Le Funzioni di Internal Audit e

di Compliance:
ruoli, responsabilit e ambiti
di rispettiva competenza

aprile 2008

Copyright Associazione Italiana Internal Auditors AIIA

Sede Legale: Via Santa Tecla 5, 20122 Milano.
Tel.: 02.36581500 - Fax: 02.86995492
Email: info@aiiaweb.it - Internet: www.aiiaweb.it
All rights reserved.

Tutti i diritti di traduzione, di riproduzione, di memorizzazione elettronica e di adattamento totale e parziale con qualsiasi mezzo (compresi i microfilm e le copie fotostatiche), anche a scopo didattico, sono coperti da copyright.

Titolo del capitolo

Le Funzioni di Internal Audit e

di Compliance:
ruoli, responsabilit e ambiti
di rispettiva competenza

Aprile 2008

Associazione Italiana Internal Auditors

INDICE
1 Executive Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
2 Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
2.1 Obiettivi del documento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
2.2 Presentazione delle associazioni AICOM e AIIA e il gruppo di lavoro . . . . . . . . . . . . . . . . . .12
2.3 Alcuni concetti introduttivi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
3 Lattivit di consulenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
3.1 Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
3.2 Attivit di consulenza svolta dalle Funzioni di Internal Audit e di Compliance . . . . . . . . . . .17
4 Lattivit di Assurance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.1 Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.2 Assetto organizzativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.3 Sistema delle deleghe e dei poteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
4.4 Sistema dei Controlli Interni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
4.5 Modelli di gestione del rischio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
4.6 Processi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
4.7 Procedure aziendali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
4.8 Sistemi Aziendali di Reporting e Informativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
4.9 Attivit di controllo e di verifica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
5 Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Appendice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
1 Definizioni e riferimenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
2 Quadro normativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

Executive Summary

Lintroduzione nel settore finanziario della Funzione di Compliance a seguito dellemanazione delle
nuove normative di settore rende necessario riconsiderare larticolazione del Sistema dei Controlli
Interni e valutare come la nuova Funzione si integrer con quella di Internal Audit.
un cambiamento che condurr a significative modifiche nella delicata architettura su cui si fondano
gli equilibri del Sistema dei Controlli Interni e che richiede unanalisi organizzativa che deve tener conto
dellinsieme articolato dei fattori in gioco, ma soprattutto, deve essere animata da uno spirito positivo e
costruttivo volto a considerare questa occasione come lopportunit di allinearsi alle best practice internazionali in materia.
Si tratta, infatti, di cogliere questo evento per ripensare al Sistema dei Controlli Interni come ad unarchitettura che dovr affrontare nuove sfide, realt e soprattutto rischi, abituandosi allidea di non poter
considerare questo sistema di presidi come un elemento statico nel tempo. Ecco quindi lopportunit
di affrontare questanalisi organizzativa su base integrata rivedendo non solo i rapporti tra Internal Audit
e Compliance, ma anche quelli tra queste due Funzioni e il Risk Management, lOrganizzazione ed il
Legale. Argomenti questi ultimi che il presente documento non approfondisce, ma che si ritiene comunque di dover evidenziare. Peraltro nei gruppi di maggiore dimensione, anche internazionale, dovr essere argomento di analisi anche il Modello di Controllo che presiede allorganizzazione dei processi di
controllo ed ai suoi meccanismi di governance interni alla societ ed al gruppo.
Passando allanalisi dei rapporti tra le due Funzioni, necessario che le stesse trovino un sostanziale
territorio dintegrazione completandosi a vicenda, evitando rischi di sovrapposizione e di duplicazione
delle attivit.
Lintroduzione della Funzione di Compliance deve essere uno spunto ed un ulteriore fattore per consentire alla societ di proteggersi dai rischi in modo sempre pi efficace ed efficiente.
La distinzione dei ruoli tra le due Funzioni, infatti, deve essere ricercata nella loro diversa finalit, con
la Funzione di Compliance focalizzata sul rispetto della normativa e lInternal Audit sul monitoraggio del
complessivo Sistema dei Controlli Interni. Una particolare attenzione dovr essere posta nella cooperazione tra le due strutture, in particolare in materia di servizi di investimento, laddove la Funzione di
Compliance chiamata a svolgere, secondo le disposizioni del Regolamento Banca dItalia-Consob,
emanato ai sensi dellart. 6, comma 2-bis del T.U.F., verifiche sul rispetto delle procedure interne. Non
sembra invece condivisibile una distinzione basata su modalit di intervento prevalentemente ex ante o
ex post che non si ritiene possa costituire una valida discriminante tra le due attivit.
Da un punto di vista organizzativo, non si ritenuto di entrare nel merito delle diverse possibili soluzioni, che devono essere invece valutate tenendo presente la realt delle singole societ, le strutture e le

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

professionalit gi esistenti. importante, invece, che lanalisi organizzativa che dovr costituire il presupposto allintroduzione della Funzione di Compliance non si basi su modelli o schemi precostituiti e
non si risolva in un mero inserimento di ruoli e responsabilit allinterno della struttura organizzativa. Al
contrario, sar molto importante fondare le proprie scelte su unattenta analisi dei propri rischi attuali e
prospettici al fine di individuare con chiarezza il naturale ambito di ripartizione delle responsabilit tra
le due Funzioni.
Un ultimo spunto di riflessione va alla cultura aziendale del Controllo e della Compliance: il suggerimento, che forse pi un auspicio, che linquadramento organizzativo delle due Funzioni, ma soprattutto lo spirito che dovr animare lespletamento delle rispettive mansioni e responsabilit, sia orientato
sempre ad una positiva e costruttiva diffusione della cultura della consapevolezza dei rischi e del rispetto delle regole.
Il presente documento ha sviluppato le differenze dei ruoli delle due Funzioni distinguendo lambito
della consulenza da quello dellassurance, come risulta meglio sintetizzato di seguito.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

Ruoli e Responsabilit per Internal Audit e per la Funzione di Compliance

Ambiti Aziendali di Analisi

Internal Audit

Funzione di Compliance

CONSULENZA

Proporre iniziative per garantire

che il processo/progetto sia coerente con gli obiettivi di business
e di governo, nonch con la strategia aziendale
Assistere nellindividuazione delle azioni per il contenimento dei
rischi entro i limiti di propensione stabiliti dallazienda

Supportare ex-ante la configurazione dei processi operativi affinch risultino conformi

con la normativa, al fine di
prevenire/gestire il rischio di
non conformit
Trasmettere e diffondere allinterno dellorganizzazione la
cultura del face value

Verificare l'adeguatezza dell'assetto organizzativo e delle funzioni aziendali con riferimento

al requisito del "buon funzionamento" in termini di dimensionamento, struttura, responsabilit, processi decisionali, modello di controllo, ecc.
Proporre soluzioni organizzative
che consentano l'individuazione
univoca e formalizzata di compiti, responsabilit e riporti
Valutare lefficacia del principio
della segregation of duties per
quelle attivit che richiedono la
segregazione di responsabilit
tra pi risorse/funzioni

Verificare la conformit della

struttura organizzativa e delle
funzioni aziendali (in termini
di compiti e di responsabilit)
alla normativa di riferimento,
anche a livello di Gruppo
Presidiare, gestire e monitorare i conflitti di interesse con riferimento a tutte le attivit
svolte nellambito della struttura organizzativa

Valutare che il sistema delle deleghe e dei poteri rispecchi le direttive formulate dal CdA/Capogruppo
Valutare la coerenza tra i poteri
delegati e la struttura gerarchica
Rilevare eventuali superamenti
dei poteri attribuiti, individuare
le cause, formulare adeguate
proposte correttive

Valutare lallocazione di deleghe e poteri in modo tale da

assicurare la conformit alle
diposizioni normative (interne
ed esterne) e il presidio dei
conflitti di interesse emergenti dallallocazione delle stesse, sia con riferimento alle risorse all'interno delle funzioni, sia con riferimento agli
esponenti aziendali

ASSURANCE

Modello di governance
(assetto organizzativo)

Sistema delle deleghe e

dei poteri

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

Ruoli e Responsabilit per Internal Audit e per la Funzione di Compliance

Ambiti Aziendali di Analisi
ASSURANCE

Internal Audit

(segue)

Sistema dei
Controlli Interni

Valutare ladeguatezza del sistema dei controlli interni sulla base di un piano di verifiche risk
based
Relazionare in merito alladeguatezza generale del Sistema
dei Controlli Interni e proporre
aree di miglioramento con riferimento alle valutazioni complessive effettuate in fase di audit

Valutare il livello di adeguatezza delle metodologie di gestione del rischio con riferimento al presidio dei rischi di
compliance
Relazionare in merito alladeguatezza dei presidi esistenti
sui rischi di non conformit e
proporre aree di miglioramento con riferimento alle valutazioni complessive emergenti
dalle analisi effettuate

Valutare in una visione sistemica ladeguatezza dei modelli di

gestione del rischio previsti dallorganizzazione

Valutare il modello di gestione del rischio di non conformit nonch laderenza alle
specifiche normative degli altri modelli di gestione dei rischi adottati dallazienda
Verificare nel continuo ladeguatezza del modello di gestione del rischio di non conformit, con riferimento ai
cambiamenti normativi che
interessano lintera organizzazione

Verificare lefficacia e lefficienza

dei processi aziendali, con specifico riferimento alladeguatezza dei controlli di I e di II livello,
al fine di assicurare il contenimento dei rischi aziendali entro
il livello ritenuto accettabile dallorganizzazione

Valutare nel continuo la conformit dei processi aziendali

alla normativa vigente

Modello di
gestione del rischio

Processi

Funzione di Compliance

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

Ruoli e Responsabilit per Internal Audit e per la Funzione di Compliance

Ambiti Aziendali di Analisi
ASSURANCE

Internal Audit

Funzione di Compliance

(segue)

Procedure

Informativa e reporting

Valutare le procedure aziendali

con lobiettivo di assicurare il
contenimento dei rischi attraverso la verifica dellesistenza e
delladeguatezza dei presidi di
controllo di I e II livello

Validare ex ante le procedure

organizzative in relazione al
principio di conformit alla
normativa di riferimento
Verificare nel continuo che le
procedure aziendali assicurino lordinata e corretta prestazione dei servizi e la ricostruzione delle modalit operative in conformit alle normative interne ed esterne

Valutare nel suo complesso il sistema di reporting aziendale in

termini di adeguatezza, di coerenza generale e di rispetto delle procedure interne

Valutare il reporting e linformativa in termini di rispetto di contenuti e di

tempistica in relazione alla
normativa vigente

Per gli ambiti riferiti allattivit di controllo e di verifica trattati in tabella, si rinvia allo specifico capitolo
nel quale vengono illustrate le reciproche competenze, tenendo conto, da un lato del requisito normativo del controllo di Internal Auditing sulladeguatezza della Funzione di Compliance, e dallaltro della
disciplina del Regolamento Banca dItalia-Consob, emanato ai sensi dellart. 6, comma 2-bis del T.U.F.
in materia di prestazione dei servizi di investimento. In ogni caso, al fine di evitare inefficienti sovrapposizioni di ruoli e responsabilit per le attivit di verifica che ciascuna Funzione chiamata a svolgere,
appaiono percorribili soluzioni di specifici accordi di servizio tra le due Funzioni (estendibili anche ad
altre funzioni) da sottoporre allapprovazione degli organi aziendali.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

Introduzione

2.1 Obiettivi del documento

Il settore finanziario italiano interessato da significativi cambiamenti della disciplina di riferimento,
che riguarda in modo diretto anche il Sistema dei Controlli Interni. Al riguardo si ricordano la Direttiva
MiFID e la relativa normativa di recepimento, in particolare il Regolamento Banca dItalia-Consob adottato ai sensi dellart. 6 comma 2-bis del Testo Unico della Finanza, la normativa emanata dal Comitato
di Basilea sulla Funzione di Compliance nelle banche, le Istruzioni di Vigilanza di Banca dItalia del 10
luglio 2007 sulla Funzione di Conformit.
In tale contesto, lAssociazione Italiana Internal Auditors (AIIA) e lAssociazione Italiana Compliance
(AICOM) hanno ritenuto opportuno fornire un contributo agli operatori del sistema finanziario nellidentificazione degli ambiti operativi e delle responsabilit delle Funzioni di Internal Audit e di Compliance,
nel rispetto dellesigenza di massimizzare lo spirito di collaborazione ed il comune obiettivo di contribuire alla cultura del controllo e della conformit allinterno delle societ.
A tal fine le due Associazioni hanno dato vita ad un Gruppo di Lavoro che, partendo dai requisiti normativi esistenti e dalle best practice professionali di cui entrambe le Associazioni sono portatrici, ha
analizzato le attivit svolte dagli operatori finanziari, identificando le aree in cui potevano generarsi
dubbi o sovrapposizioni tra le due Funzioni e proponendo possibili ipotesi di soluzioni operative.
Un contributo fondamentale stato fornito, al riguardo, dai partecipanti al Gruppo di Lavoro, professionisti operanti nel settore dellInternal Audit o della Compliance nellambito di realt bancarie o finanziarie, dove le problematiche in questione sono da tempo affrontate anche a livello internazionale. In particolare i professionisti AIIA sono componenti del Comitato Settore Finanziario di tale Associazione;
AICOM stata rappresentata dai suoi organi direttivi.
A tal proposito si precisa che il contributo fornito in termini di know how dai partecipanti al Gruppo di
Lavoro esprime il parere personale degli stessi e non vuole rispecchiare una posizione specifica legata
alle realt aziendali di appartenenza.
Nellambito dellanalisi svolta, Consulenza, Assurance e Controllo sono stati individuati come utili ed
efficaci driver di analisi secondo i quali procedere allindividuazione dei rispettivi ambiti di responsabilit delle due Funzioni; da un certo punto di vista, infatti, essi potrebbero rappresentare un efficace criterio di aggregazione delle numerose e complesse attivit svolte dalle due Funzioni.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

11

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

Il presente documento si sviluppa, quindi, secondo le direttrici delle attivit di Consulenza, Assurance e
Controllo per mettere in luce le peculiarit delle Funzioni di Internal Audit e di Compliance, sulla base
di alcuni principi cardine in grado di salvaguardare efficacia ed efficienza del sistema dei controlli:
la non coincidenza tra funzione e struttura organizzativa che la rende effettiva;
le necessit di coordinamento e raccordo tra funzioni dedicate ad obiettivi analoghi.

2.2 Presentazione delle Associazioni AICOM e AIIA ed il Gruppo di Lavoro

AICOM
LAICOM, Associazione Italiana Compliance, nasce nel 2005 con il primario scopo di promuovere la
cultura della conformit e del rispetto delle regole allinterno del sistema finanziario dei diversi settori
industriali e della Pubblica Amministrazione; compito dellAssociazione far comprendere limportanza
che assume la tutela reputazionale e, nel settore bancario in particolare, la gestione del banking face
value.
DellAICOM, ente privo di finalit di lucro, fanno parte, oltre a rappresentanti della Funzione di
Compliance, esponenti del mondo finanziario, industriale, accademico e consulenziale, di associazioni
di categoria nonch componenti di autorit regolatrici.
Tramite lemanazione di principi standard, di specifici approfondimenti tematici, di convegni e seminari,
lAICOM favorisce lo sviluppo e la diffusione dei principi delletica e della conformit nonch la conoscenza delle regole di base che caratterizzano lattivit, agevolando altres lo scambio di informazioni.
Interlocutore delle principali istituzioni del mondo finanziario e industriale, della Pubblica Amministrazione e degli Organi di Vigilanza, lAICOM offre altres supporto consulenziale a tutti coloro che
necessitano di approfondire gli argomenti legati alle materie di compliance, in particolare al management e ai vertici aziendali delle imprese che, integrando la Funzione nel Sistema dei Controlli Interni,
intendono creare valore per le loro aziende sia in termini di contenimento dei rischi (conseguentemente
anche di sanzioni e perdite) che in termini di miglioramento dellimmagine e del marchio aziendale,
con la fidelizzazione della clientela e la garanzia di sviluppo di lungo periodo.
Lattivit di supporto consulenziale viene inoltre offerta dallAICOM ai rappresentanti delle Funzioni di
Compliance per consentire loro di attivare presso le loro aziende adeguati processi di prevenzione dei
rischi di conformit e reputazionali, per favorire lo svolgimento di attivit di monitoraggio di detti rischi
e avviare/coordinare flussi informativi atti a garantire idonei presidi, di tipo bottom up e top down, nellambito dei sistemi di controlli dei gruppi aziendali.
A partire dalla sua recente costituzione lAICOM ha promosso con successo studi, indagini, convegni,
autonomamente ovvero in collaborazione con importanti universit italiane, favorendo la diffusione e la

12

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

conoscenza delle problematiche della materia e contribuendo allaffermazione del ruolo professionale di
coloro i quali operano nellattivit di compliance.

AIIA
LAssociazione Italiana Internal Auditors rappresenta la sezione italiana dellI.I.A., Institute of Internal
Auditors, leader mondiale per gli standard, la certificazione, la ricerca e la formazione per la professione di Internal Auditor.
Compito primario dellAssociazione quello di promuovere lo sviluppo della professione di Internal
Auditing e la diffusione della cultura aziendale sulle tematiche di Corporate Governance, Risk
Management e Controllo Interno, inteso come strumento dellazione manageriale per il governo delloperativit aziendale.
Costituita nel 1972 come associazione senza fini di lucro, oggi lAIIA conta oltre 2.700 soci (in rappresentanza di 1.000 organizzazioni) delle seguenti categorie professionali:
internal auditors;
sindaci;
preposti al controllo interno;
specialisti di societ di revisione e consulenza;
componenti di enti regolatori;
esponenti del mondo accademico;
studenti che frequentano master e corsi di specializzazione in internal auditing.
Nel perseguimento della sua mission AIIA realizza:
programmi di formazione e aggiornamento ai vari livelli;
pubblicazioni e rapporti di ricerca;
convegni, seminari e tavole rotonde di natura informativa;
esami per le qualifiche internazionali di CIA (Certified Internal Auditor), CCSA (Certificazione in Control SelfAssessment) e CFSA (Certificazione in Financial Services Auditor).

Gruppo di Lavoro
In rappresentanza di AIIA e di AICOM, hanno fatto parte del Gruppo di Lavoro che ha predisposto il
presente documento le seguenti persone, tutte con esperienza in banche o intermediari italiani e banche estere operanti in Italia, ovvero in ambito accademico:
Giuseppe Aquaro
Giovanna Di Stefano
Manuela Gallo
Lino Mainolfi
Alberto Porzio
Fabio Renzi

Associazione Italiana Internal Auditors Associazione Italiana Compliance

13

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

Roberto Russo
Paola Sassi
Claudio Testa

2.3 Alcuni concetti introduttivi

In questo paragrafo, per agevolare la lettura del presente documento, vengono introdotti loggetto ed i
driver di analisi che hanno guidato il lavoro di approfondimento finalizzato allattribuzione dei ruoli e
delle responsabilit tra le Funzioni di Compliance e di Internal Audit.
Nellappendice al presente documento si riportano le definizioni dei concetti utilizzati in modo pi ricorrente durante il lavoro di analisi.

Oggetto dellanalisi - La Funzione di Internal Audit e la Funzione di Compliance

La definizione fornita dallInstitute of Internal Auditor : Internal Auditing 1 is an independent, objective assurance and consulting activity designed to add value and improve an organisations operations.
It helps an organisation accomplish its objectives by bringing a systematic, disciplined approach to
evaluate and improve the effectiveness of risk management, control, and governance processes 2.
Nello svolgimento del lavoro lauditor tenuto a rispettare gli Standard Professionali Internazionali di
Internal Auditing che comprendono aspetti etici e di esecuzione della prestazione. Tali Standard prevedono inoltre un processo indipendente di quality assurance della Funzione.
Riprendendo quanto riportato dal Comitato di Basilea 3 la Funzione di Compliance : An independent
function that identifies, assesses, advises on, monitors and reports on the banks compliance risk,
that is, the risk of legal or regulatory sanctions, financial loss, or loss to reputation a bank may suffer
as a result of its failure to comply with all applicable laws, regulations, codes of conduct and standards of good practice (together laws, rules and standards).

Gli ambiti dellanalisi - Assurance e Consulenza

Si scelto di proporre unanalisi delle attivit svolte dalle Funzioni di Compliance e Internal Audit
distinguendole in due macro categorie: la Consulenza e lAssurance. La scelta stata definita in base al
riferimento alla documentazione disponibile a livello internazionale e alle attivit di competenza riconducibili alle due Funzioni.

14

Tale posizione riprende quanto riportanto nel documento Internal audit in banks and the supervisor's relationship with auditors Basel Committee on Banking Supervision, Agosto 2001.
La traduzione fornita dallAIIA la seguente: LInternal Auditing unattivit indipendente e obiettiva di assurance e
consulenza, finalizzata al miglioramento dellefficacia e dellefficienza dellorganizzazione. Assiste lorganizzazione nel
perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.
Tale posizione riprende quanto riportato nel documento Compliance and Compliance function in banks, Aprile 2005.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

Con il termine Assurance si intende lattivit volta ad assicurare la Direzione Aziendale sul sistema di
gestione dei rischi ai quali lorganizzazione esposta, attraverso il controllo preventivo ed ex-post da
parte di funzioni indipendenti.
Per Consulenza si intende lattivit di sostegno ed orientamento nei confronti degli organi di vertice e
delle strutture organizzative attraverso unazione volta a correggere ed implementare nuove strategie
organizzative e comportamenti operativi. La Consulenza, puntando sul miglioramento continuo dei processi di controllo, apporta il suo valore allorganizzazione, in quanto finalizzata al contenimento dei
rischi aziendali.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

15

Documento congiunto AIIA - AICOM

Lattivit di Consulenza

3.1 Premessa
Nel presente capitolo si procede allanalisi della suddivisione di ruoli e di responsabilit tra le Funzioni
di Internal Audit e di Compliance, cominciando dallattivit di Consulenza.
Data la peculiarit dellargomento trattato, le analisi che seguono tengono nella dovuta considerazione
quanto disposto anche dalle fonti istitutive delle due Funzioni in argomento, al fine di metterne in evidenza il percorso evolutivo e le aree di connessione.
A tal proposito, a titolo esemplificativo, si riporta quanto previsto dal Regolamento della Banca dItalia
e della Consob, emanato ai sensi dellart. 6, comma 2-bis del T.U.F. che, con riferimento allattivit di
Consulenza, stabilisce che la Funzione di Controllo di Conformit (Compliance) deve Fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini delladempimento degli obblighi
posti dalle disposizioni di recepimento della Direttiva 2004/39/CEE e delle relative misure di esecuzione, mentre alla Funzione di Revisione Interna (Internal Audit) vengono attribuiti, fra laltro, i
seguenti compiti Adotta, applica e mantiene un piano di audit per lesame e la valutazione delladeguatezza e dellefficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dellintermediario e formula raccomandazioni basate sui risultati dei lavori realizzati [] e ne verifica
losservanza.
In aggiunta, peraltro, alla complessit operativa interna di ogni intermediario, la proliferazione normativa che caratterizza il contesto attuale introduce oggi un fattore di soggettivit interpretativa da parte
delle aziende in quanto, essendo questi temi trattati in termini di principi generali, vengono demandate
allintermediario specifiche soluzioni attuative in assenza, in molti casi, di opportuni elementi interpretativi.

3.2 Attivit di Consulenza svolta dalle Funzioni di Internal Audit e di Compliance

Come si evince dalle definizioni sopra riportate, lattivit di Consulenza attiene sia alla Funzione di
Compliance che a quella di Internal Audit. pertanto necessario chiarire gli specifici ambiti e le modalit dintervento delle due Funzioni; affinch essi vengano svolti con la massima efficienza occorre poi
che dette modalit ed ambiti risultino opportunamente formalizzati allinterno di appositi mandati conferiti presso le diverse realt aziendali.
Partendo quindi dalle semplici definizioni di ognuna delle due Funzioni possibile asserire che per la
Funzione di Internal Audit lattivit di Consulenza consiste principalmente nella prestazione di attivit di

Associazione Italiana Internal Auditors Associazione Italiana Compliance

17

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

supporto e di assistenza, la cui natura ed estensione si esplica soprattutto nel corso e a valle delle verifiche effettuate e si traduce generalmente in una serie di suggerimenti e raccomandazioni chiarificatrici
che permettono allauditor di fornire un adeguato supporto allorganizzazione senza perdere la necessaria indipendenza. Ci con lobiettivo di fornire valore aggiunto e migliorare i processi di governance, risk
management e controllo, senza assumere responsabilit decisionali.
In questi termini, lattivit dellInternal Audit si caratterizza per essere unattivit di Consulenza focalizzata sulla necessit che il progetto/processo risulti coerente con le strategie di business e di governo e
che risponda al generale obiettivo di contenimento dei rischi aziendali (considerati nel loro complesso)
entro i limiti di accettabilit stabiliti dal Vertice. LInternal Audit, infatti, finalizza la propria attivit di
Consulenza prevalentemente sulla proposta di soluzioni idonee a garantire il superamento dei punti di
debolezza del Sistema dei Controlli Interni. La sua attivit si esplica sia nel momento in cui emergono
disallineamenti tra il Sistema dei Controlli Interni e il modello di business e di governo adottato dallazienda, sia nella fase di impianto/revisione di processi e procedure, con lobiettivo di garantire coerenza
e linearit allintero impianto dei controlli a presidio dei rischi.
In unaccezione pi ampia del ruolo dellInternal Audit si pu ritenere, peraltro, che le sue mansioni
possano dirigersi verso un pieno supporto alla Governance aziendale, fornendo elementi di valutazione
allAlta Direzione e al Board sulla praticabilit di determinate scelte anche di business, monitorando
che le indicazioni strategiche siano perseguite dalle strutture operative, offrendo in tal modo un contributo al processo di Risk Management dellazienda ed alla creazione di valore, tramite il contenimento
di costi e perdite, il miglioramento dei processi aziendali e la conseguente determinazione di un minor
requisito patrimoniale.
Lattivit consultiva della Funzione di Compliance, invece, risulta essere, per sua stessa natura, un servizio svolto prevalentemente ex-ante, finalizzato alla definizione di presidi idonei a garantire la prevenzione dei rischi di non conformit e reputazionali.
La consulenza, infatti, costituisce unattivit mirata al supporto interpretativo della coerenza dei processi operativi aziendali alle norme cogenti e non, di eteroregolamentazione e ai codici di condotta.
Dovendo garantire efficaci presidi sui rischi di conformit e di reputazione, la Funzione interviene prestando il proprio supporto consultivo sin dallavvio di nuove attivit e di lancio di nuovi prodotti e nel
corso della revisione dei processi e delle procedure, effettuate a seguito di verifiche espletate direttamente, di segnalazioni ricevute da altre funzioni di controllo, incluso lInternal Audit. Con riferimento ai
rischi reputazionali importante il ruolo della Funzione di Compliance in termini di Consulenza prestata
ai fini della loro prevenzione.
Il rispetto dei principi etico/deontologici promossi dallazienda, infatti, costituisce un fattore qualificante
per lefficacia delle politiche e dei sistemi di controllo, in quanto la loro inosservanza caratterizza spesso quei comportamenti che sfuggono a tali sistemi, ancorch sofisticati. La Consulenza prestata dalla
Funzione di Compliance, perci, costituisce il veicolo di trasmissione di questi valori e principi, in quan-

18

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

to diffonde la cultura del face value cio della reputazione dellimpresa.

Grazie allattivit di monitoraggio continuo su processi e procedure, la Funzione di Compliance interviene anche a correggere eventuali carenze in essi riscontrate formulando specifici suggerimenti in merito
ai gap emersi ed evidenziati in fase di assessment.
Gli obiettivi dellintervento delle Funzioni di Compliance e di Internal Audit nello svolgimento dellattivit di Consulenza dunque sono differenti.
Nel caso della Funzione di Compliance, loggetto dellattivit di Consulenza, riguardando la rispondenza
dei processi ai dettami normativi, ai principi e ai valori promossi dallazienda, rappresentato dalla
legittimit stessa delle procedure aziendali.
Per garantire ci, essa interviene in modo tale che, da un lato, siano ben chiari gli aspetti interpretativi
delle norme, dallaltro, che i processi e le procedure, concretamente e correttamente rappresentati in
un modello organizzativo, siano ben presidiati con appositi punti di controllo e prevenzione volti al contenimento dei rischi di conformit e reputazionali. A tali fini, lintervento della Compliance, spesso,
viene svolto in collaborazione con altre funzioni, tra cui, in particolare, le Funzioni Legale e
lOrganizzazione Aziendale e, per ci che riguarda pi specificatamente laspetto di monitoraggio sui
rischi, con la Funzione di Operational Risk Management e lInternal Audit. In taluni casi il ruolo consultivo della Funzione di Compliance, in collaborazione con tali funzioni, pu estendersi anche allattivit
di elaborazione diretta di regole interne, procedure e linee-guida.
Ancor di pi, ruolo centrale nella propria mission consiste nel definire ed erogare le attivit formative e
di sensibilizzazione per assicurare alle funzioni aziendali ed ai relativi addetti, ai vari livelli, unadeguata
consapevolezza e familiarit con le normative che disciplinano il relativo ambito di operativit.
Un costante punto di riferimento sar rappresentato, inoltre, dalla collaborazione con le diverse funzioni
aziendali e dalla possibilit di garantire lo sviluppo di metodologie di gestione del rischio coerenti con le
strategie e loperativit aziendali.
La Consulenza prestata dalla Funzione di Internal Audit, invece, riguarda ladeguatezza dei processi, al
fine di garantire coerenza alloperativit dellazienda nellambito del sistema delle strategie dimpresa e
dellintera propensione al rischio definita dallAlta Direzione. Secondo tale logica lInternal Audit pu
intervenire formulando opportune linee dindirizzo, sia durante le attivit di definizione dei processi e
delle procedure, sia a valle dei propri interventi di verifica, suggerendo alle funzioni interessate, le soluzioni idonee a superare le criticit riscontrate.
Va sottolineato poi che lattivit di Consulenza prestata nellambito della stretta collaborazione con le
altre funzioni aziendali non rischia di provocare la sovrapposizione degli ambiti delle due Funzioni pur-

Associazione Italiana Internal Auditors Associazione Italiana Compliance

19

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

ch, come gi evidenziato, i mandati loro attribuiti definiscano adeguatamente compiti, ruoli e responsabilit, la loro separatezza e indipendenza dalle funzioni operative, nonch un appropriato posizionamento organizzativo.
Uninterpretazione troppo estensiva dellattivit di Consulenza accompagnata da una confusione dei
reciproci ruoli, infatti, potrebbe minare lefficiente svolgimento delle rispettive attivit, provocare
sovrapposizioni sia fra le due Funzioni sia nei confronti delle altre funzioni aziendali.
Stante quanto sopra, invece, le due attivit si sviluppano entro differenti confini, ben definiti e separati.

20

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

Lattivit di Assurance

4.1 Premessa
Il presente capitolo intende analizzare la suddivisione di ruoli e responsabilit tra lInternal Audit e la
Funzione di Compliance in merito allattivit di Assurance svolta in ambito aziendale. In particolare, lanalisi stata suddivisa in diverse aree a cui sono dedicati specifici paragrafi, al fine di approfondire le
competenze di ciascuna Funzione e di evidenziare gli aspetti di collaborazione.
Le suddette aree sono:
assetto organizzativo;
sistema di deleghe e poteri;
sistema dei controlli interni;
modelli di gestione del rischio;
processi;
procedure;
sistemi di reporting e informativa;
attivit di controllo e di verifica.

4.2 Assetto organizzativo

Lassetto organizzativo soggetto a diverse valutazioni sia da parte dellInternal Audit che della
Funzione di Compliance. Infatti, mentre lAudit valuta ladeguatezza dellassetto organizzativo relativamente ai requisiti previsti per il buon funzionamento della stessa azienda, la Funzione di Compliance
ne verifica la conformit, anche con riferimento allorganizzazione delle funzioni aziendali (in termini di
compiti e responsabilit), alla normativa di riferimento, con lobiettivo, in particolare, di presidiare il
conflitto di interessi eventualmente emergente nei compiti attribuiti alle singole unit organizzative.
Pi in dettaglio, lInternal Audit focalizza la propria attenzione su alcuni fattori di analisi, svolgendo una
periodica valutazione della loro congruit, quali:
1 dimensionamento ed adeguatezza qualitativa delle risorse;
2 struttura aziendale;
3 attribuzione delle responsabilit ai diversi livelli gerarchici;
4 processi decisionali.
In relazione alla prima componente, lInternal Audit verifica, coerentemente con le linee strategiche
aziendali, lidoneit quali/quantitativa degli organici a supportare gli obiettivi assegnati alle strutture
operative.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

21

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

In stretta correlazione valuta anche la struttura aziendale per verificarne la corretta articolazione e la
distribuzione delle responsabilit in tema di controlli, in coerenza con la propensione al rischio aziendale e con altri aspetti quali le scelte collegate alla distribuzione territoriale, ai processi strategici, di business e di supporto. Particolare attenzione viene riposta dallInternal Audit anche al rispetto dei principi
di segregation of duties, in linea con le best practice nazionali e internazionali.
Con riferimento al terzo aspetto, relativo ai livelli gerarchici, lInternal Audit verifica lavvenuta definizione e attribuzione (in documenti formalizzati) di compiti, responsabilit e riporti per lo svolgimento dellattivit aziendale.
Infine, la quarta componente richiede lesame da parte dellInternal Audit delladeguatezza e della chiarezza dei processi decisionali che devono risultare, peraltro, formalizzati. Dovr soprattutto essere
garantito il rispetto dei principi sanciti dalle best practice nello svolgimento delloperativit aziendale e
la possibilit di descrivere compiutamente le fasi e gli argomenti oggetto di discussione che hanno portato alle decisioni.
Per quanto riguarda lattivit di Assurance, la Funzione di Compliance si concentrer nel garantire la
presenza nella struttura organizzativa delle funzioni obbligatorie previste dalla normativa e la separazione di quelle attivit che possono generare conflitti di interessi, verificando la presenza dei presidi organizzativi finalizzati ad evitare tali conflitti, gli scambi di informazioni e la sottoposizione ad uno stesso
responsabile di settori che devono essere separati.
Il ruolo della Funzione di Compliance trover applicazione sia in sede di prima formalizzazione della
struttura organizzativa, sia nel corso del tempo, in relazione ai cambiamenti che dovessero intervenire
per scelta aziendale o per variazione della normativa di riferimento.

4.3 Sistema delle deleghe e dei poteri

In merito al sistema delle deleghe e dei poteri, lInternal Audit valuta la corrispondenza dello stesso a
quanto statuito dalle specifiche delibere del Consiglio di Amministrazione ovvero dalle direttive della
Capogruppo e verifica che la distribuzione dei ruoli e delle responsabilit non determini duplicazioni,
sovrapposizioni od omissioni di compiti.
In particolare, analizza la coerenza tra lesercizio dei poteri delegati e la struttura gerarchica operante,
per individuare gli eventuali necessari cambiamenti da apportare e appura gli eventuali superamenti dei
poteri attribuiti, durante lo svolgimento delle verifiche, individuandone le cause e formulando adeguate
proposte risolutive.

22

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

La Funzione di Internal Audit valuta, altres, il necessario coordinamento nellesercizio delle facolt
delegate e la specifica allocazione delle deleghe e dei poteri.
La Funzione di Compliance deve, dal canto suo, valutare che lallocazione delle deleghe e dei poteri
garantisca lesercizio delle responsabilit attribuite dalle normative di riferimento a specifici soggetti/funzioni aziendali nonch un idoneo presidio dei conflitti di interesse, sia riferiti alle risorse allinterno
delle diverse unit organizzative, sia in relazione ai singoli esponenti aziendali.

4.4 Sistema dei Controlli Interni

Con riferimento al Sistema dei Controlli Interni, la Funzione di Internal Audit analizza, in generale, ladeguatezza del sistema stesso, relazionando periodicamente allAlta Direzione e agli Organi Societari
sugli esiti delle attivit svolte e proponendo soluzioni di miglioramento; a tal fine provvede a valutare il
funzionamento di tutti gli attori del Sistema dei Controlli Interni, tra cui la Funzione di Compliance.
Sulla base della rendicontazione periodica predisposta dallAudit, il Vertice deve essere messo in grado
di poter valutare la completezza e la funzionalit del Sistema dei Controlli in relazione alla natura e al
livello dei rischi ritenuto accettabile.
Nellambito del Sistema dei Controlli Interni, la Funzione di Compliance ha in primo luogo il compito di
effettuare e aggiornare periodicamente la mappatura dei rischi di non conformit e reputazionali emergenti dai processi/prodotti, con stretto riferimento allevoluzione del modello di business aziendale,
allintroduzione di nuove normative e allaggiornamento di quelle vigenti, nonch alladozione di norme
di autoregolamentazione e di codici di condotta.
Identificati i rischi, la Funzione di Compliance propone lintroduzione di fattori di mitigazione e controlli
integrativi, necessari per il loro contenimento ai livelli desiderati o per la loro eliminazione. La Funzione
di Compliance, attraverso unampia ed esaustiva attivit di assessment, svolta nel continuo, analizza e
valuta in termini di rispondenza alle norme i processi aziendali, al fine di predisporre i piani di intervento atti a rimuovere eventuali gap riscontrati, di cui relaziona agli organi competenti.
Per assicurare un efficace ed efficiente funzionamento del Sistema dei Controlli Interni e per indirizzare
e coordinare la complessiva attivit di controllo interno, opportuno che le due Funzioni si coordinino
periodicamente, stabilendo un adeguato scambio di flussi informativi sulle attivit svolte e sui relativi
esiti. Per espletare le rispettive attivit, infatti, le due Funzioni necessitano delle reciproche informazioni
raccolte: in particolare, lInternal Audit, nellambito della valutazione complessiva del Sistema dei
Controlli Interni, si avvarr dei risultati del risk assessment svolto dalla Funzione di Compliance, mentre questultima, nellambito della valutazione dei rischi di non conformit e reputazionali, terr conto
degli esiti delle verifiche effettuate anche dallInternal Audit.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

23

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

Il confronto tra le Funzioni dovr avvenire in ambiti formali allo scopo istituiti, quali, ad esempio, i
Comitati di Audit o i Comitati per il Controllo Interno.

4.5 Modelli di gestione del rischio

Lattivit di Assurance dellInternal Audit si focalizza su tutti i modelli di gestione del rischio adottati
dallazienda allo scopo di verificarne il corretto ed efficace funzionamento. In particolare, vengono sottoposti a specifica analisi i sistemi aziendali di governo e gestione del rischio, ivi incluso quello di
Compliance, con lo scopo di assicurare che quanto adottato consenta al management unefficace
gestione dei rischi.
Nellambito delle attivit di definizione dei modelli di gestione del rischio, la Funzione di Compliance
progetta e provvede allaggiornamento di quello relativo ai rischi di non conformit e reputazionali,
adottato coerentemente con le strategie e loperativit aziendale. La Funzione di Compliance valuta,
inoltre, laderenza alla normativa, anche degli altri modelli di gestione dei rischi adottati dalla societ;
in particolare, risulta rilevante il contributo dato alla definizione dellOperational Risk Management per
le motivazioni pi volte ricordate, che vedono le due Funzioni collaborare per il contenimento e per la
misurazione di rischi in parte condivisi, pur nel rispetto delle reciproche competenze e responsabilit.

4.6 Processi
Lattivit di Assurance svolta dallInternal Audit, come noto, sistematicamente rivolta al miglioramento
dell'efficacia e dell'efficienza dellorganizzazione attraverso la valutazione dei processi aziendali.
Obiettivo dellattivit di Internal Audit fornire al management una valutazione di affidabilit sul
Sistema di Controllo, in tutte le sue articolazioni e qualunque sia il modello adottato, sulleffettivo presidio che lo stesso garantisce rispetto ai rischi emergenti, prevenendone o mitigandone limpatto sugli
obiettivi aziendali, di business e di governo.
In particolare, lattivit relativa allanalisi delladeguatezza dei processi aziendali si traduce in una serie
di attivit operative che trovano la loro articolazione in un modello di controllo che la societ o il
gruppo di appartenenza hanno adottato.
Dovendo esprimere una valutazione sulladeguatezza del Sistema dei Controlli Interni, lanalisi si focalizza sul presidio complessivo di tutti i rischi e sul loro contenimento entro il livello ritenuto accettabile
dallorganizzazione; indirizza le verifiche periodiche sui processi con profili di rischio ritenuti maggiormente significativi, sulla base di preventive valutazioni di risk assessment e suggerendo azioni di
miglioramento.

24

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

La Funzione di Compliance, nellambito del proprio mandato, identifica costantemente le norme applicabili, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta applicazione e valutandone limpatto.
La Funzione di Compliance svolge tale attivit di Assurance nel continuo proponendo le modifiche e le
soluzioni ritenute idonee a rimuovere eventuali gap riscontrati e a prevenire/contenere conseguentemente il rischio di non conformit.
Particolare rilievo assumono, in tal senso, la valutazione dei profili organizzativi e di funzionalit delle
strutture operative deputate a presidiare attivit che implicano rischi di non conformit.
Anche il monitoraggio sulla corretta e tempestiva implementazione degli adeguamenti organizzativi si
esplica, dunque, nella verifica periodica del permanere delle condizioni di conformit, comprendendo
nel proprio perimetro dazione tutti i presidi organizzativi in essere che implicano profili di conformit,
oltre allefficacia delle modifiche raccomandate a seguito di malfunzionamenti e carenze riscontrate, a
livello del gruppo aziendale di riferimento.
evidente che tale presidio viene garantito solo se la Funzione di Compliance, come gi evidenziato,
interviene nelle fasi di definizione e avvio di progetti innovativi, nuove linee di business, nuovi prodotti,
reingegnerizzazione di processi fortemente normati che lorganizzazione intenda intraprendere.

4.7 Procedure aziendali

Con riferimento alle procedure aziendali, lInternal Audit svolge un ruolo attivo nelle fasi di disegno
delle procedure aziendali, fornendo expertise nellapplicazione dei principi di controllo e nellanalisi dei
processi e dei rischi. 4
Inoltre, a seguito di interventi di verifica, la funzione pu raccomandare azioni di miglioramento sui presidi di controllo formalizzati nelle procedure aziendali.
Considerato il ruolo della Funzione di Compliance nella gestione del rischio di non conformit, essa
garantisce che le procedure organizzative contengano i presidi necessari a prevenire la violazione di
norme di eteroregolamentazione (leggi e regolamenti) ed autoregolamentazione (codici di condotta,
codici etici). , infatti, compito tipico della Funzione lattivit di validazione nel continuo delle procedure in relazione al principio di conformit alla normativa di riferimento.

Si ricorda che in base agli Standard Professionali, lInternal Audit non pu essere chiamato alla redazione delle procedure aziendali in relazione alla necessit di tutelare la propria indipendenza nello svolgimento di interventi di audit.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

25

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

Tale attivit da ricondursi, in particolare, alle procedure che disciplinano aree di operativit interessate dalla normativa di riferimento, nel caso siano state valutate sensibili a rischi di compliance e di reputazione nellambito del risk assessment condotto dalla Funzione.
Il ruolo di valutazione richiede, pertanto, che lazienda strutturi un flusso di comunicazione interno, nellambito del processo di normazione, che consenta alle Funzioni sia di Internal Audit che di Compliance
un effettivo ed efficace presidio dei rischi attraverso un coinvolgimento sistematico nelle fasi di definizione delle procedure aziendali. Le Funzioni, ciascuna per il proprio ambito di competenza, devono
essere in condizione di potere esprimere la propria valutazione in relazione alla capacit della procedura di disciplinare le attivit sottostanti in modo conforme. Ci, inoltre, presuppone una necessit di continuo dialogo e confronto tra le due Funzioni, in ottica di allineamento ed, eventualmente, laddove
necessario, condivisione delle possibili soluzioni da suggerire per far fronte a specifici aspetti.
Inoltre, in relazione allesigenza di verificare lefficace funzionamento nel tempo delle procedure che
afferiscono alle aree interessate da rischi di compliance, la Funzione di Compliance svolge analisi di
adeguatezza e revisione periodica delle procedure proponendo eventuali interventi correttivi, anche a
fronte dei risultati emersi dalle attivit di verifica. Lattivit di Assurance, di conseguenza, riguarda
anche le fasi di disegno e di attuazione delle politiche e delle procedure che regolano lo svolgimento dei
processi operativi, al fine di verificarne la costante ed effettiva coerenza con le regole di etero ed auto
regolamentazione.

4.8 Sistemi Aziendali di Reporting e Informativa

La valutazione di adeguatezza dei presidi di controllo presenti nel sistema informativo contabile, nel
sistema di reporting e informativo, rientrano tra le attivit di Internal Auditing cos come la valutazione
dei flussi informativi tra i settori aziendali e tra la Societ e gli altri soggetti coinvolti nel processo produttivo.
infatti competenza della Funzione valutare, nellambito delle proprie attivit di verifica, il livello di
adeguatezza dei sistemi informativi aziendali e laffidabilit delle informazioni disponibili rispetto alla
complessit del contesto operativo, alla dimensione e allarticolazione territoriale dellimpresa.
Inoltre, lInternal Audit verifica ladeguatezza dei presidi organizzativi adottati dalla societ per la sicurezza fisica, logica e organizzativa del sistema informativo aziendale.
La Funzione di Compliance, invece, si occupa pi specificatamente di valutare la conformit del reporting e dellinformativa aziendale con riferimento alla sua idoneit a rispondere ai requisiti normativi
vigenti o alle disposizioni interne stabilite dallazienda, anche in termini di contenuti e tempistica. A tal
proposito, la Funzione di Compliance identifica le norme applicabili alla societ e si assicura del corret-

26

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

to recepimento delle stesse nelle procedure aziendali di reporting e di produzione dell'informativa.

Particolarmente significativo il presidio posto, dalla Funzione di Compliance, in termini di Assurance,
ex ante e nel continuo, della conformit alla normativa vigente circa linformativa e reportistica inviata
alla clientela o, comunque, diffusa al pubblico e dellinformativa rilasciata ai mercati finanziari nel caso
di societ quotate, in termini di trasparenza e correttezza.
Questo intervento, infatti, assicura che nelle procedure interne siano previsti idonei presidi al fine di
evitare la diffusione di informazioni riservate o price-sensitive e prevenire abusi di mercato o conflitti di
interesse, rispondendo cos agli obiettivi di contenimento dei rischi reputazionali e garantendo trasparenza e correttezza dei comportamenti aziendali nei confronti della clientela.
Ove necessario, in base alla rilevanza del rischio di conformit, la Funzione di Compliance verifica ex
ante il contenuto dellinformativa ed individua gli eventuali disclaimer.
Sempre in tale ottica, la Funzione di Compliance assicura che il sistema informativo non consenta lo
scambio di flussi informativi tra le aree/strutture aziendali per le quali previsto lobbligo di separatezza
organizzativa.
Con riferimento, invece, agli obblighi informativi nei confronti delle Autorit di Vigilanza, la Funzione di
Compliance verifica ex ante che le procedure aziendali ne descrivano i contenuti ed i relativi termini di
inoltro ed individuino le strutture responsabili degli adempimenti.

4.9 Attivit di controllo e di verifica

Le normative di riferimento individuano in capo alle Funzioni di Compliance e Internal Audit interventi
di controllo che differiscono per finalit, in quanto le due Funzioni si collocano su livelli differenti nel
Sistema dei Controlli Interni.
Per quanto concerne la Funzione di Internal Audit, infatti, le attivit di verifica sono espletate mediante
specifici interventi sul sistema dei controlli, mirati a valutare la rischiosit intrinseca di particolari aree
di attivit. Con specifico riferimento allo svolgimento di servizi di investimento, a questa Funzione compete la responsabilit di esaminare e valutare ladeguatezza e lefficacia dei sistemi, dei processi, delle
procedure e dei meccanismi di controllo (anche di compliance) nellottica di assicurare la sana e prudente gestione, il contenimento dei rischi e la stabilit patrimoniale.
La Funzione di Compliance, invece, chiamata a svolgere attivit di monitoraggio nel continuo sui presidi esistenti nei processi e nelle procedure di mitigazione dei rischi di non conformit e reputazionali.
Inoltre pu espletare attivit di controllo di secondo livello, su materie per le quali gli aspetti di caratte-

Associazione Italiana Internal Auditors Associazione Italiana Compliance

27

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

re reputazionale assumono particolare rilevanza (ad esempio, antiriciclaggio e privacy).

Con riferimento alle disposizioni del Regolamento Banca dItalia-Consob, emanato ai sensi dellart. 6,
comma 2-bis del T.U.F., alla Funzione di Conformit, viene anche attribuita la responsabilit di verifica
del rispetto delle procedure aziendali.
in questo specifico ambito che la Funzione di Conformit viene a costituire il presidio di tutela degli
investitori ed, in questottica, controlla e valuta che la prestazione dei servizi di investimento sia in
grado di garantire a tutti i livelli della struttura organizzativa, il rispetto delle disposizioni in tema di trasparenza e correttezza dei comportamenti.
Il predetto Regolamento, delineando un quadro di riferimento unitario per gli intermediari finanziari che
prestano servizi di investimento (anche diversi dalle banche), pone la Funzione di Compliance al centro
del Sistema dei Controlli Interni.
In rispetto del principio della proporzionalit, questo Sistema potrebbe anche non assumere la classica
configurazione piramidale e prevedere, quale unica funzione di controllo, la Compliance, cui potrebbe
essere affidata la responsabilit anche delle attivit di risk management, in caso di assenza della relativa unit organizzativa.
Sempre con riferimento ai servizi di investimento, gli intermediari potrebbero, invece, non istituire la
Funzione di Revisione Interna, qualora dimostrino, in applicazione del suddetto principio di proporzionalit, che venga assicurata la costante valutazione da parte degli organi amministrativi delladeguatezza e dellefficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo.
Nelle realt di maggiori dimensioni, invece, per contro auspicabile il mantenimento della ripartizione
dei compiti di verifica, tra controlli di conformit, di rischio e di audit, la cui azione congiunta consentir lesercizio nel continuo dellattivit di controllo, con risultati adeguati in termini di efficacia e significativit.
In tale contesto, al fine di evitare sia inefficienti sovrapposizioni di ruoli con lInternal Audit, che rischi
di eccessivo dimensionamento della struttura, appare percorribile la soluzione di formalizzare specifici
accordi di servizio tra le due Funzioni, in particolare con riferimento alle attivit di verifica. 5
Gli accordi di servizio dovranno chiarire gli ambiti di intervento per i quali detti accordi vengono formalizzati, le modalit con le quali i piani annuali di attivit delle due Funzioni sintegrano e specificare i
reciproci flussi informativi, per gli aspetti di competenza.

28

Lattribuzione allAudit da parte della Compliance di attivit di verifica di conformit, per suo conto, configurano, limitatamente a quella specifica area di intervento, lo svolgimento per la funzione di Audit di controlli di secondo livello.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

Tali accordi saranno sottoposti allapprovazione degli organi aziendali che li recepiranno formalmente
anche negli specifici mandati attribuiti alle due Funzioni.
Quanto precede risulta, comunque, coerente con la prescrizione normativa che prevede che la Funzione
di Internal Audit, nellambito delle verifiche sulla funzionalit del sistema dei controlli, valuti ladeguatezza e lefficacia della Funzione di Compliance.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

29

Documento congiunto AIIA - AICOM

Conclusioni

Lanalisi svolta nel presente documento, relativa agli ambiti operativi ed alle responsabilit delle
Funzioni di Internal Audit e di Compliance interessate dai cambiamenti nella normativa di riferimento
solo un primo passo nella definizione dei compiti della Funzione di Compliance nel Sistema dei
Controlli Interni ed, in particolare, nei confronti dellInternal Audit.
Altri elementi che dovranno essere presi in considerazione per una adeguata introduzione della
Funzione nelle strutture organizzative sono, principalmente, il suo collocamento organizzativo, il coordinamento ed i rapporti con le altre funzioni (Legale, Organizzazione e Risk Management), la struttura
della Funzione ed i rapporti di gruppo, la realt organizzativa e le professionalit gi presenti nelle singole societ.
Per quanto riguarda le societ che hanno avviato le analisi per lintroduzione della Funzione di
Compliance, sar importante inquadrare tali attivit non come meri adempimenti, bens come opportunit di analizzare il proprio Sistema dei Controlli Interni in modo critico e proattivo ispirandosi eventualmente a quelle realt internazionali dove il processo risulta gi consolidato.
Da un punto di vista organizzativo emergeranno probabilmente aree di sovrapposizione da gestire, non
solo nei confronti della Funzione di Internal Audit, ma probabilmente anche con il Risk Management,
con lOrganizzazione e con il Legale.
A tal proposito, ci si augura che le Autorit forniscano indicazioni chiare lasciando tuttavia agli intermediari sufficiente autonomia nella scelta delle soluzioni organizzative che meglio si integrino con il
modello organizzativo e con la loro specifica propensione al rischio.
Infine, per quanto concerne le due Associazioni e le persone che hanno dato vita al Gruppo di Lavoro
che ha predisposto il presente documento, lobiettivo quello di continuare a monitorare levoluzione
delle due Funzioni.
Nel futuro ci si propone di tornare ad analizzare largomento dopo aver osservato le prime applicazioni
pratiche e le eventuali criticit, mantenendo e rinnovando lo sforzo di collaborazione volto al supporto
nel cercare ambiti interpretativi condivisi e momenti di analisi e di confronto con le Autorit di Vigilanza
ed, eventualmente, con le realt internazionali che possano fornire un valido punto di riferimento in
materia.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

31

Documento congiunto AIIA - AICOM

Appendice
1

Definizioni e riferimenti

Sistema dei Controlli Interni

Secondo le Istruzioni di Vigilanza per le Banche emanate dalla Banca dItalia Il sistema dei controlli
interni costituito dallinsieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalit:
efficacia ed efficienza dei processi aziendali ( amministrativi, produttivi, distributivi, ecc.);
salvaguardia del valore delle attivit e protezione dalle perdite;
affidabilit e integrit delle informazioni contabili e gestionali;
conformit delle operazioni con la legge, la normativa di vigilanza, nonch con le politiche, i piani, i regolamenti, e le procedure interne.
In base al Regolamento Banca dItalia-Consob, emanato ai sensi dellart. 6, comma 2-bis del T.U.F.:
Gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo
di conformit alle norme e, se in linea con il principio di proporzionalit, di gestione del rischio dellimpresa e di revisione interna

Rischio di compliance
Il rischio di non conformit 6 alle norme il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamento) ovvero di norme di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina).
Processo
Un processo un insieme complesso di attivit, compiti, ruoli e responsabilit organizzato in modo
strutturato e finalizzato al raggiungimento di specifiche finalit aziendali. Un processo pu interessare
una o pi funzioni e/o strutture aziendali il cui coordinamento pu essere perseguito mediante procedure organizzative che formalizzano i compiti e le responsabilit degli organi aziendali coinvolti.
Procedure
Per procedura si intende un complesso di azioni regolate da una serie organizzata di regole, disposizioni
e norme di funzionamento che consentono lo svolgimento sistematico di un processo aziendale al fine
di ottenere risultati attesi o previsti secondo un grado soddisfacente di affidabilit e stabilit nel tempo.

Disposizioni di Vigilanza Banca dItalia - 10.07.2007.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

33

Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilit e ambiti di rispettiva competenza

Verifiche
Con il termine verifiche si intendono una serie di attivit operative svolte sul campo e/o a distanza
avente ad oggetto lanalisi delladeguatezza dei processi aziendali ed il rispetto delle norme disciplinanti
gli stessi.

34

Associazione Italiana Internal Auditors Associazione Italiana Compliance

Documento congiunto AIIA - AICOM

Quadro normativo

Nel corso degli ultimi anni, la gestione del rischio di non conformit ha assunto una sempre maggiore
importanza, affermandosi quale disciplina a s stante nellambito delle tematiche legate al Risk
Management. Diversi sono stati gli interventi normativi in tal senso sia a livello europeo, che a livello
nazionale.
In questo paragrafo, ripercorrendo levoluzione della normativa in materia di compliance, riportiamo gli
interventi normativi pi rilevanti.

Aprile 2005 - Comitato di Basilea per la vigilanza bancaria

Con il documento Compliance and the compliance function in banks, stato introdotto il concetto di
compliance risk, riconoscendo allo stesso tempo la necessit di introdurre la Funzione di Compliance
nelle Banche e nei Gruppi bancari, al fine di gestire adeguatamente il rischio di compliance.
Aprile 2005 - Regolamento sulla gestione collettiva del risparmio
Nellambito di tale provvedimento, la Banca dItalia, tra le tipologie essenziali dei controlli, riporta lo
svolgimento di controlli sulla conformit alle disposizioni di legge, ai provvedimenti delle Autorit di
Vigilanza e alle norme di autoregolamentazione, nonch a qualsiasi altra norma applicabile alle Societ
di Gestione del Risparmio.
10 luglio 2007 - Disposizioni di Vigilanza Banca dItalia
Le Disposizioni di Vigilanza di Banca dItalia del 10 Luglio 2007 sulla Funzione di Conformit
(Compliance), definiscono e disciplinano il rischio di non conformit alle norme, il ruolo degli organi di
vertice della banca, la Funzione di Conformit alle norme, il ruolo del Responsabile, i rapporti con le
altre funzioni aziendali e la Funzione di Conformit nelle strutture di gruppo.
Novembre 2007 - Entrata in vigore della direttiva MiFID (Direttiva 2004/39/CE, Regolamento
1287/2006 e Direttiva 2006/73/CE)
Con la direttiva MiFID stata introdotta e disciplinata la Funzione di Compliance per gli intermediari
che prestano servizi ed attivit di investimento.
Ottobre 2007 Regolamento della Banca dItalia e della Consob ai sensi dellart. 6, comma 2-bis,
del T.U.F.
Disposizioni normative, relative alle materie di natura organizzativa e procedurale, sottoposte alla regolamentazione congiunta da parte della Banca dItalia e Consob ai sensi dellart. 6, comma 2-bis del
TUF, introdotto dal decreto legislativo di recepimento della MiFID.

Associazione Italiana Internal Auditors Associazione Italiana Compliance

35

LIppocastano - comunicazione per limpresa - Milano

1010

AIIA
Associazione Italiana Internal Auditors
Via Santa Tecla, 5 20122 Milano (Italia)
Tel.: +39 02 36581500 Fax: +39 02 8699 5492
E-mail: info@aiiaweb.it Sito Internet: www.aiiaweb.it
AICOM
Associazione Italiana Compliance
Via Venti Settembre, 30 00187 Roma
Tel.: 06 47713450 Fax: 06 47715963
E-mail: info@assoaicom.org Sito Internet: www.assoaicom.org