Corporate Governance
Dicembre 2013

Collegio sindacale e sistema dei controlli interni nell’ambito delle aziende di credito alla luce delle Nuove disposizioni di vigilanza prudenziale (Banca d’Italia 2 luglio 2013) e della Direttiva 2013/36/UE

Estremi per la citazione:

Sottoriva C., Collegio sindacale e sistema dei controlli interni nell’ambito delle aziende di credito alla luce delle Nuove disposizioni di vigilanza prudenziale (Banca d’Italia 2 luglio 2013) e della Direttiva 2013/36/UE, in Riv. dir. banc., dirittobancario.it, 34, 2013

ISSN: 2279–9737
Rivista di Diritto Bancario

***

Sommario: 1. Premessa. – 2. Le principali innovazioni introdotte con il provvedimento del 2 luglio 2013. – 3. (segue). – 4. L’articolazione del sistema dei controlli nell’ambito delle banche e il coordinamento con la vigilanza informativa e la vigilanza regolamentare da parte della Banca d’Italia. – 5. L’attività dell’organo con funzioni di controllo: profili evolutivi. – 6. Le linee guida in tema di governance aziendale contenute nella Direttiva 2013/36/UE del 26 giugno 2013. – 7. Considerazioni conclusive.

 

1. Premessa

Controlli e governo societario sono aspetti che si integrano e concorrono insieme al buon funzionamento dell’impresa e sono fondamentali per perseguire una duratura creazione di valore, aumentare la fiducia degli investitori e assicurare la crescita economica.

La Banca d’Italia ha definito da tempo regole in materia di governo e controllo interno delle banche da essa vigilate e molti sono stati i progressi compiuti dalle banche sul fronte della governance e della capacità di fare gestione, controllo e misurazione dei rischi1. E’ certamente migliorata la distinzione dei compiti e delle responsabilità; la dialettica tra la funzione di supervisione strategica, gestione e controllo; la capacità delle funzioni di controllo interno di operare con autorevolezza e indipendenza; l’attenzione al collegamento tra i rischi.

Ai sensi dell’art. 4, comma 2, del T.U.B., la Banca d’Italia determina e rende pubblici previamente i principi e i criteri dell’attività di vigilanza, delineando in tal modo le modalità fondamentali del rapporto fra Organo di vigilanza e soggetti vigilati2.

Come noto, le aree su cui tradizionalmente la Banca d’Italia esercita la propria azione sono quelle degli assetti di amministrazione e controllo delle banche e del sistema dei controlli interni. L’attuale tessuto normativo di riferimento è contenuto nei seguenti principali provvedimenti:

  • Disposizioni di vigilanza del 10 marzo 2007 in materia di compliance;
  • Provvedimento congiunto Banca d’Italia-Consob del 29 ottobre 2007 che disciplina il sistema dei controlli interni degli intermediari finanziari che prestano servizi di investimento;
  • Comunicazione congiunta in materia di ripartizione delle competenze tra compliance e internal audit dell’8 marzo 2011;
  • Disposizioni di vigilanza del 4 marzo 2008 in materia organizzazione e governo societario;
  • Nuove Disposizioni di vigilanza prudenziale per le banche - Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 20133.

Tali provvedimenti, ma non solo, enfatizzano le responsabilità dei vertici aziendali e precisano i ruoli e i compiti che devono essere assegnati al sistema di controllo interno.

2. Le principali innovazioni introdotte con il provvedimento del 2 luglio 2013

Con l’aggiornamento del 2 luglio 2013, emesso all’esito della consultazione pubblica avviata nel settembre 2012, sono stati inseriti nel Titolo V della Circolare n. 263 del 27 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche” della Banca d’Italia il Capitolo 7 “Il sistema dei controlli interni”, il Capitolo 8 “Il sistema informativo” e il Capitolo 9 “La continuità operativa”.

Il Capitolo 7 definisce un quadro organico di principi e regole cui deve essere ispirato il sistema dei controlli interni4, senza tuttavia esaurire le disposizioni organizzative applicabili alle banche. Le disposizioni ivi contenute, infatti, rappresentano la cornice di riferimento nella quale si inquadrano le regole sui controlli dettate all’interno di specifici ambiti disciplinari (ad es., regole organizzative in materia di gestione di singoli profili di rischio, di sistemi interni di misurazione dei rischi per il calcolo dei requisiti patrimoniali, di processo ICAAP, di prevenzione del rischio di riciclaggio) (c.d. modello “hub and spokes”).

Le disposizioni introducono alcune novità di rilievo rispetto al previgente quadro normativo, al fine di dotare le banche di un sistema dei controlli interni completo, adeguato, funzionale e affidabile.

In particolare, le nuove norme enfatizzano il ruolo dell’organo con funzione di supervisione strategica nella definizione del modello di business e del Risk Appetite Framework; a tale organo è richiesto anche di favorire la diffusione di una cultura dei controlli attraverso l’approvazione di un codice etico al quale sono tenuti a uniformarsi i componenti degli organi aziendali5 e i dipendenti.

All’organo con funzione di gestione è invece richiesto di avere un’approfondita comprensione di tutti i rischi aziendali e, nell’ambito di una gestione integrata, delle loro interrelazioni reciproche e con l’evoluzione del contesto esterno (incluso il rischio macroeconomico).

Le disposizioni richiedono ai vertici delle banche di porre particolare attenzione alla definizione delle politiche e dei processi aziendali di maggiore rilievo, quali quelli riguardanti: la gestione dei rischi; la valutazione delle attività aziendali; l’approvazione di nuovi prodotti/servizi o dell’avvio di nuove attività nonché dell’inserimento in nuovi mercati; lo sviluppo e la convalida dei modelli interni di misurazione dei rischi non utilizzati a fini regolamentari.

La disciplina delle funzioni aziendali di controllo (internal audit, compliance e risk management) è stata profondamente rivisitata; in particolare è stato previsto che6:

  • la nomina e la revoca dei responsabili delle funzioni aziendali di controllo sono di competenza esclusiva dell’organo con funzione di supervisione strategica, sentito l’organo con funzione di controllo;
  • i responsabili della funzione di controllo dei rischi (c.d. Chief Risk Officer) e della funzione di conformità alle norme sono posti, almeno, alle dipendenze dell’organo con funzione di gestione, ferma restando la loro prerogativa di avere accesso diretto all’organo con funzione di supervisione strategica e all’organo con funzione di controllo. Il responsabile della funzione di revisione interna è, invece, sempre collocato a riporto gerarchico dell’organo con funzione di supervisione strategica7;
  • le tre funzioni aziendali di controllo sono indipendenti dalle aree di business e fra loro separate. Se coerente con il principio di proporzionalità, è consentito alle banche di istituire un’unica funzione di conformità alle norme e di controllo dei rischi, ferma restando l’esigenza di mantenere in ogni caso separata la funzione di revisione interna per assicurare l’imparzialità dei controlli di audit sulle altre funzioni di controllo;
  • i poteri della funzione di risk management sono stati rafforzati. La funzione, oltre a collaborare alla definizione del RAF, è chiamata, tra l’altro, a fornire pareri preventivi sulla coerenza delle operazioni di maggiore rilievo con il RAF stesso. In caso di parere negativo, la decisione sull’operazione è rimessa all’organo con funzione di gestione;
  • nell’ambito della disciplina sulla conformità alle norme – fermo restando che il presidio sul rischio di non conformità svolto dalla funzione di compliance si riferisce a tutte le disposizioni applicabili alle banche, incluse quelle di natura fiscale – il coinvolgimento della funzione è graduato in relazione sia al rilievo che le singole norme hanno per l’attività svolta e per le conseguenze della loro violazione sia all’esistenza all’interno della banca di altre forme di presidio specializzato a fronte del rischio di non conformità relativo a specifiche normative.

È stata, poi, introdotta una disciplina organica in materia di esternalizzazione; in particolare le banche sono tenute a presidiare attentamente i rischi derivanti dall’esternalizzazione, mantenendo la capacità di controllo e la responsabilità delle attività esternalizzate nonché le competenze essenziali per re-internalizzare le stesse in caso di necessità8.

Il Capitolo 8 contiene la disciplina del sistema informativo che è stata integralmente rivista, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Sono stati, tra l’altro, disciplinati: la governance e l’organizzazione del sistema informativo; la gestione del rischio informatico; i requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati9.

Da ultimo, il Capitolo 9 disciplina la materia della continuità operativa, riorganizzando le disposizioni in precedenza contenute in diverse fonti10.

Le banche devono conformarsi alle disposizioni contenute nel Capitolo 7 (Il sistema dei controlli interni) entro il 1° luglio 2014 (data di efficacia), fatto salvo quanto segue:

  • con riferimento alle funzioni aziendali di controllo di secondo livello (risk management e compliance), le banche si conformano entro il 1° luglio 2015 (data di efficacia) a quanto previsto dalla Sezione III, par. 1, lett. b), secondo alinea, secondo periodo (“linee di riporto dei responsabili di tali funzioni”);
  • con riferimento all’esternalizzazione di funzioni aziendali (Sezioni IV e V), le banche adeguano i contratti di esternalizzazione in essere alla data di entrata in vigore delle nuove disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall’entrata in vigore (1° luglio 2016).

Le banche devono conformarsi alle disposizioni contenute nel Capitolo 8 (Il sistema informativo), incluse le raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet, entro il 1° febbraio 2015 (data di efficacia). Le banche devono adeguare i contratti di esternalizzazione del sistema informativo (Sezione VI) in essere alla data di entrata in vigore delle nuove disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall’entrata in vigore (1° luglio 2016).

Le banche si devono conformare alle disposizioni contenute nel Capitolo 9 (La continuità operativa) entro il 1° luglio 2014 (data di efficacia).

Entro il 31 dicembre 2013 le banche devono inviare alla Banca d’Italia una relazione recante un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis). La relazione deve altresì indicare le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle presenti disposizioni. Entro la stessa data, le banche devono comunicare alla Banca d’Italia i contratti di esternalizzazione in essere alla data di entrata in vigore delle presenti disposizioni e la relativa durata11.

3. (segue).

Rispetto al previgente quadro normativo, i principali elementi di novità riguardano:

  • l’introduzione di specifici principi generali di organizzazione12 che, oltre agli aspetti strettamente pertinenti al sistema dei controlli, riguardano altri profili, quali le politiche di gestione delle risorse umane e la prevenzione dei conflitti di interessi (cfr. Capitolo 7, Sezione I, par. 5);
  • l’obbligo per le banche di definire processi e metodologie di valutazione, anche a fini contabili, delle attività aziendali in modo integrato con il processo di gestione del rischio (cfr. Capitolo 7, Sezione I, par 5);
  • l’obbligo, da parte dell’organo con funzione di supervisione strategica, di definire il livello di rischio tollerato (c.d. “tolleranza al rischio” o “appetito per il rischio”) (cfr. Capitolo 7, Sezione II, par. 2);
  • l’approvazione, da parte dell’organo con funzione di supervisione strategica, di un codice etico a cui sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti (cfr. Capitolo 7, Sezione II, par. 2);
  • l’adozione di un approccio integrato alla gestione dei rischi (cfr., ad es., Capitolo 7, Sezione II, par. 3);
  • l’obbligo da parte degli organi aziendali di definire il processo per l’approvazione di nuovi prodotti e servizi, l’avvio di nuove attività e l’inserimento in nuovi mercati (cfr. Capitolo 7, Sezione II, parr. 2 e 3);
  • le disposizioni relative al coordinamento delle funzioni di controllo societarie (cfr. Capitolo 7, Sezione II, par. 5);
  • le modalità di nomina e revoca dei responsabili delle funzioni di controllo (cfr. Capitolo 7, Sezione III, par. 1);
  • con riferimento alla funzione di conformità alle norme, particolare attenzione è posta sul rispetto della normativa fiscale in virtù delle significative ripercussioni in termini di rischio di reputazione e conseguenti danni patrimoniali che la violazione o l’elusione di tale normativa, ivi incluse le situazioni di abuso del diritto, comportano (cfr. Capitolo 7, Sezione III, par. 3.2);
  • il rafforzamento dei poteri della funzione di controllo dei rischi (risk management function), che tra l’altro è tenuta a fornire pareri preventivi sulla coerenza con la politica aziendale di governo dei rischi delle operazioni di maggiore rilievo (cfr. Capitolo 7, Sezione III, par. 3.3);
  • la previsione di una disciplina organica in materia di esternalizzazione di funzioni aziendali (cfr. Capitolo 7, Sezione IV), in linea con gli orientamenti definiti nelle sedi internazionali e con le disposizioni contenute nella disciplina organizzativa dei servizi di investimento; in particolare, è prevista la notifica preventiva alla Banca d’Italia e, in alcuni casi, la possibilità di vietare l’outsourcing di funzioni operative importanti o di controllo;
  • l’obbligo dell’organo con funzioni di supervisione strategica di definire procedure di allerta interna (internal alert) volte a permettere la segnalazione da parte dei dipendenti di eventuali disfunzioni dell’assetto organizzativo o del sistema dei controlli interni nonché di ogni altra irregolarità nella gestione della banca o violazione delle norme disciplinanti l’attività bancaria (cfr. Capitolo 7, Sezione II, par. 2 e Sezione VII);
  • la disciplina organica e aggiornata in materia di sistema informativo, con particolare riferimento: alla governance e all’organizzazione dell’ICT; alla gestione del rischio informatico e alla sicurezza informatica; al sistema di gestione dei dati e all’esternalizzazione di sistemi e servizi ICT (cfr. Capitolo 8);
  • tra i requisiti in tema di continuità operativa (cfr. Capitolo 9), è prevista la condivisione di informazioni tra il sistema di incident management e la struttura preposta alla dichiarazione dello stato di emergenza, in caso di eventi di elevata gravità.

4. Larticolazione del sistema dei controlli nellambito delle banche e il coordinamento con la vigilanza informativa e la vigilanza regolamentare da parte della Banca dItalia

Come noto, il T.U.B. prevede tre forme di vigilanza sulle banche e sui gruppi bancari: informativa, regolamentare e ispettiva.

I poteri in materia di vigilanza informativa sono disciplinati dall’art. 51, in base al quale le banche sono tenute a inviare alla Banca d’Italia, con le modalità e nei termini da essa stabiliti, le segnalazioni statistiche, ogni altro dato o documento richiesto e i bilanci annuali; dall’art. 52 secondo cui il collegio sindacale e i soggetti incaricati della revisione legale dei conti devono informare l’Organo di vigilanza di tutti gli atti e i fatti di cui sono venuti a conoscenza nell’esercizio dei propri compiti, che possono costituire un’irregolarità o una violazione delle norme disciplinanti l’attività bancaria; dall’art. 66 concernente la raccolta e l’invio di informazioni alla Banca d’Italia da parte dei soggetti inclusi nell’ambito della vigilanza consolidata.

L’esigenza di individuare per tempo segnali di deterioramento dei profili tecnici e organizzativi porta a conferire sempre maggiore rilievo anche alle informazioni di tipo qualitativo, quali, a titolo esemplificativo, la situazione dell’ambiente locale, gli assetti proprietari, le linee strategiche aziendali, le capacità e l’affidabilità del management, gli assetti organizzativi e la struttura dei controlli interni. Tali elementi informativi possono essere acquisiti tramite accertamenti ispettivi di vigilanza o indagini di altro tipo (ad esempio, quelle sulla trasparenza bancaria), la documentazione prodotta dagli intermediari a corredo di richieste di autorizzazione, le audizioni con gli esponenti aziendali o con i responsabili di specifici settori organizzativi, i verbali assembleari, le comunicazioni inviate dal soggetto incaricato del controllo contabile e dal collegio sindacale su rilevate irregolarità gestionali o violazioni delle norme disciplinanti l’attività bancaria, i bilanci d’esercizio13.

L’art. 53 attribuisce alla Banca d’Italia il potere di emanare, in conformità delle deliberazioni del CICR, disposizioni di carattere generale aventi per oggetto l’adeguatezza patrimoniale, il contenimento del rischio nelle sue diverse configurazioni, partecipazioni detenibili, l’organizzazione amministrativa e contabile e i controlli interni. Le suddette disposizioni trovano attuazione nelle specifiche regole contenute nelle istruzioni emanate dalla Banca d’Italia.

In base all’art. 53, comma 3, lett. a) e b), la Banca d’Italia ha il potere di convocare gli esponenti aziendali e di ordinare la convocazione degli organi collegiali, provvedendovi direttamente in caso di inottemperanza14.

Se questo può essere considerato, in sintesi, il quadro di riferimento dei controlli esterni “di settore”, l’adozione di un sistema di controlli interni adeguato e funzionale, oltre che affidabile e coerente con la complessità e le dimensioni dell’attività svolta, assume particolare rilevanza per il mantenimento nel tempo di condizioni di sana e prudente gestione della singola azienda di credito e del sistema del credito nel suo complesso.

Secondo le attuali disposizioni di vigilanza il sistema dei controlli interni è costituito dall’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare, nel rispetto della sana e prudente gestione, il conseguimento delle seguenti finalità:

Tabella 1 – Finalità del sistema di controllo interno nelle banche
verifica dellattuazione delle strategie e delle politiche aziendali;
contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework - “RAF”);
salvaguardia del valore delle attività e protezione dalle perdite;
efficacia ed efficienza dei processi aziendali;
affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche;
prevenzione del rischio che la banca sia coinvolta, anche involontariamente, in attività illecite (con particolare riferimento a quelle connesse con il riciclaggio, lusura ed il finanziamento al terrorismo);
conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le politiche, i regolamenti e le procedure interne.

Il sistema dei controlli interni riveste un ruolo centrale nell’organizzazione aziendale della banca: rappresenta un elemento fondamentale di conoscenza per gli organi aziendali in modo da garantire piena consapevolezza della situazione ed efficace presidio dei rischi aziendali e delle loro interrelazioni; orienta i mutamenti delle linee strategiche e delle politiche aziendali e consente di adattare in modo coerente il contesto organizzativo; presidia la funzionalità dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale; deve favorire la diffusione di una corretta cultura dei rischi, della legalità e dei valori aziendali.

La realizzazione delle finalità assegnate al sistema di controllo interno richiede che il sistema di controllo interno articolato nelle banche sui tre livelli (controlli di linea; controlli sulla gestione dei rischi e sulla conformità, effettuati da funzioni indipendenti da quelle produttive e rivolti alla definizione di metodologie di misurazione dei rischi e al controllo dell’operatività delle singole aree d’affari con i profili di rischio/rendimento stabiliti dall’azienda; revisione interna, affidata a una struttura separata e indipendente da quelle produttive, con il compito di valutare l’efficacia e l’efficienza complessiva dell’assetto dei controlli interni) presidi in maniera coordinata e sistematica l’insieme dei rischi specifici15 che caratterizzano l’operatività bancaria di raccolta fondi e di impiego alla clientela nell’ambito di una adeguata organizzazione aziendale16.

Le disposizioni in materia di organizzazione e governo societario, emanate dalla Banca d’Italia nel marzo 2008, miravano ad assicurare condizioni di sana e prudente gestione e la stabilità complessiva del sistema finanziario, obiettivi fondamentali della regolamentazione e dei controlli di vigilanza17; in particolare, gli obiettivi perseguiti riguardavano la chiara distinzione dei ruoli e delle connesse responsabilità; l’appropriata ripartizione dei poteri di amministrazione e controllo; l’equilibrata composizione degli organi; l’efficacia e l’efficienza del sistema dei controlli; il presidio di ogni tipologia di rischio, l’adeguatezza dei flussi informativi.

Come noto, le norme rimettono in generale all’autonomia degli intermediari il compito di individuare gli assetti di governo più rispondenti alle caratteristiche operative e alle strategie aziendali. Le scelte devono essere attentamente valutate e motivate dagli intermediari, anche in relazione ai costi connessi con l’adozione e il funzionamento del sistema prescelto. Tali scelte devono essere poi illustrate alla Banca d’Italia nell’ambito di un progetto di governo societario, approvato dall’organo con funzione di supervisione strategica, con il parere favorevole dell’organo di controllo.

Le disposizioni di vigilanza fanno riferimento alle funzioni di supervisione strategica, di gestione e di controllo che devono essere ripartite tra gli organi o all’interno di essi, in modo che siano precisati i rispettivi compiti e sia favorita la dialettica aziendale. Quando le funzioni di supervisione strategica e di gestione sono incardinate in un solo organo va assicurato un equilibrato bilanciamento dei poteri tra i componenti non esecutivi e quelli esecutivi. La presenza di elementi indipendenti all’interno dell’organo con funzioni di supervisione strategica, che vigilano con autonomia di giudizio sulla gestione bancaria, e l’articolazione di questo in comitati agevolano l’assunzione di decisioni sulle materie in cui è più forte il rischio di conflitto di interessi.

L’organo di controllo, sia esso rappresentato dal collegio sindacale (modello tradizionale) o dal consiglio di sorveglianza (modello dualistico) o dal comitato di controllo sulla gestione (modello monistico), è chiamato a:

1) vigilare sull’osservanza delle norme di legge, regolamentari e statutarie, sulla corretta amministrazione, sull’adeguatezza degli assetti organizzativi e contabili, sulla funzionalità del complessivo sistema dei controlli interni, attraverso un’efficace e incisiva interazione con tutte le strutture e le funzioni in cui si articola il sistema dei controlli (internalaudit, risk management, compliance);

2) verificare l’adeguatezza e la rispondenza del processo di determinazione del capitale interno (ICAAP) ai requisiti stabiliti dalla normativa. Nell’eventualità che siano riscontrate irregolarità gestionali, carenze organizzative e violazioni normative, l’organo di controllo deve informare la Banca d’Italia e richiedere l’adozione di idonee misure correttive verificandone nel tempo l’efficacia.

I sistemi di retribuzione e incentivazione costituiscono una leva fondamentale nell’ambito di qualsiasi organizzazione per attrarre, trattenere e motivare le persone in possesso di competenze idonee a mantenere e migliorare la posizione competitiva dell’impresa sul mercato, allineare gli interessi dei manager a quelli degli stakeholders (azionisti, investitori, ecc.), stimolare la ricerca dell’efficienza e del profitto. Se non adeguatamente strutturati, i meccanismi retributivi e premianti possono tuttavia comportare una assunzione di rischi eccessiva e imprudente, con conseguenti riflessi negativi sugli equilibri tecnici aziendali18.

Per la definizione di un sistema di controllo interno efficace ed efficiente è richiesto il coinvolgimento degli organi amministrativi e di direzione delle banche. In particolare, il Consiglio di amministrazione è responsabile delle decisioni strategiche aziendali, delinea le politiche di gestione del rischio, definisce la struttura organizzativa, formalizza compiti e responsabilità delle unità operative, assicura l’indipendenza tra le funzioni operative e di controllo, attribuisce le deleghe di poteri, verifica periodicamente la funzionalità del sistema di controllo interno. L’Alta Direzione definisce procedure di controllo idonee a garantire un’efficace gestione dell’operatività e dei rischi aziendali, verifica nel continuo la funzionalità del sistema di controllo interno, individua e valuta i fattori da cui possono derivare rischi, stabilisce i compiti delle unità preposte ai controlli assicurando che il personale abbia conoscenze adeguate ai compiti assegnati, definisce le procedure informative necessarie a consentire all’organo amministrativo piena conoscenza dei fatti aziendali.

L’attività di revisione interna deve essere svolta da una funzione indipendente, composta da elementi qualitativamente e quantitativamente adeguati ai compiti da espletare. Essa consiste in un complesso di adempimenti volti a controllare la regolarità dell’operatività e l’andamento dei rischi, a valutare la funzionalità del sistema dei controlli interni, a portare a conoscenza dei vertici aziendali i possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione e alle procedure.

5. Lattività dellorgano con funzione di controllo: profili evolutivi

L’assetto dei controlli sulle banche e i gruppi bancari era già stato profondamente rinnovato nel corso del 2008 in seguito all’entrata in vigore della nuova disciplina prudenziale, che ha recepito le modifiche intervenute nella regolamentazione internazionale (Basilea 2) e che ha privilegiato un approccio di tipo consolidato, volto a cogliere rischi e presidi complessivi degli intermediari, indipendentemente dall’articolazione organizzativa e societaria prescelta; è inoltre focalizzato sui rischi (risk-based) ed è graduato in funzione delle dimensioni, della rilevanza sistemica e della problematicità dei soggetti vigilati.

L’organo con funzione di controllo è l’organo apicale dell’intero sistema dei controlli implementato all’interno dell’azienda di credito: per lo svolgimento delle proprie articolate attribuzioni, l’organo con funzione di controllo è destinatario dei flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo (ossia, in generale, l’insieme delle funzioni che per disposizioni legislativa, regolamentare o statutaria o di autoregolamentazione hanno compiti di controllo).

L’aggiornamento delle disposizioni di vigilanza prudenziale del 2 luglio 2013 è focalizzato, principalmente, sulle diverse tipologie di controlli interni delle banche e dei gruppi bancari e sulle funzioni aziendali di controllo e non contiene significative novità relativamente ai rapporti tra l’organo di funzione di controllo ed il soggetto incaricato della revisione legale dei conti che, nell’ambito degli enti di interesse pubblico, è rappresentato dalla società di revisione legale dei conti ex D.Lgs. 39/2010 (che non costituisce un organo sociale e che non costituisce una delle funzioni aziendali chiamate a svolgere attività di controllo interno). Rientra, invece, nei compiti del soggetto incaricato della revisione legale dei conti la comprensione del sistema dei controlli interni effettivamente implementato all’interno della singola realtà aziendale dal momento che i rischi che detto sistema mira a monitorare e contenere possono rappresentare rischi di significativi errori nel bilancio di esercizio e in quello consolidato di gruppo.

Con riferimento alla necessità di pervenire ad una revisione organica delle attuali disposizioni in materia di sistema dei controlli interni delle banche e dei gruppi bancari19, si è segnalata l’opportunità di definire il ruolo dell’organo con funzione di controllo (collegio sindacale o consiglio di sorveglianza o comitato per il controllo sulla gestione) chiamato a vigilare sulla completezza, funzionalità e adeguatezza del sistema dei controlli interni secondo quanto previsto dalle Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche del 4 marzo 2008 nonché secondo le relative linee applicative dell’11 gennaio 2012.

Ciò soprattutto in relazione all’esistenza di un coordinamento con le funzioni assegnate al “Comitato per il controllo interno e per la revisione contabile” introdotto dall’art. 19 del D.Lgs. 39/201220 che, secondo il richiamato Decreto Legislativo si identifica con il collegio sindacale o con il consiglio di sorveglianza o con il comitato per il controllo sulla gestione (nei diversi modelli di amministrazione e controllo adottati). Le funzioni assegnate a tale Comitato, previsto per tutti gli enti di interesse pubblico (tra cui le banche), ed il necessario coordinamento delle funzioni assegnate allo stesso con quelle di competenza del collegio sindacale (o degli altri organi di controllo nei modelli di amministrazione e controllo alternativi a quello c.d. “tradizionale”) e a quelle spettanti al Comitato controllo e rischi (costituito in sede al Consiglio di Amministrazione) non appaiono sufficientemente analizzate nella nuova edizione del Codice di Autodisciplina delle Società Quotate (dicembre 2011) né nelle nuove disposizioni di vigilanza approvate a luglio 2013. Ai fini di svolgere qualche considerazione in merito, appare pertanto opportuno tenere conto delle previsioni di cui all’art. 19 del D.Lgs. 39/2010 anche alla luce di una futura revisione complessiva del sistema dei controlli nell’ambito delle società di capitali.

L’art. 19 del D.Lgs. 39/201021 ha previsto l’istituzione negli enti di interesse pubblico22 di un ‘comitato per il controllo interno e la revisione contabile’ che deve vigilare su:

  1. il processo di informativa finanziaria;
  2. l’efficacia dei sistemi di controllo interno, di revisione interna, se applicabile, e di gestione del rischio;
  3. la revisione legale dei conti annuali e dei conti consolidati;
  4. l’indipendenza del revisore legale o della società di revisione legale, in particolare per quanto concerne la prestazione di servizi non di revisione all’ente sottoposto alla revisione legale dei conti.

Il comma 2 dell’art. 19 del Decreto prevede poi che il comitato per il controllo interno e la revisione contabile si identifichi con:

  1. il collegio sindacale;
  2. il consiglio di sorveglianza negli enti che adottano il sistema di amministrazione e controllo dualistico, a condizione che ad esso non siano attribuite le funzioni di cui all’articolo 2409-terdecies, primo comma, lettera f-bis), del codice civile, ovvero un comitato costituito al suo interno23. Almeno uno dei componenti del medesimo comitato deve essere scelto tra gli iscritti nel Registro dei revisori legali;
  3. il comitato per il controllo sulla gestione negli enti che adottano il sistema di amministrazione e controllo monistico.

Il revisore legale o la società di revisione legale deve presentare al comitato per il controllo interno una relazione sulle questioni fondamentali emerse in sede di revisione legale e, in particolare, sulle carenze significative rilevate nel sistema di controllo interno in relazione al processo di informativa finanziaria (comma 3 dell’art. 19 del Decreto).

L’art. 19 del D.Lgs. 39/2010 dà attuazione all’art. 41 della Direttiva 2006/43/CE. In tale Direttiva veniva sottolineato come i comitati per il controllo interno e per la revisione contabile ed un sistema efficace di controllo interno contribuiscono a minimizzare i rischi finanziari, operativi e di inosservanza delle disposizioni ed accrescono la qualità dell’informativa finanziaria; per la loro istituzione e funzionamento veniva richiamato il contenuto della Raccomandazione della Commissione dell’Unione Europea del 15 febbraio 2005, sul ruolo degli amministratori senza incarichi esecutivi24 o dei membri del consiglio di sorveglianza delle società quotate e sui comitati del consiglio d’amministrazione o di sorveglianza.

La Direttiva europea consentiva agli Stati membri che le funzioni assegnate al comitato per il controllo interno e per la revisione contabile, o ad un organismo che svolge funzioni equivalenti, fossero svolte dall’organo di amministrazione o di controllo nel suo insieme25.

Sulla base di quanto sopra richiamato e dei contenuti del D.Lgs. 39/2010, avuto riguardo alle funzioni del comitato per il controllo interno e la revisione, è possibile effettuare il seguente confronto:

La Direttiva prevede che il comitato per il controllo interno e per la revisione contabile è incaricato tra laltro di: Il D.Lgs. 39/201 prevede che il comitato per il controllo interno e la revisione contabile vigila su:
monitorare il processo di informativa finanziaria; il processo di informativa finanziaria;
controllare l’efficacia dei sistemi di controllo interno, di revisione interna, se applicabile, e di gestione del rischio; l’efficacia dei sistemi di controllo interno, di revisione interna, se applicabile, e di gestione del rischio;
monitorare la revisione legale dei conti annuali e dei conti consolidati; la revisione legale dei conti annuali e dei conti consolidati;
verificare e monitorare l’indipendenza del revisore legale o dell’impresa di revisione contabile, in particolare per quanto concerne la prestazione di servizi aggiuntivi all’ente sottoposto alla revisione contabile. l’indipendenza del revisore legale o della società di revisione legale, in particolare per quanto concerne la prestazione di servizi non di revisione all’ente sottoposto alla revisione legale dei conti.

Si rileva che il dettato della normativa nazionale relativo all’istituzione del comitato riproduce integralmente le attribuzioni previste a livello comunitario; tuttavia la Direttiva, prima di individuare gli elementi caratteristici di tale organo (monitorare, controllare, verificare), consente di fatto un ampliamento delle attribuzioni prevedendo “tra laltro” lo svolgimento di altre funzioni. Il dettato del D.Lgs. 39/2010 pare restringere alle sole funzioni specificamente individuate le attività che il comitato deve svolgere; tuttavia, si ritiene possibile – allo stato - integrare le previsioni di legge con ulteriori attribuzioni ritenute coerenti con le finalità dell’istituzione di detto organo in sede di istituzione o, successivamente, qualora – volta per volta - ritenuto necessario.

La Raccomandazione della Commissione dell’Unione Europea sollecita quindi di promuovere il ruolo degli amministratori senza incarichi esecutivi o dei membri del consiglio di sorveglianza in tali settori e di incoraggiare la creazione, all’interno del consiglio d’amministrazione o di sorveglianza, di comitati (“committees”)26:

  • per le nomine;
  • per le retribuzioni;
  • per la revisione dei conti.

La Raccomandazione evidenzia altresì che, in linea di principio, salvo i poteri dell’assemblea, solo il consiglio d’amministrazione o di sorveglianza nel suo complesso ha il potere giuridicamente riconosciuto di adottare decisioni e, in quanto organo collegiale, è responsabile collettivamente per l’adempimento dei propri doveri. Il consiglio d’amministrazione o di sorveglianza ha il potere di stabilire il numero e la struttura dei comitati che esso reputa utili per facilitare il proprio lavoro, ma tali comitati non devono sostituirsi al consiglio d’amministrazione o al consiglio di sorveglianza. Di regola, quindi, i comitati per le nomine, le retribuzioni e la revisione dei conti dovrebbero presentare raccomandazioni volte a preparare le decisioni che saranno adottate dal consiglio d’amministrazione o dal consiglio di sorveglianza. Non dovrebbe tuttavia essere impedito al consiglio d’amministrazione o di sorveglianza di delegare parte dei propri poteri decisionali a comitati quando ritenuto utile e quando ciò sia consentito dalla legge, anche se il consiglio d’amministrazione o di sorveglianza rimangono interamente responsabili di tutte le decisioni adottate nel proprio ambito di competenza.

Tra le responsabilità del consiglio d’amministrazione o di sorveglianza la Raccomandazione individua la responsabilità di i) garantire che l’informativa finanziaria e le altre informazioni pertinenti forniscano un’immagine precisa e completa della situazione della società e ii) di verificare le procedure stabilite per la valutazione e la gestione dei rischi.

La Raccomandazione prevede o l’istituzione27 di un comitato per la revisione contabile, creato all’interno del consiglio d’amministrazione o di sorveglianza, che supporti l’organo amministrativo in materia di controllo contabile o che tale attività sia svolta da altri organi, esterni al consiglio d’amministrazione o di sorveglianza28.

Sulla base di tali considerazioni, la Commissione raccomandava quindi di adottare le misure necessarie per introdurre a livello nazionale – attraverso gli strumenti ritenuti più opportuni – una serie di disposizioni relative al ruolo degli amministratori senza incarichi esecutivi o dei membri del consiglio di sorveglianza e dei comitati costituiti in seno al consiglio di amministrazione o a quello di sorveglianza29.

Per quanto attiene, in generale, l’organizzazione dei comitati costituiti dal consiglio d’amministrazione o di sorveglianza, viene sottolineato che devono essere articolati in maniera tale che un numero sufficiente di amministratori senza incarichi esecutivi o di membri del consiglio di sorveglianza indipendenti possa svolgere un ruolo efficace nei settori chiave in cui la possibilità che si verifichino conflitti di interessi risulta essere particolarmente elevata.

Lo scopo principale dei comitati dovrebbe essere quello di aumentare l’efficienza del lavoro del consiglio d’amministrazione o di sorveglianza, garantendo che le decisioni che esso adotta siano sufficientemente approfondite nonché quello di contribuire all’organizzazione del proprio lavoro, per assicurare che le decisioni siano scevre di conflitti di interessi rilevanti attraverso la predisposizione di raccomandazioni volte a preparare le decisioni che saranno adottate dal consiglio d’amministrazione o di sorveglianza stesso.

In linea di principio, i comitati non sono istituti con lo scopo di esautorare il consiglio d’amministrazione o di sorveglianza per le questioni ad essi demandate in quanto l’organo amministrativo continua ad essere interamente responsabile delle decisioni adottate nelle aree di competenza.

Si riporta di seguito quanto previsto dall’allegato I della Raccomandazione, relativamente alla istituzione, del Comitato per la revisione dei conti:

Composizione

Il comitato per la revisione dei conti dovrebbe essere composto esclusivamente da amministratori senza incarichi esecutivi o da membri del consiglio di sorveglianza. Almeno la maggioranza dei suoi membri dovrebbe essere indipendente.

Ruolo

Per quanto riguarda le politiche e procedure interne adottate dalla società, il comitato per la revisione dei conti dovrebbe assistere il consiglio d’amministrazione o di sorveglianza come minimo nei seguenti compiti:

  • verificare l’integrità delle informazioni finanziarie fornite dalla società, in particolare esaminando la rilevanza e coerenza dei metodi contabili utilizzati dalla società e dal suo gruppo, ivi compresi i criteri per il consolidamento dei conti delle società del gruppo,
  • riesaminare almeno annualmente i sistemi di controllo interno e di gestione dei rischi, al fine di garantire che i rischi principali, ivi compresi quelli connessi al rispetto della legislazione e dei regolamenti esistenti, siano correttamente individuati, gestiti e resi noti,
  • assicurare l’efficacia della funzione di revisione interna dei conti, in particolare adottando raccomandazioni sulla selezione, nomina, rinnovo del mandato e destituzione del capo del servizio di revisione interna dei conti e sul bilancio del servizio, nonché vigilando sulla corretta risposta dei dirigenti agli accertamenti e raccomandazioni del comitato. Quando la società non dispone di una funzione di revisione interna dei conti, si dovrebbe riesaminare annualmente la necessità di istituirne una.

Per quanto riguarda il revisore contabile esterno incaricato dalla società, il comitato per la revisione dei conti dovrebbe come minimo:

  • sottoporre al consiglio d’amministrazione o di sorveglianza raccomandazioni in relazione alla selezione, nomina, rinnovo del mandato e destituzione del revisore dei conti esterno da parte dell’organismo competente a norma del diritto societario nazionale,
  • controllare l’indipendenza e obiettività del revisore dei conti esterno, in particolare esaminando il rispetto da parte della società di revisione contabile degli orientamenti esistenti relativi alla rotazione dei soci revisori e al livello del corrispettivo versato dalla società, nonché di altre disposizioni regolamentari,
  • continuare a vigilare sulla natura e sulla portata dei servizi diversi dal controllo contabile prestati dal revisore, in particolare attraverso la pubblicizzazione, da parte del revisore esterno, dei corrispettivi versati dalla società e dal suo gruppo alla società e alla rete di revisione contabile, allo scopo di prevenire il sorgere di conflitti di interessi rilevanti. Il comitato dovrebbe stabilire e applicare una politica ufficiale che specifichi, conformemente ai principi e agli orientamenti forniti nella raccomandazione 2002/590/CE della Commissione, i tipi di servizi diversi dal controllo contabile a) esclusi, b) consentiti dopo un esame del comitato e c) consentiti senza la consultazione del comitato,
  • verificare l’efficacia del processo di revisione contabile esterno e la corretta risposta dei dirigenti alle raccomandazioni che il revisore dei conti esterno invia loro,
  • indagare sulle questioni che hanno portato alle dimissioni del revisore dei conti esterno e adottare raccomandazioni sulle eventuali azioni necessarie.

Funzionamento

La società dovrebbe predisporre per i nuovi membri del comitato per la revisione dei conti un programma di formazione per l’ingresso nel comitato, nonché ulteriori azioni di formazione successive su base regolare. A tutti i membri del comitato dovrebbero essere fornite, in particolare, informazioni dettagliate sulle specifiche caratteristiche contabili, finanziarie e operative della società.

I dirigenti dovrebbero informare il comitato per la revisione dei conti sui metodi utilizzati per contabilizzare transazioni importanti e insolite, quando sono possibili trattamenti contabili diversi. Al riguardo, una particolare attenzione dovrà essere prestata all’esistenza e alla giustificazione delle attività svolte dalla società nei centri offshore e/o attraverso strutture speciali (special purpose vehicles).

Il comitato per la revisione dei conti deciderà se e quando l’amministratore delegato o il presidente del comitato esecutivo, il direttore finanziario o i dirigenti responsabili delle finanze, della contabilità e della tesoreria, il revisore dei conti interno e il revisore dei conti esterno dovrebbero partecipare alle sue riunioni. Se lo desidera, il comitato dovrebbe inoltre poter incontrare tutte le persone competenti senza la presenza di amministratori con incarichi esecutivi o con poteri di gestione.

I revisori dei conti interni ed esterni, oltre a intrattenere un rapporto di lavoro efficace con i dirigenti, dovrebbero poter avere libero accesso al consiglio d’amministrazione o di sorveglianza. A tal fine, il comitato per la revisione dei conti fungerà da principale punto di contatto per i revisori dei conti interni ed esterni.

Il comitato per la revisione dei conti dovrebbe essere informato del programma di lavoro del revisore dei conti interno e dovrebbe ricevere le relazioni sulla revisione interna o una sintesi periodica.

Il comitato per la revisione dei conti dovrebbe essere informato del programma di lavoro del revisore dei conti esterno e dovrebbe ricevere dal revisore dei conti esterno una relazione sui rapporti tra il revisore dei conti indipendente e la società e il gruppo cui essa appartiene. Il comitato dovrebbe ottenere informazioni tempestive su tutte le questioni emerse dalla revisione.

Il comitato per la revisione dei conti dovrebbe essere libero di ottenere consulenza e assistenza esterne, nella misura che esso giudica necessaria per adempiere ai propri doveri, da esperti di questioni giuridiche, contabili e altro. A tal fine, esso dovrebbe ricevere dalla società adeguate risorse finanziarie.

Il comitato per la revisione dei conti dovrebbe esaminare la procedura in base alla quale la società rispetta le disposizioni in vigore relative alla possibilità per i dipendenti di segnalare presunte irregolarità gravi che si verifichino nella società, presentando una denuncia o attraverso segnalazione anonime a un amministratore indipendente. Esso dovrebbe inoltre assicurarsi che esistano strumenti per lo svolgimento di indagini indipendenti e proporzionate su tali questioni e che sia previsto un seguito adeguato.

Il comitato per la revisione dei conti dovrebbe presentare relazioni al consiglio d’amministrazione o di sorveglianza almeno ogni sei mesi, quando vengono approvate le informative finanziarie annuali e semestrali.

Come in precedenza accennato, al fine della revisione organica delle disposizioni in materia di sistema dei controlli interni nelle banche e nei gruppi bancari secondo le linee del Documento per la consultazione dellAutorità di Vigilanza del settembre 2012, si ritiene sarebbe stato opportuno che particolare attenzione fosse stata assegnata all’analisi delle problematiche di coordinamento tra le attribuzioni spettanti al collegio sindacale (o all’omologo organo di vigilanza nei modelli alternativi di amministrazione e controllo) e le attribuzioni del comitato per il controllo interno e la revisione contabile ex art. 19 del D.Lgs. 39/2010 (che, come detto – nei modelli di amministrazione e controllo “tradizionali” – si identifica nel collegio sindacale) all’interno del complessivo sistema dei controlli interni aziendali30.

La funzione di impulso e direttiva, da un lato, e quella di controllo sulla gestione, dall’altro, fa sì che l’organo amministrativo, con l’assistenza del comitato controllo e rischi (o audit committee secondo la locuzione anglosassone):

  1. definisca le linee di indirizzo del sistema di controllo interno31, in modo che i principali rischi afferenti all’emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre criteri di compatibilità di tali rischi con una sana e corretta gestione dell’impresa;
  2. individui un amministratore esecutivo (di norma, uno degli amministratori delegati) incaricato di sovrintendere alla funzionalità del sistema di controllo interno;
  3. valuti, con cadenza almeno annuale, l’adeguatezza, l’efficacia e l’effettivo funzionamento del sistema di controllo interno;
  4. descriva, nella relazione sul governo societario32, gli elementi essenziali del sistema di controllo interno, esprimendo la propria valutazione sull’adeguatezza complessiva dello stesso33.

Si segnala che, prima della previsione dell’istituzione del comitato per il controllo interno e la revisione contabile ex art. 19 del D.Lgs. 39/2010, il Codice di Autodisciplina delle società quotate evidenziava la necessità di un coordinamento tra il comitato per il controllo interno (costituito in seno al Consiglio di amministrazione), ora comitato controllo e rischi34, e il collegio sindacale e che alcune delle attribuzioni del comitato per il controllo interno potessero essere delegate al collegio sindacale (tale possibilità non è ora più prevista nell’attuale Codice di Autodisciplina).

Si rammenta che, ai sensi del § 7.C.1. del Codice di Autodisciplina delle società quotate, il consiglio di amministrazione, previo parere del comitato controllo e rischi:

  1. definisce le linee di indirizzo del sistema di controllo interno e di gestione dei rischi, in modo che i principali rischi afferenti allemittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una gestione dellimpresa coerente con gli obiettivi strategici individuati;
  2. valuta, con cadenza almeno annuale, ladeguatezza del sistema di controllo interno e di gestione dei rischi rispetto alle caratteristiche dellimpresa e al profilo di rischio assunto, nonché la sua efficacia;
  3. approva, con cadenza almeno annuale, il piano di lavoro predisposto dal responsabile della funzione di internal audit, sentiti il collegio sindacale e lamministratore incaricato del sistema di controllo interno e di gestione dei rischi;
  4. descrive, nella relazione sul governo societario, le principali caratteristiche del sistema di controllo interno e di gestione dei rischi, esprimendo la propria valutazione sulladeguatezza dello stesso;
  5. valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale.

Il consiglio di amministrazione, su proposta dellamministratore incaricato del sistema di controllo interno e di gestione dei rischi e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio sindacale:

  • nomina e revoca il responsabile della funzione di internal audit;
  • assicura che lo stesso sia dotato delle risorse adeguate allespletamento delle proprie responsabilità;
  • ne definisce la remunerazione coerentemente con le politiche aziendali.

Ai sensi del § 7.C.2, il comitato controllo e rischi, nellassistere il consiglio di amministrazione:

  1. valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato;
  2. esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali;
  3. esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione internal audit;
  4. monitora lautonomia, ladeguatezza, lefficacia e lefficienza della funzione di internal audit;
  5. può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al presidente del collegio sindacale;
  6. riferisce al consiglio, almeno semestralmente, in occasione dellapprovazione della relazione finanziaria annuale e semestrale, sullattività svolta nonché sulladeguatezza del sistema di controllo interno e di gestione dei rischi.

In considerazione di quanto sopra evidenziato è possibile effettuare un significativo confronto tra le funzioni assegnate ex lege al comitato per il controllo interno e la revisione contabile secondo quanto previsto dall’art. 19 del D.lgs. 39/2010 con quelle attribuite al collegio sindacale dal Codice di Autodisciplina:

Attribuzioni ex Codice di Autodisciplina al collegio sindacale – Il collegio sindacale: Attribuzioni del comitato ex art. 19 D.Lgs. 39/2010 – Il comitato:
  vigila sul processo di informativa finanziaria;
vigila sull’efficacia del sistema di controllo interno e di gestione dei rischi. vigila sull’efficacia dei sistemi di controllo interno, di revisione interna, se applicabile, e di gestione del rischio;
  vigila sulla revisione legale dei conti annuali e dei conti consolidati;
  vigila sull’indipendenza del revisore legale o della società di revisione legale, in particolare per quanto concerne la prestazione di servizi non di revisione all’ente sottoposto alla revisione legale dei conti.

Il Codice di Autodisciplina sottolinea che “Nellesercizio dei predetti compiti, come pure nellesame delle relazioni finanziarie periodiche, il consiglio di amministrazione necessita di unadeguata attività istruttoria. Questattività viene tipicamente svolta da un comitato di amministratori, indicato nel Codice come “comitato controllo e rischi”. Tale denominazione intende sottolineare, di nuovo, la centralità dei rischi e differenziare questorganismo dal “comitato per il controllo interno e la revisione contabile”, imposto dalla recente normativa in tema di revisione contabile, le cui incombenze rimangono ben distinte rispetto alle esigenze istruttorie dellorgano amministrativo”35.

In tema è stata rappresentata l’eventualità di porre ancora maggiore attenzione sull’importanza per la società di revisione di disporre di opportune modalità di raccordo con gli organi aziendali e con le funzioni aziendali di controllo36. In particolare, al riguardo, si potrebbe per esempio prevedere che le singole banche definiscano tali modalità di raccordo e gli opportuni flussi informativi anche con il soggetto incaricato della revisione legale dei conti, sempre avendo come punto di riferimento il principio di proporzionalità.

Tali aspetti potrebbero trovare spazio nel documento che dovrebbe essere approvato dall’organo con funzione di supervisione strategica e nel quale, allo stato, dovrebbero essere "definiti i compiti e le responsabilità dei vari organi e funzioni (aziendali e societarie) di controllo, i flussi informativi tra le diverse funzioni/organi e tra queste/i e gli organi aziendali e, nel caso in cui gli ambiti di controllo presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalità di coordinamento e di collaborazione" (cfr. par. 5, pag. 14, penultimo capoverso).

Nella predisposizione di tale documento, per la parte relativa al flusso informativo nei confronti del soggetto incaricato della revisione, occorrerebbe fare riferimento ai principi di revisione applicabili, in particolare l’ISA 260 (Comunicazione con i responsabili delle attività di governance) e l’ISA 265 (Comunicazione delle carenze nel controllo interno ai responsabili delle attività di governance ed alla direzione), che trattano specificamente la materia in oggetto. In particolare, tra le informazioni oggetto del suddetto flusso informativo, potrebbe essere opportuno prevedere la specifica comunicazione circa la valutazione del rischio effettuata da parte dell’organo di gestione in ordine al fatto che l’attendibilità del bilancio possa essere significativamente compromessa.

6. Le linee guida in tema di governance aziendale contenute nella Direttiva 2013/36/UE del 26 giugno 2013

Si ritiene utile offrire qualche prima considerazione in tema di linee guida per quanto attiene alla governance aziendale contenute nella Direttiva 2013/36/UE del 26 giugno 201337.

La Direttiva deve essere recepita dagli Stati membri entro il 31 dicembre 2013.

In tema di governance aziendale gli assunti di base della Direttiva sono contenuti nei "Considerando" nn. 51-60 della Direttiva ove particolare enfasi viene data alle problematiche relative alle politiche di remunerazione.

La Direttiva richiede agli Stati membri di introdurre norme volte a rafforzare la capacità di “sorveglianza efficace” da parte dei consigli di amministrazione e a consentire alle autorità di vigilanza di monitorarne l’effettività. L’articolo 88 della nuova Direttiva prevede, in particolare, quanto segue:

"1. Gli Stati membri assicurano che lorgano di gestione definisca dispositivi di governance che assicurino unefficace e prudente gestione dellente, comprese la separazione delle funzioni nellorganizzazione e la prevenzione dei conflitti di interesse, ne sorvegli lattuazione e ne risponda.

Tali dispositivi rispettano i seguenti principi:

a) lorgano di gestione deve avere la responsabilità generale dellente e approvare e sorvegliare lattuazione degli obiettivi strategici, della strategia in materia di rischi e della governance interna dellente;

b) lorgano di gestione deve garantire lintegrità dei sistemi di contabilità e di rendicontazione finanziaria, compresi i controlli finanziari e operativi e losservanza delle disposizioni legislative e delle norme pertinenti;

c) lorgano di gestione deve sorvegliare il processo di informativa e la comunicazione;

d) lorgano di gestione deve essere responsabile di assicurare unefficace sorveglianza sullalta dirigenza;

e) il presidente dellorgano di gestione nella sua funzione di supervisione strategica dellente non deve esercitare simultaneamente le funzioni di amministratore delegato in seno allo stesso ente, a meno che non sia giustificato dallente e autorizzato dalle autorità competenti.

Gli Stati membri assicurano che lorgano di gestione monitori e valuti periodicamente lefficacia dei dispositivi di governance dellente e adotti le misure opportune per rimediare a eventuali carenze.

2. Gli Stati membri assicurano che gli enti che sono significativi per dimensioni, organizzazione interna e natura, ampiezza e complessità delle attività istituiscano un comitato per le nomine, composto da membri dellorgano di gestione che non esercitano funzioni esecutive in seno allente interessato.

Il comitato per le nomine:

a) individua e raccomanda, ai fini dellapprovazione da parte dellorgano di gestione o ai fini dellapprovazione dellassemblea generale, i candidati per loccupazione di posti vacanti, valuta lequilibrio di competenze, conoscenze, diversità ed esperienze dellorgano di gestione e redige una descrizione dei ruoli e delle capacità richieste per un determinato incarico e calcola limpegno previsto in termini di tempo.

Inoltre, il comitato per le nomine decide un obiettivo per la rappresentanza del genere sottorappresentato nellorgano di gestione ed elabora una politica intesa ad accrescere il numero dei membri del genere sottorappresentato nellorgano di gestione al fine di conseguire tale obiettivo. Lobiettivo, la politica e la sua attuazione sono resi pubblici conformemente allarticolo 435, paragrafo 2, lettera c), del regolamento (UE) n. 575/2013;

b) esamina periodicamente e almeno una volta lanno, la struttura, la dimensione, la composizione e i risultati dellorgano di gestione e presenta raccomandazioni allorgano di gestione per eventuali cambiamenti;

c) valuta periodicamente e almeno una volta lanno, le conoscenze, le competenze e lesperienza di ogni singolo membro dellorgano di gestione e dellorgano di gestione nel suo insieme, e ne riferisce allorgano di gestione;

d) riesamina periodicamente la politica dellorgano di gestione in materia di selezione e nomina dellalta dirigenza e formula raccomandazioni per lorgano di gestione.

Nello svolgere le proprie funzioni, il comitato per le nomine tiene conto, per quanto possibile e su base continuativa, della necessità di assicurare che il processo decisionale dellorgano di gestione non sia dominato da un singolo o un gruppo ristretto di persone in un modo che pregiudichi gli interessi dellente nel suo insieme.

Il comitato per le nomine può utilizzare tutti i tipi di risorse che ritiene appropriate, ivi comprese le consulenze esterne, e a tal fine riceve adeguate risorse finanziarie.

Il presente paragrafo non si applica nei casi in cui, a norma del diritto nazionale, lorgano di gestione non ha la competenza in materia di selezione e nomina dei suoi membri".

Similmente a quanto già ampiamente riscontrato anche nel contesto economico-aziendale non bancario, la Direttiva dà atto della crescente importanza dei membri non esecutivi dell’organo amministrativo, ai quali viene attribuito un ruolo articolato e propulsivo che dovrebbe comprendere "unazione di stimolo costruttivo alla strategia dellente e, di conseguenza, un contributo al suo sviluppo, lesame dei risultati della dirigenza in termini di raggiungimento degli obiettivi concordati, laccertamento che le informazioni finanziarie siano accurate e che i controlli finanziari e i sistemi di gestione del rischio siano solidi e giustificabili, lesame dellelaborazione e dellattuazione della politica di remunerazione dellente e lemissione di opinioni obiettive su risorse, nomine e norme di condotta"38.

Conseguentemente, le attribuzioni proprie dell’organo di gestione della banca trovano puntuale definizione nell’art. 91 della Direttiva che disciplina, altresì, il numero di incarichi di amministrazione che può essere assunto contemporaneamente da un membro dell’organo di gestione. Viene infatti previsto che:

“1. I membri dellorgano di gestione soddisfano sempre i requisiti di onorabilità e possiedono le conoscenze, le competenze e lesperienza necessarie per lesercizio delle loro funzioni. La composizione complessiva dellorgano di gestione riflette una gamma sufficientemente ampia di esperienze. I membri dellorgano di gestione soddisfano in particolare i requisiti di cui ai paragrafi da 2 a 8.

2. Tutti i membri dellorgano di gestione dedicano tempo sufficiente allesercizio delle loro funzioni in seno allente.

3. Il numero di incarichi di amministratore che può essere ricoperto contemporaneamente da un membro dellorgano di gestione tiene conto delle circostanze personali e della natura, dellampiezza e della complessità delle attività dellente. A meno che non rappresentino lo Stato membro, i membri dellorgano di gestione di un ente che sia se significativo per le sue dimensioni, organizzazione interna e per la natura, ampiezza e complessità delle sue attività, ricoprono, entro il 1 o luglio 2014, contemporaneamente soltanto una delle seguenti combinazioni di incarichi di amministratore:

a) un incarico di amministratore esecutivo con due incarichi di amministratore non esecutivo;

b) quattro incarichi di amministratore non esecutivo.

4. Ai fini del paragrafo 3, sono considerati come un unico incarico di amministratore:

a) gli incarichi di amministratore esecutivo o non esecutivo ricoperti nellambito dello stesso gruppo;

b) gli incarichi di amministratore esecutivo o non esecutivo ricoperti nellambito di:

i) enti che siano membri dello stesso sistema di tutela istituzionale ove siano rispettate le condizioni stabilite allarticolo 113, paragrafo 7, del regolamento (UE) n. 575/2013 o

ii) imprese (comprese le entità non finanziarie) in cui lente detenga una partecipazione qualificata.

5. Gli incarichi di amministratore in organizzazioni che non perseguono principalmente obiettivi commerciali non sono rilevanti ai fini del paragrafo 3.

6. Le autorità competenti possono autorizzare i membri dellorgano di gestione a ricoprire un incarico di amministratore non esecutivo aggiuntivo. Le autorità competenti informano periodicamente lABE di tali autorizzazioni.

7. Lorgano di gestione possiede collettivamente conoscenze, competenze e esperienze adeguate per essere in grado di comprendere le attività dellente, inclusi i principali rischi.

8. Ciascun membro dellorgano di gestione agisce con onestà, integrità e indipendenza di spirito che gli consentano di valutare e contestare efficacemente le decisioni dellalta dirigenza se necessario e di controllare e monitorare efficacemente le decisioni della dirigenza.

9. Gli enti destinano risorse umane e finanziarie adeguate alla preparazione e alla formazione dei membri dellorgano di gestione.

10. Gli Stati membri o le autorità competenti impongono agli enti e ai rispettivi comitati per le nomine di attenersi a unampia gamma di qualità e competenze nella selezione dei membri dellorgano di gestione e di predisporre a tal fine una politica che promuova la diversità in seno allorgano di gestione.

11. Le autorità competenti raccolgono le informazioni comunicate ai sensi dellarticolo 435, paragrafo 2, lettera c), del regolamento (UE) n. 575/2013 e le utilizzano per confrontare le prassi relative alla diversità. Le autorità competenti trasmettono dette informazioni allABE. LABE utilizza tali informazioni per confrontare le pratiche relative alla diversità a livello di Unione.

12. LABE emana orientamenti in merito a quanto segue:

a) la nozione di tempo sufficiente dedicato da un membro dellorgano di gestione allesercizio delle sue funzioni, in relazione alle circostanze personali e alla natura, allampiezza e alla complessità delle attività dellente;

b) la nozione di conoscenze, competenze e esperienze collettive adeguate dellorgano di gestione di cui al paragrafo 7;

c) la nozione di onestà, integrità e indipendenza di spirito di un membro dellorgano di gestione di cui al paragrafo 8;

d) la nozione di risorse umane e finanziarie adeguate destinate alla preparazione e alla formazione dei membri dellorgano di gestione di cui al paragrafo 9;

e) la nozione di diversità di cui tener conto per la selezione dei membri dellorgano di gestione di cui al paragrafo 10.

LABE emana tali orientamenti entro il 31 dicembre 2015.

13. Il presente articolo non pregiudica le disposizioni relative alla rappresentanza dei dipendenti in seno allorgano di gestione, come stabilito dalla diritto nazionale”.

Si tratta di previsioni normative particolarmente qualificanti la Direttiva che valorizza la composizione qualitativa degli organi di gestione e che impone una forte responsabilizzazione anche del soggetto chiamato alla loro nomina. A tal fine, il "Considerando" n. 60 della Direttiva sottolinea come:

"La mancanza di controllo da parte degli organi di gestione sulle decisioni dei dirigenti è in parte dovuta al fenomeno della mentalità di gruppo. Questo fenomeno è dovuto, tra laltro, alla mancanza di diversità nella composizione degli organi di gestione. Per favorire lindipendenza delle opinioni e il senso critico, occorre che la composizione degli organi di gestione degli enti sia sufficientemente diversificata per quanto riguarda età, sesso, provenienza geografica e percorso formativo e professionale, in modo da rappresentare una varietà di punti di vista e di esperienze […]".

Organi di gestione più diversificati dovrebbero controllare più efficacemente la dirigenza e contribuire pertanto a migliorare la supervisione del rischio e la resilienza degli enti. Pertanto, la diversità dovrebbe far parte dei criteri per la composizione degli organi di gestione. Tale criterio dovrebbe essere applicato più in generale anche nellambito della politica degli enti in materia di assunzioni […]".

Per il conseguimento di questo risultato viene enfatizzata l’importanza del comitato nomine (che, per quanto riguarda il nostro Paese, è previsto nel Codice di Autodisciplina e che diviene sostanzialmente obbligatoria per tutte le banche, salvo esoneri giustificati dalla natura, dalle dimensioni e complessità dell’attività dell’ente. Ciò in quanto, secondo le previsioni dell’articolo 88 della Direttiva:

"1. Gli Stati membri assicurano che lorgano di gestione definisca dispositivi di governance che assicurino unefficace e prudente gestione dellente, comprese la separazione delle funzioni nellorganizzazione e la prevenzione dei conflitti di interesse, ne sorvegli lattuazione e ne risponda.

Tali dispositivi rispettano i seguenti principi:

a) lorgano di gestione deve avere la responsabilità generale dellente e approvare e sorvegliare lattuazione degli obiettivi strategici, della strategia in materia di rischi e della governance interna dellente;

b) lorgano di gestione deve garantire lintegrità dei sistemi di contabilità e di rendicontazione finanziaria, compresi i controlli finanziari e operativi e losservanza delle disposizioni legislative e delle norme pertinenti;

c) lorgano di gestione deve sorvegliare il processo di informativa e la comunicazione;

d) lorgano di gestione deve essere responsabile di assicurare unefficace sorveglianza sullalta dirigenza;

e) il presidente dellorgano di gestione nella sua funzione di supervisione strategica dellente non deve esercitare simultaneamente le funzioni di amministratore delegato in seno allo stesso ente, a meno che non sia giustificato dallente e autorizzato dalle autorità competenti.

Gli Stati membri assicurano che lorgano di gestione monitori e valuti periodicamente lefficacia dei dispositivi di governance dellente e adotti le misure opportune per rimediare a eventuali carenze.

2. Gli Stati membri assicurano che gli enti che sono significativi per dimensioni, organizzazione interna e natura, ampiezza e complessità delle attività istituiscano un comitato per le nomine, composto da membri dellorgano di gestione che non esercitano funzioni esecutive in seno allente interessato.

Il comitato per le nomine:

a) individua e raccomanda, ai fini dellapprovazione da parte dellorgano di gestione o ai fini dellapprovazione dellassemblea generale, i candidati per loccupazione di posti vacanti, valuta lequilibrio di competenze, conoscenze, diversità ed esperienze dellorgano di gestione e redige una descrizione dei ruoli e delle capacità richieste per un determinato incarico e calcola limpegno previsto in termini di tempo.

Inoltre, il comitato per le nomine decide un obiettivo per la rappresentanza del genere sottorappresentato nellorgano di gestione ed elabora una politica intesa ad accrescere il numero dei membri del genere sottorappresentato nellorgano di gestione al fine di conseguire tale obiettivo. Lobiettivo, la politica e la sua attuazione sono resi pubblici conformemente allarticolo 435, paragrafo 2, lettera c), del regolamento (UE) n. 575/2013;

b) esamina periodicamente e almeno una volta lanno, la struttura, la dimensione, la composizione e i risultati dellorgano di gestione e presenta raccomandazioni allorgano di gestione per eventuali cambiamenti;

c) valuta periodicamente e almeno una volta lanno, le conoscenze, le competenze e lesperienza di ogni singolo membro dellorgano di gestione e dellorgano di gestione nel suo insieme, e ne riferisce allorgano di gestione;

d) riesamina periodicamente la politica dellorgano di gestione in materia di selezione e nomina dellalta dirigenza e formula raccomandazioni per lorgano di gestione.

Nello svolgere le proprie funzioni, il comitato per le nomine tiene conto, per quanto possibile e su base continuativa, della necessità di assicurare che il processo decisionale dellorgano di gestione non sia dominato da un singolo o un gruppo ristretto di persone in un modo che pregiudichi gli interessi dellente nel suo insieme.

Il comitato per le nomine può utilizzare tutti i tipi di risorse che ritiene appropriate, ivi comprese le consulenze esterne, e a tal fine riceve adeguate risorse finanziarie.

Il presente paragrafo non si applica nei casi in cui, a norma del diritto nazionale, lorgano di gestione non ha competenza in materia di selezione e nomina dei suoi membri".

Si segnala che, opportunamente, larticolo 63 della Direttiva, intitolato “Obbligo delle persone incaricate della revisione legale dei conti annuali e dei conti consolidati” dispone che il soggetto incaricato della revisione legale dei conti debba segnalare tempestivamente alle autorità competenti fatti o decisioni riguardanti tale ente di cui essa sia venuta a conoscenza nellesercizio degli incarichi sopra citati, tali da:

a) costituire una violazione sostanziale delle disposizioni legislative, regolamentari o amministrative che stabiliscono le condizioni per lautorizzazione o disciplinano in modo specifico lesercizio dellattività degli enti,

b) pregiudicare la continuità di funzionamento dellente;

c) comportare il rifiuto della certificazione dei bilanci o lemissione di riserve.

Gli Stati membri sono chiamati a prevedere nei singoli ordinamenti nazionali che almeno che una persona di cui al primo comma abbia altresì lobbligo di segnalare fatti o decisioni di cui tale persona venga a conoscenza nell’ambito di un incarico di revisione legale dei conti, esercitato presso un’impresa che abbia stretti legami, derivanti da un legame di controllo, con l’ente presso il quale detta persona svolge tale incarico.

7. Considerazioni conclusive

Da una lettura attenta del contenuto dell’art. 19 del D.Lgs. 39/2010 (che, come detto, traduce in norme di diritto positivo il testo della Direttiva 2006/43/CE) risulta che la vigilanza su “l’efficacia dei sistemi di controllo interno, di revisione interna, se applicabile, e di gestione del rischio” deve essere assegnata al comitato per il controllo interno e la revisione contabile e, quindi, nel modello di amministrazione e controllo “tradizionale”, al collegio sindacale (organo di vigilanza).

Il legislatore nazionale, in ordine alla individuazione a quale soggetto attribuire le specifiche funzioni di vigilanza sopra evidenziate, poteva, secondo quanto previsto dalla Direttiva, fare riferimento39:

  • ai soli membri non esecutivi dell’organo di amministrazione;
  • ai membri non esecutivi e/o ai membri dell’organo di controllo dell’ente stesso;
  • ai membri appositamente designati dall’assemblea degli azionisti.

In ogni caso era previsto che almeno un membro del comitato dovesse essere indipendente e competente in materia di contabilità e/o di revisione contabile.

In merito quanto sopra illustrato, la Banca d’Italia, all’esito della consultazione pubblica, ha evidenziato che “le questioni concernenti il comitato per il controllo interno e la revisione contabile e le modalità di raccordo con altri comitati costituiti allinterno del board non sono oggetto delle presenti disposizioni. Esse potranno essere organicamente affrontate, una volta definito il quadro comunitario di riferimento concernente la direttiva 2006/43/CE e la direttiva CRD IV”.

Per quanto attiene all’analisi del contenuto dell’attività di vigilanza del comitato ai sensi della lettera a) dell’art. 19 del D.Lgs. 39/201040, si possono individuare le seguenti tre aree: i) vigilanza sullinformativa finanziaria; ii) vigilanza sui sistemi di controllo interno, di revisione interna e di gestione del rischio; iii) vigilanza sulla la revisione legale dei conti.

Appare quindi corretto affermare che l’organo di controllo così come individuato dal D.Lgs. 39/2010 ha la responsabilità di vigilare sulla funzionalità del complessivo sistema dei controlli interni similmente a quanto previsto dalle disposizioni di vigilanza prudenziale per le banche del luglio 2013. Considerata la pluralità di funzioni e strutture aziendali aventi compiti e responsabilità di controllo all’interno delle banche, come in precedenza delineato, tale organo è tenuto ad accertare l’efficacia di tutte le strutture e funzioni coinvolte nel sistema dei controlli e l’adeguato coordinamento delle medesime, promuovendo gli interventi correttivi delle carenze e delle irregolarità rilevate41.

L’organo di controllo si deve avvalere delle strutture e delle funzioni di controllo interne all’azienda per lo svolgimento delle verifiche e degli accertamenti necessari e da queste deve ricevere adeguati flussi informativi periodici o relativi a specifiche situazioni o andamenti aziendali.

Il comitato ex art. 19 del D.Lgs. 39/2010 è chiamato anche a vigilare sull’adeguatezza del sistema di gestione e controllo dei rischi: a tal fine, esso deve avere una idonea conoscenza dei sistemi adottati, del loro concreto funzionamento nonché della loro capacità di coprire ogni aspetto dell’operatività aziendale.

Alla luce di quanto sopra illustrato, appare opportuno che il comitato:

  • individui adeguati flussi procedurali, amministrativi e contabili per l’elaborazione del bilancio di esercizio e del bilancio consolidato (relazione finanziaria annuale) nonché di ogni altra comunicazione di carattere patrimoniale, economico e finanziario;
  • accertarti che il sistema di controllo interno in essere presso l’ente garantisca l’adeguatezza e l’effettiva applicazione delle procedure amministrativo-contabili di cui sopra e la corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili.

La terza area in cui il comitato esercita la sua vigilanza concerne larea della revisione legale e dellindipendenza del revisore. Si tratta di unattribuzione che spetta al collegio sindacale-comitato ex art. 19 D.Lgs. 39/2010 che ulteriormente contribuisce a configurare il collegio sindacale quale organo sociale apicale nellambito del complessivo sistema dei controlli societari. Per quanto riguarda la vigilanza sullindipendenza del revisore è sufficiente qui richiamare i contenuti degli articoli 10 e 17 del Decreto 39/2010; per quanto riguarda larea della revisione legale, si rammenta che il Decreto 39/2010 già prevede che il collegio sindacale formuli allassemblea – in sede di conferimento dellincarico di revisione legale - una propria proposta motivata in ordine all’affidamento dell’incarico (senza tuttavia evidenziare gli aspetti di rilievo che devono essere contenuti nella stessa); gli ulteriori profili di vigilanza in capo al comitato relativamente a tale area sono quindi da individuarsi nella verifica che la stessa sia svolta nel rispetto dei principi normativi e dei principi di revisione sotto il profilo delladeguatezza, della correttezza e dellefficacia.

Qualche indicazione ulteriore può desumersi dal Documento Assirevi n. 60 relativo alla richiesta di informazioni da parte del collegio sindacale alla società di revisione sul procedimento revisionale da essa svolto nel caso di revisione contabile prevista da leggi del gennaio del 1998 (ancorché lo stesso sia da considerarsi superato, in considerazione delle modifiche normative via via apportate). Il Documento, in particolare, sottolinea che:

  1. i due organi di controllo (collegio sindacale e soggetto incaricato della revisione legale dei conti) devono creare gli opportuni collegamenti, in modo che si possano ottenere periodici scambi sui risultati dei rispettivi controlli;
  2. i Collegi Sindacali si devono attivare in modo tale da ottenere prima dell’emissione della loro relazione sul bilancio, la relazione della società di revisione o, in alternativa, un documento riepilogante i risultati emersi dalla revisione del bilancio con un’anticipazione del contenuto della relazione di certificazione;
  3. le società di revisione devono trasmettere al collegio sindacale la ‘lettera di suggerimenti alla Direzione’ con la quale le stesse, al termine dei lavori di revisione, sono solite segnalare al Consiglio di Amministrazione le carenze significative riscontrate nel sistema di controllo interno e nel sistema amministrativo contabile della società revisionata;
  4. il collegio sindacale deve, in ogni caso, contattare la società di revisione per acquisire utili informazioni sul funzionamento del sistema di controllo interno e del sistema amministrativo-contabile della società42.

Il collegio sindacale deve richiedere al soggetto incaricato della revisione legale dei conti tutte le informazioni utili per il controllo di propria competenza, con particolare riferimento a quelle relative al funzionamento del sistema di controllo interno ed amministrativo-contabile, il cui fine è proprio di garantire la conformità degli atti di gestione all’oggetto sociale, la salvaguardia del patrimonio e l’attendibilità dei dati contabili43; in particolare il collegio sindacale-comitato ex art. 19 D.Lgs. 39/2010 potrà richiedere ed esaminare, qualora ritenuto necessario, le carte di lavoro44 che normalmente sono le stesse da mettere a disposizione del revisore successore che solitamente devono contenere:

- dati e informazioni:

  • disponibili nel sistema contabile-amministrativo dell’azienda;
  • relativi alla pianificazione e all’accertamento dei rischi di revisione, inclusa la valutazione del grado di affidabilità del sistema contabile-amministrativo e del sistema dei controlli interni e l’indicazione dei rischi accertati, salvo eventualmente informazioni sullo strumento metodologico per essi utilizzato;
  • relativi alle problematiche di revisione riscontrate;

- il programma di lavoro attuato e quindi le carte di lavoro che contengono le procedure di verifica svolte per i singoli conti del bilancio;

- le conclusioni raggiunte sui singoli conti del bilancio.

Si rammenta, da ultimo, che è previsto (art. 19, comma 3, del Decreto 39/2010) che il revisore legale o la società di revisione legale debba presentare al comitato per il controllo interno una relazione sulle questioni fondamentali emerse in sede di revisione legale, e in particolare sulle carenze significative rilevate nel sistema di controllo interno in relazione al processo di informativa finanziaria45.

 

NOTA BIBLIOGRAFICA DI RIFERIMENTO

AA.VV., a cura di P. SCHWIZER, Internal Governance. Nuove regole, esperienze e best practice per l’organizzazione dei controlli interni nelle banche, 2013

ABI, Position Paper in risposta alla della Banca d’Italia “Sistema dei controlli interni, sistema informativo e continuità operativa”, Novembre 2012

ABI, Survey sulla Funzione di Compliance condotta nel mese di ottobre 2011

Assirevi, Documento di ricerca 140, in “Il controllo nelle società e negli enti”, 2010, fasc. I

Assirevi, Osservazioni e commenti in merito al Documento per la consultazione del 4 settembre 2012, recante “Disposizioni di vigilanza prudenziale per le banche”, 2 novembre 2012

Assonime, Circolare n. 16/2010

Autorità Antitrust, Indagine conoscitiva la corporate governance di banche e compagnie di assicurazione, IC36 - 2007

Banca d’Italia, Applicazione delle disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, Gennaio 2012

Banca d’Italia, Applicazione in Italia del Regolamento (UE) n. 575/2013 e della Direttiva 2013/36/UE – Documento per la consultazione, Agosto 2013

Banca d’Italia, Applicazione in Italia della Direttiva 2013/36/UE - Documento di consultazione, Novembre 2013

Banca d’Italia, Disposizioni di vigilanza prudenziale per le banche in materia di sistema dei controlli interni, sistema informativo e continuità operativa - Relazione sull’analisi d’impatto, Giugno 2013

Banca d’Italia, Nuove disposizioni di vigilanza prudenziale per le banche, 2 luglio 2013

Comitato di Basilea, Principles for enhancing corporate governance, 2010

Comitato di Basilea, Schema per i sistemi di controllo interno nelle organizzazioni bancarie, 1998

Consob, Comunicazione del 20 febbraio 1997 - Raccomandazioni in materia di controlli societari

Demb A., Neubauer F.F.,The Corporate Board, Oxford, Oxford University Press, 1992

Evaluating Corporate Governance: the Bondholders’ Perspective, FitchRatings, 12 Aprile 2004

Lamandini M., Il sistema dei controlli “di vertice” tra capogruppo e controllate nel gruppo bancario, 2008

Maino R., Zaini F., Banche e corporate governance: un passaggio critico verso Basilea 3, in Bancaria n. 11

Scarpa D., Asimmetrie informative interorganiche nelle società quotate, in Giur. Comm., Maggio-Giugno, 2009, 513/I

Vandali W., Galmanini S., Pogliaghi P., I sistema dei controlli interni nella governance bancaria e le peculiarità nelle piccole banche, 2012

 

1

Nella nota della Banca d’Italia intitolata “Applicazione delle disposizioni di vigilanza in materia di organizzazione e governo societario nelle banche” viene correttamente rilevato che “Gli organi con funzione di supervisione, gestione e controllo devono, ciascuno secondo le proprie competenze, fissare gli orientamenti strategici e dare ad essi corretta attuazione, definire le politiche di gestione e controllo dei rischi e vigilare sul loro corretto funzionamento. Per garantire un governo efficace, unitario e coerente dei rischi, sono necessari una chiara determinazione ex ante dei livelli di rischio ritenuti adeguati e sostenibili, in linea con gli indirizzi della programmazione strategica; un approccio integrato ai rischi, nella loro più ampia accezione (rischi di credito, di mercato, operativi, reputazionali, di liquidità, funding etc.); un adeguato contributo e coinvolgimento delle funzioni aziendali competenti (in primis, compliance, risk management, pianificazione strategica), anche attraverso la partecipazione ai lavori del boardo, ove costituiti, dei comitati interni ad esso”.


ritorna

2

In ossequio a tale norma e all’art. 19 della legge 262/2005, la Banca d’Italia pubblica annualmente la Relazione al Parlamento e al Governo nella quale espone i criteri seguiti nell’attività di controllo e gli interventi effettuati.


ritorna

3

Nell’ambito dell’obbligo di revisione periodica degli atti normativi di vigilanza, secondo quanto previsto dal Regolamento 24 marzo 2010 recante la disciplina dell’adozione degli atti di natura normativa o di contenuto generale della Banca d’Italia nell’esercizio delle funzioni di vigilanza bancaria e finanziaria, ai sensi dell’articolo 23 della legge 28 dicembre 2005, n. 262. Le principali finalità del recente provvedimento di modifica sono individuabili come segue:

  • rafforzamento della capacità delle banche di gestire i rischi aziendali;
  • revisione organica del precedente quadro normativo, resasi necessaria a seguito dell’emanazione, negli ultimi anni, di una serie di disposizioni (di vigilanza, contabili e societarie) che hanno interessato il funzionamento del sistema dei controlli interni. In tale ambito, si è tenuto conto dell’esigenza di inquadrare in modo coerente nel sistema dei controlli delle banche l’attività delle diverse funzioni societarie di controllo previste dall’ordinamento o dalle fonti di autoregolamentazione, tra le quali in particolare il Codice di Autodisciplina di Borsa italiana, (es.: organismo di vigilanza istituito ai sensi della legge n. 231/2001, dirigente preposto alla redazione dei documenti contabili societari previsto dall’art. 154-bis del TUF, compiti del comitato controllo e rischi e dell’amministratore incaricato del sistema di controllo interno e di gestione dei rischi);
  • definizione di un quadro normativo omogeneo che, in base al principio di proporzionalità, tiene conto della natura dell’attività svolta, della tipologia dei servizi prestati, della complessità operativa e della dimensione operativa delle banche;
  • definizione di una disciplina coordinata con le disposizioni, contenute nel Regolamento congiunto Banca d’Italia – Consob del 29 ottobre 2007, in materia di organizzazione e controlli per la prestazione dei servizi di investimento, che si applicano anche alle banche;
  • allineamento alle previsioni contenute nella proposta di Direttiva del Parlamento europeo e del Consiglio sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale degli enti creditizi e delle imprese di investimento e che modifica la direttiva 2002/87/CE del Parlamento europeo e del Consiglio relativa alla vigilanza supplementare sugli enti creditizi, sulle imprese di assicurazione e sulle imprese di investimento appartenenti ad un conglomerato finanziario, nonché nella proposta di Regolamento del Parlamento europeo e del Consiglio sui requisiti prudenziali per gli enti creditizi e le imprese di investimento (c.d. “CRD IV”).


ritorna

4

Il Documento contiene disposizioni in materia di “sistema dei controlli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari”. Gli scarni riferimenti normativi sul tema – precisamente, l’art. 2409-octiesdecies del codice civile, gli artt. 123-bis, co. 2, lett. b) e 149, co. 1, lett. c) del TUIF, l’art. 19 del D.Lgs. 39/2010 – nonché il Codice di Autodisciplina delle società quotate (nella sua versione più recente del dicembre 2011) fanno riferimento, invece, al “sistema di controllo interno”.


ritorna

5

Ai fini delle disposizioni di Banca d’Italia si intendono per “Organi aziendali”: il complesso degli organi con funzioni di supervisione strategica, di gestione e di controllo. La funzione di supervisione strategica e quella di gestione attengono, unitariamente, alla gestione dell’impresa e possono quindi essere incardinate nello stesso organo aziendale. Nei sistemi dualistico e monistico, in conformità delle previsioni legislative, l’organo con funzione di controllo può svolgere anche quella di supervisione strategica.

In particolare:

  • l’“Organo con funzione di supervisione strategica” è l’organo aziendale cui – ai sensi del codice civile o per disposizione statutaria - sono attribuite funzioni di indirizzo della gestione dell’impresa, mediante, tra l’altro, esame e delibera in ordine ai piani industriali o finanziari ovvero alle operazioni strategiche;
  • l’“Organo con funzione di gestione” è l’organo aziendale o i componenti di esso a cui - ai sensi del codice civile o per disposizione statutaria - spettano o sono delegati compiti di gestione corrente, intesa come attuazione degli indirizzi deliberati nell’esercizio della funzione di supervisione strategica. Il direttore generale rappresenta il vertice della struttura interna e come tale partecipa alla funzione di gestione;
  • l’“Organo con funzione di controllo”: il collegio sindacale, il consiglio di sorveglianza o il comitato per il controllo sulla gestione.


ritorna

6

A prescindere dalle strutture dove sono collocate, si possono individuare le seguenti tipologie di controllo:

  • controlli di linea (c.d. “controlli di primo livello”), diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office; per quanto possibile, essi sono incorporati nelle procedure informatiche. Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell’operatività giornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall’ordinaria attività aziendale in conformità con il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi;
  • controlli sui rischi e sulla conformità (c.d. “controlli di secondo livello”), che hanno l’obiettivo di assicurare, tra l’altro:
  1. la corretta attuazione del processo di gestione dei rischi;
  2. il rispetto dei limiti operativi assegnati alle varie funzioni;
  3. la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione.

Le funzioni preposte a tali controlli sono distinte da quelle produttive; esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi;

  • revisione interna (c.d. “controlli di terzo livello”), volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all’intensità dei rischi.


ritorna

7

L’intervento della Banca d’Italia ha considerato, in particolare, i seguenti elementi di criticità: rango organizzativo ed indipendenza del CRO; assenza di una regolare interazione con l’Organo Amministrativo della banca; rapporto di parità dialettica con gli altri senior manager.


ritorna

8

Disposizioni specifiche riguardano le condizioni per esternalizzare funzioni aziendali importanti o di controllo. Requisiti meno stringenti sono invece previsti nel caso di esternalizzazione all’interno di un gruppo bancario. Due specifici procedimenti amministrativi sono stati definiti per il divieto dell’esternalizzazione di funzioni operative importanti o di controllo, rispettivamente, al di fuori o all’interno del gruppo bancario (cfr. Sezioni IV e V); tali procedimenti integrano il Provvedimento del 25 giugno 2008, in materia di individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi di competenza della Banca d’Italia.


ritorna

9

Le disposizioni, inoltre, prevedono che nella definizione dei presidi di sicurezza per l’accesso a sistemi e servizi critici tramite il canale internet trovino applicazione le Raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet.


ritorna

10

Tra le novità di maggiore rilievo, vi è la formalizzazione del ruolo del CODISE, struttura per il coordinamento della gestione delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d’Italia. Inoltre, è stato definito un processo di rapida escalation da incidente a emergenza in modo da assicurare che la dichiarazione dello stato di crisi avvenga nel minor tempo possibile dalla rilevazione dell’incidente.


ritorna

11

Dalla data di efficacia delle norme contenute nei Capitoli 7 (Il sistema dei controlli interni), 8 (Il sistema informativo) e 9 (La continuità operativa) sono abrogate le seguenti disposizioni:

  • Sistema dei controlli interni, compiti del collegio sindacale, contenute nelle “Istruzioni di vigilanza per le banche”, Circolare n. 229 del 21 aprile 1999, Titolo IV, Capitolo 11, ad eccezione della Sezione V (Emissione e gestione di assegni bancari e postali);
  • Continuità operativa in casi di emergenza (Comunicazione del luglio 2004, cfr. Bollettino di vigilanza n. 7 – luglio 2004);
  • La gestione e il controllo dei rischi. Ruolo degli organi aziendali, contenute nelle “Nuove disposizioni di vigilanza prudenziale per le banche”, Circolare n. 263 del 27 dicembre 2006, Titolo I, Capitolo I, Parte Quarta;
  • Disposizioni di vigilanza – Requisiti particolari per la continuità operativa dei processi a rilevanza sistemica (Comunicazione del marzo 2007, cfr. Bollettino di vigilanza n. 3 – marzo 2007);
  • Disposizioni di vigilanza – Esternalizzazione del trattamento del contante (Comunicazione del 7 maggio 2007), limitatamente agli aspetti concernenti le banche e le capogruppo di gruppi bancari;
  • Disposizioni di vigilanza - la funzione di conformità (compliance) (Comunicazione del luglio 2007, cfr. Bollettino di vigilanza n. 7 – luglio 2007).


ritorna

12

Le attuali disposizioni di vigilanza prevedono che le banche devono rispettare i seguenti principi generali di organizzazione:

  • i processi decisionali e l’affidamento di funzioni al personale sono formalizzati e consentono l’univoca individuazione di compiti e responsabilità e sono idonei a prevenire i conflitti di interessi. In tale ambito, deve essere assicurata la necessaria separatezza tra le funzioni operative e quelle di controllo;
  • le politiche e le procedure di gestione delle risorse umane assicurano che il personale sia provvisto delle competenze e della professionalità necessarie per l’esercizio delle responsabilità a esso attribuite;
  • il processo di gestione dei rischi è efficacemente integrato. Sono considerati parametri di integrazione, riportati a titolo esemplificativo e non esaustivo: la diffusione di un linguaggio comune nella gestione dei rischi a tutti i livelli della banca; l’adozione di metodi e strumenti di rilevazione e valutazione tra di loro coerenti (ad es., un’unica tassonomia dei processi e un’unica mappa dei rischi); la definizione di modelli di reportistica dei rischi, al fine di favorirne la comprensione e la corretta valutazione, anche in una logica integrata; l’individuazione di momenti formalizzati di coordinamento ai fini della pianificazione delle rispettive attività; la previsione di flussi informativi su base continuativa tra le diverse funzioni in relazione ai risultati delle attività di controllo di propria pertinenza; la condivisione nella individuazione delle azioni di rimedio;
  • i processi e le metodologie di valutazione, anche a fini contabili, delle attività aziendali sono affidabili e integrati con il processo di gestione del rischio. A tal fine: la definizione e la convalida delle metodologie di valutazione sono affidate a unità differenti; le metodologie di valutazione sono robuste, testate sotto scenari di stress e non fanno affidamento
  • eccessivo su un’unica fonte informativa; la valutazione di uno strumento finanziario è affidata a un’unità indipendente rispetto a quella che negozia detto strumento;
  • le procedure operative e di controllo devono: minimizzare i rischi legati a frodi o infedeltà dei dipendenti; prevenire o, laddove non sia possibile, attenuare i potenziali conflitti d’interesse; prevenire il coinvolgimento, anche inconsapevole, in fatti di riciclaggio, usura o di finanziamento al terrorismo;
  • il sistema informativo rispetta la disciplina del Capitolo 8 (Il sistema informativo);
  • i livelli di continuità operativa garantiti sono adeguati e conformi a quanto stabilito dal Capitolo 9 (La continuità operativa).


ritorna

13

L’analisi del bilancio di esercizio costituisce una fonte informativa di primaria importanza nell’ambito dell’attività di controllo svolta dall’Organo di vigilanza. L’esame del bilancio mira infatti, sia a verificare il rispetto delle istruzioni per la compilazione emanate dalla Banca d’Italia, sia a migliorare il quadro conoscitivo degli intermediari, con particolare riguardo ai profili tecnici, sia a individuare eventuali operazioni o situazioni tecnico-operative meritevoli di approfondimento.

L’attuale disciplina normativa della redazione del bilancio bancario è rappresentata dal Regolamento CE 1606/2002 che prevede l’applicazione dei principi contabili internazionali (IAS/IFRS), dal D.Lgs. 38/2005 e dalla Circolare n. 262 del 22.12.2005 con la quale la Banca d’Italia disciplina le regole per la compilazione del bilancio individuale e consolidato delle banche e dei gruppi bancari.


ritorna

14

Le richieste di chiarimento possono riguardare l’esame dei principali profili strategici e gestionali (ad esempio, modifiche statutarie e progetti di concentrazione) oppure essere finalizzati ad approfondimenti su specifici comparti operativi (area finanza, area crediti, sistemi informativi, ecc.). I colloqui possono consentire inoltre l’acquisizione di aggiornati elementi informativi sullo stato di attuazione delle iniziative intraprese dai responsabili aziendali e sui risultati intermedi ottenuti. L’oggetto della convocazione degli organi collegiali può riguardare qualunque aspetto della gestione aziendale purché rilevante ai fini del raggiungimento degli obiettivi di vigilanza. Attesa la genericità della previsione normativa, si ritiene che siano assoggettati al potere di convocazione tutti gli organi aziendali, “siano essi titolari di funzioni deliberative, di funzioni esecutive ovvero di controllo”.


ritorna

15

Le tipologie di rischio principali a cui è esposta l’attività bancaria sono tipicamente individuabili come segue:

  • rischio di credito, collegato al mancato rimborso del debito in conto capitale e interesse. Include sia il rischio di insolvenza del debitore sia il rischio di peggioramento della capacità prospettica della controparte di rimborsare il debito21. Rappresenta il rischio tipico della tradizionale attività di concessione del credito, a fronte del quale è stato introdotto il coefficiente di solvibilità;
  • rischio di controparte, derivante dall’inadempimento della controparte nelle operazioni di pagamento e di regolamento di titoli;
  • rischio di mercato, connesso con l’operatività sui mercati riguardanti gli strumenti finanziari, le valute e le merci. La normativa di vigilanza identifica e disciplina il trattamento dei seguenti rischi: con riferimento al portafoglio di negoziazione: rischio di posizione (connesso all’oscillazione del prezzo dei valori mobiliari per fattori attinenti all’andamento dei mercati (rischio generico) o alla situazione del singolo emittente (rischio specifico), rischio di regolamento (connesso alla mancata consegna di titoli o del denaro alla scadenza) e rischio di concentrazione (connesso a esposizioni verso controparti, gruppi di controparti connesse e controparti del medesimo settore economico o che esercitano la stessa attività o appartenenti alla medesima area geografica); con riferimento all’intero bilancio: rischio di cambio (riveniente da avverse variazioni dei corsi delle divise estere) e rischio di posizione su merci (riveniente da variazioni nell’andamento delle commodities);
  • rischio di tasso di interesse, rappresenta il rischio che una variazione dei tassi di interesse si rifletta negativamente sulla situazione finanziaria di un intermediario;
  • rischio operativo, derivante dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni;
  • rischio di liquidità, determinato dal mismatching delle scadenze tra l’attivo e il passivo che può causare la temporanea impossibilità di far fronte ai propri obblighi;
  • rischio legale, è il rischio di sanzioni legali o amministrative, perdite finanziarie rilevanti o perdite di reputazione dovute al mancato assolvimento non solo delle leggi e dei regolamenti ma anche di standard interni e codici di condotta applicabili all’attività della banca;
  • rischio di reputazione, è il rischio, attuale o prospettico, di flessione degli utili o del capitale derivante da una percezione negativa dell’immagine dell’intermediario da parte degli stakeholder (clienti, controparti, azionisti, investitori, Autorità di vigilanza);
  • rischio di compliance, è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina);
  • rischio strategico, è il rischio, attuale e prospettico, di flessione degli utili o del capitale derivante da cambiamenti del contesto operativo o da decisioni aziendali errate, attuazione inadeguata di decisioni, scarsa reattività a variazioni del contesto competitivo. Rappresenta una tipologia di rischio che coinvolge tutte le banche, comprese quelle di piccole dimensioni.


ritorna

16

In tema si vedano le Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche del 4 marzo 2008 e le relative linee applicative dell’11 maggio 2012.


ritorna

17

L’intervento fa seguito alle novità introdotte dalla riforma del diritto societario e dal relativo coordinamento del TUB, con particolare riguardo alla possibilità riconosciuta alle banche di adottare sistemi di amministrazione e controllo diversi da quello tradizionale


ritorna

18

Si vedano, tra l’altro, le previsioni di cui agli artt. 92 e seguenti della Direttiva 2013/36/UE.


ritorna

19

Cfr. Relazione illustrativa, § 1. Premessa e principali finalità, pag. ii, del documento per la consultazione della Banca d’Italia del settembre 2012).


ritorna

20

Per la cui analisi si rinvia al Commentario al D.Lgs. 58/1998 e al D.Lgs. 39/2010, curato da F. Vella, Torino, 2012.


ritorna

21

Decreto Legislativo 27 gennaio 2010, n. 39, "Attuazione della Direttiva 2006/43/CE, relativa alle revisioni legali dei conti annuali e dei conti consolidati, che modifica le Direttive 78/660/CEE e 83/349/CEE, e che abroga la Direttiva 84/253/CEE”, e pubblicato nella Gazzetta Ufficiale del 23 marzo 2010, n. 68 - Supplemento Ordinario n. 58.


ritorna

22

Ai sensi dell’art. 16 del D.Lgs. 39/2010 sono da considerarsi enti di interesse pubblico:

  1. le società italiane emittenti valori mobiliari ammessi alla negoziazione su mercati regolamentati italiani e dell’Unione europea e quelle che hanno richiesto tale ammissione alla negoziazione;
  2. le banche;
  3. le imprese di assicurazione di cui all’articolo 1, comma 1, lettera u), del codice delle assicurazioni private;
  4. le imprese di riassicurazione di cui all’articolo 1, comma 1, lettera cc), del codice delle assicurazioni private, con sede legale in Italia, e le sedi secondarie in Italia delle imprese di riassicurazione extracomunitarie di cui all’articolo 1, comma 1, lettera cc-ter), del codice delle assicurazioni private;
  5. le società emittenti strumenti finanziari, che, ancorche’ non quotati su mercati regolamentati, sono diffusi tra il pubblico in maniera rilevante;
  6. le società di gestione dei mercati regolamentati;
  7. le società che gestiscono i sistemi di compensazione e di garanzia;
  8. le società di gestione accentrata di strumenti finanziari;
  9. le società di intermediazione mobiliare;
  10. le società di gestione del risparmio;
  11. le società di investimento a capitale variabile;
  12. gli istituti di pagamento di cui alla direttiva 2009/64/CE;
  13. gli istituti di moneta elettronica;
  14. gli intermediari finanziari di cui all’articolo 107 del TUB.


ritorna

23

In tal caso, il comitato e’ sentito dal consiglio di sorveglianza in merito alla proposta di cui all’articolo 13 comma 1 del D.Lgs. 39/2010 che prevede che, salvo quanto disposto dall’articolo 2328, secondo comma, numero 11), del codice civile, l’assemblea, su proposta motivata dell’organo di controllo, conferisce l’incarico di revisione legale dei conti e determina il corrispettivo spettante al revisore legale o alla società di revisione legale per l’intera durata dell’incarico e gli eventuali criteri per l’adeguamento di tale corrispettivo durante l’incarico.


ritorna

24

Secondo tale Raccomandazione, per «amministratore con incarichi esecutivi» si intende un membro dell’organo d’amministrazione di una società a struttura monistica impegnato nella gestione corrente della società; per «amministratore senza incarichi esecutivi» si intende invece un membro dell’organo d’amministrazione di una società a struttura monistica diverso da un amministratore con incarichi esecutivi.


ritorna

25

In particolare l’art. 41 della Direttiva prevede che: “1. Ciascun ente di interesse pubblico è dotato di un comitato per il controllo interno e per la revisione contabile. Gli Stati membri stabiliscono se il comitato debba essere composto dai membri non esecutivi dell’organo di amministrazione e/o dai membri dell’organo di controllo dell’ente stesso sottoposto a revisione e/o da membri designati dall’assemblea generale degli azionisti. Almeno un membro del comitato deve essere indipendente e competente in materia di contabilità e/o di revisione contabile.

Gli Stati membri possono permettere che negli enti di interesse pubblico che soddisfano i criteri dell’articolo 2, paragrafo 1, lettera f), della direttiva 2003/71/CE le funzioni assegnate al comitato per il controllo interno e per la revisione contabile siano svolte dall’organo di amministrazione o di controllo nel suo insieme, a condizione, almeno, che quando il presidente di tale organo è un membro con incarichi esecutivi, non sia presidente del comitato per il controllo interno e per la revisione contabile.

2. Fatta salva la responsabilità dei membri dell’organo di amministrazione, di direzione o di controllo o di altri membri designati dall’assemblea generale degli azionisti dell’ente sottoposto a revisione, il comitato per il controllo interno e per la revisione contabile è incaricato tra l’altro:

  1. di monitorare il processo di informativa finanziaria;
  2. di controllare l’efficacia dei sistemi di controllo interno, di revisione interna, se applicabile, e di gestione del rischio;
  3. di monitorare la revisione legale dei conti annuali e dei conti consolidati;
  4. di verificare e monitorare l’indipendenza del revisore legale o dell’impresa di revisione contabile, in particolare per quanto concerne la prestazione di servizi aggiuntivi all’ente sottoposto alla revisione contabile.

3. In un ente di interesse pubblico la proposta dell’organo di amministrazione o dell’organo di controllo di designare un revisore legale o un’impresa di revisione contabile è basata su una raccomandazione formulata dal comitato per il controllo interno e per la revisione contabile.

4. Il revisore legale o l’impresa di revisione contabile presenta una relazione al comitato per il controllo interno e per la revisione contabile sulle questioni fondamentali emerse in sede di revisione legale, in particolare su importanti lacune nel controllo interno in relazione al processo di informativa finanziaria.

5. Gli Stati membri possono consentire o stabilire che le disposizioni di cui ai paragrafi da 1 a 4 non si applichino agli enti di interesse pubblico aventi un organo che svolge funzioni equivalenti a quelle di un comitato per il controllo interno e per la revisione contabile, istituito e operante in conformità di disposizioni vigenti nello Stato membro in cui è registrato l’ente da sottoporre a revisione contabile. In tal caso l’ente comunica qual è l’organo che svolge tali funzioni e ne rende pubblica la composizione”.


ritorna

26

Si vedano ora anche le disposizioni di cui all’articolo 88 della Direttiva 2013/36/UE.


ritorna

27

L’Unione Europea evidenzia che la maggior parte dei codici sul governo societario prevedono già la costituzione del comitato per il controllo contabile attribuendogli un ruolo fondamentale nell’assistere il consiglio d’amministrazione o di sorveglianza nello svolgimento di tali incarichi e che in alcuni Stati membri, tali responsabilità sono attribuite, interamente o in parte, a organi esterni al consiglio d’amministrazione o di sorveglianza.


ritorna

28

Sulle scelte adottate dal legislatore nazionale in merito si veda quanto illustrato successivamente.


ritorna

29

La Raccomandazione prevedeva che gli Stati membri sono invitati ad adottare le misure necessarie per promuovere l’applicazione dei principi esposti nella presente raccomandazione entro il 30 giugno 2006 e a comunicare alla Commissione le misure adottate conformemente alla presente raccomandazione, affinché la Commissione possa seguire da vicino la situazione e, su tale base, valutare l’eventuale necessità di adottare ulteriori misure.


ritorna

30

Nel Codice di Autodisciplina delle società quotate viene sottolineata la centralità del consiglio di amministrazione in materia di controllo interno e come ad esso spetti la responsabilità dell’adozione di un sistema adeguato alle caratteristiche dell’impresa di cui il management delegato dovrà tener conto nello svolgimento della propria attività di amministrazione e coordinamento (e a tal fine è di tutta rilevanza il flusso informativo continuo tra gli organi di governo). Conseguentemente, viene raccomandato al consiglio di amministrazione di organizzarsi in modo tale da poter affrontare questa tematica con la dovuta attenzione e il necessario livello di approfondimento.


ritorna

31

Le Istruzioni di vigilanza per le banche (Titolo IV, Capitolo 11) individuano le problematiche rilevanti in tema di sistema dei controlli interni come segue:

“Il sistema dei controlli interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità:

  • efficacia ed efficienza dei processi aziendali (amministrativi, produttivi, distributivi, ecc.);
  • salvaguardia del valore delle attività e protezione dalle perdite;
  • affidabilità e integrità delle informazioni contabili e gestionali;
  • conformità delle operazioni con la legge, la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne.

I controlli coinvolgono, con diversi ruoli, gli organi amministrativi, il collegio sindacale, la direzione e tutto il personale. Essi costituiscono parte integrante dell’attività quotidiana della banca. Se ne possono individuare alcune tipologie, a prescindere dalle strutture organizzative in cui sono collocate:

  • i controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni.
    Essi sono effettuati dalle stesse strutture produttive (ad es., i controlli di tipo gerarchico) o incorporati nelle procedure ovvero eseguiti nell’ambito dell’attività di back-office;
  • i controlli sulla gestione dei rischi, che hanno l’obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive;
  • l’attività di revisione interna, volta a individuare andamenti anomali, violazioni delle procedure e della regolamentazione nonché a valutare la funzionalità del complessivo sistema dei controlli interni. Essa è condotta nel continuo, in via periodica o per eccezioni, da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco”.


ritorna

32

L’obbligo di predisposizione di una relazione sul governo societario e gli assetti proprietari è prevista dall’art. 123-bis del T.U.F. (così come modificato dal D.Lgs. 3 novembre 2008, n. 173 recante Attuazione della direttiva 2006/46/CE che modifica le direttive 78/660, 83/349, 86/635 e 91/674/CEE, relative, rispettivamente, ai conti: annuali di taluni tipi di società, consolidati, annuali e consolidati delle banche, degli altri istituti finanziari e delle imprese di assicurazione).


ritorna

33

Le disposizioni applicative della Banca d’Italia del gennaio 2012 sottolineano la particolare rilevanza, al fine di un corretto ed efficiente funzionamento degli organi di vertice e dei comitati costituiti al loro interno:

  • dell’individuazione e della formalizzazione di prassi operative (procedure di convocazione, periodicità delle riunioni, partecipazione) che assicurino effettività e tempestività dell’azione degli organi e dei loro comitati;
  • della circolazione delle informazioni tra gli organi aziendali e al loro interno, attraverso la predisposizione di flussi informativi periodici e l’individuazione di strumenti di diffusione di competenze e confronto tra le diverse professionalità (anche attraverso ad esempio meccanismi di cross-membership tra i diversi comitati) anche non formalizzati;
  • della chiara definizione dei compiti attribuiti ai comitati interni eventualmente costituiti.

Le disposizioni sul governo societario già prevedono che gli organi di vertice siano tenuti a condurre periodiche autovalutazioni; esse appaiono necessarie per assicurare che la funzionalità degli organi sia garantita nel continuo, nonché per individuare eventuali aree di criticità e porvi rimedio. È quindi essenziale che il processo di autovalutazione sia effettuato con rigore e profondità; la Banca d’Italia richiama pertanto le banche a porre specifica attenzione a questo adempimento.


ritorna

34

Nell’attuale Codice di Autodisciplina delle società quotate (dicembre 2011) il comitato controllo e rischi ha il compito di “supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle relative all’approvazione delle relazioni finanziarie periodiche”; cfr. Codice di Autodisciplina, p. 30.


ritorna

35

Cfr. p. 34 del Codice di Autodisciplina.


ritorna

36

Cfr. Assirevi, Osservazioni e commenti in merito al Documento per la consultazione del 4 settembre 2012, recante “Disposizioni di vigilanza prudenziale per le banche”, 2 novembre 2012, p. 5.


ritorna

37

Pubblicata sulla Gazzetta Ufficiale dell’Unione Europea - insieme al Regolamento relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento (Capital requirements Regulation), che modifica il Regolamento (UE) n. 648/2012 - la Direttiva 2013/36/UE del Parlamento e del Consiglio sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale e sulle imprese di investimento (la “Direttiva”), che modifica la Direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE.


ritorna

38

Cfr. Considerando n. 57 della Direttiva.


ritorna

39

Tali erano le possibilità contenute nella Direttiva 2006/43/CE. L’esigenza di tenere conto di diversi sistemi di governance e di non imporre un modello generalizzato, ha dato la possibilità agli Stati membri di prevedere che i componenti di tale comitato possano essere i membri non esecutivi dell’organo di amministrazione e/o i membri dell’organo di controllo e/o membri designati dall’assemblea; come già accennato, la scelta fatta dal legislatore italiano in sede di attuazione della disciplina comunitaria di attribuire i compiti del comitato agli altri organi di controllo si colloca nel contesto in cui era già affidato a organi o articolazioni di organi compiti in materia di sistemi di controllo interno e di revisione legale (collegio sindacale nelle società con azioni quotate e comitato per il controllo interno istituito nelle società quotate in attuazione del Codice di autodisciplina).


ritorna

40

Cfr. Assonime, Circolare n. 16/2010, pag. 75.


ritorna

41

Cfr. Banca d’Italia, Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, par. 2.2.


ritorna

42

Viene puntualmente osservato che “In ordine al rapporto di collaborazione tra collegio sindacale e società di revisione da attuarsi nell’ambito delle proprie rispettive funzioni istituzionali va chiarito che non sempre le informazioni utili per il controllo dell’amministrazione e la vigilanza sull’osservanza della legge e dell’atto costitutivo possono essere acquisite dal collegio sindacale nel corso delle riunioni del consiglio di amministrazione e del comitato esecutivo o mediante l’attivazione dei poteri di indagine e di richiesta di notizie agli amministratori. Affinché sia garantita ai sindaci la massima visibilità sull’operato degli amministratori, si raccomanda che il collegio sindacale richieda alla società di revisione tutte le informazioni utili per il controllo di propria competenza, con particolare riferimento a quelle relative al funzionamento del sistema di controllo interno ed amministrativo-contabile”; cfr. Scarpa, Asimmetrie informative interorganiche nelle società quotate, in Giur. comm., Maggio-Giugno, 2009, 513/I.


ritorna

43

Cfr. anche la Comunicazione Consob del 20 febbraio 1997 relativa a ‘Raccomandazioni in materia di controlli societari’.


ritorna

44

L’esame delle carte di lavoro appare rilevante in quanto il D.Lgs. 39/2010 ha abrogato l’obbligo di tenuta del libro della revisione previsto dall’art. 2409-ter Cod. Civ. e dall’art. 155, comma 3, T.U.F. da parte del soggetto incaricato della revisione legale dei conti. Per un’analisi dei contenuti del libro della revisione cfr. Assirevi – Documento di ricerca 140, pubblicato nella rivista “Il controllo nelle società e negli enti”, 2010, fasc. I, 113 e ss.


ritorna

45

In ordine alla relazione del soggetto incaricato della revisione legale dei conti viene evidenziato che si tratta di “un dovere informativo in capo al revisore funzionale a rafforzare la possibilità del collegio sindacale di conoscere fatti rilevanti nell’esercizio dell’attività di vigilanza che esso esercita ai sensi dell’articolo 19 in qualità di comitato per il controllo interno. Se pure questo dovere non era finora previsto in norme di legge, esso appare in linea con le prassi operative dell’attività di revisione. I principi di revisione, infatti, prevedono già regole in base alle quali il revisore deve comunicare ai responsabili delle attività di governancefatti e circostanze di loro interesse che emergono nell’attività di revisione.

La disposizione non precisa quando la relazione debba essere presentata. Essa non costituisce un giudizio riferito ad un singolo atto ma costituisce il momento conclusivo di un processo di monitoraggio avente ad oggetto le questioni emerse in sede di revisione: attività che si svolge nell’arco dell’esercizio sociale. Sembra quindi ragionevole ritenere che la relazione, quale misura finale dell’attività di controllo, sia resa annualmente successivamente alla chiusura dell’esercizio quale periodo temporale nel quale si scansiona per legge l’attività di revisione. Occorre però sottolineare come queste comunicazioni sono dirette a consentire al comitato di adottare tempestivamente le decisioni che gli competono sui problemi emersi. Non si può escludere quindi che al di là della scadenza fisiologica annuale il revisore sia tenuto a comunicare tempestivamente i profili problematici che emergono in corso di revisione”; cfr. Assonime, Circolare n. 16/2010, pag. 81.


ritorna