giovedì, Marzo 28, 2024
Uncategorized

Rapporto tra Compliance e Internal Audit all’interno degli istituiti di credito

A cura di Dott. Daniele Alunni

I controlli interni agli istituti di credito hanno un ruolo nevralgico all’interno dell’organizzazione dell’intermediario finanziario: essi sono indispensabili per compiere una valutazione relativamente ai rischi che possono sorgere e sono volti a prevenire il c.d. rischio di mancata conformità.

Evitare i rischi di conformità e, di conseguenza, i rischi di reputazione per l’intermediario, aiuta a rafforzare il rapporto con i clienti, considerato che in una società che eroga servizi, la fiducia acquisisce sempre più un valore competitivo.

Le disposizioni in materia di Vigilanza per le banche (Circolare n. 285 del 17 dicembre 2013) prevedono l’autonomia dei ruoli tra la Funzione di Internal Audit e quella di Compliance, disponendo solo per quest’ultima periodici controlli di terzo livello. Oltre a questo, la funzione Internal Audit verifica l’adeguatezza e l’efficacia della funzione Compliance per il tramite delle seguenti azioni:

  • il rispetto dei requisiti di indipendenza e autorevolezza della funzione;
  • l’adeguatezza qualitativa delle competenze professionali presenti nella funzione;
  • la presenza di adeguate risorse economiche per espletare l’attività, ivi compresa la possibilità di ingaggiare professionalità esterne alla Funzione medesima;
  • l’effettiva possibilità di accesso della stessa a tutte le attività della banca;
  • la corretta gestione del rischio di non conformità per le attività affidate in outsourcing.

Le verifiche inerenti alla funzione di terzo livello assicurano che la Compliance abbia svolto tutte le attività di cui al Regolamento e Policy, ivi compresi gli obblighi di informativa alle Autorità di Vigilanza, le segnalazioni di operazioni sospette secondo le discipline di Market Abuse e antiriciclaggio. La Funzione di Internal Audit dovrà, inoltre, assicurare che la Compliance abbia relazionato gli Organi aziendali e gli altri Stakeholders su interventi che abbiano evidenziato carenze e/o violazioni sostanziali della conformità alle norme e sui conseguenti possibili rischi. In presenza di Gruppi internazionali, la Funzione Internal Audit verificherà che l’attività della Compliance sia in grado di assicurare il rispetto delle normative di tutti i Paesi in cui la banca svolge attività.

Il Responsabile della Funzione di Internal Audit informa il Responsabile della Funzione Compliance circa le attività poste in essere, e in particolare:

  • sugli esiti delle visite ispettive e dei controlli a distanza eseguiti sulle aree di competenza anche della funzione Compliance;
  • sugli elementi conoscitivi di rilevo emersi sui rischi di Compliance;
  • sulla pianificazione degli interventi riguardante tematiche afferenti alla attività di Compliance.

L’Internal Audit condivide con il Risk Management la verifica del rispetto al R.A.F. (Risk Appetite Framework)[1] e la conoscenza e governabilità dei fattori di rischio.

Le tematiche trattate sono molto vicine e spesso si incorre nel rischio di sovrapposizione delle attività di gestione, monitoraggio e controllo. Per evitare quanto ipotizzato, la Banca d’Italia e la Consob hanno sviluppato delle linee operative riguardanti compiti e attribuzioni delle due funzioni, ivi comprese le relative responsabilità; ciò con riguardo alla prestazione dei servizi di investimento, del servizio di gestione collettiva tenendo conto della legislazione comunitaria e nazionale[2].

Secondo le disposizioni del Regolamento Congiunto[3] le due Funzioni svolgeranno i seguenti compiti:

  • Internal Audit; nello svolgere i controlli di terzo livello, valuta l’adeguatezza dei sistemi, delle procedure, dei processi e dei meccanismi di controllo dell’intermediario; verifica la correttezza della operatività aziendale propedeutica al contenimento dei rischi, l’affidabilità dei sistemi di rilevazione contabile, il rispetto dei limiti previsti dai meccanismi di delega, la funzionalità del complessivo sistema dei controlli interni, l’efficacia dell’organizzazione. Le verifiche sono portate avanti anche con lo scopo di individuare eventuali responsabilità in capo al personale coinvolto nelle attività oggetto di monitoraggio; essa, infine, verifica sistematicamente la regolarità delle operazioni con specifici accertamenti nelle aree con rischi di irregolarità;
  • Compliance; si occupa dei controlli di secondo livello; nello specifico, valuta l’efficacia e l’adeguatezza delle procedure utilizzate dall’intermediario, con lo scopo di garantire l’adempimento degli obblighi di correttezza e trasparenza dei presidi adottati per la mitigazione del rischio di non conformità alle norme di condotta in materia di servizi di investimento e gestione collettiva; valuta, inoltre, il rischio di non conformità afferente alle scelte strategiche adottate; verifica l’efficacia delle procedure, sia in fase di test che a posteriori, in ottica di prevenzione e controllo dei rischi di non conformità alla normativa che tutela la clientela per i servizi di investimento e la distribuzione di prodotti finanziari e gestione collettiva; verifica i fenomeni aziendali sulla base di indici di significatività in grado di sviluppare meccanismi di allerta; verifica la tempestività degli interventi posti a correzione dei processi individuati come carenti a tal fine; infine, verifica l’efficacia delle procedure e dei presidi a tutela della clientela.

È necessario che entrambe le Funzioni abbiano accesso al patrimonio informativo aziendale riguardante comportamenti, procedure, processi interni e quant’altro derivante da verifiche in loco.

Le modalità di utilizzo degli strumenti di controllo devono essere sempre strettamente funzionali alla finalità, alla natura e alla estensione dell’azione di controllo di competenza; ciò al fine di evitare inutili e costose sovrapposizioni; per quanto detto, gli intermediari si attengono ai principi di cui appresso.

Nella Funzione Compliance le verifiche eseguite sono volte ad accertare la adeguatezza delle procedure di prevenzione e controllo dei rischi di non conformità; riguardano accessi in loco su base campionaria per individuare aree di criticità delle procedure predisposte.

Per la Funzione di Internal Audit, invece, le verifiche sono di natura ispettiva e mirano alla rilevazione sistematica del grado di adeguatezza dell’assetto organizzativo e della correttezza dei comportamenti (ai fini del contenimento dei rischi); tali verifiche riguardano la funzionalità del complessivo sistema dei controlli interni, compresa la Compliance e, ancora, il regolare andamento della operatività e della evoluzione dei rischi, con particolare riferimento al R.A.F., con valutazione della sua affidabilità, efficacia e funzionalità.

La sinergia fra le due Funzioni è propedeutica alla valorizzazione della coerenza e complementarità delle attività pianificate; è assolutamente opportuno così porre attenzione alla articolazione dei flussi informativi:

  • l’Internal Audit aggiorna la Compliance sulle eventuali inefficienze di carattere procedurale nella gestione dei rischi di non conformità rilevate nel corso delle verifiche effettuate; fornisce tutte le indicazioni emerse dalle attività di follow up e quant’altro ritenuto necessario per consentire alla presente Funzione di gestire al meglio il rischio di non conformità;
  • la Compliance trasmette all’Internal Audit le irregolarità riscontrate nel corso della propria attività, con particolare riguardo a eventuali comportamenti difformi rispetto alla normativa prevista.

Tra le due Funzioni anzidette potrebbe essere anche stipulato un accordo di servizio per valorizzare la loro complementarità, renderne più efficaci gli esiti e ridurre il rischio di duplicazione. L’Accordo dovrà sempre tenere in debito conto il principio di indipendenza e funzionalità nelle attività di controllo di terzo livello da parte della Funzione di Internal Audit sulla Compliance; tale accordo potrà, a tal fine, prevedere i seguenti punti:

  • stabilire le responsabilità e le relative incombenze reciproche;
  • focalizzare in modo adeguato i termini dell’Accordo (verifiche, frequenze, modus operandi, etc.);
  • definire i flussi informativi, contenuti e quant’altro sia previsto in termini di scambio;
  • definire le tempistiche dell’Accordo (durata, validità, rinnovo);
  • tutto ciò che si riterrà necessario per garantire il costante coordinamento tra le due Funzioni.

Alla luce di quanto detto, pertanto, i controlli interni che vengono attuati dalla Funzione di Compliance e Internal Audit, riguardano l’osservanza della legislazione interna ed esterna, nel rispetto dell’obiettivo di una sana e prudente gestione; si rende, a questo proposito, indispensabile al fine di una corretta connotazione strategica, prevenire rischi di futuri stati di crisi.


[1] “Risk appetite framework” – “RAF” (sistema degli obiettivi di rischio): il quadro di riferimento che definisce – in coerenza con il massimo rischio che si può assumere, il business model e il piano strategico – la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli. E’ contenuto nella Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013.

[2] Vedasi Comunicazione congiunta Banca d’Italia – Consob in materia di ripartizione delle competenze tra Compliance e Internal Audit nella prestazione dei servizi di investimento e di gestione collettiva del risparmio, 8 marzo 2011; Paragrafo 4.4 Protocollo d’Intesa del 31 ottobre 2007; Mifid e Direttva n. 2006/73/Ce; Tuf e Regolamento Congiunto Banca d’Italia – Consob del 29 ottobre 2007 e successivi aggiornamenti.

[3] Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio (Adottato dalla Banca d’Italia e dalla Consob con provvedimento del 29 ottobre 2007).

Lascia un commento