Le Funzioni Di Internal Audit e Di Compliance

Le Funzioni di Internal Audit e di Compliance:ruoli, responsabilità e ambiti di rispettiva competenza

aprile 2008

Copyright © Associazione Italiana Internal Auditors – AIIASede Legale: Via Santa Tecla 5, 20122 Milano.Tel.: 02.36581500 - Fax: 02.86995492Email: [email protected] - Internet: www.aiiaweb.itAll rights reserved.

Tutti i diritti di traduzione, di riproduzione, di memorizzazione elettronica e di adattamento totale e parziale con qual-siasi mezzo (compresi i microfilm e le copie fotostatiche), anche a scopo didattico, sono coperti da copyright.

1

Titolo del capitolo

Associazione Italiana Internal Auditors

Le Funzioni di Internal Audit e di Compliance:ruoli, responsabilità e ambiti di rispettiva competenza

Aprile 2008

INDICE

1 Executive Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

2 Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112.1 Obiettivi del documento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112.2 Presentazione delle associazioni AICOM e AIIA e il gruppo di lavoro . . . . . . . . . . . . . . . . . .122.3 Alcuni concetti introduttivi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

3 L’attività di consulenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173.1 Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173.2 Attività di consulenza svolta dalle Funzioni di Internal Audit e di Compliance . . . . . . . . . . .17

4 L’attività di Assurance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214.1 Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214.2 Assetto organizzativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214.3 Sistema delle deleghe e dei poteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224.4 Sistema dei Controlli Interni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234.5 Modelli di gestione del rischio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .244.6 Processi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .244.7 Procedure aziendali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254.8 Sistemi Aziendali di Reporting e Informativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .264.9 Attività di controllo e di verifica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

5 Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

Appendice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .331 Definizioni e riferimenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .332 Quadro normativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

3Associazione Italiana Internal Auditors – Associazione Italiana Compliance

1 Executive Summary

L’introduzione nel settore finanziario della Funzione di Compliance a seguito dell’emanazione delle

nuove normative di settore rende necessario riconsiderare l’articolazione del Sistema dei Controlli

Interni e valutare come la nuova Funzione si integrerà con quella di Internal Audit.

È un cambiamento che condurrà a significative modifiche nella delicata architettura su cui si fondano

gli equilibri del Sistema dei Controlli Interni e che richiede un’analisi organizzativa che deve tener conto

dell’insieme articolato dei fattori in gioco, ma soprattutto, deve essere animata da uno spirito positivo e

costruttivo volto a considerare questa occasione come l’opportunità di allinearsi alle best practice inter-

nazionali in materia.

Si tratta, infatti, di cogliere questo evento per ripensare al Sistema dei Controlli Interni come ad un’ar-

chitettura che dovrà affrontare nuove sfide, realtà e soprattutto rischi, abituandosi all’idea di non poter

considerare questo sistema di presidi come un elemento “statico” nel tempo. Ecco quindi l’opportunità

di affrontare quest’analisi organizzativa su base integrata rivedendo non solo i rapporti tra Internal Audit

e Compliance, ma anche quelli tra queste due Funzioni e il Risk Management, l’Organizzazione ed il

Legale. Argomenti questi ultimi che il presente documento non approfondisce, ma che si ritiene comun-

que di dover evidenziare. Peraltro nei gruppi di maggiore dimensione, anche internazionale, dovrà esse-

re argomento di analisi anche il Modello di Controllo che presiede all’organizzazione dei processi di

controllo ed ai suoi meccanismi di governance interni alla società ed al gruppo.

Passando all’analisi dei rapporti tra le due Funzioni, è necessario che le stesse trovino un sostanziale

territorio d’integrazione completandosi a vicenda, evitando rischi di sovrapposizione e di duplicazione

delle attività.

L’introduzione della Funzione di Compliance deve essere uno spunto ed un ulteriore fattore per consen-

tire alla società di proteggersi dai rischi in modo sempre più efficace ed efficiente.

La distinzione dei ruoli tra le due Funzioni, infatti, deve essere ricercata nella loro diversa finalità, con

la Funzione di Compliance focalizzata sul rispetto della normativa e l’Internal Audit sul monitoraggio del

complessivo Sistema dei Controlli Interni. Una particolare attenzione dovrà essere posta nella coopera-

zione tra le due strutture, in particolare in materia di servizi di investimento, laddove la Funzione di

Compliance è chiamata a svolgere, secondo le disposizioni del Regolamento Banca d’Italia-Consob,

emanato ai sensi dell’art. 6, comma 2-bis del T.U.F., verifiche sul rispetto delle procedure interne. Non

sembra invece condivisibile una distinzione basata su modalità di intervento prevalentemente ex ante o

ex post che non si ritiene possa costituire una valida discriminante tra le due attività.

Da un punto di vista organizzativo, non si è ritenuto di entrare nel merito delle diverse possibili soluzio-

ni, che devono essere invece valutate tenendo presente la realtà delle singole società, le strutture e le

Documento congiunto AIIA - AICOM


6 Associazione Italiana Internal Auditors – Associazione Italiana Compliance

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competenza

professionalità già esistenti. È importante, invece, che l’analisi organizzativa che dovrà costituire il pre-

supposto all’introduzione della Funzione di Compliance non si basi su modelli o schemi precostituiti e

non si risolva in un mero inserimento di ruoli e responsabilità all’interno della struttura organizzativa. Al

contrario, sarà molto importante fondare le proprie scelte su un’attenta analisi dei propri rischi attuali e

prospettici al fine di individuare con chiarezza il naturale ambito di ripartizione delle responsabilità tra

le due Funzioni.

Un ultimo spunto di riflessione va alla cultura aziendale del Controllo e della Compliance: il suggeri-

mento, che è forse più un auspicio, è che l’inquadramento organizzativo delle due Funzioni, ma soprat-

tutto lo spirito che dovrà animare l’espletamento delle rispettive mansioni e responsabilità, sia orientato

sempre ad una positiva e costruttiva diffusione della cultura della consapevolezza dei rischi e del rispet-

to delle regole.

Il presente documento ha sviluppato le differenze dei ruoli delle due Funzioni distinguendo l’ambito

della consulenza da quello dell’assurance, come risulta meglio sintetizzato di seguito.

Associazione Italiana Internal Auditors – Associazione Italiana Compliance


7

CONSULENZA

• Proporre iniziative per garantireche il processo/progetto sia coe-rente con gli obiettivi di businesse di governo, nonché con la stra-tegia aziendale

• Assistere nell’individuazione del-le azioni per il contenimento deirischi entro i limiti di propensio-ne stabiliti dall’azienda

• Supportare ex-ante la confi-gurazione dei processi opera-tivi affinché risultino conformicon la normativa, al fine diprevenire/gestire il rischio dinon conformità

• Trasmettere e diffondere al-l’interno dell’organizzazione lacultura del “face value”

Modello di governance(assetto organizzativo)

• Verificare l'adeguatezza dell'as-setto organizzativo e delle fun-zioni aziendali con riferimentoal requisito del "buon funziona-mento" in termini di dimensio-namento, struttura, responsa-bilità, processi decisionali, mo-dello di controllo, ecc.

• Proporre soluzioni organizzativeche consentano l'individuazioneunivoca e formalizzata di com-piti, responsabilità e riporti

• Valutare l’efficacia del principiodella “segregation of duties” perquelle attività che richiedono lasegregazione di responsabilitàtra più risorse/funzioni

• Verificare la conformità dellastruttura organizzativa e dellefunzioni aziendali (in terminidi compiti e di responsabilità)alla normativa di riferimento,anche a livello di Gruppo

• Presidiare, gestire e monitora-re i conflitti di interesse con ri-ferimento a tutte le attivitàsvolte nell’ambito della strut-tura organizzativa

Sistema delle deleghe e dei poteri

• Valutare che il sistema delle de-leghe e dei poteri rispecchi le di-rettive formulate dal CdA/Capo-gruppo

• Valutare la coerenza tra i poteridelegati e la struttura gerarchica

• Rilevare eventuali superamentidei poteri attribuiti, individuarele cause, formulare adeguateproposte correttive

• Valutare l’allocazione di dele-ghe e poteri in modo tale daassicurare la conformità allediposizioni normative (interneed esterne) e il presidio deiconflitti di interesse emergen-ti dall’allocazione delle stes-se, sia con riferimento alle ri-sorse all'interno delle funzio-ni, sia con riferimento agliesponenti aziendali

ASSURANCE

Ruoli e Responsabilità per Internal Audit e per la Funzione di Compliance

Ambiti Aziendali di Analisi Internal Audit Funzione di Compliance



Sistema dei Controlli Interni

• Valutare l’adeguatezza del siste-ma dei controlli interni sulla ba-se di un piano di verifiche riskbased

• Relazionare in merito all’ade-guatezza generale del Sistemadei Controlli Interni e proporrearee di miglioramento con riferi-mento alle valutazioni comples-sive effettuate in fase di audit

• Valutare il livello di adegua-tezza delle metodologie di ge-stione del rischio con riferi-mento al presidio dei rischi dicompliance

• Relazionare in merito all’ade-guatezza dei presidi esistentisui rischi di non conformità eproporre aree di miglioramen-to con riferimento alle valuta-zioni complessive emergentidalle analisi effettuate

Modello di gestione del rischio

• Valutare in una visione sistemi-ca l’adeguatezza dei modelli digestione del rischio previsti dal-l’organizzazione

• Valutare il modello di gestio-ne del rischio di non confor-mità nonché l’aderenza allespecifiche normative degli al-tri modelli di gestione dei ri-schi adottati dall’azienda

• Verificare nel continuo l’ade-guatezza del modello di ge-stione del rischio di non con-formità, con riferimento aicambiamenti normativi cheinteressano l’intera organizza-zione

Processi

• Verificare l’efficacia e l’efficienzadei processi aziendali, con spe-cifico riferimento all’adeguatez-za dei controlli di I e di II livello,al fine di assicurare il conteni-mento dei rischi aziendali entroil livello ritenuto accettabile dal-l‘organizzazione

• Valutare nel continuo la con-formità dei processi aziendalialla normativa vigente

ASSURANCE (segue)



Per gli ambiti riferiti all’attività di controllo e di verifica trattati in tabella, si rinvia allo specifico capitolo

nel quale vengono illustrate le reciproche competenze, tenendo conto, da un lato del requisito normati-

vo del controllo di Internal Auditing sull’adeguatezza della Funzione di Compliance, e dall’altro della

disciplina del Regolamento Banca d’Italia-Consob, emanato ai sensi dell’art. 6, comma 2-bis del T.U.F.

in materia di prestazione dei servizi di investimento. In ogni caso, al fine di evitare inefficienti sovrappo-

sizioni di ruoli e responsabilità per le attività di verifica che ciascuna Funzione è chiamata a svolgere,

appaiono percorribili soluzioni di specifici accordi di servizio tra le due Funzioni (estendibili anche ad

altre funzioni) da sottoporre all’approvazione degli organi aziendali.



ASSURANCE (segue)



Procedure

• Valutare le procedure aziendalicon l’obiettivo di assicurare ilcontenimento dei rischi attra-verso la verifica dell’esistenza edell’adeguatezza dei presidi dicontrollo di I e II livello

• Validare ex ante le procedureorganizzative in relazione alprincipio di conformità allanormativa di riferimento

• Verificare nel continuo che leprocedure aziendali assicuri-no l’ordinata e corretta pre-stazione dei servizi e la rico-struzione delle modalità ope-rative in conformità alle nor-mative interne ed esterne

Informativa e reporting

• Valutare nel suo complesso il si-stema di reporting aziendale intermini di adeguatezza, di coe-renza generale e di rispetto del-le procedure interne

• Valutare il reporting e l’in-formativa in termini di ri-spetto di contenuti e ditempistica in relazione allanormativa vigente

2 Introduzione

2.1 Obiettivi del documento

Il settore finanziario italiano è interessato da significativi cambiamenti della disciplina di riferimento,

che riguarda in modo diretto anche il Sistema dei Controlli Interni. Al riguardo si ricordano la Direttiva

MiFID e la relativa normativa di recepimento, in particolare il Regolamento Banca d’Italia-Consob adot-

tato ai sensi dell’art. 6 comma 2-bis del Testo Unico della Finanza, la normativa emanata dal Comitato

di Basilea sulla Funzione di Compliance nelle banche, le Istruzioni di Vigilanza di Banca d’Italia del 10

luglio 2007 sulla Funzione di Conformità.

In tale contesto, l’Associazione Italiana Internal Auditors (AIIA) e l’Associazione Italiana Compliance

(AICOM) hanno ritenuto opportuno fornire un contributo agli operatori del sistema finanziario nell’iden-

tificazione degli ambiti operativi e delle responsabilità delle Funzioni di Internal Audit e di Compliance,

nel rispetto dell’esigenza di massimizzare lo spirito di collaborazione ed il comune obiettivo di contribui-

re alla cultura del controllo e della conformità all’interno delle società.

A tal fine le due Associazioni hanno dato vita ad un Gruppo di Lavoro che, partendo dai requisiti nor-

mativi esistenti e dalle best practice professionali di cui entrambe le Associazioni sono portatrici, ha

analizzato le attività svolte dagli operatori finanziari, identificando le aree in cui potevano generarsi

dubbi o sovrapposizioni tra le due Funzioni e proponendo possibili ipotesi di soluzioni operative.

Un contributo fondamentale è stato fornito, al riguardo, dai partecipanti al Gruppo di Lavoro, professio-

nisti operanti nel settore dell’Internal Audit o della Compliance nell’ambito di realtà bancarie o finanzia-

rie, dove le problematiche in questione sono da tempo affrontate anche a livello internazionale. In parti-

colare i professionisti AIIA sono componenti del Comitato Settore Finanziario di tale Associazione;

AICOM è stata rappresentata dai suoi organi direttivi.

A tal proposito si precisa che il contributo fornito in termini di know how dai partecipanti al Gruppo di

Lavoro esprime il parere personale degli stessi e non vuole rispecchiare una posizione specifica legata

alle realtà aziendali di appartenenza.

Nell’ambito dell’analisi svolta, Consulenza, Assurance e Controllo sono stati individuati come utili ed

efficaci driver di analisi secondo i quali procedere all’individuazione dei rispettivi ambiti di responsabi-

lità delle due Funzioni; da un certo punto di vista, infatti, essi potrebbero rappresentare un efficace cri-

terio di aggregazione delle numerose e complesse attività svolte dalle due Funzioni.



Il presente documento si sviluppa, quindi, secondo le direttrici delle attività di Consulenza, Assurance e

Controllo per mettere in luce le peculiarità delle Funzioni di Internal Audit e di Compliance, sulla base

di alcuni principi cardine in grado di salvaguardare efficacia ed efficienza del sistema dei controlli:

• la non coincidenza tra funzione e struttura organizzativa che la rende effettiva;

• le necessità di coordinamento e raccordo tra funzioni dedicate ad obiettivi analoghi.

2.2 Presentazione delle Associazioni AICOM e AIIA ed il Gruppo di Lavoro

AICOML’AICOM, Associazione Italiana Compliance, nasce nel 2005 con il primario scopo di promuovere la

cultura della conformità e del rispetto delle regole all’interno del sistema finanziario dei diversi settori

industriali e della Pubblica Amministrazione; compito dell’Associazione è far comprendere l’importanza

che assume la tutela reputazionale e, nel settore bancario in particolare, la gestione del banking face

value.

Dell’AICOM, ente privo di finalità di lucro, fanno parte, oltre a rappresentanti della Funzione di

Compliance, esponenti del mondo finanziario, industriale, accademico e consulenziale, di associazioni

di categoria nonché componenti di autorità regolatrici.

Tramite l’emanazione di principi standard, di specifici approfondimenti tematici, di convegni e seminari,

l’AICOM favorisce lo sviluppo e la diffusione dei principi dell’etica e della conformità nonché la cono-

scenza delle regole di base che caratterizzano l’attività, agevolando altresì lo scambio di informazioni.

Interlocutore delle principali istituzioni del mondo finanziario e industriale, della Pubblica Ammi-

nistrazione e degli Organi di Vigilanza, l’AICOM offre altresì supporto consulenziale a tutti coloro che

necessitano di approfondire gli argomenti legati alle materie di compliance, in particolare al manage-

ment e ai vertici aziendali delle imprese che, integrando la Funzione nel Sistema dei Controlli Interni,

intendono creare valore per le loro aziende sia in termini di contenimento dei rischi (conseguentemente

anche di sanzioni e perdite) che in termini di miglioramento dell’immagine e del marchio aziendale,

con la fidelizzazione della clientela e la garanzia di sviluppo di lungo periodo.

L’attività di supporto consulenziale viene inoltre offerta dall’AICOM ai rappresentanti delle Funzioni di

Compliance per consentire loro di attivare presso le loro aziende adeguati processi di prevenzione dei

rischi di conformità e reputazionali, per favorire lo svolgimento di attività di monitoraggio di detti rischi

e avviare/coordinare flussi informativi atti a garantire idonei presidi, di tipo bottom up e top down, nel-

l’ambito dei sistemi di controlli dei gruppi aziendali.

A partire dalla sua recente costituzione l’AICOM ha promosso con successo studi, indagini, convegni,

autonomamente ovvero in collaborazione con importanti università italiane, favorendo la diffusione e la



12

conoscenza delle problematiche della materia e contribuendo all’affermazione del ruolo professionale di

coloro i quali operano nell’attività di compliance.

AIIA L’Associazione Italiana Internal Auditors rappresenta la sezione italiana dell’I.I.A., Institute of Internal

Auditors, leader mondiale per gli standard, la certificazione, la ricerca e la formazione per la professio-

ne di Internal Auditor.

Compito primario dell’Associazione è quello di promuovere lo sviluppo della professione di Internal

Auditing e la diffusione della cultura aziendale sulle tematiche di Corporate Governance, Risk

Management e Controllo Interno, inteso come strumento dell’azione manageriale per il governo dell’o-

peratività aziendale.

Costituita nel 1972 come associazione senza fini di lucro, oggi l’AIIA conta oltre 2.700 soci (in rappre-

sentanza di 1.000 organizzazioni) delle seguenti categorie professionali:

• internal auditors;

• sindaci;

• preposti al controllo interno;

• specialisti di società di revisione e consulenza;

• componenti di enti regolatori;

• esponenti del mondo accademico;

• studenti che frequentano master e corsi di specializzazione in internal auditing.

Nel perseguimento della sua mission AIIA realizza:

• programmi di formazione e aggiornamento ai vari livelli;

• pubblicazioni e rapporti di ricerca;

• convegni, seminari e tavole rotonde di natura informativa;

• esami per le qualifiche internazionali di CIA (Certified Internal Auditor), CCSA (Certificazione in Control Self-

Assessment) e CFSA (Certificazione in Financial Services Auditor).

Gruppo di Lavoro In rappresentanza di AIIA e di AICOM, hanno fatto parte del Gruppo di Lavoro che ha predisposto il

presente documento le seguenti persone, tutte con esperienza in banche o intermediari italiani e ban-

che estere operanti in Italia, ovvero in ambito accademico:

• Giuseppe Aquaro

• Giovanna Di Stefano

• Manuela Gallo

• Lino Mainolfi

• Alberto Porzio

• Fabio Renzi



• Roberto Russo

• Paola Sassi

• Claudio Testa

2.3 Alcuni concetti introduttivi

In questo paragrafo, per agevolare la lettura del presente documento, vengono introdotti l’oggetto ed i

driver di analisi che hanno guidato il lavoro di approfondimento finalizzato all’attribuzione dei ruoli e

delle responsabilità tra le Funzioni di Compliance e di Internal Audit.

Nell’appendice al presente documento si riportano le definizioni dei concetti utilizzati in modo più ricor-

rente durante il lavoro di analisi.

Oggetto dell’analisi - La Funzione di Internal Audit e la Funzione di ComplianceLa definizione fornita dall’Institute of Internal Auditor è: “Internal Auditing 1 is an independent, objecti-

ve assurance and consulting activity designed to add value and improve an organisation’s operations.

It helps an organisation accomplish its objectives by bringing a systematic, disciplined approach to

evaluate and improve the effectiveness of risk management, control, and governance processes” 2.

Nello svolgimento del lavoro l’auditor è tenuto a rispettare gli Standard Professionali Internazionali di

Internal Auditing che comprendono aspetti etici e di esecuzione della prestazione. Tali Standard preve-

dono inoltre un processo indipendente di quality assurance della Funzione.

Riprendendo quanto riportato dal Comitato di Basilea 3 la Funzione di Compliance è: “An independent

function that identifies, assesses, advises on, monitors and reports on the bank’s compliance risk,

that is, the risk of legal or regulatory sanctions, financial loss, or loss to reputation a bank may suffer

as a result of its failure to comply with all applicable laws, regulations, codes of conduct and stan-

dards of good practice (together “laws, rules and standards”)”.

Gli ambiti dell’analisi - Assurance e ConsulenzaSi è scelto di proporre un’analisi delle attività svolte dalle Funzioni di Compliance e Internal Audit

distinguendole in due macro categorie: la Consulenza e l’Assurance. La scelta è stata definita in base al

riferimento alla documentazione disponibile a livello internazionale e alle attività di competenza ricon-

ducibili alle due Funzioni.



1 Tale posizione riprende quanto riportanto nel documento “Internal audit in banks and the supervisor's relationship with au-ditors” Basel Committee on Banking Supervision, Agosto 2001.

2 La traduzione fornita dall’AIIA è la seguente: L’Internal Auditing è un’attività indipendente e obiettiva di “assurance” econsulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nelperseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto fi-nalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.

3 Tale posizione riprende quanto riportato nel documento “Compliance and Compliance function in banks”, Aprile 2005.

Con il termine Assurance si intende l’attività volta ad assicurare la Direzione Aziendale sul sistema di

gestione dei rischi ai quali l’organizzazione è esposta, attraverso il controllo preventivo ed ex-post da

parte di funzioni indipendenti.

Per Consulenza si intende l’attività di sostegno ed orientamento nei confronti degli organi di vertice e

delle strutture organizzative attraverso un’azione volta a correggere ed implementare nuove strategie

organizzative e comportamenti operativi. La Consulenza, puntando sul miglioramento continuo dei pro-

cessi di controllo, apporta il suo valore all’organizzazione, in quanto finalizzata al contenimento dei

rischi aziendali.



3 L’attività di Consulenza

3.1 Premessa

Nel presente capitolo si procede all’analisi della suddivisione di ruoli e di responsabilità tra le Funzioni

di Internal Audit e di Compliance, cominciando dall’attività di Consulenza.

Data la peculiarità dell’argomento trattato, le analisi che seguono tengono nella dovuta considerazione

quanto disposto anche dalle “fonti istitutive” delle due Funzioni in argomento, al fine di metterne in evi-

denza il percorso evolutivo e le aree di connessione.

A tal proposito, a titolo esemplificativo, si riporta quanto previsto dal Regolamento della Banca d’Italia

e della Consob, emanato ai sensi dell’art. 6, comma 2-bis del T.U.F. che, con riferimento all’attività di

Consulenza, stabilisce che la Funzione di Controllo di Conformità (Compliance) deve “Fornire consu-

lenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini dell’adempimento degli obblighi

posti dalle disposizioni di recepimento della Direttiva 2004/39/CEE e delle relative misure di esecu-

zione”, mentre alla Funzione di Revisione Interna (Internal Audit) vengono attribuiti, fra l’altro, i

seguenti compiti “Adotta, applica e mantiene un piano di audit per l’esame e la valutazione dell’ade-

guatezza e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo del-

l’intermediario” e “formula raccomandazioni basate sui risultati dei lavori realizzati […] e ne verifica

l’osservanza”.

In aggiunta, peraltro, alla complessità operativa interna di ogni intermediario, la proliferazione normati-

va che caratterizza il contesto attuale introduce oggi un fattore di soggettività interpretativa da parte

delle aziende in quanto, essendo questi temi trattati in termini di principi generali, vengono demandate

all’intermediario specifiche soluzioni attuative in assenza, in molti casi, di opportuni elementi interpre-

tativi.

3.2 Attività di Consulenza svolta dalle Funzioni di Internal Audit e di Compliance

Come si evince dalle definizioni sopra riportate, l’attività di Consulenza attiene sia alla Funzione di

Compliance che a quella di Internal Audit. È pertanto necessario chiarire gli specifici ambiti e le moda-

lità d’intervento delle due Funzioni; affinché essi vengano svolti con la massima efficienza occorre poi

che dette modalità ed ambiti risultino opportunamente formalizzati all’interno di appositi mandati con-

feriti presso le diverse realtà aziendali.

Partendo quindi dalle semplici definizioni di ognuna delle due Funzioni è possibile asserire che per la

Funzione di Internal Audit l’attività di Consulenza consiste principalmente nella prestazione di attività di



supporto e di assistenza, la cui natura ed estensione si esplica soprattutto nel corso e a valle delle veri-

fiche effettuate e si traduce generalmente in una serie di suggerimenti e raccomandazioni chiarificatrici

che permettono all’auditor di fornire un adeguato supporto all’organizzazione senza perdere la necessa-

ria indipendenza. Ciò con l’obiettivo di fornire valore aggiunto e migliorare i processi di governance, risk

management e controllo, senza assumere responsabilità decisionali.

In questi termini, l’attività dell’Internal Audit si caratterizza per essere un’attività di Consulenza focaliz-

zata sulla necessità che il progetto/processo risulti coerente con le strategie di business e di governo e

che risponda al generale obiettivo di contenimento dei rischi aziendali (considerati nel loro complesso)

entro i limiti di accettabilità stabiliti dal Vertice. L’Internal Audit, infatti, finalizza la propria attività di

Consulenza prevalentemente sulla proposta di soluzioni idonee a garantire il superamento dei punti di

debolezza del Sistema dei Controlli Interni. La sua attività si esplica sia nel momento in cui emergono

disallineamenti tra il Sistema dei Controlli Interni e il modello di business e di governo adottato dall’a-

zienda, sia nella fase di impianto/revisione di processi e procedure, con l’obiettivo di garantire coerenza

e linearità all’intero impianto dei controlli a presidio dei rischi.

In un’accezione più ampia del ruolo dell’Internal Audit si può ritenere, peraltro, che le sue mansioni

possano dirigersi verso un pieno supporto alla Governance aziendale, fornendo elementi di valutazione

all’Alta Direzione e al Board sulla praticabilità di determinate scelte anche di business, monitorando

che le indicazioni strategiche siano perseguite dalle strutture operative, offrendo in tal modo un contri-

buto al processo di Risk Management dell’azienda ed alla creazione di valore, tramite il contenimento

di costi e perdite, il miglioramento dei processi aziendali e la conseguente determinazione di un minor

requisito patrimoniale.

L’attività consultiva della Funzione di Compliance, invece, risulta essere, per sua stessa natura, un ser-

vizio svolto prevalentemente ex-ante, finalizzato alla definizione di presidi idonei a garantire la preven-

zione dei rischi di non conformità e reputazionali.

La consulenza, infatti, costituisce un’attività mirata al supporto interpretativo della coerenza dei proces-

si operativi aziendali alle norme cogenti e non, di eteroregolamentazione e ai codici di condotta.

Dovendo garantire efficaci presidi sui rischi di conformità e di reputazione, la Funzione interviene pre-

stando il proprio supporto consultivo sin dall’avvio di nuove attività e di lancio di nuovi prodotti e nel

corso della revisione dei processi e delle procedure, effettuate a seguito di verifiche espletate diretta-

mente, di segnalazioni ricevute da altre funzioni di controllo, incluso l’Internal Audit. Con riferimento ai

rischi reputazionali importante è il ruolo della Funzione di Compliance in termini di Consulenza prestata

ai fini della loro prevenzione.

Il rispetto dei principi etico/deontologici promossi dall’azienda, infatti, costituisce un fattore qualificante

per l’efficacia delle politiche e dei sistemi di controllo, in quanto la loro inosservanza caratterizza spes-

so quei comportamenti che sfuggono a tali sistemi, ancorché sofisticati. La Consulenza prestata dalla

Funzione di Compliance, perciò, costituisce il veicolo di trasmissione di questi valori e principi, in quan-



to diffonde la cultura del face value cioè della reputazione dell’impresa.

Grazie all’attività di monitoraggio continuo su processi e procedure, la Funzione di Compliance intervie-

ne anche a correggere eventuali carenze in essi riscontrate formulando specifici suggerimenti in merito

ai gap emersi ed evidenziati in fase di assessment.

Gli obiettivi dell’intervento delle Funzioni di Compliance e di Internal Audit nello svolgimento dell’atti-

vità di Consulenza dunque sono differenti.

Nel caso della Funzione di Compliance, l’oggetto dell’attività di Consulenza, riguardando la rispondenza

dei processi ai dettami normativi, ai principi e ai valori promossi dall’azienda, è rappresentato dalla

legittimità stessa delle procedure aziendali.

Per garantire ciò, essa interviene in modo tale che, da un lato, siano ben chiari gli aspetti interpretativi

delle norme, dall’altro, che i processi e le procedure, concretamente e correttamente rappresentati in

un modello organizzativo, siano ben presidiati con appositi punti di controllo e prevenzione volti al con-

tenimento dei rischi di conformità e reputazionali. A tali fini, l’intervento della Compliance, spesso,

viene svolto in collaborazione con altre funzioni, tra cui, in particolare, le Funzioni Legale e

l’Organizzazione Aziendale e, per ciò che riguarda più specificatamente l’aspetto di monitoraggio sui

rischi, con la Funzione di Operational Risk Management e l’Internal Audit. In taluni casi il ruolo consul-

tivo della Funzione di Compliance, in collaborazione con tali funzioni, può estendersi anche all’attività

di elaborazione diretta di regole interne, procedure e linee-guida.

Ancor di più, ruolo centrale nella propria mission consiste nel definire ed erogare le attività formative e

di sensibilizzazione per assicurare alle funzioni aziendali ed ai relativi addetti, ai vari livelli, un’adeguata

consapevolezza e familiarità con le normative che disciplinano il relativo ambito di operatività.

Un costante punto di riferimento sarà rappresentato, inoltre, dalla collaborazione con le diverse funzioni

aziendali e dalla possibilità di garantire lo sviluppo di metodologie di gestione del rischio coerenti con le

strategie e l’operatività aziendali.

La Consulenza prestata dalla Funzione di Internal Audit, invece, riguarda l’adeguatezza dei processi, al

fine di garantire coerenza all’operatività dell’azienda nell’ambito del sistema delle strategie d’impresa e

dell’intera propensione al rischio definita dall’Alta Direzione. Secondo tale logica l’Internal Audit può

intervenire formulando opportune linee d’indirizzo, sia durante le attività di definizione dei processi e

delle procedure, sia a valle dei propri interventi di verifica, suggerendo alle funzioni interessate, le solu-

zioni idonee a superare le criticità riscontrate.

Va sottolineato poi che l’attività di Consulenza prestata nell’ambito della stretta collaborazione con le

altre funzioni aziendali non rischia di provocare la sovrapposizione degli ambiti delle due Funzioni pur-



ché, come già evidenziato, i mandati loro attribuiti definiscano adeguatamente compiti, ruoli e respon-

sabilità, la loro separatezza e indipendenza dalle funzioni operative, nonché un appropriato posiziona-

mento organizzativo.

Un’interpretazione troppo estensiva dell’attività di Consulenza accompagnata da una confusione dei

reciproci ruoli, infatti, potrebbe minare l’efficiente svolgimento delle rispettive attività, provocare

sovrapposizioni sia fra le due Funzioni sia nei confronti delle altre funzioni aziendali.

Stante quanto sopra, invece, le due attività si sviluppano entro differenti confini, ben definiti e separati.



4 L’attività di Assurance

4.1 Premessa

Il presente capitolo intende analizzare la suddivisione di ruoli e responsabilità tra l’Internal Audit e la

Funzione di Compliance in merito all’attività di Assurance svolta in ambito aziendale. In particolare, l’a-

nalisi è stata suddivisa in diverse aree a cui sono dedicati specifici paragrafi, al fine di approfondire le

competenze di ciascuna Funzione e di evidenziare gli aspetti di collaborazione.

Le suddette aree sono:

• assetto organizzativo;

• sistema di deleghe e poteri;

• sistema dei controlli interni;

• modelli di gestione del rischio;

• processi;

• procedure;

• sistemi di reporting e informativa;

• attività di controllo e di verifica.

4.2 Assetto organizzativo

L’assetto organizzativo è soggetto a diverse valutazioni sia da parte dell’Internal Audit che della

Funzione di Compliance. Infatti, mentre l’Audit valuta l’adeguatezza dell’assetto organizzativo relativa-

mente ai requisiti previsti per il “buon funzionamento” della stessa azienda, la Funzione di Compliance

ne verifica la conformità, anche con riferimento all’organizzazione delle funzioni aziendali (in termini di

compiti e responsabilità), alla normativa di riferimento, con l’obiettivo, in particolare, di presidiare il

conflitto di interessi eventualmente emergente nei compiti attribuiti alle singole unità organizzative.

Più in dettaglio, l’Internal Audit focalizza la propria attenzione su alcuni fattori di analisi, svolgendo una

periodica valutazione della loro congruità, quali:

1 dimensionamento ed adeguatezza qualitativa delle risorse;

2 struttura aziendale;

3 attribuzione delle responsabilità ai diversi livelli gerarchici;

4 processi decisionali.

In relazione alla prima componente, l’Internal Audit verifica, coerentemente con le linee strategiche

aziendali, l’idoneità quali/quantitativa degli organici a supportare gli obiettivi assegnati alle strutture

operative.



In stretta correlazione valuta anche la struttura aziendale per verificarne la corretta articolazione e la

distribuzione delle responsabilità in tema di controlli, in coerenza con la propensione al rischio azienda-

le e con altri aspetti quali le scelte collegate alla distribuzione territoriale, ai processi strategici, di busi-

ness e di supporto. Particolare attenzione viene riposta dall’Internal Audit anche al rispetto dei principi

di segregation of duties, in linea con le best practice nazionali e internazionali.

Con riferimento al terzo aspetto, relativo ai livelli gerarchici, l’Internal Audit verifica l’avvenuta definizio-

ne e attribuzione (in documenti formalizzati) di compiti, responsabilità e riporti per lo svolgimento del-

l’attività aziendale.

Infine, la quarta componente richiede l’esame da parte dell’Internal Audit dell’adeguatezza e della chia-

rezza dei processi decisionali che devono risultare, peraltro, formalizzati. Dovrà soprattutto essere

garantito il rispetto dei principi sanciti dalle best practice nello svolgimento dell’operatività aziendale e

la possibilità di descrivere compiutamente le fasi e gli argomenti oggetto di discussione che hanno por-

tato alle decisioni.

Per quanto riguarda l’attività di Assurance, la Funzione di Compliance si concentrerà nel garantire la

presenza nella struttura organizzativa delle funzioni obbligatorie previste dalla normativa e la separazio-

ne di quelle attività che possono generare conflitti di interessi, verificando la presenza dei presidi orga-

nizzativi finalizzati ad evitare tali conflitti, gli scambi di informazioni e la sottoposizione ad uno stesso

responsabile di settori che devono essere separati.

Il ruolo della Funzione di Compliance troverà applicazione sia in sede di prima formalizzazione della

struttura organizzativa, sia nel corso del tempo, in relazione ai cambiamenti che dovessero intervenire

per scelta aziendale o per variazione della normativa di riferimento.

4.3 Sistema delle deleghe e dei poteri

In merito al sistema delle deleghe e dei poteri, l’Internal Audit valuta la corrispondenza dello stesso a

quanto statuito dalle specifiche delibere del Consiglio di Amministrazione ovvero dalle direttive della

Capogruppo e verifica che la distribuzione dei ruoli e delle responsabilità non determini duplicazioni,

sovrapposizioni od omissioni di compiti.

In particolare, analizza la coerenza tra l’esercizio dei poteri delegati e la struttura gerarchica operante,

per individuare gli eventuali necessari cambiamenti da apportare e appura gli eventuali superamenti dei

poteri attribuiti, durante lo svolgimento delle verifiche, individuandone le cause e formulando adeguate

proposte risolutive.



La Funzione di Internal Audit valuta, altresì, il necessario coordinamento nell’esercizio delle facoltà

delegate e la specifica allocazione delle deleghe e dei poteri.

La Funzione di Compliance deve, dal canto suo, valutare che l’allocazione delle deleghe e dei poteri

garantisca l’esercizio delle responsabilità attribuite dalle normative di riferimento a specifici sogget-

ti/funzioni aziendali nonché un idoneo presidio dei conflitti di interesse, sia riferiti alle risorse all’interno

delle diverse unità organizzative, sia in relazione ai singoli esponenti aziendali.

4.4 Sistema dei Controlli Interni

Con riferimento al Sistema dei Controlli Interni, la Funzione di Internal Audit analizza, in generale, l’a-

deguatezza del sistema stesso, relazionando periodicamente all’Alta Direzione e agli Organi Societari

sugli esiti delle attività svolte e proponendo soluzioni di miglioramento; a tal fine provvede a valutare il

funzionamento di tutti gli attori del Sistema dei Controlli Interni, tra cui la Funzione di Compliance.

Sulla base della rendicontazione periodica predisposta dall’Audit, il Vertice deve essere messo in grado

di poter valutare la completezza e la funzionalità del Sistema dei Controlli in relazione alla natura e al

livello dei rischi ritenuto accettabile.

Nell’ambito del Sistema dei Controlli Interni, la Funzione di Compliance ha in primo luogo il compito di

effettuare e aggiornare periodicamente la mappatura dei rischi di non conformità e reputazionali emer-

genti dai processi/prodotti, con stretto riferimento all’evoluzione del modello di business aziendale,

all’introduzione di nuove normative e all’aggiornamento di quelle vigenti, nonché all’adozione di norme

di autoregolamentazione e di codici di condotta.

Identificati i rischi, la Funzione di Compliance propone l’introduzione di fattori di mitigazione e controlli

integrativi, necessari per il loro contenimento ai livelli desiderati o per la loro eliminazione. La Funzione

di Compliance, attraverso un’ampia ed esaustiva attività di assessment, svolta nel continuo, analizza e

valuta in termini di rispondenza alle norme i processi aziendali, al fine di predisporre i piani di interven-

to atti a rimuovere eventuali gap riscontrati, di cui relaziona agli organi competenti.

Per assicurare un efficace ed efficiente funzionamento del Sistema dei Controlli Interni e per indirizzare

e coordinare la complessiva attività di controllo interno, è opportuno che le due Funzioni si coordinino

periodicamente, stabilendo un adeguato scambio di flussi informativi sulle attività svolte e sui relativi

esiti. Per espletare le rispettive attività, infatti, le due Funzioni necessitano delle reciproche informazioni

raccolte: in particolare, l’Internal Audit, nell’ambito della valutazione complessiva del Sistema dei

Controlli Interni, si avvarrà dei risultati del risk assessment svolto dalla Funzione di Compliance, men-

tre quest’ultima, nell’ambito della valutazione dei rischi di non conformità e reputazionali, terrà conto

degli esiti delle verifiche effettuate anche dall’Internal Audit.



Il confronto tra le Funzioni dovrà avvenire in ambiti formali allo scopo istituiti, quali, ad esempio, i

Comitati di Audit o i Comitati per il Controllo Interno.

4.5 Modelli di gestione del rischio

L’attività di Assurance dell’Internal Audit si focalizza su tutti i modelli di gestione del rischio adottati

dall’azienda allo scopo di verificarne il corretto ed efficace funzionamento. In particolare, vengono sot-

toposti a specifica analisi i sistemi aziendali di governo e gestione del rischio, ivi incluso quello di

Compliance, con lo scopo di assicurare che quanto adottato consenta al management un’efficace

gestione dei rischi.

Nell’ambito delle attività di definizione dei modelli di gestione del rischio, la Funzione di Compliance

progetta e provvede all’aggiornamento di quello relativo ai rischi di non conformità e reputazionali,

adottato coerentemente con le strategie e l’operatività aziendale. La Funzione di Compliance valuta,

inoltre, l’aderenza alla normativa, anche degli altri modelli di gestione dei rischi adottati dalla società;

in particolare, risulta rilevante il contributo dato alla definizione dell’Operational Risk Management per

le motivazioni più volte ricordate, che vedono le due Funzioni collaborare per il contenimento e per la

misurazione di rischi in parte condivisi, pur nel rispetto delle reciproche competenze e responsabilità.

4.6 Processi

L’attività di Assurance svolta dall’Internal Audit, come noto, è sistematicamente rivolta al miglioramento

dell'efficacia e dell'efficienza dell’organizzazione attraverso la valutazione dei processi aziendali.

Obiettivo dell’attività di Internal Audit è fornire al management una valutazione di affidabilità sul

Sistema di Controllo, in tutte le sue articolazioni e qualunque sia il modello adottato, sull’effettivo presi-

dio che lo stesso garantisce rispetto ai rischi emergenti, prevenendone o mitigandone l’impatto sugli

obiettivi aziendali, di business e di governo.

In particolare, l’attività relativa all’analisi dell’adeguatezza dei processi aziendali si traduce in una serie

di attività operative che trovano la loro articolazione in un “modello di controllo” che la società o il

gruppo di appartenenza hanno adottato.

Dovendo esprimere una valutazione sull’adeguatezza del Sistema dei Controlli Interni, l’analisi si foca-

lizza sul presidio complessivo di tutti i rischi e sul loro contenimento entro il livello ritenuto accettabile

dall’organizzazione; indirizza le verifiche periodiche sui processi con profili di rischio ritenuti maggior-

mente significativi, sulla base di preventive valutazioni di risk assessment e suggerendo azioni di

miglioramento.



La Funzione di Compliance, nell’ambito del proprio mandato, identifica costantemente le norme appli-

cabili, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta appli-

cazione e valutandone l’impatto.

La Funzione di Compliance svolge tale attività di Assurance nel continuo proponendo le modifiche e le

soluzioni ritenute idonee a rimuovere eventuali gap riscontrati e a prevenire/contenere conseguentemen-

te il rischio di non conformità.

Particolare rilievo assumono, in tal senso, la valutazione dei profili organizzativi e di funzionalità delle

strutture operative deputate a presidiare attività che implicano rischi di non conformità.

Anche il monitoraggio sulla corretta e tempestiva implementazione degli adeguamenti organizzativi si

esplica, dunque, nella verifica periodica del permanere delle condizioni di conformità, comprendendo

nel proprio perimetro d’azione tutti i presidi organizzativi in essere che implicano profili di conformità,

oltre all’efficacia delle modifiche raccomandate a seguito di malfunzionamenti e carenze riscontrate, a

livello del gruppo aziendale di riferimento.

È evidente che tale presidio viene garantito solo se la Funzione di Compliance, come già evidenziato,

interviene nelle fasi di definizione e avvio di progetti innovativi, nuove linee di business, nuovi prodotti,

reingegnerizzazione di processi fortemente normati che l’organizzazione intenda intraprendere.

4.7 Procedure aziendali

Con riferimento alle procedure aziendali, l’Internal Audit svolge un ruolo attivo nelle fasi di disegno

delle procedure aziendali, fornendo expertise nell’applicazione dei principi di controllo e nell’analisi dei

processi e dei rischi. 4

Inoltre, a seguito di interventi di verifica, la funzione può raccomandare azioni di miglioramento sui pre-

sidi di controllo formalizzati nelle procedure aziendali.

Considerato il ruolo della Funzione di Compliance nella gestione del rischio di non conformità, essa

garantisce che le procedure organizzative contengano i presidi necessari a prevenire la violazione di

norme di eteroregolamentazione (leggi e regolamenti) ed autoregolamentazione (codici di condotta,

codici etici). È, infatti, compito tipico della Funzione l’attività di validazione nel continuo delle procedu-

re in relazione al principio di conformità alla normativa di riferimento.



4 Si ricorda che in base agli Standard Professionali, l’Internal Audit non può essere chiamato alla redazione delle procedu-re aziendali in relazione alla necessità di tutelare la propria indipendenza nello svolgimento di interventi di audit.

Tale attività è da ricondursi, in particolare, alle procedure che disciplinano aree di operatività interessa-

te dalla normativa di riferimento, nel caso siano state valutate sensibili a rischi di compliance e di repu-

tazione nell’ambito del risk assessment condotto dalla Funzione.

Il ruolo di valutazione richiede, pertanto, che l’azienda strutturi un flusso di comunicazione interno, nel-

l’ambito del processo di normazione, che consenta alle Funzioni sia di Internal Audit che di Compliance

un effettivo ed efficace presidio dei rischi attraverso un coinvolgimento sistematico nelle fasi di defini-

zione delle procedure aziendali. Le Funzioni, ciascuna per il proprio ambito di competenza, devono

essere in condizione di potere esprimere la propria valutazione in relazione alla capacità della procedu-

ra di disciplinare le attività sottostanti in modo conforme. Ciò, inoltre, presuppone una necessità di con-

tinuo dialogo e confronto tra le due Funzioni, in ottica di allineamento ed, eventualmente, laddove

necessario, condivisione delle possibili soluzioni da suggerire per far fronte a specifici aspetti.

Inoltre, in relazione all’esigenza di verificare l’efficace funzionamento nel tempo delle procedure che

afferiscono alle aree interessate da rischi di compliance, la Funzione di Compliance svolge analisi di

adeguatezza e revisione periodica delle procedure proponendo eventuali interventi correttivi, anche a

fronte dei risultati emersi dalle attività di verifica. L’attività di Assurance, di conseguenza, riguarda

anche le fasi di disegno e di attuazione delle politiche e delle procedure che regolano lo svolgimento dei

processi operativi, al fine di verificarne la costante ed effettiva coerenza con le regole di etero ed auto

regolamentazione.

4.8 Sistemi Aziendali di Reporting e Informativa

La valutazione di adeguatezza dei presidi di controllo presenti nel sistema informativo contabile, nel

sistema di reporting e informativo, rientrano tra le attività di Internal Auditing così come la valutazione

dei flussi informativi tra i settori aziendali e tra la Società e gli altri soggetti coinvolti nel processo pro-

duttivo.

È infatti competenza della Funzione valutare, nell’ambito delle proprie attività di verifica, il livello di

adeguatezza dei sistemi informativi aziendali e l’affidabilità delle informazioni disponibili rispetto alla

complessità del contesto operativo, alla dimensione e all’articolazione territoriale dell’impresa.

Inoltre, l’Internal Audit verifica l’adeguatezza dei presidi organizzativi adottati dalla società per la sicu-

rezza fisica, logica e organizzativa del sistema informativo aziendale.

La Funzione di Compliance, invece, si occupa più specificatamente di valutare la conformità del repor-

ting e dell’informativa aziendale con riferimento alla sua idoneità a rispondere ai requisiti normativi

vigenti o alle disposizioni interne stabilite dall’azienda, anche in termini di contenuti e tempistica. A tal

proposito, la Funzione di Compliance identifica le norme applicabili alla società e si assicura del corret-



to recepimento delle stesse nelle procedure aziendali di reporting e di produzione dell'informativa.

Particolarmente significativo è il presidio posto, dalla Funzione di Compliance, in termini di Assurance,

ex ante e nel continuo, della conformità alla normativa vigente circa l’informativa e reportistica inviata

alla clientela o, comunque, diffusa al pubblico e dell’informativa rilasciata ai mercati finanziari nel caso

di società quotate, in termini di trasparenza e correttezza.

Questo intervento, infatti, assicura che nelle procedure interne siano previsti idonei presidi al fine di

evitare la diffusione di informazioni riservate o price-sensitive e prevenire abusi di mercato o conflitti di

interesse, rispondendo così agli obiettivi di contenimento dei rischi reputazionali e garantendo traspa-

renza e correttezza dei comportamenti aziendali nei confronti della clientela.

Ove necessario, in base alla rilevanza del rischio di conformità, la Funzione di Compliance verifica ex

ante il contenuto dell’informativa ed individua gli eventuali disclaimer.

Sempre in tale ottica, la Funzione di Compliance assicura che il sistema informativo non consenta lo

scambio di flussi informativi tra le aree/strutture aziendali per le quali è previsto l’obbligo di separatezza

organizzativa.

Con riferimento, invece, agli obblighi informativi nei confronti delle Autorità di Vigilanza, la Funzione di

Compliance verifica ex ante che le procedure aziendali ne descrivano i contenuti ed i relativi termini di

inoltro ed individuino le strutture responsabili degli adempimenti.

4.9 Attività di controllo e di verifica

Le normative di riferimento individuano in capo alle Funzioni di Compliance e Internal Audit interventi

di controllo che differiscono per finalità, in quanto le due Funzioni si collocano su livelli differenti nel

Sistema dei Controlli Interni.

Per quanto concerne la Funzione di Internal Audit, infatti, le attività di verifica sono espletate mediante

specifici interventi sul sistema dei controlli, mirati a valutare la rischiosità intrinseca di particolari aree

di attività. Con specifico riferimento allo svolgimento di servizi di investimento, a questa Funzione com-

pete la responsabilità di esaminare e valutare l’adeguatezza e l’efficacia dei sistemi, dei processi, delle

procedure e dei meccanismi di controllo (anche di compliance) nell’ottica di assicurare la sana e pru-

dente gestione, il contenimento dei rischi e la stabilità patrimoniale.

La Funzione di Compliance, invece, è chiamata a svolgere attività di monitoraggio nel continuo sui pre-

sidi esistenti nei processi e nelle procedure di mitigazione dei rischi di non conformità e reputazionali.

Inoltre può espletare attività di controllo di secondo livello, su materie per le quali gli aspetti di caratte-



re reputazionale assumono particolare rilevanza (ad esempio, antiriciclaggio e privacy).

Con riferimento alle disposizioni del Regolamento Banca d’Italia-Consob, emanato ai sensi dell’art. 6,

comma 2-bis del T.U.F., alla Funzione di Conformità, viene anche attribuita la responsabilità di verifica

del rispetto delle procedure aziendali.

È in questo specifico ambito che la Funzione di Conformità viene a costituire il presidio di tutela degli

investitori ed, in quest’ottica, controlla e valuta che la prestazione dei servizi di investimento sia in

grado di garantire a tutti i livelli della struttura organizzativa, il rispetto delle disposizioni in tema di tra-

sparenza e correttezza dei comportamenti.

Il predetto Regolamento, delineando un quadro di riferimento unitario per gli intermediari finanziari che

prestano servizi di investimento (anche diversi dalle banche), pone la Funzione di Compliance al centro

del Sistema dei Controlli Interni.

In rispetto del principio della proporzionalità, questo Sistema potrebbe anche non assumere la classica

configurazione piramidale e prevedere, quale unica funzione di controllo, la Compliance, cui potrebbe

essere affidata la responsabilità anche delle attività di risk management, in caso di assenza della relati-

va unità organizzativa.

Sempre con riferimento ai servizi di investimento, gli intermediari potrebbero, invece, non istituire la

Funzione di Revisione Interna, qualora dimostrino, in applicazione del suddetto principio di proporzio-

nalità, che venga assicurata la costante valutazione da parte degli organi amministrativi dell’adeguatez-

za e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo.

Nelle realtà di maggiori dimensioni, invece, è per contro auspicabile il mantenimento della ripartizione

dei compiti di verifica, tra controlli di conformità, di rischio e di audit, la cui azione congiunta consen-

tirà l’esercizio nel continuo dell’attività di controllo, con risultati adeguati in termini di efficacia e signifi-

catività.

In tale contesto, al fine di evitare sia inefficienti sovrapposizioni di ruoli con l’Internal Audit, che rischi

di eccessivo dimensionamento della struttura, appare percorribile la soluzione di formalizzare specifici

accordi di servizio tra le due Funzioni, in particolare con riferimento alle attività di verifica. 5

Gli accordi di servizio dovranno chiarire gli ambiti di intervento per i quali detti accordi vengono forma-

lizzati, le modalità con le quali i piani annuali di attività delle due Funzioni s’integrano e specificare i

reciproci flussi informativi, per gli aspetti di competenza.



5 L’attribuzione all’Audit da parte della Compliance di attività di verifica di conformità, per suo conto, configurano, limita-tamente a quella specifica area di intervento, lo svolgimento per la funzione di Audit di controlli di secondo livello.

Tali accordi saranno sottoposti all’approvazione degli organi aziendali che li recepiranno formalmente

anche negli specifici mandati attribuiti alle due Funzioni.

Quanto precede risulta, comunque, coerente con la prescrizione normativa che prevede che la Funzione

di Internal Audit, nell’ambito delle verifiche sulla funzionalità del sistema dei controlli, valuti l’adegua-

tezza e l’efficacia della Funzione di Compliance.

Associazione Italiana Internal Auditors – Associazione Italiana Compliance29


5 Conclusioni

L’analisi svolta nel presente documento, relativa agli ambiti operativi ed alle responsabilità delle

Funzioni di Internal Audit e di Compliance interessate dai cambiamenti nella normativa di riferimento è

solo un primo passo nella definizione dei compiti della Funzione di Compliance nel Sistema dei

Controlli Interni ed, in particolare, nei confronti dell’Internal Audit.

Altri elementi che dovranno essere presi in considerazione per una adeguata introduzione della

Funzione nelle strutture organizzative sono, principalmente, il suo collocamento organizzativo, il coordi-

namento ed i rapporti con le altre funzioni (Legale, Organizzazione e Risk Management), la struttura

della Funzione ed i rapporti di gruppo, la realtà organizzativa e le professionalità già presenti nelle sin-

gole società.

Per quanto riguarda le società che hanno avviato le analisi per l’introduzione della Funzione di

Compliance, sarà importante inquadrare tali attività non come meri adempimenti, bensì come opportu-

nità di analizzare il proprio Sistema dei Controlli Interni in modo critico e proattivo ispirandosi eventual-

mente a quelle realtà internazionali dove il processo risulta già consolidato.

Da un punto di vista organizzativo emergeranno probabilmente aree di sovrapposizione da gestire, non

solo nei confronti della Funzione di Internal Audit, ma probabilmente anche con il Risk Management,

con l’Organizzazione e con il Legale.

A tal proposito, ci si augura che le Autorità forniscano indicazioni chiare lasciando tuttavia agli interme-

diari sufficiente autonomia nella scelta delle soluzioni organizzative che meglio si integrino con il

modello organizzativo e con la loro specifica propensione al rischio.

Infine, per quanto concerne le due Associazioni e le persone che hanno dato vita al Gruppo di Lavoro

che ha predisposto il presente documento, l’obiettivo è quello di continuare a monitorare l’evoluzione

delle due Funzioni.

Nel futuro ci si propone di tornare ad analizzare l’argomento dopo aver osservato le prime applicazioni

pratiche e le eventuali criticità, mantenendo e rinnovando lo sforzo di collaborazione volto al supporto

nel cercare ambiti interpretativi condivisi e momenti di analisi e di confronto con le Autorità di Vigilanza

ed, eventualmente, con le realtà internazionali che possano fornire un valido punto di riferimento in

materia.



Appendice

1 Definizioni e riferimenti

Sistema dei Controlli InterniSecondo le Istruzioni di Vigilanza per le Banche emanate dalla Banca d’Italia “Il sistema dei controlli

interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative che mira-

no ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità:

• efficacia ed efficienza dei processi aziendali ( amministrativi, produttivi, distributivi, ecc.);

• salvaguardia del valore delle attività e protezione dalle perdite;

• affidabilità e integrità delle informazioni contabili e gestionali;

• conformità delle operazioni con la legge, la normativa di vigilanza, nonché con le politiche, i piani, i re-

golamenti, e le procedure interne”.

In base al Regolamento Banca d’Italia-Consob, emanato ai sensi dell’art. 6, comma 2-bis del T.U.F.:

“Gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo

di conformità alle norme e, se in linea con il principio di proporzionalità, di gestione del rischio del-

l’impresa e di revisione interna”

Rischio di complianceIl rischio di non conformità 6 alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrati-

ve, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme impera-

tive (di legge o di regolamento) ovvero di norme di autoregolamentazione (es. statuti, codici di con-

dotta, codici di autodisciplina).

ProcessoUn processo è un insieme complesso di attività, compiti, ruoli e responsabilità organizzato in modo

strutturato e finalizzato al raggiungimento di specifiche finalità aziendali. Un processo può interessare

una o più funzioni e/o strutture aziendali il cui coordinamento può essere perseguito mediante procedu-

re organizzative che formalizzano i compiti e le responsabilità degli organi aziendali coinvolti.

ProcedurePer procedura si intende un complesso di azioni regolate da una serie organizzata di regole, disposizioni

e norme di funzionamento che consentono lo svolgimento sistematico di un processo aziendale al fine

di ottenere risultati attesi o previsti secondo un grado soddisfacente di affidabilità e stabilità nel tempo.



6 Disposizioni di Vigilanza Banca d’Italia - 10.07.2007.

VerificheCon il termine verifiche si intendono una serie di attività operative svolte “sul campo” e/o a distanza

avente ad oggetto l’analisi dell’adeguatezza dei processi aziendali ed il rispetto delle norme disciplinanti

gli stessi.



2 Quadro normativo

Nel corso degli ultimi anni, la gestione del rischio di non conformità ha assunto una sempre maggiore

importanza, affermandosi quale disciplina a sé stante nell’ambito delle tematiche legate al Risk

Management. Diversi sono stati gli interventi normativi in tal senso sia a livello europeo, che a livello

nazionale.

In questo paragrafo, ripercorrendo l’evoluzione della normativa in materia di compliance, riportiamo gli

interventi normativi più rilevanti.

Aprile 2005 - Comitato di Basilea per la vigilanza bancariaCon il documento “Compliance and the compliance function in banks”, è stato introdotto il concetto di

compliance risk, riconoscendo allo stesso tempo la necessità di introdurre la Funzione di Compliance

nelle Banche e nei Gruppi bancari, al fine di gestire adeguatamente il rischio di compliance.

Aprile 2005 - Regolamento sulla gestione collettiva del risparmioNell’ambito di tale provvedimento, la Banca d’Italia, tra le tipologie essenziali dei controlli, riporta lo

svolgimento di controlli sulla conformità alle disposizioni di legge, ai provvedimenti delle Autorità di

Vigilanza e alle norme di autoregolamentazione, nonché a qualsiasi altra norma applicabile alle Società

di Gestione del Risparmio.

10 luglio 2007 - Disposizioni di Vigilanza Banca d’ItaliaLe Disposizioni di Vigilanza di Banca d’Italia del 10 Luglio 2007 sulla Funzione di Conformità

(Compliance), definiscono e disciplinano il rischio di non conformità alle norme, il ruolo degli organi di

vertice della banca, la Funzione di Conformità alle norme, il ruolo del Responsabile, i rapporti con le

altre funzioni aziendali e la Funzione di Conformità nelle strutture di gruppo.

Novembre 2007 - Entrata in vigore della direttiva MiFID (Direttiva 2004/39/CE, Regolamento1287/2006 e Direttiva 2006/73/CE) Con la direttiva MiFID è stata introdotta e disciplinata la Funzione di Compliance per gli intermediari

che prestano servizi ed attività di investimento.

Ottobre 2007 – Regolamento della Banca d’Italia e della Consob ai sensi dell’art. 6, comma 2-bis,del T.U.F.Disposizioni normative, relative alle materie di natura organizzativa e procedurale, sottoposte alla rego-

lamentazione congiunta da parte della Banca d’Italia e Consob ai sensi dell’art. 6, comma 2-bis del

TUF, introdotto dal decreto legislativo di recepimento della MiFID.



AIIAAssociazione Italiana Internal AuditorsVia Santa Tecla, 5 – 20122 Milano (Italia)Tel.: +39 02 36581500 – Fax: +39 02 8699 5492E-mail: [email protected] – Sito Internet: www.aiiaweb.it

AICOMAssociazione Italiana ComplianceVia Venti Settembre, 30 – 00187 Roma Tel.: 06 47713450 – Fax: 06 47715963 E-mail: [email protected] – Sito Internet: www.assoaicom.org

L’Ippocastano - comunicazione per l’im

presa - Milano

1010

Le Funzioni Di Internal Audit e Di Compliance

Documents

Transcript of Le Funzioni Di Internal Audit e Di Compliance