Banca d'Italia e CONSOB: comunicazione congiunta in materia di ripartizione delle competenze tra Compliance e Internal Audit

Il 10 marzo 2011 la Banca d’Italia e la CONSOB hanno pubblicato su i propri siti il testo della "Comunicazione congiunta BI - CONSOB in materia di ripartizione delle competenze tra Compliance e Internal Audit nella prestazione dei servizi di investimento e di gestione collettiva del risparmio"; il testo ufficiale è disponibile in formato pdf immagine a questo link.

Di seguito riproduciamo il testo completo (disponibile anche in epub, pdf testo, doc, odt, xhtml, conversioni a cura di www.compliancenet.it)

Il presente documento (l'originale in pdf ndr) è conforme all'originale contenuto negli archivi della Banca d'Italia
Firmato digitalmente da
CERCONE ROBERTO

Comunicazione congiunta BI - CONSOB in materia di ripartizione delle competenze tra Compliance e Internal Audit nella prestazione dei servizi di investimento e di gestione collettiva del risparmio

1. Il Regolamento congiunto Banca d’Italia - Consob emanato ai sensi dell'art. 6, co. 2-bis, del TUF, disciplina il sistema dei controlli interni degli intermediari abilitati a prestare servizi di investimento o di gestione collettiva, prevedendo controlli relativi alla conformità alle norme (compliance), alla gestione del rischio (risk management) e alla revisione interna (internal audit). A tal fine, gli intermediari sono tenuti ad istituire funzioni aziendali di controllo permanenti e indipendenti, variamente articolate secondo criteri di proporzionalità.

Nella fase di prima applicazione della nuova disciplina sono emersi, da parte degli intermediari, dubbi interpretativi con riferimento alla natura, all’estensione e alla finalità dei controlli di competenza delle funzioni di compliance e internal audit, che di fatto determinano talune difficoltà nella ripartizione dei compiti tra dette funzioni, riscontrabili principalmente nelle attività di verifica sul posto dell’efficacia delle procedure di controllo e della conformità dei comportamenti delle strutture operative.
Il corretto assetto organizzativo e l’efficiente articolazione delle funzioni di controllo, che evitino in particolare confusione nell’attribuzione delle responsabilità e duplicazioni nello svolgimento dei compiti, sono essenziali per assicurare la sana e prudente gestione degli intermediari nonché trasparenza e correttezza dei rapporti con la clientela.

Ciò posto, nell’ottica di chiarire i rapporti e i reciproci ambiti di competenza della compliance e dell’internal audit con riferimento in particolare alla gestione e al controllo dei rischi legali e reputazionali ai quali l’intermediario è esposto, la Banca d'Italia e la Consob, ai sensi del paragrafo 4.4 Protocollo d’intesa del 31 ottobre 2007, dettano le seguenti linee applicative di carattere generale.
Gli indirizzi si riferiscono all’articolazione dei compiti e delle responsabilità fra compliance e internal audit con specifico riguardo all’area della prestazione dei servizi di investimento e del servizio di gestione collettiva, alla luce delle relative fonti comunitarie (MiFID e direttiva n. 2006/73/CE) e nazionali (TUF e Regolamento congiunto Banca d’Italia/CONSOB del 29 ottobre 2007).
La comunicazione è volta a fornire chiarimenti in particolare, sull’area dei controlli ex post, in cui maggiori sono i rischi di sovrapposizione tra le due funzioni.

Le indicazioni contenute nella presente comunicazione sono da applicarsi in coerenza con il principio di proporzionalità di cui all'art. 4, comma 2, del Regolamento congiunto Banca d’Italia/Consob.

2. Le disposizioni del Regolamento congiunto definiscono espressamente la natura dei compiti delle richiamate funzioni; in particolare: i) alla compliance (art. l6) è assegnato il compito di valutare con regolarità l’adeguatezza e l’efficacia delle procedure adottate dall’intermediario al fine di garantire l’adempimento degli obblighi di correttezza e trasparenza e dei presidi adottati per mitigare il rischio di non conformità alle norme di condotta in materia di servizi di investimento e di gestione collettiva; ii) all’internal audit (art. 14) spetta il compito di adottare, applicare e mantenere un piano di audit per l’esame e la valutazione dell’adeguatezza e dell’efficacia dei sistemi, dei processi, delle procedure e dei meccanismi di controllo dell’intermediario.

I compiti di controllo della compliance sono di c.d. secondo livello; di terzo livello quelli dell’audit (nota 1).

In linea con la definizione normativa dei compiti, si fa presente che:

  • la compliance valuta il rischio di non conformità sotteso alle scelte strategiche adottate e svolge un`attività di verifica preventiva e di successivo monitoraggio dell'efficacia delle procedure aziendali in un'ottica di prevenzione e controllo dei rischi di non conformità alle norme poste a tutela della clientela in tema di servizi di investimento, distribuzione di prodotti finanziari e gestione collettiva, e ciò anche in relazione all’evoluzione del contesto normativo e operativo di riferimento. A tali fini, la compliance verifica i fenomeni aziendali, sulla base di indici di significatività, atti a rilevare l’idoneità delle procedure ad assicurate il rispetto delle regole di condotta (correttezza e trasparenza dei comportamenti); in tale prospettiva può svolgere controlli in loco. La compliance cura che vengano realizzati tempestivamente gli interventi correttivi per superare le carenze rilevate ed assicurare l’efficacia delle procedure aziendali e dei presidi a tutela della clientela.
  • La revisione interna verifica la correttezza dell’operatività aziendale ai fini del contenimento dei rischi, l’efficacia dell’organizzazione, il rispetto dei limiti previsti dai meccanismi di delega, la funzionalità del complessivo sistema dei controlli interni, l’affidabilità dei sistemi informativi, inclusi i sistemi di elaborazione automatica dei dati e dei sistemi di rilevazione contabile. Le verifiche condotte dalla revisione interna sono altresì finalizzate all'eventuale adozione, da parte dell’azienda, dei provvedimenti, anche di carattere disciplinare, nei confronti del personale interessato. A tutti i fini sopra indicati, la revisione interna conduce controlli periodici, inclusi gli accessi ispettivi, effettuati secondo il menzionato piano di audit e verifica con sistematicità la regolarità delle operazioni ed esegue accertamenti specifici nelle aree organizzative interessate da rischi di irregolarità.

3. Per svolgere efficacemente la propria attività, le due funzioni di controllo devono avere accesso a tutte le informazioni aziendali relative sia ai comportamenti sia alle procedure e ai processi interni; ai fini dell'esercizio del controllo le due funzioni possono avvalersi dei dati e delle informazioni rivenienti: i) dai controlli di linea; ii) dal sistema informativo aziendale; iii) dalle verifiche effettuate sul posto.
Per preservare le specificità delle due funzioni ed evitare sovrapposizioni, le modalità di impiego degli strumenti di controllo devono essere strettamente funzionali alla natura, alle finalità, all'estensione dell'azione di controllo di competenza.
In linea con tale principio, gli intermediari, nell'attribuire poteri di accesso diretto sul posto, si attengono ai seguenti criteri:

  • le verifiche volte ad accertare l’adeguatezza delle procedure di prevenzione e controllo dei rischi di non conformità. sono di competenza della compliance, che può effettuare accessi in loco su base campionaria per individuare aree di inefficacia/criticità delle procedure predisposte;
  • le verifiche di natura ispettiva volte a rilevare, in maniera sistematica, il grado di adeguatezza dell’assetto organizzativo aziendale, la correttezza dei comportamenti ai fini del contenimento dei rischi, nonché la funzionalità del complessivo sistema dei controlli interni (compresa la compliance) sono di competenza dell'internal audit.

4. La forte interrelazione e la complementarità esistenti tra le funzioni di controllo di conformità e di revisione interna, richiede che gli intermediari sviluppino forme di collaborazione tra di esse ricercando sinergie operative che valorizzino il patrimonio informativo e gli expertise del personale a disposizione delle due funzioni.
Cosi, in sede di pianificazione, almeno annuale, delle rispettive attività di controllo, gli intermediari sviluppano forme di ordinata collaborazione fra funzione di compliance e funzione di audit tese a valorizzare la coerenza e la complementarità delle attività pianificate.
Sotto questo profilo, va innanzitutto posta specifica attenzione all’articolazione dei flussi informativi tra le due funzioni aziendali. Da un lato, la compliance segnala anche all’audit le disfunzioni riscontrate nel corso della propria attività (in particolare, gli eventuali comportamenti difformi alla normativa rilevati). Dall’altro, l'audit informa la funzione di compliance delle eventuali inefficienze procedurali nella gestione dei rischi di non conformità emerse nel corso delle attività di verifica di propria competenza, con indicazione dei comportamenti difformi alla normativa riscontrati.
Sempre in un’ottica di valorizzazione della complementarità tra le due funzioni, al fine di rendere più efficiente il funzionamento dei controlli interni, la compliance, per lo svolgimento in loco delle proprie verifiche, normalmente si avvale, alla luce di un definito "accordo di servizio", di risorse e funzionalità dell'internal audit. In tal caso, gli intermediari predispongono accorgimenti atti ad assicurare che l'attività di controllo di terzo livello dell’audit sulla compliance sia ispirata a criteri di perdurante indipendenza e razionalità.
Gli intermediari individuano, formalizzano e comunicano chiaramente all'interno dell’azienda i compiti e le responsabilità delle due funzioni.

5. Nel caso in cui SIM o SGR di minore dimensione e complessità operativa decidano di non istituire, sulla base del criterio di proporzionalità, una funzione di audit permanente e indipendente, le stesse adottano soluzioni organizzative per assicurare comunque l’efficacia e le attività di revisione interna. In questi casi la responsabilità di tali attività dovrà far capo direttamente agli organi aziendali, che potranno delegare i relativi compiti di controllo a uno o più componenti non esecutivi dell’organo amministrativo. Questi ultimi potranno avvalersi di personale inserito dell’organizzazione dell’intermediario purché non addetto alle strutture da controllare.

***
La Banca d`Italia e la Consob verificheranno le azioni intraprese dagli intermediari in applicazione delle presenti linee guida ai fini di un efficace ed efficiente svolgimento delle funzioni di internal audit e di compliance.

Roma, 8 marzo 2011

Per la Banca d'Italia
Il Governatore

Per la CONSOB
Il Presidente

Nota 1) All'interno dell’audit è tradizionalmente incardinato il corpo ispettivo aziendale.