conformità delle prassi operative ai requisiti previsti dalla legge 262/2005, attraverso la consueta attività di verifica, di assurance e di consulenza.

In tema di attività di consulenza, ad esempio, le due funzioni sono spesso chiamate a fornire paperi nei confronti dei soggetti “apicali”, ma da quanto riportato nel position paper dell’AIIA, sembrerebbe che le valutazioni fornite dall’Internal Audit siano prevalentemente riferite al corretto ed efficiente funzionamento dei sistemi di controllo e di gestione dei rischi (e quindi anche della funzione di conformità), mentre alla Compliance spetterebbe il compito, se la disciplina entra nel suo perimetro di attività secondo mandato, di verificare l’aderenza

delle prassi operative aziendali alle norme previste, al fine di non incorrere in sanzioni o multe.

E’ possibile individuare, pertanto, anche in questo contesto, due diversi livelli di controllo: il primo compiuto sulle singole discipline dall’attività di compliance; il secondo compiuto sull’intero sistema dei controlli e di gestione dei rischi dall’Internal Audit.