La governance del sistema dei controlli interni

Transcript

1 S.A.F. SCUOLA DI ALTA FORMAZIONE La nuova regolamentazione bancaria La governance del sistema dei controlli interni Edoardo Guffanti 24 marzo Milano

2 1. Il TUF Art. 149 (Doveri) Il collegio sindacale vigila: c) sull'adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile nonché sull'affidabilità di quest'ultimo nel rappresentare correttamente i fatti di gestione; c-bis) sulle modalità di concreta attuazione delle regole di governo societario previste da codici di comportamento redatti da società di gestione di mercati regolamentati o da associazioni di categoria, cui la società, mediante informativa al pubblico, dichiara di attenersi; Art. 150, comma 4 (Informazione): Coloro che sono preposti al controllo interno riferiscono anche al collegio sindacale di propria iniziativa o su richiesta anche di uno solo dei sindaci. 2

3 2. Il Codice di Autodisciplina Principi Il sistema di controllo interno è l insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell impresa sana, corretta e coerente con gli obiettivi prefissati. Un efficace sistema di controllo interno contribuisce a garantire la salvaguardia del patrimonio sociale, l efficienza e l efficacia delle operazioni aziendali, l affidabilità dell informazione finanziaria, il rispetto di leggi e regolamenti. Il consiglio di amministrazione valuta l adeguatezza del sistema di controllo interno rispetto all impresa. 3

4 2. Il Codice di Autodisciplina Il consiglio di amministrazione assicura che le proprie valutazioni e decisioni relative al sistema di controllo interno, alla approvazione dei bilanci e delle relazioni semestrali ed ai rapporti tra l emittente ed il revisore esterno siano supportate da un adeguata attività istruttoria. A tal fine il consiglio di amministrazione costituisce un comitato per il controllo interno, composto da amministratori non esecutivi, la maggioranza dei quali indipendenti. Se l emittente è controllato da altra società quotata, il comitato per il controllo interno è composto esclusivamente da amministratori indipendenti. Almeno un componente del comitato possiede una adeguata esperienza in materia contabile e finanziaria, da valutarsi dal consiglio di amministrazione al momento della nomina. 4

5 2.1 Il comitato per il controllo interno Il comitato per il controllo interno, oltre ad assistere il consiglio di amministrazione nell espletamento di altri compiti: a) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari ed ai revisori, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato; b) su richiesta dell amministratore esecutivo all uopo incaricato esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali nonché alla progettazione, realizzazione e gestione del sistema di controllo interno; c) esamina il piano di lavoro preparato dai preposti al controllo interno nonché le relazioni periodiche da essi predisposte; 5

6 2.1 Il comitato per il controllo interno d) valuta le proposte formulate dalle società di revisione per ottenere l affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella eventuale lettera di suggerimenti; e) vigila sull efficacia del processo di revisione contabile; f) svolge gli ulteriori compiti che gli vengono attribuiti dal consiglio di amministrazione; g) riferisce al consiglio, almeno semestralmente, in occasione dell approvazione del bilancio e della relazione semestrale, sull attività svolta nonché sull adeguatezza del sistema di controllo interno. 6

7 2.1 Il comitato per il controllo interno L attività istruttoria è svolta tipicamente dal comitato per il controllo interno, composto da amministratori non esecutivi, in maggioranza indipendenti (ovvero esclusivamente indipendenti, nel caso di emittente controllato da altra società quotata), cui sono attribuite funzioni consultive e propositive; il ruolo di tale comitato rimane distinto rispetto a quello attribuito dalla legge al collegio sindacale, che si caratterizza invece per una funzione di verifica prevalentemente ex post. Al di là della diversa funzione ricoperta, il comitato per il controllo interno svolge attività il cui ambito oggettivo è in parte coincidente con le aree sottoposte alla vigilanza del collegio sindacale. 7

8 2.2. Il preposto al controllo interno Il consiglio di amministrazione, inoltre, su proposta dell amministratore esecutivo incaricato di sovrintendere alla funzionalità del sistema di controllo interno e sentito il parere del comitato per il controllo interno, nomina e revoca uno o più soggetti preposti al controllo interno e ne definisce la remunerazione coerentemente con le politiche aziendali. I preposti al controllo interno: a) sono incaricati di verificare che il sistema di controllo interno sia sempre adeguato, pienamente operativo e funzionante; 8

9 2.2. Il preposto al controllo interno I preposti riferiscono del loro operato al comitato per il controllo interno ed al collegio sindacale; può, inoltre, essere previsto che essi riferiscano anche all amministratore esecutivo incaricato di sovrintendere alla funzionalità del sistema di controllo interno. In particolare, essi riferiscono circa le modalità con cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento ed esprimono la loro valutazione sull idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo. L emittente istituisce una funzione di internal audit. Il preposto al controllo interno si identifica, di regola, con il responsabile di tale funzione aziendale. 9

10 2.3. I tre livelli di controllo È evidente l importanza di una chiara definizione dei livelli di controllo in cui si articola il Sistema di Controllo Interno per passare dalla sommatoria dei controlli ad un sistema di controllo : il primo livello che definisce e gestisce i controlli cosiddetti di linea, insiti nei processi operativi; il secondo livello che presidia il processo di gestione e controllo dei rischi garantendone la coerenza rispetto agli obiettivi aziendali e rispondendo a criteri di segregazione organizzativa in modo sufficiente per consentire un efficace monitoraggio (es. Compliance, Risk manager, Dirigente Preposto, Qualità, ecc.); il terzo livello che fornisce un assurance indipendente sul disegno e sul funzionamento del complessivo Sistema di Controllo Interno (Audit, Comitato per il Controllo Interno). 10

11 2.3. I tre livelli di controllo L assurance è una valutazione oggettiva ed indipendente dei processi di gestione del rischio, di controllo o di governance dell organizzazione. Condizione necessaria per la realizzazione di tale attività è che sia effettuata da un organo o funzione aziendale connotato da caratteristiche di indipendenza rispetto alla gestione operativa o alle altre attività di controllo. I meccanismi di assurance sono finalizzati ad un continuo allineamento del Sistema di Controllo Interno, sia in termini di disegno che di funzionamento,rispetto alle esigenze di governo e controllo aziendale. 11

12 2.3. I tre livelli di controllo A tale riguardo, è al Comitato per il Controllo Interno come organo di controllo ed alla funzione di Internal Audit (o preposto al controllo interno) che compete la responsabilità di fornire una assurance complessiva di adeguatezza sul disegno e funzionamento dei controlli, nonché sulla gestione dei rischi. Altri organi societari di controllo contribuiscono all assurance complessiva in base e grazie alle loro caratteristiche di indipendenza e in relazione agli specifici compiti di controllo a loro attribuiti. 12

13 2.3. I tre livelli di controllo I soggetti aziendali coinvolti nel sistema di governo e controllo e individuati in coerenza con un articolazione delle responsabilità su vari livelli, sono: Organi di governance, di assurance, di vigilanza o di controllo Amministratore Incaricato, come indicato dal Codice di Autodisciplina; Collegio Sindacale, Consiglio di sorveglianza o Comitato per il controllo sulla gestione; Organismo di Vigilanza ai sensi D.lgs 231/2001; Comitato per il Controllo Interno delle società quotate. Controllo/assurance di terzo livello Internal Audit, identificato anche come preposto al controllo interno nelle società quotate e revisione interna nella normativa finanziaria; 13

14 2.3. I tre livelli di controllo Controllo di secondo livello Risk Management e Funzione Compliance (prevalenti nel settore finanziario); Dirigente Preposto alla redazione dei documenti contabili societari e le Funzioni aziendali che lo supportano direttamente (es. Controllo di gestione); Altre funzioni di controllo di secondo livello (es. Qualità, Sicurezza, ecc.); 14

15 3. Le indicazioni di governance di Banca d Italia L organo di controllo ha la responsabilità di vigilare sulla funzionalità del complessivo sistema dei controlli interni. Considerata la pluralità di funzioni e strutture aziendali aventi compiti e responsabilità di controllo (audit, compliance, ecc.), tale organo è tenuto ad accertare l efficacia di tutte le strutture e funzioni coinvolte nel sistema dei controlli e l adeguato coordinamento delle medesime, promuovendo gli interventi correttivi delle carenze e delle irregolarità rilevate. L organo di controllo si avvale delle strutture e delle funzioni di controllo interne alla società per lo svolgimento delle verifiche e degli accertamenti necessari e riceve da queste adeguati flussi informativi periodici o relativi a specifiche situazioni o andamenti aziendali. 15

16 3. Le indicazioni di governance di Banca d Italia In ragione di tale stretto collegamento è opportuno che l organo di controllo sia specificamente sentito in merito alle decisioni riguardanti la nomina dei responsabili delle funzioni di controllo interno (soprattutto revisione interna e controllo di conformità) e la definizione degli elementi essenziali dell architettura complessiva del sistema dei controlli (poteri, responsabilità, risorse, flussi informativi, gestione dei conflitti di interesse). l organo di controllo nello svolgimento dei propri compiti si avvale dei flussi informativi provenienti dalle funzioni e strutture di controllo interno; le relazioni delle funzioni di revisione interna e di conformità devono essere direttamente trasmesse dai responsabili delle rispettive funzioni anche all organo di controllo; 16

17 3. Le indicazioni di governance di Banca d Italia Gli amministratori non esecutivi dovrebbero acquisire, avvalendosi dei comitati interni, informazioni sulla gestione e sull organizzazione aziendale, dal management, dalla revisione interna e dalle altre funzioni di controllo e dovrebbero poter partecipare ai processi di nomina e revoca dei responsabili delle funzioni interne di controllo e di gestione dei rischi (in particolare revisione interna e controllo di conformità); La nomina del responsabile della funzione di revisione interna non dovrebbe essere delegabile dal Consiglio, ma rimanere attribuzione collegiale. 17

18 4. Il ruolo di controllo dell auditing La funzione di revisione interna: a) adotta, applica e mantiene un piano di audit per l esame e la valutazione dell adeguatezza e dell efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dell intermediario; b) formula raccomandazioni basate sui risultati dei lavori realizzati conformemente alla lettera a) e ne verifica l osservanza; c) presenta agli organi aziendali, almeno una volta all anno, relazioni sulle questioni relative alla revisione interna. 18

19 5. I rapporti con la struttura di compliance Il sistema dei controlli è articolato su distinti livelli di controllo e correlati obiettivi, non per oggetto e contenuto delle verifiche. Fonte: Consob 19

20 5. I rapporti con la struttura di compliance 20

21 5. I rapporti con la struttura di compliance 21

22 5. I rapporti con la struttura di compliance Internal Audit: valuta la funzionalità del complessivo sistema dei controlli interni; accerta, anche con verifiche in loco, la regolarità dell'operatività e l'andamento dei rischi piano di verifiche risk based; Compliance: verifica la coerenza dei processi con l obiettivo di prevenire la violazione delle norme di etero e auto regolamentazione,in un ottica di presidio dei rischi di non conformità e di reputazione; Obiettivo condiviso: diffusione di una cultura incentrata sulla piena consapevolezza dei rischi e sul rispetto delle regole. Fonte: AICOM e AIIA 22

23 6. I rapporti con gli organi interni di controllo Le relazioni intercorrenti tra la funzione Internal Audit e gli organi di controllo: Collegio Sindacale, Comitato per il Controllo Interno, Organismo di Vigilanza 231. A tale proposito l Internal Audit, esprime la valutazione sul sistema di controllo interno, tenuto conto delle politiche di rischio dell azienda, in coerenza con le indicazioni del Codice di Autodisciplina di Borsa Italiana. Nell ambito di tale funzione di assurance, l Internal Audit esegue attività di audit anche sull operato delle funzioni di controllo di secondo livello. La sua attività rappresenta una assurance complementare a quella fornita dagli organi interni di controllo. 23

24 6. I rapporti con gli organi interni di controllo Per meglio adempiere al proprio compito di valutazione del complessivo sistema di controllo interno, risulta altresì importante che l Internal Auditing riceva flussi informativi, strutturati e non, dagli altri organi di controllo e dalle direzioni aziendali. Inoltre l Internal Audit supporta il Comitato per il Controllo Interno e il Consiglio di amministrazione nella definizione delle linee di indirizzo del sistema di controllo interno in modo che i principali rischi siano correttamente identificati, gestiti e monitorati, determinando anche i criteri di compatibilità di tali rischi con una sana e corretta gestione d impresa. 24

25 6. I rapporti con gli organi interni di controllo Modalità di interrelazione: I flussi informativi L Internal Audit presenta almeno annualmente al Comitato per il Controllo Interno il piano di audit, risk based per informazione da parte del Consiglio d Amministrazione; riferisce inoltre sull attività svolta, almeno ogni 6 mesi o con frequenza maggiore su richiesta del Comitato o su propria iniziativa. L Internal Audit presenta almeno annualmente anche al Collegio Sindacale il proprio piano di lavoro e riferisce sull attività svolta, almeno ogni 6 mesi o con frequenza maggiore su richiesta del Collegio Sindacale o su propria iniziativa. Internal Audit viene informato sull attività svolta dal Collegio Sindacale in ambito sistema di controllo interno, mediante trasmissione di verbali degli incontri/relazioni specifiche oppure prendendo parte alle adunanze del Collegio Sindacale. L Internal Audit presenta almeno annualmente all Organismo di Vigilanza per approvazione una proposta del piano di attività e di verifica che riguarda le aree di rischio reato D.lgs 231 che può contribuire a identificare in ottica di supporto ai compiti di vigilanza dell Organismo stesso. 25

26 6. I rapporti con gli organi interni di controllo I momenti conoscitivi-partecipativi Agli incontri del Comitato per il Controllo Interno, dell Organismo di Vigilanza e del Collegio Sindacale partecipa la funzione Internal Audit, su invito oppure in modo continuativo. L eventuale ruolo dell Internal Audit di segreteria tecnica del Collegio Sindacale, a volte già attuato dalle aziende, può costituire una valida modalità. L attuazione di direttive Gli organi di controllo possono chiedere che l Internal Audit dia attuazione a determinate linee di indirizzo, in particolare: Il Comitato per il Controllo Interno ed il Collegio Sindacale possono chiedere all Internal Audit di eseguire specifiche attività di verifica. L Organismo di Vigilanza può chiedere all Internal Audit modifiche al piano di verifica dei processi sensibili ai fini D.lgs 231/01. E compito dell Internal Audit monitorare il mantenimento di un equilibrio nel proprio piano di attività, tenendo conto delle richieste intervenute e della copertura progressiva in termini di audit del complessivo scenario (riferendone al Comitato per il Controllo Interno qualora dovessero sorgere delle problematiche in merito). 26

27 6.1 I rapporti con la struttura di compliance Necessità di una adeguata definizione delle modalità di coordinamento e raccordo con l Internal Audit (e con le altre funzioni aziendali di controllo),in un ottica di: Condivisione di informazioni; Minimizzazione delle aree di possibile sovrapposizione. È possibile la definizione delle modalità di collaborazione in un ottica di integrazione/ coordinamento dei piani di attività (accordi di servizio) sull esigenza che la definizione di accordi di servizio non faccia venir meno l indipendenza dell Internal Audit, che conserva le responsabilità inerenti alla propria mission. 27

28 6.1 I rapporti con la struttura di compliance Scambio di informazioni: Internal Audit fornisce copia delle relazioni, o altre comunicazioni, alla funzione Compliance sulle risultanze delle attività di audit svolte al fine di supportare l assessment dell esposizione al rischio compliance effettuata dalla Funzione Compliance; la funzione Compliance fornisce copia delle relazioni, o altre comunicazioni, all Internal Audit sulle risultanze delle attività di analisi o verifica svolte affinché quest ultimo possa tenerne conto nella fase di pianificazione di audit; relazioni almeno semestrali sono predisposte e scambiate reciprocamente tra le funzioni sulle attività pianificate considerazioni sugli esiti complessivi conseguiti. 28

29 7. I principali rilievi in sede ispettiva Scarsa autorevolezza e indipendenza della funzione: dipendenza sostanziale da funzioni esecutive/operative, debole posizione nella governance aziendale, inadeguatezza dei flussi informativi verso il CDA (consapevolezza), difficoltà nella gestione dei conflitti d interesse concernenti i responsabili aziendali, insufficiente dimensionamento quali - quantitativo dell unità, non in grado di svolgere una funzione dialettica rispetto alle strutture di business. Inadeguata funzionalità dei meccanismi operativi: inadeguata integrazione nella realtà aziendale e raccordo con le altre funzioni di controllo, per instaurare un dialogo costante, problemi di affidabilità, completezza e tempestività della rendicontazione, incapacità di rimozione delle anomalie riscontrate, embrionali strumenti IT di supporto (appl. dedicati). 29

30 7. I principali rilievi in sede ispettiva Ruolo non preventivo e proattivo: scarso coinvolgimento nei processi di innovazione (es. nei Comitati nuovi prodotti) e nella definizione delle politiche commerciali (es. prevalenza prodotti complessi a fronte di clientela tipicamente a basso rischio) e di pricing (es. commissioni di massimo scoperto), carente supporto al vertice aziendale (pareri) nell assunzione di decisioni sull istituzione di nuove strutture, l introduzione di modifiche regolamentari, la definizione dei sistemi retributivi e incentivanti del management e della rete (es. non prevenendo episodi di infedeltà presso le dipendenze), aree di rischio non adeguatamente presidiate (es. confl. interesse). Incapacità di incidere realmente sulla cultura aziendale: sistemi di budget e incentivanti raccordati con obiettivi di business e di contenimento del rischio ma non anche con finalità di correttezza ed eticità dei comportamenti, insufficiente considerazione delle suddette finalità ai fini di valutazione e formazione del personale. Fonte: Banca d Italia 30

31 8. Banca d Italia Ottobre