Il sistema di Corporate Governance - compliance.ania.it · Capitolo 1 Il sistema di Corporate...

1.1. Corporate Governance: trasparenza e accountability

L’architettura complessiva del governo societario costituisce un elemento indispensabile per la definizione dei riferimenti istituziona-li dei Controlli Interni e, nell’ambito di questi, della funzione diCompliance.

Stante la primaria importanza di un inquadramento complessivo delpresidio di Compliance entro il più ampio sistema di CorporateGovernance, è opportuno soffermarsi brevemente su quest’ultimo, for-nendo qualche sintetica delucidazione al riguardo, in modo da addive-nire a un concetto condiviso.

Una delle definizioni maggiormente note e utilizzate di governosocietario è quella data dal Comitato per gli Aspetti Finanziari dellaCorporate Governance, presieduto da Sir George Adrian HayhurstCadbury, gli esiti dei cui lavori sono confluiti nel Report and Code ofBest Practice (noto anche come Cadbury Report), capostipite deinumerosi Codici e Rapporti anglosassoni recanti linee guida per unbuon governo societario1. Secondo il Cadbury Report, la CorporateGovernance può descriversi come «il sistema con il quale le aziendevengono dirette e controllate».

Capitolo 1

Il sistema di CorporateGovernance

1 Il Codice o Rapporto Cadbury, pubblicato nel dicembre del 1992, è stato seguitoda nuove regolamentazioni, quali il Rapporto Greenbury (1995) e il Rapporto Hampel(1998, altrimenti noto come Combined Code, poi rivisto nel 2003).

L’incisiva definizione Cadbury è sine dubio suggestiva ed efficacenella sua concisione, ma necessita forse di ulteriori riferimenti di conte-stualizzazione, i quali possono essere tratti dalla descrizione maggior-mente dettagliata fornita dall’OECD, nel Preambolo dei suoi Principi diCorporate Governance2, recanti linee guida in materia, la cui autorevo-lezza è riconosciuta a livello internazionale. Ivi si osserva come il gover-no societario implichi una serie di relazioni intercorrenti tra ilManagement dell’impresa, l’Organo amministrativo, gli azionisti(Shareholder)3 e coloro che a vario titolo risultano essere portatori d’inte-resse nell’organizzazione4 (Stakeholder)5. L’OECD quindi prosegue nellasua definizione, enunciando che la Corporate Governance costituisce lastruttura deputata a stabilire gli obiettivi dell’impresa e a determinare imezzi necessari al conseguimento di tali finalità nonché gli strumenti dicontrollo e misurazione, in termini di performance, dei risultati ottenuti.

Pertanto, mediante una lettura combinata delle due definizioni, èpossibile addivenire a un concetto di Corporate Governance, intesoquale complesso sistema di regole6, relazioni7, processi e strumenti8

che in un’organizzazione sono deputati a una corretta ed efficientegestione dell’impresa, la quale escluda ogni forma di ambiguità e pro-ponga, invece, la chiarezza e la condivisione delle regole e delle infor-mazioni, la trasparenza, appunto, dell’ambiente gestionale e istituzio-nale del comando aziendale. Attori principali di tale sistema sono

Teoria e prassi della Compliance nelle assicurazioni24

2 I Principi di Corporate Governance dell’OECD rappresentano un documento diimportanza fondamentale per lo studio e la comprensione delle peculiari problemati-che inerenti il governo societario. Pubblicato nel 1999, ne è stata edita una versioneaggiornata nel 2004.

3 Vedasi Glossario.4 Il termine «organizzazione» viene qui impiegato nella sua più vasta accezione

sinonimica di istituzione operante nel mercato che adotta politiche di business, di rela-zione con i portatori d’interesse, di responsabilità sociale e ambientale.

5 Vedasi Glossario.6 Per regole della Corporate Governance, si intendono sia le norme dell’ordina-

mento giuridico nazionale in cui opera l’impresa sia le regole interne a questa stessa(quali, ad es., statuto, codice etico ecc.).

7 Per relazioni si intendono le dinamiche dei rapporti intercorrenti tra gli attoridella Corporate Governance di seguito indicati nel testo.

8 I processi e gli strumenti citati nel testo si riferiscono ai meccanismi relativi alladelega dell’autorità, al controllo e alla misurazione delle performance conseguite, allaContabilità e ai flussi informativi (reportistica).

l’Organo amministrativo9, il Management, gli Stakeholder e i variShareholder.

È inoltre opportuno sottolineare come la parola Governance indicasia l’azione di governare che il metodo di governo adottato, signifi-cando al contempo anche l’uso di assennatezza nell’esercizio di taleattività e la relativa assunzione di responsabilità (accountability) inordine alle decisioni prese.

Quest’ultima particolare accezione di Governance deriva dalla radicelatina del termine, il quale discende dal verbo «gubernare» che significa«guidare». Come il nocchiero (dal greco naéw «nave» e klhrow «sorte,proprietà») che conduce la nave, così l’Organo amministrativo che gover-na l’impresa ne detiene le sorti. Sarà pertanto fondamentale che esso dis-ponga di una bussola affidabile per orientare la rotta della nave-aziendaverso mete rispondenti sia agli interessi degli Shareholder10 che alle varieaspettative di cui sono portatori e promotori i suoi Stakeholder di riferi-mento, in quanto, come afferma Seneca, «nessun vento è favorevole peril marinaio che non sa a quale porto vuol approdare.»11

Il Sistema dei Controlli Interni (SCI) è lo strumento principe che, ex antein ottica preventiva-proattiva ed ex post con azione mitigativa, funge dabussola dell’Organo amministrativo, offrendo a questo un valido supportoper un governo dell’impresa che sia finalizzato a garantirne la stabilità neltempo e a tutelarne l’integrità del patrimonio, a doverosa salvaguardiadegli azionisti che ivi hanno investito i propri capitali, tenendo comunquesempre in considerazione anche le esigenze e gli interessi dei terzi cheinterloquiscono a vario titolo con essa (clienti, risparmiatori, creditori,finanziatori, dipendenti, Regolatori, società ed ambiente in generale).

Il SCI offre infatti all’Organo amministrativo un patrimonio infor-mativo trasparente, esaustivo, attendibile e pertinente che consente aesso di deliberare ad hoc in modo fondato, consapevole e responsabi-le, senza trovarsi a essere sopraffatto dagli eventi o vincolato a unamera ratifica di impegni già di fatto assunti.

Il sistema di Corporate Governance 25

© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

9 In forma, a seconda delle diverse scelte aziendali, di Amministratore unico oppu-re di Collegio, quindi CdA o Board che dir si voglia. Per una trattazione maggiormen-te approfondita al riguardo, si rinvia il lettore al paragrafo 1.3, relativo ai differentimodelli di governo societario in uso.

10 Relativi alla redditività dell’investimento effettuato e all’incremento del valoredelle azioni detenute.

11 Seneca, Lettere a Lucilio, lettera 71.

Una buona Corporate Governance si fonda infatti su una gestioneaziendale volta a promuovere i valori della trasparenza e della conoscenzadiffusa e partecipata degli aspetti istituzionali e delle scelte gestionali del-l’impresa. La trasparenza delle decisioni in cui si esplica il comandoaziendale rappresenta innanzitutto una condizione imprescindibile all’as-sunzione di responsabilità dell’Organo amministrativo in ordine alle scel-te effettuate. Il rispetto di tale valore nella concreta operatività dell’impre-sa permette inoltre a tutti i suoi interlocutori di sapere come questa è diret-ta e, di conseguenza, consente loro di esercitare i propri diritti e di assu-mersi le relative responsabilità in modo informato e consapevole.

È infine bene ricordare come la trasparenza costituisca la base dellafiducia collettiva nel sistema aziendale, in quanto essa viene percepitadall’opinione pubblica come il più valido e saldo presidio avverso lacommissione di illiceità e il verificarsi di dissesti finanziari: ad argutocommento della primaria importanza attribuita dalla società alla buonapratica della disclosure, un giudice della Corte Suprema statunitensesoleva affermare sinteticamente che la luce elettrica è «il più efficientedei poliziotti».

1.2. Sistema dei Controlli Interni: bussola della Corporate Governance

Il Sistema dei Controlli Interni (SCI)12, consiste nell’insieme delle rego-le, delle procedure e delle strutture organizzative volte a garantire ilcorretto funzionamento e il buon andamento dell’impresa, assicurandoprocessi aziendali efficienti ed efficaci, rischi monitorati e mitigati,informazioni contabili e gestionali trasparenti, complete ed attendibili,tutela del patrimonio e conformità alla normativa vigente13.


12 Vedasi Glossario. 13 Si veda al riguardo l’art. 4 (Obiettivi del Sistema dei Controlli Interni), del

Regolamento ISVAP n. 20 del 26/03/2008: «Il Sistema dei Controlli Interni è costituitodall’insieme delle regole, delle procedure e delle strutture organizzative volte ad assi-curare il corretto funzionamento ed il buon andamento dell’impresa e a garantire, conun ragionevole margine di sicurezza: a) l’efficienza e l’efficacia dei processi aziendali;b) l’adeguato controllo dei rischi; c) l’attendibilità e l’integrità delle informazioni con-

Un’efficiente ed efficace organizzazione del SCI può conferire valo-re aggiunto e offrire un rilevante vantaggio competitivo all’impresanell’arena economica.

I Controlli Interni infatti, quale strumento principe per il governo ela mitigazione del rischio imprenditoriale,

possono essere utilizzati per gestire il cambiamento, per coinvolgere tutti ilivelli di persone che lavorano nell’azienda nel raggiungimento degli obiet-tivi economici, e per migliorare l’immagine dell’impresa e la capacità di tro-vare fondi in futuro, per non parlare del valore delle sue azioni a lungo ter-mine. Perciò, una giusta attenzione alla gestione del rischio e al controllointerno può far guadagnare a un’azienda considerevoli benefici14.

Gli effetti di una lungimirante e coscienziosa gestione dei ControlliInterni si riverberano tanto sul business del breve periodo quanto suuna stabile prospettiva di vita dell’impresa nel più lontano futuro,garantendo contestualmente il soddisfacimento delle aspettative degliAzionisti e la salvaguardia degli interessi di cui i vari Stakeholder sonoportatori verso l’azienda.

In ciò si rinviene la ragione dell’aver affidato la supervisione di talesistema all’Organo amministrativo15, al quale spetta infatti di «stabili-re politiche di controllo interne e assicurarsi che funzionino»16.

Come precisa l’ISVAP, esso

ha la responsabilità ultima del Sistema dei Controlli Interni del quale deveassicurare la costante completezza, funzionalità ed efficacia, anche conriferimento alle attività esternalizzate. L’Organo amministrativo assicura


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

tabili e gestionali; d) la salvaguardia del patrimonio; e) la conformità dell’attività del-l’impresa alla normativa vigente, alle direttive e alle procedure aziendali».

14 Institute of Chartered Accountants, Implementing Turnbull: A BoardroomBriefing, Centre for Business Performance, settembre 1999 (guida all’implementazio-ne del rapporto della Turnbull Committee, Internal Control: Guidance for Directorson the Combined Code, pubblicato sempre nel corso del settembre 1999).

15 The Financial Reporting Council, Internal Control: Revised Guidance forDirectors on the Combined Code, ottobre 2005: «It is the Board’s responsibility tomake sure this happens.» («È responsabilità del CdA assicurare che ciò accada».)

16 Adrian Cadbury, Corporate Governance. Cosa è, Luiss University Press, 2007traduzione dell’originale in lingua inglese Corporate Governance and Chairmanship- A Personal View, Oxford University Press, 2002.

che il sistema di gestione dei rischi consenta la identificazione, la valuta-zione e il controllo dei rischi maggiormente significativi, ivi compresi irischi derivanti dalla non conformità alle norme17.

Riconoscere un ruolo cardine al Sistema dei Controlli Interni nella vitaquotidiana dell’azienda presuppone che il concetto di Risk-basedapproach sia stato adeguatamente recepito, compreso e metabolizzatonella pienezza della sua poliedrica complessità, andando quindi ainformare in via continuativa l’intera organizzazione dell’impresa.

La strutturazione e l’implementazione di un idoneo e funzionaleSistema dei Controlli Interni identifica al contempo sia l’imprescindi-bile premessa/promessa di stabilità aziendale e di garanzia degli inte-ressi degli Shareholder e degli Stakeholder, sia l’auspicato esito bene-fico che ne discende, dando vita e vivificando un circolo virtuoso dibest practice di trasparenza e accountability che si irradianodall’Organo amministrativo alle aree periferiche dell’impresa18.

L’impresa non costituisce infatti una realtà isolata e autarchica, manecessita della costante interazione con la società di cui fa parte e dallaquale trae l’alimento sia in forma di capitale investito sia di domandad’acquisto. Questo contribuisce a fornire il comburente al processocreativo di beni e servizi costituente l’essenza del suo business.L’azienda deve inoltre aver cura di non tralasciare le istanze sociali diassunzione di responsabilità, a cui dovrà rendere conto per mezzo degliorgani di Corporate Governance, garantendo un’informativa rapida,chiara, pertinente, esaustiva e attendibile.

Un’avveduta gestione del SCI potrà pertanto semplificare ed accele-rare il processo di allineamento aziendale tra vision, accountability estrategie di business, costituendo una preziosa opportunità per testarela razionalità e l’efficienza dell’impresa, sia nel suo insieme che neisingoli processi organizzativi.


17 Art. 5 (Organo amministrativo), Regolamento ISVAP n. 20 del 26/03/2008.18 Di tali scelte e attività l’Organo amministrativo avrà cura di tenere memoria

scritta mediante la redazione periodica di report informativi sull’effettività dello SCI.Vedasi al riguardo anche Gee Publishing Ltd., The Combined Code, giugno 1998:«The directors should, at least annually, conduct a review of the effectiveness of thegroup’s system of Internal control and should report to shareholders that they havedone so. The review should cover all material controls, including financial, operationaland Compliance controls and Risk Management systems».

1.2.1. Sistema dei Controlli Interni: breve excursus storico comparatistico

L’implementazione dei Controlli Interni, quale sistema volto ad assicu-rare un’efficiente ed efficace gestione del rischio imprenditoriale, vennepercepita come un’esigenza particolarmente pressante negli U.S.A. e inGran Bretagna, a seguito di alcuni gravi scandali che ne funestarono imercati, dando luogo, anche sull’onda dell’indignazione pubblica solle-vata, all’emanazione di corpi normativi o alla stesura di guideline indi-rizzate alle imprese e volte a indurle a strutturarsi in modo adeguato, alfine di prevenire il verificarsi in futuro di simili deplorevoli fatti.

L’esigenza di approntare una disciplina maggiormente rigorosa intema di disclosure e accountability degli operatori economici è stataavvertita in tempi alquanto risalenti negli Stati Uniti. Già intorno allametà degli anni Ottanta venne infatti istituito il Committee ofSponsoring Organizations of the Treadway Commission (COSO)19,un’organizzazione privata volta a fornire al Top Management e agliorgani di Corporate Governance delle linee guida relative agli aspetticonsiderati più critici di materie cruciali quali il governo societario, lacultura del controllo interno, le attività di gestione del rischio, la tra-sparenza e l’affidabilità della reportistica finanziaria e, più latamente,il rispetto di valori etici nel mondo degli affari.

Nel settembre 1992 tale comitato ha presentato un resoconto inquattro volumi (intitolato Internal Control-Integrated Framework)delle attività di ricerca e di osservazione da esso svolte, il quale è poistato ripubblicato con alcuni emendamenti di lieve entità nel 1994. IlCOSO Framework reca un modello comune di controllo interno20, con-siderato ormai uno standard di riferimento negli U.S.A., che le imprese


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

19 Più precisamente, il COSO venne istituito nel 1985 al fine di sponsorizzare laNational Commission on Fraudulent Financial Reporting, un’iniziativa indipendentepromossa dal settore privato con l’intento di analizzare i fattori causali che possonocondurre alla redazione di una reportistica finanziaria fraudolenta e, inoltre, fornireuna serie di consigli a supporto delle imprese nella comunicazione di informazionirelative al bilancio societario. Tale Commissione è anche nota come TreadwayCommission, dal nome del suo primo presidente James C. Treadway.

20 Il COSO Framework definisce il sistema di controllo interno come un processo,condizionato dall’Organo amministrativo, dal Top Management e da altro personaledell’azienda, volto a fornire una ragionevole sicurezza riguardo il raggiungimentodegli obiettivi di efficienza ed efficacia dell’organizzazione, affidabilità delle infor-

possono assumere a parametro di raffronto per verificare l’adeguatez-za delle soluzioni organizzative da esse implementate21.


mazioni di bilancio, conformità alle leggi e ai regolamenti applicabili all’impresa. Lagaranzia offerta dall’implementazione in azienda di un adeguato sistema di controllointerno non può essere assoluta, in quanto, come sottolinea la definizione fornita dalCOSO, esso coinvolge esseri umani e risulta pertanto potenzialmente esposto ai rischidi errori di giudizio, episodi di collusione tra impiegati o di coercizione da parte delTop Management.

Il COSO ha identificato cinque fattori, tra loro interrelati, dipendenti dal modo in cuiil Management gestisce l’impresa, i quali possono essere assunti a parametri di riferi-mento per effettuare una valutazione in ordine all’adeguatezza del sistema di control-lo che un’azienda ha adottato.

Tali indicatori sono:• control environment: a sua volta costituito da una molteplicità di elementi che deno-

tano la cultura del controllo che ha un’impresa, la quale condiziona in modo definiti-vo il livello di coscienza e sensibilità al controllo delle persone che vi lavorano. In talevariabile chiave rientrano fattori quali l’integrità, i valori etici, la filosofia e lo stileoperativo del Management, il sistema di deleghe dei poteri e delle responsabilità non-ché le politiche di gestione e sviluppo delle risorse umane;

• risk assessment: le attività volte all’individuazione, analisi e valutazione delle fontidi rischio esterne e interne a cui l’impresa è esposta. In quanto tali, esse risultanoessere condizionate imprescindibilmente a una preventiva fissazione degli obietti-vi persegiti dalla società, in modo da convogliare l’attenzione verso quei rischi ilcui verificarsi potrebbe comprometterne il raggiungimento;

• control activities: le politiche e le procedure che supportano l’attuazione delle scel-te gestionali compiute dal Management e che contribuiscono ad assicurare chesiano prese le necessarie misure per evitare l’avverarsi di quei rischi capaci diintralciare il conseguimento degli obiettivi aziendali. Esse pertanto ineriscono inmodo pervasivo all’impresa nel suo complesso, a ogni suo livello gerarchico e fun-zione, includendo una vasta gamma di attività, quali le approvazioni, le autorizza-zioni, le verifiche, il riesame delle performance operative, la salvaguardia degliasset aziendali e le policy di controllo volte ad assicurare che nessun soggetto inazienda abbia la responsabilità di funzioni tra loro interrelate (cosidetta SOD -segregation/separation of duties);

• information and communication: la reportistica e i flussi informativi inerenti ledecisioni operative, il bilancio, la Compliance normativa;

• monitoring: il processo che verifica la qualità nel tempo delle performance delsistema di controllo, in modo da segnalare eventuali carenze e consentire l’ado-zione di adeguati interventi correttivi, in un’ottica di continuo miglioramento delsistema.21 Una recente indagine promossa dal CFO Magazine evidenzia come ben l’82%

delle imprese intervistate abbiano assunto il COSO Framework come modello di riferi-mento per l’organizzazione del proprio sistema di controllo interno.

Circa un decennio dopo la pubblicazione della prima edizione delCOSO Framework, il mercato statunitense venne funestato da una seriedi gravi scandali finanziari aventi per protagonisti Enron, TycoInternational22, Adelphia23, Peregrine Systems24 e WorldCom25, i cuidissesti comportarono un vero e proprio collasso dei rispettivi titoliazionari, infliggendo ai risparmiatori costi per miliardi di dollari eintaccando, più in generale, la fiducia del pubblico nella stabilità esicurezza dei mercati.

Tra questi, l’episodio forse più noto riguarda Enron, multinazio-nale operante nel settore energetico che fallì nel 2001, dando inizioal periodo nero del mercato statunitense e cogliendo del tutto impre-parata l’opinione pubblica, in quanto, nel corso degli anni Novanta,le dimensioni del suo business, in virtù di un trend di crescita costan-te, erano andate pressoché a duplicarsi, raggiungendo un fatturato


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

22 Nel 2002 Tyco venne coinvolta in un grosso scandalo finanziario per abusod’ufficio da parte del presidente e CEO L. Dennis Kozlowski e del suo SeniorManagement team, accusati di aver utilizzato per fini personali fondi di proprietàdell’azienda. Kozlowski e il CFO Mark Swartz sono stati giudicati colpevoli per frodee sottrazione di centinaia di milioni di dollari dai fondi della società e condannati areclusione per un periodo che va da un minimo di otto anni e quattro mesi a un mas-simo di venticinque.

23 Società di telecomunicazione attiva nel settore della TV via cavo, andò in ban-carotta nel maggio del 2002 (con un ammanco di bilancio di 2 miliardi e 300 milionidi dollari), a seguito di pratiche contabili poco chiare. Nel luglio dello stesso anno ven-nero arrestati John e Timothy Rigas, padre e figlio nonché rispettivamente fondatore edirettore finanziario della società. Il primo venne poi condannato a quindici anni direclusione e il secondo a vent’anni. All’epoca, il sottosegretario alla giustizia LarryThompson, dichiarò che la famiglia Rigas aveva usato l’Adelphia «come il suo salva-danaio personale, tramite truffe su scala senza precedenti a danno degli investitori edei creditori, manipolando i registri per creare l’illusione che l’Adelphia fosse in atti-vo». Thompons definì i reati commessi in Adelphia come «l’equivalente di una rapinaa mano armata».

24 La società di software dichiarò bancarotta nel 2002, a seguito di una grave epi-sodio di frode finanziaria, licenziando millequattrocento impiegati (circa la metà dellasua forza lavoro) e facendo perdere agli azionisti più di 8 milioni di dollari.

25 Il fallimento del gigante delle telecomunicazioni Worldcom causò 20 mila licen-ziamenti e fece perdere agli azionisti una cifra attorno ai 180 miliardi di dollari. Il CEO

Bernard Ebbers è stato in seguito condannato a venticinque anni di reclusione perfrode finanziaria, cospirazione e falso in bilancio: Ebbers contabilizzava le spese digestione come investimenti, facendo così apparire floride le finanze della società egonfiandone artificialmente il valore delle azioni.

annuo di circa 130 miliardi di dollari, e le sue azioni godevano famadi longeva solidità.

Nel 2001, ex abrupto, senza che il fenomeno fosse stato precedutoda alcuna avvisaglia, il valore delle azioni Enron subì un drastico calo,passando dall’iniziale quotazione di 86 dollari a solo 26 centesimi.

Il clamoroso e del tutto imprevisto crack della Enron condusse allamiseria coloro che vi avevano collocato, indotti dalla fama di investi-mento fidato, tutti o gran parte dei propri risparmi, decretando anche ilprincipio delle drammatiche traversie economiche che un rilevantenumero dei suoi dipendenti avrebbe patito: all’inesorabile falcidia deiposti di lavoro veniva infatti a sommarsi anche la beffa di non poteralienare, se non a un prezzo irrisorio, le azioni a suo tempo acquisitein stock option26.

Alle tentacolari spire del fallimento, che avevano ghermito i dipen-denti e l’azionariato della Enron, riuscì scandalosamente a sottrarsi ilTop Management della società, che aveva provveduto a vendere leazioni nel periodo aureo antecedente al breakdown.

Il fallimento travolse, con un catastrofico effetto domino, anche lecompagnie presso cui la Enron si era assicurata nonché gli istituti dicredito che a questa, oramai insolvente, avevano accordato prestiti eche, disperando di recuperare i capitali concessi, si fecero promotori diuna politica inflessibile e aggressiva di riscossione verso il restantenovero dei debitori, occasionando così il tracollo di altre società.

La totale assenza di un qualsivoglia segno premonitore del crollo el’ambigua circostanza dell’incolumità che la sorte sembrava aver riser-vato elitariamente all’intero team dirigenziale, destò numerose per-plessità e crescente scetticismo presso l’opinione pubblica, inducendo-la a pretendere delle delucidazioni in merito.

A seguito delle indagini condotte, emerse come la Enron fatturas-se dei redditi così elevati sia attraverso una Contabilità truccata siagrazie a favori provenienti dagli ambienti politici di parte tantodemocratica quanto repubblicana, i quali costituivano il corrispettivoelargito a fronte delle generose e occulte sovvenzioni alle campagneelettorali e delle donazioni, in denaro o sotto forma di pacchetti azio-


26 La Enron aveva infatti adottato la politica di offrire in stock option le proprieazioni non soltanto al Top Management, pratica assai diffusa, ma anche a tutti i dipen-denti.

nari, che la società era solita dispensare astutamente a vari esponen-ti politici27.

Dichiarata la bancarotta fraudolenta, il congresso indisse una com-missione d’inchiesta, all’esito delle cui indagini, gli esponenti delManagement Enron furono rinviati a giudizio e condannati a penedetentive dai 18 mesi ai 24 anni.

La forte pressione esercitata dall’opinione pubblica per rafforzare latrasparenza e l’accountability delle aziende condusse all’emanazionenel 2002 del Sarbanes-Oxley Act (SOX), noto anche come PublicCompany Accounting Reform and Investor Protection Act, che costi-tuisce il frutto della convergenza dei disegni di legge proposti dai sena-tori Michael G. Oxley (repubblicano) e Paul Sarbanes (democratico).La legge persegue il duplice obiettivo di consolidare la CorporateGovernance, quale garanzia di buona gestione dell’impresa nell’inte-resse degli azionisti, che vi hanno investito il loro capitale, e di garan-tire una più rigorosa trasparenza delle scritture contabili, aumentandola responsabilità dei revisori e prevedendo, a deterrente, rilevanti incre-menti delle pene nei casi di falso in bilancio e simili.

Poco tempo dopo, nel 2004, il COSO ha pubblicato l’Enterprise RiskManagement-Integrated Framework (ERM), esito di ricerche e studiprincipiati già nel 2001, quando sulla scia dei gravi scandali finanzia-ri occorsi il Comitato decise di proporre un nuovo modello di riferi-mento, maggiormente semplice da recepire nella realtà aziendale, ilquale non venisse a essere focalizzato esclusivamente sul sistema dicontrollo interno ma riguardasse più ampiamente la complessivagestione dei rischi cui l’impresa risulta esposta.

L’ERM può essere definito come una tecnica di Management fina-lizzata alla massimizzazione della performance aziendale e al miglio-ramento e rafforzamento della cultura del controllo su cui è fondato ilsistema di Corporate Governance, mediante attività di gestione deirischi basate su metodologie razionali28, ove i rischi necessari che sirivelano potenzialmente in grado di favorire il buon andamento del-l’impresa e di accrescerne i risultati vengono accettati, mentre quelli


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

27 Jeffrey Skilling (condannato poi a 24 anni di reclusione), CEO della Enron non-ché principale artefice della truffa finanziaria, si assicurò ulteriori accantonamenti didenaro nelle isole Cayman e presso altri paradisi fiscali avvalendosi della copertura diuna rete di società, il cui legame con la Enron era stato accuratamente insabbiato.

28 Definizione data dal METI (Ministero Giapponese dell’Economia).

non necessari vengono evitati. Prodromica a una siffatta gestione dico-tomica dei rischi, risulta essere pertanto l’attività volta a identificarli eclassificarli nonché a valutarne il tipo e l’entità di impatto prodotto sulprocesso di creazione di valore dell’impresa29.


29 Rispetto al primo Framework proposto, il quale identifica tre obiettivi principa-li che l’impresa deve perseguire, l’ERM propone i seguenti quattro:• strategic: di alto livello, allineati e supportanti la mission dell’impresa;• operations: consistenti nell’efficiente ed efficace uso delle risorse aziendali;• reporting: volti a promuovere l’affidabilità della reportistica e dei flussi

informativi;• Compliance: relativi ad assicurare la conformità alle previsione di leggi e ai rego-

lamenti applicabili all’impresa.Anche i fattori rilevanti per valutare l’adeguatezza della gestione del rischio

imprenditoriale sono aumentati rispetto ai cinque indicatori chiave presi in considera-zione nel primo Framework. Infatti sono ben otto le variabili da analizzare:• internal environment: indica il modo in cui il rischio è visto e gestito dalle perso-

ne dell’azienda. Esso pertanto include la filosofia di Risk Management, il riskappetite (livello di esposizione al rischio che l’impresa accetta), l’integrità, i valo-ri etici dell’impresa;

• objective setting: le attività di getione del rischio implicano necessariamente unaprevia individuazione degli obiettivi perseguiti dall’impresa, in modo da consenti-re la focalizzazione selettiva su quei rischi che appaiano in grado di ostacolarne ilraggiungimento. Gli obiettivi fissati dovranno essere allineati e di supporto allamission aziendale e coerenti con il livello di risk appetite ritenuto accettabile dal-l’impresa;

• event identification: occorre identificare gli eventi interni ed esterni all’impresache possono costituire fonti di rischio per questa, andando a effettuare una chia-ra distinzione tra quelli che rappresentano un mero rischio e quelli aventi unaqualche valenza positiva, in quanto possono rivelarsi forieri anche di opportuni-tà, la cui gestione dovrà quindi venire presa in considerazione a livello di sceltestrategiche;

• risk assessment: analisi dei rischi onde valutarne la probabilità di accadimento e ilgrado di impatto, fase ex necessitate prodromica a quella di gestione. Essa distin-gue il valore del rischio inerente da quello residuale;

• risk response: sono previste quattro diverse opzioni di risposta all’identificazionedi un rischio. Il Management può infatti gestirlo evitandolo (avoiding), accettan-dolo (accepting), riducendolo (reducing) o distribuendolo (sharing), sviluppandoin ogni caso una serie di azioni volte ad allinearlo al livello di risk tolerance (gradodi incertezza che l’impresa tollera qualora degli eventi negativi agiscano sulle scel-te di investimento effettuate) e risk appetite dell’impresa;

• control activities: politiche e procedure volte ad assicurare che le risposte ai rischi(vedasi punto precedente) siano effettivamente portate avanti;

Nel 2009 il COSO ha pubblicato la sua Guidance on MonitoringInternal Control Systems (COSO’s Monitoring Guidance), nell’intento disottolineare l’importanza dell’assessment del sistema di controllo al finedi assicurarne il continuo miglioramento nel tempo, attività cui invece leimprese statunitensi, pur avendo investito notevoli risorse nell’imple-mentazione di un’adeguato SCI, non attribuivano il dovuto rilievo.

Come infatti evidenzia il COSO, nel lungo periodo, un adeguatomonitoraggio dell’efficienza ed efficiacia del SCI conduce a una sensi-bile diminuzione dei costi relativi al controllo e ai flussi informativi, inquanto induce l’assunzione di un approccio proattivo verso l’insorgen-za di possibili problemi e disfunzioni in azienda, il quale verrà semprepiù a soppiantare l’oramai obsoleta gestione del rischio di tipo mera-mente reattivo.

In Gran Bretagna il movimento volto a promuovere una maggioretrasparenza e responsabilità delle imprese è approdato alla redazionedel già citato Combined Code (The Combined Code on CorporateGovernance, pubblicato nel 1998 e poi rivisto nel 2003), il quale recauna serie di principi atti a favorire l’implementazione di un buongoverno societario e contiene un insieme di raccomandazioni di bestpractice indirizzate alle società registrate presso il London StockExchange (LSE).

L’approccio del Combined Code viene definito «comply orexplain», in quanto le imprese non sono vincolate ad aderire alle rac-


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

• information and communication: le informazioni rilevanti devono essere identifi-cate, raccolte e comunicate in forme e tempi adeguati in modo da consentire allepersone di assumersi consapevolemnte le proprie responsabilità. I flussi informa-tivi devono scorrere in azienda sia verticalmente (dal vertice alle linee e vicever-sa) che orizzontalmente tra soggetti appartenenti allo stesso livello;

• monitoring: attività di valutazione in ordine al buon andamento e alla funzionalitàdel sistema di gestione del rischio, volte a segnalare eventuali carenze e possibilimigliorie.

È bene ricordare che, come il primo Framework relativo al sistema di controllo, anchel’ERM non è in grado di fornire una garanzia assoluta in ordine a una corretta ed effi-cace gestione dei rischi, in quanto in esso è sempre presente la componente umana, contutte le possibilità di errori di valutazione e gestione, collisione o coercizione cui essapuò accompagnarsi.

Per quanto concerne il recepimento dell’ERM, le imprese che già hanno adottato ilprecedente Internal Control-Integrated Framework non sono richieste di implementa-re questo nuovo tipo di Framework proposto dal COSO.

comandazioni ivi contenute, ma sono tenute a rendere note le motiva-zioni per cui non vi hanno aderito.

Il Combined Code è essenzialmente l’esito della consolidazione edella rifinitura di precedenti Rapporti e Codici recanti linee guida per unabuona Corporate Governance, dei quali il Cadbury Report rappresenta ilcapostipite e che nel 1992 (anno in cui negli U.S.A. venne presentata laprima edizione del COSO Framework) costituì la prima risposta ai graviscandali causati da una cattivo governo societario, di cui il caso RobertMaxwell rappresenta forse di tutti l’episodio più notorio e biasimevole30.

Robert Maxwell era il magnate di un impero editoriale nonchémembro del Parlamento per la contea di Buckingham. Di origine ceca,ma in seguito britannizzatosi, nell’arco di breve tempo, avvalendosi diuna determinazione e di una sagacia non di rado prive di scrupoli,riuscì a lasciarsi definitivamente alle spalle un passato afflitto da con-dizioni di estrema miseria e dalla morte di molti membri della suafamiglia, uccisi dai nazisti, acquistando la Pergamon Press Limited(PPL), una casa editrice di piccole dimensioni, che rapidamente trasfor-mò in un colosso editoriale31, destinato però a sbriciolarsi rapidamen-te in seguito all’improvvisa morte del suo artefice32.

Anche se alcuni esponenti del giornalismo investigativo avevano giàda tempo avanzato dei dubbi circa i metodi poco ortodossi e talora sinan-che illegali cui Maxwell era ricorso per edificare il suo impero econo-mico, fu soltanto dopo la morte del magnate, avvenuta in circostanze maidel tutto chiarite, che le illazioni e le investigazioni di uno sparuto mani-polo di giornalisti lasciarono il posto a vere e proprie indagini ufficialisull’affare Maxwell. Queste dimostrarono come tale impero editoriale sireggesse sull’illegalità e resero finalmente noto al pubblico come lospregiudicato uomo d’affari avesse rimpinguato debiti societari e finan-ziato spericolate operazioni di takeover attingendo insaziabilmente ai


30 A esso hanno poi fatto seguito nuove regolamentazioni, quali il Greenbury Report(1995) e l’Hampel Report altrimenti noto come Combined Code di cui alla nota 1.

31 Negli anni Ottanta Maxwell acquisì il Daily Mirror, il Sunday Mirror e ilSunday Mail oltre ad altre numerose testate meno note e fondò la Maxwell Cable TV ela Maxwell Entertainment.

32 Nel 1991, il corpo di Maxwell fu rinvenuto nelle acque dell’Oceano Atlantico:sebbene non esistessero prove certe e da più parti venisse ventilata l’ipotesi di un suici-dio, il verdetto ufficiale abbracciò la tesi di una disgrazia, presumendosi che il magnatefosse accidentalmente caduto dal suo lussuoso yacht in crociera presso le Isole Canarie.

fondi pensione dei dipendenti delle società appartenenti al gruppoMaxwell. Le somme prese «a prestito» ammontavano al valore esorbi-tante di diverse centinaia di milioni di pound, cifra che in termini umanisi tradusse in migliaia di impiegati privati della propria pensione.

Il collasso delle compagnie Maxwell condusse alla dichiarazione dibancarotta che il Dipartimento del Commercio e dell’Industria giudicòesito di «un agire inescusabile».

Per quanto attiene più specificamente il settore assicurativo, nel2004 la Commissione Europea ha avviato i lavori per l’emanazione diuna nuova direttiva, volta a razionalizzarne la disciplina comunitaria,in modo da risolvere l’annosa questione dell’arbitraggio normativo edeliminare le più rilevanti differenze di regime sussistenti tra le legisla-zioni degli Stati membri33. Tale normativa, sulla scorta di Basilea II

(emanata per il mondo bancario)34, mira a favorire il saldo insedia-mento di forti presidi a salvaguardia della stabilità delle imprese e deigruppi assicurativi, mediante la richiesta alle singole Compagnie diadeguati requisiti di capitale, collegati dinamicamente alla variazionedei livelli di rischio cui esse vengono a essere esposte.

Analogamente a quanto previsto da Basilea II per il settore banca-rio, il sistema introdotto da Solvency II è articolato su tre pilastri, iquali presentano però ovviamente un contenuto ben diverso.

In particolare:

• il primo pilastro quantifica i presidi patrimoniali a fronte dei rischidi sottoscrizione (underwriting), di mercato e di credito, lasciandospazio, eventualmente, all’adozione di modelli interni;


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

33 Vedasi, al riguardo, l’obiettivo enunciato nel Considerando n. 2 Direttiva2009/138/CE del Parlamento Europeo e del Consiglio del 25/11/2009 in materiadi accesso ed esercizio delle attività di assicurazione e di riassicurazione (solvi-bilità II).

34 La quale ha sostituito Basilea I, ove era stato introdotto il concetto di requisitopatrimoniale «Risk based», richiedendo alle banche il rispetto di determinati requisitipatrimoniali commisurati all’effettivo ammontare di rischio assunto dalle stesse. Ilnuovo accordo prevede nuove e più sofisticate metodologie di valutazione dei rischi,aggiungendo ulteriori due «pilastri» di requisiti prudenziali rispetto a quelli costituen-ti il cosiddetto «primo pilastro» e affinando quest’ultimo. Il secondo pilastro riguardail controllo delle Autorità di Vigilanza e il terzo concerne la disciplina del mercato e latrasparenza.

• il secondo pilastro è indirizzato, da un lato, alla diffusione della cultu-ra del rischio all’interno dell’impresa, attraverso la costituzione di pre-sidi che ne siano volti al monitoraggio, e, dall’altro, alla previsione dimetodologie di controllo uniformi da parte delle Autorità di vigilanza;

• il terzo pilastro, infine, relativo alla trasparenza comunicazionale ecomportamentale delle imprese di assicurazione nei confronti delmercato e della vigilanza, prescrive che l’informativa societariadebba ispirarsi ai principi di materialità e proporzionalità dell’in-formazione (da valutarsi rispetto alla dimensione e complessità delbusiness), fornendo inoltre garanzia in ordine a:– la sua accessibilità;– la certezza dei dati in essa veicolati (è richiesta informativa a

consuntivo e non previsionale);– la tempestività della pubblicazione che deve cadere nel medesi-

mo periodo di tempo al quale si riferiscono le informazionicomunicate (non si considera sufficiente ed adeguata una diffu-sione a posteriori);

– la periodicità dell’aggiornamento dei dati divulgati;– la possibilità che le informazioni pubblicate siano suscettibili di

confronto nel tempo.

In quanto tale, quest’ultimo pilastro rappresenta il corollario dei dueprecedenti, giacchè un’impresa che quantifica il proprio livello dirischio effettivo (primo pilastro) e lo monitora attraverso idonee infra-strutture (secondo pilastro) non può non comunicare al mercato, inmaniera trasparente, il suo modo d’essere e di operare (terzo pilastro).

Figura 1.1 – Le tappe storiche della disciplina del SCI


1992COSO

Framework(U.S.A.)

CadburyReport(U.K)

1995Greenbury

Report(U.K)

1998HampelReport(U.K)

2002SOX

(U.S.A.)Solvency

I (EU)

2003HampelReport(U.K)

rivisto

2004Avviolavori

SolvencyII (EU)

2011-2012ImplementazioneSolvency II (EU)

1.3. I modelli di Corporate Governance

«There is no single model of good corporate governance» afferma l’ OECD nel Preambolo de I Principi di Corporate Governance che, purrecando indicazioni e linee guida non aventi effetto cogente, sono riguar-dati come autorevoli parametri internazionali di riferimento in materia diCorporate Governance, della quale, a prescindere dal concreto modelloadottato dall’impresa, si enunciano i seguenti cinque cardini:

1) rispetto dei diritti degli azionisti;2) trattamento equo dei soci;3) considerazione delle esigenze e delle aspettative dei portatori d’in-

teressi nell’azienda;4) rilievo alle responsabilità dell’Organo amministrativo;5) attenzione ai principi di trasparenza e comunicazione.

Per quanto attiene al grado di riconoscimento che il governo societariopuò tributare agli interessi degli Stakeholder, è possibile effettuare unamacro distinzione geopolitica tra il modello liberale tipico degli statianglo-americani (nel quale l’obiettivo di massimizzazione dei profitti, inmodo da garantire il soddisfacimento delle aspettative di value increasedegli azionisti, ha un peso predominante) e il modello coordinato, mag-giormente diffuso nell’Europa continentale e in Giappone, ove vienericonosciuto un notevole rilievo anche agli interessi degli altri soggettiche a vario titolo interloquiscono con l’impresa (quindi, dipendenti, for-nitori, creditori, clienti, Regolatori, società e ambiente in generale).

Qualora si abbia invece riguardo alla disciplina giuridica, i princi-pali sistemi di Corporate Governance in uso presso le imprese sonorappresentati dai tre seguenti.

a) Sistema ordinario, tipico della tradizione italiana, il quale trovaapplicazione in assenza di una differente specifica previsione dellostatuto volta a adottare il sistema dualistico o monistico. In talemodello, gli organi sociali sono dati dall’Assemblea dei soci,dall’Organo amministrativo (a composizione unitaria in forma diamministratore unico, o collegiale, cosiddetto CdA) e dal Collegiosindacale.


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

Le competenze dell’Assemblea dei soci sono specificate dalla leggeoppure dalle disposizioni statutarie, ma, in ogni caso, non invadonol’area delle decisioni afferenti la politica e la strategia aziendale,riservata all’Organo amministrativo. L’Assemblea decide in materiadi approvazione del bilancio, nomina, revoca e determinazione deicompensi degli Amministratori e dei Sindaci e delibera inoltre sugliatti aventi carattere straordinario previsti ex lege o dallo statuto.All’Organo amministrativo, invece, compete l’attività di indirizzostrategico e direzione dell’impresa, della quale dovrà stabilire le lineepolitiche e gli obiettivi (che possono essere definiti come il motivoper cui la società è in affari), laddove spetterà al Management deci-dere quali siano i mezzi operativi maggiormente idonei per assicu-rarne il concreto conseguimento in via ottimale. In quanto tale,l’Organo amministrativo ha la responsabilità del Sistema deiControlli Interni ed è investito del compito di monitoraggio delle atti-vità volte al perseguimento dei fini sociali (cosiddetta rendicontazio-ne). Qualora esso abbia composizione collegiale, parte di tali funzio-ni possono essere delegate a un comitato ristretto (cosiddettoComitato Esecutivo) e/o a uno o più Amministratori Delegati, sul cuioperato il CdA serberà comunque responsabilità di controllo. Il Collegio sindacale costituisce l’organo di controllo del sistemaordinario e viene eletto dall’Assemblea dei soci. A esso è deman-dato l’esercizio del controllo di legittimità (quanto al rispetto dellalegge e dello statuto) delle decisioni adottate dall’Organo ammini-strativo, in ordine alle quali dovrà inoltre aver cura di accertarsi chesiano state prese in conformità ai «principi di corretta amministra-zione». La vigilanza esercitata dal Collegio sindacale si estende allavalutazione della complessiva adeguatezza dell’assetto organizzati-vo e amministrativo dell’impresa. Tale controllo, ove ricorranodeterminate situazioni e i membri del Collegio siano in possessodelle qualifiche richieste, può estendersi anche alla verifica conta-bile. L’effettivo espletamento della funzione di vigilanza delCollegio sindacale viene assicurata dalla partecipazione attiva deiSindaci alle attività degli Organi sociali e dall’esistenza di un flus-so informativo tra questi ultimi e la società di revisione esterna.

b) Sistema dualistico, tipico della tradizione tedesca. Esso si contrad-distingue in quanto l’amministrazione della società risulta essereripartita tra il Consiglio di gestione e il Consiglio di sorveglianza.


Quest’ultimo viene eletto dall’Assemblea ed elegge a sua volta ilConsiglio di gestione. Il Consiglio di sorveglianza rappresenta l’organo centrale su cui èimperniato il Sistema dualistico. Esso somma competenze che nelsistema ordinario sono tradizionalmente suddivise tra Assemblea deisoci e Collegio sindacale. Tra le più importanti, si annoverano il pote-re di nomina e revoca (anche sine iusta causa) dei componenti delConsiglio di gestione, quello di approvazione del bilancio e quello divigilanza sul rispetto di legge, statuto e principi di corretta ammini-strazione da parte degli Amministratori. Il Consiglio di gestionedetiene in esclusiva il potere di gestione e direzione dell’impresa e dicompiere tutti gli atti necessari per l’attuazione dell’oggetto sociale.

c) Sistema monistico, diffuso prevalentemente nei paesi anglosassoni.Esso prevede un solo organo, a composizione collegiale (il Consiglio diamministrazione), cui è affidata la direzione dell’impresa, il quale desi-gna al suo interno il Comitato interno per il controllo. Quest’ultimoesercita una vigilanza circoscritta alla sola corretta gestione d’impresa,mentre il controllo contabile è demandato a un organo esterno (revisoreo società di revisione), incaricato dal Consiglio di amministrazione. Intale sistema, dunque, l’organo deputato alla funzione di sorveglianzarisulta essere emanazione dello stesso soggetto controllato.

1.4. Gli organi di Corporate Governance

1.4.1. Organo amministrativo

La primaria funzione attribuita all’Organo amministrativo è quella distabilire gli obiettivi e gli indirizzi politico-strategici dell’impresa non-ché di assicurarsi che essi vengano conseguiti. Esso è responsabileanche del modo in cui un’azienda raggiunge i suoi obiettivi e, quindi,del tipo di impresa che essa risulta essere e che aspira a diventare.

Il dibattito sulla Corporate Governance si incentra sull’Organoamministrativo perché questo funge da ponte tra gli Shareholder cheforniscono il capitale, corrono il rischio e raccolgono il profitto, ai


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

quali esso deve rendere conto, e il Management, che quei fondi mettein uso, decidendo quali siano i mezzi più adeguati e rispondenti perconseguire in via ottimale gli obiettivi di politica aziendale stabilitidallo stesso Organo amministrativo, davanti a cui è pertanto chiamatoa rispondere in ordine alla gestione effettuata.

Nel modello di Governance di tipo coordinato, il quale, come si èaccennato, è a oggi prevalente negli Stati dell’Europa continentale, ilruolo centrale tradizionalmente attribuito agli azionisti risulta in partebilanciato dal rilievo riconosciuto anche alle diverse istanze dei vari por-tatori d’interessi che interagiscono con l’impresa. In particolare, negliultimi tempi, ha avuto notevole sviluppo e riscontro un approccio allagestione aziendale Stakeholder-oriented, ovvero volto a favorire la buonapratica di una costante e trasparente interlocuzione tra organizzazione ecoloro che ne rappresentano i portatori d’interesse di riferimento, il cuiattivo coinvolgimento si reputa di fondamentale importanza per la futurasopravvivenza e redditività dell’impresa, quale incentivo all’innovazionee all’adozione di una politica aziendale socialmente sostenibile. La sensi-bilità allo Stakeholder Engagement nelle scelte strategiche e di gestionesembra, allo stato odierno, avvertita con forza minore nei paesi anglosas-soni, la cui prassi imprenditoriale continua ad apparire notevolmenteancorata agli usuali parametri di valutazione (delle scelte adottate e delleperformance conseguite) focalizzati sullo Shareholder value, tuttora iden-tificato come l’obiettivo prioritario e pressoché esclusivo dell’azienda.

A prescindere dal rilievo che il modello di Governance adottatoconferisca alle istanze degli Stakeholder, il ruolo dell’Organo ammini-strativo consiste innanzitutto nel guardare verso l’esterno, a coloro peri cui obiettivi esso è stato eletto per soddisfare (siano essi rappresenta-ti dai soli azionisti o comprendano più latamente anche i vari portato-ri d’interessi nell’impresa). Il suo compito è quello di ideare progetti epolitiche per realizzare quegli scopi e di nominare e monitorare i diri-genti per garantirne il raggiungimento. I Manager sono infatti tenuti adagire nel pieno rispetto delle regole di condotta e dei margini di rischiostabiliti dall’Organo amministrativo, il quale è pertanto il responsabileultimo sia degli scopi perseguiti dall’azienda sia dei mezzi concreta-mente utilizzati per raggiungerli35.


35 Secondo Cadbury, un buon CdA dovrebbe limitarsi a decidere gli obiettiviaziendali e delegare ai Manager l’autorità di individuare gli strumenti maggiormente

Venendo ora alle materie sulle quali l’Organo amministrativo èchiamato a deliberare, esso è tenuto innanzitutto ad approvare la con-figurazione organizzativa dell’impresa nonché la ripartizione di com-piti e di relative responsabilità tra le diverse unità operative, verifican-done il permanere dell’adeguatezza nel corso del tempo.

Sul versante dei processi aziendali, l’Organo amministrativo deveverificarne in primis l’avvenuta adozione e quindi l’appropriatezza,controllando che sia stato rispettato il principio di separatezza tra lefunzioni e che il sistema delle deleghe di poteri e responsabilità nonvenga a comportare l’eccessiva concentrazione di poteri in capo a unsingolo soggetto, avendo inoltre cura di sorvegliare che i poteri dele-gati siano esercitati in modo adeguato.

L’Organo amministrativo, in quanto titolare dei poteri di indirizzopolitico, strategico e organizzativo, ha inoltre la responsabilità ultima delSistema dei Controlli Interni, di cui deve assicurare «la costante comple-tezza, funzionalità ed efficacia, anche con riferimento alle attività ester-nalizzate»36. Al riguardo, esso delibera le linee guida del SCI, rivedendo-le almeno una volta l’anno e curandone l’adeguamento all’evoluzionedell’operatività aziendale e delle condizioni esterne nonché verificando-ne la corretta implementazione da parte dell’Alta Direzione37.

Per quanto attiene più specificamente alla funzione di Compliance,spetta all’Organo amministrativo, in quanto responsabile del Sistemadei Controlli Interni, formalizzarne, in una specifica delibera, l’istitu-zione, stabilendone compiti, responsabilità, modalità e frequenza direportistica agli organi sociali e alle altre strutture interessate. A pre-scindere dallo specifico assetto organizzativo adottato, l’Organoamministrativo dovrà comunque garantire indipendenza, professiona-lità e autorevolezza della funzione, assicurandone inoltre la separatez-


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

proficui per il conseguimento dei suddetti scopi, controllando però sempre che questiultimi si mantengano all’interno di una condotta che reputi accettabile. Vedasi alriguardo Adrian Cadbury, Corporate Governance. Cosa è, Luiss University Press,2007 (traduzione dell’originale in lingua inglese Corporate Governance andChairmanship – A Personal View, Oxford University Press, 2002).

36 Art. 5, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.37 Art. 7, comma 1, Regolamento ISVAP n. 20 del 26/03/2008: «L’alta direzione è

responsabile dell’attuazione, del mantenimento e del monitoraggio del sistema deicontrolli interni e di gestione dei rischi, ivi compresi quelli derivanti dalla non confor-mità alle norme, coerentemente con le direttive dell’Organo amministrativo».

Per una celere digressione in merito all’Alta Direzione vedasi il paragrafo seguente.

za dagli altri due organi di controllo interno (Risk Management edInternal Audit) e dalle funzioni operative, in modo da prevenire l’in-sorgere di conflitti di interesse nell’ipotesi in cui si sia optato per lacollaborazione di soggetti appartenenti ad altre aree operative38.

Per quanto concerne la gestione dei rischi, l’Organo amministrativo

definisce e, almeno una volta l’anno, valuta ai fini dell’eventuale revisio-ne le strategie e le politiche di assunzione, valutazione e gestione dei rischimaggiormente significativi, in coerenza con il livello di adeguatezza patri-moniale dell’impresa; sulla base dei risultati dei processi di individuazio-ne e valutazione dei rischi, fissa i livelli di tolleranza al rischio e li rivedealmeno una volta l’anno39.

Esso delibera poi in materia di flussi informativi, in modo da garantirnela completezza, la chiarezza e la tempestività, assumendo inoltre un ruoloproattivo in ordine alla sollecitazione delle informazioni relative all’effi-cacia e all’adeguatezza del sistema di controllo interno e di gestione deirischi che periodicamente i vari organi aziendali (Alta Direzione, InternalAudit , Personale) devono aver cura di sottoporgli, educendolo sulle cri-ticità più significative, di modo che possa deliberare le opportune misu-re correttive. Parallelamente, è tenuto a comunicare all’Alta Direzioneeventi o circostanze che ne richiedono un immediato intervento.

1.4.2. Alta Direzione

L’Alta Direzione rappresenta il vertice dell’azienda, avente la responsabili-tà di coordinamento e ottimizzazione di tutte le attività operative e proget-tuali al fine di renderle il più efficaci e funzionali agli obiettivi del business.Di essa fanno parte l’Amministratore delegato, il Direttore generale, non-ché il Top Management che svolge compiti di sovrintendenza gestionale.

L’Alta Direzione è responsabile dell’attuazione, del mantenimentoe del monitoraggio del Sistema dei Controlli Interni e di gestione dei


38 Si tratta del cosiddetto modello decentrato in linea orizzontale, il quale vienetrattato più diffusamente nel capitolo 4, relativo all’organizzazione delle funzioni diCompliance.

39 Art. 5, comma 2, lettera e), Regolamento ISVAP n. 20 del 26/03/2008.

rischi, ivi compresi quelli derivanti dalla non conformità alle norme,coerentemente con le direttive impartite dall’Organo amministrativo.

Essa definisce in dettaglio l’assetto organizzativo dell’impresa e iprocessi decisionali, in coerenza con quanto stabilito dall’Organoamministrativo, e ha cura di garantire il mantenimento della comples-siva funzionalità e adeguatezza aziendale, nonché la separazione deicompiti, onde evitare il verificarsi di incresciosi episodi di conflittod’interesse.

L’Alta Direzione deve inoltre accertarsi che l’Organo amministra-tivo sia periodicamente informato in ordine all’efficacia del Sistemadei Controlli Interni e di gestione dei rischi. Essa dovrà comunqueaver cura di informarlo tempestivamente ogni qualvolta siano riscon-trate criticità significative, in modo che questo possa deliberare lemisure più idonee per correggere le anomalie ravvisate e per apporta-re in generale ulteriori miglioramenti, la cui implementazione azien-dale è comunque posta a carico dell’Alta Direzione. Questa svolgeperaltro anche un importante ruolo proattivo, in quanto ha facoltà diproporre tutte le iniziative che reputa opportune per favorire il conti-nuo adeguamento e rafforzamento del controllo interno e della gestio-ne dei rischi.

1.4.3. Risk Management

La funzione di Risk Management costituisce l’istanza di controllo disecondo livello che in azienda risulta deputata a mantenere a un livelloaccettabile, coerente con le disponibilità patrimoniali dell’impresa, irischi a cui questa è esposta e che possono minarne la solvibilità o rap-presentare un serio ostacolo alla realizzazione degli obiettivi aziendali.

In quanto tale, a essa compete lo svolgimento nel continuo delleattività di identificazione, valutazione e controllo dei rischi maggior-mente significativi cui l’impresa è esposta.

Il presidio di Risk Management è tenuto, in primis, a fornire il pro-prio contributo e supporto alla definizione delle metodologie di misura-zione dei rischi, di cui verifica inoltre la coerenza con la complessivaoperatività aziendale. Procede quindi con la mappatura e l’analisi deirischi, raccogliendo in via continuativa informazioni su questi, sianoessi interni ed esterni, esistenti o meramente prospettici. Nel fare ciò,


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

deve cercare di comprenderne la natura, l’origine e gli effetti negativi(perdite) e positivi (opportunità) che ne possono discendere. Una voltacensiti, i rischi devono essere fatti oggetto di valutazione qualitativa e,qualora quantificabili, anche di misurazione, ponendosi particolare curanel considerare anche i possibili nessi tra questi intercorrenti.

Dell’espletamento di tutte le suddette attività, la funzione dovràtenere adeguata documentazione, predisponendo idonei flussi informa-tivi diretti all’Organo amministrativo, all’Alta Direzione e ai respon-sabili delle strutture operative interessate.

Per quanto, infine, attiene alla collocazione organizzativa del presi-dio di Risk Management nell’ambito del sistema di CorporateGovernance, questa è lasciata all’autonomia dell’impresa che, nel con-figuararla, dovrà però sempre rispettare il principio di separatezza trafunzioni operative e di controllo.

1.4.4. Compliance

Il termine Compliance compare nella lingua anglosassone intorno alXIV secolo, quale derivazione del vocabolo francese «compli», formaal participio passato del verbo «complir», che a sua volta discende dallatino «complere», significante «completare».

Solo successivamente, a principiare dal 1600, la parola Compliancefu usata nella specifica accezione di «adempiere, soddisfare, rispon-dendo a determinati parametri, requisiti o prescrizioni», a seguito di unprobabile reinnesto su suolo britannico del latino «complere» comeveniva inteso nella lingua italiana, che attribuiva a esso la sfumatura di«completare ottemperando cortesemente a tutto quanto richiesto».

Nella linguaggio aziendale il vocabolo Compliance sta a identifica-re lo specifico presidio, facente parte del Sistema dei Controlli Interni,deputato alla valutazione della coerenza della struttura e dell’agireimprenditoriale con l’apparato normativo regolante il settore economi-co ove l’organizzazione opera, in modo da prevenire «il rischio diincorrere in sanzioni giudiziarie o amministrative, perdite patrimonia-li o danni di reputazione, in conseguenza di violazioni di norme o diatti di autoregolamentazione»40.


40 Relazione al Regolamento ISVAP n. 20 del 26/03/2008.

L’implementazione nella struttura aziendale di una funzione depu-tata al controllo di conformità normativa, già recepita in Italia dalleimprese del mondo bancario41, è stato di recente richiesta come obbli-gatoria anche nel comparto assicurativo dal Regolamento ISVAP n. 20del 26/03/200842, ove si prescrive l’istituzione di un presidio cui è


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

41 L’obbligatoria istituzione della funzione di Compliance per le imprese operantinel settore bancario è stata prevista da Banca d’Italia che, il 10/07/2007, ha emanatodisposizioni volte a recepire il nuovo orientamento promosso da Basilea II (NuovoAccordo sul Capitale di Basilea).

Al fine di una maggiore comprensione della ratio sottesa all’introduzione di talespecifico presidio di controllo aziendale, sono interessanti le riflessioni che Bancad’Italia affida alla premessa delle suddette disposizioni: «Il rispetto delle norme e lacorrettezza negli affari costituiscono elementi fondamentali nello svolgimento dell’at-tività bancaria, che per sua natura è fondata sulla fiducia. L’evoluzione dei mercatifinanziari, in termini di innovazione dei prodotti, di trasferimento del rischio e diproiezione internazionale, rende più complessi l’identificazione e il controllo dei com-portamenti che possono dar luogo a violazioni di norme, di standard operativi, di prin-cipi deontologici ed etici dell’attività di intermediazione. Nel mutato contesto è neces-sario, da un lato, promuovere una cultura aziendale improntata a principi di onestà,correttezza e rispetto non solo della lettera, ma anche dello spirito, delle norme; dal-l’altro, approntare specifici presidi organizzativi, volti ad assicurare il rigoroso rispet-to delle prescrizioni normative e di autoregolamentazione. A tal fine, assume partico-lare rilievo la costituzione all’interno delle banche e dei gruppi bancari di una specifi-ca funzione dedicata al presidio e al controllo della conformità».

È inoltre interessante raffrontare tale pensiero con il tenore delle osservazionieffettuate nella Relazione che accompagna e commenta il Regolamento ISVAP n. 20, acui si deve l’estensione al settore assicurativo dell’obbligatoria istituzione del presidiodi Compliance. L’esistenza all’interno dell’impresa di adeguati presidi organizzativi eprocedurali che assicurino il rispetto delle norme viene configurata come un impor-tante strumento proattivo di prevenzione che consente non solo di circoscrivere e mini-mizzare i rischi legali e di reputazione, ma anche di garantire una adeguata protezionedegli assicurati. «Il venire meno dell’incertezza su comportamenti richiesti in uno conla responsabilizzazione di tutto il personale facilita, infatti, la creazione di un patri-monio di regole e di valori condivisi, con conseguenze positive anche sui rapporti conla clientela».

42 Questo in attuazione degli articoli 87 e 191, comma 1, lettera c) del Codice delleAssicurazioni, che attribuiscono all’ISVAP il potere di dettare disposizioni in materia diadeguatezza del Sistema dei Controlli Interni e di gestione dei rischi delle imprese edei gruppi assicurativi.

Il Regolamento n. 20 ha in larga parte recepito (nei Capi II, III e IV) le previsionirecate dalla Circolare ISVAP 577/D del 30/12/2005 (di cui ha contestualmente dispostol’abrogazione) e ha introdotto ex novo nel capo V l’obbligo, a far data dall’1/12/2009,di istituire la funzione di Compliance per tutte le imprese del comparto assicurativo,

demandato l’esercizio prudenziale, in via sistematica e continuativa, diun controllo proattivo di conformità normativa dell’organizzazione edelle procedure aziendali, volto a «rafforzare i requisiti qualitativi digestione, che unitamente ai requisiti prudenziali di tipo quantitativo,rappresentano i presidi a salvaguardia della stabilità delle imprese e deigruppi assicurativi»43.

Nell’ambito di un quadro normativo sempre più complesso e stratifi-cato per la continua evoluzione del mercato assicurativo e dei mercatifinanziari, governare la complessità richiede infatti anche un’approfon-dita conoscenza della disciplina normativa applicabile all’impresa, al finedi poter individuare con precisione i comportamenti specifici attesi edovuti, sicché l’obiettivo della conformità alle norme rappresenta un cri-terio fondamentale per lo svolgimento dell’attività assicurativa e, di con-seguenza, un parametro inderogabile per l’operatività aziendale a ognilivello di presidio. Una sana Governance d’impresa deve pertanto dotar-si di un’adeguata struttura specificamente volta a garantire che il businessdella Compagnia risulti conforme alla normativa vigente, sia questa dinatura eteroregolamentare (normativa nazionale, europea, internaziona-le) che autoregolamentare (statuti, codici di condotta, codici etici).

È interessante notare come nel linguaggio medico anglosassone siainvalsa una particolare accezione del termine Compliance, stante a


quale presidio aziendale posto a salvaguardia degli interessi del consumatore e dellastabilità degli asset societari, cui si demanda l’esercizio in via continuativa della valu-tazione dell’aderenza dell’impresa a normative, regolamentazioni e codici di condottaa essa applicabili, onde prevenire, arginare e mitigare il rischio di incorrere in sanzio-ni o danni reputazionali.

L’ art. 1 della Circolare 577/D, sulla scorta di Solvency II, individuava nel controllointerno il fulcro attorno cui far gravitare la politica di gestione dei rischi dell’azienda,assumendo quale presupposto che «la solvibilità delle imprese di assicurazione, lanecessità di assicurarne la sana e prudente gestione, e con esse la stabilità del settoreassicurativo, non possono prescindere da un solido governo societario e dal buon fun-zionamento del Sistema dei Controlli Interni e di gestione dei rischi».

La transizione del mercato verso Solvency II rappresenta, infatti, lo sfondo entroil quale si è sviluppata la riforma del Sistema dei Controlli Interni ed è stata previ-sta l’obbligatoria istituzione nelle imprese assicurative di un’autonoma funzionedeputata al presidio del rischio di non Compliance, in linea, peraltro, con gli ultimisviluppi in materia di gestione del rischio in sede dell’associazione internazionaledelle Autorità di Vigilanza delle Assicurazioni (International Association ofInsurance Supervisors - IAIS).

43 Relazione al Regolamento ISVAP n. 20 del 26/03/2008.

significare il grado con cui un paziente si attiene alle prescrizionimediche. Con una suggestiva similitudine, si può pertanto osservarecome, alla stregua del paziente che giunge a guarigione rispettando leterapie mediche indicate, la sanità dell’impresa sarà preservata, seintatta, o recuperata, qualora compromessa, grazie al contributo offer-to da un ufficio, specificamente deputato a valutare l’aderenza alla nor-mativa dei processi e delle procedure aziendali, il quale si adoperi pergarantire che l’intero organismo-azienda agisca in piena conformità aquanto prescritto dalle regole di fonte sia esogena che endogena.

In quanto tale, la funzione di Compliance è tenuta a effettuare unmonitoraggio costante della normativa considerata applicabile all’im-presa e a valutare nel continuo e in modo pervasivo l’adeguatezza e l’ef-ficacia delle misure organizzative e procedurali adottate per la preven-zione del rischio di non conformità alle norme, proponendo, ove se neravvisi la necessità, idonei interventi correttivi volti ad assicurare unadeguato presidio del rischio, di cui dovrà in seguito valutare l’efficacia.

Le attività di monitoraggio e di analisi delle fonti normative, con-traddistinte da un approccio spiccatamente ricognitivo, dovrebberoinoltre essere auspicabilmente integrate da valutazioni di tipo prospetti-co, volte a una lettura forward-looking delle probabili evoluzioni nor-mative, specie in relazione a quelle possibili modifiche il cui recepi-mento in azienda implica una tempistica protratta e il coinvolgimento dinon poche risorse. Le analisi anticipatorie delle future evoluzioni giuri-diche possono infatti fornire un rilevante supporto di tipo specialisticoconsulenziale al processo decisionale strategico che vede come prota-gonisti gli organi di vertice dell’impresa, supporto che potrebbe trovareuna prima importante applicazione in relazione a quelle normative diampio respiro (si pensi, ad es., a Solvency II)44 che offrono alle impre-se la possibilità di partecipare alle fasi di studio e definizione delle pre-visioni da esse recate, offrendo sia dati e informazioni sull’esperienzainterna, sia commenti in fase di stesura di regole e principi.

Di tutte le attività svolte dovrà aversi cura di serbare memoria scrit-ta mediante la predisposizione di adeguati flussi informativi diretti agliorgani sociali e alle altre unità aziendali interessate.

Dalle riflessioni sopra effettuate emerge come il controllo assoltodalla funzione di Compliance sia connotato da un carattere eminente-


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

44 Vedasi paragrafo 1.2.1. e la relativa voce nel Glossario.

mente preventivo e proattivo, in quanto finalizzato a impedire il veri-ficarsi di disallineamenti normativi nell’impresa, attraverso una valu-tazione ex ante e prospettica della rispondenza e adeguatezza giuridi-ca dei processi e delle procedure interne45. Qualora, nel corso dell’at-tività di assessment46, taluni nodi di processo risultino presentare in talsenso dei gap, la Compliance è tenuta a adoprarsi anche mediante laproposizione di interventi correttivi volti a rimuovere, mitigare o,comunque, arginare le difformità e carenze di recepimento della nor-mativa rilevate.

La prevenzione e la gestione del rischio di non conformità risultaessere specificamente finalizzata a garantire il rispetto, da parte delleimprese di assicurazione, delle norme relative «alla trasparenza e cor-rettezza dei comportamenti nei confronti degli assicurati e danneggia-ti, all’informativa precontrattuale e contrattuale, alla corretta esecuzio-ne dei contratti, con particolare riferimento alla gestione dei sinistri e,più in generale, alla tutela del consumatore»47. La tutela della fiduciadel pubblico nella correttezza dell’operato dell’impresa assicurativacostituisce, pertanto, uno specifico obiettivo della funzione diCompliance e richiede una puntuale verifica in ordine all’adeguatorecepimento in azienda degli obblighi normativi. Al tempo stesso, latutela del consumatore rappresenta un criterio guida inderogabile nel-l’operatività e nella gestione aziendale stessa, sicché risulta di prima-ria importanza la configurazione di un livello di presidio diCompliance particolarmente penetrante per quelle materie che hannoun rilevante impatto sul cliente.

Di riflesso, giacché dalla violazione della normativa applicabileall’impresa assicurativa possono derivare non solo sanzioni pecuniariema anche rilevanti danni alla reputazione della Compagnia presso ilpubblico, al rafforzamento della tutela della clientela si affianca exnecessitate anche l’obiettivo di preservare il buon nome dell’impresa.Protezione del consumatore e salvaguardia del capitale reputazionaledella Compagnia costituiscono infatti due aspetti inscindibili e interdi-pendenti tra loro, la cui garanzia concorre a favorire la complessivastabilità e sostenibilità del mercato assicurativo.


45 Art. 22, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.46 Vedasi, al riguardo, il capitolo 3, paragrafo 3.4.47 Art. 22, comma 2, Regolamento ISVAP n. 20 del 26/03/2008.

Il fattore reputazionale, nel corso degli ultimi anni, ha peraltroassunto un ruolo di primaria importanza quale parametro di valutazio-ne nel giudizio di apprezzamento di un’azienda formulato dagliStakeholder. I gravi scandali finanziari che hanno di recente suscitatoincredulità e indignazione presso l’opinione pubblica hanno infatti con-corso al formarsi di una diffusa sensibilità sociale al possesso o menodi un’elevata e solida reputazione da parte dell’operatore economico.

Particolare rilievo e criticità presenta la questione reputazionale nelsettore dell’intermediazione finanziaria ed ancor più in quello assicurati-vo, posto che entrambi i servizi da questi erogati hanno come cardinel’instaurazione di un rapporto fiduciario con i consumatori. Infatti, il pub-blico risulta soggetto a maggiori riflessi di natura comportamentale lad-dove l’educazione finanziaria è scarsa e i contenuti della prestazioneofferta riguardano aspetti considerati di importanza fondamentale (sipensi al trasferimento dei rischi legati alla vita umana o alla proprietà dibeni e responsabilità) e presentano un elevato profilo d’incertezza48.

Pur se non esplicitamente previsto dal dettato normativo, è viva-mente auspicabile che la funzione di Compliance collabori alla predi-sposizione di piani di reazione (cosiddetti contingency plans) in casodi violazione di norme e conseguente impatto di natura reputazionale(o di altra natura) sull’impresa. In tal senso, la realizzazione di unpiano di intervento calibrato in funzione della minaccia provenientedall’esterno o dall’interno potrebbe essere un contributo strategica-mente rilevante da parte della funzione di Compliance.

Posto che la salvaguardia degli interessi dei contraenti e dei benefi-ciari dei contratti assicurativi costituisce obiettivo primario cui deveguardare il presidio di Compliance, tale funzione, quale istanza cui èdemandato il controllo proattivo di conformità normativa dell’impresa,dovrà inoltre contribuire alla diffusione e al consolidamento strategicopresso ogni area aziendale della cultura della legalità (non soltantonella lettera ma anche nella ratio ispiratrice) nonché dei canoni gene-


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

48 Al riguardo, è comunque opportuno notare come il mercato assicurativo italia-no abbia sinora dimostrato di saper gestire la difficile situazione discendente dalla crisiinternazionale in modo da serbare intatto il proprio capitale reputazionale, mediantelungimiranti scelte volte a ridurre l’impatto negativo che questa avrebbe prodotto suipropri clienti (cancellazione di index e unit e decisione di erogare rimborsi a compen-sazione delle perdite finanziarie maturate sui prodotti illiquidi, di cui i consumatoriavevano limitata comprensione).

rali di correttezza, buona fede e trasparenza nei rapporti con gli assi-curati e danneggiati. Il controllo di Compliance è infatti implicitamen-te richiesto a ciascun organo dell’impresa assicurativa; costituisce, inaltri termini, una caratteristica essenziale del modo di operare in azien-da e rappresenta una componente essenziale della cultura del control-lo interno, alla quale deve essere sensibilizzato tutto il personale49.

L’obbligatoria implementazione di un presidio ad hoc per il governospecifico del rischio di non conformità non esclude o diminuisce leresponsabilità delle altre aree aziendali in ordine al rispetto delle previ-sioni normative nell’adempimento delle proprie funzioni. Piuttosto, l’i-stituzione di un centro di competenza in materia di conformità normati-va concorre a promuovere una maggiore responsabilizzazione di tutto ilpersonale al rispetto delle norme e all’essere compliant, facilitando cosìil formarsi di un «patrimonio di regole e di valori condivisi»50 all’internodell’impresa. La Compliance dovrebbe pertanto auspicabilmente esseresempre più concepita come un modo di essere dell’intera organizzazionedella Compagnia assicurativa, pur restando di spettanza del titolare dellafunzione la responsabilità in ordine a un adeguato processo di gestionedel rischio e all’efficiente ed efficace operatività del presidio.

In quanto tale, la Compliance è destinata ad assumere un rilievo viavia crescente nell’ambito del SCI: tale previsione trae un primo fonda-mento, quale deduzione comparatistica, dalla considerazione delleestese applicazioni che la funzione di conformità normativa ha ricevu-to in settori contigui al comparto assicurativo (ad es., presso le banche)e trova inoltre ulteriore conferma in Solvency II51, ove si guarda allaCompliance come a un presidio cruciale rispetto alla vigilanza sia sullagestione tecnica, finanziaria e patrimoniale delle imprese, sia sulla cor-rettezza dei comportamenti da tenere con l’utenza, in quanto «talunirischi possono essere affrontati correttamente solo tramite requisiti di


49 Sulla base di uno studio condotto da IRSA, intervistando le Imprese diAssicurazione italiane, è risultata condivisa all’unanimità la seguente affermazione:«L’attività di controllo non può essere demandata esclusivamente ad alcuni specificiuffici o organi di sorveglianza e controllo. Tutte le Direzioni e funzioni hanno un pro-prio ruolo nel verificare le operazioni poste in essere, secondo differenti livelli diresponsabilità, in quanto il controllo è una caratteristica essenziale e presente nellaquotidiana attività di management».

50 Relazione allegata al Regolamento ISVAP n. 20 del 26/03/2008.51 Vedasi paragrafo 1.2.1. e la relativa voce nel Glossario.

Governance anziché tramite i requisiti quantitativi riflessi nel requisi-to patrimoniale di solvibilità. Un sistema di Governance efficace è per-tanto essenziale per la gestione adeguata dell’Impresa d’assicurazionee per il sistema di regolamentazione»52.

1.4.5. Internal Audit

Il presidio di Internal Audit rappresenta l’istanza di controllo di terzolivello, cui spetta monitorare, valutare e massimizzare l’efficienza el’efficacia del Sistema dei Controlli Interni anche attraverso attività disupporto e di consulenza alle altre funzioni aziendali. Essa è quindivolta al miglioramento dei processi di gestione dei rischi, di controlloe di Governance dell’impresa, cui fornisce assistenza nel persegui-mento degli obiettivi e di cui promuove il miglioramento.

Ne consegue che la sua collocazione nell’ambito della strutturaorganizzativa deve essere tale da garantirne l’indipendenza e l’autono-mia, affinché non ne sia compromessa l’obiettività di giudizio.

L’Internal Audit è deputata in primis a verificare il buon andamen-to dei processi gestionali e delle procedure organizzative in cui si arti-cola la complessa operatività dell’impresa. A essa è anche demandatala valutazione di rispondenza dei processi amministrativo-contabili acriteri di correttezza e di regolare tenuta della Contabilità.

L’Audit inoltre controlla la regolarità e la funzionalità dei flussiinformativi che intercorrono tra le varie aree aziendali nonché l’ade-guatezza dei sistemi informativi e la loro affidabilità, onde evitare chepossa in qualche modo essere inficiata la qualità delle informazionisulle quali il vertice basa le proprie decisioni.

La funzione dovrà infine aver cura di monitorare nel tempo l’effi-cacia degli adeguamenti e degli interventi correttivi implementati.

Delle attività svolte dovrà essere serbata accurata memoria scritta dapresentare all’Organo amministrativo, all’Alta Direzione ed al Collegiosindacale, i quali dovranno essere edotti in merito alle risultanze delleverifiche effettuate e alle eventuali disfunzioni e criticità evidenziate.


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

52 Considerando n. 29 Direttiva 2009/138/CE del Parlamento Europeo e delConsiglio del 25/11/2009 in materia di accesso ed esercizio delle attività di assicura-zione e di riassicurazione (Solvibilità II).

Al fine di garantire l’indipendenza e l’obiettività di giudizio dellafunzione, il Regolatore richiede che l’Audit abbia una collocazioneorganizzativa tale da garantirne l’autonomia e da svincolarla da qual-siasi nesso di dipendenza gerarchica da responsabili di aree operative.

1.4.6. Funzione attuariale

L’attuario è colui che svolge professionalmente attività che implicano,calcoli, revisioni, rilevazioni ed elaborazioni tecniche d’indole mate-matico-attuariale, riguardanti la previdenza sociale, le assicurazioniovvero operazioni di carattere finanziario53.

Egli collabora alla costruzione e alla valutazione dei prodotti finan-ziari-assicurativi e assicurativi tipici, analizza le statistiche e gestiscesupporti informatici per il monitoraggio e il trattamento dei dati ine-renti i mercati finanziari, certifica i bilanci delle imprese di assicura-zione e dei fondi pensione e cura la stima patrimoniale ed economicadelle aziende.

L’attuario è in particolare deputato ad assolvere un ruolo di coordi-namento in materia di riserve tecniche. Esso, infatti, è tenuto a garan-tire l’adeguatezza delle metodologie e dei modelli utilizzati nonchédelle ipotesi fatte nel calcolarne il relativo ammontare, in ordine a cuiè anche responsabile, nei casi previsti dalla legge, della sufficienza edella qualità dei dati utilizzati. Deve inoltre informare l’Organo ammi-nistrativo, direttivo o di vigilanza in merito all’affidabilità e all’ade-guatezza del suddetto calcolo.

La funzione attuariale, secondo le previsioni di Solvency II54, faparte della Corporate Governance, in quanto chiamata a contribuireall’efficace applicazione del sistema di gestione dei rischi, in partico-lare rispetto alla modellizzazione sottesa al calcolo dei requisito patri-moniale di solvibilità e del requisito patrimoniale minimo.


53 Vedasi Legge 9/02/1942, n. 194, Disciplina giuridica della professione di attua-rio.

54 In primis, si vedano al riguardo Considerando n. 30 e art. 48 Direttiva2009/138/CE del Parlamento Europeo e del Consiglio del 25/11/2009 in materia diaccesso ed esercizio delle attività di assicurazione e di riassicurazione (solvibili-tà II).

1.4.7. Relazioni intercorrenti tra Risk Management, Compliance eInternal Audit

Come già si è avuto occasione di affermare, la funzione di Compliancefa parte del Sistema dei Controlli Interni, il quale ricomprende anche ipresidi di Internal Audit e di Risk Management e la cui responsabilitàultima (di organizzazione, gestione e conseguimento dei risultati atte-si) fa capo all’Organo amministrativo, in quanto deliberante le politi-che e gli indirizzi strategici dell’impresa.

È pertanto opportuno fare brevemente cenno alla posizione che laCompliance occupa all’interno del SCI, individuando differenze, simi-litudini e punti di tangenza esistenti tra quest’ultima, la funzione diInternal Audit e il presidio di Risk Management, in modo da delinear-ne la particolare geometria relazionale.

Principiando dall’istituzione in azienda della funzione, sia il RiskManagement che la Compliance e l’Internal Audit sono costituiti aseguito di delibera dell’Organo amministrativo, che ne stabilisce ipoteri, le responsabilità, i compiti, le modalità operative e la natura efrequenza della reportistica, indirizzata in primis agli organi di gover-no societario nonché alle altre funzioni aziendali in qualche misurainteressate.

Per quanto concerne le concrete opzioni di implementazione orga-nizzativa di tali presidi, il Regolatore concede un ampio margine diautonomia alle imprese, la cui libertà di decisione è però comunquedelimitata dal duplice vincolo consistente nel rispetto del fondamenta-le principio di separatezza delle funzioni operative di business da quel-le di controllo e dall’obbligo di garantire l’indipendenza di queste ulti-me dalle altre.

In tal modo il Regolatore contempera l’esigenza di preservare l’in-dipendenza delle funzioni di controllo con il rispetto del criterio di pro-porzionalità55 ed economicità56 che sovrintende il recepimento delle


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

55 Vedasi art. 23 Regolamento ISVAP n. 20 del 26/03/2008, ove il Regolatore affer-ma che la funzione di Compliance deve essere «proporzionata alla natura, dimensionee complessità dell’attività svolta». A questo inoltre si aggiunge il principio di propor-zionalità rispetto al fine previsto dall’art. 191 Codice delle Assicurazioni Private qualelimite all’esercizio della potestà regolamentare dell’ISVAP.

56 Si fa riferimento al principio di economicità delle soluzioni organizzative enun-ciato dall’art. 25 del Regolamento ISVAP n. 20 del 26/03/2008.

previsioni normative in azienda, di modo che l’attuazione sia semprecalibrata sulla natura, dimensione e complessità dell’attività svolta,garantendo la maggior aderenza al dettato della norma con il minorsacrificio per l’impresa.

Perseguendo l’intento di tracciare sin ab initio una chiara linea didemarcazione tra i tre diversi presidi di controllo, il Regolatore investel’Organo amministrativo del compito di definirne e formalizzarne ilreciproco collegamento57, specificando come la prevista sottoposizio-ne della funzione di Compliance a verifica periodica da partedell’Internal Audit non vada comunque a scalfire l’indipendenza dellaprima dalla seconda.

È tuttavia bene osservare come l’indipendenza che necessariamen-te deve sussistere tra le funzioni del SCI non significa che all’internodi quest’ultimo debba parimenti mancare un collegamento e una col-laborazione fattiva tra Compliance, Internal Audit e RiskManagement. Più in generale, il Collegio sindacale, la società di revi-sione, l’Internal Audit, il Risk Management e la Compliance, nonchél’Organismo di vigilanza di cui al D.lgs. n. 231 del 2001, l’attuarioincaricato e ogni altro organo o funzione a cui è attribuita una speci-fica funzione di controllo, sono chiamati a collaborare tra di loro,scambiandosi ogni informazione utile per l’espletamento dei rispetti-vi compiti58.

Ciò comporta la necessità, dal punto di vista organizzativo, di pre-disporre e mantenere adeguati canali di comunicazione al propriointerno, in ogni Direzione, al fine di garantire la circolazione dei flus-si informativi59. Occorrerà inoltre prevedere modalità organizzativeche «consentano al personale di portare direttamente all’attenzione dei


57 Art. 17, comma 2, 23, commi 7 e 8, Regolamento ISVAP n. 20 del 26/03/2008:«L’Organo amministrativo definisce e formalizza i collegamenti tra le varie funzioni acui sono attribuiti compiti di controllo».

Art. 17, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.Art. 12, comma 5, Regolamento ISVAP n. 20 del 26/03/2008.Art. 12, comma 6, Regolamento ISVAP n. 20 del 26/03/2008.58 Si veda al riguardo il Regolamento ISVAP n. 20 del 26/03/2008, che reca analo-

ghe previsioni per i tre presidi di controllo: art. 16, comma 2, lettera a) per la funzio-ne di Internal Audit, art. 21, comma 3, lettera a) per la funzione di Risk Managemente art. 25, comma 2, lettera a) per la funzione di Compliance.

59 Per una trattazione maggiormente estesa dell’esternalizzazione della funzione diCompliance, si rinvia il lettore al capitolo 5.

livelli gerarchici più elevati le situazioni di particolare gravità», al finedi favorire le «segnalazioni di criticità»60.

Sempre in accordo al principio di proporzionalità alle dimensioni delbusiness gestito dall’impresa, il Regolatore contempla la possibilità diconferire in outsourcing la gestione delle funzioni di controllo, sia inve-stendo un soggetto esterno all’impresa sia accentrando tali attività all’in-terno del gruppo assicurativo, mediante la costituzione di un’appositaunità specializzata, deputata all’esercizio del controllo su tutte le impre-se facenti parte del gruppo, a condizione che «in ciascuna impresa delgruppo assicurativo sia individuato un referente che curi i rapporti con ilresponsabile della funzione di gruppo»61 e vengano adottate adeguateprocedure per garantire che le attività della funzione di Internal Audit odi Risk Management o le politiche di gestione del rischio di non confor-mità62 «siano adeguatamente calibrate rispetto alle caratteristiche opera-tive»63 nonché «al profilo di rischio della singola impresa»64.

Per quanto attiene gli obiettivi che ciascun presidio di controllodeve perseguire, la funzione di Risk Management ha il compito dimantenere a un livello accettabile, coerente con le disponibilità patri-moniali dell’impresa, i rischi a cui questa è esposta, presidiando «laidentificazione, la valutazione e il controllo dei rischi maggiormentesignificativi, intendendosi per tali i rischi le cui conseguenze possonominare la solvibilità dell’impresa o costituire un serio ostacolo alla rea-lizzazione degli obiettivi aziendali»65.

L’ISVAP, nel Regolamento n. 2066 stila un elenco, organizzato permacrocategorie, delle varie tipologie di rischi che l’impresa è tenuta a


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

60 Sempre Regolamento ISVAP n. 20 del 26/03/2008: art. 16, comma 2, lettera b) perla funzione di Internal Audit, e art. 25, comma 2, lettera b) per la funzione diCompliance.

61 Art. 21, comma 3, lettera b), Regolamento ISVAP n. 20 del 26/03/2008, per la fun-zione di Risk Management.

62 Art. 18, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.63 Art. 18, comma 2, lettera h), Regolamento ISVAP n. 20 del 26/03/2008.64 Art. 18, comma 2, lettera h), Regolamento ISVAP n. 20 del 26/03/2008.65 Vedasi art. 22, comma 1, Regolamento ISVAP n. 20 del 26/03/2008, ove il

Regolatore attribuisce alla funzione di Compliance l’obiettivo di prevenire il rischio«di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni direputazione, in conseguenza di violazioni di leggi, regolamenti o provvedimenti delleAutorità di vigilanza ovvero di norme di autoregolamentazione».

66 Art. 15, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.

catalogare al fine di garantirne un’efficace ed efficiente gestione, senzaprecisare a quale funzione specifica, tra quelle di cui si compone ilSistema dei Controlli Interni, debba essere attribuito il presidio di cia-scun cluster della lista.

Tra le varie categorie di rischio, sia esistente sia meramente pro-spettico, che il sistema di gestione dei rischi deve monitorare e mitiga-re è compreso nell’elenco anche quello di non conformità alle norme,definito dal Regolatore come

il rischio di incorrere in sanzioni giudiziarie o amministrative, subire per-dite o danni reputazionali in conseguenza della mancata osservanza dileggi, regolamenti o provvedimenti delle Autorità di vigilanza ovvero dinorme di autoregolamentazione, quali statuti, codici di condotta o codicidi autodisciplina; rischio derivante da modifiche sfavorevoli del quadronormativo o degli orientamenti giurisprudenziali67.

Per contro, poco oltre68 nel prosieguo del testo regolamentare, vengo-no enunciati gli obiettivi propri della funzione di Compliance, cui siattribuisce il compito di identificare e valutare il rischio di mancataconformità alle norme.

Una prima lettura comparata di tali previsioni potrebbe pertanto veni-re a evidenziare una perniciosa sovrapposizione tra le funzioni di RiskManagement e Compliance, potenzialmente foriera di un conflitto d’in-teresse. Trattasi, invero, di una spinosa questione di varchi e soglie, chesoltanto nell’asettica stasi del documento formalizzato dall’Organoamministrativo sembra giungere a un pacifico appianamento, laddove,invece, nella magmatica stratificazione, interazione e intersecazionedegli eventi quotidiani della vita imprenditoriale, può ragionevolmenteprospettarsi alquanto più complesso il rispetto dell’altrui liminalità, contutti i rischi di duplicazione di competenze e di conflitti d’interesse cheuna tale incertezza può comportare. È però possibile sostenere che, stan-te l’attribuzione della verifica di conformità normativa al presidio diCompliance, ragioni di logica, opportunità, uniformità di valutazione edeconomicità aziendale, rendono auspicabile che la funzione di Risk


67 Si tratta delle attività di monitoring, per una trattazione maggiormente appro-fondita delle quali si rinvia al capitolo 3, paragrafo 6.

68 Attività di follow up, in ordine alle quali si rinvia al capitolo 3, paragrafo 6.

Management, comunque investita istituzionalmente del controllo deirischi, sia coinvolta nella misurazione anche di quello di Compliance.

Sempre in argomento di obiettivi istituzionalmente perseguiti,l’Internal Audit è deputata alla verifica di efficienza ed efficacia delSistema dei Controlli Interni nel suo complesso, svolgendo inoltre«attività di supporto e di consulenza alle altre funzioni aziendali»69.

Anche la Compliance è chiamata a esercitare un controllo ex postin ordine all’adeguatezza ed efficacia del proprio processo70 nonchéall’effettivo recepimento in azienda delle misure correttive, di tipo pro-cedurale e organizzativo, da essa proposte al fine di prevenire l’incor-rere di una mancata conformità71.

È pertanto forse opportuno soffermarsi brevemente in questa sedesulle differenze intercorrenti tra le attività di monitoring e follow upsvolte dal presidio di Compliance e quelle di verifica ex post tipichedell’Internal Audit.

Concretamente infatti, benché sia ipotizzabile un parallelismo, trale due sussistono chiari tratti distintivi, come evidenziano anche leosservazioni conclusive del Paper «Le funzioni di Internal Audit e diCompliance: ruoli, responsabilità e ambiti di rispettiva competenza»72.

Quivi si sottolinea come l’Internal Audit effettua la propria verifica«mediante specifici interventi sul sistema dei controlli, mirati a valuta-re la rischiosità intrinseca di particolari aree di attività», mentre la fun-zione di Compliance è «chiamata a svolgere attività di monitoraggionel continuo sui presidi esistenti nei processi e nelle procedure di miti-gazione dei rischi di non conformità e reputazionali».

Tra le due tipologie di controllo sussistono differenze sia conriguardo all’oggetto (relativo al SCI nel suo complesso per l’InternalAudit e, invece, circoscritto al solo suo processo per quanto attienealla Compliance) che in ordine all’estensione temporale della verifi-ca (consistente in ispezioni periodiche per l’Audit, laddove laCompliance è tenuta a una valutazione ex post nel continuo). È inol-tre opportuno ricordare come anche il modus operandi dei controlli


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

69 Tale documento, presentato a Milano il 2/07/2008, costituisce l’esito dei lavoridi un gruppo di studio congiunto dell’Associazione Italiana Internal Auditors edell’Associazione Italiana Compliance.

70 Art. 21, comma 1, lettera d), Regolamento ISVAP n. 20 del 26/03/2008.71 Art. 15, comma 4, Regolamento ISVAP n. 20 del 26/03/2008.72 Per un trattazione più diffusa dell’argomento si rinvia il lettore al capitolo 12.

effettuati dalle due funzioni risulti alquanto differente. Infatti, se lavalutazione ex post di Compliance si connota per l’utilizzo di unapproccio bottom-up, l’ordinario metodo su cui si fonda il controllodi Audit risulta essere invece di tipo top-down, sostanziandosiusualmente in test campionari correnti, mentre verifiche analitichevengono effettuate esclusivamente, o in prevalenza, sui processiche, a seguito delle ispezioni svolte, rivelino esposizione a un qual-che rischio.

Poste in evidenza le differenze tra i controlli ex post di Compliancee di Internal Audit, è ora opportuno vedere brevemente che adempi-menti si richiedono alle tre funzioni del SCI in materia di predisposi-zione di un’adeguata reportistica a documentazione delle attività svol-te e degli esiti che da queste sono discesi. Al riguardo, l’ISVAP richiedesia all’Internal Audit che al Risk Management e alla Compliance diindirizzare idonei flussi informativi all’Organo amministrativo.

In particolare, la funzione di Risk Management deve serbarememoria dell’attività e delle metodologie di valutazione e misurazionedei rischi nonché delle risultanze che il censimento effettuato ha postoin evidenza. Il presidio di Risk Management è investito della respon-sabilità di validare i flussi informativi necessari a un tempestivo con-trollo dell’esposizione dell’azienda ai rischi catalogati ed è tenuto adare immediata comunicazione delle anomalie rilevate, predisponendoidonea «reportistica nei confronti dell’Organo amministrativo,dell’Alta Direzione e dei responsabili delle strutture operative circal’evoluzione dei rischi e la violazione dei limiti operativi fissati»73.

Il responsabile della funzione di Compliance deve redigere, concadenza quanto meno annuale o, qualora il Board ne ravvisi l’opportu-nità, secondo una periodicità maggiormente ravvicinata, una relazioneche educa quest’ultimo sulla adeguatezza ed efficacia dei presidi adot-tati dall’impresa per la gestione del rischio di non conformità allenorme, indirizzando adeguati flussi informativi, qualora necessario,anche alle altre strutture aziendali coinvolte.

L’Internal Audit è tenuta a illustrare e a sottoporre agli organi diCorporate Governance, secondo la tempistica e le modalità stabilite dalCdA, le risultanze del controllo effettuato, avendo cura di segnalare ledisfunzioni e le criticità eventualmente riscontrate.


73 Art. 17, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.

Stando pertanto al dettato normativo del Regolamento n. 20, laddo-ve il Risk Manager e il Compliance Manager indirizzano i propri flus-si informativi anche alle aree operative, l’Internal Auditor circoscrivela propria reportistica soltanto agli organi di governo societario.

L’Internal Audit è peraltro deputata alla verifica della regolarità efunzionalità dei flussi informativi tra settori aziendali e al controllodell’adeguatezza e dell’affidabilità dei sistemi informativi affinché nonsia inficiata la qualità delle informazioni sulle quali il vertice azienda-le basa le proprie decisioni.

Per quanto poi attiene la redazione e la presentazione all’Organoamministrativo di un piano annuale illustrante le attività che la funzio-ne programma di svolgere nell’anno, il Regolatore pone un esplicitoobbligo esclusivamente in capo alla funzione di Audit, precisandocome questa debba aver cura di identificare «le attività a rischio, leoperazioni e i sistemi da verificare, descrivendo i criteri sulla base deiquali questi sono stati selezionati e specificando le risorse necessarieall’esecuzione del piano»74.

Pur non sussistendo un’espressa previsione normativa che vincoliad analogo adempimento la funzione di Compliance, ragioni di oppor-tunità – prassi diffusa e cristallizzata, uniformità rispetto all’agiredell’Internal Audit, delimitazione delle responsabilità dellaCompliance – suggeriscono come opportuna, a titolo di best practice,la redazione di un piano annuale di Compliance75.

Tutte e tre le funzioni di controllo sono inoltre tenute a collaboraretra di loro, scambiandosi ogni informazione utile per l’espletamentodei rispettivi compiti76.

Inoltre, quando l’organizzazione dell’impresa abbia previsto l’istitu-zione di organi o centri deputati al monitoraggio di norme specifiche, èda auspicarsi che l’azienda offra alla funzione di Compliance la possibi-lità di acquisire ulteriori conoscenze «derivate» delle norme.Riconoscere al Compliance Manager l’opportunità di attingere informa-zioni presso altri uffici aziendali cui è demandato il presidio di specifichearee normative è infatti propedeutico a un pieno e responsabile eserciziodelle attività di prevenzione e mitigazione del rischio di Compliance.


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

74 Art. 5, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.75 Art. 23, comma 5, Regolamento ISVAP n. 20 del 26/03/2008.76 Art. 17, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.

In tali casi il Compliance Manager potrà limitarsi ad acquisire unreport sugli ambiti di significatività delle anzidette disposizioni, inmodo da poter effettuare con diretto riguardo a esse la valutazione diadeguatezza delle procedure di prevenzione.

Né è da escludere che, per l’individuazione delle norme da monito-rare, il Compliance Manager possa trarre ausilio dai riferimenti di altricentri di responsabilità presenti all’interno della struttura aziendale,oltre quelli istituiti per obbligo di legge. A tale eventualità può aggiun-gersi quella derivante da scelte strategiche che inducano l’Organoamministrativo a chiedere l’identificazione, la valutazione e il control-lo dei soli rischi ritenuti maggiormente significativi77 in rapporto allanatura, dimensione o complessità dell’attività svolta dall’impresa.

In ogni caso, il titolare della funzione di Compliance non può igno-rare di essere continuamente collegato alle altre unità dell’impresa,abbiano esse compiti operativi o facciano parte degli assetti del con-trollo interno. Se la normativa regolamentare consente al ComplianceManager di organizzare la funzione ricorrendo a risorse appartenentiad altre unità aziendali78, a maggior ragione essa permetterà che, senzatogliere risorse alle altre unità, egli si rivolga a esse per averne la cono-scenza della normativa al cui rispetto dovrà riferirsi la valutazione diadeguatezza delle procedure di prevenzione.

Ciò che va semmai raccomandato è che, in tutti i casi in cui ilCompliance Manager si avvale del report di altre unità aziendali, restitraccia documentale dei flussi informativi in modo da mantenere chia-ramente distinti i rispettivi ambiti di responsabilità.

A seguire si propone una tabella riassuntiva delle differenze e simi-litudini intercorrenti tra le tre funzioni del SCI.


77 Art. 5, comma 1, Regolamento ISVAP n. 20 del 26/03/2008.78 Art. 23, comma 5, Regolamento ISVAP n. 20 del 26/03/2008.

Driver di comparazione

Livello di controllo

Focus prioritario

Competenzedistintive

Responsabilità

Risk Management

Secondo livello

Mantenere a un livello accettabile,coerente con ledisponibilitàpatrimonialidell’impresa, i rischi a cui questa è esposta

Modellistica di valutazione dei rischi dell’impresa

Identificazione,valutazione e controllodei rischimaggiormentesignificativi, le cui conseguenze

Compliance

Secondo livello

Assicurare la conformitànormativa dell’impresae delle attività da questa poste in essere, in modo da prevenire il rischiodi incorrere in sanzionigiudiziarie o amministrative,perdite patrimoniali o danni di reputazione,in conseguenza di violazioni di leggi,regolamenti o provvedimenti delle Autorità di vigilanza ovvero di norme diautoregolamentazione

Porre particolareattenzione al rispettodelle norme relativealla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati,all’informativaprecontrattuale e contrattuale, allacorretta esecuzione dei contratti, con particolareriferimento allagestione dei sinistri e, più in generale, allatutela del consumatore

Conoscenza delle norme e degli adempimentiimpattanti sui processi

Valutazione di nonconformità eproposizione diadeguati interventimitigativi

Internal Audit

Terzo livello

Monitorare, valutare e massimizzarel’efficacia e l’efficienza del Sistema dei Controlli Interni

Svolgere attività di assurance e consulenza alle variefunzioni aziendali,supportandone le eventuali necessitàdi adeguamento

Conoscenza di regolee prassi operative

Verifica di efficienzaed efficacia volta almiglioramento deiprocessi di gestionedei rischi, di controlloe di Governance


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

Tabella 1.1 – Differenze e similitudini tra le tre funzioni del SCI


Attività

possono minare la solvibilitàdell’impresa o costituire un serioostacolo alla realizzazione degliobiettivi aziendali

• Catalogazione dei rischi in funzionedella natura e delle dimensionidell’attività. La catalogazioneinclude almeno i seguenti rischi:a) rischio di assunzioneb) rischio di riservazionec) rischio di mercatod) rischio di creditoe) rischio di liquiditàf) rischio operativog) rischio legatoall’appartenenza al gruppoh) rischio di nonconformità alle normei) rischio reputazionale• Concorrenza alla definizione delle metodologie dimisurazione dei rischi• Concorrenza alla definizione dei limiti operativiassegnati alle struttureoperative e definizionedelle procedure per la tempestivaverifica dei limitimedesimi• Verifica della coerenza dei modelli di misurazione dei rischi con l’operatività svoltadalla impresa• Concorrenzaall’effettuazione delleprove di stress test• Validazione dei flussiinformativi necessariad assicurare il tempestivo controllodelle esposizioni ai rischi e l’immediatarilevazione

• Identificazione,analisi ed aggiornamento in via continuativadella normativaapplicabile all’impresae collegamento delle norme censite ai processi aziendalimappatidall’Organizzazione• Assessment dei nodidi processo esposti al rischio di mancataconformità in quantoimpattati dalla normativaapplicabile all’impresae valutazione in ordineall’adeguatezza e all’efficacia delle misureorganizzative adottateper la prevenzione e la mitigazione del rischio di nonconformità alle norme• Proposizioneproattiva di interventiorganizzativi e procedurali volti ad assicurare un adeguato presidiodel rischio di mancataconformità (action plan)• Valutazione in ordineall’adeguatezza del complessivoprocesso di Compliance nel prevenire il verificarsi di mancate conformità(monitoring) e verificain ordine all’effettivoed efficacerecepimento in aziendadelle soluzioni di prevenzione del rischio a suo tempoproposte (follow up)

dell’impresa

• Verifica di:a) processi gestionali e procedureorganizzative;b) regolarità efunzionalità dei flussiinformativi tra settoriaziendali;c) adeguatezza dei sistemi informativie loro affidabilità(affinché non siainficiata la qualitàdelle informazionisulle quali il verticeaziendale basa leproprie decisioni)d) rispondenza dei processiamministrativo-contabili a criteri di correttezza e di regolare tenutadella Contabilitàe) efficienza dei controlli svoltisulle attivitàesternalizzate• Attività di follow-up,consistente nella verifica a distanza di tempodell’efficacia delle correzioniapportate• Reportisticaall’OrganoAmministrativo,all’Alta Direzione e all’Organo di Controllo sulle risultanze e le eventualidisfunzioni e criticitàevidenziate


© E

diz

ioni

Ang

elo

Gue

rini e

Ass

ocia

ti

Approccio operativo

Autonomia

Aree gestionali di inferenza elettiva

Aree gestionaliassimilabili

Riporto

delle anomalieriscontratenell’operatività• Predisposizione della reportistica nei confrontidell’Organoamministrativo,dell’Alta Direzione e dei responsabili delle struttureoperative circal’evoluzione dei rischie la violazione deilimiti operativi fissati

Ex ante e nel continuo

Da configurare

La collocazioneorganizzativa della funzione di RiskManagement è lasciataall’autonomia delle imprese, nel rispetto del principio di separatezza tra funzioni operative e di controllo

Il collegamento tra la funzione di Internal Audit e quella di RiskManagement è definitoe formalizzatodall’OrganoAmministrativo

• Altre funzioni di controllo• Funzione attuariale • CFO

• Pianificazionestrategica• Controllo di gestione

Organo amministrativo

• Predisposizione di adeguati flussiinformativi diretti agli organi sociali e alle altre struttureaziendali interessate(reporting periodico e per eccezione)

Proattivo nel continuo,eminentemente ex antema anche ex post conriferimento all’attivitàdi monitoring e follow up

Massima

È garantita la separatezza della funzione di Compliance dalle funzionioperative e dalle altrefunzioni di controllo,attraverso la definizione espressadei rispettivi ruoli e competenze da formalizzarsi a cura dell’OrganoAmministrativo

Pur se sottoposta a verifica periodica da parte dell’InternalAudit, la funzione di Compliance è comunque da essa separata

• Altre funzioni dicontrollo• Organizzazione• Legale• Formazione

• Legale• Privacy• Antiriciclaggio• Sicurezza sul lavoro• Normative particolari

Organo amministrativo

Campionario corrente

Massima

La collocazione della funzionenell’ambito della strutturaorganizzativa deve essere tale da garantirnel’indipendenza e l’autonomia,affinché non ne siacompromessal’obiettività di giudizio

Altre funzioni di controllo

Nessuna

Organoamministrativo

Il sistema di Corporate Governance - compliance.ania.it · Capitolo 1 Il sistema di Corporate...

Documents

Transcript of Il sistema di Corporate Governance - compliance.ania.it · Capitolo 1 Il sistema di Corporate...