CONTROLLI INTERNI NEL REGOLAMENTO n.20/2008
L’art. 4 del regolamento definisce il sistema di controllo in modo indiretto, mediante l’esplicitazione degli obiettivi che esso persegue14
. Al comma 2 infatti si dice che « Il sistema dei controlli interni è costituito dall’insieme delle regole, delle
procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell’impresa e a garantire, con un ragionevole margine di sicurezza:
12
ISVAP, CIRCOLARE N. 577/D del 30 Dicembre 2005, “Disposizioni in materia di sistema dei controlli interni e gestione dei rischi”.
13
ISVAP, “Regolamento recante disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 – Codice delle assicurazioni private”.
14
La definizione del regolamento riprende, se pur in maniera parziale, quella del Codice di Autodisciplina delle Società Quotate (Ed. 2006), in cui « Il sistema di controllo interno è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati.», che a sua volta si allinea alla definizione elaborata dal Coso Report.
74
a) l’efficienza e l’efficacia dei processi aziendali; b) l’adeguato controllo dei rischi;
c) l’attendibilità e l’integrità delle informazioni contabili e gestionali;
d) la salvaguardia del patrimonio;
e) la conformità dell’attività dell’impresa alla normativa vigente, alle direttive e alle procedure aziendali.»
Ideale complemento della norma appena vista è l’art. 10 che, dal canto suo, conferma un’altra espressione da tempo invalsa e sopra già evocata: la “cultura del controllo interno” che deve essere promossa e perseguita a tutti i livelli aziendali.
Sempre sul piano generale l’art. 11 fissa i principi della indipendenza ed
autonomia dei soggetti che sono investiti delle funzioni di controllo nonché della proporzionalità del sistema, in relazione alle dimensioni, alla natura ed alla complessità
dell’attività aziendale.
In altre parole viene stabilito il principio di separazione dei compiti e delle funzioni, per cui si presuppone l’esistenza di meccanismi che impediscano che le attività di controllo siano in pieno potere di un’unica persona. La concentrazione del pieno potere su un’attività in una persona espone l’azienda al rischio che questi, in maniera dolosa o colposa, provochi danni.15
Inoltre la separazione di funzioni ha lo scopo di far sì che chi si occupa di controllo abbia autonomia di giudizio rispetto a chi viene controllato. E’ pur vero che la segregazione ha dei costi per l’impresa, pertanto occorrerà tenerne di conto nell’articolazione operativa di un efficiente ed efficace sistema di controllo: il costo di un’attività di controllo deve essere sempre minore del valore atteso del rischio che tale attività di monitoraggio va a coprire.
Rilievo essenziale è poi assunto all’art. 12 dalle informazioni e dalla necessità di garantire flussi informativi che siano adeguati, costanti, puntuali e circolari, dovendo coinvolgere tutte le strutture investite di funzioni di controllo.
15
Cfr. PARRETTA E. – Controllo interno e assicurazioni. L’attività dell’Internal Auditor nel sistema di governance delle imprese assicuratrici, FrancoAngeli, Milano, 2007, op. cit. pag. 51.
75
In particolare l’ISVAP richiede che sistema dei controlli interni garantisca che le informazioni rispettino i seguenti principi così definiti:
a) principio di accuratezza: le informazioni devono essere verificate al momento della ricezione e anteriormente rispetto al loro uso;
b) principio di completezza: le informazioni devono coprire tutti gli aspetti rilevanti dell’impresa in termini di quantità e qualità, inclusi gli indicatori che possono avere conseguenze dirette o indirette sulla pianificazione strategica dell’attività;
c) principio di tempestività: le informazioni devono essere puntualmente disponibili, in modo da favorire processi decisionali efficaci e consentire all’impresa di prevedere e reagire con prontezza agli eventi futuri;
d) principio di coerenza: le informazioni devono essere registrate secondo metodologie che le rendano confrontabili;
e) principio di trasparenza: le informazioni devono essere presentate in maniera facile da interpretare, garantendo la chiarezza delle componenti essenziali; f) principio di pertinenza: le informazioni utilizzate devono essere in relazione
diretta con la finalità per cui vengono richieste ed essere continuamente rivedute e ampliate per garantirne la rispondenza alle necessità dell’impresa.
Il sistema dei controlli interni che emerge ad oggi dal regolamento ha natura composita ed è articolato su vari livelli, andando a formare la cd. piramide del controllo:
un primo livello, immanente ai presidi operativi e svolto in linea. Tali tipi di controllo consistono nelle verifiche svolte sia da chi mette in atto una determinata attività, sia da chi ne ha la responsabilità della supervisione, generalmente nell’ambito della stessa unità organizzativa (in questo senso i controlli di primo livello comprendono i controlli che di per sé sono integrati nelle funzioni operative, ma sono affidati a soggetti diversi rispetto a coloro che operano). Sono i controlli effettuati dalle stesse strutture produttive o incorporati nelle procedure automatizzate, oppure eseguiti nell’ambito dell’attività di back-office. Sono parte essenziale del sistema dei controlli interni e richiedono lo sviluppo e l’assimilazione della cosiddetta “cultura del controllo”, che sola può garantire il raggiungimento degli obiettivi aziendali. Questi
76
controlli sono previsti e descritti dalle procedure e rilevati in fase di mappatura dei processi.
un secondo livello, rappresentato dalle funzioni espressamente preposte al controllo dei rischi e alla conformità alla normativa vigente, nonché da altre funzioni che svolgono controlli maggiormente segmentati (ad esempio il servizio legale ed organizzativo). Sono attività specifiche affidate a strutture diverse da quelle operative. Le strutture che svolgono tali attività hanno la finalità di concorrere alla definizione delle metodologie di misurazione dei rischi, di verificare il rispetto dei limiti assegnati alle varie funzioni operative, di identificare possibili azioni correttive e/o di mitigazione dei rischi e di controllare la coerenza dell’operatività con gli obiettivi ed i livelli di rischio definiti dai competenti organi aziendali.
Appartengono a questa categoria le attività svolte dalle funzioni di Risk
Management e di Compliance, ma anche altre funzioni tra cui il Dirigente Preposto e,
come vedremo in seguito, anche la funzione Antiriciclaggio.
un terzo livello, rappresentato dalla revisione interna (internal auditing), che deve vigilare e monitorare l’intero assetto dei controlli interni, tanto di primo quanto di secondo livello, per poi rispondere agli organi apicali, siano essi di supervisione strategica (organo amministrativo), di gestione (alta direzione), di controllo (collegio sindacale, ma anche organismo di vigilanza ex d.lgs. 231/2001).
Possiamo vedere un esempio della gerarchica articolazione del SCI nella seguente figura che riporta la struttura dei controlli interni del Gruppo Unipol16:
16
77
Figura 4 - La piramide del controllo del Gruppo Unipol
Inutile dire che il sistema è tanto più efficiente quanto più costante ed efficiente risulta il raccordo fra le funzioni interne e gli organi societari incaricati di predisporre, valutare, monitorare adeguati modelli organizzativi ed assetti di controllo interno. Ed il regolamento prevede e disciplina distintamente, come verrà approfondito nel paragrafo seguente, gli organi sociali preposti al controllo (organo amministrativo, comitato di controllo interno, alta direzione, organo di controllo), rispetto alle funzioni nelle quali si articola il controllo interno (revisione interna o internal audit, risk management,
compliance).