Capitolo 5: “Le Istruzioni di Vigilanza e la necessità del Sistema dei Controlli Interni nell’impresa bancaria e la Vigilanza”

(1)

Capitolo 5: “Le Istruzioni di Vigilanza e la necessità del Sistema dei Controlli Interni nell’impresa bancaria e la Vigilanza”

5.1 Il Sistema dei Controlli Interni nella banca: definizione, componenti e attori.

Negli ultimi anni un settore in particolare del sistema bancario ha vissuto una costante crescita : il settore dei controlli interni. Basti pensare alla situazione vigente alla fine degli anni Novanta: la Compliance non esisteva, se non nelle grandi investment bank statunitensi o tedesche; il Risk Management non costituiva un settore a sé stante ma operava all’interno del controllo di gestione; l’Organismo di Vigilanza1

non esisteva, in quanto è stato istituito solo con il d.lgs. 231 del 2001. Inoltre, erano anni caratterizzati dall'intensificarsi della competitività, della dinamicità e dell'instabilità dei mercati finanziari, e dallo sviluppo di attività bancarie non tradizionali che hanno portato un aumento della rischiosità dell'attività bancaria.

L’evoluzione del contesto e l’accresciuta dinamicità dell’ambiente competitivo hanno messo in discussione la concezione stessa di controllo all’interno dell’impresa bancaria. Pertanto, nonostante il crescente orientamento delle istituzioni di vigilanza verso un approccio di regolamentazione di tipo prudenziale, l’insieme di cambiamenti intercorsi all’interno del sistema bancario ha reso obsoleto il tradizionale modello manageriale, fondato sulla separazione tra sistema di produzione e sistema di governo o controllo, a favore di un nuovo paradigma dell’operare bancario, in cui il momento della produzione e quello del controllo sono concepiti congiuntamente, «sono valutati anche in una prospettiva di lungo termine e non solo operativa», e soprattutto, costituiscono un momento fondamentale di apprendimento e di miglioramento continuo nel tempo, costituendo l’elemento indispensabile per migliorare o mantenere la propria posizione sul mercato. La novità che nell’attuale contesto si afferma è quella di un sistema dei controlli interni, che non solo risponde alle logiche di buon funzionamento di un modello efficace di governo del business, ma rappresenta anche un elemento fondamentale del processo di conoscenza e di miglioramento da parte della banca, al fine di garantire un più efficace perseguimento degli obiettivi futuri. E’ un controllo che deve corrispondere a un processo, ovvero esso non è costituito da un insieme di eventi isolati, ma da azioni ben coordinate che riguardano il complesso dell’attività aziendale.

E’ opportuno che l’intermediario creditizio non consideri il sistema dei controlli interni come un onere necessario, da ottemperare a seguito delle numerose

1

E’ composto da un Consigliere di Amministrazione, un membro dell’Organismo di Vigilanza della Capogruppo e dal Direttore Controlli. E’ nominato dal C.d.A. a cui si riferisce dell’attività svolta e si avvale dell’internal auditing quale braccio operativo per lo svolgimento delle attività di verifica sul Modello 31 e del suo aggiornamento.

(2)

disposizioni emanate da parte delle autorità di vigilanza: viceversa, esso deve essere considerato come una parte integrante dell’attività operativa, tanto da raggiungere la massima efficienza quando è integrato nelle infrastrutture organizzative e fa parte della cultura aziendale.

Di fronte all’ampliarsi delle situazioni di instabilità, amplificate dagli effetti di contagio dovuti alla globalizzazione, ma connesse anche a condotte “disinvolte” in attività ad alta redditività ma ad alto rischio, le Autorità di controllo si sono rese conto della necessità di sollecitare le banche a condotte saldamente improntate alla “sana e prudente gestione” attraverso sia il potenziamento degli strumenti di controllo interno, che creano consapevolezza sui rischi assunti e sul loro andamento, sia il richiamo esplicito alla responsabilità del vertice aziendale (consiglio di amministrazione e alta direzione) nel governo di tali rischi.

Un sistema di controllo interno efficace ed efficiente è un presupposto fondamentale per la creazione di valore nel medio lungo termine, per la salvaguardia del valore delle attività e per una corretta percezione dei rischi che consenta un'adeguata allocazione del capitale.

Se questo è vero per tutte le imprese, a maggior ragione vale per le aziende bancarie, per le quali si riscontrano determinate peculiarità.

“Il Sistema dei controlli interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità:

- efficacia ed efficienza dei processi aziendali (amministrativi, produttivi, distributivi, ecc.);

- salvaguardia del valore delle attività e protezione dalle perdite; - affidabilità e integrità delle informazioni contabili e gestionali;

- conformità delle operazioni con la legge, la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne”2.

Per quanto riguarda il primo obiettivo, lo svolgimento efficace ed efficiente delle operazioni di impresa è necessario per il soddisfacimento dei molteplici stakeholder. Come noto, l'efficacia è espressione del raggiungimento dei risultati conseguiti in rapporto agli obiettivi assegnati; l'efficienza attiene invece al rapporto obiettivi raggiunti-risorse consumate: un'azione è efficace ed efficiente, se raggiunge l'obiettivo utilizzando un quantitativo di risorse consono all'operazione stessa. Sotto questo aspetto, il Sistema di controllo interno si avvale delle persone che operano in azienda, del sistema di reporting, e di tutti gli strumenti tipici, come budget, piani, programmi, rendiconti, con lo scopo di rilevare gli scostamenti, individuarne le cause, e scegliere le azioni da intraprendere.

2

(3)

Con “attendibilità delle informazioni di bilancio”, ci concentriamo su un punto saliente: i dati che emergono dal bilancio, monetari o non monetari, devono infatti possedere determinate caratteristiche: esistenza, completezza, accuratezza, tempestività, attendibilità sono solo alcune delle qualità che tali informazioni devono avere, sia per l'interno che per l'esterno.

Il Sistema di controllo interno deve inoltre verificare che le operazioni svolte e le decisioni prese ad ogni livello siano conformi alle direttive emanate dalla direzione, che a loro volta devono rispettare leggi e regolamenti. E' fondamentale quindi istituire canali di accesso alle informazioni per le persone che lavorano ad ogni livello, che devono avere la possibilità di aggiornarsi sui cambiamenti normativi che, in un settore come quello bancario, sono sempre in continua evoluzione.

Da non dimenticare infine il primario obiettivo di ogni azienda, cui il Sistema di controllo interno deve contribuire. Stiamo parlando della salvaguardia del patrimonio aziendale, che riguarda la protezione del capitale umano, tecnologico e commerciale presente in azienda. Nelle banche, inoltre, bisogna porre particolare attenzione anche all'accezione più ristretta del patrimonio aziendale, ovvero la protezione dei beni materiali: la presenza di valori come denaro, assegni ed effetti, ad esempio, fanno sì che sia necessario predisporre misure di protezione fisica degli stessi (mezzi forti), ma anche di prevenzione di eventi pregiudizievoli, come le procedure connesse al trasporto valori o alla loro custodia.

E' importante ricordare che gli obiettivi citati sono tra loro strettamente connessi e concatenati, e devono essere compresi ad ogni livello come un tutto unitario. A tale proposito la ricerca empirica3 evidenzia che rispetto al passato le Banche pongono sempre più attenzione alla variabile del sistema di controllo: in particolare, si segnala una maggior attenzione ai rischi di eventi pregiudizievoli all'immagine della banca, al rischio di perdite impreviste e al mantenimento di sistemi informativi affidabili; gli obiettivi relativi alla conformità a leggi e regolamenti mantengono un peso rilevante. Questo ci fa vedere che, se da un lato l'evoluzione porta verso una concentrazione su obiettivi strategici, dall'altro l'attendibilità delle informazioni sarà sempre fondamentale, poiché funzionale al soddisfacimento delle attese degli stakeholder. I cambiamenti in atto, l'attenzione verso le strategie e gli orientamenti di fondo non toglieranno mai importanza ai controlli di conformità, ai quali si andranno ad affiancare e mai a sostituire. Gli obiettivi enunciati possono essere raggiunti soltanto se il Sistema di controllo interno è completo e funzionante in ogni sua componente, ovvero:

3

Si tratta della ricerca empirica promossa dalla Divisione Ricerche della Scuola di Direzione Aziendale dell'Università L. Bocconi.

(4)

 Ambiente di controllo

 Valutazione dei Rischi

 Attività di controllo

 Informazione e Comunicazione

 Monitoraggio

Le citate componenti vengono rappresentate nel seguente schema piramidale, che consente di esprimere appieno il contributo di ognuna e il grado di importanza.

Come si può vedere, la base è formata dall'Ambiente di controllo, che in questo modo diventa elemento su cui poggia l'intera struttura. La variabile Informazione e Comunicazione è posizionata invece in modo trasversale: il sistema informativo è un meccanismo strumentale a tutto il Sistema di controllo interno. Gli obiettivi del controllo e le componenti sono tra loro interrelati, come riporta la matrice seguente:

(5)

Sulle colonne verticali troviamo i tre obiettivi principali, sulle righe le componenti del controllo; la terza dimensione rappresenta infine le diverse unità e attività di un'azienda, verso le quali il controllo interno è orientato.

Andiamo ora ad analizzare rapidamente le singole componenti.

o Ambiente di controllo: si tratta della cultura aziendale in tema di controlli, ovvero della consapevolezza dell'importanza del sistema di controllo quale elemento indispensabile per conseguire gli obiettivi operativi, di informazione e di svolgimento dell'attività; l'Alta Direzione, il Consiglio di Amministrazione devono sentirsi responsabili della sua diffusione all'interno di tutta l'organizzazione, e devono adoperarsi affinché ogni collaboratore renda propria tale consapevolezza. Il ruolo del management è fondamentale, ma non è l'unico elemento: l'Ambiente di controllo è infatti influenzato da altre variabili, come integrità e valori etici, dalla competenza del personale, da filosofia e stile di direzione, dall'adeguatezza della struttura organizzativa

o Valutazione dei rischi: il rischio è l'insieme degli eventi che possono pregiudicare il raggiungimento degli obiettivi. Se da una parte è impossibile eliminare tutti i rischi che sono elementi intrinsechi all'attività imprenditoriale, dall'altro ogni Sistema di controllo interno deve provvedere alla identificazione e valutazione degli stessi, in modo da contenerne le conseguenze. Si parla di Risk Management, ovvero di gestione del rischio: non solo identificazione, ma valutazione del possibile impatto e della probabilità di manifestarsi, quindi gestione del rischio stesso e monitoraggio continuo attraverso specifici interventi di Audit. o Attività di controllo: sono le forme di protezione dal rischio che vengono

messe in atto per prevenire un errore (controlli preventivi), per scoprire irregolarità già avvenute (controlli successivi), o durante lo svolgimento dell'ordinaria operatività (controlli concomitanti). Possono essere di tipo manuale (es. le verifiche di cassa o il riscontro valori), o automatico, cioè svolte dal sistema informatico. Tali attività possono essere relative a aspetti operativi, al rispetto di leggi e regolamenti e alla correttezza delle informazioni di bilancio, seguendo gli obiettivi del Sistema di controllo interno.

o Informazione e comunicazione: nello schema piramidale visto in precedenza, possiamo notare come questa componente attraversi le altre in maniera trasversale: questo vuole rappresentare l'importanza del ruolo ricoperto dal sistema informativo, che deve garantire la raccolta e la diffusione di informazioni. Tutte le aziende devono essere infatti in grado di reperire informazioni di qualità dall'interno e dall'esterno, e devono poter garantire canali di comunicazione per le stesse di tipo top-down,

(6)

bottom-up e trasversale. L'informazione di qualità è quella che rispetta requisiti ben precisi, tra cui ricordiamo caratteristiche di contenuto, selettività, accuratezza, tempestività, aggiornamento e accessibilità; i dati prodotti dal sistema informativo devono essere utili alle varie finalità che si prefiggono, sia che siano destinati all'esterno, ad esempio per il rispetto di normative vigenti, sia che siano orientati all'interno, verso il personale o l'Alta Direzione. Anche la comunicazione, infatti, influisce sul controllo, e può svilupparsi dall'alto verso il basso o dal basso verso l'alto. Si ha una comunicazione di tipo top-down ad esempio poiché il personale deve avere piena consapevolezza dell'importanza del controllo, di come svolgerlo e delle proprie responsabilità in merito. Devono essere predisposti però anche canali di tipo bottom-up, ad esempio in caso di violazione del codice etico devono esistere canali riservati che permettano una sicura segnalazione ai soggetti dotati dell'autorità per porre in essere azioni sanzionatorie.

o Monitoraggio: l'accento posto su questa variabile, che sovrasta la piramide, vuole mostrare che, una volta definite le varie componenti, bisogna continuamente verificarne l'adeguatezza alla realtà aziendale, che è in continuo divenire: le variabili ambientali e il contesto normativo rendono necessario un monitoraggio continuo che accerti se il Sistema di controllo interno mantiene nel tempo inalterati i suoi requisiti di efficacia e funzionalità al raggiungimento degli obiettivi prefissati e alla gestione dei numerosi rischi che si affacciano continuamente sul panorama aziendale.

I controlli coinvolgono, con diversi ruoli, gli organi amministrativi, il collegio sindacale, la direzione e tutto il personale. Essi costituiscono parte integrante dell’attività quotidiana della banca. Se ne possono individuare alcune tipologie, a prescindere dalle strutture organizzative in cui sono collocate:

- i controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive (ad es. i controlli di tipo gerarchico) o incorporati nelle procedure ovvero eseguiti nell’ambito dell’attività di back-office;

- i controlli sulla gestione dei rischi, che hanno l’obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive;

(7)

- l’attività di revisione interna, volta a individuare andamenti anomali, violazioni delle procedure e della regolamentazione nonché a valutare la funzionalità del complessivo sistema dei controlli interni. Essa è condotta nel continuo, in via periodica o per eccezioni, da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco. Ferma restando l’autonoma responsabilità aziendale in ordine alle scelte effettuate in materia di assetto dei controlli interni, le banche pongono in essere soluzioni organizzative che:

- assicurino la necessaria separatezza tra le funzioni operative e quelle di controllo ed evitino situazioni di conflitto di interesse nell’assegnazione delle competenze;

- siano in grado di identificare, misurare e monitorare adeguatamente tutti i rischi assunti o assumibili nei diversi segmenti operativi;

- stabiliscano attività di controllo a ogni livello operativo e consentano l’univoca e formalizzata individuazione di compiti e responsabilità, in particolare nei compiti di controllo e di correzione delle irregolarità riscontrate;

- assicurino sistemi informativi affidabili e idonee procedure di reporting ai diversi livelli direzionali ai quali sono attribuite funzioni di controllo; - garantiscano che le anomalie riscontrate dalle unità operative, dalla

funzione di revisione interna o da altri addetti ai controlli siano tempestivamente portate a conoscenza di livelli appropriati dell’azienda (dal consiglio di amministrazione e del collegio sindacale, se significative) e gestite con immediatezza;

- consentano la registrazione di ogni fatto di gestione e, in particolare, di ogni operazione con adeguato grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo temporale”4

.

Il Sistema dei Controlli Interni è un processo che riguarda tutte le attività aziendali e che si integra con esse, per cui deve essere considerato come un sistema unico, di cui il management dispone per verificare il perseguimento degli obiettivi aziendali. Pertanto, tale sistema di controllo non viene più inteso come la mera sommatoria delle tipologie di controlli inseriti nella struttura operativa, quali ad esempio i controlli di linea di tipo gerarchico- funzionale, a cui si aggiungono quelle unità che svolgono controlli per eccezioni, come la funzione di Risk Management, la funzione di Compliance e l’Internal Audit. Bensì, esso assume il valore di un sistema integrato di gestione del rischio, la cui funzione fondamentale consiste nel supportare il management nella gestione della complessità aziendale e nel governo delle diverse tipologie di rischio.

4

Banca d’Italia (1998), “Sistema dei controlli interni, compiti del collegio sindacale ”, in Bollettino di Vigilanza, n. 10.

(8)

Conseguentemente, il Sistema dei Controlli Interni, per adempiere efficacemente alle proprie funzioni, deve essere continuamente aggiornato, in maniera tale da mantenere la coerenza con l’evoluzione del modello organizzativo e con la tipologia dell’attività svolta5_{: per questo motivo, la Banca d’Italia ha più volte}

provveduto ad aggiornare le proprie Istruzioni di vigilanza in funzione delle diverse esigenze di presidio del rischio.

In passato, le diverse tipologie di controlli presenti all’interno dell’impresa bancaria erano state ricondotte, tradizionalmente, alle seguenti categorie principali:

 il controllo operativo, svolto dalle unità organizzative nel corso della normale attività, comprendente sia i controlli di linea esercitati dall’operatore, sia i meccanismi di controllo automatico, insiti nelle procedure stesse;

 il controllo ispettivo sulle unità operative, svolto a campione su tutte le aree funzionali della banca, finalizzato a verificare la conformità dei comportamenti operativi alle norme interne ed esterne;

 il controllo ispettivo sulle procedure, volto a verificarne la corrispondenza alle esigenze di cambiamento interne ed esterne;

 il controllo sui rischi derivanti dall’attività di intermediazione finanziaria;

 il controllo di gestione, con cui si intende verificare l’andamento della gestione nei suoi vari elementi;

 il controllo di qualità, che attiene alla verifica della qualità dell’output dei servizi offerti dalle diverse unità operative;

 il controllo di reporting, relativo alle comunicazioni esterne della banca. Si tratta, sotto un certo punto di vista, di una classificazione ormai superata, anche in funzione delle emergenti problematiche di controllo, le quali attualmente stanno caratterizzando l’azienda bancaria: si fa riferimento, in questo caso, alle interazioni che esistono tra le diverse tipologie di controllo previste dalla nuova disciplina (controlli di corretta operatività, controlli sulla gestione dei rischi, controlli di conformità, attività di revisione interna); alle relazioni che si instaurano tra diverse unità operative deputate al controllo (funzione di Controllo dei rischi, funzioni di Compliance, funzione di Internal Audit). In effetti, se non sono bene organizzate e gestite in un contesto sistemico, tali relazioni rischiano di rendere inefficace l’architettura complessiva del sistema. Soprattutto, una tale classificazione non tiene conto degli effetti determinanti che discendono dalla complessità che l’organizzazione aziendale impone ai soggetti che pongono in essere tale struttura dei controlli. Infine, una tale visione mal si concilia con l’obiettivo, stabilito esplicitamente dalle stesse Istruzioni di vigilanza, di predisporre un Sistema dei Controlli Interni che copra “tutte le tipologie di

5

(9)

rischio: di credito, di tasso di interesse, di mercato, di liquidità, operativi, di regolamento, di frode e infedeltà dei dipendenti, legali, di reputazione, ecc.”6. Inoltre, per il conseguimento di un efficiente ed efficace sistema di controlli interni un ruolo fondamentale è attribuito ai soggetti che svolgono funzioni di amministrazione e di direzione nelle banche.

Gli organi aziendali che partecipano al sistema sono i seguenti: a. Consiglio di Amministrazione

b. Collegio sindacale

c. Comitato per il controllo interno e i rischi

Figura 3 - Mappa dei controlli interni nelle banche (Organi e struttura aziendale)

Il Consiglio di Amministrazione è composto dagli Amministratori esecutivi e dall’Amministratore Delegato.

Il Consiglio di Amministrazione è il principale organo di governo delle società per azioni che non hanno optato per un cambiamento del sistema di Amministrazione e Controllo.

Secondo quanto previsto dal “Codice di Autodisciplina”, il Consiglio di Amministrazione, con l'assistenza del Comitato per il controllo interno:

 definisce le linee di indirizzo del Sistema di controllo interno, in modo che i principali rischi risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati;

6

(10)

 individua un amministratore esecutivo incaricato di sovrintendere alla funzionalità del Sistema di controllo interno; tale figura ha dei compiti ben precisi, ovvero:

– sovrintendere alla funzionalità del Sistema di controllo interno; – curare l'identificazione dei principali rischi aziendali;

– dare esecuzione alle linee di indirizzo definite dal Consiglio di Amministrazione provvedendo alla progettazione, realizzazione e gestione del Sistema di controllo interno, verificandone costantemente l'adeguatezza complessiva, l'efficacia e l'efficienza; – proporre al consiglio di amministrazione la nomina, la revoca e la

remunerazione di uno o più preposti al controllo interno;

 valuta l'adeguatezza, l'efficacia e l'effettivo funzionamento del sistema di controllo interno;

 descrive gli elementi essenziali del sistema di controllo interno;

 nomina e revoca i preposti al controllo interno.

Il Codice inoltre sottolinea che il Consiglio di Amministrazione deve esercitare le proprie funzioni tenendo in considerazione i modelli di riferimento e le best practices esistenti, ponendo particolare attenzione ai modelli di organizzazione e gestione adottati ai sensi del D.lgs. 8 giugno 2001 n. 231.

Il Collegio sindacale è attore chiave nella Control Governance aziendale. Prima però di descriverne le funzioni, occorre distinguere tra società quotate e non quotate.

Per queste ultime, la normativa di riferimento è rappresentata dall'Art. 2403 del Codice Civile, secondo cui:“ Il Collegio sindacale vigila sull'osservanza della

legge e dello statuto, sul rispetto dei principi di corretta amministrazione ed in particolare sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dalla società sul suo concreto funzionamento”.

L'art. 2409Bis del Codice Civile prevede inoltre che in caso di società non quotate non tenute alla redazione del bilancio consolidato, lo Statuto può stabilire che al Collegio sindacale spettino funzioni di controllo contabile. In tal caso, il collegio sindacale deve essere formato da revisori contabili iscritti nel registro istituito presso il Ministero della Giustizia.

Per quanto riguarda invece le società quotate, il Testo Unico della Finanza, D.lgs. 58/1998, afferma il ruolo del Collegio sindacale quale organo preposto alla vigilanza sull'adeguatezza del sistema di controllo interno aziendale e allo svolgimento di indagini particolari su fatti anomali con la conseguente necessità di promuovere azioni correttive da parte degli amministratori o dell'assemblea. In particolare, l'Art. 149 prevede che il Collegio Sindacale vigili su:

 osservanza della legge e dell'atto costitutivo;

(11)

 adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile, nonché sull'affidabilità di quest'ultimo nel rappresentare correttamente i fatti di gestione.

Nello svolgimento della sua attività, il Collegio sindacale lavora in stretto coordinamento con le altre strutture che operano sul controllo interno, quali:

 Alta Direzione: il Collegio sindacale ha il dovere di partecipare alle riunioni del Consiglio di Amministrazione, può convocare il consiglio e richiedere notizie sullo svolgimento delle operazioni sociali;

 Comitato per il Controllo Interno: al fine di svolgere funzioni di monitoraggio e valutazione sul sistema, il Collegio sindacale dovrà rilevare:

o che la validità del programma di attività, le modalità operative e la composizione del comitato per il controllo interno siano sufficienti perché tale organo abbia idonee caratteristiche di competenza tecnica;

o che la metodologia di valutazione dell'adeguatezza dei controlli interni si riferisca alle singole unità organizzative;

o che siano state intraprese azioni con riferimento a quelle unità organizzative dove sono state riscontrate debolezze.

Il Collegio sindacale dovrà inoltre comunicare osservazioni e rilievi sull'operato del comitato in sede di consiglio di amministrazione, per opportuni

provvedimenti correttivi.

 Società di revisione incaricata: la Società di revisione esterna rappresenta un ottimo riferimento per il Collegio sindacale, proprio per la sua indipendenza rispetto alla realtà aziendale. Le norme del D.lgs. 58/1998 prevedono all'art. 150 un'attività di scambio di dati e informazioni tra Collegio sindacale e Società di revisione. Questa relazione è illustrata anche nella norma 2.4 dei Principi di Comportamento del Collegio sindacale nelle società quotate, che prevede che il Collegio sindacale consideri i risultati del lavoro svolto dalla Società di revisione, ma qualora questo non sia sufficiente per lo svolgimento dei propri più ampi compiti di vigilanza, svolga autonome procedure di controllo. Il rapporto di collaborazione tra questi due organi è visto favorevolmente anche dalla CONSOB (comunicazione N. 97001574 del 20 febbraio 1997), che afferma l'importanza che il Collegio Sindacale abbia a disposizione tutte le informazioni necessarie per l'espletamento delle sue funzioni, e, qualora non sia possibile acquisirle dal Consiglio di Amministrazione, suggerisce che il Collegio stesso richieda alla Società di revisione i dati necessari,

(12)

soprattutto per quanto riguarda il funzionamento del sistema di controllo interno ed amministrativo-contabile.

Infine, la legge sulla tutela del risparmio (262/2005) introduce il dovere di vigilare sul modo in cui concretamente vengono attuate le raccomandazioni contenute nei codici di autodisciplina, cui le società, dandone informativa al pubblico, dichiarano di attenersi.

Il Codice di Autodisciplina raccomanda, poi, la costituzione del Comitato per il controllo interno, un organo costituito all’interno del Consiglio di Amministrazione, composto da un numero adeguato di amministratori non esecutivi, la maggioranza dei quali indipendenti.

Svolge funzioni consultive e propositive nei confronti del Consiglio di Amministrazione coadiuvandolo nell’espletamento dei suoi compiti.

In particolare:

 valuta, unitamente al dirigente preposto alla redazione dei documenti contabili e societari ed ai revisori, il corretto utilizzo dei principi contabili, e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato;

 su richiesta dell’amministratore esecutivo all’uopo incaricato esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali, nonché alla progettazione, realizzazione e gestione del sistema di controllo interno;

 esamina il piano di lavoro preparato dai preposti al controllo interno nonché le relazioni periodiche da essi predisposte;

 valuta le proposte formulate dalle società di revisione per ottenere l’affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella eventuale lettera di suggerimenti;

 vigila sull’efficacia del processo di revisione contabile;

 svolge gli ulteriori compiti che gli vengono attribuiti dal consiglio di amministrazione;

 riferisce al consiglio, almeno semestralmente, in occasione dell’approvazione del bilancio e della relazione semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno.

Ai lavori del comitato per il controllo interno partecipa il presidente del collegio sindacale o altro sindaco da lui designato.

Il Consiglio di Amministrazione può nominare uno o più preposti al controllo interno, che hanno funzione di supervisione del sistema di controllo interno. In particolare il Codice dispone che i preposti:

 sono incaricati di verificare che il sistema di controllo interno sia sempre adeguato, pienamente operativo e funzionante;

(13)

 non sono responsabili di alcuna area operativa e non dipendono gerarchicamente da alcun responsabile di aree operative, ivi inclusa l’area amministrazione e finanza;

 hanno accesso diretto a tutte le informazioni utili per lo svolgimento del proprio incarico;

 dispongono di mezzi adeguati allo svolgimento della funzione loro assegnata;

 riferiscono del loro operato al comitato per il controllo interno ed al collegio sindacale; può inoltre essere previsto che essi riferiscano anche all’amministratore esecutivo incaricato di sovrintendere alla funzionalità del sistema di controllo interno. In particolare, essi riferiscono circa le modalità con cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento ed esprimono la loro valutazione sull’idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo.

Il preposto al controllo interno si identifica nella prassi con il responsabile della funzione Internal Audit, laddove istituita.

5.2 L’Internal Audit in ambito bancario: le istruzioni di vigilanza e la normativa sulla compliance.

Per il conseguimento di un efficiente ed efficace sistema di misurazione e monitoraggio dei rischi un ruolo fondamentale è attribuito alle funzioni di controllo, tra loro indipendenti, strutturati in coerenza operativa dimensionale della banca.

Si possono individuare tre funzioni di controllo:

1) Controlli di 1° livello, effettuati dai responsabili delle unità produttive. Si tratta di controlli di linea – svolti dalle stesse strutture produttive o eseguiti dai responsabili del back-office, per assicurare il corretto svolgimento delle operazioni.

2) Controlli di 2° livello. Sono controlli sulla gestione dei rischi, affidata ad unità diverse da quelle produttive. Gli organi responsabili sono la Funzione di Compliance e la Funzione Risk management. La prima è una funzione di controllo sulla conformità alle norme. E’ chiamata a svolgere un ruolo complementare rispetto al sistema di gestione dei rischi previsto dalla disciplina prudenziale e deve assicurare l’idoneità delle specifiche procedure e dei codici di comportamento adottati, nonché il rispetto di tutta la normativa di riferimento. La funzione di Risk management, invece, si occupa della gestione e del controllo dei rischi e consente,

(14)

mediante la valutazione dei rischi, la determinazione di un livello di capitale adeguato per fronteggiare le perdite a fronte degli stessi.

3) Controlli di 3° livello, ossia controlli finalizzati alla valutazione e alla verifica periodica della completezza, funzionalità e adeguatezza del SCI. Si tratta di controlli effettuati dall’Internal Audit che è un organismo indipendente dalle unità oggetto di controllo e opera direttamente alle dipendenze del C.d.A. o del Comitato di Audit, se presente, e in tal caso ne rappresenta il braccio operativo. Le sue funzioni principali sono:

- controllo della regolarità dell’operatività e dell’andamento dei rischi;

- valutazione della funzionalità complessiva dei sistemi di controlli interni;

- collaborazione con il C.d.A. e l’Alta Direzione sui possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione e alle procedure.

“L’Internal Auditing è un’attività indipendente ed obiettiva di “assurance” e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governante”.

Analizziamo questa definizione in modo da evidenziare i punti salienti della stessa e cogliere le peculiarità di questa funzione.

Innanzitutto l'Internal Auditing è un'attività indipendente ed obiettiva: l'indipendenza della funzione è fondamentale per l'esercizio dei suoi doveri. Si tratta soprattutto di indipendenza organizzativa, la maggior parte delle banche pone la funzione Internal Auditing come organo di staff rispetto all'amministratore delegato, o al direttore generale o al presidente del consiglio sindacale: la funzione stessa non si pone quindi alle dipendenze, ma a fianco, in modo da poter controllare l'operato dell'intera struttura aziendale, dai vertici aziendali come delle singole unità organizzative.

Continuando con la definizione, troviamo che la funzione Internal Audit svolge attività di Assurance e Consulenza, dove con il termine “Assurance” si intende l'attività volta ad assicurare la Direzione Aziendale sul sistema di gestione dei rischi ai quali l'organizzazione è esposta, attraverso il controllo preventivo ed ex post da parte di funzioni indipendenti; per “consulenza” si intende invece l'attività di sostegno ed orientamento nei confronti degli organi di vertice e delle strutture organizzative attraverso un'azione volta a correggere ed implementare nuove strategie organizzative e comportamenti operativi. La Consulenza, puntando sul miglioramento continuo dei processi di controllo, apporta il suo

(15)

valore all'organizzazione, in quanto finalizzata al contenimento dei rischi aziendali. In questo senso possiamo ben comprendere quanto la funzione di Internal Audit crei valore aggiunto per l'azienda, che si concretizza non solo in una serie di controlli di conformità, ma in un vero e proprio affiancamento ai vertici, e un supporto nel perseguimento delle migliori strategie in termini di gestione dei rischi.

Tradizionalmente le banche hanno svolto le attività di controllo senza distinguere tra unità preposte all'effettuazione dei controlli e unità preposte alla verifica dell'efficacia e dell'efficienza dei controlli. Il tradizionale Servizio Ispettorato si è sempre distinto per l'attenzione posta su controlli relativi al rispetto procedurale e normativo, senza occuparsi né della valutazione del sistema di controllo interno né tanto meno della gestione dei rischi. La stessa figura dell'Ispettore era un ruolo al quale accedevano collaboratori anziani, al termine della propria carriera, dotati di grande esperienza in ogni settore della banca; l'ispettore godeva di autorevolezza e suscitava timore reverenziale. Oggi la situazione è fortemente cambiata: l'ispettore di età più giovane, e così pure i suoi collaboratori, sono un segnale di cambiamento che si estende sia allo stile di conduzione delle verifiche, con caratteristiche di supporto al management, e sia alle metodologie e ai contenuti delle verifiche stesse.

Abbiamo detto che l’Internal Auditing è un’attività, un processo trasversale che si compone di varie fasi, ognuna delle quali riveste un proprio ruolo cruciale per tutto l’intervento. Ma quali sono i passaggi di questo processo?

Possiamo scomporre l’intervento di Audit in cinque macro-fasi:

 Analisi preliminare

 Risk Assessment

 Pianificazione e programmazione dell'attività

 Intervento di Audit

 Reporting e Follow Up

Ciascuna di queste fasi ha degli obiettivi precisi, produce output per la fase successiva e si compone di vari passaggi che andremo ad analizzare.

L’analisi preliminare è la fase necessaria agli Auditor a conoscere l’ambiente, l’organizzazione. Gli obiettivi di questa fase sono quindi quelli di comprendere il modello di business dell'azienda, identificare correttamente il Risk Appetite, ovvero la sua propensione al rischio, e comprendere le aspettative dell'Alta Direzione circa l'intervento di Audit. L'analisi preliminare comprende inoltre la mappatura dei processi e dei controlli a livello macro, identificando i processi di business e di supporto, e i controlli ad ogni livello.

L'Output di questa fase saranno quindi le mappe ottenute. Si può chiaramente intuire che questa fase sarà più ampia e accurata nel caso di interventi di auditing

(16)

esterno all'azienda, in quanto gli auditor si dovranno documentare su una realtà completamente nuova.

In realtà anche in interventi di internal auditing è importante un'analisi preliminare: pensando ai grandi gruppi bancari, ad esempio, ogni filiale presenta caratteristiche peculiari, per cui gli auditor dovranno acquisire la dovuta documentazione in modo da impostare il lavoro correttamente, stabilendo le giuste priorità e criticità in relazione al contesto.

Per quanto riguarda la seconda fase, il Risk Assessment, come abbiamo già accennato più volte, la valutazione dei rischi è fondamentale, in quanto da essa dipende l'organizzazione dell'intero intervento di audit. Si tratta di riscontrare quali sono i possibili rischi in relazione alla tipologia di business, al mercato di riferimento, al contesto normativo; quindi vedere la probabilità di manifestarsi e l'eventuale impatto che possono avere.

Secondo il nostro schema Obiettivi- Output, con il Risk Assessment si andranno a individuare gli obiettivi di ciascun processo e i relativi fattori critici di successo da un lato, e i rischi che possono compromettere il raggiungimento di tali obiettivi insieme ai controlli posti in essere dall'altro.

L'Output di questa fase sarà la mappa dei rischi aziendali.

La terza fase è la pianificazione e la programmazione dell'attività.

Gli auditor devono predisporre un piano sottoposto ad approvazione dal vertice, che, sulla base dei risultati del Risk Assessment, definisce gli interventi da attuare nel periodo considerato. Si tratta di analizzare le criticità, le priorità, le competenze necessarie e le risorse da dedicare.

Obiettivo ed output di questa fase sono quindi la realizzazione del piano in cui si indichino le priorità relative agli oggetti da sottoporre a verifica, come predisposto dagli Standard, e del programma di audit, che da esso scaturisce. Il programma precisa i passi operativi dell'audit e contiene la descrizione degli obiettivi e dei controlli, la definizione delle fasi del lavoro, la sequenza delle verifiche e la descrizione della metodologia di verifica.

Durante questa fase si possono inoltre preparare delle checklist, utili alla produzione durante l'intervento di adeguate evidenze di audit.

L’intervento di Audit è la fase di svolgimento dell'incarico, guidata dal Programma di audit, basata sullo svolgimento di verifiche. Durante l'intervento si raccolgono le evidenze, sulla base delle quali scaturiranno suggerimenti e azioni correttive. Le evidenze di audit possono essere ottenute attraverso l'osservazione delle attività e delle aree di lavoro, oppure derivare dallo svolgimento di interviste e dall'esame di documenti, e costituiscono la base per determinare la conformità o non conformità agli standard richiesti.

Una buona parte delle evidenze è ottenuta attraverso le interviste, ma non è semplice ottenere informazioni dalle persone, soprattutto nel caso in cui ci sia

(17)

una cultura aziendale di riservatezza, oppure ci siano dati da voler tenere volutamente nascosti. E' quindi importante che gli auditor posseggano determinate qualità (attenzione, professionalità, versatilità, ottime capacità comunicative per farne un esempio), e usino tecniche come domande a risposta aperta in modo da favorire il dialogo attraverso un clima di cooperazione.

L’ultima fase è Reporting e Follow Up. L'analisi delle evidenze porta alla redazione di documenti contenenti i risultati dell'intervento, come la Richiesta di Azioni Correttive o il Report di Non Conformità, che vengono presentati al management assieme al Report di Audit, documento che riassume le fasi dell'intervento e le conclusioni. Il Report è curato dal team di Audit, discusso con il management durante il meeting di chiusura, e riporta, tra l'altro, l'ambito di applicazione e gli obiettivi dell'intervento di Audit e i punti principali del Piano. L'intervento di Audit si considera ad ogni modo concluso quando le azioni correttive sono state eseguite, il Report è stato approvato e reso disponibile per la consultazione e le attività predisposte dal Piano di Audit sono state eseguite. E' chiaro come per accertare la risoluzione delle non conformità siano necessari interventi di Follow Up da parte degli auditor, che rimangono responsabili per le identificazioni delle non conformità, finché le stesse non vengono risolte.

Il mutamento nel corso degli anni dello scenario di riferimento, ha costretto le autorità di vigilanza ad allargare progressivamente le tipologie di rischio considerate nel modello di governance, attraverso una profonda revisione delle regole di vigilanza, insieme con la predisposizione di più sofisticate metodologie di misurazione e nuovi strumenti di gestione del rischio7: soprattutto dall’inasprimento di questo processo, è derivata la necessità di identificare, quantificare e monitorare le posizioni globali di rischio assunte da una banca, con riferimento al complesso dell’attività di intermediazione svolta, in un’ottica di gestione integrata dei rischi8. Inoltre, le autorità di vigilanza hanno dovuto provvedere a un continuo miglioramento delle regole e dei principi della regolamentazione prudenziale, al fine di “conferire maggiore rilevanza alla gestione del rischio e a promuovere il costante potenziamento delle capacità di valutazione del rischio da parte delle banche”9

.

7

In questo senso, le Istruzioni di vigilanza esplicitamente recitano come la “competitività della banca, la sua stabilità di medio e lungo periodo, la possibilità stessa che venga garantita una gestione sana e prudente richiedono che essa si doti di adeguati sistemi di rilevazione, misurazione e controllo, individuando tutte le fonti di rischio e le possibili correlazioni fra di esse”, Banca d’Italia (1998), p. 4. 88

Particolarmente rilevante, in questo senso, è il concetto di gestione integrata dei rischi, la quale trova il suo massimo riferimento nella gestione del capitale: pertanto, “institution should develop an internal strategy for maintaining capital levels which can incorporate factors, such as loan growth expectations, future sources and uses of funds and dividend policy. The institution should have an explicit, approved capital plan that states the institutions’s objectives and time horizon for achieving cess”, CEBS (2005), pp. 10-11.

9

(18)

In questo percorso, le autorità di vigilanza hanno sempre ritenuto come elemento determinante della stabilità delle banche il rispetto della normativa e la realizzazione di una condotta ispirata a criteri di correttezza. Inoltre, hanno ritenuto necessaria per le banche l’adozione di un apposito contesto di gestione del rischio di (non) conformità, inteso quest’ultimo come il “rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme di legge, di regolamenti, ovvero di norme di autoregolamentazione o di codici di condotta”10.

Il rischio di non conformità è un rischio operativo, in quanto tale attribuibile esclusivamente alle persone giuridiche che sono tenute al rispetto delle norme antiriciclaggio. E’ un rischio che si evolve e diviene più complesso di pari passo con il perfezionamento del sistema antiriciclaggio approntato dal legislatore11. Il perfezionamento del sistema tramite l’emanazione di provvedimenti di attuazione di norme primarie, difatti, aumenta la quantità delle disposizioni cui gli obbligati devono attenersi per evitare sanzioni12. Il rischio legale (e quindi quello reputazionale) è direttamente proporzionale alla quantità (oltreché complessità) dalle norme emanate.

In un contesto competitivo particolarmente complesso, come è quello in cui attualmente gli operatori si trovano a concorrere, è essenziale valutare con attenzione gli effetti che, a partire da ciascuna azione posta in essere dall’intermediario, possono riprodursi sulle diverse categorie di stakeholder, siano essi azionisti, clienti, dipendenti, il mercato, ma anche le autorità di vigilanza13. In questi termini, l’esigenza di disciplinare il comportamento di operatori economici particolarmente esposti alla componente fiduciaria da parte del pubblico, insieme alla necessità di mantenere fede al principio di autonomia degli operatori bancari nella definizione dei propri modelli organizzativi, ha determinato la scelta da parte del legislatore di fare forza su un regime di moral

suasion e responsabilizzazione degli intermediari e degli organi di governo sulla

tematica della compliance.

Per garantire un efficace presidio di tale rischio, si è ritenuto non sufficiente fare riferimento alle funzioni di controllo già previste all’interno del tradizionale schema di Sistema dei Controlli Interni, bensì si è reputato necessario individuare una funzione specifica all’interno dell’organizzazione dell’impresa bancaria, a

10

Banca d’Italia (2006c), p. 2. 11

In questo caso con il termine “legislatore” ci si riferisce a tutte le Autorità (Banca d’Italia, Consob, Isvap, MEF, Ministero della Giustizia) a vario titolo coinvolte nella lotta al riciclaggio e che, ognuna secondo le proprie attribuzioni e poteri, emanano provvedimenti, circolari, decreti, ecc. che i soggetti obbligati devono comunque rispettare.

12_{Sono esempi lampanti di norme di seconod grado il Provvedimento sulla tenuta dell’AUI, emanato} dalla Banca d’Italia il 23 dicembre 2009, nonché il più recente Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni, emanato sempre dalla Banca d’Italia il 10 marzo 2011.

(19)

cui assegnare delle specifiche competenze di prevenzione e gestione del rischio di violazione delle diverse normative esistenti o dei codici di condotta adottati dall’intermediario.

La funzione di conformità si inserisce nel più ampio sistema dei controlli interni ed in particolare nell’ambito delle funzioni di controllo sulla gestione dei rischi. Nella banche la Compliance è una funzione di controllo di “secondo livello”14 ed ha l’obiettivo di “concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformità, di individuare idonee procedure per la prevenzione dei rischi rilevati e di richiederne l’adozione. Il ruolo descritto differenzia sostanzialmente la funzione di conformità da quella di revisione interna15.

L’adeguatezza ed efficacia della funzione di conformità devono essere sottoposte a verifica periodica da parte dell’Internal Audit o revisione interna (che nelle banche è una funzione di controllo di terzo livello); di conseguenza,per assicurare l’imparzialità delle verifiche, la funzione di conformità non può essere affidata alla funzione di revisione interna.

La definizione di una funzione specificatamente dedicata al rischio di compliance costituisce una testimonianza della rilevanza che la vigilanza attribuisce alla realizzazione di una condotta operativa improntata a criteri di correttezza: soprattutto, tale scelta evidenzia la consapevolezza delle stesse autorità di vigilanza della accresciuta complessità del quadro normativo e dell’intensificarsi del processo di continuo cambiamento e aggiornamento all’interno del sistema finanziario e creditizio.

Per assicurare un adeguato livello di conformità alle norme, non è sufficiente l’attività posta in essere dalla sola funzione di Compliance, ma è necessario il coinvolgimento di tutte le funzioni aziendali, a partire dagli organi di governo, che hanno la responsabilità del complessivo assetto del sistema di gestione del rischio di conformità, fino alle unità operative che devono effettivamente agire in un contesto operativo conforme alle normative interne ed esterne, agli standard operativi, agli eventuali codici di autoregolamentazione a cui la banca ha stabilito di aderire16.

Per poter rispondere a tale obiettivo, occorre individuare all’interno dell’organizzazione aziendale un processo, in grado di interessare l’intera attività e organizzazione della banca, a partire dal top management fino alle singole unità operative, che partendo dalla definizione dei valori e delle strategie aziendali, includa la definizione delle politiche, procedure, prassi operative e

14_{Banca d’Italia, “Disposizioni di vigilanza – La funzione di conformità (compliance)”, 12 luglio 2007,} pag. 8.

15

Cfr. Titolo IV – Capitolo 11 – Sezione II – Par. 1 delle Istruzioni di Vigilanza). 16_{Basel Committee on Banking Supervision (2005), p. 9, ss.}

(20)

comportamenti che devono essere posti in essere dalle strutture operative17. Soltanto attraverso la gestione sistemica di questo fattore di rischio, è possibile garantire un adeguato livello di conformità da parte della struttura, in maniera tale da minimizzare la possibilità di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie o danni di reputazione derivanti da una condotta non conforme alle normative.

Soltanto attraverso l’adesione sostanziale da parte degli intermediari finanziari a questa nuova cultura di qualità della gestione e del sistema di governante aziendale, sarà possibile porre in essere una reale prevenzione delle problematiche future, soprattutto per quei nuovi prodotti e quelle attività che non sono tipiche dell’attività dell’intermediario, e che per questo possono generare particolari ricadute, qualora non siano adeguatamente presidiati, soprattutto nella fase di sviluppo iniziale.

Il Comitato di Basilea ha fornito anche alcuni criteri interpretativi del ruolo che la funzione di Compliance dovrebbe assumere all’interno del complessivo assetto del Sistema dei Controlli aziendali: oltre alle caratteristiche di indipendenza e di adeguatezza delle risorse che devono essere a disposizione della funzione al fine di garantirne l’efficacia d’azione, è fondamentale da parte di ciascuna banca individuare l’ambito di attività che deve essere attribuito a questa funzione. Al di là delle scelte effettuate da parte di ciascun intermediario, la funzione di Compliance deve fornire il supporto necessario all’alta direzione nella verifica dell’aderenza a leggi, regolamenti, procedure, anche in termini di loro evoluzione. Quindi, deve assistere l’alta direzione nella formazione delle risorse umane, al fine di garantire una condotta il più possibile conforme alle normative. A tal fine, deve anche contribuire a realizzare linee guida, procedure, normative interne che possano guidare la conduzione dell’azienda secondo le finalità volute. La funzione di Compliance deve, in un’ottica di prevenzione, ovvero di anticipazione della problematica di rischio, identificare, misurare e valutare il rischio di compliance a cui è esposta l’operatività aziendale: per questo motivo, non può essere associata al mero controllo a norma, ovvero alla semplice verifica di corrispondenza dell’operato aziendale alle norme. Piuttosto, l’attività in questione deve essere soprattutto rivolta alla prevenzione delle problematiche future, con un particolare riguardo a quei nuovi prodotti e a quelle attività che non sono tipiche dell’attività del’intermediario, e che per questo possono generare particolari ricadute, qualora non siano adeguatamente presidiati, soprattutto nella fase di sviluppo iniziale.

Allo stesso tempo, la funzione di Compliance deve anche avere un ruolo di monitoraggio dell’operatività, per cui devono essere portati avanti dei periodici e continui controlli sull’operatività aziendale, anche attraverso l’ausilio di specifici

(21)

indicatori di performance, in maniera tale da garantire una storicizzazione dei controlli e una stratificazione delle informazioni, a partire dai quali sarà poi possibile anche effettuare delle valutazioni di sintesi o delle considerazioni sull’evoluzione della gestione.

Da ultimo, molto importante sarà la realizzazione di uno specifico programma da parte del responsabile della funzione di Compliance, nell’ambito del quale siano contenute le attività che si intende realizzare, in termini di: verifica e implementazione di nuove regole o procedure; attività di verifica del grado di conformità di alcune aree di business; attività di monitoraggio da effettuare, eventualmente anche in collaborazione con altre funzioni aziendali18; attività di sensibilizzazione del personale sulla tematica di compliance.

Per quanto riguarda le Istruzioni di Vigilanza, esse raccolgono in un'unica disciplina le disposizioni emanate dalla Banca d'Italia in materia di vigilanza, di cui, di concerto con il tema del presente lavoro, illustrerò la parte relativa alle disposizioni sul sistema di controllo interno.

La normativa principale per quanto riguarda le banche italiane è rappresentata dalla Circolare 229/1999, intitolata “Istruzioni di Vigilanza per le Banche”, ormai giunta al tredicesimo aggiornamento, del 10 Aprile 2007. La Banca d'Italia ha infatti ricevuto dallo stesso ordinamento funzione di Vigilanza sul sistema bancario, che avviene attraverso la predisposizione di regolamenti e di istruzioni e attraverso la formulazione di proposte al CICR (Comitato Interministeriale per il Credito e il Risparmio), organo che ha l’alta vigilanza in materia di credito e di tutela del risparmio ed emana con delibere - nei casi previsti dalla legge - direttive di carattere generale. Alla Banca d'Italia competono inoltre l'emanazione di provvedimenti di carattere particolare e altri atti amministrativi, con cui viene svolta la concreta attività di controllo nei confronti dei singoli operatori, oltre a periodiche visite ispettive.

Con il termine Vigilanza, si intendono “le diverse azioni volte a sollecitare l'impegno dei responsabili dei soggetti vigilati a risanare le gestioni aziendali problematiche, a prevenire i deterioramenti tecnici, a garantire il rispetto della normativa bancaria”19

. L'intensità degli interventi dipende dalla gravità delle anomalie o delle irregolarità rilevate e dalla capacità dimostrata di porre in essere

18

Il documento di Basilea, pur prevedendo la necessità di garantire un’attività di gestione della compliance all’interno della struttura, ha previsto la possibilità che gli intermediari, specie se di dimensioni ridotte o di limitata complessità operativa, possano affidare lo svolgimento di questa attività ad altre funzioni incaricate della gestione dei rischi, oppure a terzi (attraverso l’esternalizzazione della funzione stessa). Nella libertà di organizzazione del proprio Sistema dei Controlli Interni, la necessità di sottoporre tale funzione alla verifica da parte della revisione interna, ha di fatto escluso per le banche la possibilità che essa possa essere attribuita alla funzione di Internal Audit.

19

(22)

le azioni correttive necessarie. L'attività di supervisione si fonda anche sugli accertamenti ispettivi, e si conclude con la stesura di un documento che sarà la base per gli interventi successivi.

La stesura delle Istruzioni si è resa necessaria per raccogliere in un'unica disciplina l'insieme delle disposizioni di vigilanza emanate dalla Banca d'Italia, ed è soggetta a continui aggiornamenti che derivano da cambiamenti nel quadro ambientale, dall'esperienza nei controlli, degli orientamenti maturati nelle sedi internazionali competenti in materia bancaria, finanziaria e assicurativa.

Le disposizioni hanno contenuti diversificati riguardo ai destinatari e alle materie: la maggior parte si rivolge alla generalità delle banche e ai gruppi bancari, poi vi sono specifiche disposizioni per l'operatività delle banche di credito cooperativo e delle banche estere, nonché alcune regole rivolte anche a soggetti non sottoposti a vigilanza.

I contenuti più importanti, ai fini di questo lavoro, sono le tematiche relative al sistema dei controlli interni, già precedentemente presentato, e la gestione dei rischio contenute nella sezione II del titolo IV.

Le politiche di assunzione dei rischi definite dalle banche devono essere approvate dal Consiglio di amministrazione. Il sistema dei controlli interni deve coprire tutte le tipologie di rischio individuate, in particolare per quanto riguarda i rischi quantificabili, essi devono essere identificati, misurati e monitorati, in modo da gestire l’esposizione complessiva e da tenere in evidenza eventuali anomalie, sintomo di possibili inefficienze nel sistema stesso.

Le funzioni di misurazione e controllo dei rischi possono essere concentrate in un’autonoma struttura, indipendente dall’unità di gestione operativa dei rischi: in tal caso si dovranno definire le responsabilità e le modalità di intervento.

Ogni qualvolta le banche valutino opportunità di ingresso in nuovi mercati o settori operativi e di lancio di nuovi prodotti, si dovrà procedere preventivamente all’individuazione dei rischi e alla definizione di procedure di controllo adeguate, da sottoporre all’approvazione del Consiglio di amministrazione.

Le Istruzioni delineano linee guida per far fronte alle principali tipologie di rischio.

Per quanto riguarda il rischio di credito, si evidenzia il ruolo del consiglio di amministrazione, quale organo responsabile dell'approvazione delle metodologie di misurazione dello stesso e delle tecniche di controllo andamentale definite dall'alta direzione. Il consiglio amministrazione inoltre delibera le deleghe in materia di erogazione del credito, nonché i criteri di gestione, valutazione e classificazione dei crediti anomali. È indispensabile che le banche abbiano in ogni momento una corretta percezione della propria esposizione nei confronti di ogni cliente, pertanto la base informativa deve essere costantemente aggiornata, in modo da consentire un continuo monitoraggio e valutazione dell'esposizione al

(23)

rischio di credito da parte del sistema dei controlli.

Per quanto riguarda il rischio di tasso di interesse e di mercato, si dovranno identificare chiaramente i soggetti responsabili e definire sistemi di misurazione del rischio coerenti col grado di complessità dell'operatività aziendale e sistemi informativi che ne consentano il monitoraggio e la tempestiva segnalazione al consiglio di amministrazione.

Per quanto riguarda altri rischi, le istruzioni accennano a:

- Rischio operativo: riconducibile a inefficienze nelle procedure, controlli inadeguati, errori umani e tecnici, eventi imprevisti. Particolare attenzione va posta ai rischi operativi connessi con l’utilizzo di tecnologie che consentono il contatto a distanza con la clientela.

- Rischio di regolamento: in particolare per le operazioni in cambi, le banche devono definire procedure volte ad assicurare la corretta misurazione e il controllo dell’esposizione in relazione alla durata della stessa, compresa tra il momento in cui l’ordine di pagamento emesso diviene irrevocabile e quello in cui la ricezione dei fondi dalla controparte è verificata.

- Rischio di frode e infedeltà dei dipendenti: le banche devono definire procedure volte a prevenire il manifestarsi di eventi fraudolenti, cercando di limitare possibili situazioni di conflitto tra fini individuali e interessi della banca.

- Rischio legale: in particolare nello svolgimento di attività non tradizionali e con soggetti non residenti

Le Istruzioni intendono porre l'accento anche sull'importanza del rischio di

reputazione. Da questo punto di vista è fondamentale l'attenzione al cliente,

infatti le banche devono:

- sviluppare una cultura aziendale improntata all’assistenza al cliente;

- provvedere ad assicurare l’informazione alla clientela sull’eventuale adesione al “Codice di comportamento del settore bancario e finanziario” predisposto dall’Associazione Bancaria Italiana;

- dare adeguata pubblicità all’eventuale adesione all’”Accordo per la costituzione dell’Ufficio reclami della clientela e dell’Ombudsman bancario”;

- assicurarsi che il personale a contatto diretto con il pubblico sia a conoscenza delle procedure di reclamo interne alla banca e sia in grado di indirizzare correttamente la clientela nell’utilizzo di tali servizi, fornendo adeguate informazioni.

Le Istruzioni sanciscono, poi, l'obbligatorietà per le banche di istituire una funzione di Internal Audit, che abbia il duplice scopo di:

(24)

- controllare, anche con verifiche in loco, la regolarità dell’operatività e l’andamento dei rischi;

- valutare la funzionalità del complessivo sistema dei controlli interni. In tale ambito, la funzione di revisione interna tra l’altro:

- verifica il rispetto nei diversi settori operativi dei limiti previsti dai meccanismi di delega nonché del pieno e corretto utilizzo delle informazioni disponibili nelle diverse attività;

- controlla l’affidabilità dei sistemi informativi, inclusi i sistemi di elaborazione automatica dei dati, e dei sistemi di rilevazione contabile; - verifica che nella prestazione dei servizi di investimento le procedure

adottate assicurino il rispetto, in particolare, delle disposizioni vigenti in materia di separatezza amministrativa e contabile, di separazione patrimoniale dei beni della clientela e delle regole di comportamento; - effettua test periodici sul funzionamento delle procedure operative e di

controllo interno;

- espleta compiti d’accertamento anche con riguardo a specifiche irregolarità, ove richiesto dal consiglio di amministrazione, dall’alta direzione o dal collegio sindacale;

- verifica la rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli.

I compiti e le responsabilità dell’internal audit sono definiti dall’alta direzione, nel rispetto dei principi delineati nel presente paragrafo, e tengono conto delle caratteristiche del complessivo apparato dei controlli, delle dimensioni, della rete territoriale, delle specificità operative della banca. La regolamentazione dell’attività dell’internal audit è approvata dal consiglio di amministrazione. È comunque necessario che l’internal audit non dipenda gerarchicamente da alcun responsabile di aree operative e sia dotato di personale qualitativamente e quantitativamente adeguato ai compiti da svolgere; dovrà inoltre avere accesso a tutte le attività della banca svolte sia presso gli uffici centrali sia presso le strutture periferiche. In caso di attribuzione a soggetti terzi di attività rilevanti per il funzionamento del sistema dei controlli interni (ad esempio, dell’attività di elaborazione dei dati), l’internal audit deve poter accedere anche alle attività svolte da tali soggetti.

Il responsabile dell’internal audit dovrà regolarmente informare il consiglio di amministrazione, il collegio sindacale e l’alta direzione dell’attività svolta e dei risultati di questa.

Nelle banche di dimensioni contenute, la limitata complessità operativa può rendere eccessivamente oneroso destinare stabilmente personale alla funzione di internal audit. In tali casi, è possibile affidare a soggetti terzi lo svolgimento di tale funzione.

(25)

Inoltre, l’esternalizzazione deve risultare formalizzata in un accordo, che deve almeno definire:

 gli obiettivi, la metodologia e la frequenza dei controlli;

 le modalità e la frequenza dei rapporti all’alta direzione e al consiglio di amministrazione sulle verifiche effettuate;

 i collegamenti con le funzioni svolte dal collegio sindacale;

 la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche di un certo rilievo nell’operatività e nell’organizzazione della banca;

 la possibilità di effettuare controlli al verificarsi di esigenze improvvise;

 gli obblighi di riservatezza e la proprietà esclusiva della banca dei risultati dei controlli;

 l’accesso completo e immediato dell’Autorità di vigilanza alla documentazione prodotta dai soggetti terzi.

I vertici aziendali verificano periodicamente l’efficacia e l’efficienza dei controlli effettuati.

Nel rispetto di questi stessi principi, inoltre, le banche, indipendentemente dalla dimensione, possono esternalizzare specifici controlli, che richiedono conoscenze professionali specializzate, in aree operative di contenute dimensioni e/o rischiosità. In qualsiasi momento la banca deve comunque essere in grado di far intervenire, se lo ritiene, la propria funzione di revisione interna. Le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento della funzione di

internal audit ne danno preventiva comunicazione alla Banca d’Italia,

specificando le esigenze aziendali che hanno determinato la scelta e le modalità con le quali verrebbero svolti tali controlli.

I sistemi bancari e finanziari per combattere il riciclaggio devono rafforzare i compiti degli ispettori interni, oggi in Italia definiti “organi di controllo” e lo devono fare tenendo conto delle Istruzioni del Decalogo della Banca d’Italia, entrato anch’esso a far parte delle norme di controllo bancarie.

Le Istruzioni di Vigilanza del 3 gennaio 2002 (e successive) impongono:

a) l’adozione di procedure atte a evitare il coinvolgimento inconsapevole in fatti di riciclaggio;

b) il rispetto delle indicazioni contenute nel Decalogo della Banca d’Italia (art. 3 bis, comma 4, della legge n. 197/91);

c) la comunicazione alla Banca centrale dell’intenzione di esternalizzare le funzioni di internal auditing;

d) la necessità di avere affidabili sistemi informatici; e) gli obblighi della capogruppo;

f) le responsabilità del collegio sindacale, organo di raccordo con la Banca d’Italia e l’obbligo dello stesso collegio di comunicare entro 10 giorni al