Il sistema dei controlli interni nella recente regolamentazione di vigilanza. Il caso CARISMI

(1)

Indice

Introduzione

Capitolo 1 – Il sistema di controllo interno nelle banche

1.1 Definizione e peculiarità.

1.2 Gli obiettivi del sistema di controllo interno.

1.3 I principali elementi di un processo di controllo interno. 1.4 Gli attori del sistema di controllo interno

1.4.1 Ruolo del Consiglio di Amministrazione

1.4.2 Ruolo dell’Alta Direzione 1.4.3 Ruolo del Collegio Sindacale

1.4.4 Ruolo del Comitato per il Controllo Interno

1.4.5 Ruolo dell’Organismo di Vigilanza ex D.Lgs. n. 231/2001

Capitolo 2 -15° aggiornamento della circolare 263/2006

2.1 Aspetti introduttivi

2.2 Le principali novità del nuovo framework regolamentare 2.2.1 I principi generali di organizzazione

2.2.2 I nuovi compiti degli organi aziendali

2.2.3 Il Risk Appetite Framework (RAF)

2.2.4 Le funzioni aziendali di controllo: istituzione, programmazione e rendicontazione

(2)

2.2.5 La funzione compliance e la gestione ed il controllo del rischio fiscale 2.2.6 La funzione di risk management

2.2.7 L’Internal Audit

2.2.8 L’esternalizzazione di funzioni aziendali (Outsourcing)

Capitolo 3 – Gruppo CARISMI: l’impatto della nuova regolamentazione sul sistema dei controlli interni.

3.1Il Gruppo CARISMI: la storia 3.2 La struttura organizzativa

3.3 Le funzioni aziendali di controllo 3.4 Il ruolo del Chief Risk Officer 3.5 Il RAF

Conclusioni

(3)

Introduzione

L’analisi delle cause e delle conseguenze connesse alla recente crisi finanziaria ha confermato la centralità della corporate governance e dei sistemi di controllo interno delle banche nel garantire la loro sana e prudente gestione, la stabilità del sistema finanziario, nonché dell'economia tutta. Muovendo da tale consapevolezza, le autorità internazionali prima e quelle domestiche dopo, hanno emanato una serie di provvedimenti destinati a regolamentare la cornice entro la quale il mercato bancario dovrà svilupparsi. In tale contesto, vanno ad inserirsi le recenti previsioni introdotte da Banca d'Italia con il 15° aggiornamento della Circolare n. 263/2006 del 2 luglio del 2013, attraverso la quale l'autorità di vigilanza si propone di rafforzare la capacità delle banche di gestire i rischi, di rivedere l'attuale quadro normativo in tema di sistema di controllo interno e sistema informativo, di definire un quadro normativo omogeneo che, in base al principio di proporzionalità, tiene conto della natura dell’attività svolta, della tipologia dei servizi prestati, della complessità e della dimensione operativa delle banche e infine di allineare la disciplina nazionale a quella comunitaria.

Il presente lavoro si pone l’obiettivo di analizzare il sistema dei controlli interni nella recente regolamentazione di vigilanza.

In primo luogo risulterà opportuno analizzare il ruolo fondamentale che il sistema dei controlli interni assume nell’ambito del sistema di governo dell’intermediario creditizio, evidenziandone definizione, obiettivi, componenti e attori coinvolti.

Successivamente, concentreremo la nostra attenzione sul 15° aggiornamento della Circolare di Banca d’Italia n. 263/2006, descrivendone la nuova disciplina, le finalità, i principi di fondo e soprattutto le novità introdotte dal nuovo quadro di riferimento.

L’analisi prenderà poi in considerazione il caso del Gruppo bancario CARISMI illustrandone la storia, il modello organizzativo, le funzioni aziendali di

(4)

controllo e il Risk Appetite Framework con l’intento di delineare il funzionamento del sistema dei controlli interni di un Gruppo fortemente radicato nel contesto sociale ed economico del territorio in cui opera.

(5)

CAPITOLO I

Il sistema di controllo interno nelle banche

1.1 Definizione e peculiarità.

Prima degli anni novanta non era presente in Italia alcuna normativa che disciplinasse in modo chiaro ed esaustivo l’attività di controllo interno. L’unica attività di controllo prevista era quella affidata al Collegio sindacale, in qualità di organo deputato alla sorveglianza sulla regolarità della gestione aziendale1 .

Il sistema di controllo interno costituisce elemento essenziale della gestione bancaria e uno dei fondamenti su cui si basa una conduzione sana e prudente delle organizzazioni bancarie.

Un sistema di rigorosi controlli interni può contribuire alla realizzazione delle finalità aziendali, al conseguimento degli obiettivi reddituali a lungo termine e al mantenimento di sistemi informativi affidabili. Esso può altresì contribuire ad assicurare che l’attività della banca sia conforme alle leggi e regolamentazioni, nonché alle politiche, ai piani e alle regole e procedure interne, e a ridurre il rischio di perdite impreviste o di eventi pregiudizievoli alla reputazione dell’azienda.

Per quanto riguarda la definizione del sistema dei controlli interni, la ricerca non conduce ad un risultato univoco, poiché sono presenti diverse definizioni ognuna delle quali cerca di cogliere i diversi caratteri del sistema dei controlli, dando risalto ad alcuni piuttosto che ad altri.

Sicuramente una delle definizioni più accreditate del sistema dei controlli interni è quella promossa dal cosiddetto CoSo Report, documento che è stato

1

(6)

commissionato dalla Treadway Commission2 del Committee of Sponsoring Organizations, noto come CoSo, alla Coopers & Lybrand Usa, allo scopo di definire un nuovo modello di sistema di controllo interno. In questo contesto, il CoSo Report ha messo in moto un vero e proprio circolo virtuoso, nell’ambito della ricerca in tema di sistemi di governo e controllo societario, introducendo una nozione di sistema di controllo interno innovativa, che non ha stentato a riscontrare consensi su scala internazionale e a essere considerata un solido punto di riferimento per il ridisegno dei sistemi di controllo delle imprese industriali e finanziarie3.

Il CoSo Report è stato espressamente richiamato dal Sarbanes Oxley Act4 e dai

documenti di studio della Commissione Europea. Inoltre, esso ha ispirato i documenti dell’Istituto Monetario Europeo e del Comitato di Basilea e la normativa di vigilanza emanata da Banca d’Italia.

Secondo il CoSo Report «il controllo interno è un processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:

1. Efficacia ed efficienza delle attività operative; 2. Attendibilità delle informazioni di bilancio;

2

La commissione Treadway è stata creata nel 1985 con la collaborazione di prestigiose associazioni professionali statunitensi. Essa ha commissionato alla Coopers & Lybrand Usa uno studio per individuare le cause che avevano messo in crisi i sistemi di controllo interno di molte aziende dei paesi maggiormente sviluppati. Il testo conclusivo, denominato CoSo report, è stato pubblicato nel Settemmbre del 1992 e ha ottenuto un grande successo negli Stati Uniti.

3_{V. Pesic, Il sistema dei controlli interni nella banca, Bancaria Editrice, Roma, 2009, pag 35.}

4_{La Sarbanes-Oxley Act, conosciuta anche con il nome di Public Company Accounting Reform and Investor} Protection Act of 2002 e comunemente chiamata Sarbanes-Oxley, Sarbox (o semplicemente SOX) è

una legge federale emanata nel luglio 2002 dal governo degli Stati Uniti d'America a seguito di diversi scandali contabili che hanno coinvolto importanti aziende americane come Enron, la società di revisione Arthur Andersen, WorldCom e Tyco International. Suddetti scandali hanno causato grande sfiducia da parte degli investitori nei confronti dei mercati, sollevandone altresì diversi dubbi circa le loro politiche di sicurezza. La legge è stata approvata il 24 luglio del 2002 con grandissima maggioranza in entrambe le camere ed è stata firmata dal presidente George W. Bush il 30 luglio. Essa è stata emanata con lo scopo di migliorare la corporate governance, e garantire la trasparenza delle scritture contabili, agendo tuttavia anche dal lato penale, con l'incremento della pena nei casi di falso in bilancio e simili. Viene inoltre aumentata la responsabilità degli auditor all'atto della revisione contabile.

(7)

3. Conformità alle leggi e ai regolamenti in vigore»5.

Successivamente la Treadway Commission, sviluppando le linee del CoSo Report, ha pubblicato il noto ERM (Enterprise Risk Management), riconosciuto nel tempo come standard per la gestione dei rischi a cui si espone l’impresa6_. L’ERM viene proposto come modello che sviluppa le linee del CoSo Report e, pur non sostituendosi ad esso, di fatto tende a incorporarlo per realizzare un unico e più aggiornato standard di riferimento, focalizzando maggiormente l’attenzione sulla gestione del rischio7_.

La Banca d’Italia riprende nella sua definizione i caratteri fondamentali indicati nel CoSo Report: «Il sistema dei controlli interni è costituito dall’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare, nel rispetto della sana e prudente gestione, il conseguimento delle seguenti finalità:

- verifica dell’attuazione delle strategie e delle politiche aziendali;

- contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework - “RAF”);

- salvaguardia del valore delle attività e protezione dalle perdite; - efficacia ed efficienza dei processi aziendali;

- affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche;

- prevenzione del rischio che la banca sia coinvolta, anche involontariamente, in attività illecite (con particolare riferimento a

5_{A tal proposito, occorre precisare che questi obiettivi rappresentano un tratto comune, per quanto non}

esaustivo, di tutte le definizioni di sistema di controllo interno offerte dalla dottrina economico-aziendale e dalla prassi poiché si ricollegano alla concezione stessa dell’impresa, Coopers & Lybrand , 1997, pag.2.

6

Cfr Committee of Sponsoring Organizations of the Treadway Commission (2004), Enterprise Risk

Management – Integrated Framework: Executive Summary and Framework, disponibile in traduzione italiana

come Associazione Italiana Internal Auditors e PricewaterhouseCoopers, cura di (2006), La gestione del rischio

aziendale, Milano. 7

(8)

quelle connesse con il riciclaggio, l’usura ed il finanziamento al terrorismo);

- conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le politiche, i regolamenti e le procedure interne»8.

Il controllo Interno non è un evento isolato o una circostanza unica , bensì un processo trasversale che riguarda l’attività aziendale. Questo processo è pervasivo ed è connesso al modo in cui le attività sono gestite.

1.2 Gli obiettivi del sistema di controllo interno.

L’attuazione del piano strategico costituisce l’obiettivo principale del management, in quanto espressione del governo societario e compimento della

mission aziendale. Accanto agli obiettivi di lungo periodo vengono determinati

obiettivi correlati ed intermedi che riguardano tutta la struttura della banca9. Tali obiettivi sono complementari alla realizzazione del piano strategico e vengono classificate da Banca d’Italia nel seguente modo :

1. efficacia ed efficienza dei processi aziendali (obiettivi di performance); 2. affidabilità, completezza e tempestività delle informazioni contabili e

gestionali (obiettivi di informazione);

3. conformità alle leggi, ai regolamenti in vigore, nonché alle politiche e alle procedure interne (obiettivi di conformità).

Per quanto riguarda gli obiettivi di performance dei controlli interni, essi concernono l’efficacia e l’efficienza della banca nell’impiegare le attività proprie e altre risorse e nel proteggersi da perdite. Il processo di controllo interno mira ad assicurare che il personale operi in tutta l’organizzazione per il

8_{Cfr Banca d’Italia, Nuove disposizioni di vigilanza prudenziale per le banche, Circolare n. 263 del 27}

dicembre 2006, 15° aggiornamento del 2 luglio 2013, Titolo V, Capitolo 7, Sezione I, par. 6.

9

(9)

conseguimento dei propri obiettivi con efficienza e integrità, senza costi eccessivi o non previsti e senza anteporre altri interessi (ad esempio, di un dipendente, di un fornitore o di un cliente) a quelli della banca.

Mentre gli obiettivi di informazione si configurano nella preparazione di rapporti tempestivi, affidabili e di rilevanza per il processo decisionale all’interno dell’organizzazione bancaria. Quindi vengono predisposti documenti affidabili, quali: gli schemi di bilancio annuali, altri rendiconti contabili e finanziari e le relazioni ad uso degli azionisti, delle autorità di vigilanza e di altre parti esterne. Le informazioni che vengono fornite agli organi direttivi, agli azionisti e alle autorità di vigilanza devono essere in possesso delle caratteristiche di qualità e di integrità in modo tale da consentire ai destinatari di basarsi su di esse nel prendere le loro decisioni10.

E infine il terzo obiettivo assicura che tutte le operazioni bancarie e le decisioni prese ad ogni livello siano condotte nel rispetto delle leggi e regolamentazioni, dei requisiti prudenziali, nonché delle politiche adottate dalla direzione. Il conseguimento di questo obiettivo è fondamentale al fine di salvaguardare la capacità operativa e la reputazione della banca.

La banca è un sistema complesso costituito da un insieme di più unità organizzative che operano all’interno dell’unità aziendale con procedure e strutture di controllo diverse, pur se orientate al perseguimento dell’unico obiettivo di creazione di valore per l’impresa11

.

E' importante ricordare che gli obiettivi citati sono tra loro strettamente connessi, e devono essere compresi ad ogni livello come un tutto unitario.

10_{Cfr. Comitato di Basilea, Schema per i sistemi di controllo interno nelle organizzazioni bancarie, Basilea,}

settembre 1998.

11

(10)

1.3 I principali elementi di un processo di controllo interno

È ormai riconosciuto che un efficace processo di controllo interno è d’importanza cruciale ai fini della capacità di una banca di realizzare i suoi obiettivi e di preservare la sua integrità finanziaria12.

Gli stessi obiettivi aziendali devono essere messi in relazione con le componenti che costituiscono il sistema di controllo interno, poiché queste ultime, strettamente correlate tra di loro, sono inerenti alle modalità attraverso le quali il management governa l’azienda e fungono da validi criteri di valutazione dell’efficacia dello stesso sistema di controllo interno, sia nelle grandi, che nelle piccole e medie imprese.

Il sistema di controllo interno è costituito da cinque elementi interconnessi:

1. L’ambiente di controllo (control environment); 2. Valutazione dei Rischi (risk assessment); 3. Attività di controllo (control activities);

4. Informazione e Comunicazione (information e comunication); 5. Monitoraggio (monitoring).

Le gravi perdite registrate di recente da alcune banche possono essere ricollegate a questi cinque elementi. L’efficace funzionamento di tali elementi, pertanto è essenziale per la realizzazione degli obiettivi sopra citati: di performance, di informazione e di conformità di una banca. Esiste un rapporto diretto tra gli obiettivi, ossia ciò che l’azienda persegue, e le componenti, ovvero ciò che occorre per realizzarli come viene riportato nel seguente grafico:

12

(11)

Grafico 1: relazione tra obiettivi e componenti del controllo interno

(Fonte: www.coso.org)

Si tratta di una matrice a tre dimensioni formata dalle tre categorie di obiettivi, che sono rappresentate nelle colonne, dalla cinque componenti del controllo, che si trovano nelle righe e dalle business units e dalle singole attività operative che sono rappresentate dalla terza dimensione.

Ogni componente copre e attraversa le tre categorie di obiettivi e allo stesso tempo ogni obiettivo si interseca con ogni elemento. Inoltre, si può notare come il sistema di controllo sia rilevante per l’impresa nella sua interezza, ma ci si può focalizzare anche su una singola parte: ciò è rappresentato dalla terza dimensione, formata dalle singole attività, procedure e unità di business.

Per quanto riguarda le singole componenti abbiamo:

 l’ambiente di controllo: è un elemento fondamentale della cultura di

un’organizzazione, poiché determina il livello di sensibilità del personale alla necessità di controllo. Esso rappresenta la base su cui si fondano tutte le restanti componenti del sistema di controllo interno e fornisce disciplina e organizzazione. Diversi sono i fattori che influenzano l’ambiente di

Monitoraggio

Informazioni e comunicazione Attività di controllo Valutazione del rischio

Ambiente di controllo

U

ni

tàA

Attiv_Opitàera

tive (Ope ration s) Inform ativa finan ziaria (Rep orting ) Confo rmità a leg gi e regol a menti (Com plian ce) U ni tàB Atti vi tà 1 Atti vi tà 2

Categorie di obiettivi del s is tema di controllo C om po ne nt idel si st em a di c on tro llo Ambit o di a pplic azion e delsis tema d i con trollo Monitoraggio

Sistema informativo e flussi di comunicazione

Attività di controllo Valutazione del rischio

U

ni

tàA

Attiv_Opitàera

tive (Ope ration s) Inform ativa finan ziaria (Rep orting ) Confo rmità a leg gi e regol a menti (Com plian ce) Confo rmità a leg gi e regol a menti (Com plian ce) U ni tàB Atti vi tà 1 Atti vi tà 2

Categorie di obiettivi del s is tema di controllo C om po ne nt idel si st em a di c on tro llo Ambit o di a pplic azion e delsis tema d i con trollo Monitoraggio Informazioni e comunicazione Attività di controllo Valutazione del rischio

U

ni

tàA

Attiv_Opitàera

Categorie di obiettivi del s is tema di controllo C om po ne nt idel si st em a di c on tro llo Ambit o di a pplic azion e delsis tema d i con trollo Monitoraggio

Sistema informativo e flussi di comunicazione

Attività di controllo Valutazione del rischio

U

ni

tàA

Attiv_Opitàera

Categorie di obiettivi del s is tema di controllo C om po ne nt idel si st em a di c on tro llo Ambit o di a pplic azion e delsis tema d i con trollo

(12)

controllo quali: l’integrità, i valori etici e la competenza del personale, la filosofia e lo stile gestionale del management, le modalità di delega delle responsabilità, di organizzazione e di sviluppo professionale, l’impegno e la capacità di indirizzo e di guida del Consiglio di amministrazione.

 La valutazione dei rischi: questo elemento si identifica con la capacità da parte del management di identificare e valutare gli eventuali fattori interni ed esterni che possono influire negativamente sul conseguimento degli obiettivi di performance, di informazione e di conformità di un’organizzazione bancaria. Tale processo deve estendersi a tutti i rischi assunti dalla banca e operare a tutti i livelli dell’istituzione13_{. Esso} rappresenta inoltre la fase preliminare che consente, successivamente, di determinare come i rischi devono essere gestiti, alla luce delle caratteristiche peculiari dell’impresa. Si parla di Risk Management, ossia processo di gestione del rischio che si compone, come si evince dalla normativa di vigilanza, di varie fasi quali: la mappatura dei rischi o individuazione degli eventi a rischio, la misurazione quantitativa dei rischi e/o la valutazione qualitativa, l’assunzione dei rischi, la mitigazione e il monitoraggio continuo del rischio stesso.

 L’attività di controllo: possiamo definirla come l’insieme delle politiche e

delle procedure che garantiscono al management che le sue direttive siano attuate. Le attività di controllo devono essere integrate con la gestione dei rischi: il management deve identificare i possibili eventi dannosi che possono compromettere il raggiungimento degli obiettivi e porre di conseguenza delle procedure e delle azioni che possano mitigarli o eliminarli14. Secondo il Comitato di Basilea «le attività di controllo devono

13

Comitato di Basilea, 1998, op. cit., Principio, n. 4.

14_{La definizione degli obiettivi aziendali costituisce un elemento essenziale del sistema di governo dell’impresa.}

Tuttavia tale funzione costituisce un momento essenziale anche della definizione del modello di controllo, in quanto questa deriva dalla fissazione degli obiettivi aziendali, e dalla definizione delle attività di controllo sugli stessi. Quindi il sistema di controllo interno costituisce lo strumento indispensabile di governo dell’impresa, dal

(13)

essere parte integrante dell’operatività quotidiana di una banca. Un efficace sistema di controllo interno richiede che sia istituita una struttura appropriata, in cui le attività di controllo sono definite ad ogni livello dell’azienda. Queste dovrebbero prevedere: verifiche ai massimi livelli; adeguati controlli sull’operatività dei vari dipartimenti o divisioni; controlli fisici; verifica dell’osservanza dei limiti all’esposizione e azioni correttive in caso di mancata osservanza; un sistema di approvazioni e autorizzazioni; un sistema di verifiche e riscontri»15. Lʼosservazione del momento in cui si attiva il controllo consente di distinguere tra i controlli preventivi attuati mediante meccanismo di autorizzazione generale o specifica16 e i controlli successivi che verificano ed approvano ex post le operazioni svolte, consentendo lʼidentificazione di eventuali interventi correttivi. Data la diffusione dei controlli generali, si riconosce una categoria intermedia di controlli spesso denominata come controlli concomitanti. In funzione delle modalità di controllo invece si distingue tra controlli manuali, come ad esempio le verifiche di cassa, e controlli automatici, cioè svolti dal sistema informatico.

 L’informazione e la comunicazione: si tratta di informazioni pertinenti allo

svolgimento dell’attività e del controllo, che devono essere identificate, raccolte e diffuse nei modi e nei tempi appropriati, per consentire alle persone di assolvere alle proprie responsabilità. Si fa riferimento alla necessità di disporre di comunicazioni efficaci che devono permeare l’intera struttura organizzativa e si sviluppano in senso verticale quando sono scambiati fra diversi livelli gerarchici oppure in senso orizzontale quando sono interfunzionali e scambiati fra unità o dipartimenti. Per tale motivo, il management deve trasmettere al personale l’importanza delle responsabilità

momento che permette al management di disporre degli strumenti, delle regole, delle procedure, necessari a monitorare l’andamento della gestione con riferimento agli obiettivi aziendali, garantendo un presidio del complesso delle attività aziendali.

15_{Comitato di Basilea(1998), op. cit., Principio, n. 5.}

16_{Per autorizzazione generale si fa riferimento alle operazioni ricorrenti della medesima specie (listini prezzo),}

(14)

di ciascuno in materia di controllo. A sua volta, il personale deve «comprendere il ruolo che gli è stato assegnato nel sistema di controllo interno, come anche i legami che esistono tra le proprie attività e quelle svolte da altri»17. La qualità delle informazioni prodotta dai sistemi condiziona la capacità decisionale del management nel gestire e controllare le attività aziendali. L’informazione viene considerata utile quando presenta i caratteri della significatività, tempestività, affidabilità ed accessibilità18. La circolazione delle informazioni necessita di un efficace sistema di comunicazione interna. I flussi informativi devono essere forniti con modalità uniformi, secondo protocolli predefiniti.

 Il monitoraggio: l’ultima componente del sistema dei controlli prevede l’attività di monitoraggio, la quale si concretizza in un’attività di supervisione continua, in valutazioni periodiche, ovvero in una combinazione dei due metodi, diretta a valutare, nel tempo, la qualità delle performance del sistema. L’efficacia complessiva del sistema deve essere verificata in modo continuativo, tenendo conto delle mutevoli condizioni interne ed esterne, oltre che della crescente complessità dell’attività bancaria. Questo processo implica la valutazione critica, da parte di persone appropriate, del modo in cui i controlli sono concepiti, dei tempi di esecuzione e dei modi in cui sono presi i provvedimenti necessari. Il monitoraggio può essere condotto o mediante processi di valutazione continua oppure mediante processi di valutazione separata. Il monitoraggio continuativo può avere il vantaggio di rilevare e correggere eventuali carenze del controllo interno, mentre le valutazioni separate solitamente individuano i problemi soltanto a fatto compiuto.

17_{Coopers & Lybrand (1997), pag. 83.} 18

(15)

1.4 Gli attori del sistema di controllo interno

Un sistema di governo efficace, una solida organizzazione e un’adeguata dotazione patrimoniale sono i capisaldi della sana e prudente gestione, nonché le condizioni indispensabili per il conseguimento degli obiettivi della banca. Una buona governance si esprime in un robusto sistema dei controlli interni, anche perché una parte di significativi controlli risiede proprio nelle funzioni istituzionali degli organi societari19. Banca d’Italia, con l’obiettivo di rafforzare gli standard minimi di organizzazione e della corporate governance20, ha emanato le Disposizioni di vigilanza per le banche21, conferendo particolare risalto alla distinzione dei ruoli e delle responsabilità fra organi aziendali, al bilanciamento dei poteri, all’efficacia dei controlli, al presidio integrato dei rischi aziendali, all’adeguatezza dei flussi informativi orizzontali e verticali, indipendentemente dalla scelta del modello di amministrazione prescelto, se di tipo tradizionale, dualistico o monistico22.

Le norme rimettono in generale all’autonomia degli intermediari il compito di individuare gli assetti di governo più rispondenti alle caratteristiche dimensionali, strutturali e operative, secondo il criterio guida della proporzionalità.

Naturalmente, le maggiori responsabilità nell’implementazione di un’efficace ed efficiente struttura di sistemi di controlli interni spetta agli organi

19_{E. Dellarosa e R. Razzante, op. cit., pag. 296.} 20

La corporate governance è definita come l’insieme delle regole in base alle quali nell’impresa si determinano le strategie, si governano le relazioni fra vertici e portatori di interessi, si controllano performance ed operatività, tratto da A.M. Tarantola (2008), Il sistema dei controlli nella governance bancaria, in www.bancaditalia.it.

21_{Il 6 maggio 2014, all’esito di un procedimento di consultazione pubblica, la Banca d’Italia ha adottato un}

provvedimento contenente le nuove disposizioni di vigilanza in materia di organizzazione e governo societario delle banche che recepisce le novità introdotte dalla Direttiva 2013/36/UE (c.d. CRD IV) e dalle Linee Guida emanate dall’EBA nel 2011 in tema di Internal Governance. Le medesime sono state recepite nella Circolare della Banca d’Italia n. 285/2013 recante “Disposizioni di vigilanza per le banche”.

22_{La scelta dell’uno ovvero dell’altro modello, pur modificando la responsabilità in capo a ciascun organo, non}

determina alcun cambiamento nella logica di funzionamento complessiva del sistema dei controlli interni. Le banche esercitano la propria facoltà di scelta tra i tre sistemi di amministrazione e controllo sulla base di

un’approfondita autovalutazione, che consenta di individuare il modello in concreto più idoneo ad assicurare l’efficienza della gestione e l’efficacia dei controlli, avendo presenti anche i costi connessi con l’adozione e il funzionamento del sistema prescelto. Le banche tengono conto, in particolare, dei seguenti elementi: la struttura proprietaria e il relativo grado di apertura al mercato del capitale di rischio, le dimensioni e la complessità operativa, gli obiettivi strategici di medio e lungo periodo e la struttura organizzativa del gruppo in cui è eventualmente inserita.

(16)

amministrativi della banca, quali Consiglio di Amministrazione (CdA) e Alta Direzione, per il ruolo fondamentale che viene loro attribuito dalle Autorità di vigilanza; altri organi interessati sono il Collegio sindacale e l’Organismo di Vigilanza, più in generale, tutto il personale della banca, costituendo esso parte integrante dell’attività della medesima23_.

Con riferimento alle tipologie di controllo e alla conseguente strutturazione organizzativa delle funzioni aziendali ad essi dedicate, la normativa di vigilanza classifica i controlli nelle seguenti tipologie:

a) controlli di linea o di 1° livello, effettuati dalle stesse strutture produttive, incorporati nelle procedure o eseguiti nell’ambito delle attività di back-office, che sono diretti ad assicurare il corretto svolgimento delle operazioni;

b) controlli sulla gestione dei rischi e sulla conformità o di 2° livello, affidati a strutture diverse da quelle produttive, che hanno l’obiettivo di concorrere alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi, di verificare il rispetto dei limiti assegnati alle funzioni operative e la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione.

c) revisione interna o controlli di 3° livello, volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all’intensità dei rischi.

Nel proseguo si descrivono compiti e responsabilità per ciascuna delle figure aziendali più importanti per il sistema di controllo interno, tenuto conto delle novità introdotte dal 15° aggiornamento della circolare n. 263 del 27 dicembre

23

(17)

200624 al fine di dotare le banche di un sistema dei controlli interni completo, adeguato, funzionale e affidabile.

1.4.1 Ruolo del Consiglio di Amministrazione.

Il Consiglio di Amministrazione è responsabile delle strategie e delle politiche aziendali e deve essere pertanto consapevole dei rischi che la banca corre in relazione a tali scelte. Sul Consiglio grava la responsabilità di individuare i livelli di rischio accettabili e di garantire che l’esecutivo effettui un costante monitoraggio di tali rischi attraverso un adeguato sistema di controlli interni. In particolare, esso deve assicurare l’efficace gestione dei rischi mediante la definizione di adeguate procedure e regole e vigilare sull’osservanza di queste da parte degli organi della banca.

Nelle Nuove disposizioni di vigilanza prudenziale è esplicitamente previsto che: «il Consiglio di Amministrazione approvi:

 il modello di business avendo consapevolezza dei rischi cui tale modello espone la banca e comprensione delle modalità attraverso le quali i rischi sono rilevati e valutati;

 gli indirizzi strategici e provveda al loro riesame periodico, in relazione all’evoluzione dell’attività aziendale e del contesto esterno, al fine di assicurarne l’efficacia nel tempo;

 gli obiettivi di rischio, la soglia di tolleranza (ove identificata) e le politiche di governo dei rischi;

 le linee di indirizzo del sistema dei controlli interni, verificando che esso sia coerente con gli indirizzi strategici e la propensione

24_{La disciplina in esame non fa riferimento a organi aziendali nominativamente individuati, in quanto variabili}

in relazione al modello di corporate governance o di amministrazione e controllo prescelto, ma richiama le funzioni di supervisione strategica, di gestione e di controllo che devono essere ripartite tra gli organi aziendali o all’interno di essi.

Pertanto, per una maggiore comprensione dell’articolazione di un sistema di controlli interni si propone quello tipico di una banca con governance tradizionale, con ripartizione delle competenze tra Consiglio di Amministrazione, Alta Direzione e Collegio Sindacale.

(18)

al rischio stabiliti nonché sia in grado di cogliere l’evoluzione dei rischi aziendali e l’interazione tra gli stessi;

 i criteri per individuare le operazioni di maggiore rilievo da sottoporre al vaglio preventivo della funzione di controllo dei rischi;

 la costituzione delle funzioni aziendali di controllo, i relativi compiti e responsabilità, le modalità di coordinamento e collaborazione, i flussi informativi tra tali funzioni e tra queste e gli organi aziendali;

 il processo di gestione del rischio e ne valuta la compatibilità con gli indirizzi strategici e le politiche di governo dei rischi;

 le politiche e i processi di valutazione delle attività aziendali, e, in particolare, degli strumenti finanziari, verificandone la costante adeguatezza; stabilisce altresì i limiti massimi all’esposizione della banca verso strumenti o prodotti finanziari di incerta o difficile valutazione;

 il processo per lo sviluppo e la convalida dei sistemi interni di misurazione dei rischi non utilizzati a fini regolamentari e ne valuta periodicamente il corretto funzionamento;

 il processo per l’approvazione di nuovi prodotti e servizi, l’avvio di nuove attività, l’inserimento in nuovi mercati;

 la politica aziendale in materia di esternalizzazione di funzioni aziendali;

 al fine di attenuare i rischi operativi e di reputazione della banca e favorire la diffusione di una cultura dei controlli interni, un codice etico cui sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti. Il codice definisce i principi di condotta (ad es., regole deontologiche e regole da osservare nei rapporti con i clienti) a cui deve essere improntata l’attività aziendale;

(19)

e assicuri che:

a) la struttura della banca sia coerente con l’attività svolta e con il modello di business adottato, evitando la creazione di strutture complesse non giustificate da finalità operative;

b) l’attuazione del RAF25 sia coerente con gli obiettivi di rischio e la soglia di tolleranza (ove identificata) già approvati; valuta periodicamente l’adeguatezza e l’efficacia del RAF e la compatibilità tra il rischio effettivo e gli obiettivi di rischio;

c) il piano strategico, il RAF, l’ICAAP26, i budget e il sistema dei controlli interni siano coerenti, avuta anche presente l’evoluzione delle condizioni interne ed esterne in cui opera la banca;

d) la quantità e l’allocazione del capitale e della liquidità detenuti siano coerenti con la propensione al rischio, le politiche di governo dei rischi e il processo di gestione dei rischi»27;

Inoltre il Consiglio di Amministrazione:

- con riferimento al processo ICAAP, definisce e approva le linee generali del processo, ne assicura la coerenza con il RAF e l’adeguamento tempestivo in relazione a modifiche significative delle linee strategiche, dell’assetto organizzativo, del contesto operativo di riferimento; promuove il pieno utilizzo delle risultanze dell’ICAAP a fini strategici e nelle decisioni d’impresa;

25_{Il Risk Appetite Framework (RAF) è il quadro di riferimento che definisce la propensione al rischio, le soglie}

di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli, in coerenza con il massimo rischio assumibile, il modello di business e il piano strategico.

26_{L’ICAAP (Internal Capital Adequacy Assessment Process) è il processo interno di autonoma valutazione}

dell’adeguatezza della propria dotazione patrimoniale, attuale e prospettica, a supportare l’attività corrente in relazione ai rischi cui la banca è effettivamente o potenzialmente esposta e alle strategie aziendali.

(20)

- riguardo ai rischi di credito e di controparte, approva le linee generali del sistema di gestione delle tecniche di attenuazione del rischio che presiede all’intero processo di acquisizione, valutazione, controllo e realizzo degli strumenti di attenuazione del rischio utilizzati.

Nel caso di banche che adottano sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, il Consiglio di Amministrazione svolge anche i seguenti compiti:

 approva l’adozione dei suddetti sistemi. In particolare, approva la scelta del sistema ritenuto idoneo e il relativo progetto in cui sono pianificate le attività connesse con la sua predisposizione e messa in opera, individuate le responsabilità, definiti i tempi di realizzazione, determinati gli investimenti previsti in termini di risorse umane, finanziarie e tecnologiche;

 verifica periodicamente che le scelte effettuate mantengano nel tempo la loro validità, approvando i cambiamenti sostanziali al sistema e provvedendo alla complessiva supervisione sul corretto funzionamento dello stesso;

 vigila, con il supporto delle competenti funzioni, sull’effettivo utilizzo dei sistemi interni a fini gestionali (use test) e sulla loro rispondenza agli altri requisiti previsti dalla normativa;

 con cadenza almeno annuale, esamina i riferimenti forniti dalla funzione di convalida e assume, col parere dell’organo con funzione di controllo, formale delibera con la quale attesta il rispetto dei requisiti previsti per l’utilizzo dei sistemi.

(21)

1.4.2 Ruolo dell’Alta Direzione

Per “Alta Direzione” si intende, nella prassi, il più alto livello di potere sostanziale nell’azienda, esercitato dagli amministratori esecutivi, dagli amministratori delegati e dai direttori generali.

All’Alta Direzione compete l’esecuzione delle direttive emanate dal Consiglio di Amministrazione, tra cui l’applicazione di strategie e politiche e l’istituzione di un efficace sistema di controllo interno. Quindi, l’Alta Direzione deve garantire una buona architettura ed il corretto funzionamento da un lato del sistema organizzativo e dall’altro lato del sistema dei controlli interni.

Sintetizzando le previsioni di Banca d’Italia, «l’Alta Direzione:

- assicura un'efficace gestione dell'operatività e dei connessi rischi, definendo politiche e procedure di controllo appropriate;

- definisce e cura l’attuazione del processo (responsabili, procedure, condizioni) per approvare gli investimenti in nuovi prodotti, la distribuzione di nuovi prodotti o servizi ovvero l’avvio di nuove attività o l’ingresso in nuovi mercati;

- verifica nel continuo, anche alla luce dei cambiamenti delle condizioni interne ed esterne in cui opera la banca, la funzionalità, l'efficienza e l'efficacia complessiva del sistema dei controlli interni, provvedendo altresì al suo adeguamento per gestire rischi nuovi ovvero migliorare il controllo di quelli già noti;

- definisce e cura l’attuazione della politica aziendale in materia di esternalizzazione di funzioni aziendali;

- definisce e cura l’attuazione dei processi e delle metodologie di valutazione delle attività aziendali, e, in

(22)

particolare, degli strumenti finanziari; ne cura il loro costante aggiornamento;

- definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio e la verifica del rispetto del RAF;

- nell’ambito del RAF, se è stata definita la soglia di tolleranza, autorizza il superamento della propensione al rischio entro il limite rappresentato dalla soglia di tolleranza e provvede a darne pronta informativa all’organo con funzione di supervisione strategica, individuando le azioni gestionali necessarie per ricondurre il rischio assunto entro l’obiettivo prestabilito;

- pone in essere le iniziative e gli interventi necessari per garantire nel continuo la completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema dei controlli interni e porta i risultati delle verifiche effettuate a conoscenza dell’organo con funzione di supervisione strategica;

- predispone e attua i necessari interventi correttivi o di adeguamento nel caso emergano carenze o anomalie, o a seguito dell’introduzione di nuovi prodotti, attività, servizi o processi rilevanti;

- assicura la coerenza del processo di gestione dei rischi con la propensione al rischio e le politiche di governo dei rischi, avuta anche presente l’evoluzione delle condizioni interne ed esterne in cui opera la banca;

- assicura una corretta, tempestiva e sicura gestione delle informazioni a fini contabili, gestionali e di reporting»28.

(23)

Inoltre, l’organo con funzioni di gestione con riguardo a taluni profili specifici, svolge i seguenti compiti:

 con riferimento al processo ICAAP, dà attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e al RAF e che soddisfi i seguenti requisiti: consideri tutti i rischi rilevanti; incorpori valutazioni prospettiche; utilizzi appropriate metodologie; sia conosciuto e condiviso dalle strutture interne; sia adeguatamente formalizzato e documentato; individui i ruoli e le responsabilità assegnate alle funzioni e alle strutture aziendali; sia affidato a risorse competenti, sufficienti sotto il profilo quantitativo, collocate in posizione gerarchica adeguata a far rispettare la pianificazione; sia parte integrante dell’attività gestionale;

 con specifico riferimento ai rischi di credito e di controparte, in linea con gli indirizzi strategici, approva specifiche linee guida volte ad assicurare l’efficacia del sistema di gestione delle tecniche di attenuazione del rischio e a garantire il rispetto dei requisiti generali e specifici di tali tecniche.

L’Alta Direzione, nel caso di banche che adottano sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, svolge anche i seguenti compiti:

o è responsabile dell’impianto e del funzionamento del sistema prescelto; per svolgere tale compito i componenti dell’organo possiedono un’adeguata conoscenza degli aspetti rilevanti;

o impartisce le disposizioni necessarie affinché il sistema prescelto sia realizzato secondo le linee strategiche individuate, assegnando compiti e responsabilità alle diverse funzioni aziendali e assicurando la formalizzazione e la documentazione delle fasi del processo di gestione del rischio;

(24)

o cura che i sistemi di misurazione dei rischi siano integrati nei processi decisionali e nella gestione dell’operatività aziendale (use test);

o tiene conto, nello svolgimento dei compiti assegnati, delle osservazioni emerse a seguito del processo di convalida e delle verifiche condotte dalla revisione interna.

La nuova normativa in materia di sistema dei controlli interni attribuisce al Consiglio di Amministrazione e all’Alta Direzione un’ulteriore responsabilità, ovvero essi hanno il compito di promuovere la cultura del controllo ed il senso della prevenzione del rischio. La presenza di una solida cultura dei controlli interni non garantisce di per sé che un’organizzazione consegua i propri obiettivi, ma la mancanza di una simile cultura aumenta il rischio che gli errori non vengano individuati o che siano compiute irregolarità.

La disciplina quindi sottolinea la necessità di un pieno coinvolgimento dell’Alta Direzione nella definizione del sistema dei controlli e nella verifica nel continuo

della sua integrità, efficacia ed efficienza

.

1.4.3 Ruolo del Collegio Sindacale

Il Collegio Sindacale è l’organo di controllo la cui azione è volta alla verifica della completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni e del RAF. Prima di procedere con l’analisi del Collegio Sindacale occorre distinguere tra società quotate e non quotate.

Per quanto riguarda le società non quotate, la normativa di riferimento è rappresentata dall’art 2403 del Codice Civile, secondo cui:

«Il Collegio Sindacale vigila sull'osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione ed in particolare sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dalla società sul suo concreto funzionamento».

(25)

Secondo quanto disposto dall’art 2409Bis, terzo comma, lo statuto può attribuire al Collegio Sindacale funzioni di controllo contabile in caso di società non quotate e non tenute alla redazione del bilancio consolidato. In tal caso il Collegio Sindacale è costituito da revisori contabili iscritti nel registro istituito presso il Ministero della Giustizia.

Per le società quotate invece la fonte normativa di riferimento è rappresentata dagli art. 148 e successivi del Testo Unico della Finanza29, il quale assegna al Collegio Sindacale specifici obblighi di vigilanza:

o sull’osservanza delle norme di legge, regolamentari e statutarie; o sulla corretta amministrazione contabile;

o sull’adeguatezza degli assetti organizzativi e della banca; o sull’adeguatezza degli assetti contabili della banca; o sulla funzionalità del sistema dei controlli interni;

o sull’adeguatezza del sistema di gestione del rischio attraverso un’efficace e incisiva interazione con tutte le strutture e le funzioni in cui si articola il sistema dei controlli (internal audit, risk management, compliance); o sull’adeguatezza delle disposizioni impartite dalla società alle

controllate;

Inoltre, le Istruzioni di Vigilanza richiedono espressamente, per i soggetti destinatari delle stesse, che il Collegio Sindacale ponga in essere operazioni di controllo volte:

o ad accertare la separatezza tra le funzioni operative e quelle di controllo, nonché in materia di gestione di possibili situazioni di conflitto di interessi nell'assegnazione delle competenze;

29

Il Testo unico delle disposizioni in materia di intermediazione finanziaria, noto più semplicemente come Testo unico della finanza (abbreviato TUF) è la principale fonte normativa italiana in materia di finanza, emanato con il decreto legislativo 24 febbraio 1998 n. 58, che ha sostituito la previgente normativa in materia. Esso è entrato in vigore il 1º luglio 1998.

(26)

o a verificare l’adeguatezza e la rispondenza del processo di determinazione del capitale interno (ICAAP) ai requisiti stabiliti dalla normativa. Nell’eventualità che siano riscontrate irregolarità gestionali, carenze organizzative e violazioni normative, l’organo di controllo deve informare la Banca d’Italia e richiedere l’adozione di idonee misure correttive verificandone nel tempo l’efficacia.

o ad individuare i compiti e le responsabilità, in particolare in tema di rilevazione e correzione delle irregolarità riscontrate, dei soggetti preposti all’attività di controllo di gestione;

o a verificare le procedure di reporting e gli interventi conseguenti all’eventuale riscontro di anomalie.

Per lo svolgimento delle proprie funzioni il Collegio Sindacale si avvale di tutte le unità delle strutture organizzative che assolvono funzioni di controllo, prima fra tutte l'Internal Audit30. Infatti, dalle Istruzioni di Vigilanza si evince che: «Il collegio sindacale mantiene il collegamento con l’internal audit e le altre strutture che svolgono funzioni di controllo interno al fine di elevare il grado di conoscenza sulla regolarità della gestione aziendale. L'informativa sulle risultanze degli accertamenti effettuati dall'ispettorato e quella sui resoconti periodici resi dall'esecutivo al competente organo amministrativo arricchisce gli strumenti utili affinché l'azione del Collegio Sindacale possa esplicarsi in modo continuo ed efficace».

L’art 52 del T.U.31

prevede delle forme di stretto raccordo funzionale tra il controllo esercitato dalla Banca d’Italia e l’attività del Collegio Sindacale, nel

30

L’organo di Internal Audit svolge funzioni di tipo direzionale, in modo indipendente dalle altre funzioni aziendali, le quali si esplicano mediante accertamento della regolarità delle operazioni, esame dell’affidabilità e della funzionalità delle procedure, verifica e valutazione dell’efficienza e dell’efficacia del sistema di controlli interni. Obiettivo specifico dell’Internal Audit è assistere l’Alta Direzione nell’adempimento delle sue funzioni fornendo alla stessa analisi, valutazioni e informazioni sulle attività esaminate.

31

Il Testo unico delle leggi in materia bancaria e creditizia (in acronimo TUB) identifica il d.lgs 1º settembre 1993 n. 385, che è un testo legislativo organico, in vigore dal 1º gennaio 1994. Esso ha sostituito tutta la legislazione bancaria italiana (regio decreto legge 6 novembre 1926 n. 1830, regio decreto-legge 12 marzo 1936 n. 375 e successivi provvedimenti legislativi) e ha disciplinato l'attività delle banche, intesa come "tutto ciò che ha a che fare con l'attività bancaria", del credito e della vigilanza su di esse.

(27)

senso che per i sindaci corre l’obbligo di informare senza indugio la Banca d'Italia di tutti gli atti o fatti, di cui venga a conoscenza nell'esercizio dei propri compiti, che possano costituire una irregolarità nella gestione delle banche. La motivazione di tali sinergie tra gli organi suddetti trova giustificazione nella opportunità di massimizzazione dei flussi informativi tra organi di controllo esterni ed interni, in considerazione delle particolari possibilità di monitoraggio consentite a questi ultimi per la posizione rivestita presso la banca32.

Il Collegio Sindacale collabora anche con le altre strutture che operano sul controllo interno, quali l’Alta Direzione, il Comitato per il Controllo Interno e la Società di Revisione.

Per quanto riguarda la Società di Revisione, essa ha il compito di verificare e accertare la regolare tenuta della contabilità, della corrispondenza tra bilancio e scritture contabili e dell’osservanza delle norme relative ai criteri di valutazione. Tale attività, pertanto, non rientra nell’ambito di competenza del Collegio Sindacale (a differenza di quanto avviene per le società non quotate in cui tali controlli – non essendo previsto l’obbligo della certificazione del bilancio – spettano al Collegio), lasciando a carico dello stesso un controllo più generale individuato, come già visto, sul rispetto della legge e dei principi di corretta amministrazione.

Nell’ambito del Controllo Interno, la Società di Revisione valuta le attività che presidiano gli obiettivi di attendibilità del sistema informativo aziendale e di monitoraggio dei rischi, informando l’Organo di Vigilanza (la CONSOB) e il Collegio Sindacale di atti o fatti rilevanti, che possono costituire una grave violazione delle norme sull’attività bancaria, o che possono pregiudicare la continuità delle imprese o comportare un giudizio negativo sul bilancio d’esercizio e sul bilancio consolidato.

La valutazione del Sistema dei Controlli Interni rappresenta un obiettivo comune, ciascuno per le proprie finalità, degli organi preposti all’attività di

(28)

controllo: il Collegio Sindacale, la Società di Revisione e la Funzione di Internal Auditing. Da ciò si evince la necessità che ci sia, fra questi organi, un efficace coordinamento al fine di evitare una sovrapposizione dei compiti attribuiti a ciascuno di essi. Infatti, questa esigenza di coordinamento è stata sottolineata dal TUF, il quale ha previsto che:

 il collegio sindacale e la società di revisione si scambino i dati e le informazioni rilevanti per l'espletamento dei rispettivi compiti;

 coloro che sono preposti al controllo interno riferiscano anche al collegio sindacale di propria iniziativa o su richiesta anche di uno solo dei sindaci.

1.4.4 Ruolo del Comitato per il Controllo Interno

Il Codice Preda33, al fine di evitare conflitti di interesse, derivanti dalla possibilità che uno stesso organo possa esercitare contestualmente funzioni di amministrazione e controllo e funzioni di supervisione strategica raccomanda, per le società quotate, la costituzione del Comitato per il controllo interno. Si tratta di un organo costituito all’interno del Consiglio di Amministrazione che si compone, tra gli altri, di amministratori non esecutivi, in maggioranza indipendenti, alle cui riunioni partecipano, come prevede il Codice, il Presidente del Collegio Sindacale o altro Sindaco designato dal Presidente del Collegio.

Il comitato per il controllo interno, oltre ad assistere il consiglio di amministrazione nell’espletamento di altri compiti:

a) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari ed ai revisori, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato;

33

(29)

b) su richiesta dell’amministratore esecutivo all’uopo incaricato esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali nonché alla progettazione, realizzazione e gestione del sistema di controllo interno;

c) esamina il piano di lavoro preparato dai preposti al controllo interno nonché le relazioni periodiche da essi predisposte;

d) valuta le proposte formulate dalle società di revisione per ottenere l’affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella eventuale lettera di suggerimenti;

e) vigila sull’efficacia del processo di revisione contabile;

f) svolge gli ulteriori compiti che gli vengono attribuiti dal consiglio di amministrazione;

g) riferisce al consiglio, almeno semestralmente, in occasione

dell’approvazione del bilancio e della relazione semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno.

Il ruolo di tale Comitato rimane distinto rispetto a quello attribuito dal TUF al Collegio Sindacale, che si caratterizza invece per una funzione di verifica prevalentemente ex post. Al di là della diversa funzione ricoperta, il comitato per il controllo interno svolge attività il cui ambito oggettivo è in parte coincidente con le aree sottoposte alla vigilanza del collegio sindacale.

In particolare la verifica dell’adeguatezza del Sistema di Controllo Interno dovrebbe rappresentare, come ricordato in precedenza, un compito esclusivo del Collegio Sindacale.

Anche l’attività di valutazione delle proposte formulate dalla Società di Revisione risulta una duplicazione, essendo già svolta dall’Assemblea dei Soci, previo parere del Collegio Sindacale.

(30)

Occorre precisare che il Codice Preda è una fonte regolamentare, incapace quindi, di modificare il Testo Unico, al quale risulta gerarchicamente subordinata.

1.4.5 Ruolo dell’Organismo di Vigilanza ex D. Lgs. n. 231/2001

L'assetto generale dei controlli interni è completato da un organismo la cui istituzione ed il cui funzionamento è stato disciplinato dal D. Lgs. 231/2001 emanato in data 8 giugno ed entrato in vigore il 4 luglio successivo.

Il decreto recante “La disciplina delle responsabilità amministrative delle

persone giuridiche, delle società e delle associazioni anche prive di personalità giuridiche", ha individuato un insieme di illeciti, che, se commessi

nell’interesse o a vantaggio dell’ente stesso da persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell’ente, o persone dirette o vigilate da queste, nonché da persone che esercitano la gestione e il controllo dell’ente, comportano una responsabilità a proprio titolo dell’ente .

L'art 6 del decreto in esame prevede che tale responsabilità è esclusa al ricorrere di alcune condizioni, quali:

1) l'adozione di modelli di organizzazione e gestione idonei alla prevenzione degli illeciti,

2) l’affidamento della vigilanza sul funzionamento e sull’osservanza del modello organizzativo, all’Organismo di Vigilanza, un ente esterno dotato di autonomi poteri di iniziativa e di controllo su tutte le attività della banca;

3) l'illecito venga commesso eludendo fraudolentemente i modelli di organizzazione e gestione;

(31)

L'affidamento di detti compiti ad un Organismo di Vigilanza mira ad incentivare forme di governance e, in particolare, del sistema di controllo interno delle imprese, affinché tale sistema sia idoneo a contrastare sul nascere fatti illeciti. Pertanto, sebbene la sua istituzione possa essere considerata facoltà per l'ente, la sua presenza ed il suo corretto funzionamento costituisce in realtà un presidio fondamentale per la prevenzione di illeciti nonché uno dei presupposti per evitare l'automatica chiamata in corresponsabilità.

Per quanto riguarda l’interazione fra l’Organismo di Vigilanza e l’organo con funzione di controllo, il nuovo comma 4bis dell’art. 6 del D. Lgs. n. 231/2001, introdotto dall’art. 14 della Legge 183/2011, dispone che nelle società di capitali il Collegio Sindacale, il Consiglio di Sorveglianza e il Comitato per il Controllo sulla Gestione possono svolgere le funzioni dell’Organismo di Vigilanza. Il legislatore ha dunque permesso che, laddove gli assetti societari ne suggeriscano l’opportunità, i due vengano a coincidere, con l’organo di controllo che accentrerebbe su di sé lo svolgimento delle funzioni demandate all’Organismo di Vigilanza34_.

La nuova normativa introdotta con il Capitolo 7 alla Sezione II par. 4, invece, stabilisce che l’organo con funzione di controllo svolge, di norma, le funzioni dell’Organismo di Vigilanza, e che le banche possono affidare tali funzioni a un organismo appositamente istituito previa adeguata motivazione.

La Banca d’Italia, quindi, nella disposizione in esame, si discosta dall’impostazione del legislatore del 2011, indicando come soluzione preferibile la coincidenza tra i due organi, indipendentemente dalle dimensioni e dalla complessità della realtà societaria, e considerando residuale e da motivare ogni altra soluzione.

34_{Cfr. Banca d’Italia, Disposizioni di vigilanza prudenziale per le banche in materia di sistema dei controlli} interni, sistema informativo e continuità operativa. Relazione sull’analisi d’impatto, giugno 2013.

(32)

CAPITOLO II

15° aggiornamento della circolare 263/2006

2.1 Aspetti introduttivi

I recenti fenomeni di instabilità finanziaria che hanno interessato diverse istituzioni finanziarie internazionali hanno riacceso il dibattito circa la necessità degli operatori di investire non soltanto in modelli di calcolo evoluti, ma anche di provvedere a un più attento presidio delle tematiche di organizzazione e governo del rischio aziendale. Tali vicende hanno stimolato la riflessione sulla rilevanza che il sistema dei controlli interni assume nel quadro di un adeguato governo societario, indispensabile per assicurare una creazione di valore di lungo termine, in grado di aumentare la fiducia degli operatori economici e assicurare una stabile crescita economica.

In tale contesto, si inseriscono le recenti previsioni normative introdotte da Banca d'Italia con il 15° aggiornamento della Circolare n. 263/2006 del 2 luglio del 2013.

Ancora prima di procedere con l'emanazione del 15° aggiornamento, il 4 settembre 2012, Banca d'Italia ha posto in consultazione pubblica lo schema di disposizioni di vigilanza prudenziale in materia di sistemi di controlli interni e di sistema informativo delle banche e dei gruppi bancari, avviando così una procedura che ha permesso ai partecipanti di esprimere osservazioni e commenti relativi alla proposta di disciplina entro 60 giorni dalla pubblicazione.

Alla conclusione di questa procedura, Banca d'Italia ha pubblicato sul suo sito internet il resoconto delle osservazioni ricevute, la relazione sull'analisi d'impatto nonché il testo definitivo delle disposizioni.

(33)

Con il suddetto aggiornamento sono stati inseriti nel Titolo V della Circolare 263/2006 il capitolo 7 (“Il sistema dei controlli interni”), il capitolo 8 (“Il sistema informativo”) e il capitolo 9 (“La continuità operativa”).

Il Capitolo 7 definisce un quadro organico di principi e regole cui deve essere ispirato il sistema dei controlli interni, senza tuttavia esaurire le disposizioni organizzative applicabili alle banche. Le disposizioni ivi contenute, infatti, rappresentano la cornice di riferimento nella quale si inquadrano le regole sui controlli dettate all’interno di specifici ambiti disciplinari (ad es., regole organizzative in materia di gestione di singoli profili di rischio, di sistemi interni di misurazione dei rischi per il calcolo dei requisiti patrimoniali, di processo ICAAP, di prevenzione del rischio di riciclaggio) che ne completano e integrano la portata (c.d. modello “hub and spokes”)35.

In quest’ambito, le disposizioni contenute nel Capitolo 7 definiscono:

1. i principi generali del sistema dei controlli interni (Capitolo 7 Sezione I); 2. il ruolo degli organi aziendali (Capitolo 7 Sezione II);

3. l’istituzione e i compiti delle funzioni aziendali di controllo (Capitolo 7 Sezione III);

4. l’esternalizzazione di funzioni aziendali (outsourcing) al di fuori del gruppo bancario (Capitolo 7 Sezione IV);

5. il Risk Appetite Framework, il sistema dei controlli interni e l’esternalizzazione nei gruppi bancari (Capitolo 7 Sezione V);

6. le imprese di riferimento (Capitolo 7 Sezione VI);

7. le regole applicabili alle succursali di banche comunitarie e di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi nell’elenco pubblicato dalla Banca d’Italia (Capitolo 7 Sezione VII);

8. l’informativa alla Banca d’Italia (Capitolo 7 Sezione VIII);

35_{Cfr. Banca d’Italia, Documento per la consultazione. Disposizioni di vigilanza prudenziale per le banche.} Sistema dei controlli interni, sistema informativo e continuità operativa, Relazione Illustrativa, 4 settembre

(34)

9. le disposizioni speciali relative a particolare categorie di rischio (Capitolo 7 Allegato A);

10. i controlli sulle succursali estere (Capitolo 7 Allegato B); 11. il Risk Appetite Framework (Capitolo 7 Allegato C).

La nuova disciplina si ispira ad alcuni principi di fondo quali: la valorizzazione del principio di proporzionalità, l’adozione di un approccio integrato alla gestione dei rischi, la diffusione di una cultura dei controlli, il crescente coinvolgimento degli organi di vertice (l’organo con funzione di supervisione strategica, l’organo con funzione di gestione e l’organo con funzione di controllo) sui quali ricade, ciascuno secondo le rispettive competenze, la responsabilità primaria della definizione di un sistema dei controlli interni completo, adeguato, funzionale e affidabile e l’attenzione ai temi dell’efficacia e dell’efficienza dei controlli.

Le nuove disposizioni sono entrate in vigore il 3 luglio 2013 e sono divenute efficaci, salvo alcune eccezioni, a partire dal 1° luglio 2014:

- con riferimento alle funzioni aziendali di controllo di 2° livello (risk management e compliance), le banche si conformano entro il 1° luglio 2015 (data di efficacia) a quanto previsto dalla Sezione III, par. 1, lett. b), secondo alinea, secondo periodo (linee di riporto dei responsabili di tali funzioni);

- con riferimento all’esternalizzazione di funzioni aziendali (Sezioni IV e V), le banche adeguano i contratti di esternalizzazione in essere alla data di entrata in vigore delle nuove disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall’entrata in vigore (1° luglio 2016).

Le disposizioni contenute nel Capitolo 8 sono divenute efficaci a partire dal 1° febbraio 2015. Le banche devono adeguare i contratti di esternalizzazione del sistema informativo (Sezione VI) in essere alla data di entrata in vigore delle

(35)

nuove disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall’entrata in vigore (1° luglio 2016).

Mentre le disposizioni relative al capitolo 9 sono divenute efficaci a partire dal 1° luglio del 2014.

L’adeguamento alle novità introdotte con questo intervento normativo presuppone, infatti, interventi significativi sulla struttura organizzativa, che richiedono tempo per essere realizzati. Alle banche è stato comunque richiesto di effettuare, entro il 31 gennaio 2014, un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap

analysis) e di individuare le misure da adottare e la relativa scansione temporale

per assicurarne il rispetto.

Di seguito affronteremo le principali modifiche introdotte dal Capitolo 7 in materia di controlli interni, tralasciando le disposizioni contenute nei due capitoli successivi.

2.2 Le principali novità del nuovo framework regolamentare

Le nuove norme, inserite nel Titolo V della Circolare 263/2006, formano parte integrante della disciplina concernente gli assetti di governo e controllo delle banche e sono ricche non solo di chiarimenti ma di vere e proprie novità che stabiliscono con incisività e dettaglio compiti e responsabilità sia degli organi di vertice che delle funzioni aziendali di controllo36.

Le principali novità introdotte rispetto al previgente quadro normativo riguardano:

1) la previsione di principi generali di organizzazione; 2) i compiti degli organi aziendali;

36_{Cfr. Priori M., Guglielmetti R., Gli assetti di governo e controllo delle banche: la circolare di Banca d’Italia,}