Differenze di ambito e ruolo tra Internal Audit e Compliance
di Giovanni Battisti.
E’ finalmente disponibile on-line il paper "Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza" (NB: purtroppo, il download del documento è stato riservato ai soci AiiA e Aicom), elaborato da un gruppo di studio congiunto dell'Associazione Italiana Internal Auditors e dell'Associazione Italiana Compliance e presentato a Milano lo scorso 2 luglio.
Il documento –che fa specifico riferimento al settore finanziario- si propone di chiarire le responsabilità e gli ambiti operativi delle Funzioni di Compliance e di Internal Audit; l’introduzione nel settore finanziario della Funzione di Compliance (o Funzione di Conformità, come viene definita dalle Disposizioni di Vigilanza di Banca d’Italia del 10 luglio 2007) rende infatti necessario riconsiderare l’organizzazione del sistema dei controlli interni, e valutare le integrazioni di tale funzione con la funzione di Internal Auditing.
La ricerca di sinergie tra funzioni ed organi aziendali preposti al controllo è oggi particolarmente sentita nel mondo finanziario, ed il documento AiiA Aicom si rivolge proprio a tale settore, ma –in seguito all’ampliarsi degli interventi normativi che influenzano le attività e l’organizzazione aziendale- è una riflessione che coinvolgerà a breve anche il mondo dell'industria e del commercio.
La distinzione di ruoli tra Internal Audit e Compliance viene tracciata ricordando le loro diverse finalità, "con la Funzione di Compliance focalizzata sul rispetto della normativa e l’Internal Audit sul monitoraggio del complessivo Sistema dei controlli Interni" (Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza , AiiA-Aicom, aprile 2008, pag. 5).
Partendo da questa premessa, il documento approfondisce ruoli e responsabilità delle Funzioni di Compliance e di Internal Audit nel settore finanziario, distinguendo tra attività svolte in ambito di consulenza e attività svolte nell’ambito dei servizi di assurance.
Attività di consulenza
"L’Internal Audit … finalizza la propria attività di Consulenza prevalentemente sulla proposta di soluzioni idonee a garantire il superamento dei punti di debolezza del Sistema dei Controlli Interni. La sua attività si esplica sia nel momento in cui emergono disallineamenti tra il Sistema dei Controlli Interni e il modello di business e di governo adottato dall’azienda, sia nella fase di impianto/revisione di processi e procedure, con l’obiettivo di garantire coerenza e linearità all’intero impianto dei controlli a presidio dei rischi" (op. cit. p. 18).
"Nel caso della Funzione di Compliance, l’oggetto dell’attività di Consulenza, riguardando la rispondenza dei processi ai dettami normativi, ai principi e ai valori promossi dall’azienda, è rappresentato dalla legittimità stessa delle procedure aziendali" (op. cit. , p. 19).
Assurance – assetto organizzativo
"l’Audit valuta l’adeguatezza dell’assetto organizzativo relativamente ai requisiti previsti per il ‘buon funzionamento’ della … azienda" (op. cit., p. 21)
"la Funzione di Compliance ne verifica la conformità … alla normativa di riferimento, con l’obiettivo, in particolare, di presidiare il conflitto di interessi eventualmente emergente nei compiti attribuiti alle singole unità organizzative" (op. cit., p. 21).
Assurance – sistema delle deleghe e dei poteri
L’Internal Audit valuta la corrispondenza del sistema delle deleghe e poteri "a quanto statuito dalle specifiche delibere del Consiglio di Amministrazione ovvero dalle direttive della Capogruppo e verifica che la distribuzione dei ruoli e delle responsabilità non determini duplicazioni, sovrapposizioni od omissioni di compiti" (op. cit., p. 22).
La Funzione di Compliance "valutare che l’allocazione delle deleghe e dei poteri garantisca l’esercizio delle responsabilità attribuite dalle normative di riferimento a specifici soggetti/funzioni aziendali nonché un idoneo presidio dei conflitti di interesse, sia riferiti alle risorse all’interno delle diverse unità organizzative, sia in relazione ai singoli esponenti aziendali" (op. cit., p. 23).
Assurance – sistema dei controlli interni
La Funzione di Internal Audit "analizza ... l’adeguatezza del sistema stesso, relazionando periodicamente all’Alta Direzione e agli Organi Societari sugli esiti delle attività svolte e proponendo soluzioni di miglioramento; a tal fine provvede a valutare il funzionamento di tutti gli attori del Sistema dei Controlli Interni, tra cui la Funzione di Compliance" (op. cit., p. 23).
La Funzione di Compliance "ha in primo luogo il compito di effettuare e aggiornare periodicamente la mappatura dei rischi di non conformità e reputazionali emergenti dai processi/prodotti, con stretto riferimento all’evoluzione del modello di business aziendale, all’introduzione di nuove normative e all’aggiornamento di quelle vigenti, nonché all’adozione di norme di autoregolamentazione e di codici di condotta" (op. cit., p. 23).
Assurance – modelli di gestione del rischio
"L’attività di Assurance dell’Internal Audit si focalizza su tutti i modelli di gestione del rischio adottati dall’azienda allo scopo di verificarne il corretto ed efficace funzionamento ... ivi incluso quello di Compliance, con lo scopo di assicurare che quanto adottato consenta al management un’efficace gestione dei rischi" (op. cit., p. 24).
"la Funzione di Compliance progetta e provvede all’aggiornamento" del modello di gestione del rischio "relativo ai rischi di non conformità e reputazionali, adottato coerentemente con le strategie e l’operatività aziendale. La Funzione di Compliance valuta, inoltre, l’aderenza alla normativa, anche degli altri modelli di gestione dei rischi adottati dalla società" (op. cit., p. 24).
Assurance - processi
"L’attività di Assurance svolta dall’Internal Audit ... è sistematicamente rivolta al miglioramento dell'efficacia e dell'efficienza dell’organizzazione attraverso la valutazione dei processi aziendali. Obiettivo dell’attività di Internal Audit è fornire al management una valutazione di affidabilità sul Sistema di Controllo" (op. cit., p. 24).
"La Funzione di Compliance ... identifica costantemente le norme applicabili, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta applicazione e valutandone l’impatto. La Funzione di Compliance svolge tale attività di Assurance nel continuo" (op. cit., p. 25).
Assurance – procedure aziendali
"l’Internal Audit svolge un ruolo attivo nelle fasi di disegno delle procedure aziendali, fornendo expertise nell’applicazione dei principi di controllo e nell’analisi dei processi e dei rischi (ma in base agli Standard Professionali non può essere chiamato alla redazione delle procedure aziendali, ndr). Inoltre, a seguito di interventi di verifica, la funzione può raccomandare azioni di miglioramento sui presidi di controllo formalizzati nelle procedure aziendali" (op. cit., p. 25).
La Funzione di Compliance "garantisce che le procedure organizzative contengano i presidi necessari a prevenire la violazione di norme di eteroregolamentazione ... ed autoregolamentazione" (op. cit., p. 25).
Assurance – sistemi aziendali di reporting e informativa
La Funzione di Internal Audit valuta "il livello di adeguatezza dei sistemi informativi aziendali e l’affidabilità delle informazioni disponibili rispetto alla complessità del contesto operativo, alla dimensione e all’articolazione territoriale dell’impresa" e "verifica l’adeguatezza dei presidi organizzativi adottati dalla società per la sicurezza fisica, logica e organizzativa del sistema informativo aziendale" (op. cit., p. 26).
La Funzione di Compliance valuta "la conformità del reporting e dell’informativa aziendale con riferimento alla sua idoneità a rispondere ai requisiti normativi vigenti o alle disposizioni interne stabilite dall’azienda, anche in termini di contenuti e tempistica", "identifica le norme applicabili alla società e si assicura del corretto recepimento delle stesse nelle procedure aziendali di reporting e di produzione dell'informativa" (op. cit., p. 26).
Assurance – attività di controllo e di verifica
La Funzione di Internal Audit esplica le proprie attività di verifica "mediante specifici interventi sul sistema dei controlli, mirati a valutare la rischiosità intrinseca di particolari aree di attività" (op. cit., p. 27).
La Funzione di Compliance "è chiamata a svolgere attività di monitoraggio nel continuo sui presidi esistenti nei processi e nelle procedure di mitigazione dei rischi di non conformità e reputazionali" (op. cit., p. 27).
E’ finalmente disponibile on-line il paper "Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza" (NB: purtroppo, il download del documento è stato riservato ai soci AiiA e Aicom), elaborato da un gruppo di studio congiunto dell'Associazione Italiana Internal Auditors e dell'Associazione Italiana Compliance e presentato a Milano lo scorso 2 luglio.
Il documento –che fa specifico riferimento al settore finanziario- si propone di chiarire le responsabilità e gli ambiti operativi delle Funzioni di Compliance e di Internal Audit; l’introduzione nel settore finanziario della Funzione di Compliance (o Funzione di Conformità, come viene definita dalle Disposizioni di Vigilanza di Banca d’Italia del 10 luglio 2007) rende infatti necessario riconsiderare l’organizzazione del sistema dei controlli interni, e valutare le integrazioni di tale funzione con la funzione di Internal Auditing.
La ricerca di sinergie tra funzioni ed organi aziendali preposti al controllo è oggi particolarmente sentita nel mondo finanziario, ed il documento AiiA Aicom si rivolge proprio a tale settore, ma –in seguito all’ampliarsi degli interventi normativi che influenzano le attività e l’organizzazione aziendale- è una riflessione che coinvolgerà a breve anche il mondo dell'industria e del commercio.
La distinzione di ruoli tra Internal Audit e Compliance viene tracciata ricordando le loro diverse finalità, "con la Funzione di Compliance focalizzata sul rispetto della normativa e l’Internal Audit sul monitoraggio del complessivo Sistema dei controlli Interni" (Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza , AiiA-Aicom, aprile 2008, pag. 5).
Partendo da questa premessa, il documento approfondisce ruoli e responsabilità delle Funzioni di Compliance e di Internal Audit nel settore finanziario, distinguendo tra attività svolte in ambito di consulenza e attività svolte nell’ambito dei servizi di assurance.
Attività di consulenza
"L’Internal Audit … finalizza la propria attività di Consulenza prevalentemente sulla proposta di soluzioni idonee a garantire il superamento dei punti di debolezza del Sistema dei Controlli Interni. La sua attività si esplica sia nel momento in cui emergono disallineamenti tra il Sistema dei Controlli Interni e il modello di business e di governo adottato dall’azienda, sia nella fase di impianto/revisione di processi e procedure, con l’obiettivo di garantire coerenza e linearità all’intero impianto dei controlli a presidio dei rischi" (op. cit. p. 18).
"Nel caso della Funzione di Compliance, l’oggetto dell’attività di Consulenza, riguardando la rispondenza dei processi ai dettami normativi, ai principi e ai valori promossi dall’azienda, è rappresentato dalla legittimità stessa delle procedure aziendali" (op. cit. , p. 19).
Assurance – assetto organizzativo
"l’Audit valuta l’adeguatezza dell’assetto organizzativo relativamente ai requisiti previsti per il ‘buon funzionamento’ della … azienda" (op. cit., p. 21)
"la Funzione di Compliance ne verifica la conformità … alla normativa di riferimento, con l’obiettivo, in particolare, di presidiare il conflitto di interessi eventualmente emergente nei compiti attribuiti alle singole unità organizzative" (op. cit., p. 21).
Assurance – sistema delle deleghe e dei poteri
L’Internal Audit valuta la corrispondenza del sistema delle deleghe e poteri "a quanto statuito dalle specifiche delibere del Consiglio di Amministrazione ovvero dalle direttive della Capogruppo e verifica che la distribuzione dei ruoli e delle responsabilità non determini duplicazioni, sovrapposizioni od omissioni di compiti" (op. cit., p. 22).
La Funzione di Compliance "valutare che l’allocazione delle deleghe e dei poteri garantisca l’esercizio delle responsabilità attribuite dalle normative di riferimento a specifici soggetti/funzioni aziendali nonché un idoneo presidio dei conflitti di interesse, sia riferiti alle risorse all’interno delle diverse unità organizzative, sia in relazione ai singoli esponenti aziendali" (op. cit., p. 23).
Assurance – sistema dei controlli interni
La Funzione di Internal Audit "analizza ... l’adeguatezza del sistema stesso, relazionando periodicamente all’Alta Direzione e agli Organi Societari sugli esiti delle attività svolte e proponendo soluzioni di miglioramento; a tal fine provvede a valutare il funzionamento di tutti gli attori del Sistema dei Controlli Interni, tra cui la Funzione di Compliance" (op. cit., p. 23).
La Funzione di Compliance "ha in primo luogo il compito di effettuare e aggiornare periodicamente la mappatura dei rischi di non conformità e reputazionali emergenti dai processi/prodotti, con stretto riferimento all’evoluzione del modello di business aziendale, all’introduzione di nuove normative e all’aggiornamento di quelle vigenti, nonché all’adozione di norme di autoregolamentazione e di codici di condotta" (op. cit., p. 23).
Assurance – modelli di gestione del rischio
"L’attività di Assurance dell’Internal Audit si focalizza su tutti i modelli di gestione del rischio adottati dall’azienda allo scopo di verificarne il corretto ed efficace funzionamento ... ivi incluso quello di Compliance, con lo scopo di assicurare che quanto adottato consenta al management un’efficace gestione dei rischi" (op. cit., p. 24).
"la Funzione di Compliance progetta e provvede all’aggiornamento" del modello di gestione del rischio "relativo ai rischi di non conformità e reputazionali, adottato coerentemente con le strategie e l’operatività aziendale. La Funzione di Compliance valuta, inoltre, l’aderenza alla normativa, anche degli altri modelli di gestione dei rischi adottati dalla società" (op. cit., p. 24).
Assurance - processi
"L’attività di Assurance svolta dall’Internal Audit ... è sistematicamente rivolta al miglioramento dell'efficacia e dell'efficienza dell’organizzazione attraverso la valutazione dei processi aziendali. Obiettivo dell’attività di Internal Audit è fornire al management una valutazione di affidabilità sul Sistema di Controllo" (op. cit., p. 24).
"La Funzione di Compliance ... identifica costantemente le norme applicabili, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta applicazione e valutandone l’impatto. La Funzione di Compliance svolge tale attività di Assurance nel continuo" (op. cit., p. 25).
Assurance – procedure aziendali
"l’Internal Audit svolge un ruolo attivo nelle fasi di disegno delle procedure aziendali, fornendo expertise nell’applicazione dei principi di controllo e nell’analisi dei processi e dei rischi (ma in base agli Standard Professionali non può essere chiamato alla redazione delle procedure aziendali, ndr). Inoltre, a seguito di interventi di verifica, la funzione può raccomandare azioni di miglioramento sui presidi di controllo formalizzati nelle procedure aziendali" (op. cit., p. 25).
La Funzione di Compliance "garantisce che le procedure organizzative contengano i presidi necessari a prevenire la violazione di norme di eteroregolamentazione ... ed autoregolamentazione" (op. cit., p. 25).
Assurance – sistemi aziendali di reporting e informativa
La Funzione di Internal Audit valuta "il livello di adeguatezza dei sistemi informativi aziendali e l’affidabilità delle informazioni disponibili rispetto alla complessità del contesto operativo, alla dimensione e all’articolazione territoriale dell’impresa" e "verifica l’adeguatezza dei presidi organizzativi adottati dalla società per la sicurezza fisica, logica e organizzativa del sistema informativo aziendale" (op. cit., p. 26).
La Funzione di Compliance valuta "la conformità del reporting e dell’informativa aziendale con riferimento alla sua idoneità a rispondere ai requisiti normativi vigenti o alle disposizioni interne stabilite dall’azienda, anche in termini di contenuti e tempistica", "identifica le norme applicabili alla società e si assicura del corretto recepimento delle stesse nelle procedure aziendali di reporting e di produzione dell'informativa" (op. cit., p. 26).
Assurance – attività di controllo e di verifica
La Funzione di Internal Audit esplica le proprie attività di verifica "mediante specifici interventi sul sistema dei controlli, mirati a valutare la rischiosità intrinseca di particolari aree di attività" (op. cit., p. 27).
La Funzione di Compliance "è chiamata a svolgere attività di monitoraggio nel continuo sui presidi esistenti nei processi e nelle procedure di mitigazione dei rischi di non conformità e reputazionali" (op. cit., p. 27).
Commenti
Posta un commento