processo di controllo, la gestione dei rischi e la corporate
governance.
E sono proprio questi tre aspetti che andremo ad
indagare nel presente lavoro.
Partiremo, quindi, dall’analisi dei presidi interni che la
banca mette in atto tramite l’internal audit, strumento di
verifica indipendente all’interno ed al servizio della banca, al
quale è affidato il compito di esaminarne e valutarne le attività.
Tale attività ha visto la luce ormai oltre cinquantanni fa, e
negli ultimi anni il suo ruolo si è notevolmente allargato: non
più solo controllore della regolarità contabile e gestionale, ma
vero e proprio strumento di consulenza, che assiste
l’organizzazione nel perseguimento dei propri obiettivi. Il tutto
tramite un approccio professionale volto a valutare e
migliorare i processi di controllo, di gestione dei rischi e di
corporate governance. Andremo, quindi, a capire i motivi di
tale evoluzione e a vedere come la normativa e gli assetti
organizzativi delle banche hanno accompagnato tale
passaggio.
Nel secondo capitolo, analizzeremo questa funzione dal
punto di vista dei rapporti con gli altri organi aziendali, il
Consiglio d’Amministrazione, l’Alta Direzione, il Collegio
Sindacale, la Società di Revisione e la funzione di Risk
Management, tenute ben presenti gli interventi normativi ed i
regolamenti passati e più recenti. Andremo, quindi, ad
6
analizzare il perimetro in cui l’internal audit opera, partendo
però dal punto di vista delle altre funzioni, delineando le zone
di sovrapposizione e di eventuali rischi gestionali.
Nel terzo capitolo, l’attenzione sarà incentrata sugli altri
due aspetti sopraindicati, quello del processo di gestione dei
rischi e della strutturazione di una corporate governance adatta
a tale finalità. Per Corporate Governance, infatti, si intende il
sistema delle regole che ha per oggetto il complesso di
relazioni che, in ogni società di capitali, viene a porsi tra
azionisti, managers, amministratori ed ogni altro tipo di
strategic stakeholder dell’azienda. Il tema della corporate
governance nelle banche può, quindi, essere affrontato
analizzando le tecniche di gestione e controllo finalizzate ad
un adeguato governo dei rischi aziendali in un contesto in forte
evoluzione. Ed è proprio questo il tipo di analisi che abbiamo
come obiettivo di portare avanti.
Nel quarto ed ultimo capitolo, ad appendice del discorso
sin qui intrapreso, andremo ad affrontare il caso di una
Funzione di Internal Audit di una Banca. Analizzeremo,
infatti, in presa diretta una funzione di internal audit di una
generica Banca Alpha. Ne andremo ad analizzare le
componenti, le loro logiche organizzative, la mission e le
responsabilità. Concluderemo, poi, con caso pratico di
accertamento, con la valutazione del Sistema dei Controlli
Interni posti a presidio di una determinata tipologia di rischio.
7
Questo, con l’intento di rendere meno accademica e fumosa la
nostra trattazione.
Per capire l’importanza del soggetto alla base del
presente lavoro, citiamo una definizione del Grossi, secondo
cui “l’Internal Auditing è uno degli elementi che compongono
il Sistema di Controllo Interno di un’azienda; un efficace
Sistema di Controllo Interno, a sua volta, è la risposta
razionale al problema di come amministratori e direttori
possono far fronte alle loro pesanti responsabilità in materia di
trasparenza informativa, correttezza gestionale, efficacia ed
efficienza”.
La conclusione a cui aspiriamo di arrivare è quella di far
emergere degli spunti critici nell’analisi di una componente
che, come vedremo, è sottoposta ad una forte e pressante
spinta evolutiva.
8
Capitolo 1: L'evoluzione della funzione di internal audit
nelle banche italiane
1.1 Introduzione: definizione ed aspetti normativi
Nelle banche e, più in generale, in tutte le imprese, il sistema
di controllo interno ha subito negli ultimi decenni una marcata
evoluzione che, nei tempi recenti, si presenta particolarmente
accentuata a causa dell’impulso di alcune variabili di contesto.
Ci si riferisce al quadro normativo di riferimento che
regola l’attività bancaria, ivi comprese le indicazioni
provenienti dall’Organo di Vigilanza, al sorgere di nuovi
modelli di governance, all’innovazione tecnologica sempre più
spinta, all’affermazione di nuovi intermediari, alla
proliferazione di sofisticati prodotti finanziari, all’integrazione
dei mercati e delle economie ed alla progressiva
internazionalizzazione della finanza.
Nel prosieguo della trattazione, si esamina la
trasformazione, ancora in atto presso diversi istituti,
dell’ispettorato in internal audit, analizzando tale funzione
come parte integrante del sistema dei controlli interni. In
particolare si metteranno in luce “i segni del cambiamento” e
la diversa “accelerazione del cambiamento”.
Introduciamo però la nostra trattazione illustrando
l’oggetto principale che abbiamo intenzione di descrivere: la
9
funzione di internal audit ed andiamo ad analizzarne
l’evoluzione.
La storia dell’organo di revisione interna (internal audit)
inizia oltre cinquanta anni fa e, a partire da allora fino ai giorni
nostri, i contenuti, le tecniche e le metodologie di revisione
hanno subito notevoli cambiamenti, com’è naturale che
avvenga.
Si ritiene interessante analizzare l’evoluzione attraverso
l’analisi delle varie definizioni che sono state date proprio
dall’Institute of Internal Auditors
1
. L’istituto americano ha
provveduto dopo la sua nascita ad elaborare una definizione di
internal auditing, ripresa poi dagli Istituti degli altri paesi, ed
oggetto appunto di numerose modificazioni nel corso degli
anni.
La prima definizione risale appunto al 1947 e considera
l’internal auditing come un’attività rivolta principalmente
all’osservazione e alla valutazione dei problemi aziendali
aventi natura contabile e finanziaria. La funzione di revisione
interna ha un ruolo di interfaccia con la funzione di revisione
esterna, svolgendo ex ante le stesse verifiche che il revisore
esterno realizza ex post, al fine di limitare il verificarsi di
possibili errori e quindi limitare in qualche misura l’intervento
dei revisori esterni.
1
L’Institute of Internal Auditors è nato in Florida nel 1941. Il suo scopo è quello di
promuovere, senza scopo di lucro, la professione dell’Internal Auditor in tutte le realtà
industriali.
10
In questo caso quindi, notiamo come l’intervento
dell’internal auditor sia finalizzato al verificare l’applicazione
di norme e l’assolvimento di obblighi da parte di soggetti
diversi operanti a differenti livelli dell’organizzazione
aziendale.
La seconda definizione risale al 1957 ed in base a questa
nuova formulazione, l’attività di revisione, autonomamente
operante nell’ambito dell’impresa, ha l’incarico di esaminare
la contabilità, le operazioni finanziarie e le altre attività
dell’impresa stessa.
Le finalità diventano più ampie, ricomprendendo
l’accertamento delle condizioni di efficienza nello svolgimento
della gestione e di aderenza alle politiche ed agli obiettivi della
gestione, con riguardo a tutte le funzioni aziendali.
Nel 1971, l’IIA conia un’altra definizione di internal
auditing, più vicina alla complessità delle moderne realtà
aziendali. Essa viene definita, infatti, come una funzione
autonoma di esame ed analisi, svolta ad utilità dell’Alta
Direzione, per la valutazione dell’insieme delle funzioni
amministrative e gestionali dell’impresa. Questa accezione,
quindi, considera l’audit come una funzione avente il fine di
garantire all’Alta Direzione l’affidabilità del sistema
informativo attraverso il riscontro delle condizioni di efficacia
e di efficienza del sistema di controllo interno.
11
Per la prima volta, si parla di funzione utile per l’alta
Direzione e questa evoluzione coinvolge anche il profilo
organizzativo della funzione, attraverso un nuovo
posizionamento nell’organigramma dell’azienda: l’internal
audit migra da posizione di staff della Direzione
Amministrativa ad una posizione di staff della Direzione
Generale, coerentemente con i nuovi compiti e le
responsabilità attribuite all’audit.
L’ultima definizione di internal auditing
2
, tradotta dalla
versione inglese
3
, riassume quelli che sono stati i cambiamenti
già in atto negli ultimi anni. Essa definisce la revisione interna
come “attività indipendente ed obiettiva di assurance e
consulenza finalizzata al miglioramento dell’efficacia e
dell’efficienza dell’organizzazione. Assiste l’organizzazione
nel perseguimento dei propri obiettivi tramite un approccio
professionale sistematico, che genera valore aggiunto, in
quanto finalizzato a valutare e migliorare i processi di
controllo, di gestione dei rischi e di corporate governance”.
Da tale definizione emerge come l’evoluzione si
caratterizzi per alcuni elementi specifici:
2
Approvata dal Boards of Directors dell’ Institute of Internal Auditors (2002)
3 La definizione inglese recita così: “Internal Auditing is an independent, objective
assurance and consulting activity designed to add value and improve an organization's
operations. It helps an organization accomplish its objectives by bringing a systematic,
disciplined approach to evaluate and improve the effectiveness of risk management,
control, and governance processes”.
12
- la globalità dell’oggetto di riferimento, nel senso che
l’oggetto di osservazione e valutazione, inizialmente
limitato ai soli aspetti contabili, è costituito oggi
dall’intero sistema aziendale;
- la dipendenza gerarchica collocata inizialmente nel
contesto strettamente amministrativo e finanziario;
- il collocamento in seno all’organizzazione, migra con il
tempo in posizione di staff al massimo vertice aziendale,
poiché solo in questo modo è possibile garantire
l’autonomia professionale della funzione di internal
auditing.
In ultimo, si nota il grande livello di indipendenza
all’interno della struttura gerarchica ed operativa aziendale
così da poter svolgere l’attività di revisione autonomamente,
senza vincoli di subordinazione e senza poteri sanzionatori
diretti e decisionali, che potrebbero in qualche misura
condizionare l’imparzialità dei risultati.
Un compito nuovo è quindi assegnato all’internal
auditing, in quanto si è ampliato il focus operativo della
funzione, passata da una visione strettamente contabile ad una
più ampia, gestionale. Infatti la definizione italiana ha
mantenuto il termine inglese assurance, termine che
comprende tutte quelle attività che possono risultare utili a
migliorare la qualità delle decisioni, migliorando la qualità
13
dell’informazione o il contesto in cui essa viene costruita o
utilizzata.
Accanto ai servizi di assurance, troviamo quelli di
consulenza, che hanno segnato un ulteriore evoluzione
dell’attività.
La nuova definizione non ha cambiato l’attività di
internal auditing, ma semplicemente dato campo a quelle
trasformazioni già in atto.
Dopo una panoramica sull’evoluzione che la definizione
di internal audit ha assunto nel tempo e le implicazioni
organizzative che ha comportato, concludiamo questo
paragrafo introduttivo con la definizione esaustiva e
riassuntiva che il Grossi da della funzione in oggetto. Per
l’autore, “l’Internal Auditing è uno degli elementi che
compongono il Sistema di Controllo Interno di un’azienda; un
efficace Sistema di Controllo Interno, a sua volta, è la risposta
razionale al problema di come amministratori e direttori
possono far fronte alle loro pesanti responsabilità in materia di
trasparenza informativa, correttezza gestionale, efficacia ed
efficienza”
4
.
Passiamo ora ad un’analisi più dettagliata, andando a
presentare come la funzione opera e qual è l’oggetto su cui
implementa la sua opera.
4
V. Coda, Responsabilità degli amministratori e direttori, Sistema di Controllo
Interno e Internal Auditing, in Molteni M. (a cura di), Verso una nuova
concezione di Internal Auditing, Milano, EGEA,1998.
14
1.2 Oggetto del controllo e mission: da ispettore a
consulente interno
Andiamo ad individuare l’oggetto e la mission della funzione
riprendendo direttamente le indicazioni contenute nelle
Istruzioni di Vigilanza per le Banche, dettate da Bankitalia
5
.
Secondo le Autorità di Vigilanza, l'attività di revisione
interna nelle banche deve essere svolta da una funzione
indipendente (internal audit) volta da un lato a controllare,
anche con verifiche in loco, la regolarità dell'operatività e
l'andamento dei rischi, dall'altro a valutare la funzionalità del
complessivo sistema dei controlli interni e a portare
all'attenzione del consiglio di amministrazione e dell'alta
direzione i possibili miglioramenti alle politiche di gestione
dei rischi, agli strumenti di misurazione e alle procedure.
Seguendo sempre la normativa, elenchiamo i compiti
affidati alla funzione di revisione interna:
— verifica il rispetto nei diversi settori operativi dei
limiti previsti dai meccanismi di delega nonché del pieno e
corretto utilizzo delle informazioni disponibili nelle diverse
attività;
— controlla l'affidabilità dei sistemi informativi, inclusi i
sistemi di elaborazione automatica dei dati, e dei sistemi di
rilevazione contabile;
5
“Istruzioni di Vigilanza per le banche”, circ. 229 13°aggiornamento del 10 Aprile
2007, Titolo IV, cap. 11, sezione II.
15
— verifica che nella prestazione dei servizi di
investimento le procedure adottate assicurino il rispetto, in
particolare, delle disposizioni vigenti in materia di separatezza
amministrativa e contabile, di separazione patrimoniale dei
beni della clientela e delle regole di comportamento;
— effettua test periodici sul funzionamento delle
procedure operative e di controllo interno;
— espleta compiti d'accertamento anche con riguardo a
specifiche irregolarità, ove richiesto dal consiglio di
amministrazione, dall'alta direzione o dal collegio sindacale;
— verifica la rimozione delle anomalie riscontrate
nell'operatività e nel funzionamento dei controlli.
Tali compiti e le responsabilità dell'internal audit sono
definiti dall'alta direzione, nel rispetto dei principi delineati in
tale paragrafo, e tengono conto delle caratteristiche del
complessivo apparato dei controlli, delle dimensioni, della rete
territoriale, delle specificità operative della banca.
Infine, aggiungiamo che la regolamentazione
dell'attività dell'internal audit deve essere approvata dal
consiglio di amministrazione, in quanto responsabile
dell’attività di controlli interni.
Da tali considerazioni, notiamo come le Istruzioni di
Vigilanza assegnino alla funzione di revisione un ruolo
16
fondamentale nell’architettura del sistema di controlli interni
6
,
di cui tratteremo in seguito, sia in termini di posizione
organizzativa che di contenuti e di responsabilità.
Viene previsto che essa debba incorporare attività più
complesse rispetto ai tradizionali compiti dell’ispettorato
interno, in quanto risulta destinata a svolgere non solo un ruolo
di controllo sulla regolarità dell’operazione e sull’assunzione
dei rischi, ma anche ad assumere responsabilità in ordine alla
funzionalità complessiva del sistema dei controlli interni.
Infatti, l’internal audit interviene nella fase di progettazione e
di manutenzione delle procedure, nei metodi di misurazione e
porta all’attenzione del Consiglio d’Amministrazione e
dell’Alta Direzione, le proposte di miglioramento ritenute
necessarie.
Trova, pertanto, accoglimento nella normativa di
Vigilanza, una definizione evoluta del concetto di controllo
interno con il passaggio dalla visione tradizionale di controllo
a norma, cioè di controllo di regolarità formale a posteriori,
propria degli ispettorati interni, ad un concetto più ampio,
quello di Internal Auditing, che ingloba attività di
coordinamento e di consulenza in materia di controllo, con
6
L’AIIA definisce il Sistema di controllo interno come “un processo, attuato da CdA,
dirigenti e altri soggetti della struttura aziendale, finalizzato a fornire una ragionevole
sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
− efficacia ed efficienza delle attività operative,
− attendibilità delle informazioni di bilancio,
− conformità alle leggi e ai regolamenti in vigore.”
17
riferimento all’intera attività aziendale, anche quella in
divenire.
Oltre che per la diversità dei compiti, l’internal audit si
differenzia dall’ispettorato tradizionale anche per la filosofia di
fondo con cui l’attività viene svolta e per le modalità operative
con cui sono effettuate le verifiche. Mentre l’ispettore
tradizionale si preoccupa soprattutto di individuare l’errore e
chi l’ha commesso, e quindi conduce verifiche con un
obiettivo principalmente sanzionatorio, l’auditor cerca
soprattutto di comprendere come l’errore abbia potuto
verificarsi e quali ne siano le cause. Sono di conseguenza
diversi gli stili di conduzione delle verifiche. Inoltre l’auditor
imposta il suo lavoro sulla base di una metodologia ben
definita e non sulla semplice esperienza, al pari dell’ispettore,
e cerca di ottenere risultati che possano essere utilizzati in
modo costruttivo all’interno della banca al fine di migliorare il
sistema.
Tutto ciò rende la revisione interna partecipe della
progettazione delle strategie aziendali; infatti alla valutazione
dei risultati economici delle nuove iniziative, non può, oggi,
non affiancarsi la preventiva valutazione dei rischi ad esse
connessi e delle concrete capacità dell’organizzazione
aziendale di governarne l’assunzione.
L’estensione dell’attività di revisione interna a funzioni
di natura consulenziale risulta, d’altro canto, funzionale
18
all’affermazione che la responsabilità dei controlli interni
grava sul Consiglio d’Amministrazione, al pari delle decisioni
di operatività. La complessità della materia dei controlli,
specie con riferimento alle nuove tipologie di rischio, ha fatto
discutere sulla possibilità che, in assenza di competenze
specialistiche all’interno degli organi amministrativi,
l’attribuzione di tale responsabilità potesse rimanere
un’affermazione di principio. Per evitare che ciò accada,
occorre che il Consiglio, così come per ogni altra decisione,
sia posto in grado di effettuare valutazioni consapevoli,
attraverso un’adeguata informazione e possa disporre delle
necessarie proposte da parte di un organismo autonomo
rispetto ai settori operativi interessati.
In definitiva, da un lato necessarietà, centralità e
indipendenza sono le caratteristiche essenziali nella funzione
di revisione interna, dall’altro, il controllo sulla regolarità
dell’operatività e sull’andamento dei rischi, la valutazione
della funzionalità complessiva dei controlli, l’affermazione di
un ruolo a carattere propositivo in materia di politiche di
gestione dei rischi, di strumenti di misurazione e di procedure
di controllo, sono le attività che ne definiscono il ruolo
nell’organizzazione delle banche.
Passiamo ora ad esaminare, in relazione con quanto
precedentemente illustrato, la mission e le responsabilità della
funzione in oggetto.
19