Il sistema di controllo interno e di gestione dei rischi nel nuovo Codice di Autodisciplina Francesco La Manno - Borsa Italiana
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Il sistema di controllo interno e di gestione
dei rischi nel nuovo Codice di Autodisciplina
Roma, 18/10/2012 Francesco La Manno
Borsa ItalianaIl Codice di Autodisciplina • 1999: Prima versione del Codice di Autodisciplina • 2002: Seconda versione del Codice di Autodisciplina • 2006: Terza versione del Codice (aggiornato nel 2010) • 2011: nuovo Comitato e nuova versione del Codice …
Il nuovo Comitato per la Corporate Governance
• Promotori: → Associazioni d’impresa Abi
Ania
Assonime
Confindustria
→ Assogestioni
→ Borsa Italiana
• Mission: → promuovere best practices
→ redigere e aggiornare il Codice di Autodisciplina
→ monitorare l’applicazione del Codice
• Comitato: → 24 membri in carica per 3 anni
→ Presidente G. Galateri, Vice Presidente D. Siniscalco
→ Il Comitato si riunisce almeno una volta l’anno
→ Il Comitato è assistito da una Segreteria Tecnica
→ Il Comitato si avvale dei consigli di 3 espertiIl nuovo Comitato per la Corporate Governance
Gli altri membri
Luigi Abete (Chair Assonime) Carlo Acutis (Deputy Chair Vittoria Assicurazioni)
Paolo Andrea Colombo (Chair Enel) Franco Bernabè (Chair Telecom Italia)
John Philip Elkann (Chair Fiat) Enrico Tommaso Cucchiani (CEO Intesa Sanpaolo)
Luca Garavoglia (Chair Campari) Raffaele Jerusalmi (CEO Borsa Italiana)
Edoardo Garrone (Chair Erg) Giordano Lombardo (Chair Pioneer SGR)
Federico Ghizzoni (CEO Unicredit) Marcella Panucci (General Manager Confindustria)
Guido Giubergia (Chair Ersel SGR) Alessandro Profumo (Chair Banca MPS)
Stefano Micossi (Chair CIR) Giovanni Sabatini (General Manager ABI)
Aldo Minucci (Chair Ania) Luitgard Spögler (Governance Expert BlackRock)
Paolo Scaroni (CEO Eni) Massimo Tononi (Chair Borsa Italiana)
Pierluigi Stefanini (Chair Unipol) Marco Tronchetti Provera (Chair Pirelli & C.)
Esperti
Bruno Cova Piergaetano Marchetti Angelo Provasoli
Paul Hastings Università Bocconi Università BocconiI tre pilastri del Codice
1. Efficacia del CdA
Compiti di supervisione strategica del CdA
Efficacia dei lavori del CdA
Assistenza dei comitati interni al CdA
2. Indipendenza
Rigorosa definizione di indipendenza con particolare riferimento
ai rapporti con gli azionisti influenti
Ruolo degli indipendenti, in particolare all’interno dei comitati
3. Accountability
Informazioni dettagliate al pubblico
Sistema dei controlli interniSchema ruoli/relazioni nel sistema dei controlli
Consiglio d’amministrazione Richiesta di
informazioni Collegio Sindacale
Attribuzione compiti
Attribuzione compiti
Rapporto periodico Rapporto periodico
Relazioni art. 154 Scambio
bis TUF D.lgs 39/2010 informazioni
Comitato controllo e
Organi
rischi
delegati e
direzione
Attribuzione compiti Soc. di revisione
Segnalazione
tempestiva di
carenze e anomalie
Dirigente preposto Scambio di
informazioni Scambio di
Rapporto periodico alla redazione informazioni Informativa periodica
documenti contabili Piano audit
Rapporto periodico Rapporto periodico Scambio di
Rapporto informazioni
periodico Consob
Scambio di informazioni
Internal Audit
Rapporto
periodico Organismo di vigilanza 231
Attività di audit Rapporti periodici
(inclusa 231)
FUNZIONI AZIENDALI
Fonte: NED CommunityRazionalizzazione del sistema dei controlli
(overview)
• Netta distinzione tra:
– comitato controllo e rischi che assiste il cda nelle sue valutazioni e
decisioni (= supporto alla gestione) e
– collegio sindacale, che vigila sulle procedure (= vigilanza)
• Rafforzamento autonomia del responsabile internal audit
È nominato/revocato/retribuito con delibera del cda previo parere
favorevole del comitato controllo e rischi e sentito il collegio
sindacale
Predispone piano di audit, che viene approvato dal cda
• Emittenti valutano l’opportunità di attribuire al collegio sindacale le
funzioni di organismo di vigilanza ex d.lgs. 231/2001Enfasi su rischi, mappatura soggetti, principali ruoli
CDA: definisce
le linee di indirizzo
e valuta l’adeguatezza
del sistema
Comitato
Collegio sindacale: vigila
controllo e rischi: supporta
sull’efficacia del sistema
valutazioni e decisioni del cda
in tema di controlli
Sistema di controllo interno
e di gestione dei rischi
Amministratore Internal Audit:
Incaricato: implementa il verifica adeguatezza e
sistema funzionamento del
Altre funzioni
sistema
aziendali (compliance, risk
management, etc.): articolate per
dimensioni e complessità
dell’impresaFinalità del sistema dei controlli • Il sistema di controllo interno e di gestione dei rischi è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi • Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale • Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione, favorendo l’assunzione di decisioni consapevoli • Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne. (7P1, 7P2)
Le componenti del sistema dei controlli • Le componenti del sistema spaziano dai cosiddetti controlli “di linea” (o «di primo livello») effettuati dai responsabili di aree operative, al cosiddetto controllo di gestione, che attiene alla pianificazione e controllo del business aziendale, sino alla revisione interna (internal audit), intesa come attività di verifica generale sulla struttura e sulla funzionalità dei controlli interni (controllo «di terzo livello») (Commento art. 7)
Chi fa cosa (modello tradizionale) Codice civile Codice di Autodisciplina • Il CdA VALUTA l’adeguatezza Il CdA dell’assetto organizzativo, • definisce la natura e il livello di rischio amministrativo e contabile della compatibile con gli obiettivi strategici società dell’emittente (1C1b) • Gli organi delegati CURANO che • definisce le linee di indirizzo del sistema di l’assetto organizzativo, controllo interno e di gestione dei rischi … amministrativo e contabile della determinando il grado di compatibilità dei società sia adeguato alla natura e rischi con … gli obiettivi strategici (7C1a) alle dimensioni dell’impresa • valuta, con cadenza almeno annuale, • Il collegio sindacale VIGILA l’adeguatezza del sistema di controllo sull’adeguatezza dell’assetto interno e di gestione dei rischi rispetto alle organizzativo, amministrativo e caratteristiche dell’impresa e al profilo di contabile adottato della società e rischio assunto, nonché la sua efficacia sul suo concreto funzionamento (7C1a)
Chi fa cosa (modello tradizionale)
Codice civile Disposizioni Vigilanza (in consultazione)
• Il CdA VALUTA l’adeguatezza Il CdA
dell’assetto organizzativo, • definisce e identifica il livello di rischio
amministrativo e contabile della accettato (c.d. “tolleranza al rischio” o
società “appetito per il rischio” )
• definisce:
• Gli organi delegati CURANO che
a) gli indirizzi strategici e le politiche di
l’assetto organizzativo,
governo dei rischi e provvede al loro
amministrativo e contabile della riesame periodico, in relazione
società sia adeguato alla natura e all’evoluzione dell’attività aziendale e del
alle dimensioni dell’impresa contesto esterno
• Il collegio sindacale VIGILA b) le linee di indirizzo del sistema dei
controlli interni, verificando che esso sia
sull’adeguatezza dell’assetto
coerente con il livello di rischio accettato e
organizzativo, amministrativo e gli indirizzi strategici stabiliti …
contabile adottato della società e c) i criteri per individuare le operazioni di
sul suo concreto funzionamento maggiore rilievo da sottoporre al vaglio
preventivo della funzione controllo rischiChi fa cosa (modello tradizionale)
Codice civile Codice di Autodisciplina
• Il CdA VALUTA l’adeguatezza L’amministratore “incaricato”
dell’assetto organizzativo, • cura l’identificazione dei principali rischi
amministrativo e contabile della aziendali, tenendo conto delle
società caratteristiche delle attività svolte
dall’emittente e dalle sue controllate, e li
• Gli organi delegati CURANO che sottopone periodicamente al CdA
l’assetto organizzativo, • dà esecuzione alle linee di indirizzo
amministrativo e contabile della definite dal CdA curando la progettazione,
società sia adeguato alla natura e realizzazione e gestione del sistema e
alle dimensioni dell’impresa verificandone costantemente l’adeguatezza
e l’efficacia
• Il collegio sindacale VIGILA
• si occupa dell’adattamento del sistema alla
sull’adeguatezza dell’assetto dinamica delle condizioni operative e del
organizzativo, amministrativo e panorama legislativo e regolamentare
contabile adottato della società e • è, di norma, l’amministratore delegato, ma
sul suo concreto funzionamento potrebbe essere un consigliere che non ha
altre deleghe operativeChi fa cosa (organo di controllo) L’organo di controllo • vigila “sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato della società e sul suo concreto funzionamento” (art. 2403, applicabile alle società con modello tradizionale o duale non quotate) • vigila “sull'adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile nonché sull'affidabilità di quest' ultimo nel rappresentare correttamente i fatti di gestione” (art. 149 t.u.f., applicabile alle società con modello tradizionale o duale quotate) • vigila “sull'adeguatezza della struttura organizzativa della società, del sistema di controllo interno e del sistema amministrativo e contabile nonché sulla sua idoneità a rappresentare correttamente i fatti di gestione” (art. 2409 octiesdecies, applicabile alle società con modello monistico quotate e non) • vigila su “l'efficacia dei sistemi di controllo interno, di revisione interna, se applicabile, e di gestione del rischio” (art. 19 d.lgs. 39/2010)
Chi fa cosa (modello tradizionale)
Codice civile Codice di Autodisciplina
• Il CdA VALUTA l’adeguatezza Il collegio sindacale
dell’assetto organizzativo, • ricopre un ruolo centrale nel sistema di
amministrativo e contabile della vigilanza di un emittente (commento 8)
società • esercita un compito di vigilanza anche
preventiva e non meramente ex post, che si
• Gli organi delegati CURANO che
traduce in una verifica sui processi il cui
l’assetto organizzativo, esito va portato all’attenzione degli
amministrativo e contabile della amministratori, affinché adottino le misure
società sia adeguato alla natura e correttive necessarie (commento 8)
alle dimensioni dell’impresa • scambia tempestivamente con [≠ riceve
da!] il comitato controllo e rischi le
• Il collegio sindacale VIGILA
informazioni rilevanti (8C5)
sull’adeguatezza dell’assetto
• esprime pareri su nomina, revoca e
organizzativo, amministrativo e remunerazione del resp. IA e sul piano di
contabile adottato della società e audit da questi presentato (7C1)
sul suo concreto funzionamento • gli emittenti valutano l’opportunità di
attribuire al CS le funzioni di odv (comm.7)Chi fa cosa (modello tradizionale)
Codice civile Disposizioni Vigilanza (in consultazione)
• Il CdA VALUTA l’adeguatezza L’organo con funzione di controllo
dell’assetto organizzativo, • ha la responsabilità di vigilare sulla
amministrativo e contabile della completezza, funzionalità e adeguatezza
del sistema dei controlli interni
società
• svolge le funzioni dell’organismo di
• Gli organi delegati CURANO che vigilanza - previsto ai sensi della legge n.
l’assetto organizzativo, 231/2001, in materia di responsabilità
amministrativo e contabile della amministrativa degli enti - che vigila sul
società sia adeguato alla natura e funzionamento e l’osservanza dei modelli di
organizzazione e di gestione di cui si dota
alle dimensioni dell’impresa
la banca per prevenire i reati rilevanti ai
• Il collegio sindacale VIGILA fini della medesima legge
sull’adeguatezza dell’assetto
organizzativo, amministrativo e
contabile adottato della società e
sul suo concreto funzionamentoChi fa cosa (CdA)
• definisce le linee di indirizzo del sistema …
• valuta, con cadenza almeno annuale, l’adeguatezza del sistema …
• approva, con cadenza almeno annuale, il piano di lavoro predisposto dal
responsabile della funzione di internal audit, sentiti il collegio sindacale e
l’amministratore incaricato del sistema di controllo interno e di gestione dei
rischi
• descrive, nella relazione sul governo societario, le principali caratteristiche del
sistema di controllo interno e di gestione dei rischi, esprimendo la propria
valutazione sull’adeguatezza dello stesso
• valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella
eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali
emerse in sede di revisione legale
• su proposta dell’amministratore incaricato del sistema di controllo interno e di
gestione dei rischi e previo parere favorevole del comitato controllo e rischi,
nonché sentito il collegio sindacale:
– nomina e revoca il responsabile della funzione di internal audit;
– assicura che lo stesso sia dotato delle risorse adeguate
– ne definisce la remunerazione coerentemente con le politiche aziendaliChi fa cosa (Comitato controllo e rischi) • valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato • esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali • esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione internal audit • monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal audit • può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al presidente del collegio sindacale • riferisce al consiglio, almeno semestralmente, in occasione dell’approvazione della relazione finanziaria annuale e semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno e di gestione dei rischi
FORUM
Chi fa cosa (mancata
LA CORPORATE GOVERNANCEistituzione del
IN BANCA: L’EVOLUZIONE CCR)
DELLA
L’AUTOVALUTAZIONE DEL BOARD E L’EXECUTIVE COMPENSATION
DISCIPLINA,
• La scelta di non istituire il Comitato Controllo e Rischi è fondata sulla valutazione
di fattori relativi alla complessità e al settore di attività dell’emittente tra cui:
– natura dell’attività svolta e appartenenza a un settore regolamentato
– fatturato o l’attivo di bilancio
– numero dei dipendenti
– capitalizzazione di mercato
– numero e collocazione geografica delle controllate o partecipate
– svolgimento di attività di impresa in aree geografiche a rischio
– numero, qualifiche professionali e disponibilità di tempo degli amministratori
• Non si può evitare la nomina del Comitato Controllo e Rischi se l’emittente è
controllato da altro emittente o sottoposto a direzione e coordinamento (4C2)
• All’espletamento delle funzioni che il Codice attribuisce al comitato devono
essere dedicati, all’interno delle sedute consiliari, adeguati spazi, dei quali venga
dato conto nella relazione sul governo societario (4C2)
• È richiesto a ciascun amministratore un impegno speciale e al presidente – o altro
amministratore a ciò designato – di informare in modo adeguato i colleghi in
merito agli argomenti da discutere (commento 7)Chi fa cosa (Amministratore incaricato) • cura l’identificazione dei principali rischi aziendali … • dà esecuzione alle linee di indirizzo definite dal CdA … • si occupa dell’adattamento del sistema alla dinamica … • può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell’esecuzione di operazioni aziendali, dandone contestuale comunicazione al presidente del CdA, al presidente del CCR e al presidente del CS • riferisce tempestivamente al CCR (o al CdA) in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto notizia, affinché vengano prese le opportune iniziative • L’AI può essere un amministratore con deleghe operative o un amministratore senza altre deleghe, che sia ritenuto particolarmente adatto alla funzione • Affidare l’incarico a un amministratore con deleghe operative può presentare vantaggi legati alle specifiche conoscenze possedute da tale soggetto. Peraltro può essere utile, in tal caso, che l’emittente individui adeguati presidi circa le proposte su nomina, revoca e remunerazione del responsabile dell’internal audit (ad es. condivisione con il presidente del consiglio di amministrazione, in quanto non sia a sua volta investito di deleghe operative)
FORUM
Chi fa cosa (resp.
LA CORPORATE internal
GOVERNANCE audit)
IN BANCA: L’EVOLUZIONE DELLA DISCIPLINA,
L’AUTOVALUTAZIONE DEL BOARD E L’EXECUTIVE COMPENSATION
• verifica, sia in via continuativa sia in relazione a specifiche necessità e nel
rispetto degli standard internazionali, l’operatività e l’idoneità del sistema di
controllo interno e di gestione dei rischi, attraverso un piano di audit, approvato
dal CdA, basato su un processo strutturato di analisi e prioritizzazione dei
principali rischi
• non è responsabile di alcuna area operativa e dipende gerarchicamente dal CdA
• ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico
• predispone relazioni periodiche contenenti adeguate informazioni sulla propria
attività, sulle modalità con cui viene condotta la gestione dei rischi nonché sul
rispetto dei piani definiti per il loro contenimento nonché una valutazione
sull’idoneità del sistema di controllo interno e di gestione dei rischi
• predispone tempestivamente relazioni su eventi di particolare rilevanza
• trasmette le relazioni periodiche e su eventi rilevanti ai presidenti del CS, del
CCR e del CdA nonché all’amministratore incaricato
• verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi
inclusi i sistemi di rilevazione contabileChi fa cosa (altre funzioni aziendali di controllo)
Codice di Autodisciplina Disposizioni Vigilanza (in consultazione)
• Il Comitato ritiene che spetti a • Se coerente con il principio di
ciascun emittente stabilire quale sia proporzionalità, le banche possono, a
l’assetto organizzativo più idoneo, condizione che i controlli sulle diverse
in relazione alle caratteristiche
tipologie di rischio continuino ad essere
dell’impresa, a consentire un
efficaci:
efficace presidio sui rischi: in tal
modo, è possibile che il - affidare lo svolgimento della funzione di
monitoraggio e la gestione dei rischi conformità alle norme alle strutture
vengano affidati alla responsabilità incaricate della funzione di controllo dei
di manager (e strutture aziendali) rischi
non dedicati a ciò in via esclusiva.
- affidare lo svolgimento delle funzioni
Le funzioni cui è attribuito un
aziendali di controllo all’esterno a
controllo di secondo livello … sono
soggette alla revisione generale da soggetti terzi dotati di requisiti idonei in
parte dell’internal audit. termini di professionalità e indipendenzaChi fa cosa (collegio sindacale) • Al collegio sindacale spetta un compito di vigilanza anche preventiva e non meramente ex post, che si traduce in una verifica sui processi il cui esito va portato all’attenzione degli amministratori, affinché adottino le misure correttive eventualmente necessarie (commento art. 8) • Il conseguente coordinamento con gli organi di gestione, anche delegati, è compatibile con il ruolo di vigilanza sulla conformità (alle norme, allo statuto, alle procedure interne), tipicamente affidato al collegio sindacale, che lo differenzia in modo netto rispetto al CdA e al CCR, i quali svolgono essenzialmente un ruolo di valutazione anche di merito sull’adeguatezza degli assetti e sull’andamento della gestione (commento art. 8)
Puoi anche leggere
