Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
di Compliance:
ruoli, responsabilit e ambiti
di rispettiva competenza
aprile 2008
Tutti i diritti di traduzione, di riproduzione, di memorizzazione elettronica e di adattamento totale e parziale con qualsiasi mezzo (compresi i microfilm e le copie fotostatiche), anche a scopo didattico, sono coperti da copyright.
Aprile 2008
INDICE
1 Executive Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
2 Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
2.1 Obiettivi del documento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
2.2 Presentazione delle associazioni AICOM e AIIA e il gruppo di lavoro . . . . . . . . . . . . . . . . . .12
2.3 Alcuni concetti introduttivi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
3 Lattivit di consulenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
3.1 Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
3.2 Attivit di consulenza svolta dalle Funzioni di Internal Audit e di Compliance . . . . . . . . . . .17
4 Lattivit di Assurance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.1 Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.2 Assetto organizzativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.3 Sistema delle deleghe e dei poteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
4.4 Sistema dei Controlli Interni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
4.5 Modelli di gestione del rischio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
4.6 Processi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
4.7 Procedure aziendali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
4.8 Sistemi Aziendali di Reporting e Informativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
4.9 Attivit di controllo e di verifica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
5 Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Appendice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
1 Definizioni e riferimenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
2 Quadro normativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
Executive Summary
Lintroduzione nel settore finanziario della Funzione di Compliance a seguito dellemanazione delle
nuove normative di settore rende necessario riconsiderare larticolazione del Sistema dei Controlli
Interni e valutare come la nuova Funzione si integrer con quella di Internal Audit.
un cambiamento che condurr a significative modifiche nella delicata architettura su cui si fondano
gli equilibri del Sistema dei Controlli Interni e che richiede unanalisi organizzativa che deve tener conto
dellinsieme articolato dei fattori in gioco, ma soprattutto, deve essere animata da uno spirito positivo e
costruttivo volto a considerare questa occasione come lopportunit di allinearsi alle best practice internazionali in materia.
Si tratta, infatti, di cogliere questo evento per ripensare al Sistema dei Controlli Interni come ad unarchitettura che dovr affrontare nuove sfide, realt e soprattutto rischi, abituandosi allidea di non poter
considerare questo sistema di presidi come un elemento statico nel tempo. Ecco quindi lopportunit
di affrontare questanalisi organizzativa su base integrata rivedendo non solo i rapporti tra Internal Audit
e Compliance, ma anche quelli tra queste due Funzioni e il Risk Management, lOrganizzazione ed il
Legale. Argomenti questi ultimi che il presente documento non approfondisce, ma che si ritiene comunque di dover evidenziare. Peraltro nei gruppi di maggiore dimensione, anche internazionale, dovr essere argomento di analisi anche il Modello di Controllo che presiede allorganizzazione dei processi di
controllo ed ai suoi meccanismi di governance interni alla societ ed al gruppo.
Passando allanalisi dei rapporti tra le due Funzioni, necessario che le stesse trovino un sostanziale
territorio dintegrazione completandosi a vicenda, evitando rischi di sovrapposizione e di duplicazione
delle attivit.
Lintroduzione della Funzione di Compliance deve essere uno spunto ed un ulteriore fattore per consentire alla societ di proteggersi dai rischi in modo sempre pi efficace ed efficiente.
La distinzione dei ruoli tra le due Funzioni, infatti, deve essere ricercata nella loro diversa finalit, con
la Funzione di Compliance focalizzata sul rispetto della normativa e lInternal Audit sul monitoraggio del
complessivo Sistema dei Controlli Interni. Una particolare attenzione dovr essere posta nella cooperazione tra le due strutture, in particolare in materia di servizi di investimento, laddove la Funzione di
Compliance chiamata a svolgere, secondo le disposizioni del Regolamento Banca dItalia-Consob,
emanato ai sensi dellart. 6, comma 2-bis del T.U.F., verifiche sul rispetto delle procedure interne. Non
sembra invece condivisibile una distinzione basata su modalit di intervento prevalentemente ex ante o
ex post che non si ritiene possa costituire una valida discriminante tra le due attivit.
Da un punto di vista organizzativo, non si ritenuto di entrare nel merito delle diverse possibili soluzioni, che devono essere invece valutate tenendo presente la realt delle singole societ, le strutture e le
professionalit gi esistenti. importante, invece, che lanalisi organizzativa che dovr costituire il presupposto allintroduzione della Funzione di Compliance non si basi su modelli o schemi precostituiti e
non si risolva in un mero inserimento di ruoli e responsabilit allinterno della struttura organizzativa. Al
contrario, sar molto importante fondare le proprie scelte su unattenta analisi dei propri rischi attuali e
prospettici al fine di individuare con chiarezza il naturale ambito di ripartizione delle responsabilit tra
le due Funzioni.
Un ultimo spunto di riflessione va alla cultura aziendale del Controllo e della Compliance: il suggerimento, che forse pi un auspicio, che linquadramento organizzativo delle due Funzioni, ma soprattutto lo spirito che dovr animare lespletamento delle rispettive mansioni e responsabilit, sia orientato
sempre ad una positiva e costruttiva diffusione della cultura della consapevolezza dei rischi e del rispetto delle regole.
Il presente documento ha sviluppato le differenze dei ruoli delle due Funzioni distinguendo lambito
della consulenza da quello dellassurance, come risulta meglio sintetizzato di seguito.
Internal Audit
Funzione di Compliance
CONSULENZA
Valutare che il sistema delle deleghe e dei poteri rispecchi le direttive formulate dal CdA/Capogruppo
Valutare la coerenza tra i poteri
delegati e la struttura gerarchica
Rilevare eventuali superamenti
dei poteri attribuiti, individuare
le cause, formulare adeguate
proposte correttive
ASSURANCE
Modello di governance
(assetto organizzativo)
Internal Audit
(segue)
Sistema dei
Controlli Interni
Valutare ladeguatezza del sistema dei controlli interni sulla base di un piano di verifiche risk
based
Relazionare in merito alladeguatezza generale del Sistema
dei Controlli Interni e proporre
aree di miglioramento con riferimento alle valutazioni complessive effettuate in fase di audit
Valutare il livello di adeguatezza delle metodologie di gestione del rischio con riferimento al presidio dei rischi di
compliance
Relazionare in merito alladeguatezza dei presidi esistenti
sui rischi di non conformit e
proporre aree di miglioramento con riferimento alle valutazioni complessive emergenti
dalle analisi effettuate
Valutare il modello di gestione del rischio di non conformit nonch laderenza alle
specifiche normative degli altri modelli di gestione dei rischi adottati dallazienda
Verificare nel continuo ladeguatezza del modello di gestione del rischio di non conformit, con riferimento ai
cambiamenti normativi che
interessano lintera organizzazione
Modello di
gestione del rischio
Processi
Funzione di Compliance
Internal Audit
Funzione di Compliance
(segue)
Procedure
Informativa e reporting
Per gli ambiti riferiti allattivit di controllo e di verifica trattati in tabella, si rinvia allo specifico capitolo
nel quale vengono illustrate le reciproche competenze, tenendo conto, da un lato del requisito normativo del controllo di Internal Auditing sulladeguatezza della Funzione di Compliance, e dallaltro della
disciplina del Regolamento Banca dItalia-Consob, emanato ai sensi dellart. 6, comma 2-bis del T.U.F.
in materia di prestazione dei servizi di investimento. In ogni caso, al fine di evitare inefficienti sovrapposizioni di ruoli e responsabilit per le attivit di verifica che ciascuna Funzione chiamata a svolgere,
appaiono percorribili soluzioni di specifici accordi di servizio tra le due Funzioni (estendibili anche ad
altre funzioni) da sottoporre allapprovazione degli organi aziendali.
Introduzione
11
Il presente documento si sviluppa, quindi, secondo le direttrici delle attivit di Consulenza, Assurance e
Controllo per mettere in luce le peculiarit delle Funzioni di Internal Audit e di Compliance, sulla base
di alcuni principi cardine in grado di salvaguardare efficacia ed efficienza del sistema dei controlli:
la non coincidenza tra funzione e struttura organizzativa che la rende effettiva;
le necessit di coordinamento e raccordo tra funzioni dedicate ad obiettivi analoghi.
12
conoscenza delle problematiche della materia e contribuendo allaffermazione del ruolo professionale di
coloro i quali operano nellattivit di compliance.
AIIA
LAssociazione Italiana Internal Auditors rappresenta la sezione italiana dellI.I.A., Institute of Internal
Auditors, leader mondiale per gli standard, la certificazione, la ricerca e la formazione per la professione di Internal Auditor.
Compito primario dellAssociazione quello di promuovere lo sviluppo della professione di Internal
Auditing e la diffusione della cultura aziendale sulle tematiche di Corporate Governance, Risk
Management e Controllo Interno, inteso come strumento dellazione manageriale per il governo delloperativit aziendale.
Costituita nel 1972 come associazione senza fini di lucro, oggi lAIIA conta oltre 2.700 soci (in rappresentanza di 1.000 organizzazioni) delle seguenti categorie professionali:
internal auditors;
sindaci;
preposti al controllo interno;
specialisti di societ di revisione e consulenza;
componenti di enti regolatori;
esponenti del mondo accademico;
studenti che frequentano master e corsi di specializzazione in internal auditing.
Nel perseguimento della sua mission AIIA realizza:
programmi di formazione e aggiornamento ai vari livelli;
pubblicazioni e rapporti di ricerca;
convegni, seminari e tavole rotonde di natura informativa;
esami per le qualifiche internazionali di CIA (Certified Internal Auditor), CCSA (Certificazione in Control SelfAssessment) e CFSA (Certificazione in Financial Services Auditor).
Gruppo di Lavoro
In rappresentanza di AIIA e di AICOM, hanno fatto parte del Gruppo di Lavoro che ha predisposto il
presente documento le seguenti persone, tutte con esperienza in banche o intermediari italiani e banche estere operanti in Italia, ovvero in ambito accademico:
Giuseppe Aquaro
Giovanna Di Stefano
Manuela Gallo
Lino Mainolfi
Alberto Porzio
Fabio Renzi
13
Roberto Russo
Paola Sassi
Claudio Testa
14
Tale posizione riprende quanto riportanto nel documento Internal audit in banks and the supervisor's relationship with auditors Basel Committee on Banking Supervision, Agosto 2001.
La traduzione fornita dallAIIA la seguente: LInternal Auditing unattivit indipendente e obiettiva di assurance e
consulenza, finalizzata al miglioramento dellefficacia e dellefficienza dellorganizzazione. Assiste lorganizzazione nel
perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.
Tale posizione riprende quanto riportato nel documento Compliance and Compliance function in banks, Aprile 2005.
Con il termine Assurance si intende lattivit volta ad assicurare la Direzione Aziendale sul sistema di
gestione dei rischi ai quali lorganizzazione esposta, attraverso il controllo preventivo ed ex-post da
parte di funzioni indipendenti.
Per Consulenza si intende lattivit di sostegno ed orientamento nei confronti degli organi di vertice e
delle strutture organizzative attraverso unazione volta a correggere ed implementare nuove strategie
organizzative e comportamenti operativi. La Consulenza, puntando sul miglioramento continuo dei processi di controllo, apporta il suo valore allorganizzazione, in quanto finalizzata al contenimento dei
rischi aziendali.
15
Lattivit di Consulenza
3.1 Premessa
Nel presente capitolo si procede allanalisi della suddivisione di ruoli e di responsabilit tra le Funzioni
di Internal Audit e di Compliance, cominciando dallattivit di Consulenza.
Data la peculiarit dellargomento trattato, le analisi che seguono tengono nella dovuta considerazione
quanto disposto anche dalle fonti istitutive delle due Funzioni in argomento, al fine di metterne in evidenza il percorso evolutivo e le aree di connessione.
A tal proposito, a titolo esemplificativo, si riporta quanto previsto dal Regolamento della Banca dItalia
e della Consob, emanato ai sensi dellart. 6, comma 2-bis del T.U.F. che, con riferimento allattivit di
Consulenza, stabilisce che la Funzione di Controllo di Conformit (Compliance) deve Fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini delladempimento degli obblighi
posti dalle disposizioni di recepimento della Direttiva 2004/39/CEE e delle relative misure di esecuzione, mentre alla Funzione di Revisione Interna (Internal Audit) vengono attribuiti, fra laltro, i
seguenti compiti Adotta, applica e mantiene un piano di audit per lesame e la valutazione delladeguatezza e dellefficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dellintermediario e formula raccomandazioni basate sui risultati dei lavori realizzati [] e ne verifica
losservanza.
In aggiunta, peraltro, alla complessit operativa interna di ogni intermediario, la proliferazione normativa che caratterizza il contesto attuale introduce oggi un fattore di soggettivit interpretativa da parte
delle aziende in quanto, essendo questi temi trattati in termini di principi generali, vengono demandate
allintermediario specifiche soluzioni attuative in assenza, in molti casi, di opportuni elementi interpretativi.
17
supporto e di assistenza, la cui natura ed estensione si esplica soprattutto nel corso e a valle delle verifiche effettuate e si traduce generalmente in una serie di suggerimenti e raccomandazioni chiarificatrici
che permettono allauditor di fornire un adeguato supporto allorganizzazione senza perdere la necessaria indipendenza. Ci con lobiettivo di fornire valore aggiunto e migliorare i processi di governance, risk
management e controllo, senza assumere responsabilit decisionali.
In questi termini, lattivit dellInternal Audit si caratterizza per essere unattivit di Consulenza focalizzata sulla necessit che il progetto/processo risulti coerente con le strategie di business e di governo e
che risponda al generale obiettivo di contenimento dei rischi aziendali (considerati nel loro complesso)
entro i limiti di accettabilit stabiliti dal Vertice. LInternal Audit, infatti, finalizza la propria attivit di
Consulenza prevalentemente sulla proposta di soluzioni idonee a garantire il superamento dei punti di
debolezza del Sistema dei Controlli Interni. La sua attivit si esplica sia nel momento in cui emergono
disallineamenti tra il Sistema dei Controlli Interni e il modello di business e di governo adottato dallazienda, sia nella fase di impianto/revisione di processi e procedure, con lobiettivo di garantire coerenza
e linearit allintero impianto dei controlli a presidio dei rischi.
In unaccezione pi ampia del ruolo dellInternal Audit si pu ritenere, peraltro, che le sue mansioni
possano dirigersi verso un pieno supporto alla Governance aziendale, fornendo elementi di valutazione
allAlta Direzione e al Board sulla praticabilit di determinate scelte anche di business, monitorando
che le indicazioni strategiche siano perseguite dalle strutture operative, offrendo in tal modo un contributo al processo di Risk Management dellazienda ed alla creazione di valore, tramite il contenimento
di costi e perdite, il miglioramento dei processi aziendali e la conseguente determinazione di un minor
requisito patrimoniale.
Lattivit consultiva della Funzione di Compliance, invece, risulta essere, per sua stessa natura, un servizio svolto prevalentemente ex-ante, finalizzato alla definizione di presidi idonei a garantire la prevenzione dei rischi di non conformit e reputazionali.
La consulenza, infatti, costituisce unattivit mirata al supporto interpretativo della coerenza dei processi operativi aziendali alle norme cogenti e non, di eteroregolamentazione e ai codici di condotta.
Dovendo garantire efficaci presidi sui rischi di conformit e di reputazione, la Funzione interviene prestando il proprio supporto consultivo sin dallavvio di nuove attivit e di lancio di nuovi prodotti e nel
corso della revisione dei processi e delle procedure, effettuate a seguito di verifiche espletate direttamente, di segnalazioni ricevute da altre funzioni di controllo, incluso lInternal Audit. Con riferimento ai
rischi reputazionali importante il ruolo della Funzione di Compliance in termini di Consulenza prestata
ai fini della loro prevenzione.
Il rispetto dei principi etico/deontologici promossi dallazienda, infatti, costituisce un fattore qualificante
per lefficacia delle politiche e dei sistemi di controllo, in quanto la loro inosservanza caratterizza spesso quei comportamenti che sfuggono a tali sistemi, ancorch sofisticati. La Consulenza prestata dalla
Funzione di Compliance, perci, costituisce il veicolo di trasmissione di questi valori e principi, in quan-
18
19
ch, come gi evidenziato, i mandati loro attribuiti definiscano adeguatamente compiti, ruoli e responsabilit, la loro separatezza e indipendenza dalle funzioni operative, nonch un appropriato posizionamento organizzativo.
Uninterpretazione troppo estensiva dellattivit di Consulenza accompagnata da una confusione dei
reciproci ruoli, infatti, potrebbe minare lefficiente svolgimento delle rispettive attivit, provocare
sovrapposizioni sia fra le due Funzioni sia nei confronti delle altre funzioni aziendali.
Stante quanto sopra, invece, le due attivit si sviluppano entro differenti confini, ben definiti e separati.
20
Lattivit di Assurance
4.1 Premessa
Il presente capitolo intende analizzare la suddivisione di ruoli e responsabilit tra lInternal Audit e la
Funzione di Compliance in merito allattivit di Assurance svolta in ambito aziendale. In particolare, lanalisi stata suddivisa in diverse aree a cui sono dedicati specifici paragrafi, al fine di approfondire le
competenze di ciascuna Funzione e di evidenziare gli aspetti di collaborazione.
Le suddette aree sono:
assetto organizzativo;
sistema di deleghe e poteri;
sistema dei controlli interni;
modelli di gestione del rischio;
processi;
procedure;
sistemi di reporting e informativa;
attivit di controllo e di verifica.
21
In stretta correlazione valuta anche la struttura aziendale per verificarne la corretta articolazione e la
distribuzione delle responsabilit in tema di controlli, in coerenza con la propensione al rischio aziendale e con altri aspetti quali le scelte collegate alla distribuzione territoriale, ai processi strategici, di business e di supporto. Particolare attenzione viene riposta dallInternal Audit anche al rispetto dei principi
di segregation of duties, in linea con le best practice nazionali e internazionali.
Con riferimento al terzo aspetto, relativo ai livelli gerarchici, lInternal Audit verifica lavvenuta definizione e attribuzione (in documenti formalizzati) di compiti, responsabilit e riporti per lo svolgimento dellattivit aziendale.
Infine, la quarta componente richiede lesame da parte dellInternal Audit delladeguatezza e della chiarezza dei processi decisionali che devono risultare, peraltro, formalizzati. Dovr soprattutto essere
garantito il rispetto dei principi sanciti dalle best practice nello svolgimento delloperativit aziendale e
la possibilit di descrivere compiutamente le fasi e gli argomenti oggetto di discussione che hanno portato alle decisioni.
Per quanto riguarda lattivit di Assurance, la Funzione di Compliance si concentrer nel garantire la
presenza nella struttura organizzativa delle funzioni obbligatorie previste dalla normativa e la separazione di quelle attivit che possono generare conflitti di interessi, verificando la presenza dei presidi organizzativi finalizzati ad evitare tali conflitti, gli scambi di informazioni e la sottoposizione ad uno stesso
responsabile di settori che devono essere separati.
Il ruolo della Funzione di Compliance trover applicazione sia in sede di prima formalizzazione della
struttura organizzativa, sia nel corso del tempo, in relazione ai cambiamenti che dovessero intervenire
per scelta aziendale o per variazione della normativa di riferimento.
22
La Funzione di Internal Audit valuta, altres, il necessario coordinamento nellesercizio delle facolt
delegate e la specifica allocazione delle deleghe e dei poteri.
La Funzione di Compliance deve, dal canto suo, valutare che lallocazione delle deleghe e dei poteri
garantisca lesercizio delle responsabilit attribuite dalle normative di riferimento a specifici soggetti/funzioni aziendali nonch un idoneo presidio dei conflitti di interesse, sia riferiti alle risorse allinterno
delle diverse unit organizzative, sia in relazione ai singoli esponenti aziendali.
23
Il confronto tra le Funzioni dovr avvenire in ambiti formali allo scopo istituiti, quali, ad esempio, i
Comitati di Audit o i Comitati per il Controllo Interno.
4.6 Processi
Lattivit di Assurance svolta dallInternal Audit, come noto, sistematicamente rivolta al miglioramento
dell'efficacia e dell'efficienza dellorganizzazione attraverso la valutazione dei processi aziendali.
Obiettivo dellattivit di Internal Audit fornire al management una valutazione di affidabilit sul
Sistema di Controllo, in tutte le sue articolazioni e qualunque sia il modello adottato, sulleffettivo presidio che lo stesso garantisce rispetto ai rischi emergenti, prevenendone o mitigandone limpatto sugli
obiettivi aziendali, di business e di governo.
In particolare, lattivit relativa allanalisi delladeguatezza dei processi aziendali si traduce in una serie
di attivit operative che trovano la loro articolazione in un modello di controllo che la societ o il
gruppo di appartenenza hanno adottato.
Dovendo esprimere una valutazione sulladeguatezza del Sistema dei Controlli Interni, lanalisi si focalizza sul presidio complessivo di tutti i rischi e sul loro contenimento entro il livello ritenuto accettabile
dallorganizzazione; indirizza le verifiche periodiche sui processi con profili di rischio ritenuti maggiormente significativi, sulla base di preventive valutazioni di risk assessment e suggerendo azioni di
miglioramento.
24
La Funzione di Compliance, nellambito del proprio mandato, identifica costantemente le norme applicabili, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta applicazione e valutandone limpatto.
La Funzione di Compliance svolge tale attivit di Assurance nel continuo proponendo le modifiche e le
soluzioni ritenute idonee a rimuovere eventuali gap riscontrati e a prevenire/contenere conseguentemente il rischio di non conformit.
Particolare rilievo assumono, in tal senso, la valutazione dei profili organizzativi e di funzionalit delle
strutture operative deputate a presidiare attivit che implicano rischi di non conformit.
Anche il monitoraggio sulla corretta e tempestiva implementazione degli adeguamenti organizzativi si
esplica, dunque, nella verifica periodica del permanere delle condizioni di conformit, comprendendo
nel proprio perimetro dazione tutti i presidi organizzativi in essere che implicano profili di conformit,
oltre allefficacia delle modifiche raccomandate a seguito di malfunzionamenti e carenze riscontrate, a
livello del gruppo aziendale di riferimento.
evidente che tale presidio viene garantito solo se la Funzione di Compliance, come gi evidenziato,
interviene nelle fasi di definizione e avvio di progetti innovativi, nuove linee di business, nuovi prodotti,
reingegnerizzazione di processi fortemente normati che lorganizzazione intenda intraprendere.
Si ricorda che in base agli Standard Professionali, lInternal Audit non pu essere chiamato alla redazione delle procedure aziendali in relazione alla necessit di tutelare la propria indipendenza nello svolgimento di interventi di audit.
25
Tale attivit da ricondursi, in particolare, alle procedure che disciplinano aree di operativit interessate dalla normativa di riferimento, nel caso siano state valutate sensibili a rischi di compliance e di reputazione nellambito del risk assessment condotto dalla Funzione.
Il ruolo di valutazione richiede, pertanto, che lazienda strutturi un flusso di comunicazione interno, nellambito del processo di normazione, che consenta alle Funzioni sia di Internal Audit che di Compliance
un effettivo ed efficace presidio dei rischi attraverso un coinvolgimento sistematico nelle fasi di definizione delle procedure aziendali. Le Funzioni, ciascuna per il proprio ambito di competenza, devono
essere in condizione di potere esprimere la propria valutazione in relazione alla capacit della procedura di disciplinare le attivit sottostanti in modo conforme. Ci, inoltre, presuppone una necessit di continuo dialogo e confronto tra le due Funzioni, in ottica di allineamento ed, eventualmente, laddove
necessario, condivisione delle possibili soluzioni da suggerire per far fronte a specifici aspetti.
Inoltre, in relazione allesigenza di verificare lefficace funzionamento nel tempo delle procedure che
afferiscono alle aree interessate da rischi di compliance, la Funzione di Compliance svolge analisi di
adeguatezza e revisione periodica delle procedure proponendo eventuali interventi correttivi, anche a
fronte dei risultati emersi dalle attivit di verifica. Lattivit di Assurance, di conseguenza, riguarda
anche le fasi di disegno e di attuazione delle politiche e delle procedure che regolano lo svolgimento dei
processi operativi, al fine di verificarne la costante ed effettiva coerenza con le regole di etero ed auto
regolamentazione.
26
27
28
Lattribuzione allAudit da parte della Compliance di attivit di verifica di conformit, per suo conto, configurano, limitatamente a quella specifica area di intervento, lo svolgimento per la funzione di Audit di controlli di secondo livello.
Tali accordi saranno sottoposti allapprovazione degli organi aziendali che li recepiranno formalmente
anche negli specifici mandati attribuiti alle due Funzioni.
Quanto precede risulta, comunque, coerente con la prescrizione normativa che prevede che la Funzione
di Internal Audit, nellambito delle verifiche sulla funzionalit del sistema dei controlli, valuti ladeguatezza e lefficacia della Funzione di Compliance.
29
Conclusioni
Lanalisi svolta nel presente documento, relativa agli ambiti operativi ed alle responsabilit delle
Funzioni di Internal Audit e di Compliance interessate dai cambiamenti nella normativa di riferimento
solo un primo passo nella definizione dei compiti della Funzione di Compliance nel Sistema dei
Controlli Interni ed, in particolare, nei confronti dellInternal Audit.
Altri elementi che dovranno essere presi in considerazione per una adeguata introduzione della
Funzione nelle strutture organizzative sono, principalmente, il suo collocamento organizzativo, il coordinamento ed i rapporti con le altre funzioni (Legale, Organizzazione e Risk Management), la struttura
della Funzione ed i rapporti di gruppo, la realt organizzativa e le professionalit gi presenti nelle singole societ.
Per quanto riguarda le societ che hanno avviato le analisi per lintroduzione della Funzione di
Compliance, sar importante inquadrare tali attivit non come meri adempimenti, bens come opportunit di analizzare il proprio Sistema dei Controlli Interni in modo critico e proattivo ispirandosi eventualmente a quelle realt internazionali dove il processo risulta gi consolidato.
Da un punto di vista organizzativo emergeranno probabilmente aree di sovrapposizione da gestire, non
solo nei confronti della Funzione di Internal Audit, ma probabilmente anche con il Risk Management,
con lOrganizzazione e con il Legale.
A tal proposito, ci si augura che le Autorit forniscano indicazioni chiare lasciando tuttavia agli intermediari sufficiente autonomia nella scelta delle soluzioni organizzative che meglio si integrino con il
modello organizzativo e con la loro specifica propensione al rischio.
Infine, per quanto concerne le due Associazioni e le persone che hanno dato vita al Gruppo di Lavoro
che ha predisposto il presente documento, lobiettivo quello di continuare a monitorare levoluzione
delle due Funzioni.
Nel futuro ci si propone di tornare ad analizzare largomento dopo aver osservato le prime applicazioni
pratiche e le eventuali criticit, mantenendo e rinnovando lo sforzo di collaborazione volto al supporto
nel cercare ambiti interpretativi condivisi e momenti di analisi e di confronto con le Autorit di Vigilanza
ed, eventualmente, con le realt internazionali che possano fornire un valido punto di riferimento in
materia.
31
Appendice
1
Definizioni e riferimenti
Rischio di compliance
Il rischio di non conformit 6 alle norme il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamento) ovvero di norme di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina).
Processo
Un processo un insieme complesso di attivit, compiti, ruoli e responsabilit organizzato in modo
strutturato e finalizzato al raggiungimento di specifiche finalit aziendali. Un processo pu interessare
una o pi funzioni e/o strutture aziendali il cui coordinamento pu essere perseguito mediante procedure organizzative che formalizzano i compiti e le responsabilit degli organi aziendali coinvolti.
Procedure
Per procedura si intende un complesso di azioni regolate da una serie organizzata di regole, disposizioni
e norme di funzionamento che consentono lo svolgimento sistematico di un processo aziendale al fine
di ottenere risultati attesi o previsti secondo un grado soddisfacente di affidabilit e stabilit nel tempo.
33
Verifiche
Con il termine verifiche si intendono una serie di attivit operative svolte sul campo e/o a distanza
avente ad oggetto lanalisi delladeguatezza dei processi aziendali ed il rispetto delle norme disciplinanti
gli stessi.
34
Quadro normativo
Nel corso degli ultimi anni, la gestione del rischio di non conformit ha assunto una sempre maggiore
importanza, affermandosi quale disciplina a s stante nellambito delle tematiche legate al Risk
Management. Diversi sono stati gli interventi normativi in tal senso sia a livello europeo, che a livello
nazionale.
In questo paragrafo, ripercorrendo levoluzione della normativa in materia di compliance, riportiamo gli
interventi normativi pi rilevanti.
35
1010
AIIA
Associazione Italiana Internal Auditors
Via Santa Tecla, 5 20122 Milano (Italia)
Tel.: +39 02 36581500 Fax: +39 02 8699 5492
E-mail: info@aiiaweb.it Sito Internet: www.aiiaweb.it
AICOM
Associazione Italiana Compliance
Via Venti Settembre, 30 00187 Roma
Tel.: 06 47713450 Fax: 06 47715963
E-mail: info@assoaicom.org Sito Internet: www.assoaicom.org