IL SISTEMA DEI CONROLLI INTERN

In materia di controlli interni, alle imprese di investimento, comprese le SGR, è richiesto:

a) di “controllare e valutare con regolarità l’adeguatezza e l’efficacia dei

sistemi, dei meccanismi di controllo interno e delle procedure da loro istituiti” e;

b) “di adottare le misure opportune per rimediare a eventuali carenze” riscontrate o comunque emerse.

Nel perseguimento di tali obiettivi, la Direttiva II disciplina in tre articoli separati i requisiti delle imprese di investimento in materia di adempimento degli obblighi (verifica di conformità), di istituzione di una funzione di Audit interno e di gestione del rischio.

Le tre funzioni sopra menzionate concorrono congiuntamente alla prevenzione, al monitoraggio, alla gestione ed alla mitigazione dei rischi complessivamente intesi, quali parti integranti del complessivo sistema dei controlli interni.

Nella disciplina previgente (in particolare nel Regolamento Consob n. 11522/1998 e nel Regolamento Banca d’Italia del 14 aprile 2005) si richiedeva agli intermediari autorizzati l’istituzione di un’apposita funzione di controllo interno, autonoma, indipendente e con un responsabile svincolato da rapporti gerarchici rispetto ai responsabili dei settori di attività sottoposti a controllo, che:

a) verificasse l’idoneità delle procedure interne ad assicurare il rispetto delle disposizioni normative applicabili alla prestazione dei servizi di investimento;

b) vigilasse sull’effettivo rispetto di tali procedure interne e del codice interno di comportamento;

c) gestisse il registro dei reclami;

d) svolgesse una attività di supporto consultivo ai settori dell’organizzazione aziendale con riferimento alle problematiche concernenti la prestazione dei servizi, i conflitti di interesse ed i conseguenti comportamenti da tenere.

La previgente normativa italiana assegnava ad una medesima funzione i compiti di verifica sopra individuati (in particolare le lett. a) e b)), con evidenti rischi di autocontrollo e di conflitto; il rischio di conflitto derivava infatti dalla possibilità che il personale della Funzione avesse dovuto prendere atto, nell’analisi di determinati comportamenti, che le procedure da esso originariamente considerate idonee, non fossero state affettivamente tali e quindi capaci di garantire il materiale rispetto delle norme applicabili.

La Direttiva MIFID (e, in attuazione della medesima, il Regolamento congiunto Consob Banca d’Italia) ha prescritto la separazione organica delle tre funzioni sia pur con alcune eccezioni:

Il controllo di conformità (la c.d. compliance)

- si avvalgano di politiche e procedure adeguate per individuare “il rischio di inosservanza degli obblighi” ed i rischi conseguentemente derivanti da esso;

- mettano in atto misure e procedure idonee per minimizzare tale rischio, mettendo in atto misure sistematiche e preventive, sia nella attuazione di misure specificatamente mirate in occasione di specifici eventi anche connessi a singole operazioni.

Alle imprese viene richiesto di dotarsi di una funzione che viene definita di

“verifica dell’adempimento” . Tale funzione deve essere contraddistinta da

caratteristiche di permanenza, efficacia ed indipendenza (rispetto alle funzioni dell’impresa sottoposte alla sua attività di verifica).

Cosi come ripreso anche dall’art. 16 del Regolamento congiunto, alla Funzione vengono attribuite le seguenti responsabilità:

a) “controllare e valutare regolarmente l’adeguatezza e l’efficacia delle

procedure adottate e delle misure adottate per rimediare a eventuali carenze nell’adempimento degli obblighi da parte dell’intermediario”.

Lo specifico e separato alle procedure predisposte ed alle misure adottate per rimediare ad eventuali carenze lascia intendere che il legislatore comunitario richiede l’istituzione di una funzione capace di interagire con le funzioni normative (organizzazione) ed operative in un’ottica di costante dialettica, e di leggere, interpretare ed indirizzare in tempo reale

l’evoluzione operativa ed organizzativa dell’impresa anche in un’ottica di feed back.29

b) “Fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini dell’adempimento degli obblighi posti dalle disposizioni di recepimento della Direttiva Mifid e delle relative misure di esecuzione”.

Il separato riferimento a “consulenza” e “assistenza” induce ad una riflessione sulla eventualità che il supporto assistenziale fornito dalla funzione debba talvolta andare oltre alla mera consulenza strettamente intesa, assumendo quindi anche ruoli di intervento sull’operatività.

Per assicurare la correttezza e l’indipendenza della funzione di compliance cosi come delle altre due funzioni di controllo, è necessario che:

a) tali funzioni dispongano dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti;

b) i responsabili non siano gerarchicamente subordinati ai responsabili delle funzioni sottoposte a controllo;

c) i soggetti rilevanti che partecipano alle funzioni aziendali di controllo non partecipino alle prestazione dei servizi che essi sono chiamati a controllare;

d) le funzioni aziendali di controllo siano tra loro seperate sotto un profilo organizzativo;

29 _{A. PAPANIAROS, “Requisiti di organizzazione, gestione del rischio, audit interno,}

responsabilità dell’alta dirigenza e trattamento dei reclami”, in La nuova disciplina dei mercati,

e) il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alle funzioni aziendali di controllo non ne comprometta l’obiettività.

L’impresa di investimento può essere tuttavia esentata dal rispetto dei suindicati requisiti se dimostra:

- che essi configgono con il criterio di proporzionalità;

- che la funzione di controllo della conformità continua ad essere efficace anche disapplicando i requisiti in discorso.

La revisione interna

Ai sensi dell’art. 12, comma 5 del Regolamento congiunto, a differenza di quanto previsto per la funzione compliance – la cui istituzione è obbligatoria, salvo alcune deroghe ai principi di separatezza tra funzioni operative e funzioni di verifica, per quanto concerne la revisione interna, la stessa funzione può anche non essere istituita in applicazione dei principi di proporzionalità.

Alla suddetta funzione, separata ed indipendente dalle altre funzioni (operative e non)sono attribuite le seguenti responsabilità:

- dotarsi di piano di audit sull’adeguatezza e l’efficacia dei sistemi, dei meccanismi di controllo interno e dei dispositivi dell’impresa di investimento;

- formulare raccomandazioni basate sui risultati dei lavori realizzati;

- verificare l’osservanza di tali raccomandazioni;

Da ciò si evince, almeno in prima battuta, che la disciplina delineata dal legislatore comunitario intenda assegnare alla funzione audit, innanzitutto, un ambito di applicazione molto più vasto di quello riferibile alle attività disciplinate dalla Direttiva MIFID, riferendosi quindi al complessivo contesto aziendale ed alla onnicomprensiva valutazione dei rischi su di esso insistenti e dei meccanismi preposti alla loro mitigazione.

Gestione del rischio

Ai sensi del combinato disposto degli art. 9 della Direttiva II e dell’art. 13 del Regolamento congiunto, la funzione di gestione del rischio deve;

a) collaborare alla definizione del sistema di gestione del rischio dell’impresa;

b) presiedere al funzionamento del sistema di gestione del rischio dell’impresa e verificarne il rispetto da parte dell’intermediario e dei soggetti rilevanti;

c) verificare l’adeguatezza e l’efficacia delle misure prese per rimediare alle carenze riscontrate nel sistema di gestione del rischio dell’impresa.

La struttura dei citati articoli riflette quindi l’impostazione di un corretto sistema di risk management, il quale non può che partire da un’autovalutazione.

L’istituzione di una funzione di controllo del rischio indipendente è richiesta solo ove ciò risulti dall’applicazione del principio di proporzionalità, ovvero alla luce della natura, delle dimensioni e della complessità aziendale.

Nei casi in cui l’istituzione della funzione non sia dovuta, l’impresa dovrà nondimeno poter dimostrare che le proprie politiche e procedure in materia di gestione del rischio ottemperano i requisiti indicati, magari per il tramite della altre 2 funzioni di controllo comunque istituite.

Al riguardo occorre altresì sottolineare che il fatto che le funzioni di gestione del rischio e di compliance siano espletate dalla stessa persona non compromette necessariamente l’esercizio indipendente di ciascuna funzione. Ne deriva pertanto che, qualora la complessità e le dimensioni dell’impresa richiedessero l’istituzione di una funzione di controllo rischi indipendente, la stessa potrebbe essere attribuita alla persona già incaricata della funzione di verifica della conformità.

2.5 REGOLE DI CONDOTTA IN RELAZIONE ALLA TIPOLOGIA DI