4. Le funzioni aziendali di controllo Considerazioni generali
4.1. Segue Il piano strutturale e il flusso informativo
responsabili, sia, infine, in virtù di alcune puntuali previsioni dettate dall’Autorità in
tema di flussi informativi.
4.1. Segue. Il piano strutturale e il flusso informativo.
Identificate come indipendenti, permanenti e tra loro separate (
203) (
204), il Risk
Management e la Compliance compongono, insieme all’Internal Audit, le c.d. funzioni
aziendali di controllo (
205) (
206) e, cioè, l’avamposto e il riflesso del sistema dei controlli
interni societari nella dimensione aziendale dell’impresa.
In via preliminare – nonché a livello generale per tutte e tre le funzioni citate – è
opportuno sottolineare come la disciplina offerta dalla Circolare in commento si muova
su due piani distinti, l’uno inteso a prevedere in materia taluni specifici requisiti di
natura strutturale, l’altro invece indirizzato a disciplinare particolari modalità di
programmazione e rendicontazione dell’attività svolta dalle funzioni citate e, quindi, del
ruolo di controllo a queste affidato. Ma andiamo con ordine.
(202) E ciò, non senza qualche comprensibile perplessità, dato che, come sottolineato in dottrina – v. PEDERSOLI E., (nt. 140), che richiama GRECO G.L., La compliance nelle attività e nei servizi bancari: i
problemi aperti, in ATRIGNA T. (a cura di), Compliance. Ruolo e responsabilità, Milano, 2009 – la
dipendenza gerarchica delle funzioni dalle componenti della banca che sono tenute a controllare potrebbe comportare inefficienze sotto il punto di vista della bontà e della terzietà dei controlli stessi.
(203) Invero, sono le stesse Disposizioni in commento a prevedere, in base al principio di
proporzionalità, la possibilità che venga affidata ad un’unica struttura lo svolgimento della funzione di conformità alle norme e della funzione di controllo dei rischi, le quali, invece, non potranno mai essere affidate alla struttura che esegue l’Internal Audit, essendo questa in primis incaricata di controllare le funzioni di secondo livello. Cfr. Circ. 285, Parte Prima.IV.3.17.
(204) La stessa Circolare 285 sottolinea però che, ferma restando la reciproca indipendenza e i rispettivi ruoli, le funzioni aziendali di controllo collaborano tra loro e con le altre funzioni (ad es., funzione legale, organizzazione, sicurezza) allo scopo di sviluppare le proprie metodologie di controllo in modo coerente con le strategie e l’operatività aziendale. Specifica attenzione è poi posta nell’articolazione dei flussi informativi tra le funzioni aziendali di controllo; in particolare, i responsabili della funzione di controllo dei rischi e della funzione di conformità alle norme devono, infatti, informare il responsabile della funzione di revisione interna delle criticità rilevate nelle proprie attività di controllo, che possano essere di interesse per l’attività di audit. Il responsabile della revisione interna, a sua volta, è tenuto ad informare i responsabili delle altre funzioni aziendali di controllo per le eventuali inefficienze, punti di debolezza o irregolarità emerse nel corso delle attività di verifica di propria competenza e riguardanti specifiche aree o materie di competenza di queste ultime. Sul punto Cfr. Circ. 285, Parte Prima.IV.3.24. Sempre in argomento, utile è poi il richiamo, in quanto di rilevanza centrale, la Comunicazione congiunta
Banca d’Italia – Consob in materia di ripartizione delle competenze tra compliance e internal audit nella prestazione di servizi di investimento e di gestione collettiva del risparmio dell’8 marzo 2011.
(205) Cui partecipano anche la funzione antiriciclaggio e la funzione di convalida come disciplinata dalle relative disposizioni.
(206) Dovendosi di contro individuare, con il termine generico di funzione aziendale, l’insieme dei
Per quanto attiene, brevemente, al primo profilo menzionato, come è noto
particolare attenzione viene dedicata, anche in tale frangente, all’argomento
dell’indipendenza (
207) e alla previsione di talune precauzioni che – sostanzialmente
ricalcando, sebbene in via fortemente attenuata, quando disposto in tema di requisiti dei
componenti degli organi societari – tendono ad assicurare l’opportuna preparazione dei
membri delle funzioni in parola.
In particolare, la Circolare 285 richiede infatti che i responsabili delle aree in
commento (
208) posseggano «requisiti di professionalità adeguati» e assegna la loro
nomina/revoca – non senza suscitare talune perplessità in punto terzietà dei controlli
(
209) – alla competenza esclusiva dell’organo con funzione di supervisione strategica,
sentito l’organo con funzione di controllo.
Con riferimento, poi, all’inquadramento gerarchico, le stesse Disposizioni
richiedono che i responsabili delle funzioni di controllo dei rischi e di conformità alle
norme siano collocati alle dirette dipendenze dell’organo con funzione di gestione o
dell’organo con funzione di supervisione strategica, fermo restando il distinguo
delineato per il responsabile della funzione di revisione interna, che viene invece
collocato alle dirette dipendenze dell’organo con funzione di supervisione strategica
(210),secondo il disegno già offerto – e parzialmente descritto nelle pagine che precedono –
dalla Circolare 263.
(207) Sono infatti le stesse Disposizioni a prevedere che il personale che partecipa alle funzioni aziendali di controllo non sia coinvolto in attività che tali funzioni sono chiamate a controllare. Nondimeno, per assicurare l’indipendenza delle funzioni aziendali di controllo, è richiesto che queste dispongano dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti. Alle funzioni è inoltre consentito di avere accesso ai dati aziendali e a quelli esterni necessari per svolgere in modo appropriato i propri compiti, nonché di ricorrere a consulenze esterne. Quanto al personale, questo è adeguato per numero, competenze tecnico-professionali, aggiornamento, anche attraverso l’inserimento di programmi di formazione nel continuo. Al fine di garantire la formazione di competenze trasversali e di acquisire una visione complessiva e integrata dell’attività di controllo svolta dalla funzione, la banca è tenuta a formalizzare e incentivare programmi di rotazione delle risorse, tra le funzioni aziendali di controllo. Cfr. Circ. 285, Parte Prima.IV.3.17.
(208) Si ricordi che i responsabili di secondo livello e di terzo livello possono essere individuati tra
gli amministratori (il Dirigente preposto ai controlli interni è il responsabile dell’Audit), purché non destinatari di specifiche deleghe in tema di controlli o anche di altre deleghe che non siano in conflitto o in astratto capaci di porre in dubbio l’autonomia di tale soggetto. Previsione, questa, che come è noto viene ripresa dalla normativa precedente.
(209) Critico sul processo di nomina predisposto dalla Circolare è PEDERSOLI E., (nt. 140), p. 55, che denuncia la potenziale commistione tra controllori (funzioni di controllo) e controllati (amministratori che nominano i controllori stessi).
(210) Vedi, sul punto, le perplessità espresse in dottrina e riassunte da PEDERSOLI E., (nt. 140), p. 28
Per quanto riguarda, invece, il secondo tema citato, è noto come le Disposizioni in
parola sottolineino, con forza, l’opportunità che vengano assicurati costanti ed efficienti
modalità di dialogo inter-organico e richiedano che i responsabili delle funzioni Risk
Management e Compliance abbiano accesso diretto – e comunichino direttamente e
senza restrizioni o intermediazioni con – all’organo con funzione di supervisione
strategica e all’organo con funzione di controllo (
211). A tale ultimo organismo riferisce,
sempre senza alcun’altra intromissione, anche l’unità Audit la quale, come si dirà a
breve, parrebbe divenire il fulcro delle funzioni aziendali di controllo, capace di
effettuare, in virtù del suo posizionamento nevralgico, un’ efficace attività di controllo
per e sull’amministrazione (
212)(
213).
Opportuno ancora ricordare, sempre a mo’ di apertura e in via generale, come al di là
di ogni più rigida strutturazione in tema fornita, venga esplicitamente riconosciuto un certo
qual ruolo anche all’autonomia privata, venendo richiesto dalla Circolare 285, per ciascuna
delle funzioni di controllo citate, l’istituzione di una regolamentazione interna volta ad
indicarne responsabilità, compiti, modalità operative, flussi informativi e programmazione
della propria attività (
214), ferma restando la necessità di informare tempestivamente gli
organi di controllo su ogni violazione o carenza rilevante riscontrate nel corso dello
svolgimento del proprio compito di monitoring.
Previsione, questa, chiaramente intesa a garantire un operato più trasparente nonché,
in linea teorica, immune da possibili rallentamenti e sovrapposizioni, oltreché
maggiormente rispettosa della discrezionalità degli istituti e delle funzioni aziendali in
oggetto.
(211) Che, come detto poco sopra, si avvale di dette funzioni nella sua attività di controllo.
(212) L’Internal Audit deve comunque sottoporre a quest’ultimo, insieme agli altri organi aziendali, un piano inteso ad «indicare le attività di controllo pianificate, tenuto conto dei rischi delle varie attività e
strutture aziendali (..) [contenente] una specifica sezione relativa all’attività di revisione del sistema informativo (ICT auditing)». Cfr. Circ. 285, Parte Prima.IV.3.18.
(213) Così confermando, almeno parrebbe potersi dire la nota doppia anima del controllo «a
favore» e «in materia di» amministrazione. Su tale tema, oltre alle considerazioni svolte al capitolo 2,
vedi anche le riflessioni di OLIVIERI G., Appunti sui sistemi di controllo nelle società per azioni “chiuse”,
in BENAZZO P.,CERA M.,PATRIARCA S., Il diritto delle società oggi, Torino, 2011, p. 518 e ss.
(214) E, così, più in particolare, le Disposizioni chiedono che i controlli/le funzioni di secondo
livello presentino annualmente agli organi aziendali, ciascuna in base alle proprie competenze, un programma di attività in cui sono identificati e valutati i principali rischi a cui la banca è esposta e sono indicati i relativi interventi di gestione.