A presidio dei rischi aziendali

Negli ultimi anni la funzione di controllo interno (internal audit) nelle banche è stata oggetto di un profondo cambiamento che ne ha radicalmente trasformato obiettivi, compiti e modalità operative. Hanno contribuito a tale cambiamento le trasformazioni che hanno interessato l’operatività bancaria, anche e soprattutto nei suoi rapporti con la clientela e con il mercato. Gli impatti derivati sulle strutture e sui contesti organizzativi interni hanno imposto una radicale innovazione delle funzioni di controllo interno, che sono passate da un ambito spesso limitato a verifiche di conformità contabile e finanziaria ad obiettivi di ben più ampio respiro.

Un ulteriore impulso è derivato anche dai cambiamenti introdotti dagli Organi di Vigilanza con riferimento alla creazione di nuovi attori nei processi di controllo aziendali. Basti pensare alle funzioni di conformità alle norme (compliance) o a quella di controllo dei rischi (risk management) o di quelle deputate a definire e mantenere un modello organizzativo e di controllo sull’informativa finanziaria della banca (dirigente preposto).

Abbiamo assistito quindi - negli ultimi anni - ad una profonda revisione sia dell’architettura del sistema dei controlli interni in banca sia dei meccanismi di interrelazione tra la funzione di internal audit e gli altri attori coinvolti nei processi di controllo.

Ma cosa intendiamo per sistema dei controlli interni? Ne parliamo con Augusto Frigerio, responsabile della Direzione revisione interna del Banco Desio. Nato a Brescia ma lecchese da sempre, sposato con due figli, Augusto Frigerio ha maturato la sua esperienza professionale sempre in ambito bancario in ruoli di filiale e di direzione. In Banco Desio dal 1999, ha diretto - per dodici anni - l’area Controllo Andamento Rischi sino a pochi mesi fa, quando l’azienda lo ha chiamato a dirigere la Direzione Revisione Interna.

“Il sistema dei controlli interni - ci chiarisce il nostro interlocutore - è un elemento fondamentale del complesso sistema di governo delle banche; esso assicura che l’attività aziendale sia in linea con le strategie e le politiche aziendali e sia improntata a canoni di sana e prudente gestione, attraverso l’individuazione ed il presidio di tutte le tipologie di rischio aziendale.

“Il sistema riveste quindi un ruolo centrale nell’organizzazione aziendale, in quanto rappresenta un elemento fondamentale di conoscenza per gli organi aziendali al fine di garantire piena consapevolezza della situazione ed efficace presidio dei rischi aziendali e delle loro interrelazioni. Ma non solo, il sistema orienta i mutamenti delle linee strategiche e delle politiche aziendali e consente di adattare in modo coerente il contesto organizzativo, presidia la funzionalità dei sistemi gestionali ed il rispetto degli istituti di vigilanza prudenziale.

“Nell’ambito del Sistema dei Controlli Interni si colloca la Revisione interna che può definirsi come un’attività indipendente e obiettiva, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione, alla valutazione ed al miglioramento dei processi di controllo, di gestione dei rischi e di corporate governance, favorendo la diffusione di una corretta cultura del controllo, nei diversi ambiti aziendali”.

Il concetto di “rischio”, in banca, appare quindi strettamente correlato a quello di “controllo”…

“Non potrebbe essere altrimenti. All’interno delle aziende bancarie il processo di gestione dei rischi, inteso come l’insieme delle regole, delle procedure, delle risorse (umane, tecnologiche e organizzative) e delle attività di controllo volte a identificare, misurare o valutare, prevenire o attenuare, tutti i rischi assunti e assumibili, è governato e presidiato dalle cosiddette funzioni aziendali di controllo, tra le quali si annovera la nostra funzione di revisione. Ad essa sono affidati, in particolare, i controlli cosiddetti di “terzo livello”.

Approfondiamo questo concetto. L’esistenza di un “terzo livello” presuppone l’esistenza di controlli di primo e di secondo.

“Esattamente. Con controlli di primo livello si intendono quelli svolti dalla linea, dalle funzioni operative (per esempio i controlli che vengono svolti allo sportello, nelle filiali). Per secondo livello quelli svolti da funzioni “specialistiche” che ho citato prima (compliance, risk management, antiriciclaggio, ecc.), mentre a noi come Revisione interna sono demandati quelli di terzo livello. Trattasi dell’insieme di attività volte ad accertare, anche con verifiche in loco, il regolare andamento dell’operatività ed individuare eventuali violazioni delle procedure e della regolamentazione (esterna ed interna), nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema dei controlli interni e del sistema informativo, con cadenza prefissata in relazione alla natura e all’intensità dei rischi, portando all’attenzione degli organi aziendali i possibili miglioramenti.

“Per raggiungere tali obiettivi la Direzione Revisione Interna opera in stretta relazione con le altre funzioni aziendali di controllo citate nella cornice più ampia della determinazione della propensione al rischio della banca (sistema integrato degli obiettivi di rischio), in coerenza con il business model ed il piano strategico e attraverso un sistematico e costante scambio di flussi informativi, destinati anche ai vari Organi aziendali”.

A quale organo interno rispondete in merito alle vostre attività e come pianificate i vostri interventi di audit?

“Con cadenza annuale la Direzione Revisione Interna redige il proprio piano di audit con l’indicazione delle attività di controllo, che viene sottoposto all’approvazione dell’organo con funzione di supervisione strategica (il Consiglio di amministrazione), al quale riporta gerarchicamente in linea diretta.

“Al termine di ciascun ciclo gestionale (di norma trimestralmente), presentiamo agli organi aziendali una relazione sull’attività svolta, che illustra le verifiche effettuate, i risultati emersi, i punti di debolezza rilevati e le proposte di interventi da adottare per la loro rimozione, riferendo in ordine alla completezza, adeguatezza, funzionalità ed affidabilità del sistema dei controlli interni.

“In ogni caso, la Direzione Revisione Interna informa tempestivamente gli organi aziendali e le altre funzioni aziendali di controllo su ogni irregolarità o carenza rilevante riscontrata (ad es. violazioni che possono comportare un alto rischio di sanzioni regolamentari o legali, perdite finanziarie di rilievo o significativi impatti sulla situazione finanziaria o patrimoniale, danni di reputazione, malfunzionamenti di procedure informatiche critiche).

“La Direzione Revisione Interna assicura inoltre alle altre funzioni aziendali il supporto per gli aspetti specialistici di competenza per la realizzazione ed il costante aggiornamento della normativa aziendale interna e collabora altresì allo sviluppo e all’implementazione dei processi di lavoro e dei sistemi informatici.

“Collaboriamo inoltre allo sviluppo di progetti organizzativi e supportiamo la formazione aziendale nell’individuazione dei bisogni formativi, contribuendo nella progettazione, realizzazione e aggiornamento dei moduli formativi e nell’attività di docenza”.

E dal punto di vista organizzativo come siete strutturati per svolgere tali funzioni?

“La Direzione Revisione Interna opera attraverso tre distinti uffici : il primo, l’ufficio Programmazione audit e controlli off-site, si occupa in maniera esclusiva della prestazione dei servizi di investimento e comparti ad essi collegati. La sua missione consiste nell’individuare e monitorare - attraverso un apposito cruscotto basato sull’utilizzo di indicatori di rischio opportunamente costruiti - eventuali andamenti anomali utili ad orientare e pianificare interventi successivi. In tale contesto, oltre alla programmazione e allo svolgimento periodico di interventi di audit presso le unità organizzative di sede e la rete distributiva, monitora costantemente - anche con tecniche a distanza - ambiti di rischio specifico, intervenendo all’evidenziarsi di situazioni irregolari o anomale. Considerati i comparti, relativi, come ho detto, agli investimenti, si tratta di attività volte a tutelare la banca ma anche la clientela.

“Il secondo ufficio (Auditing Rete) - prosegue il nostro interlocutore - sempre sulla scorta di evidenze di indicatori di rischio, svolge approfondimenti a distanza o sul posto presso le filiali, volti ad accertare che le metodologie applicate nello svolgimento delle attività e l’assetto organizzativo delle stesse siano efficienti ed efficaci, in linea con la normativa vigente e con le direttive aziendali. Inoltre, indipendentemente dal programma di audit, l’ufficio svolge specifici interventi, sia di propria iniziativa sia su richiesta dell’Alta Direzione, allo scopo di approfondire determinati fatti ed eventi meritevoli di attenzione. Per un miglior monitoraggio dell’attività, ogni auditor incaricato segue una specifica area territoriale.

“Sempre quest’ufficio collabora, inoltre, con il Collegio Sindacale nello svolgimento di accertamenti presso le filiali che lo stesso Collegio intenda effettuare e presta consulenza ai diversi uffici centrali in merito ad eventuali aspetti che necessitano di specifici approfondimenti.

“La struttura della Direzione Revisione interna è completata infine dall’ufficio Auditing Banca e Gruppo. Tale ufficio svolge attività di verifica sulle strutture di sede centrale e sui sistemi informativi al fine di accertare - in relazione alle attività operative delle singole strutture - il rispetto della normativa regolamentare ed interna, inclusa l’applicazione del Codice interno di comportamento. In tale contesto formula suggerimenti ed accerta nel tempo la rimozione delle eventuali anomalie rilevate nell’operatività e nel funzionamento/impianto del sistema dei controlli.

“Rispetto alle società controllate, l’ufficio verifica mediante accertamenti diretti, anche attraverso il supporto di controller distaccati presso le medesime, la rispondenza dei comportamenti agli indirizzi ed alle linee guida definite dalla Capogruppo. L’ufficio è altresì responsabile dell’attività di revisione del processo ICAAP (Internal Capital Adequacy Assessment Process). Tale processo interno si occupa di determinare l’adeguatezza patrimoniale dell’azienda, attuale e prospettica, in relazione ai rischi assunti ed alle strategie aziendali.

“Non ultimo coordina, di concerto con le altre funzioni della Direzione, le attività di supporto agli Organismi di Vigilanza e Controllo nominati ai sensi del D.Lgs. n.231/2001 nello svolgimento delle attività di verifica volte a stabilire l’adeguatezza e l’efficace attuazione del modello organizzativo adottato”.