Il sistema dei controlli interni quale strumento a supporto dell’azione amministrativa

In tempi assai recenti, la Banca d’Italia è intervenuta sulla disciplina dei controlli interni, attivandosi non per un mero aggiornamento di quanto già emanato in proposito ma per una rivisitazione di fondo della materia – basti il numero di pagine, che da 20 passa a circa 53 per



(73) Come fa notare M. CORBELLINI, Risk appetite e pianificazione strategica in chiave Icaap: una metodologia per le piccole banche, in Bancaria, 2013, n. 3, p. 71.

(74) Cfr. G.TORRIERO, Il contributo della Funzione Compliance al processo Icaap, intervento al Convegno ABI Compliance in Banks, Roma, 11 novembre 2010 e P.L.FABRIZI, La governance e il risk management nelle

136

intuirne la portata –, fino a toccare profili davvero sostanziali quali quello delle finalità che questi apparati devono prefiggersi di perseguire meglio delineando il loro posto ed il loro ruolo nell’ordine complessivo dell’agire imprenditoriale in forma societaria. Intervento che testimonia il maturare di una marcata sensibilità nei confronti degli elementi organizzativi evocati dal “sistema” dei controlli, oggi più di ieri assurti ad indispensabile fonte d’ausilio per le figure di comando dell’impresa e che, proprio incidendo in profondità e sulle basi stesse del fenomeno giuridico in questione, senza con ciò implicare investimenti in nuove risorse ma l’impegno di riorganizzare quelle già esistenti in azienda (75), richiede adeguate tempistiche di “assorbimento” e metabolizzazione da parte dei diretti destinatari (76).

Segnali di un mutamento di rilievo si rinvengono già da alcune scelte “strategiche” di politica legislativa. In primo luogo, come abbiamo già avuto modo di notare, la collocazione topografica della novella. Se fino a poco fa il sistema dei controlli interni trovava il suo spazio disciplinare “prevalente” nelle Istruzioni di vigilanza per le banche, ora si è optato per compendiare la materia – significativamente – nell’ambito delle Nuove disposizioni di vigilanza

prudenziale del 2006. Lo spostamento da lì a qui è rivelatore di una mutata prospettiva e

considerazione dei controlli interni, come d’altro canto testimonia – e questa è una seconda questione di vertice – la titolazione della disciplina stessa. Questa si è modificata, passando dall’inziale «Sistema dei controlli interni, compiti del collegio sindacale» all’attuale «Sistema

dei controlli interni, sistema informativo e continuità operativa» (77). Cambiamento di titolo che



(75) Cfr. BANCA D’ITALIA, Relazione preliminare sull’analisi di impatto. Disposizioni di vigilanza

prudenziale per le banche in materia di sistema dei controlli interni, sistema informativo e continuità operativa,

settembre 2012. Nell’ambito di questi documenti (denominati in acronimo AIR) l’Autorità amministrativa è chiamata a condurre un’analisi costi-benefici della disciplina in via di emanazione (in proposito, per tutti v. N. RANGONE, Autorità indipendenti e Air, in Gli arbitri dei mercati. Le autorità indipendenti e l’economia, a cura di M. D’Alberti e A. Pajno, Bologna, 2010, p. 135 ss.).

(76) In effetti, pur essendo stata emanata in luglio 2013 la nuova normativa diventerà efficace, nella sua parte più consistente, solamente a partire dal 1° luglio 2014 con il dilazionamento di ulteriori profili per il successivo futuro. Questa pianificazione si spiega anche alla luce dell’agenda del legislatore europeo ed in particolare dell’entrata in pieno vigore del Regolamento 575/2013/UE e della direttiva 2013/36/UE, entrambi del 26 giugno 2013, sempre a partire dal 1° luglio 2014, stante comunque una calendario anche qui delle specifiche misure programmate per gli anni a venire.

(77) Quest’ultimo, per la verità, era il titolo che recava il documento di consultazione, ma poi l’intervento definitivo ha distinto le tre materie nei tre specifici capitoli dedicati, così che, nell’ambito del Tit. V delle

Disposizioni di vigilanza prudenziale, il cap. 7 attiene al «Sistema dei controlli interni», il cap. 8 concerne il

137

sottende un’evoluzione dell’impianto logico retrostante, dimostrando – ci pare – che il sistema dei controlli interni è altro dall’organo di controllo societario; il che sancisce l’importante distinzione tra organizzazione d’impresa ed organizzazione corporativa, ossia tra controllo sull’impresa e controllo societario sull’impresa (78).

Il significato attribuito al riassetto “geografico” e “nominale” della materia trova piena conferma altresì nelle fonti di riferimento espressamente citate dalle Istruzioni di vigilanza per

le banche e dalle Disposizioni di vigilanza per le banche (79).

Nelle prime, tra le norme di rango primario vengono richiamati gli artt. 51, 52 e 53 t.u.b. (cui fanno il paio, rispettivamente, gli artt. 61, 61 e 67 di analoga portata ma riferibili all’ipotesi di gruppo bancario). Richiamare come sostegno e presupposto queste norme esplicita la filosofia sottesa all’assetto dei controlli interni e dunque ne testimonia l’orientamento (anche, o forse soprattutto) all’interlocuzione con la Vigilanza. In effetti, se l’art. 52 era ragionevole e presumibile ratione materiae che venisse coinvolto come presupposto nella costruzione disciplinare de quo, giacché esso non disciplina soltanto il raccordo funzionale tra organo di controllo interno e Banca d’Italia ma inquadra positivamente in modo più ampio il ruolo del collegio sindacale della società bancaria, l’art. 51 è una norma accentrata univocamente sull’azione di vigilanza c.d. “cartolare”, ossia sulla trasmissione informativa. Quest’ultima constatazione non vale a (né intende) sollevare questioni di estraneità tematica tra la norma primaria posta a fondamento e l’argomento designato per queste norme subordinate, bensì rende opportuno valorizzare la circostanza stessa per cui anche tale norma sorregge l’impianto regolamentare e ne imprime, in parte qua assieme all’art 52, una cifra ed una connotazione informativa all’implementazione del sistema dei controlli interni, il quale appunto si costruisce anche nel segno di una interlocuzione informativa con l’Autorità (80).



(78) Si ritorni alle considerazione svolte nel primo capitolo.

(79) Una sorta di preambolo con funzione di sistematizzazione della materia accompagna l’incipit di tutti gli atti regolamentari di carattere generale della Banca d’Italia: in proposito, cfr. M.A.STEFANELLI,Le istruzioni di vigilanza della Banca d’Italia, Padova, 2003, p. 193 ss.

(80) In proposito, è interessante notare come la regolamentazione secondaria del CICR che anticipa e sorregge essa stessa la disciplina emanata dalla Banca d’Italia con riguardo all’organizzazione interna (si tratta della deliberazione CICR 2 agosto 1996, n. 2, in tema di «organizzazione amministrativa e contabile e controlli interni», successivamente aggiornata dalla deliberazione 23 marzo 2004, n. 692, nel richiamare le norme primarie

138

Nelle Disposizioni di vigilanza prudenziale, al di là del richiamo di fonti di matrice europea ed internazionale (la maggior parte delle quali di soft law) che nel 1999 non erano certo così numerose, è importante notare che dal punto di vista del diritto italiano la materia poggia sul dato primario dell’art. 53 e, con intervento di rettifica del documento di consultazione, anche dell’art. 51, ma non più anche sull’art. 52, espunto coerentemente all’eliminazione dal titolo del riferimento al collegio sindacale ed alle sue funzioni.

In tale prospettiva, rileva pure la modifica apportata alla nozione di controlli interni: per un verso, si è molto ampliato il novero dei suoi elementi costitutivi, divenuto oggi l’insieme «delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure» (81); per l’altro, si è intervenuti sulle finalità che questo “apparato” persegue, non soltanto incrementandone l’estensione ma soprattutto rivedendone le priorità. Le Istruzioni del 1999 ponevano i seguenti obiettivi: «efficacia ed efficienza dei processi aziendali (amministrativi,

produttivi, distributivi, ecc.); salvaguardia del valore delle attività e protezione dalle perdite; affidabilità e integrità delle informazioni contabili e gestionali; conformità delle operazioni con la legge, la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne». La nuova disciplina, invece, elenca quali finalità: «verifica dell’attuazione delle strategie e delle politiche aziendali; contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework-“RAF”); salvaguardia del valore delle attività e protezione dalle perdite; efficacia ed efficienza dei processi aziendali; affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche; prevenzione del rischio che la banca sia coinvolta, anche involontariamente, in attività illecite (con particolare riferimento a quelle connesse con il riciclaggio, l’usura ed il finanziamento al terrorismo); conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le politiche, i regolamenti e le procedure interne».

A ben vedere, è lo stesso Istituto di vigilanza a riconoscere l’importanza dell’intervento in parola, il quale intende razionalizzare la disciplina andata stratificandosi nel tempo, con l’obiettivo di offrire un quadro regolamentare organico di riferimento. La novella si prefigge di



a sostegno legittimante del documento stesso del Comitato si richiamano solamente gli artt. 53, co. 1, lett. d), e 67, co. 1, lett. d), t.u.b.

(81) Cfr. Tit. V, Cap. 7, Sez. I, Par. 6, Nuove disposizioni di vigilanza prudenziale per le banche, cit. Diversamente, il Tit. IV, Cap. 11, Sez. II, Cap. 1 individua il sistema dei controlli interni quale «insieme delle regole, delle procedure e delle strutture organizzative».

139

migliorare la capacità delle banche di governare il rischio, in particolare valorizzando il principio di proporzionalità quale criterio utile a tenere conto della natura e delle dimensioni dell’impresa bancaria esercitata in concreto (82).

La disciplina costituisce un quadro normativo “di base”, senza esaurire le disposizioni applicabili in ragione della specifica operatività posta in essere. Come lo stesso documento afferma, essa rappresenta la «cornice generale del sistema dei controlli aziendali. In materia di

istituti di vigilanza prudenziale, essa è integrata e completata dalle specifiche disposizioni previste in materia (tecniche di attenuazione del rischio di credito ed operazioni di cartolarizzazione, processo ICAAP, informativa al pubblico, concentrazione dei rischi, gestione e controllo del rischio di liquidità, obbligazioni bancarie garantite, partecipazioni detenibili, attività di rischio e conflitti di interesse nei confronti di soggetti collegati, ecc.)» (83).

Dal punto di vista della struttura, il Tit. V delle Disposizioni dedica al tema del sistema dei controlli interni il Cap. 7, il quale si articola poi in: «Disposizioni preliminari e principi generali» (Sez. I); «Il ruolo degli organi aziendali» (Sez. II) «Funzioni aziendali di controllo» (Sez. III); «Esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo bancario» (Sez. IV); «Il RAF, il sistema dei controlli interni e l’esternalizzazione nei gruppi bancari» (Sez. V); «Imprese di riferimento» (Sez. VI); «Succursali di banche comunitarie e di banche extracomunitarie aventi sede nei paesi del gruppo dei dieci o in quelli inclusi in un elenco pubblicato dalla Banca d’Italia» (Sez. VII); «Informativa alla Banca d’Italia» (Sez. VIII); infine, sono presenti tre allegati, concernenti «Disposizioni speciali relative a particolari categorie di rischio» (All. A); «Controlli sulle succursali estere» (All. B); «Il Risk Appetite Framework» (All. C). Il Tit. V poi prosegue con il Cap. 8 avente ad oggetto il «Sistema informativo» ed il Cap. 9 sulla «Continuità operativa».

Sempre nel contesto della sezione introduttiva del documento in parola, viene offerto esplicitamente l’inquadramento funzionale del sistema dei controlli interni, asserzione dal valore programmatico quasi di “principio-manifesto”: Il sistema dei controlli interni riveste un

ruolo centrale nell’organizzazione aziendale: rappresenta un elemento fondamentale di

conoscenza per gli organi aziendali in modo da garantire piena consapevolezza della



(82) Così., esplicitamente, Cfr. Tit. V, Cap. 7, Sez. I, Par. 1, Nuove disposizioni di vigilanza prudenziale per

le banche, cit.

140

situazione ed efficace presidio dei rischi aziendali e delle loro interrelazioni; orienta i mutamenti delle linee strategiche e delle politiche aziendali e consente di adattare in modo coerente il contesto organizzativo; presidia la funzionalità dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale; favorisce la diffusione di una corretta cultura dei rischi, della legalità e dei valori aziendali» (enfasi aggiunta). Il sistema dei controlli interni concorre

in modo sostanziale a far sì che soprattutto chi amministra agisca in modo informato, fornendo un fondamentale supporto nel monitoraggio del rischio: le procedure e gli uffici aziendali specializzati ricoprono dunque un ruolo fondamentale nell’elaborazione e trasmissione di dati qualificati, in particolare connettendo il momento gestionale ed esecutivo con quello di alta amministrazione. È proprio sugli organi sui quali grava l’incombenza di dotare l’impresa di idonee strutture procedimentali che occorre insistere e porre le maggiori attenzioni, essendo costoro i primi a dover prendere piena coscienza di ciò a cui serve il fenomeno rimesso alla loro responsabilità affinché l’assetto organizzativo d’impresa risultante, di cui l’apparato dei controlli interni è parte, acquisisca una fisionomia idonea alla natura ed alle caratteristiche dell’attività intorno alla quale esso gravita.

4.2. (Segue) Sistema dei controlli interni e ruolo degli organi aziendali.

Come dicevamo, uno dei maggiori “fallimenti” dell’assetto regolamentare previgente in materia di controlli interni fu l’incapacità di trasmettere agli organi di vertice un forte grado di consapevolezza ed un radicato senso di responsabilità in ordine al ruolo che l’implementazione di questa tipologia di procedure e processi aziendali avrebbe dovuto ricoprire a fini strategici. In effetti, il corretto operare della struttura nel suo complesso, reso possibile da un efficace sistema di coordinamento tra tutte le sue componenti, è di spettanza dell’organo amministrativo, il quale cura che l’assetto nel suo complesso, comprensivo per le banche dell’apparato dei controlli interni, sia adeguato alla misura del fenomeno d’impresa che deve presidiare, nel senso di far sì

141

che esso sia effettivamente posto in essere grazie all’efficace funzionamento dei processi decisionali.

Tra le misure più sostanziali della novella v’è certamente il profondo impegno profuso dalla Vigilanza nell’individuare in modo chiaro e preciso i compiti e le responsabilità delle figure sociali chiamate ad istituire le strutture interne, essendosi manifestato proprio qui il

vulnus della fase regolamentare vigente nel periodo di incrinatura dell’ordine economico-

finanziario.

In ossequio alle sue ultime e concettualmente più moderne produzioni regolamentari, la Banca d’Italia è intervenuta suddividendo le competenze tra organo di supervisione strategica, organo di gestione ed organo di controllo, ciò evidentemente per evitare gli inconvenienti che affiorerebbero, ragionando in termini organicistici invece che funzionali, dai diversi equilibri interni regolanti le strutture corporative dei tre sistemi di governance adottabili. Il concorso delle varie mansioni coinvolte deve assicurare «la completezza, l’adeguatezza, la funzionalità e

l’affidabilità del sistema dei controlli interni» (84), il che, di là della forse eccessiva carica di attribuzioni non tutte immediatamente comprensibili (85), vale in sintesi a significare l’importanza di determinare il grado di propensione al rischio (formalizzato nell’ambito del Risk

Appetite Framework, in acronimo “RAF”), di fissare le politiche di governo dei rischi e di

elaborare il processo di gestione dei rischi, avendo cura di verificare la loro concreta applicazione e di garantirne l’efficacia nel tempo in virtù di un loro riesame periodico (86).

È di tutta evidenza che l’ambito dell’intervento fonte di specifico ed accentuato interesse attenga all’organo esercente la funzione di supervisione strategica, dedicando ampio spazio per declinare, su base regolamentare, il principio cardine sancito a monte dall’art. 2381 c.c. in merito all’assetto organizzativo adeguato alla natura ed alle dimensioni dell’impresa.

Ad un confronto sinottico tra le regole oggi dettate per l’organo con supervisione strategica e per l’organo con funzione di gestione e quelle in precedenza contenute nelle



(84) Così, Tit. V, Cap. 7, Sez. II, Par. 1, Nuove disposizioni di vigilanza prudenziale per le banche, cit. (85) In particolare, v. le osservazioni formulate sul documento di consultazione messo a disposizione dalla Banca d’Italia da parte dell’ASSOCIAZIONE ITALIANA INTERNAL AUDITORS, Risposta alla procedura di

consultazione della Banca d’Italia “Sistema dei controlli interni, sistema informativo e continuità operativa,

ottobre 2012, dove si chiede all’Istituto di vigilanza di meglio definire il concetto di completezza. (86) Cfr. Nuove disposizioni di vigilanza prudenziale per le banche, ibidem.

142

Istruzioni di vigilanza per le banche con riferimento al consiglio di amministrazione ed all’alta

direzione si percepisce, già a prima vista, un notevole incremento del dettaglio speso per enucleare le mansioni incombenti su queste figure sociali. Non è affatto irrilevante ai fini di una migliore intelligibilità, sempre come osservazione generale, la scelta odierna di tenere distinti i compiti, da un lato, di chi è investito della supervisione strategica da quelli, dall’altro, appartenenti a coloro che ricoprono un ruolo esecutivo, dedicando a ciascuno di essi un apposito paragrafo ed evitando dunque la riproposizione di un compendio unitario com’era in passato.

Con riferimento all’organo con supervisione strategica, viene posto in primo piano il tema della politica della gestione del rischio, allargando decisamente il novero dei compiti gravantigli. In particolare, esso ha visto accentuato il proprio peso nel dialogo e nel concorso che rispetto a tali profili vantava rispetto all’alta direzione, ossia alle figure esecutive. Mentre fino a poco tempo fa il consiglio di amministrazione (per semplicità, ragionando sullo schema di governo tradizionale) era chiamato ad approvare «gli orientamenti strategici e le politiche di

gestione del rischio» (87), ora deve definire ed approvare: «a) il modello di business avendo

consapevolezza dei rischi cui tale modello espone la banca e comprensione delle modalità attraverso le quali i rischi sono rilevati e valutati; b) gli indirizzi strategici e provvede al loro riesame periodico, in relazione all’evoluzione dell’attività aziendale e del contesto esterno, al fine di assicurarne l’efficacia nel tempo; c) gli obiettivi di rischio, la soglia di tolleranza (ove identificata) e le politiche di governo dei rischi; d) le linee di indirizzo del sistema dei controlli interni, verificando che esso sia coerente con gli indirizzi strategici e la propensione al rischio stabiliti nonché sia in grado di cogliere l’evoluzione dei rischi aziendali e l’interazione tra gli stessi; e) i criteri per individuare le operazioni di maggiore rilievo da sottoporre al vaglio preventivo della funzione di controllo dei rischi» (88). Di stretta connessione con le competenze appena riportate sono poi altre ulteriori responsabilità di nuova introduzione riferentesi all’approvazione del «processo di gestione del rischio» predisposto dall’organo di gestione, rispetto al quale «ne valuta la compatibilità con gli indirizzi strategici e le politiche di governo

dei rischi», all’approvazione delle «politiche e [de]i processi di valutazione delle attività aziendali, e, in particolare, degli strumenti finanziari, verificandone la costante adeguatezza;



(87) Così, Tit. IV, Cap. 11, Sez. I, Par. 1.1., Istruzioni di vigilanza per le banche, cit.

143

stabilisce altresì i limiti massimi all’esposizione della banca verso strumenti o prodotti finanziari di incerta o difficile valutazione» nonché del «processo per l’approvazione di nuovi prodotti e servizi, l’avvio di nuove attività, l’inserimento in nuovi mercati». Ci sembra di

assoluto rilievo il forte sforzo regolamentare vòlto ad indurre i soggetti muniti delle redini strategiche dell’iniziativa d’impresa a valutare le caratteristiche delle attività esercitate e di porre in essere addirittura un processo dedicato all’esame dell’ipotesi di avvio di business dei quali non si era tenuto organizzativamente conto in precedenza, di modo da avere il parametro di riscontro con il quale orientare l’implementazione dell’assetto dei controlli interni e soprattutto individuare la tipologia di rischi cui dovrà porre attenzione anche ai fini del corretto assetto del processo di gestione dei rischi (89).

Infine, di grande importanza è l’obbligo di formalizzare una «politica aziendale in

materia di esternalizzazione di funzioni aziendali» (90) e l’evoluzione di quello che nelle

Istruzioni di vigilanza del 1999 era posto all’inizio dell’elencazione delle competenze quale

generico – e, forse per questo, nei fatti poi spesso rimasto disatteso – dovere di promuovere una «cultura aziendale che valorizzi la funzione di controllo», oggi tradottosi nell’obbligo di predisporre un «codice etico cui sono tenuti a uniformarsi i componenti degli organi aziendali e

i dipendenti. Il codice definisce i principi di condotta (ad es., regole deontologiche e regole da osservare nei rapporti con i clienti) a cui deve essere improntata l’attività aziendale».

Curiosa la parte conclusiva del paragrafo relativo all’organo con funzione di supervisione strategica, in cui riecheggiano i limiti sollevati dalla crisi – quelli di inconsapevolezza – e che sembra porsi quale formula di ideale “giuramento” del proprio impegno di figura sociale responsabile del successo della funzionalità dei controlli interni: per molti versi, infatti, si ribadiscono obbligazioni già enucleate in precedenza, come quando si dice che quest’organo «assicura» che le diverse procedure interne prescelte siano coerenti rispetto alle caratteristiche operative (91), anche in considerazione del contesto esterno di riferimento (92).



(89) Forte l’influenza in proposito del documento dell’EUROPEAN BANKING AUTHORITY: cfr. Paragraph B.1, Guidelines on Internal Governance, cit.

(90) Aspetto che per le banche di credito cooperative assume un notevolissimo rilievo: v. infra par. 4.8. (91) La regolamentazione sul punto è comunque estremamente dettagliata: «a) la struttura della banca sia

coerente con l’attività svolta e con il modello di business adottato, evitando la creazione di strutture complesse