UNIVERSITÀ DEGLI STUDI “ROMA TRE” FACOLTÀ DI ECONOMIA “Federico Caffè” CORSO DI STUDI IN ECONOMIA AZIENDALE Tesi di laurea in Economia e gestione delle imprese “COMPLIANCE, FUNZIONE CHE AGGIUNGE VALORE” RELATORE Chiar.mo Prof. Roberto Aguiari CORRELATORE Chiar.ma Dott.sa Francesca Faggioni LAUREANDO Luca Gallo Anno accademico 2005 – 2006 COMPLIANCE, FUNZIONE CHE AGGIUNGE VALORE INTRODUZIONE………………………………….…………………………….5 1. FUNZIONE COMPLIANCE 1.1 Ragioni della compliance……………………………………...……………9 1.2 Il problema della conformità………………………………………………14 1.3 Compliance e “laws, rules and standards”, Gestione del rischio amministrativo e di immagine……………………………………………..18 1.4 Corporate Social Responsibility (CSR)……………………………………23 1.5 Compliance funzione che aggiunge valore………………………………..40 2. LA FUNZIONE COMPLIANCE IN BANCA Introduzione…………………………………………………..………….……..49 2.1 Integrazione della funzione compliance nell’organizzazione, finalità e principi……………………………………………..………….52 2.2 Confronto e parallelismo tra compliance e gestione dei rischi operativi in banca…………………………………......………63 2.3 Riflessi organizzativi e impatto della compliance nelle banche di medio-piccola dimensione……………………..……….72 2.4 Requisiti quali-quantitativi definiti da Basilea 2 con particolare riguardo alle banche di prossimità……………...………74 2.5 Nuovi compiti compliance: MiFID……………………………...………87 2.6 Responsabilità “amministrativa” delle società e modelli organizzativi; D.lgs 231/2001………………………….……..93 2.6.1 2.7 2 Adozione del modello organizzativo………….……………………….99 AICOM, Linee guida per il management……………………………….101 2.8 AICOM, Collocazione organizzativa, costi e benefici della funzione compliance nelle banche che operano in Italia……...….104 3. COMPLIANCE E MANAGEMENT; GESTIONE DEL RISCHIO 3.1 Un approccio olistico alla funzione compliance……………….……….108 3.2 Il ruolo e le responsabilità del top-management: diffusione della cultura compliance nell’organizzazione………..……..119 3.3 Enterprise Risk Management (EMR) e business continuità………..…..128 3.3.1 Compliance risk management…………………….…………….136 3.3.2 Operational risk management…………………………………..142 3.4 Metodologia e modelli di gestione………………………….…………..145 3.4.1 L’EMR COSO Framework………………………...…………..148 3.4.2 Il COBiT……………………………………………….………156 4. SARBANES-OXLEY COMPLIANCE E ANALISI DEI COSTI/BENEFICI 4.1 The Sarbanes-Oxley Act of 2002……………………………………….165 4.1.1 Le disposizioni del SOA in materia di controllo interno ed informativa societaria (sez. 302, 906 e 404)…………170 4.1.2 Obiettivi specifici del sistema di controllo ai fini del SOA (sez. 302 e 404)………………………………………..181 4.1.3 La certificazione del revisore contabile (sez. 906)…………..….183 4.1.4 Relazione tra “disclosure controls and procedures” e “internal control over financial reporting”………………….…190 4.2 I costi della Sarbanes-Oxley Act a confronto con i benefici e le aspettative………………………………………..….191 4.2.1 Costi elevati per l’adempimento della sezione 404…………….195 3 4.3 I vantaggi di gestire la compliance con processi automatizzati di amministrazione della funzione…………………..…..205 4.4 Compliance sostenibile, un approccio strategico genera benefici……...209 CONCLUSIONI………………………………………………………...……..220 APPENDICI…………………………………………………………..….……224 BILIOGRAFIA………………………………………………………..………227 WEBSITES…………………………………………………………….………240 4 ‹‹Il problema dell’economia di mercato libera è che richiede così tante guardie per farla funzionare›› Neal Ascherson INTRODUZIONE Le leggi da sempre riflettono i bisogni ed i valori attuali della società; di conseguenza, la regolamentazione è una risposta, poiché raramente può anticipare o immaginare le problematiche future, e ancora oggi richiede la definizione del problema e l’identificazione di potenziali risoluzioni. Il rispetto della legalità e della correttezza negli affari è, anch’esso, elemento indispensabile dell’attività d’impresa, fondata sulla fiducia. Peraltro, l’evoluzione dei mercati, finanziari e non, in termini di innovazione dei prodotti, di trasferimento di rischi e di proiezione internazionale, rende più complessi l’identificazione e il controllo dei comportamenti che possono costituire violazione delle norme, degli standard operativi, dei principi deontologici ed etici dell’attività di intermediazione. Nel mutato contesto è necessario, da un lato, promuovere una cultura aziendale improntata a principi di onestà, correttezza e rispetto non solo della lettera, ma anche dello spirito, delle norme; dall’altro, approntare specifici presidi organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione, richiedendo l’istituzione di un’apposita funzione di prevenzione e gestione del rischio di violazioni delle richiamate prescrizioni. Saper leggere i rischi, cogliere tempestivamente i segnali di cambiamento e di pericolo, vale per il pubblico come per il privato, per lo Stato come per le aziende. Oggi il cambiamento plasma ogni singola attività d’impresa. Il mutamento è vissuto come una “costante” della vita d’impresa; la vera sfida sta perciò nell’identificazione precoce dei cambiamenti esterni e interni, vissuti soprattutto come opportunità. Non è più sufficiente monitorare ciò che accade dentro e fuori l’azienda; è invece necessario individuare i segnali interessanti (o anomali) in un contesto sociale, politico, amministrativo, culturale, tecnico, economico, ecc. di movimento spesso vorticoso. Il business del presente e del futuro ha bisogno di 5 nuovi “sensori”, che completino il sostegno alle decisioni offerto dai sistemi MIS (Management Information System). Più che cambiare in tempo reale, c’è necessità di leggere in tempo reale ciò che accade intorno a noi, per reagire prima che il pericolo si manifesti. È necessario predefinire un modello che porti con sé la sicurezza, la trasparenza (in senso lato, sia fisica che informatica) come elemento strutturale dell’azienda, e non più rimanere alla sola imposizione del legislatore. Da questo punto di vista, la compliance (la flessibilità, la capacità dell’azienda di adeguarsi alle norme e alle leggi introdotte) agisce sull’innovazione della sicurezza e della tecnologia nelle organizzazioni, riportando al centro le scelte strategiche. Di compliance si è cominciato a parlare qualche anno fa con l’introduzione negli Stati Uniti della Sarbanes-Oxley Act, poi di Basilea I e II in Europa; ormai numerosissime sono oggi le norme e le leggi (pensiamo al d.lgs. 231/01 o al Codice della Privacy in Italia) che imbrigliano l’attività d’impresa e costringono gli imprenditori a confrontarsi, forse per la prima volta, con un’eccezionale complessità. Si tratta infatti di governare proattivamente il cambiamento delle condizioni del contesto in cui l’azienda opera, non tanto per evitare di trovarsi impreparati, quanto piuttosto per reagire con agilità alle novità imposte da leggi, regolamenti e norme. L’approccio proattivo alla compliance diventa innanzitutto una scelta che non può prescindere dalla consapevolezza che ogni azione di governo messa in campo diventi un’azione dalla durata teoricamente illimitata, subordinata all’esistenza delle condizioni che ne hanno decretato la nascita, al tempo stesso però pronta a trasformarsi in strumento di innovazione dei processi aziendali. Governare un cambiamento incessante comporta costi elevati, sia in termini di energie e risorse umane, che di costi di adeguamento da sostenere; la contemporaneità degli adeguamenti richiesti fa sì che sia più economico ragionare in termini di programmi e di processi di Compliance Management, piuttosto che di progetti ad-hoc per singole regolamentazioni, alla ricerca di quell’iteratività che permette di ottimizzare i costi. Fonti Gartner, per esempio, segnalano che prima del 2007 il 75% delle società classificate “Fortune 500” si doteranno di una governance capillare o di una vera e propria infrastruttura di compliance (probabilità 0,8). Ci attende (e l’instabilità del contesto politico e sociale non fa che dimostrarlo giorno dopo giorno) un periodo di progressivo inasprimento del 6 quadro normativo, la cui gestione è ancor più complicata per la necessità di contemperare istanze locali e globali. Il Compliance Management, agendo sui processi operativi di business, è uno strumento di governo che va diffondendosi almeno tra le aziende più grandi, costruito sui tre pilastri che rappresentano, ovunque, gli elementi costitutivi su cui nascono e agiscono leggi e norme. Permette innanzitutto di capire processi e politiche, poi di documentarli (come richiesto sempre dalle leggi e dalle norme), infine di monitorarli e controllarne l’evoluzione. Oggi infatti non è più sufficiente soddisfare i “requisiti base”; è necessario promuovere (e dimostrare di averlo fatto) un’autentica cultura aziendale che realizzi (e difenda) l’integrità dell’informazione, il management dei processi, la sicurezza dei dati, i requisiti di privacy, la continuità del business. Trasparenza e conoscenza condivisa rappresentano così i criteri base che informano il governo del cambiamento e tutte le attività di sviluppo della compliance. Per garantire la gestione della compliance così come è stata descritta, multinazionali e aziende globali hanno già creato una funzione aziendale interna dedicata; si tratta del Corporate Compliance Officer (CCO), chiamato anche Chief Compliance Officer o Chief Governance Officer (talvolta alle dipendenze dirette del Chief Risk Officer), al quale è affidato il compito di standardizzare gli obiettivi di controllo e di verifica interni ed esterni, oltre a quello di seguire tutti i cambiamenti e le innovazioni necessarie per assimilare le nuove regole e le nuove politiche. Nelle situazioni più articolate, il CCO ha a disposizione un gruppo di lavoro che si fa interprete delle tendenze di sviluppo delle regole e delle norme e comunica con i consulenti e gli auditor per assicurare che il programma di adeguamento e mantenimento prosegua. Perché poi la compliance porti effettivi benefici al business (e non si trasformi piuttosto in una specie di buco nero che drena energie e risorse economiche) è indispensabile che sia trattata come un programma di sostegno all’operatività. Supporti organizzativi, metodologia per il controllo dei processi, controllo dei contenuti diventano i tre sostegni della corporate governance che più di altri influenzano l’adeguamento alle nuove norme. Accanto al CCO, talvolta in alternativa, numerose aziende scelgono oggi di avere un IT Compliance Manager (ITCM), al quale affidare le scelte tecnologiche necessarie per realizzare gli adeguamenti di legge richiesti e la cosiddetta 7 architettura per la compliance la cui costruzione non sempre richiede nuovo software, più spesso richiede l’integrazione di applicazioni già disponibili, utilizzando gli standard di riferimento. Le architetture per la compliance, inoltre, supportano uno stile di management orientato alla prestazione; è il Corporate Performance Management (CPM) che comprende i processi utilizzati per il governo della Corporate Performance (dalla formulazione della strategia alla definizione dei budget), le metodologie che guidano i processi individuati (per esempio Balanced Scorecard o Valued-based Management), infine le metriche utilizzate per le misure. Realizzare strutture IT efficienti e flessibili è tuttora una delle prime dieci priorità dei CIO, necessità che in questi anni si scontra con la difficoltà di disporre di budget IT adeguati. L’azienda del Tempo Reale, infatti, si costruisce sulla consapevolezza, la flessibilità, l’adattabilità e la produttività, cioè sui i catalizzatori capaci di attivare e accelerare i processi. La consapevolezza rappresenta la misura di quanto l’azienda davvero conosce delle informazioni e delle attività necessarie a guidare l’intera struttura verso l’agilità. Il termine flessibilità identifica la capacità di reagire ai cambiamenti previsti, mentre con il termine adattabilità si intende la capacità di reazione all’imprevisto; infine la produttività indica l’efficienza operativa dell’impresa. Flessibilità e agilità, in particolare, superano la connotazione meramente produttiva e si trasformano in elementi strutturali del tessuto sociale aziendale, chiamato ad adeguarsi al quadro normativo senza stravolgere o mistificare la propria missione primaria, quella di generare profitto. Ogni nuovo investimento finalizzato a ottemperare gli obblighi di legge ha bisogno di trasformarsi in un investimento produttivo, che migliori la prestazione; ecco perché il CPM è una componente critica della funzione di compliance: senza la misura delle prestazioni non si misura l’impatto dell’investimento sostenuto, non si può monitorare e controllare attivamente l’azienda. 8 Capitolo 1 LA FUNZIONE COMPLIANCE 1.1 LE RAGIONI DELLA COMPLIANCE Da sempre gli uomini si sono battuti contro altri uomini per mantenere l’ordine, prevenire e risolvere conflitti, al fine di garantire un’equa distribuzione delle risorse. In questo secolo la regolamentazione giuridica ha prevalso come soluzione alle minacce all’ordine e alla giustizia. Il rispetto della legalità e della correttezza negli affari è, da sempre, elemento indispensabile dell’attività d’impresa, fondata sulla fiducia. Peraltro, l’evoluzione dei mercati, finanziari e non, in termini di innovazione dei prodotti, di trasferimento di rischi e di proiezione internazionale, rende più complessi l’identificazione e il controllo dei comportamenti che possono costituire violazione delle norme, degli standard operativi, dei principi deontologici ed etici dell’attività di intermediazione. Nel mutato contesto è necessario, da un lato, promuovere una cultura aziendale improntata a principi di onestà, correttezza e rispetto non solo della lettera, ma anche dello spirito, delle norme; dall’altro, approntare specifici presidi organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione, richiedendo l’istituzione di un’apposita funzione di prevenzione e gestione del rischio di violazioni delle richiamate prescrizioni. Lasciando la piena discrezionalità nella scelta delle soluzioni organizzative più idonee ed efficaci per realizzarli. La funzione di conformità alle norme ha un’importanza determinante in termini di creazione di valore aziendale, conseguibile attraverso il rafforzamento e la preservazione del buon nome della società e della fiducia del pubblico nella sua correttezza operativa e gestionale. Nel perseguimento di questi obiettivi, l’attenzione delle aziende dovrà soprattutto rivolgersi agli utenti dei beni e servizi offerti, non solo attraverso la puntuale e coerente applicazione della disciplina posta a tutela della clientela, ma anche 9 assicurando loro un’informazione completa che promuova la consapevole assunzione delle scelte. Dotarsi di una funzione “Compliance” è divenuta quindi una necessità, non solo perché le norme lo prevedono, ma soprattutto perché le sfide che si devono affrontare lo impongono. Le dimensioni, la molteplicità e la diversità delle attività svolte non cessano di crescere, le attività operative sono sempre più decentralizzate. Tutto ciò comporta un notevole aumento dei rischi. Nello stesso tempo l’ambiente si è evoluto. Gli scandali finanziari degli ultimi anni negli Stati Uniti e in Europa, lo sviluppo dei mercati finanziari mondiali, i rischi sistemici che potrebbero provocare perdita di fiducia nel sistema, le richieste delle autorità di vigilanza, spingono per una sempre più elevata autoregolamentazione e capacità di autocontrollo. Le banche così come le altre realtà imprenditoriali, devono fare i conti con queste normative trasversali, difficili da afferrare nei vari aspetti che le compongono (giuridici, organizzativi, informatici, logistici, etc.), la cui violazione comporta sanzioni particolarmente pesanti, anche di carattere penale, spesso irrogate direttamente da distinte autorità che hanno competenza specifica su quella materia. Senza contare l’impatto della violazione accertata all’immagine, alla reputazione e, in ultima analisi, alla stabilità della società o dell’ente, valori divenuti sempre più importanti e la cui sottovalutazione può comportare anche danni economici ben superiori alle stesse sanzioni penali o amministrative subite. Negli ultimi anni, sia a livello internazionale che nazionale, la cronaca finanziaria ci ha permesso di assistere ad una serie di eventi, non difficilmente definibili catastrofici, del settore. Sono molteplici i motivi che hanno portato alla necessaria istituzione della funzione compliance all’interno delle aziende, a partire dall’aumento delle regolamentazioni in relazione ai diversi scandali e dagli ingenti danni subiti dai risparmiatori, avvenuti sin dalla metà degli anni ’70 come lo scandalo Watergate, fino ad arrivare ad oggi con gli scandali di Enron e Worldcom negli Stati Uniti e di Parmalat, Cirio e Giacomelli in Italia. 10 Grafico 1.1 – Cronologia A partire dall’inizio degli anni ’90 negli Stati Uniti a seguito dei disastrosi scandali, la “compliance profession” nasce e si afferma negli uffici legali delle grandi banche, delle assicurazioni e delle multinazionali, rafforzando i controlli attraverso leggi che hanno aumentato il rischio per gli amministratori e il management di tutte le imprese. Nel caso della Enron, il titanico fallimento della regina texana è andata ad intaccare la vita dei cittadini qualsiasi, travolgendo decine di migliaia di piccoli risparmiatori, portandosi via 80 miliardi di dollari in valore di fondi pensioni, riducendo in miseria almeno 11 mila dipendenti lasciandoli senza pensione, in quanto il fondo pensione dei dipendenti della Enron, aveva investito in modo sproporzionato in azioni e obbligazioni Enron. E tutto questo mentre il presidente della società, Kenneth Lay, e i suoi amici al vertice, incassavano milioni di dollari liquidando milioni di azioni e di obbligazioni prima che il pubblico sapesse le reali condizioni in cui versava la società e prima ancora che il loro valore crollasse da un massimo di 90 dollari ai 60 centesimi di oggi. Il disastro della società era ben noto ai suoi dirigenti che preparavano i libri contabili a uso e consumo degli auditors della Arthur Andersen, colpevoli, al minimo, di avere prese per buone le carte che l'azienda dava loro. Esemplare caso dei rischi e dei prezzi che la “deregulation” senza regole può far pagare. Nel caso italiano migliaia di risparmiatori avevano dato fiducia a Callisto Tanzi e soci, rimanendo travolti dal tracollo della società con conseguenze tangibili sulla credibilità del sistema finanziario italiano. È subito venuta alla luce la gravità 11 dell’evento e delle sue possibili conseguenze sulla fiducia dei risparmiatori e di conseguenza sull’economia del paese. Quando ormai si era compreso appieno la truffa perpetrata per decenni da Parmalat e dai suoi amministratori, si è cercato di capire cosa non abbia funzionato, quali siano state le lacune, le “maglie larghe” nel sistema dei controlli che lo abbiano permesso. La politica, tra lunghi e accesi dibattiti, ha cercato di rispondere alla sfiducia dei risparmiatori lavorando su una nuova legge a tutela degli stessi, per ridare credibilità alla finanza italiana e non permettere che in futuro si ripetano situazioni analoghe. Questi sono solo un esempio delle crisi societarie che hanno fatto tremare dalle fondamenta la finanza mondiale mettendo a nudo la facilità con la quale può essere elusa qualsiasi normativa e ingannata qualsiasi autorità ad essa preposta, smascherando la favola degli auditors infallibili, spezzando l'illusione della Borsa come luogo ideale e sicuro per investire le pensioni. Altre motivazioni alla compliance si possono trovare; Nella diminuzione della presenza dello Stato, e dunque del controllo sull’economia, attraverso le grandi operazioni di privatizzazione che negli ultimi anni sono avvenute in Italia. Nella necessità di dare un’immagine di azienda che rispetta tutte le leggi e i regolamenti previsti, in quanto ciò aiuta ad aumentare la sensibilità della clientela rispetto ai loro prodotti e al fine di avere quella trasparenza necessaria per mantenere alto il valore di borsa unitamente ai rapporti con i propri stakeholders e con altri soggetti esterni (agenzie di rating, stampa, analisti finanziari). Nell’opportunità di far fronte alla crescita esponenziale, in molti settori, degli enti regolatori nazionali e internazionali, come autorità indipendenti, ai quali rispondere; Antitrust, Consob, Banca d’Italia, Authority per la privacy, Authority per le Telecomunicazioni, Authority per l’Energia, ecc. Nella constatazione dell’elevata crescita dei costi, relativi al costante aumento di “laws, rules and standards” a cui bisogna uniformarsi. In questa prospettiva implementare una funzione di compliance, se dapprima farà registrare anch’essa un aumento dei costi di personale, di impianto, di procedure, dovrebbe, in previsione futura, comportare una forte diminuzione dei costi riferiti al controllo della conformità, ma non nel numero e nella qualità dei controlli stessi, necessari al fine di condurre ad una sostanziale 12 diminuzione del rischio del manifestarsi di eventi negativi. Questo per effetto della standardizzazione delle procedure informatizzate e dunque dei costi di controllo umano. Nel bisogno di creare una funzione al cui interno vi siano racchiuse diverse professionalità: giuridiche, economico-aziendali, ingegneristiche e altre professionalità tipiche del tipo di attività svolta dall’azienda. Definendo, la relazione che la funzione Compliance deve avere con la funzione internal audit. Si può supporre che, la funzione Compliance emani le direttive e che il braccio operativo sia l’internal audit, senza però scartare la possibilità che la stessa funzione di Compliance possa dotarsi di un certo numero di auditors, anche se di numero molto inferiore rispetto a quelli presenti nell’internal audit. Nell’esigenza di identificare chi deve nominare coloro che sono preposti a tale funzione o meglio chi ne è il titolare. Questo rappresenta un punto molto importante per definire i poteri che l’organizzazione intende affidare alla nuova funzione. Definire a chi il responsabile della funzione compliance debba riferire. Su questo ci sono almeno tre ipotesi: ♦ Deve rivolgersi all’Amministratore delegato o direttamente al Presidente; ♦ Deve rivolgersi agli amministratori indipendenti; ♦ Deve rivolgersi al responsabile della funzione di internal audit anche se in questo caso si creerebbe confusione in relazione al rispetto dei livelli gerarchici. In tale ambiente la funzione compliance ha la missione di vegliare affinché le azioni intraprese dalle aziende siano coerenti con le regole di etica e deontologia, con le disposizioni legislative e regolamentari e le proprie procedure interne. Per poter raggiungere tale scopo è necessario che la funzione sia autonoma, indipendente, professionale ed operativa e pertanto integrata nelle attività. 13 1.2 IL PROBLEMA DELLA CONFORMITÀ Le leggi riflettono i bisogni ed i valori attuali della società; di conseguenza, la regolamentazione è una risposta, poiché raramente può anticipare o immaginare le problematiche future, e ancora oggi richiede la definizione del problema e l’identificazione di potenziali risoluzioni. In ambito internazionale, la giurisprudenza non è l’unica forma di controllo sociale o di rivendicazione normativa. Altre disposizioni comportamentali emergono dalla moralità, dalla cortesia e dalle consuetudini sociali, che costituiscono parte delle aspettative sociali. Nella letteratura sulla regolamentazione, il termine “compliance” assume due accezioni: quella principale verte sulle popolazioni di riferimento della regolamentazione, sui limiti entro cui queste vi si conformano e le loro motivazioni; la seconda è nata da un approfondimento sugli enti regolatori, sul genere di strategie applicative normative impiegate e da impiegarsi. Nel secondo caso, il termine compliance ha assunto un significato specialistico, alquanto in contrasto con il primo, che guarda all’approccio regolatore, piuttosto che alla risposta delle popolazioni di riferimento. Si tratta di un approccio regolatore particolare che vuole garantire la compliance, contando soprattutto sulla persuasione e cooperazione, anziché sulle sanzioni e pene legali. Invece nel primo caso, la compliance definisce l’aspetto cooperativo e persuasivo dell’attuazione regolamentare che, in quanto modello normativo, la pone a confronto con l’approccio deterrente, il quale presuppone che le imprese operino secondo i proprio interessi. Fin quando le aziende avranno come obiettivo principale la massimizzazione del profitto, non potranno che essere degli amorali calcolatori, rispettosi delle regole solo se le pene saranno abbastanza pesanti per cui converrà evitarle, guardando alla compliance come al risultato di un’equazione tra i benefici della “non-compliance” e la possibilità di venire scoperti e puniti, in maniera severa. Nel complesso, si presume che le motivazioni fornite dal metodo deterrente sono il timore della pena, piuttosto che il calcolo razionale dell’onere potenziale delle pene e delle sanzioni. Studiosi di legge ed economia assumono che tale approccio funzionerà solo in presenza di ristrette circostanze: le aziende rivelano un’assoluta tendenza alla massimizzazione del profitto; la giurisprudenza stabilisce senza ambiguità i 14 comportamenti scorretti; le pene legali forniscono l’incentivo primario alla compliance aziendale; gli organismi esecutivi scoprono e puniscono i comportamenti scorretti, utilizzando le risorse disponibili. Perlopiù queste premesse non sono sempre valide, quindi un semplice modello deterrente non è molto utile per spiegare cosa spinge le imprese a rispettare la legge, e questo sia perché gli enti regolatori non sono così potenti ed efficienti come invece dovrebbero essere per far funzionare l’approccio deterrente, sia perché vista l’alta remunerazione e l’irrilevante penalizzazione di così tanti tipi di violazioni aziendali, l’aspetto minatorio delle sanzioni non è abbastanza grave per distogliere dalla non-compliance. Questo perché le conseguenze economiche della noncompliance, che non attirano l’attenzione su di se generando un qualche tipo di crisi, vengono spesso trascurate da un management troppo occupato. L’imposizione di pene consegue un miglioramento per la sicurezza delle imprese, in quanto attira l’attenzione del management sul rischio che altrimenti sarebbe stato trascurato. Solitamente, la razionalità limitata delle imprese e del top management – cioè la capacità limitata delle persone e delle aziende nel trattare informazioni nel corso di un processo decisionale – si riferisce al fatto che in molti non valutano affatto la redditività razionale relativa alla compliance. Solo nel caso in cui accadesse qualcosa che attiri l’attenzione sul rischio della noncompliance, l’approccio deterrente diverrebbe reale. Nell’eventualità di un disastro di natura politica o economica, o qualora le aziende fossero abbastanza grandi, affermate, altamente individuabili e quindi attente alla loro pubblica immagine, solo allora sarebbe possibile un approccio di tipo deterrente. Molte aziende sono incentivate a rispettare la legge, o ad apparire conformi ad essa, così da conservare agli occhi del governo, del mercato e del pubblico una certa legittimità. Nel campo economico si cerca di attestare che gli individui e le aziende non prendano decisioni sempre ed unicamente sulla base di calcoli finanziari, ma considerino anche una varietà di altri fattori sociali ed ambientali, compresi i loro valori e le aspettative altrui che ne influenzeranno le azioni. Gli studiosi 1 hanno descritto tre forme di “isomorfismo istituzionale” che chiariscono come le imprese utilizzino pratiche e strutture provenienti dal proprio 1 Il concetto di isomorfismo organizzativo è stato introdotto da Meyer e Rowan nel 1977 nell’ambito della teoria neoistituzionalista. Tale concetto indica i processi attraverso i quali organizzazioni dello stesso tipo (università, ospedali,…) tendono ad assomigliare sempre più tra 15 contesto sociale, oltre quanto venga strettamente richiesto dai parametri finanziari e tecnici in cui operano: si ha “isomorfismo mimetico” quando le imprese si rifanno a strategie di apparente successo in altre simili compagnie; si ha “isomorfismo coercitivo” quando le aziende sottostanno alle pressioni di soggetti esterni potenti come lo stato; si ha “isomorfismo normativo” quando le imprese importano le pratiche di compagnie professionalmente superiori. Questi meccanismi mostrano come le aziende tendono ad adottare la compliance anche quando non è propriamente nel loro interesse finanziario. L’ipotesi che la maggior parte degli individui o delle imprese tende solitamente a conformarsi alla legge per fiducia nel ruolo normativo e interesse personale a lungo termine, è la base della teoria per cui sarebbe preferibile l’applicazione di regole persuasive e cooperative piuttosto che punitive. Sebbene le strategie persuasive e cooperative non siano sempre adeguate, in caso di successo, risultano migliori delle sanzioni punitive, in quanto efficacemente ed effettivamente producenti una compliance a lungo termine. Una buona percentuale della ricerca empirica sociologica e psicologica converge sull’assunto che le alternative informali e non coercitive sono potenzialmente più efficaci delle disposizioni repressive nell’ottenimento della compliance alla normativa a lungo termine. In tale contesto, la legislazione coercitiva risulta più efficiente solo come soluzione di scorta o ultima risorsa. L’attenzione degli studiosi si è quindi concentrata sull’analisi delle alternative alle cosiddette strategie di comando e di controllo tradizionali, le quali si poggiano su una semplice teoria deterrente. In particolare si tiene conto di un approccio olistico alla regolamentazione, concreto e volto al risultato, cioè su ciò che funziona, piuttosto che su posizioni puramente ideologiche riguardanti la forma legale più auspicabile, e ad una verifica dell’efficacia delle strategie normative che si avvarranno della complessità e della varietà delle motivazioni alla base della compliance. loro adottando strutture, strategie e processi simili. Meyer e Rowan osservano che in generale le organizzazioni operano in un contesto altamente istituzionalizzato, che stabilisce normative e criteri di razionalità ai quali le organizzazioni devono adeguarsi per potere essere giudicate efficienti. Lo studio dei processi di isomorfismo è stato approfondito da Powell e DiMaggio, i quali identificano tre tipi di isomorfismo, coercitivo, mimetico e normativo 16 La tesi più autorevole 2 sulla migliore combinazione di strategie normative è la piramide delle strategie applicative, cioè una rappresentazione schematica del pensiero secondo il quale, invece di usare prima le strategie normative più drastiche, i regolatori dovrebbero stimolare i destinatari delle disposizioni, incoraggiandoli a conformarsi volontariamente, adottando delle misure più drastiche solo qualora dovessero fallire e tornare ad una condotta di responsabilità solo in seguito al raggiungimento dell’obiettivo. La compliance è perfezionata da una regolamentazione che risulta eventualmente cooperativa, esauriente e tollerante. In questa dimostrazione, dare priorità nel tempo a delle soluzioni normative ristoratrici e volte alla compliance, garantisce che le misure volontarie e cooperative vengano usate più frequentemente, senza compromettere la possibilità di adottare dei provvedimenti più duri laddove necessari. Una tematica centrale all’attuale ricerca sulla regolamentazione, per comprendere la compliance, consiste nel capire come le disposizioni governative interagiscano con le altre forme direttive come l’autoregolamentazione, la consulenza interna e le azioni di altre categorie come i gruppi professionisti (revisori, avvocati, consulenti del lavoro), le autorità responsabili per l’emanazione di disposizioni, imprenditori e associazioni industriali. Gli studiosi 3 utilizzano il concetto di “pluralismo regolamentare” per spostare l’attenzione sul fatto che lo stato non è l’unica fonte normativa. Questo interesse alle varie forme di regolamentazione ha portato i ricercatori ad osservare nuovi settori, quali il sistema di consulenza interna per la compliance, quello delle disposizioni sulla gestione aziendale, quello dei terzi, in quanto tutori degli obiettivi politici, e quello degli incentivi alla direzione della compliance. Un argomento di interesse crescente sia per gli studiosi della compliance che per i responsabili delle scelte politiche è l’aumentata applicazione dei sistemi aziendali formali per la “regulatory compliance”. I sistemi di compliance sono un’opportunità per l’impresa stessa di responsabilizzarsi, rispettando gli obiettivi normativi, piuttosto che venire appesantiti da ulteriori direttive. Un programma competitivo di compliance 2 Mizruchi, M.S., (1999), The Social Construction of Organizational Knowledge: A Study of the Uses of Coercive, Mimetic, and Normative Isomorphism, in “Administrative Science Quarterly”, dicembre 1999 3 H. Petersen, H. Zahle (eds.), 1995, “Legal Policentricity: Consequences of Pluralism in Law, Darthmouth”, Aldershot. C. Taralli, “Vicende del pluralismo giuridico tra teoria del diritto, antropologia e sociologia” 17 dovrebbe mirare alla compliance attraverso il raggiungimento concreto degli obiettivi normativi, quali un ambiente più sano, un posto di lavoro più sicuro e dei consumatori e risparmiatori ben informati. L’approccio della maggior parte dei regolatori e delle imprese, in relazione alle questioni di compliance, non ha ancora ottenuto le condizioni ideali postulate dalla dottrina. 1.3 COMPLIANCE E LAWS, RULES AND STANDARDS Per affrontare questa nuova e non facilmente decifrabile funzione, originaria nel mondo anglosassone, ma già in parte regolamentata in alcuni paesi dell’Europa continentale, è bene partire dalla definizione fornita dal comitato di Basilea. Nella sfera economica Basilea 4 definisce il “compliance risk”, come “An independent function that identifies, assesses, advise on, monitors and reports on the bank’s compliance risk, that is, the risk of legal or regulatory sanctions, financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with all applicable laws, regulations, codes of conduct and standards of good practice (together “laws, rules and standards”)”. Ovvero è un’attività che identifica, valuta, consiglia, controlla e riferisce in merito al rischio di: sanzioni legali o amministrative, perdite finanziarie, deterioramento dell’immagine della banca per il mancato rispetto di leggi, regolamenti, procedure e codici di condotta, best practices. La definizione di Basilea conferisce alla funzione Compliance un ambito ampio e diversificato, attribuendole una missione particolarmente onerosa. In concreto i compiti attribuibili alla compliance, a partire dalle normative di impatto generale sono così riassumibili: Assistere le strutture aziendali nell’applicazione dei regolamenti delle rispettive attività; Segnalare le possibili ricadute che nuove regolamentazioni (leggi, regolamenti e procedure) possono produrre sulle strutture e sulle rispettive attività; 4 Bank for International Settlements. Basel Committee on Banking Supervision, “Compliance and the compliance function in banks”, April 2005. www.bis.org. 18 Contribuire alla soluzione di situazioni di non corrispondenza alle norme rilevate nelle specifiche aree operative; Promuovere, ove ritenuto necessario e opportuno, interventi di audit interno; Assicurare le relazioni con le autorità di controllo esterno; Diffondere una cultura compliance – ossia di conformità dei comportamenti alle regole esterne ed interne, ivi comprese quelle deontologiche – e ciò attraverso interventi formativi e di sensibilizzazione di tutti i collaboratori dell’azienda; Stabilire standard e procedure che siano atti a ridurre la possibilità di condotte illegali. Naturalmente per svolgere tali compiti la funzione dovrà rapportarsi direttamente al vertice aziendale e, in particolare, al consiglio di amministrazione, nonché intrattenere stretti rapporti con l’audit, con l’operational risk e con il servizio legale. L’ambito dell’attività, oltre alle normative di impatto generale, riguarda in generale: i rischi operativi, la “corporate governance” aziendale e, in una accezione più ampia, estesa all’etica e alla deontologia di tutti i collaboratori aziendali. Si è in presenza di materie di carattere generale che impattano direttamente su aspetti reputazionali, oltre che sanzionatori, e la cui disciplina presenta alcuni tratti particolari e caratteristici di un preciso atteggiamento del legislatore: Si tratta di materie dove è rilevante l’aspetto di autoregolamentazione; infatti è lo stesso legislatore che attribuisce alle imprese il compito di introdurre regole interne e ciò anche in settori tradizionalmente pubblici, come quelli affini alla regolamentazione penale (ad esempio nel caso del riciclaggio e della responsabilità, ex d.lgs. 231/2001); Si evidenzia inoltre un impatto negoziale in quanto l’azienda al suo interno nel dettare le regole deve coinvolgere i diversi interlocutori aziendali; Agli aspetti giuridici e negoziali si uniscono, con importanza sempre crescente, gli aspetti organizzativi. 19 Un approccio di questo tipo può, in ultima analisi, condurre ad un cambiamento strategico nella gestione del rischio, in quanto il percorso interno all’azienda può avere come obiettivo finale quello di dotarsi di una funzione di compliance, a fronte di una pluralità di funzioni coinvolte nella gestione dello stesso (audit, risk management, organizzazione, aree di business). Il rischio di non-compliance deve essere affrontato in maniera organica all’interno dell’organizzazione attraverso una struttura “dedicata”, la funzione compliance appunto, come per altro avviene già all’estero, Stati Uniti, Francia e Gran Bretagna soprattutto. Sono due gli aspetti sui quali bisogna soffermarsi; il primo riguarda il fatto che la compliance non deve puntare alla mera interpretazione ed applicazione delle norme ma, nelle materie di competenza, deve adottare efficaci norme interne e interventi organizzativi, talvolta complessi, dedicandovi personale con specifiche competenze giuridiche, economiche ed organizzative. Corollario di questa impostazione è la altrettanto forte necessità di definire con chiarezza che tipo di attività di controllo attribuire alla funzione compliance per evitare duplicazioni, sovrapposizioni e contrasti tra le altre funzioni aziendali, soprattutto audit e operational risks. In quanto, la funzione compliance assume ancora maggiore efficacia nella misura in cui è indipendente e autonoma dalle altre funzioni. Resta comunque predominante nelle compliance l’aspetto di funzione che opera ex-ante e in modo proattivo nell’esaminare, valutare, dare impulso e adottare soluzioni nelle materie a rischio compliance, passando da strumento che assicura la mera conformità alla norma, a strumento che crea valore, realizzando per l’azienda un vantaggio competitivo; il secondo importante aspetto, riguarda l’organizzazione complessiva della compliance; in tal senso è indispensabile un forte impulso da parte dell’intero vertice aziendale, che dovrebbe riguardare tutto l’universo dell’impresa, dai vertici fino alle strutture operative, con un ruolo ben definito, affidato ad un responsabile, strutturato e con ampi poteri di accesso alle informazioni. Operazioni cosmetiche e di facciata hanno il fiato corto, aumentano inutilmente i costi ed espongono l’azienda ad ulteriori e maggiori rischi di sanzioni economiche e di ricadute negative sulla reputazione aziendale. Questo approccio rappresenta una soluzione ottimale, consentendo una completa articolazione di controlli e monitoraggio dei rischi, precisando che, così come 20 indicato nel documento di Basilea, l’adeguatezza e l’efficacia della funzione compliance è sottoposta alla verifica e controllo dell’audit. È comunque necessaria un’intensa collaborazione, e ciò anche in considerazione della interrelazione tra le funzioni poste a tutela dei diversi rischi (solo a titolo di esempio; l’audit ricomprende nella sua attività il controllo periodico sulla compliance ed a sua volta in sede di ogni intervento ispettivo deve tra l’altro verificare anche l’effettivo rispetto delle regole di compliance). L’argomento della misurazione del contributo 5 che può fornire una funzione compliance, al pari di quello delle altre funzioni di controllo o di staff, è un argomento difficile da affrontare, ma sicuramente stimolante. In generale, infatti, sono facilmente misurabili le attività contabilizzabili, ossia quelle risultanti dal bilancio. In questo ambito, paradossalmente, la compliance potrebbe essere misurata solo in negativo, almeno per la parte delle sanzioni e delle perdite subite, o per la sua incidenza sui costi aziendali, derivanti dalla sua non corretta applicazione. Ovviamente ciò non è soddisfacente in quanto, secondo tale impostazione, l’attività sarebbe valutabile solo in presenza di oneri; è quindi utile cercare di individuare dei possibili indicatori di performance della funzione. Non si tratta di accademia, ma di una indagine necessaria finalizzata a definire efficaci indicatori sia quantitativi che qualitativi della funzione. Per quanto riguarda i primi, sono rinvenibili: Nel numero e importanza degli interventi di analisi e valutazioni effettuate; Nella tempestività della reportistica ai vertici aziendali; Nella frequenza delle richieste di pareri e interventi da parte delle strutture operative e non operative; Nel numero di interventi di sensibilizzazione e formazione effettuati, nonché nel numero delle risorse coinvolte. È necessario al riguardo, dotarsi di chiari ed efficaci strumenti organizzativi preventivi ed a consuntivo; in sostanza, di un programma annuale che individui con precisione attività ed interventi e, di una reportistica periodica ed a 5 Mauro Cicchinè, presidente Dexia Crediop, “funzione compliance: attività e indicatori di performance”, convegno ABI, “modelli, strumenti e benchmark per la funzione compliance”, Roma, 25-26 ottobre 2005 21 consuntivo, che sia in grado di evidenziare gli scostamenti, in più o in meno, rispetto al programma. Sicuramente più rilevanti e ancor più difficili da individuare e da misurare sono quelli qualitativi, tra questi: Capacità innovativa nelle soluzioni prospettate; Proattività rispetto ai problemi affrontati; Autorevolezza acquisita nei confronti dei vari stakeholder interni ed anche esterni; Presenza reale all’interno dell’azienda e dei diversi organismi decisionali; Certezza e efficacia degli interventi. È da evidenziare che tali indicatori incidono sul rafforzamento dell’elemento reputazionale dell’azienda. Ancora, capacità di muoversi rapidamente nell’ambito di contesti normativi interni ed esterni complessi, trovando soluzioni tempestive, efficaci e sostenibili nel tempo. Sarebbe al riguardo interessante, ai fini di pervenire a forme di misurazione con rilevanza anche esterna, inserire tra le materie oggetto di rating (valutazione), la stessa attività di compliance, (attualmente rating specifici in materia riguardano la sola corporate governance). Un ultimo indicatore, straordinariamente importante, riguarda la formazione, sia per il radicamento a tutti i livelli di una forte consapevolezza sulla “mission” compliance, sia per lo sviluppo di competenze relazionali e deontologiche. Una buona formazione trasmette i valori che sono alla base del patto sociale tra azienda, clienti, dipendenti, volta allo sviluppo delle capacità di comportamento etico da parte dei collaboratori. Ciò significa rafforzare una cultura comune e un’identità aziendale sempre più forte e fidelizzante, riducendo gli oneri per l’assunzione di nuove risorse e fornendo un ulteriore strumento per attrarre i migliori talenti. 1.4 22 CORPORATE SOCIAL RESPONSABILITY (CSR) Un punto di collegamento interessante da evidenziare è tra la compliance e la responsabilità sociale d’impresa (CSR). La compliance rappresenta le fondamenta sulle quali può essere costruita una concreta politica di CSR; infatti, non si può parlare di azienda socialmente responsabile se questa non rispetta le norme esterne e interne, se non assume regole trasparenti di corporate governance, se non attua comportamenti deontologici. A sua volta l’azienda che sceglie di adottare politiche di CSR, deve essere in grado di monitorarle nel continuo, di interpretarle e di diffonderle; ed a queste attività può dare impulso la compliance. È difficile trovare una definizione di CSR universalmente accettata 6, esistono in letteratura varie proposte e varie interpretazioni, ma nessuna può, al momento, ritenersi più autorevole di altre. Inoltre al concetto di "responsabilità sociale", se ne affiancano spesso altri, apparentemente sinonimi, come "sviluppo sostenibile", "integrità aziendale", approccio "triple-bottom-line", eccetera. Anche l'abbreviazione CSR, dall'inglese "Corporate Social Responsibility", è spesso utilizzata. Dovendo spiegare in breve il valore attribuibile alla responsabilità sociale da parte delle imprese che si vantano di perseguire questo scopo, bisognerebbe riassumere le varie definizioni in un concetto di questo tipo, non certo di immediata comprensione: "Al fine di evidenziare la propria gestione responsabile nei confronti della popolazione e dell'ambiente in cui operano, le imprese integrano nei propri interessi commerciali e nelle proprie operazioni gli aspetti sociali ed ambientali su base volontaria, ed estendono questa preoccupazione anche a tutti coloro che, identificabili sotto il termine anglosassone di stakeholder, portano interessi all'impresa stessa, cioè influenzano il suo comportamento o sono influenzati da esso." Le imprese compiono pertanto un investimento sul capitale umano ed ambientale, che coinvolge anche le condizioni di salute e di sicurezza sul lavoro dei lavoratori ad ogni livello. 6 Roberto Ravaglia, Coordinatore Comparto “Gestione aziendale” dell'UNI (Ente Nazionale Italiano di Certificazione), “Come può essere definita la responsabilità sociale delle imprese”. 23 Il COPOLCO 7, nel gruppo di lavoro che ha preparato un rapporto all'ISO 8 sulla protezione del consumatore nel mercato globale, ha raccolto alcune definizioni, presentandole con alcuni commenti. Quella del "World Business Council on Sustainable Development 9" può essere approssimativamente tradotta come il tentativo di un "business" di contribuire allo sviluppo economico sostenibile, tramite il coinvolgimento degli operatori, delle loro famiglie, della comunità locale e della società nella sua accezione più ampia, con il fine di migliorare la qualità della vita. In quest'ottica, la responsabilità sociale si associerebbe alla crescita economica e all'ecologia per contribuire allo "sviluppo sostenibile". Un'altra definizione insiste più sul collegamento delle decisioni legate alla responsabilità sociale con il "business" derivato dai valori etici del rispetto degli strumenti legali e della popolazione, delle Comunità e dell'ambiente. Più semplicemente, il "Canadian Centre for Philanthropy" vede questo termine come un insieme di pratiche di gestione aziendale che massimizzano gli impatti positivi e minimizzano quelli negativi legati alle proprie operazioni. La "Corporate social responsibility Newswire 10" la definisce invece "l'integrazione di tutte le operazioni di mercato e di tutti i valori in cui sono rispettati gli interessi di tutte le parti coinvolte, includendo i clienti, i dipendenti, i finanziatori e l'ambiente". Non resta che lasciare ad ognuno la scelta della definizione che piace di più... Tutte queste definizioni sembrano comunque ruotare attorno al concetto di "triplebottom-line", uno schema ambizioso per misurare e registrare le prestazioni aziendali sotto il profilo economico, sociale e ambientale. 7 COPOLCO, Comitato ISO per le politiche dei consumatori 8 L'Organizzazione Internazionale per le Standardizzazioni (ISO) è un organismo internazionale per la definizione degli standard, composto da rappresentanze di organi nazionali, che produce standard industriali e commerciali a livello mondiale. 9 World Business Council on Sustainable Development, Associazione di 160 aziende internazionali unite dal comune impegno per lo sviluppo sostenibile 10 CSRnews WIRE è una delle principali fonti della responsabilità sociale e sostenibile d’impresa, con comunicati stampa, rapporti e informazioni, i cui membri sono aziende, agenzie e organizzazioni sensibili al tema della CSR. 24 Figura 1.1 – Triple bottom line Le imprese, negli ultimi decenni, hanno capito che la loro sopravvivenza e il loro successo nel mercato internazionale non sono legati solo al raggiungimento di una determinata performance in termini di profitto, ma anche all’assolvimento di finalità di natura sociale. Oggi, infatti, ad un prodotto non viene chiesto solo di avere un buon rapporto qualità/prezzo, ma anche un basso impatto ambientale, un’equa retribuzione e condizioni di lavoro accettabili per chi l’ha prodotto 11. Da questo nasce una nuova importante “cultura d’impresa” che si sta diffondendo nei giorni nostri: la responsabilità sociale d’impresa (RSI 12). Per prima cosa bisogna chiarirne il significato e comprendere verso chi l’impresa di oggi deve essere responsabile. La Commissione Europea, nel 2001, definisce la RSI attraverso l’approvazione di un Libro Verde, in questi termini: 11 Pilar Pérez, Divisione Normazione AENOR, “La responsabilità sociale delle imprese arriva alla normazione”. Le organizzazioni esercitano quindi la responsabilità sociale dovendo soddisfare come minimo le esigenze delle parti interessate. Investitori ed azionisti sono una "categoria particolare di consumatori" ogni volta più consapevoli del modo in cui le aziende svolgono la propria attività. Per questa ragione ci sono nel mercato strumenti quali gli indici “Dow Jones Sustainability” e “FTSE4Good” che aiutano gli investitori a collocare i propri risparmi in organizzazioni socialmente responsabili. Le politiche sociali ed ecologiche responsabili sono per gli investitori un indicatore di una buona gestione interna ed esterna delle imprese. 12 Così verrà indica la Responsabilità sociale d’impresa nel corso del lavoro che si occuperà principalmente del tema nelle aziende profit oriented. Per una dettagliata analisi dell’argomento della Responsabilità sociale nelle aziende non profit di natura pubblica si rinvia a G. Farneti e S. Pozzoli (a cura di), Bilancio sociale di mandato. Il ciclo integrato di strategia e controllo sociale, IPSOA, Milano, 2005. 25 “La maggior parte delle definizioni della responsabilità sociale delle imprese descrivono questo concetto come l’integrazione volontaria delle preoccupazioni sociali ed ecologiche delle imprese nelle loro operazioni commerciali e nei loro rapporti con le parti interessate. Essere socialmente responsabili significa non solo soddisfare pienamente gli obblighi giuridici applicabili, ma anche andare al di là investendo “di più” nel capitale umano 13”. Il termine “responsabilità” racchiude in sé l’impegno dell’impresa a rispondere di tutti i propri comportamenti e risultati e a stabilire una comunicazione con gli stakeholder che sia in grado di costruire un rapporto basato sulla fiducia e sullo scambio di idee per il benessere comune. Sottolinea inoltre come questo concetto debba andare ben oltre il mero rispetto della legislazione vigente. L'incoraggiamento allo sviluppo di questo interesse dovrebbe portare addirittura ad una crescita aziendale, in base agli aspetti positivi che compensano abbondantemente l'apparente incremento dei costi. Questi aspetti positivi sono la trasparenza, la miglior immagine sociale che si ripercuote anche sulle possibilità più elevate di ottenere finanziamenti, il miglioramento delle condizioni di lavoro e lo sfruttamento ottimale delle risorse umane, che consentono prestazioni migliori o minor assenteismo, eccetera. Facendo leva su queste voci è possibile, è intenzione della Commissione, ed è interesse di ogni cittadino, avvicinare le imprese con convinzione alla responsabilità sociale. L’impresa è infatti responsabile verso tutti i suoi stakeholder, ossia verso tutte le persone che hanno un interesse nei suoi confronti e sui quali si ripercuotono le sue scelte. 13 Cfr. COMMISSIONE EUROPEA, Green Paper. Promoting a European Framework for Corporate Social Responsibility, Bruxelles, Commissione Europea, 2001, p.7. 26 Figura 1.2- Stakeholders view dell’azienda Nell’ultimo ventennio si sono sviluppate delle nuove teorie come la Stakeholder Theory 14. In questa ottica, recentemente, sono stati introdotti tre nuovi concetti connessi alla RSI: sviluppo sostenibile: lo sviluppo che soddisfa i bisogni del mondo presente senza compromettere la capacità delle future generazioni di soddisfare, a loro volta, i propri bisogni 15; cittadinanza d’impresa: implica l’oltrepassare i propri doveri (“oltre la legge”) per contribuire a creare benessere nella comunità in cui l’azienda opera. La cittadinanza d'impresa si fonda sulla convinzione che non esiste antitesi tra risultati economici di lungo termine e responsabilità sociale 16; triple bottom line: si propone di incorporare il concetto di sviluppo sostenibile nella misurazione delle performance aziendali, significa che le imprese dovrebbero sviluppare investimenti sostenibili e decisioni 14 Per un esame dettagliato si rinvia a T. Donaldson e L. Preston, “The Stakeholder Theory of the Corporation: Evidence and Implications”, Academy of Management Review, 1995. 15 Concetto sintetizzato per la prima volta nel Brundtland Report, World Commission on Environment 1987. 16 M. Molteni (a cura di), Primo rapporto sulla Responsabilità Sociale d’Impresa in Italia, 2002. 27 societarie partendo dalla base (bottom), perseguendo simultaneamente tre obiettivi (triple-line): ♦ un'equità sociale ♦ una qualità ambientale ♦ una prosperità economica. Figura 1.3 – Triple bottom line I fattori che hanno permesso il diffondersi della RSI sono principalmente di due tipi: il diffondersi dell’idea dell’impresa come “attore sociale”: l’impresa non riveste più un ruolo puramente tecnologico od economico, ma anche culturale e morale; il diffondersi dell’etica come fattore competitivo: il cambiamento dell’atteggiamento dei consumatori ha portato l’impresa a porre attenzione anche ai valori 17. In questo contesto competitivo, in continua evoluzione, l’impegno delle aziende verso i propri stakeholder costituisce un importante fattore strategico alla base del successo nel medio-lungo termine. 17 Cfr. A. Vaccari, Principi in pratica. Bilancio sociale e cittadinanza europea, Liocorno Editore, Roma, 1998. 28 Figura 1.4 – Stakeholder value Fonte: API Lecco, ALUB, Sviluppo Non Profit, Workshop “Responsabilità sociale. Un scelta per l’impresa, Lecco, 17 febbraio 2005 Primi fra tutti sono appunto i consumatori a rivolgere alle aziende nuove richieste di responsabilità sociale affiancandole alle domande tradizionali come la qualità del prodotto, i servizi, ecc. Tutto questo viene testimoniato da un atteggiamento più critico verso le imprese e dalla tendenza a punire quelle socialmente irresponsabili attraverso, ad esempio, il boicottaggio degli acquisti dei loro prodotti, come emerge da un’indagine condotta da Eurisko denominata “Corporate social responsability Monitor 2004 18” (grafico 1.2 e 1.3). Grafico 1.2 – Responsabilità “tradizionali” delle aziende 18 Il “Corporate social responsibility monitor” è un’ampia indagine internazionale condotta ogni anno sui temi della responsabilità sociale delle imprese. Viene realizzata in 20 Paesi dagli istituti che fanno parte del network GlobeScan di cui Eurisko è il partner italiano. 29 Grafico 1.3 – Responsabilità ambientali e sociali La CSR si presenta quindi come la concretizzazione della filosofia gestionale del stakeholder value, contrapposto all’approccio ben più limitato del shareholder value, l’obiettivo dell’impresa è in questo caso quello di generare profitto, ovvero valore per gli azionisti. La novità significativa apportata negli ultimi anni, rispetto ad una concezione “tradizionale” di CSR, è l’integrazione della dimensione economica della CSR, che viene spesso riportata sotto il concetto di corporate governance, in altre parole “il buon governo” dell’azienda, inteso come rispetto di norme base di comportamento al vertice aziendale in cui gioca il suo ruolo la compliance (struttura, ruoli e comportamento del CdA, correttezza e massima trasparenza nella gestione finanziaria, nel reporting finanziario e nella comunicazione d’impresa, ecc..). 30 Figura 1.5 – Step di sviluppo della RSI L’impegno assunto dalle imprese che, quindi, “volontariamente” decideranno di seguire il modello della responsabilità sociale si concretizzerà in un comportamento ecologicamente ed eticamente corretto: “l’eco e l’etico compatibilità” diverranno i due principi fondanti dell’orientamento strategico dell’impresa, e troveranno applicazione nella totalità degli ambiti della gestione aziendale, divenendo il perno della gestione ed amministrazione delle risorse umane, della fase di pianificazione e produzione, e della fase del marketing, venendosi a creare una visione etica d’impresa. L’ impresa può essere considerata il frutto della cooperazione tra differenti soggetti, gli stakeholders, che istituiscono rapporti mediante diverse forme organizzative e contrattuali, esplicite o implicite, per raggiungere uno scopo comune. La missione aziendale risponde all’esigenza di definire ed identificare lo scopo della cooperazione tra gli stakeholders. I valori sono tratti culturali che identificano l’impresa come insieme organizzato di individui volti al perseguimento della missione. La visione etica dell’impresa riunisce e supera sia missione che valori. Il rapporto di cooperazione che si instaura fra i diversi stakeholders si caratterizza per due fattori importanti: i soggetti che aderiscono hanno interessi in parte concordanti e in parte in conflitto; 31 ciascun soggetto si attende di beneficiare del risultato dell’attività cooperativa, in quanto fa investimenti (di capitale, lavoro, conoscenza, ecc.) per il raggiungimento dello scopo comune. Dal momento in cui esistono aspettative ed attese legittime in parte contrattuali, occorre dare ad esse un riconoscimento (parziale o completo) mediante la definizione dei diritti e delle responsabilità che l’impresa stabilisce nei confronti dei suoi stakeholders. È necessario definire dei criteri di bilanciamento fra le pretese legittime degli stakeholders, in modo tale che ciascuno possa ritenere di essere stato trattato giustamente, ricevendo un’equa remunerazione rispetto all’investimento compiuto. La visione etica è l’idea di giustizia propria di una particolare impresa da cui deriva il criterio di valutazione e bilanciamento delle pretese degli stakeholders e in base alla quale si decidono i comportamenti responsabili che l’impresa deve tenere nei loro confronti. Una tale visione esprime quindi l’idea di “contratto sociale” fra l’impresa e i suoi stakeholders e costituisce un punto di equilibrio imparzialmente accettabile da ciascuno, in base al quale ogni stakeholders può liberamente decidere di contribuire o almeno non ostacolare il perseguimento della missione. L’enunciazione dell’insieme dei diritti, dei doveri e delle responsabilità dell’impresa nei confronti di tutti i suoi stakeholders, viene racchiusa nel Codice Etico. Esso contiene i principi e le norme di comportamento, mediante le quali si dà attuazione ai principi, che arricchiscono i processi decisionali e orientano i comportamenti dell’impresa. Il codice etico esprime il “contratto sociale ideale” dell’impresa e traduce in principi e norme operative i criteri etici adottati nel bilanciamento di aspettative ed interessi degli stakeholders. Per questo il Codice Etico è uno strumento di governo delle relazioni tra l’impresa e i suoi stakeholders e di gestione strategica oltre che un insieme di regole di condotta per il personale. Inoltre è il parametro di riferimento per esprimere giudizi sensati e ragionevoli sulla affidabilità e buona reputazione dell’impresa. Il Codice Etico è un documento ufficialmente approvato dal C.d.A che impegna l’alta direzione e tutti i collaboratori dell’impresa. È infine uno strumento volontariamente adottato dall’impresa. 32 Funzioni dello strumento: Funzione di legittimazione morale: i diritti e le responsabilità dell’impresa nei confronti degli stakeholders espressi nel Codice Etico, offrono i termini in base ai quali tutti gli stakeholders possono riconoscere che le loro aspettative ed attese legittime sono trattate equamente. Il criterio di bilanciamento delle attese diventa la base per un accordo sulla cooperazione mutualmente vantaggiosa. Funzione cognitiva: il Codice Etico, attraverso l’enunciazione di principi astratti e generali e di regole di comportamento precauzionali, consente di riconoscere i comportamenti non etici (opportunistici) e di chiarire l’esercizio appropriato (non abusivo) dell’autorità, della discrezionalità, della delega e dell’autonomia decisionale di ciascun partecipante all’organizzazione e di ciascun stakeholders. Funzione di incentivo: il Codice Etico genera incentivi all’osservazione dei principi e delle regole in esso contenute, dal momento che dalla loro osservanza dipende il formarsi della reputazione dell’impresa e lo stabilirsi di relazioni di fiducia reciprocamente vantaggiose tra l’impresa e gli stakeholders. Il contenuto: il Codice Etico contiene le seguenti parti: Preambolo: fornisce in primo luogo, una definizione di Codice Etico, incorpora la missione e la visione etica dell’impresa e un elenco completi degli stakeholders dell’impresa; Principi etici dell’impresa: definiscono le aspettative dei vari stakeholders che si ritiene debbano avere una legittimità morale nei confronti dell’impresa e il loro livello di soddisfazione. I principi stabiliscono quale livello di soddisfazione equa delle aspettative è un diritto dello stakeholders, rispetto al quale l’impresa si assume una responsabilità e il trattamento equo delle aspettative di ciascun stakeholder. Stabiliscono le responsabilità, cioè i doveri fiduciari, dell’impresa nei confronti dei suoi stakeholders. I principi richiedono conformità e reciprocità. La richiesta di conformità è essenziale perché da essa dipende la reputazione dell’impresa. Tutti i soggetti che contribuiscono alla realizzazione della 33 missione sono chiamati all’osservanza delle norme del Codice Etico che li riguardano. Norme e standard di comportamento: esse devono essere formulate solo dopo aver accuratamente identificato ed analizzato le aree critiche nei rapporti con gli stakeholders, cioè le questioni e le situazioni in cui possono manifestarsi casi di opportunismo o di comportamento non etico. Occorre individuare le fattispecie astratte di opportunismo o di comportamento non etico “tipiche” dell’attività aziendale. Le norme possono essere di 2 tipi: divieti e standard preventivi di comportamento. Procedure di attuazione e controllo: contiene una descrizione analitica dei meccanismi e degli organi predisposti dall’organizzazione al fine di attuare, monitorare e diffondere il rispetto e le conformità al Codice Etico. Organi di attuazione e controllo: Comitato Etico aziendale e Ethics Officer. Revisione delle policies e procedure aziendali alla luce dei principi e degli standard di condotta: l’intero edificio delle norme interne e delle raccomandazioni deve essere coerente e per questo i principi e gli standard generali di condotta restano essenziali per: 1) Valutare ex ante volta a volta le decisioni che devono essere prese mediante l’esercizio di un “saggio” giudizio etico manageriale; 2) Giudicare ex post i comportamenti. È fondamentale che la comunicazione all’interno e all’esterno permette al Codice Etico di diventare determinante ed efficace nelle decisioni e nei comportamenti aziendali, il che vuol dire farlo diventare patrimonio della cultura d’impresa. A questo scopo si rende necessario informare e formare tutto il personale (dai dirigenti ai neoassunti) tramite incontri che facciano innanzitutto conoscere l’esistenza del Codice e i suoi contenuti e quindi insegnino ad applicarlo. Il Codice Etico va infine comunicato anche agli altri stakeholders rilevanti, che possono così giudicare, su tale base, i comportanti dell’impresa e richiederne a loro volta una conformità. La formazione etica in azienda si rivolge ad ogni membro dell’organizzazione, al fine di metterlo in condizione di padroneggiare gli strumenti del ragionamento morale necessari a discutere ed affrontare le questioni etiche connesse alle attività 34 aziendali e indispensabili per l’attuazione degli strumenti Q-RES 19, che se adottati volontariamente, possono rappresentare per l’azienda un vantaggio competitivo ed accrescerne e migliorarne la reputazione. Il modello Q-RES prevede sei strumenti per il management della qualità etico sociale; ♦ visione etica d’impresa; ♦ codice etico; ♦ formazione etica; ♦ sistemi organizzativi di attuazione e controllo; ♦ rendicontazione etico sociale; ♦ verifica esterna. Ogni strumento è giustificato dalla sua funzione nel meccanismo della reputazione ed è finalizzato ad accrescere la fiducia degli stakeholder verso l’impresa. Nelle linee guida 20 sono definiti i criteri di eccellenza per ogni strumento, alla luce di standard e le “best practice” esistenti. Le imprese assumono impegni in termini di responsabilità etico-sociale, che vengono espressi per mezzo della dichiarazione della visione etica e dell'elaborazione del Codice Etico d'impresa; Gli impegni vengono ulteriormente specificati in relazione alle aree critiche nei rapporti con gli stakeholders e sono integrati nello svolgimento dell'attività aziendale tramite la revisione delle strategie, delle politiche, delle norme di comportamento e delle procedure; I collaboratori vengono informati degli impegni assunti dall'azienda e vengono dotati degli strumenti cognitivi per la loro comprensione, condivisione e applicazione tramite la comunicazione interna e le sessioni formative; 19 Nell'approccio Q-RES alla responsabilità etico-sociale d'impresa il criterio di bilanciamento è dato dall'idea del “contratto sociale” equo ed efficiente tra l'impresa e tutti gli stakeholder. Il tavolo di lavoro Q-RES è formato da: CELE - Centre for Ethics Law & Economics; A.I.I.A.Associazione Italiana Internal Auditors; A.I.O.I.C.I. - Associazione Italiana Organismi Indipendenti; Bosch Rexroth; Certiquality; Coop Adriatica; Coop Consumatori Nordest; Enel; Glaxowellcome; Lindt; PWC; KPMG; SCS Azionninova; Sodalitas; Unicredito; Unipol. 20 Progetto Q-RES: La qualità della responsabilità etico-sociale d’impresa, linee guida per il management, ottobre 2001, CELE – Centre for Ethics, Law & Economics. 35 Tramite la formazione e i sistemi organizzativi bottom-up l'impresa cerca di trasformare in prassi i principi etici dichiarati e di trasferire il suo commitment verso gli stakeholders nei comportamenti effettivi, riorientando la sua azione e performance economica in modo da renderla coerente all'insieme dei valori e delle norme assunte; Tramite i sistemi organizzativi top-down, come ad esempio l'audit etico interno, l'impresa realizza il controllo sulla compliance, svolgendo indagini statistiche su aree a rischio etico, raccogliendo segnalazioni e stabilendo eventuali sanzioni; Attivando il processo di rendicontazione l'impresa è in grado di misurare e valutare la sua performance, cioè il grado di conseguimento dei risultati, e di comunicarli agli stakeholders; La comunicazione sociale agli stakeholders permette loro di valutare la corrispondenza tra impegni dichiarati nel codice e comportamenti osservati per mezzo delle interazioni e della comunicazione sociale e conseguentemente di aumentare la loro fiducia nell'azienda nella misura in cui le azioni sono conseguenti ai principi e alle norme stabilite; L'accertamento della qualità degli strumenti di RES adottati dall'impresa, tramite attività di verifica, infine, rende ancora più credibile l'impegno dell'impresa. Il Codice Etico è la base dell’intero meccanismo di reputazione su cui si fonda il modello Q-RES ed è lo strumento che giustifica anche gli altri elementi. Infatti, la formazione si rende necessaria per comprendere e applicare il ragionamento etico, la rendicontazione ha lo scopo di misurare la performance etico-sociale e di comunicare i risultati conseguiti o meno nel perseguimento del commitment; i sistemi organizzativi di attuazione e controllo hanno la funzione di integrare gli obiettivi e le strategie di business, e di attuare la verifica e il controllo della conformità alle regole, ossia verificare sia la conformità delle azioni e dei comportamenti alle norme di condotta, sia la revisione delle procedure aziendali operata alla luce del Codice Etico (controllo della compliance). Il messaggio che porta con sè questa nuova visione è che la CSR, inserita nella strategia aziendale in modo opportuno, può permettere all’impresa di rafforzarsi aumentando la creazione del valore. 36 Attraverso la RSI l’impresa deve riuscire a conciliare competitività e sostenibilità. Uno degli strumenti usati dalle aziende per rendicontare l’impatto delle proprie decisioni sulle comunità e sugli individui è il Bilancio sociale. La valutazione della performance di un’impresa non può più limitarsi solo all’analisi economica, ma deve anche riguardare quella ambientale e in particolar modo quella sociale. Il Bilancio Sociale integra il sistema della comunicazione d’azienda e si configura come uno strumento utile al fine di dare espressione al processo di responsabilizzazione dell’azienda nei confronti degli stakeholder. Questo è uno strumento aziendale che, attraverso valori quantitativi e qualitativi, rende conto dell’impatto complessivo che le azioni dell’azienda determinano nel contesto in cui opera, ed è in grado di rispondere ai nuovi valori di trasparenza, concretezza e lealtà che i consumatori sempre di più pretendono dalle imprese del nuovo millennio. Lo strumento che consente di far fronte a questa esigenza di comunicazione è il bilancio sociale che costituisce un documento complementare al bilancio d'esercizio. Esso attesta la certificazione di un profilo etico che legittima il ruolo di una impresa, comunicando affidabilità, capacità di investire e creare lavoro, dimostrando attenzione e sensibilità al contesto socio-economico in cui opera. In particolare il bilancio sociale deve: ♦ Fornire informazioni sulla proprietà dell'impresa; ♦ Evidenziare le caratteristiche della cultura aziendale comunicando il sistema di valori di riferimento della propria organizzazione; ♦ Far risaltare l'azienda come organismo utile, operante nel rispetto delle condizioni ambientali e delle aspettative degli interlocutori interni ed esterni; ♦ Illustrare il valore aggiunto prodotto e la sua distribuzione tra coloro che hanno contribuito al processo produttivo; ♦ Far conoscere i mezzi impiegati per valorizzare le persone, l'innovazione tecnologica, l'attività di formazione, l'igiene e la sicurezza sul lavoro, la prevenzione dei rischi ambientali. 37 Il Bilancio sociale è un report che le aziende sempre di più affiancano al bilancio d’esercizio, al fine di integrare il sistema informativo dell’azienda con informazioni sociali ed ambientali. (fig. 1.5). Figura 1.6 – Dove si colloca il Bilancio Sociale Adattamento da: L. Hima (a cura di), Il bilancio sociale, settori e valenze; modelli di rendicontazione sociale,gestione responsabile e sviluppo sostenibile; esperienze europee e casi italiani, Il Sole40ore, Milano, 2002, pag 5 Mentre lo scopo del bilancio d’esercizio è quello di rappresentare la situazione economica, finanziaria e patrimoniale dell’impresa alla fine dell’esercizio, quello del Bilancio sociale è di rendicontare a tutti gli stakeholder dell’impresa, i risultati dei suoi comportamenti e delle sue azioni in tema sociale ed etico. Il Bilancio sociale, in sostanza, risponde alla domanda “cos’ha fatto l’impresa per tutti i suoi interlocutori?”. Entrambi i documenti sono consuntivi, ma mentre il primo contrappone costi e ricavi dal punto di vista economico, il secondo mette in rapporto (attraverso valutazioni contabili o extracontabili, indicatori e dati) la quantità e la qualità di relazione tra impresa e stakeholder, evidenziando i vantaggi e il valore che essa ha prodotto per determinate categorie di interlocutori. In questo senso in letteratura è frequente leggere che con il Bilancio sociale si è passati dalla valutazione della “one bottom line”, all’analisi più globale della “triple bottom line”. Ciò sta a significare che, mentre nel bilancio d’esercizio si trova rappresentata la sola dimensione economica, in quello sociale si è passati ad uno studio tridimensionale dell’azienda indagata sotto il profilo economico, sociale e ambientale (fig. 1.6). 38 Figura 1.7 – Evoluzione della valutazione ONE BOTTOM LINE TRIPLE BOTTOM LINE Dimensione economica Dimensione economica, sociale ambientale Bilancio d’esercizio Bilancio sociale Alla base del Bilancio sociale c’è infatti la consapevolezza che la contabilità ordinaria non basta per descrivere la complessa attività dell’impresa; se nel bilancio ordinario l’impresa è un sistema che va osservato per la sua unicità, per il bilancio sociale è una serie coordinata di eventi sociali (tavola 1.1). Tavola 1.1 – Il bilancio sociale e il bilancio di esercizio 39 1.5 COMPLIANCE, FUNZIONE CHE AGGIUNGE VALORE Creare valore per l’azienda significa che la funzione compliance è riconosciuta come una funzione che non costituisce unicamente un Centro di Costo, ma che riesce invece a creare un vero valore aggiunto, sia tramite il delivery che la funzione è in grado di erogare direttamente, sia attraverso le competenze indotte, capaci di creare un ambiente protetto nei confronti dei rischi che incombono sull’intera Azienda. Si viene così a creare uno shift culturale necessario per affrontare in modo consapevole i rischi operativi, riuscendo ad acquistare il riconoscimento da parte degli stakeholder ed essere percepito come una funzione capace di garantire modalità sicure per fare business. La “cultura della compliance” può contribuire attivamente alla creazione di valore attraverso il perseguimento di obiettivi, da un lato orientati a minimizzare il rischio ad essa correlato, mediante l’implementazione di presidi e attività di controllo dei potenziali eventi dannosi, e dall’altro indirizzati a evitare che tali attività di controllo si trasformino in un livello di verifica burocratico, inefficiente e incompatibile con lo svolgimento dei processi produttivi aziendali. Per tali motivi le aziende devono realizzare lo sviluppo di adeguate tecniche di rilevamento e valutazione dei rischi, di implementazione di presidi efficaci e flessibili e di misurazione dei positivi effetti generati da tali presidi. In generale, la percezione del valore aggiunto fornito dalle funzioni di controllo è notevole, come si può ben vedere dalla figura 21 Grafico 1.4 – valore aggiunto delle funzioni di controllo interno e legal 21 Organizzazione delle funzioni di controllo interno presso le banche ed i commercianti di valori mobiliari con particolare riferimento alla funzione di compliance Lavoro basato su un‘indagine condotta nel mese di maggio 2006 presso tutte le banche e i commercianti di valori mobiliari in Ticino 40 I valori vanno da 1 (nullo) a 5 (fondamentale), laddove il valore 3 rispecchia un valore aggiunto “rilevante”. In particolare la Compliance è percepita come un’importante funzione per il successo dell’azienda. La così alta percezione del valore aggiunto di queste funzioni, non generanti direttamente ricavi da parte delle aziende, è indice dell’importanza che le Direzioni aziendali attribuiscono al buon funzionamento del Sistema di Controllo Interno e della funzione Compliance. In un’epoca in cui lo shareholders value è la principale grandezza di riferimento per i top manager delle aziende, questa risposta può significare il riconoscimento di valore ad una componente immateriale come la reputazione. In altri termini, ragionando in analogia con uno dei più diffusi e riconosciuti metodi valutativi (il cosiddetto discounted cash flow o DCF), valorizzare i controlli interni significa valorizzare il fatto di diminuire la probabilità di eventi generanti costi in futuro, che se attualizzati riducono il valore dell’azienda già dal presente. Figura 1.8 – Rischio di reputazione 41 Tale concetto, può essere compreso con l’esempio di due società che sono in vendita oggi, le quali hanno la stessa identica redditività attuale e futura, e che si differenziano solo nel fatto che, una dispone di controlli interni e di una compliance molto più efficace dell’altra. Il prezzo che un investitore sarebbe disposto a pagare oggi per l’azienda con i controlli interni e una funzione compliance inefficace, sarà inevitabilmente più basso, perché quest’ultima corre maggiormente il rischio di subire perdite nel futuro. Tutta questa valorizzazione dell’importanza di una funzione compliance, può quindi essere solo di auspicio per un sano ambiente di mercato, ed è perfettamente in linea con i trend internazionali. Lo studio eseguito a livello internazionale da PwC 22 evidenzia che le aziende percepiscono un forte valore aggiunto da parte della Compliance, anche se nessuno ha ancora sviluppato un metodo sistematico di misura del valore finalizzati alla quantificazione di questi vantaggi di tipo indiretto, a cui diverse organizzazioni internazionali stanno lavorando. Chiedendo se la compliance è vista come un “add value” per la propria organizzazione, queste hanno risposto per il 78% di credere nel valore aggiunto della compliance, anche se, il 22% di loro ha evidenziato una difficoltà della sua misurazione. La difficoltà nella misurazione del valore della funzione compliance deriva dal fatto, che tale rilevazione del valore segue una logica inversa, cioè del mancato verificarsi di eventi non-compliant. Il conglomerato europeo crede che “una funzione di compliance efficace permette all’azienda di raggiungere i propri obiettivi, non solo impedendo che l’azienda subisca danni, ma anche aumentando la capacità stessa dell’azienda di durare nel tempo”. Tenendo conto inoltre che, la compliance è una necessità legale e una funzione di controllo troppo acerba affinché il relativo valore possa essere riconosciuto dal business. Come sottolineato da una importante organizzazione europea, “il valore reale della politica sicurezza, è realmente apprezzato solamente quando qualcosa va male”. 22 PricewaterhouseCoopers, Protecting the brand – The evolving role of the compliance function and the challenges for the next decade, May 2005. 42 Tavola 1.2 – How compliance adds value La funzione compliance contribuisce quindi alla creazione di valore, comportando dei benefici, in via diretta per gli stakeholders, e indirettamente per tutti i potenziali shareholders, attraverso strategie orientate; all’utilizzo di tecniche di quantificazione ex ante e di misurazione ex post, che contribuiscono al raggiungimento degli obiettivi aziendali delle diverse unità operative, ai fini di un’efficiente allocazione del capitale; alla disponibilità di accurate informazioni quantitative, oltre che qualitative, sui profili di rendimento, ma anche sui rischi rilevanti a cui è esposta l’azienda alla definizione e attuazione di strategie di mitigazione, mirate a ridurre le perdite causate da fattori di rischio individuati. In sintesi, le tre principali direttive di creazione del valore da parte della funzione compliance sono: 1) per l’azienda, l’accresciuta consapevolezza dei rischi della gestione aziendale permette un controllo più attento delle eventuali perdite monetarie derivanti da multe e sanzioni o di eventuali contrazioni dei 43 ricavi o dei volumi di vendita indotti da una perdita di fiducia della clientela e incide positivamente sui processi di valutazione delle società di rating e sul costo del funding; 2) per i clienti, rappresenta un fattore di valorizzazione del rapporto fiduciario alla base dei processi di intermediazione; 3) per il mercato, una maggiore tutela ne accresce la credibilità. In un report 23, Jim DeLoach, manager director della Protiviti, asserisce che ogni organizzazione dovrebbe rivalutare quell’approccio che considera una implementazione delle regolamentazioni attraverso una attività ad hoc per adottare un processo redditizio, sostenibile e a continuo valore aggiunto. Il senior management non dovrebbe incorrere nell’errore di limitare l’attenzione alla compliance delegandone la responsabilità al middle management attraverso un mandato, con l’obiettivo di ridurne i costi, in quanto i vantaggi derivanti dalla compliance vanno oltre il semplice alleggerimento dello sforzo di conformità. Il rischio rilevato è che le aziende progettino un processo continuo di compliance intorno ad una struttura interna di controllo ad alto costo e questo non permetterebbe di raggiungere i risultati che la maggior parte dei dirigenti desidera. La soluzione a tale rischio va verso la transazione dal “progetto al processo” con l’intento di aggiungere valore alla SOA compliance migliorandone la sostenibilità. Secondo lo studio, nove CFO su dieci, affermano che i costi di conformità alla Sezione 404 della SOA superano i benefici. La mancanza di progettazione, l’insufficienza di personale ed il conseguente sovraccarico di lavoro, sono state il frutto di un approccio alla conformità nel primo anno, in gran parte ad hoc, caotico e disordinato. Ciò provocò ritardi nell’aggiornamento dei sistemi di contabilità, scarsità di risorse e il disaccordo tra l’amministrazione e i revisori contabili. Il primo anno di attuazione della compliance sec. 404 non può considerarsi modello di efficienza. Inoltre coloro preposti alla definizione degli standard hanno impiegato troppo tempo per la pubblicazione delle linee guida rivolte agli auditors esterni. Ciò ha comportato una più difficile comprensione del processo di implementazione della sec. 404. Il management non disponeva di una guida specifica e per questo ha dovuto far riferimento agli standard rivolti agli auditors e soggetti alla loro interpretazione nell’utilizzazione di quegli standard. 23 Moving from ‘Project to Process’ to Add Value to SOX Compliance While Improving Sustainability, 2005, By James DeLoach, Protiviti Managing Director 44 Molte aziende hanno aspettato la tavola rotonda della Securities and Excange Commission (SEC) dell’Aprile del 2005. Inoltre le società di contabilità erano riluttanti a modificare le loro politiche e metodologie fin tanto che la Pubblic Company Accounting Oversight Board (PCAOB) non avesse completato e riportato la sua ispezione sulle società di audit. Alcune di queste aziende ora stanno cercando di riguadagnare terreno sui vari aspetti che erano stati rinviati a causa della maggiore attenzione e del maggiore impiego di risorse nella amministrazione della compliance alla sec. 404, per far emergere la necessità di una soluzione per ridurre i costi di conformità. Questo ha condotto ad un nuovo approccio che consiste nel passaggio dal “progetto al processo”. Figura 1.9 – From “Project to Process” In questo passaggio è necessario che il management tenga presente tre aspetti: la conformità alla SOA richiede un processo continuo; la necessità di un processo di compliance sostenibile e di qualità; la necessità di un impegno concreto affinché la conformità sia integrata con i processi di pianificazione e gestione esistenti al fine di creare valore e di aumentare la redditività. Ad oggi la necessità del passaggio dal progetto al processo è nota, ma fino ad ora nessuno lo ha realmente attuato. Tale passaggio è definito come la transizione da un progetto ad hoc (per specifica regolamentazione) ampiamente adottato nel primo anno di implementazione, verso un processo sostenibile, redditizio e a valore aggiunto. Sono due gli elementi che le aziende devono realizzare affinché il passaggio dal progetto verso il processo avvenga: 1) Pensare a più lungo termine; 2) Creare valore migliorando la sostenibilità; 45 Per quanto riguarda il primo punto, pensare a lungo termine necessita della coesistenza di tre elementi: una struttura interna di controllo sostenibile, una chiara prova del valore aggiunto, un processo di compliance redditizio. Una volta che il management è in grado di realizzare questi aspetti, deve inserirli nel piano di business e nei bilanci. Solamente quando le organizzazioni realizzeranno questi tre elementi, avranno il controllo del processo di compliance e raggiungeranno come risultato un valore aggiunto di entità maggiore ai costi di compliance sostenuti. Per quanto riguarda la sostenibilità del processo di compliance nel tempo, il management deve ottenere la ripetibilità e l’efficacia della struttura interna di controllo e la razionalizzazione dei costi sostenuti dall’organizzazione per la conformità alla SOA soprattutto per quanto concerne la sec. 302 e 404. Un approccio sostenibile alla compliance significa che la struttura interna di controllo è in grado di far fronte alle nuove regolamentazioni senza sostenere eccessivi costi di avviamento per l’attuazione della nuova regolamentazione. Il management, quando valuta la sostenibilità deve quindi considerare se la struttura interna di controllo sarà in grado di operare efficacemente al presentarsi di un cambiamento significativo e se la struttura organizzativa è in grado di realizzare una conformità continua nel tempo. Figura 1.10 – Ottimizzazione dei controlli 46 La sostenibilità si riferisce alla qualità dei controlli interni all’azienda intesi come un mix di controlli automatizzati e manuali e controlli preventivi e consuntivi (fig. 1.9). Una sostenibilità della struttura di controllo interno e del processo di compliance permette a coloro che la certificano di focalizzare la propria attenzione sulle nuove sfide di conformità. Mentre di solito si parla di valore aggiunto rispetto alle attività di affari, bisognerebbe considerare anche il valore aggiunto relativo ai processi di reporting finanziario. Questi processi hanno ricevuto negli anni poca considerazione rispetto ai processi del core business, non considerando che vi è uno stretto legame fra il miglioramento della qualità del processo, delle prestazioni di costo e di tempo, e una maggiore efficacia dell’Internal Control over Financial Reporting. L’uno non può essere fatto senza l’altro. La maggior parte delle aziende non ha avuto tempo sufficiente esplorare il rapporto esistente fra le prestazioni del processo di business, la qualità del controllo interno e la razionalizzazione dei costi di compliance. Questo è un collegamento critico per il passaggio dal progetto al processo che guiderà verso i risultati a valore aggiunto. Sono dieci gli indicatori delle opportunità di valore aggiunto che suggeriscono come si può migliorare l’efficienza di funzionamento e l’efficacia dei processi di business che interessano i report finanziari. Inoltre evidenziano che una struttura di controllo interno efficiente con processi semplificati e migliorati, determinano una maggiore razionalizzazione dei costi di compliance, in quanto un processo semplice è più facile da controllare rispetto ad uno complesso. I dieci indicatori delle opportunità di valore aggiunto sono: 1) Riduzione dei tempi di registrazione dei dati nel registro generale; 2) Incremento della domanda di informazioni analitiche; 3) Alti tassi di errore nei processi di operazioni finanziarie quali i conti da pagare, operazioni con contante e libro paga; 4) Attività ad alto costo dovuto al sovradimensionamento delle strutture e alle procedure manuali complesse e a mansioni non indispensabili; 5) Il numero insolitamente alto di “giornali” manuali utilizzati per registrare le transazioni o per fare aggiustamenti e riclassificazioni delle informazioni riportate dal sistema ERP; 47 6) Elevata dipendenza dai fogli elettronici per la raccolta dei dati delle transazioni, registrare manualmente le entrate o supportare le rilevazioni finanziarie (financial disclosures); 7) Decentralizzare le business units con funzioni duplicate; 8) Un limitato ROI (return on investment) sugli investimenti IT; 9) Premere sull’ organizzazione finanziaria per la riduzione dei costi al fine di compensare l’aumento dei costi di conformità e di controllo ai fini della SOA; 10) Incremento dei costi derivanti da una maggiore complessità per quanto riguarda l’autorizzazione alle transazioni. Questi dieci punti sono importanti in quanto mostrano le occasioni che l’azienda ha di migliorare la performance dei processi attraverso la realizzazione interna della qualità, la riduzione dei tempi e dei costi dei processi, tutto questo mentre simultaneamente si riduce il financial reporting risk. Con una mappatura dei processi e con la documentazione della sec. 404 la redazione del reporting finanziario sarà più trasparente che mai. Per quanto riguarda il secondo aspetto, dopo avere orientato l’organizzazione a scelte strategiche di più lungo termine, le aziende devono focalizzarsi sulla creazione di valore migliorando la sostenibilità (“sustainability”). Compiere questa operazione, significa concentrarsi su quattro elementi: 1) Infrastruttura organizzativa – l’amministrazione dovrebbe passare da una mentalità di progetto ad una di processo e quindi da attività ad hoc e non definite a processi definiti e controllati; 2) Responsabilità – le organizzazioni devono diventare meno guidate dal team di progetto e maggiormente governate dai processi. Devono concentrarsi meno sulla revisione esterna focalizzandosi proattivamente sulla relazione con l’audit; 3) Cambiare il processo di identificazione - le organizzazioni devono spostare l’enfasi dalla documentazione iniziale al documento di gestione ed alla reazione al cambiamento nella valutazione del rischio complessivo di impresa. 48 Capitolo 2 LA FUNZIONE COMPLIANCE IN BANCA INTRODUZIONE La regolamentazione dei sistemi finanziari ha un’antica tradizione. L’esigenza di disciplinare i comportamenti degli operatori, soprattutto degli intermediari, è stata da sempre avvertita quale presupposto della stabilità dei mercati, nella convinzione che questa riposi, a sua volta, su quella delle singole istituzioni. Il livello di regolamentazione del settore finanziario, più spiccato che nel resto del sistema economico, si spiega osservando che esso ha per oggetto lo scambio di contratti aventi un’alta connotazione fiduciaria. Già questa prima circostanza, lo scambio di contratti piuttosto che beni e servizi, rende necessaria una articolata sovrastruttura regolamentare per definire la cornice normativa entro la quale tali contratti abbiano valenza e, soprattutto, risultino utili in funzione delle esigenze degli operatori che li pongono in essere. Il secondo elemento, la natura fiduciaria, accresce la necessità di riferimenti precisi e affidabili; la fiducia degli operatori non può che basarsi sull’esistenza di regole del gioco chiare, note a priori, stabili, estese a una vasta schiera di fattispecie prefigurabili e rese efficaci (enforced, in inglese) da un’autorità in grado di imporre comportamenti corretti ed eventualmente di rimediare ai comportamenti scorretti posti in essere dagli operatori. La successiva finanziarizzazione dell’economia ha accentuato l’esigenza di un’altissima standardizzazione dei contratti e delle regole di comportamento, accrescendo notevolmente in questi ultimi anni l’enfasi verso il rispetto della regolamentazione, a seguito della trasformazione intervenuta nei mercati finanziari. Essi sono divenuti più grandi, ponendo in gioco valori di dimensioni sempre maggiori in proporzione all’economia reale; sono diventati più raffinati, con l’introduzione di strumenti finanziari più articolati (che utilizzano forme contrattuali sempre più complesse); sono diventati geograficamente più ampi, coinvolgendo davvero tutto il globo, prima ancora che ciò avvenisse per gli altri settori economici. È evidente come ciascuno di questi tre vettori di sviluppo 49 prema per una sempre maggiore affidabilità degli intermediari, per la chiarezza e la certezza delle regole del gioco. Ma insieme all’esigenza della regolamentazione, funzionale al servizio che il sistema finanziario deve rendere al sistema economico nel suo complesso, si è da sempre avvertita anche la necessità di assicurare la dovuta libertà di iniziativa e di esercizio dell’attività degli operatori e, al tempo stesso, garantire il rispetto di regole di comportamento a presidio della loro stabilità. Si è discusso a lungo della convergenza nel lungo termine dei due obiettivi, giungendo finalmente a condividere che imprese sane, in un mercato competitivo, esprimono comportamenti corretti, altrimenti nel caso contrario il mercato stesso procederebbe alla loro espulsione. Così nel lungo periodo, le stesse forze del mercato avrebbero la capacità di preservare la stabilità degli intermediari e del sistema nel suo complesso. Nel breve periodo questo equilibrio potrebbe non raggiungersi e comunque l’onere dell’espulsione dal mercato degli intermediari grava su tutto il sistema economico, in primis sugli operatori finanziari. Nel corso degli ultimi anni, l’indirizzo assunto dalle istituzioni nell’affrontare questo dilemma è stato chiarissimo, in quanto si è scelto di attivare le forze endogene del mercato capaci di rendere normale l’adozione di comportamenti corretti e, addirittura, ove possibile, convenienti i comportamenti conformi alla normativa. Ciò è stato perseguito adottando una disciplina con una sapiente miscela di incentivi e deterrenti, di premi e sanzioni, cercando il più possibile di utilizzare i primi e di lasciare i secondi come disincentivo potenziale. Ovviamente nessun sistema è perfetto e così crisi finanziarie ed episodi di comportamento scorretto da parte degli intermediari e degli operatori si susseguono con una cadenza purtroppo frequente. Ma nessun episodio è davvero uguale agli altri, segno che da ogni crisi si trae qualche insegnamento, ma anche la fantasia degli operatori, intenti a perseguire vantaggi personali illeciti, è una forza robusta ed efficace. L’accresciuta estensione dei mercati finanziari su scala globale, amplificata dalla diffusione di strumenti che sfruttano la leva e moltiplicano la loro dimensione, ha allarmato le istituzioni di Vigilanza di tutto il mondo che le proporzioni delle crisi finanziarie possono essere tali da non risultare governabili, non solo dalle singole istituzioni nazionali, ma neppure mediante uno sforzo congiunto e coordinato di tutte quelle mondiali. Inoltre, i costi di tali crisi sarebbero grandissimi per il 50 sistema economico nel suo complesso, forse non sopportabili, tali da generare crisi economiche trascendenti il solo comparto finanziario. La responsabile accettazione di questa evidente realtà ha suggerito di concentrare l’attenzione sul momento della prevenzione delle crisi, rispetto a quello di terapia, realizzando che, tale momento di prevenzione non possa che risiedere all’interno di ciascun operatore e in particolare di ciascun intermediario, figure in prima linea per rendere e mantenere un ambiente sano e rispettoso delle regole. L’evoluzione, nel senso in cui si dice, è stata favorita anche da un’altra tendenza emersa negli ultimi anni: quella verso la liberalizzazione dei mercati. Si è diffusa, anche al di fuori dei sistemi finanziari, l’idea che i sistemi economici debbano godere della massima libertà per poter esprimere al meglio le proprie energie creative e innovative. L’intervento dello Stato, nelle sue varie articolazioni, è visto come ancora indispensabile, ma da diminuire al minimo essenziale, riconducendolo al ruolo di definizione delle regole del gioco e al controllo del loro rispetto. Sempre di più si attribuisce alle istituzioni di Vigilanza, il ruolo di arbitro delle regole stabilite oggettivamente e al di fuori degli interessi degli operatori, piuttosto che quello di guida delle strategie e delle scelte operative degli intermediari, funzione ritenuta impropria perché sconfina nell’ambito delle attribuzioni inalienabili dei responsabili delle imprese finanziarie. Nella scelta di adottare questo orientamento è presente anche la consapevolezza di dover ricercare il giusto equilibrio fra la completezza dell’impianto normativo e la snellezza del sistema giuridico. Due esigenze contrapposte, ma degne di tutela e considerazione; da un lato, è bene prevedere ogni fattispecie astratta e considerare qualunque circostanza possa verificarsi; ma d’altro canto, occorre non appesantire di oneri e incombenze operative gli intermediari, giacché i costi associati alle attività di riscontro e controllo non possono non traslarsi, in ultima analisi, sugli utenti dei servizi finanziari e quindi sul sistema economico nel suo complesso. Un modo per agevolare la soluzione di questo contrasto è quello di considerare sempre le attività che rientrano nella Funzione di compliance, sia in chiave regolamentare, sia in chiave gestionale, orientando quindi le attività non solo alla verifica del rispetto del contesto normativo, ma anche al miglioramento dei processi nell’ottica del processo di produzione economica. Dunque, l’enfasi che oggi si pone sulla compliance, insieme alla disciplina di Vigilanza, è il risultato delle seguenti tendenze interagenti: 51 1) L’evoluzione dei sistemi finanziari nel senso della estensione quantitativa della complessità e della globalizzazione; 2) L’orientamento della Vigilanza sempre più verso la prevenzione delle crisi, piuttosto che verso la soluzione delle stesse; 3) La scelta di far perno sulle forze endogene alle imprese finanziarie, costruendo un sistema di incentivi, piuttosto che di deterrenti, e puntando sulla responsabilizzazione degli intermediari e dei relativi organi di governo. Esse hanno portato il Comitato di Basilea a fare della compliance uno dei tre pilastri della regolamentazione dei mercati o, per meglio dire, a ispirare a tali linee uno dei pilastri. 2.1 FINALITA’ E PRINCIPI DELLA FUNZIONE COMPLIANCE IN BANCA Oggi non esiste una definizione di compliance che sia condivisa e consolidata; esiste, invece, una definizione di bank’s compliance function proposta dal Comitato di Basilea. È una definizione, quella adottata dal Comitato di Basilea, di amplissimo respiro la cui introduzione certamente postula una riflessione – e forse una riscrittura – sull’organizzazione aziendale e sulla ripartizione dei poteri al suo interno. L’approccio proposto si caratterizza per la presenza di meno prescrittività, maggiore personalizzazione, ma anche maggiore responsabilizzazione, in linea con gli approcci più recenti che si vanno delineando a livello di regolamentazione. Le regole spesso non bastano, la correttezza si gioca sui comportamenti, e la disciplina di questi non può trovare fonte migliore di colui che tali comportamenti deve porre in essere. Da un lato, infatti, sempre maggiore è l’attenzione del legislatore al tema “prevenzione dei rischi”, tema in relazione al quale le banche giocano un ruolo “anticipatorio” rispetto a percorsi propri di altre realtà industriali. Dall’altro, tale logica della prevenzione trova riscontro in una tendenza normativa a rafforzare i poteri di prevenzione e di organizzazione, che vengono attribuiti 52 direttamente ai soggetti regolati; l’ordinamento valuta il risultato, il percorso aziendale con il quale si è pervenuti al comportamento, ma si spoglia del potere di individuare i mezzi per raggiungerlo. Altrettanto sintomatico è l’approccio di Basilea 2 (si pensi alla “rivoluzione rating” 24) in cui si promuovono approcci per la determinazione dei requisiti minimi patrimoniali più sensibili al rischio effettivo della controparte e proprio per questo incentrati sulle metodologie e best practices maturate nell’industry bancaria. Il focus delle disposizioni, si sposta dall’oggetto della regolamentazione – il rischio operativo o il rischio di credito – al sistema di gestione del rischio presso i soggetti regolati. In termini generali, quindi, essere “compliant” dovrebbe significare essere responsabili nel dare concretezza operativa, in modo personalizzato, ad una serie di principi indicati dai regulators o identificati autonomamente come valori per la propria realtà. Quindi, fare compliance, non può voler dire solo organizzare un processo aziendale per ottenere il rispetto acritico di regole imposte dall’esterno, quasi in una logica di check-list. Essere compliant, dovrebbe voler dire “fare la cosa giusta rispetto ai principi ispiratori e farla sin dalla prima volta” e questo deve essere il risultato a cui ogni realtà deve giungere a suo modo, in quanto il cosa fare e il come farlo, la differenzia dagli altri. Il documento pubblicato dal Comitato di Basilea sulla compliance 25, costituisce un importante contributo al dibattito che di recente si è sviluppato nel sistema bancario nazionale e internazionale sulla individuazione di nuovi modelli gestionali del rischio di compliance. Va notato, tuttavia, come i cambiamenti vengano anche ispirati da una rinnovata maggiore sensibilità dei diversi portatori di interessi (utenti, mercati, operatori e le stesse autorità di Vigilanza) verso l’adozione, da parte delle banche, di condotte e comportamenti improntati alla 24 Il rating, è un metodo utilizzato per classificare sia i titoli obbligazionari che le imprese in base alla loro rischiosità. Viene espresso attraverso un voto in lettere (es. AAA- Elevata capacità di ripagare il debito; oppure, D - Società insolvente), in base al quale il mercato stabilisce un premio per il rischio da richiedere all'azienda per accettare quel determinato investimento. Scendendo nel rating aumenta il premio per il rischio richiesto e quindi l'emittente deve pagare uno spread maggiore rispetto al tasso risk-free. I rating sono periodicamente pubblicati dalle agenzie di revisione contabile dei bilanci: Standard & Poor's, Moody's e Fitch. 25 Basel Commitee on Banking Supervision, Compliance and the compliance function in banks, April, 2005. 53 correttezza e alla trasparenza nell’agire (governance). Emerge quindi una particolare attenzione verso i valori e le strategie aziendali declinate in regole e procedure operative coerenti. Il “rischio di non compliance” deriva dunque dalle condotte aziendali che non risultano aderenti alle leggi, ai regolamenti e agli standard di condotta. In questo contesto di criticità rientrano anche i comportamenti non conformi alle best practice di mercato o alle particolari regole di condotta stabilite all’interno della singola banca. Quest’ultimo aspetto, del disallineamento dei comportamenti interni dagli standard di riferimento, rappresenta un elemento innovativo introdotto dai lavori del Comitato di Basilea. Infatti, il documento sulla compliance, sembra attribuire una grande rilevanza a tutte le regole di condotta adottate autonomamente dalle banche in via volontaria, (sviluppate internamente) oppure, definite per aderire a prassi generalmente accettate dai mercati di riferimento o, ancora, raccomandate dall’adesione degli intermediari a particolari circuiti o associazioni di operatori specializzati. Definire, internamente all’azienda, modelli di comportamento in linea con la best practice e con le indicazioni provenienti dalla banca stessa, risulta essere un approccio innovativo che una vasta categoria di soggetti apprezza in misura particolare (si pensi ai clienti, ai mercati finanziari, ai dipendenti, agli azionisti, agli analisti, alle stesse autorità di Vigilanza, ecc.); non operare in aderenza alle norme, ai regolamenti o agli standard, può comportare una serie di possibili effetti negativi per l’intermediario, tra i quali si segnalano: sanzioni penali e amministrative, perdite finanziarie e, nei casi più gravi, danni alla reputazione stessa del banca. Interpretare correttamente l’importanza dell’evoluzione avvenuta nell’attività di compliance, con il passaggio dalla mera aderenza a norme e regole esterne (conformità), verso comportamenti concretamente realizzati all’interno delle banche, risulta dunque un fattore particolarmente rilevante. Questo passaggio può essere analizzato attraverso un percorso che mira a: comprendere le diverse configurazioni che il rischio di non compliance può assumere; definire i principi che devono ispirarne il governo; identificare le logiche che possono meglio regolare l’efficace e l’efficiente implementazione della Funzione compliance. 54 Alcuni precisi orientamenti regolamentari 26 sottolineano l’importanza di adeguare i propri modelli organizzativi e operativi alle mutate e più complesse condizioni dei mercati e alle dimensioni stesse delle banche. Tutti questi interventi devono essere letti e interpretati congiuntamente per poter definire compiutamente la compliance. Infatti, essa è un processo che permea l’intera attività e organizzazione della banca – dal top management alle singole unità produttive -, partendo dalla definizione di politiche, procedure prassi operative e comportamenti. Pertanto, la compliance può anche essere definita come un insieme di presidi organizzativi e operativi che le banche sono chiamate ad attivare al fine di sviluppare la “cultura della compliance” e successivamente far rispettare “in concreto” le indicazioni previste in norme, disposizioni e prassi. Ciò al fine di minimizzare i rischi di sanzioni penali, multe, perdite e più in generale di limitare gli eventi che possano compromettere la reputazione stessa delle banche. Il coinvolgimento degli organi amministrativi della banca (C.d.A. e Alta direzione) nella gestione del Compliance risk sembra ormai un requisito indispensabile. Lo stesso Comitato di Basilea dedica i primi quattro principi alla definizione del ruolo e della responsabilità del Consiglio di Amministrazione e dell’Alta direzione, sottolineando che, innanzi tutto il commitment dell’organo amministrativo delle banche rappresenta il presupposto fondamentale per tradurre e diffondere i valori, come quelli di onestà, integrità e correttezza, e la cultura della compliance nei comportamenti e nelle disposizioni a diretto impatto sulla struttura aziendale e sui processi produttivi. La seconda parte dei principi di governo della compliance è dedicatia alle caratteristiche che deve assumere la funzione; e appaiono di particolare interesse le indicazioni fornite dal documento sulle principali attività alla stessa assegnate. In particolare, viene enfatizzato il supporto da fornire al management aziendale circa le configurazioni e i presidi da avviare per l’organizzazione delle attività di gestione e controllo del rischio, l’assistenza da prestare al senior management per 26 Oltre al documento di Basilea sulla compliance, si vedano anche i seguenti documenti: Bank for International Settlements (BIS) www.bis.org; Compliance Framework for Internal Control System in Banking Organisations, September 1998; Enhancing Corporate Governance for Banking Organisations, September 1999; Internal Audit in Banks and the Supervisor’s Relationship whit auditors, August 2001; Sound practices for the Management and Supervision of Operational Risk, February 2003; International Convergence of Capital Measurement and Capita Standards – A Revised Framework, june 2004; The Joint Forum, - Outsourcing in Financial Services, February 2005 55 le attività di sviluppo di nuovi prodotti e servizi, il presidio della formazione interna ed esterna alla funzione e le attività di gestione e controllo del compliance risk vero e proprio. I tipi e le fonti delle regolamentazioni (figura 2.1) dalle quali trae origine la disciplina della compliance 27 sono molti e possono essere classificati in relazione alle finalità che gli stessi intendono perseguire, ovvero: 1) Proteggere gli interessi dei clienti e di altri soggetti esterni alla banca; 2) Disciplinare il comportamento dei dipendenti; 3) Definire l’assetto organizzativo, di governance e di processo della banca. Figura 2.1 – Regolamentazioni globali Atos Consulting, “tackling compliance to reap long-term benefit”, Research report 2006 La mancata aderenza a queste disposizioni, e l’assunzione di condotte non allineate alle best practice e alle disposizioni interne previste dalle banche, può generare un “rischio di non compliance”, i cui effetti più evidenti sono: 27 Si tratta di leggi, regolamenti internazionali, nazionali e locali, disposizioni degli organi di Vigilanza e delle società che gestiscono mercati finanziari, circolari vincolanti e non degli organi e delle associazioni di categoria, disposizioni interne e codici di condotta (interni o di categoria), standard di comportamento in conformità alle migliori pratiche di mercato. 56 Incorrere in sanzioni legali, ammende, multe e penali (amministrative, civili, penali, interditive o di blocco permanente o temporaneo dell’attività o della licenza). Sanzioni prodotte da organi di vigilanza (Consob, Banca d’Italia, UIC e nei gruppi ISVAP, COVIP, ecc.), come ad esempio: sospensione o ritiro della licenza, multa ad amministratori, dirigenti, dipendenti, sindaci, revisori, ecc.). Perdita di natura finanziaria; potrebbero essere causate: ♦ Da eventi di non conformità normativa in grado di compromettere la stabilità economica e finanziaria dell’intermediario stesso all’interno del sistema; ♦ Dalla riduzione del valore del marchio o della rete utilizzata (di sportelli, di promotori, di private bunker, ecc.), da migliori opportunità di business, dalla riduzione della potenzia l’espansione della banca. Perdita della reputazione o dell’immagine, in caso di mancata aderenza alle leggi applicabili, alla regolamentazione, ai codici di condotta, e agli standard di un best practice operativa.I nefficace e inefficiente rispetto delle politiche e delle procedure operative interne al singolo intermediario, (rischio che oltre le funzioni deputate al controllo interno della banca, anche le autorità di vigilanza devono valutare e misurare); questo può comportare il ridisegno organizzativo, cambiamenti nelle responsabilità e nelle attività, richiami e sanzioni disciplinari, richieste di dimissioni, allontanamenti, ecc. Riconoscere significativi risarcimenti danni. Sanzioni, ammende legate a condotte illegali o elusive (ad esempio su temi fiscali, legali, ecc.), realizzate per favorire clienti, ma in grado di aggirare precisi requisiti regolamentari obbligatori (segnalazione all’autorità di 57 Vigilanza, redazione di reporting non conforme, ecc.), in danno dell’immagine e della reputazione. Un sempre maggior numero di banche persegue l’obiettivo di diffondere la cultura e i principi ispiratori della compliance, anche attraverso l’autoregolamentazione, e cioè la formalizzazione di codici di condotta e codici etici 28, che permettano la declinazione dei principi generali, in precisi comportamenti da assumere nell’attività quotidiana da parte delle banche stesse e dei loro dipendenti 29. Nell’ambito dei principi che governano la compliance, il controllo dell’aderenza tra, quanto dichiarato formalmente nei documenti di autodisciplina, e l’applicazione effettiva dei comportamenti in essa descritti, diventa una delle attività concrete che la compliance ha la responsabilità di verificare. In tal senso, la funzione compliance, assume un ruolo centrale, nella verifica dell’aderenza alle politiche e alle procedure interne di cui una banca intende dotarsi. Per quanto riguarda l’analisi del ruolo e delle responsabilità attribuite alla funzione compliance, si indaga sulle attività da essa potenzialmente svolte all’interno della banca e sulle modalità per garantire la necessaria autorità e indipendenza d’azione e valutazione. Le banche sono libere di realizzare la funzione come meglio desiderano, essendo possibile individuare al loro interno, tanto un unico soggetto “responsabile della compliance” (Head of compliance, in grado di coordinare una serie di attività ad essa connesse), quanto una funzione strutturata e organizzata mediante l’utilizzo di staff e risorse diversamente dislocate (accentrate o decentrate) nell’organizzazione. Se il ruolo di unità destinata a evitare il verificarsi di sanzioni, dovute alla “non aderenza alle leggi, regolamenti e standard” appare ormai assodato, la nuova “mission” da assegnare alla funzione è ora rappresentata dallo svolgimento di compiti preventivi di presidio e di individuazione di attività di controllo, che con maggiore efficacia riescano a monitorare i vari rischi associati alla “non compliance”. 28 Gli operatori, usano definire questo insieme di regole di comportamento sostanzialmente simili, con denominazioni differenti, come ad esempio: “codici di comportamento”, “codici deontologici”, “codici di autodisciplina”, ecc. 29 Con particolare riferimento alle fattispecie di eventi si possono ricordare: l’operatività sui mercati finanziari; il conflitto di interesse; l’insider dealing; il risparmio e i derivati; la soluzione delle controversie extragiudiziali con i clienti; la privacy; l’informativa pre-contrattuale per i mutui da concedere per l’acquisto della prima casa; l’adesione a Patti Chiari; la definizione della governance aziendale per le società quotate, ecc. 58 Infatti, la costruzione di un adeguato framework, che permetta la corretta percezione, rilevazione, gestione e monitoraggio del rischio di compliance, presentando evidenti riflessi sulla gestione aziendale, appare cruciale per l’elaborazione di decisioni strategiche e di obiettivi di business (scelte di prodotto, di segmento, di sofisticazione delle attività, ecc.), in grado di soddisfare le esigenze di strutturazione della funzione. Figura 2.2 – Framework legale Pertanto, il ruolo e le responsabilità da attribuire alla Funzione compliance possono coprire esigenze che si estrinsecano su tre differenti livelli nell’organizzazione aziendale: 1) Nel primo livello, di tipo prevalentemente operativo, la Funzione deve assicurare nel continuo che le operazioni e le attività poste in essere dalla banca mantengano un elevato livello di aderenza normativa. Questa esigenza impone alla Funzione un contatto costante con le strutture 59 operative centrali e periferiche per fornire alle stesse il supporto necessario alla risoluzione delle problematiche regolamentari che si manifestano nell’operatività quotidiana: una sorta di help desk per le unità commerciali e di business che hanno esigenze contingenti nella gestione delle accezioni normative nel processo produttivo. L’attività di supporto dovrebbe essere accompagnata dal tradizionale esercizio della verifica ex post dell’osservanza di leggi, regolamenti e standard, che rappresenta uno degli strumenti a disposizione per il monitoraggio del grado di aderenza normativa 2) Il secondo livello, presenta una valenza tattico-strategica. Qui la funzione compliance è richiamata a valutare in via preventiva tutti i rischi di compliance derivanti dall’introduzione di nuovi prodotti o dalla modifica di quelli già offerti, dall’ingresso in nuovi segmenti di mercato e di business o, addirittura, in aree geografiche non presidiate. In questa accezione, il ruolo di supporto della funzione compliance al top management e ai responsabili delle aree di business, è parte integrante delle scelte che la banca intende adottare per sfruttare le opportunità di mercato, ovvero per dare attuazione alle politiche necessarie al raggiungimento degli obiettivi fissati nei piani pluriennali. Nondimeno, il contributo della funzione, assume un importante supporto alle strategie allorquando le ipotesi di integrazione o di aggregazione tra banche, richiedono di analizzare differenti profili di aderenza normativa , in particolare nell’ipotesi di operazioni cross border, dove entrano in gioco ordinamenti giuridici e regole di vigilanza di differenti paesi a cui si sovrappongono disposizioni e organismi sovranazionali 30. 3) Il terzo livello assegnato alla funzione compliance, consiste nel supporto alle attività di pianificazione delle strategie. Infatti, l’analisi delle implicazioni derivanti dalle modifiche del quadro normativo e regolamentare è esenziale: ♦ per cogliere i rischi e le opportunità insiti nelle nuove disposizioni, siano esse in fase avanzata di definizione, sia che le stesse siano state recepite dall’ordinamento, ma non abbiano ancora esplicato la propria efficacia; 30 Si pensi alle disposizioni antitrust presenti in numerosi paesi e alle ulteriori disposizioni che, in sede comunitaria, permettono l’intervento della Commissione Europea. 60 ♦ per valutare l’impatto dei mutamenti in atto sulla struttura organizzativa, sulle strategie aziendali, sui piani di business. Una corretta “pianificazione regolamentare”, permetterebbe alle banche di cogliere le opportunità offerte dalle modifiche normative e, di conseguenza, predisporre le azioni necessarie per acquisire un vantaggio competitivo, anche in relazione alla più efficace gestione di altri rischi. Si pensi, ad esempio, alla possibilità di una riduzione dell’assorbimento patrimoniale offerta dal nuovo Accordo di Basilea sul Capitale 31. Le aziende in grado di adottare, prima dei propri competitor, modelli avanzati di misurazione del rischio (rating), potranno, a parità di altre condizioni, liberare risorse da destinare ad altre attività di business, accrescendo la redditività del capitale investito e la creazione di valore per gli azionisti, (questo testimonia anche l’importanza della gestione integrale delle diverse configurazioni di rischio). Definiti il ruolo e le responsabilità della Funzione compliance, è possibile ora individuare e commentare le attività necessarie all’espletamento dell’incarico e al raggiungimento degli obiettivi ad essa attribuiti. In prima istanza, la Funzione valuta la conformità dei codici etici e/o di condotta, delle policy aziendali, nonché delle procedure interne e delle istruzioni operative alle disposizioni di legge e regolamentari che disciplinano l’attività dell’impresa bancaria. Si tratta in pratica di “assessment” sul livello di aderenza della produzione normativa interna a quella di emanazione esterna (legislazione nazionale e comunitaria, autorità di Vigilanza, organismi di supervisione sopranazionale, associazioni di categoria, ecc.), al fine di assicurare l’integrità dei principi e delle regole che sovrintendono ai comportamenti posti in essere dalla banca. Il mapping e l’assessment, propedeutici a qualsivoglia attività di gestione dei rischi, rappresentano l’elemento di base per la programmazione delle attività della funzione, e permettono di individuare le criticità e i punti di debolezza della banca, nel perseguire l’obiettivo di aderenza alla normativa. L’analisi del compliance risk, deve essere accompagnata dalla diffusione della cultura dell’integrità, che la Funzione realizza mediante la predisposizione della 31 Basilea II, è il nuovo accordo internazionale sui requisiti patrimoniali delle banche. In base ad esso le banche dei paesi aderenti dovranno accantonare quote di capitale proporzionali al rischio derivante dai vari rapporti di credito assunti, valutato attraverso lo strumento del rating. 61 compliance policy, e con la promozione delle attività di formazione dei dipendenti, dei collaboratori e del management della banca su tali tematiche. Ulteriori attività riguardano, l’esame e il monitoraggio delle violazioni alle disposizioni interne ed esterne, nonché alle policy e ai codici aziendali. A tali azioni faranno seguito le proposte per l’adozione delle misure correttive, ovvero, per l’adattamento e il miglioramento delle disposizioni e delle procedure interne. In tale contesto, deve essere prestata particolare attenzione alle norme e alle indicazioni riguardanti: il conflitto d’interessi e il market abuse; la trasparenza dele condizioni nell’offerta dei servizi bancari e d’investimento, nonché nell’offerta dei servizi di consulenza; l’usura e la lotta al fenomeno del riciclaggio e del finanziamento al terrorismo; le politiche di assunzione dei rischi e i codici di comportamento dei dipendenti; le regole di vigilanza prudenziale e di reporting alle autorità di supervisione e controllo; le operazioni effettuate dagli amministratori e dai dipendenti per conto proprio; i rapporti intrattenuti con la clientela. Per quanto riguarda le attività di supporto e consulenza alle unita operative , ai responsabili delle aree di business e all’Alta direzione, la Funzione compliance deve prestare il proprio contributo: ♦ nell’applicazione pratica delle norme e delle procedure alle attività operative, nonché nella corretta esposizione delle disposizioni che presentano profili di dubbia interpretazione; ♦ in occasione del lancio di nuovi prodotti o nuovi servizi alla clientela e nella predisposizione delle valutazioni propedeutiche all’ingresso in nuovi mercati o in nuove aree geografiche; ♦ nella realizzazione di ipotesi di integrazione tra banche o conglomerati finanziari, in particolare di quelle transfrontaliere, ovvero in ipotesi di costituzione di joint venture tra tali soggetti; ♦ nella valutazione dei rischi e delle opportunità conseguenti all’introduzione di nuove disposizioni di legge e regolamentari, nonché delle conseguenti implicazioni organizzative, strategiche e di business che si riflettono sulla banca. 62 La definizione di metodologie, strumenti e tecniche di compliance risk management 32 e la successiva attuazione delle attività necessarie per la rilevazione, la misurazione e il monitoraggio di tale fattispecie di rischio completano il quadro delle attività che fanno capo alla Funzione, unitamente al reporting periodico all’Alta direzione, al Consiglio di amministrazione e ad eventuali comitati interni. 2.2 CONFRONTO E PARALLELISMO TRA COMPLIANCE E GESTIONE DEI RISCHI OPERATIVI IN BANCA. L’attenzione e la sensibilità ai rischi sono molto importanti per la gestione delle banche, esse, infatti, assumono rischi, li trasformano e li inglobano nei propri prodotti e servizi. Le banche che gestiscono attivamente i loro rischi ottengono un vantaggio competitivo poiché assumono i rischi in modo più consapevole, anticipano i cambiamenti sfavorevoli dell’ambiente, si proteggono da eventi inattesi e accrescono le loro competenze per valutare i rischi stessi. Le istituzioni finanziarie hanno, quindi, diversi motivi per sviluppare pratiche per la gestione e modelli di valutazione del rischio, in più, la Vigilanza cui sono soggette fa di questo sviluppo una delle loro maggiori priorità, perché detta le norme di stabilità patrimoniale e contenimento del rischio che ogni banca deve rispettare. Originariamente, lo schema della regolamentazione tendeva a differenziare regole di prudenza per ogni grande area di business della banca, questo tipo di vigilanza strutturale segmentava il mercato e limitava la competizione. L’innovazione ha reso le norme obsolete perché gli attori hanno trovato dei modi per aggirarle, spostandosi dal loro ambito originario d’attività all’intera gamma delle aree di business dell’industria finanziaria. Il corollario di questo processo di deregolamentazione è stato quello di un’accresciuta competizione tra attori differentemente esperti, l’implicazione è stata la crescita dei rischi. I fallimenti che sono seguiti hanno fatto nascere il bisogno di una ri-regolamentazione verso un tipo di vigilanza prudenziale che lascia liberi gli intermediari di articolare le proprie scelte strategiche e operative nel rispetto di alcuni vincoli essenziali. Tale 32 Secondo alcuni esperti, si parla di Regulatory risk management, si veda M. Evans, C. Ilako, C. di Florio, in American Banking Association, ABA Banking Journal, March/April, 2003 63 processo sta ancora evolvendosi con nuove linee guida provenienti, in particolare, dalle organizzazioni internazionali di coordinamento tra le Autorità di Vigilanza. Sovente, si attribuisce al termine “rischio” una connotazione negativa. Semplificando, si potrebbe affermare che il rischio derivi solamente dalla manifestazione di eventi negativi 33. Per converso, al termine compliance si attribuisce una valenza positiva, in quanto si risulta conformi, rispetto a qualcosa che ci viene imposto, quando si pongono in essere comportamenti e azioni efficaci e orientati al soddisfacimento di quegli obblighi. Più precisamente, l’espressione “non compliance risk” o rischio di non conformità, evidenzia la manifestazione di eventi che conducono a perdite, monetarie o di altro tipo (immagine, reputazione, ecc.), in conseguenza del mancato rispetto di normative, regole o standard di autoregolamentazione. Possiamo affermare che, sia i rischi operativi, sia i rischi di compliance, si originano dal mancato o dall’inefficiente presidio di alcuni ambiti di operatività aziendale. In effetti, i diversi documenti elaborati dal Comitato di Basilea in materia di operational risk, evidenziano definizioni ampie, ma al contempo di diffuso utilizzo presso le banche e in parte sovrapponibili, con riferimento alle fattispecie di perdita che vengono incluse nelle definizioni. Infatti, il Comitato di Basilea, definisce i rischi operativi, come il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni, includendo nel novero di questi rischi quello legale, ma escludendo esplicitamente rischi strategici e di reputazione 34. Per quanto concerne la definizione di compliance risk, il Comitato indica la seguente formulazione: “the risk of legal or regulatory sanctions, financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with all applicable laws, regulations, codes of conduct and standards of good practice (together “laws, rules and standards”)” 35. 33 Questa interpretazione è applicabile ai rischi operativi, che com’è noto, sono rischi puri e non rischi speculativi, la manifestazione di tali rischi può pertanto generare unicamente delle perdite e non opportunità di guadagno. Ciò fa si che i rischi puri siano, a certe condizioni, “rischi assicurabili”. Al contrario, i rischi speculativi, sono tipicamente rischi finanziari (es. rischio di mercato o di cambio), che generano opportunità di guadagno, ma anche di perdite. 34 Sempre secondo la formulazione adottata dal Comitato di Basilea, il rischio legale, comprende fra l’altro, l’esposizione ad ammende, sanzioni pecuniarie o penalizzazioni derivanti da provvedimenti assunti dall’organo di vigilanza, ovvero da regolamenti privati (cfr. Comitato di Basilea, Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali, Basilea, giugno, 2004). 64 Le indicazioni fornite dal Comitato di Basilea, delineano pertanto un’area di sovrapposizione tra le due tipologie di rischio. Figura 2.3 – Confronto compliance risk con operational risk Questa situazione sembrerebbe rendere necessario l’inquadramento dell’ambito di applicazione delle definizioni e, al tempo stesso, richiede una riflessione sulle modalità di valutazione e di gestione di questa tipologia di rischio. In primo luogo, la presenza di un’area comune, potrebbe essere il temporaneo risultato della stratificazione di documenti che presentano un diverso grado di maturità e, quindi, di condivisione all’interno della comunità bancaria e finanziaria internazionale 36. In secondo luogo, la valutazione dell’operational risk e del compliance risk risponde, al momento, a due finalità differenti: solo per i rischi operativi e previsto il calcolo di un requisito patrimoniale a copertura dell’esposizione di tali rischi. Viceversa, il compliance risk è oggetto di valutazione nel più complessivo quadro della misurazione di tutti i rischi (finanziari e non), ai quali la banca si trova esposta in ragione delle attività svolte. A tal fine, dovrebbe essere identificata una struttura ad hoc, la Funzione o l’Unità di compliance, cui attribuire la valutazione del compliance risk. Questa struttura, potrebbe pertanto qualificarsi, almeno in parte e in modo coordinato con l’internal auditing, come “cartina tornasole o specchio” dell’efficacia dei presidi sui rischi aziendali posti in essere dalla Funzione di risk management, in considerazione delle sovrapposizioni che al momento si riscontrano, tra compliance risk e 35 Comitato di Basilea, Compliance and the compliance function in banks, Basilea, aprile 2005 Il primo documento elaborato dal Comitato di Basilea contenente la definizione di compliance risk risale a ottobre 2003, ed è stato successivamente aggiornato ad aprile 2005; la definizione corrente di rischi operativi, risale al 2001, con alcuni aggiustamenti successivi, che sono stati recepiti con il Consultative paper 3 dell’aprile 2003. 36 65 operational risk. In altri termini, la Funzione di compliance, pur non svolgendo attività di risk management, si propone come interlocutore privilegiato e supporto organizzativo di estrema importanza per il risk management. Dall’esame delle definizioni (e della conseguente interpretazione della figura 2.3) osserviamo che il rischio legale è una fattispecie comune all’operational risk e al compliance risk. Altrettanto può dirsi con riferimento a una parte delle perdite monetarie (material financial loss), in particolare, le perdite che si determinano a seguito di un mancato assolvimento di obblighi legislativi, (con conseguenti esborsi per accertamenti di responsabilità a carico della banca), oppure le “restituzioni” volontarie da parte della banca, subordinate al riconoscimento di una sua condotta impropria nei confronti di terzi (ad esempio, nel comportamento tenuto verso la clientela nell’esecuzione di specifiche operazioni). Vi sono poi, fattispecie di rischio, che al momento possono ricondursi in modo più univoco al rischio di compliance o ai rischi operativi. Si pensi, ad esempio, al rischio reputazionale o all’accertamento di sanzioni in conseguenza di abusi di posizioni di mercato, che appartengono al compliance risk, oppure alle perdite conseguenti eventi esterni, che senza dubbio si configurano quale tipologia di perdita operativa. Tuttavia, il quadro delineato (nella figura 2.3) che emerge dall’esame delle definizioni, è da intendersi come una situazione suscettibile di possibili future modificazioni, nella misura in cui la pratica operativa e le discussioni in essere, all’interno della comunità finanziaria, potranno affinare le definizioni in uso e gli obiettivi della valutazione e gestione di queste fattispecie di rischi. Si noti inoltre, come l’accadimento di eventi di perdita riconducibili a rischi operativi, sembra in larga parte di natura “inconsapevole”, nella misura in cui si tratta di eventi che si manifestano in maniera indipendente dalle decisioni aziendali, sia perché accadono in conseguenza di fattori di rischio sui quali la banca ha minori capacità di controllo (eventi esterni), sia in quanto intrinsecamente collegati con l’esistenza stessa di un’attività d’impresa (in questo caso di natura finanziaria). Al contrario, la presenza di un “non compliance risk”, sembra originare prevalentemente da scelte consapevoli, adottate dal management dell’impresa, che si concretizzano nel mancato rispetto della normativa interna o esterna. L’esame del profilo formale della definizione, consente pertanto di 66 evidenziare un certo grado di sovrapposizione fra le fattispecie di rischi prese in considerazione, come sottolineato dallo stesso Comitato di Basilea 37. L’efficace raccordo della funzione compliance con l’operational risk management può valorizzare il contributo della funzione di compliance sotto il profilo della misurazione dei rischi “condivisi” 38. La funzione di compliance condivide con l’operational risk management: ♦ attività di risk assessment, interviste ai process/risk owners, presidio metodologico e coordinamento delle attività di control risk self assessment; ♦ raccolta dei dati di perdita; ♦ verifica dell’idoneità dei presidi sui rischi operativi. L’ operational risk management condivide con la funzione di compliance: ♦ serie storiche e stime sull’esposizione ai rischi; ♦ mappatura dei processi e analisi dei rischi. A prescindere dal modello organizzativo adottato per la costituzione della fnzione compliance, la stessa deve in ogni caso essere connotata: da un adeguato livello di autorità, reputazione e indipendenza, rispetto alle aree di business; dalla presenza di collegamenti interfunzionali e di tipo gerarchico, in grado di assicurare all’Alta direzione la conoscenza in ogni momento del livello di compliance risk assunto dalla banca o dal gruppo bancario. Infatti, l’indipendenza dalle funzioni operative costituisce il presupposto essenziale per la corretta rilevazione del Compliance risk e per la successiva realizzazione di adeguate azioni correttive. Ciononostante, la funzione deve mantenere un contatto costante con le aree operative per gestire in via preventiva tale fattispecie di rischio. In particolare, il coinvolgimento attivo della funzione è 37 “There is a close relationship between compliance risk and certain aspects of operational risk. Other [banks] may prefer to have a separate compliance and operational risk function, but establish mechanism requiring close cooperation between the two functions on compliance matters”. Comitato di Basilea, compliance, cit. 38 intervento Dott. Clemente, Responsabile Vigilanza Enti Creditizi Banca d’Italia, convegno AICOM, 28 giugno 2006 67 necessario nei Comitati strategici e nei Comitati prodotto, ogni qualvolta gli argomenti ivi trattati determinano l’esposizione della banca al Compliance Risk. Figura 2.4 – Governance structure Per quanto riguarda i collegamenti funzionali e di tipo gerarchico, gli stessi devono garantire un continuo flusso di informazioni dalle unità operative e dalle aree di business, verso la Funzione compliance, e da questa verso l’Alta direzione (Direttore generale, Amministratore delegato, Comitato esecutivo), il Consiglio di amministrazione e il Collegio sindacale, nonché verso eventuali Comitati all’uopo costituiti, come diretta emanazione degli organi collegiali di governo per la trattazione di specifiche materie. Nelle banche di più ampie dimensioni, potrebbe essere costituito un Comitato compliance, a cui attribuire il compito di seguire per conto del Consiglio, tutte le questioni attinenti alla compliance; in alternativa tali attribuzioni potrebbero essere assegnate al Comitato per il controllo interno, per effetto delle sinergie che si presentano nella trattazione delle problematiche di controllo interno e di compliance, venendosi a creare in tal modo, un Comitato di audit & compliance.Il corretto inquadramento nell’assetto organizzativo aziendale, ed eventualmente di gruppo, e la definizione di adeguati collegamenti funzionali, permettono alla 68 Funzione compliance di contribuire in modo effettivo alla governance della banca, di cui rappresenterebbe un importante elemento costitutivo. Figura 2.5 – Il sistema dei controlli Rilevanti interrelazioni 39 sussistono tra la funzione di conformità e diverse altre funzioni aziendali (revisione interna, gestione del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi della legge 231/2001, ecc.). La collaborazione con le richiamate funzioni consente a quella di conformità di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, assicurando nel contempo processi conformi alle normative esterne e ausilio consultivo. Le tecniche di identificazione, gestione e monitoraggio dei rischi di compliance devono essere allineate e coerenti con quelle utilizzate nei processi di risk management e di controllo. Il presidio del rischio di non compliance, già rientra nelle attività di governance delle banche italiane, si rende quindi necessaria una trasversalità dell’azione di 39 Banca d’Italia, documento di consultazione agosto 2006: normativa di vigilanza in materia di “conformita’ alle norme [compliance]” 69 presidio coordinata da un’apposita funzione. Emerge quindi, la necessità di riattribuire le responsabilità e i compiti, ed eventualmente razionalizzare gli organismi di controllo già esistenti e diversi dalla Funzione Compliance, riferendosi in particolar modo alla funzione di Internal Auditing, a quella di Operational Risk Management e alla funzione legale, al fine di evitare duplicazioni, sovrapposizioni e contrasti tra funzioni. Confrontando la Funzione Compliance con quella di internal auditing, si pongono in rilievo le diversità e le sinergie che si vengono a creare: la Funzione compliance: ♦ si pone come obiettivi, l’identificazione dei rischi di compliance e la conformità dei processi a norme e regole; ♦ utilizza una metodologia che comporta una visione analitica dei rischi; ♦ interviene in modalità bottom up, analisi di tutti i processi esposti ai rischi di compliance. L’internal auditing: ♦ Si pone come obiettivo, la valutazione del sistema di controllo interno al fine di rendere i processi più efficienti ed efficaci; ♦ Utilizza una metodologia che comporta una visione sintetica dei rischi; ♦ Interviene in modalità top down, attraverso l’approfondimento di aree a rischiosità elevata. ♦ Le interazioni fra le due funzioni riguardano: l’utilizzo di metodologie di valutazione dei rischi comuni (es. tecniche di control e risk assessment); sinergie nell’individuazione dei rischi e nel potenziamento dei controlli; diffusione della cultura del controllo e della conformità alle norme; sinergie nell’individuazione di nuovi controlli (con costi relativi proporzionali ai rischi emergenti); creazione di valore e stabilizzazione dei risultati aziendali di lungo periodo. I benefici attesi, dalle sinergie e dalle relazioni interfunzionali, fra la funzione compliance, l’internal audit e l’operational risk management, riguardano: l’adozione di un unico repository dei processi; la condivisione delle metodologie, delle tecniche e del linguaggio; una consapevolezza dei rischi e una valutazione condivisa degli stessi con le funzioni coinvolte; un supporto consultivo e regolamentare alle strategie e al business aziendale. 70 Ruoli e responsabilità, attività, caratteristiche e collegamenti funzionali della Funzione compliance, devono essere chiaramente definiti nel momento in cui si procede alla sua costituzione. Questo si realizza mediante la predisposizione di un apposito regolamento della Funzione, in cui viene indicata la soluzione organizzativa prescelta e le regole interne di funzionamento di tale unità. Ulteriori aspetti necessari affinché la Funzione compliance possa operare efficacemente sono: ♦ una struttura chiara e un sistema di riporto funzionale trasparente, in grado di preservare l’indipendenza e rispettare il commitment degli organi amministrativi della banca; ♦ adeguate risorse finanziarie, quest’ultime senza conflitti con le business unit in relazione al processo di selezione, remunerazione e misurazione della performance; ♦ un regolamento della funzione, inclusivo di organigramma, funzionigramma e disciplina delle relazioni con le altre fnzioni di internal audit, risk management e legal, ecc; ♦ la suddivisione delle responsabilità e delle attività di compliance, incluse in un programma di attività annuale; ♦ la verifica periodica e indipendente dell’efficacia ed efficienza del processo di avanzamento del programma di attività e dei possibili miglioramenti. La funzione di compliance richiede quindi, che le risorse umane e tecniche siano adeguate a presidiare il rischio di non compliance, e devono essere strettamente correlate alla dimensione, alla complessità organizzativa, al grado di sofisticazione del business e dei prodotti offerti, all’articolazione territoriale e geografica della banca. 71 2.3 RIFLESSI ORGANIZZATIVI E IMPATTO DELLA COMPLIANCE NELLE BANCHE DI MEDIO-PICCOLA DIMENSIONE Il controllo del compliance risk, come definito nel documento di Basilea, rientra nelle attività di governance delle banche; sua importante connotazione, per una efficiente Funzione compliance, è la trasversalità dell’attività di presidio svolta. A tal fine risultano cruciali, tanto la capillarità dell’organizzazione, quanto la definizione e l’attribuzione di compiti e responsabilità all’interno della struttura 40. Requisito necessario al fine di contenere l’onerosità e di garantire l’adattamento della funzione allo sviluppo aziendale è infine quello della flessibilità. Dette caratteristiche sono riscontrabili all’interno delle banche di minori dimensioni, in capo all’Unità di controllo rischi, la quale tradizionalmente opera nella sfera dei controlli o della misurazione ex-post. In tal senso è evidente il beneficio in termini di maggiore efficacia dell’attività svolta dalla funzione compliance, che può derivare da un’organizzazione all’interno della quale le risultanze delle verifiche del Controllo Interno siano nella immediata disponibilità del compliance officer. Infatti, pur svolgendosi l’attività della Funzione compliance nella sfera della verifica a fini di prevenzione, risulta difficile pensare che un’efficace attività di prevenzione possa essere svolta in assenza delle preventiva conoscenza dei comportamenti non conformi riscontrati in passato, oggetto questi ultimi, di misurazione e analisi da parte dell’Unità di controllo rischi. Pertanto l’assegnazione all’unità di controllo rischi, dei compiti tipici della Funzione compliance, non può che tradursi in una maggiore efficacia dell’opera svolta dalla Funzione in esame. Inoltre ad esempio, il servizio controllo rischi delle piccole banche, svolge spesso anche verifiche inerenti alla normativa antiriciclaggio; attività strettamente connessa con l’esercizio della Funzione di Compliance, cui compete fare in modo che la struttura di front dell’istituto, sia consapevole dei rischi di coinvolgimento in operazioni di riciclaggio. L’attribuzione della compliance, all’Unità di controllo rischi, garantirebbe pertanto l’assolvimento da parte del compliance officer, del ruolo di deterrente dell’attività di antiriciclaggio, attraverso l’esercizio dell’attività di supervisione sull’operato degli uffici di front. 40 In tal senso, l’intervento di A.Colombo di HSBC Bank, al convegno organizzato a Milano da Iside Srl il 12 ottobre 2004, dal titolo La funzione compliance e il modello organizzativo. 72 Alla luce di queste considerazioni, si ritiene anche, che il servizio maggiormente indicato a svolgere l’attività di compliance nelle piccole banche, sia proprio il controllo rischi. Tale servizio, tra l’altro, gode di un sufficiente grado di autonomia (requisito, quest’ultimo, indispensabile per lo svolgimento dell’attività di compliance) e di una relazione diretta con il Collegio sindacale e il Consiglio di amministrazione della banca. Inoltre, a sostegno della tesi secondo la quale, la funzione di compliance nelle piccole banche dovrebbe essere fatta risiedere nell’ambito del controllo rischi, si richiama l’attenzione sulla disciplina regolamentare emanata dalla Consob 41 che prevede l’istituzione della Funzione di controllo interno. Anche tale funzione viene spesso svolta, nell’ambito delle piccole banche che hanno già esternalizzato la funzione audit, dal comitato rischi. A questa funzione, analogamente a quanto avviene per il compliance officer, sono attribuiti dalla Consob incarichi e responsabilità in ordine alla verifica ex ante, del corretto recepimento delle norme vigenti in materia di prestazione dei servizi di investimento alla clientela, da parte degli intermediari. Quanto infine all’ipotesi di assegnare la Funzione compliance all’internal auditting, tale ipotesi è avversata dal citato documento dell’ottobre 2003, nel quale, il Comitato di Basilea ha evidenziato l’inopportunità di tale soluzione, in considerazione di come solo la separatezza delle due funzioni garantisca una revisione indipendente dalla Funzione compliance da parte dell’internal auditor, revisione quest’ultima, alla quale il compliance officer è opportuno che sia periodicamente sottoposto, al paro delle altre unità organizzative della banca. 41 Si veda l’art.57 “Controllo interno”, della delibera Consob n.11522/98 di adozione del regolamento di attuazione del d.lgs. 24 febbraio 1998, n.55, concernente la disciplina degli intermediari e successivamente modificato con delibere n.11745 del 9 dicembre 1998, n.12409 del 1marzo 2000, n.12498 del 20 aprile 2000, n. 13082 del 18 aprile 2001 e n.13710 del 6 agosto 2002. 73 2.4 REQUISITI QUALI-QUANTITATIVI DEFINITI DA BASILEA 2, CON PARTICOLARE RIGUARDO ALLE “BANCHE DI PROSSIMITÀ” Basilea 2 è il cosiddetto Nuovo Accordo di Basilea, che definisce, a livello internazionale, i requisiti patrimoniali delle banche in relazione ai rischi derivanti dai crediti concessi, e introduce nuove e più sofisticate metodologie di valutazione delle imprese che intendano accedere al credito. Secondo Basilea II le banche dei paesi aderenti dovranno classificare i propri clienti in base alla loro rischiosità, attraverso procedure di rating. Dovranno, successivamente, accantonare delle quote di capitale definite in base al livello di rischio dei rapporti di credito accordati per tutelarsi dai rischi assunti. Tale livello di rischio viene definito tramite dei meccanismi detti di rating. Autore dell'accordo è il Comitato di Basilea, istituito dai governatori delle Banche centrali dei dieci paesi più industrializzati del mondo, il cosiddetto G10. Il processo di consultazione intrapreso per la definizione del Nuovo Accordo sul Capitale della banche, svoltosi nell’arco di cinque anni (1999-2004), ha portato a un progressivo e significativo adattamento della prima ipotesi di Accordo del 2001 42. Un particolare riguardo è stato riservato alle specifiche problematiche poste dall’estensione dell’Accordo alle banche minori, atteso che l’impianto normativo era stato sin dall’origine basato sull’ipotesi di applicazione alle banche a carattere internazionale. Non appena rilasciata la versione definitiva dello schema di misurazione del capitale e dei coefficienti patrimoniali delle banche (giugno 2004), gli intermediari, si sono ritrovati inevitabilmente proiettati nel futuro: il nuovo mondo di Basilea 2. Immediatamente per il sistema creditizio si è prospettato l’esigenza di programmare la conformità ai prossimi schemi normativi di vigilanza (compliance). L’attività progettuale vede coinvolti parecchi attori aziendali, a partire dal CdA delle banche, che ne dovrà garantire la corretta pianificazione e realizzazione, fino ai soggetti direttamente responsabili degli aspetti applicativi trattati dalla normativa. L’unità organizzativa che si occuperà di compliance sarà anch’essa chiamata a svolgere una funzione altrettanto rilevante nel processo di 42 In realtà, l’Accordo di Basilea del 1988 ha assunto una valenza a carattere universale, essendo stato recepito dal oltre cento paesi in tutto il mondo. 74 avvicinamento a Basilea 2 e non solo. Sarà poi uno degli attori più significativi e qualificati nell’assicurare anche il mantenimento nel tempo della medesima compliance che, con tanto impegno e coinvolgimento di risorse, la banca ha conseguito in precedenza. Per adottare i modelli gestionali sui rischi di credito, ai fini della definizione dei requisiti patrimoniali obbligatori, le banche devono confrontarsi con alcune problematiche di natura specifica. Innanzitutto, ogni intermediario dovrà definire un Piano personalizzato di attuazione della normativa in coerenza con le caratteristiche peculiari della propria struttura organizzativa 43. Nello specifico, ciascuno dovrà conformarsi almeno con la condizione e la disponibilità dei seguenti fattori: risorse umane, competenze professionali specifiche, sistemi informativi e procedure operative di supporto, redditività aziendale e risorse patrimoniali libere 44. La figura 2.6, rappresenta il processo di programmazione dell’entrata in Basilea 2 e le esigenze che la banca deve considerare nell’attuazione della conformità ai metodi IRB. Figura 2.6 – Processo di programmazione entrata Basilea II 43 Piano, sul quale le banche si confronteranno costantemente con l’autorità di Vigilanza in tutte le fasi preparatorie che precedono l’eventuale validazione dei modelli interni e l’applicazione dei metodi IRB ai fini prudenziali. 44 In termini di risorse di capitale non “vincolate” (assorbite) dai rischi assunti dalla banca nello svolgimento della propria attività creditizia. 75 La fase di pianificazione precede quella di validazione e il successivo mantenimento dello stato di conformità precedentemente conseguito 45. Il tutto è supportato da alcune necessità, varie ed eventuali, tra cui si segnalano: revisione periodica delle fasi del processo da parte dell’internal audit; costituzione della Funzione compliance 46 che presidierà gli adempimenti normativi di varia natura, posti a carico della banca, e ne valuterà i rischi d’inadempienza; realizzazione del sistema di controllo e di monitoraggio dei rischi. Per le banche di minori dimensioni, di norma largamente estranee ai processi di internazionalizzazione e di competizione globale, la revisione dell’Accordo rischia di concretizzarsi in un inasprimento dei coefficienti patrimoniali e in un aggravio dei costi connessi ai controlli prudenziali, senza che ciò si traducesse anche in incentivi al perseguimento di best practice nella sana e prudente gestione. Più in generale, il superamento di criteri prudenziali indistinti e rigidi, di Basilea 1, a favore del sistema molto più articolato e discrezionale, di Basilea 2, può comportare il rischio di re-introdurre forme di segmentazione dei mercati e dei sistemi bancari, e di favorire complessi meccanismi di arbitraggio regolamentare. Come l’accordo iniziale (Basilea 1988), anche il Nuovo Accordo prevede l’obbligo per le banche di dotarsi di un capitale proprio minimo, (capitale di vigilanza), espresso come percentuale del valore delle esposizioni, variabile in funzione di alcune caratteristiche delle esposizioni stesse. Mentre nell’accordo del 1988, il calcolo delle quote da accantonare dipendeva dal tipo di controparte (sovrani, banche, imprese, ecc.), nel Nuovo Accordo, si è scelto invece di correlare più strettamente gli accantonamenti ai rischi effettivamente assunti dalle banche, valutati attraverso l’utilizzo di modelli di rating esterni ed interni. Il Nuovo Accordo si fonda su alcuni principi fondamentali, definiti “Pilastri”, orientati a stabilire le linee guida che banche ed organismi di vigilanza dovranno seguire ai fini di una maggiore tutela del credito e dei risparmiatori. Prima di addentrarci nell’ambito dei modelli di valutazione del rischio e delle loro 45 La manutenzione ordinaria è connessa al processo di adeguamento periodico del sistema di gestione dei rischi della banca al normale svolgimento della propria attività creditizia. La manutenzione straordinaria, invece, è necessaria ogni qualvolta di verificano delle situazione particolari che possono causare la perdita di conformità del sistema gestionale ai requisiti di Basilea 2 (esempio: entrata in nuovi segmenti/mercati di operatività; offerta di nuovi prodotti/servizi finanziari; peggioramento della significatività delle stime prodotte dai modelli interni della banca). 46 76 Comitato di Basilea, Compliance and the compliance function in banks, aprile 2005 implicazioni per le imprese, diamo una breve descrizione del contenuto dei tre pilastri: Primo pilastro: è volto a definire i requisiti minimi di capitale delle banche e ad individuare le metodologie che le banche stesse dovranno adottare nella valutazione dei rischi di credito (il cui criterio di valutazione è stato modificato nel nuovo accordo), di mercato (già presente nell’accordo precedente) ed operativi (introdotto con il nuovo accordo). Secondo pilastro: il criterio detto di “controllo prudenziale” è volto a ridefinire le procedure che le autorità di vigilanza (per il nostro Paese la Banca d’Italia) dovranno seguire nello svolgimento dei loro compiti, ai fini di una maggiore tutela dei risparmiatori. Terzo pilastro: è volto a definire gli obblighi che le banche dovranno assolvere nei confronti del mercato con particolare attenzione alle esigenze di trasparenza e correttezza nei confronti della clientela. Come già accennato, il nuovo accordo lega strettamente il patrimonio di una banca ai rischi che la stessa si assume nei confronti della sua clientela. In questo senso, esso prevede uno spettro di approcci alla valutazione del rischio che và da metodologie semplici a metodologie più complesse, sia per la misurazione del rischio di credito, ovvero del rischio legato alla possibilità che la controparte risulti inadempiente, sia del rischio operativo, ossia del rischio legato al verificarsi di eventi pregiudizievoli dovuti a fattori interni (ad esempio errori dovuti ai sistemi informativi o problemi legati ad illeciti commessi da personale della banca) o esterni alla banca stessa. L’obiettivo di fondo è costringere le banche ad effettuare accantonamenti patrimoniali crescenti in ragione del livello di rischio che esse si assumono. La misura risponde ad una necessità di solidità ed efficienza di un mercato finanziario che si fonda in gran parte sulla stabilità del sistema bancario. 77 Il Nuovo Accordo di Basilea prevede una maggiore attenzione alla valutazione del rischio di credito sostenuto dalle banche. In particolare queste ultime, nella valutazione di tali rischi, sono autorizzate a scegliere tra tre possibili approcci: • Approccio standard; • Approccio IRB Foundation; • Approccio IRB Advanced. Metodologia Standard Questo approccio consente una valutazione del rischio di credito molto simile a quella prevista dall’Accordo attualmente in essere, ma caratterizzata da una maggiore sensibilità al rischio. La Banca assegna una ponderazione di rischio a ciascuno dei suoi impieghi e genera una somma di valori dell’attivo, ponderati. La ponderazione del rischio associato a ciascuna controparte è calcolata in base alla valutazione della controparte stessa, effettuata da agenzie di rating accreditate (Moody’s, S&P, ecc.). Nella tabella sopra riportata, sono indicate a titolo esemplificativo le percentuali di ponderazione del rischio di diverse classi di rischio di controparti appartenenti al segmento delle aziende “corporate”, definite in base al merito creditizio di ciascuna di esse. Per chiarire con un esempio, se un’azienda del segmento corporate appartenente alla categoria di rischio A richiede un prestito non garantito per un ammontare di 500.000 Euro, la banca deve calcolare l’attivo ponderato che si ottiene moltiplicando: 78 Poiché il calcolo del patrimonio di vigilanza sarà effettuato in base alla seguente formula (stabilita dal Comitato di Basilea): Ciò significa che il capitale accantonato dalla banca, misurato attraverso l’approccio standard, dovrà ammontare ad almeno 20.000 Euro. Se l’azienda, anziché avere un rating pari ad A, fosse priva di un rating, l’attivo sottoposto a rischio ammonterebbe a 500.000 Euro e la relativa quota da accantonare a 40.000 Euro. Appare evidente come un finanziamento erogato ad un’azienda con un rating migliore, risulti per una banca meno “costoso” in termini di quota di capitale da accantonare, rispetto ad un finanziamento erogato nei confronti di un’azienda di standing più elevato. Questo primo approccio si basa dunque su rating esterni, ovvero assegnati da agenzie specializzate. Poiché in Italia il numero di aziende che possiedono un rating ufficiale, ovvero di aziende che sono soggette a valutazione da parte delle agenzie di rating, è molto esiguo e composto principalmente da aziende di grandi dimensioni, la maggior parte del tessuto imprenditoriale del nostro Paese ricadrà nella categoria con ponderazione 100%, fornendo scarse possibilità di ottenere vantaggi economici alle banche che decideranno di adottare l’approccio standard. I crediti verso privati e piccole e medie imprese appartenenti alla categoria “retail” godono tuttavia di una definizione standard che in parte riduce l’onere di accantonamento 79 patrimoniale per le banche. Infatti l’attivo sottoposto a rischio per il calcolo del requisito minimo di capitale dell’8% rappresenta solamente il 75% dell’ammontare del credito erogato al cliente. Questo fattore, inoltre, crea instabilità nel sistema economico, e soprattutto è causa di scarsa cura nei rapporti banca-impresa; per ovviare a questa empasse, il Comitato di Basilea ha introdotto una nuova metodologia: Metodologia IRB (internal rating based) Con l’approccio basato sui rating interni (IRB), verrà concesso alle Banche di utilizzare sistemi di rating realizzati al loro interno per valutare lo standing creditizio degli affidati, ma sotto la stretta sorveglianza dell’Autorità di Vigilanza (Banca Centrale). In sostanza, ciascuna banca valuterà il rischio di credito associato ad ogni cliente, traducendo il risultato in stima del livello di possibili future perdite. Queste stime formeranno la base dei requisiti minimi patrimoniali che le banche dovranno possedere. Il sistema di calcolo IRB delle attività ponderate per il rischio, si fonda su quattro input: 1) La probabilità di inadempienza (“probability of default” – PD) misura la probabilità che la controparte si renda inadempiente nell’arco di un dato orizzonte temporale (1 anno); 2) La perdita in caso di inadempienza (“loss given default” – LGD) rileva la parte dell’esposizione che andrà perduta all’eventuale verificarsi dell’inadempienza; è il parametro che risente della diversa valutazione di eventuali garanzie prestate dal debitore; 3) L’esposizione in caso di inadempienza (“exposure at default” – EAD) che, per gli impegni di prestito, stima l’ammontare della linea creditizia accordata destinato ad essere utilizzato in caso di inadempienza; è il parametro che risente del diverso livello di revocabilità delle linee di credito da parte della banca; 4) La durata (“maturity” – M) che esprime la scadenza economica residua dell’operazione; è fissata in 2,5 anni nei metodi IRB foundation, mentre nei metodi IRB advanced è calcolata come media ponderata dei tempi 80 mancanti ai diversi pagamenti previsti, ognuno ponderato per il relativo importo. La vita residua deve sempre essere compresa tra uno e 5 anni. Stabilito un valore per ciascuno di questi quattro input, la funzione di ponderazione del rischio IRB per i crediti verso imprese genererà uno specifico requisito patrimoniale per ogni esposizione. Per i crediti nei confronti delle PMI (imprese con fatturato inferiore a 50 milioni di Euro) che potranno operare un aggiustamento in funzione della dimensione aziendale nella relativa formula di ponderazione del rischio. La differenza tra il metodo IRB Foundation ed il metodo IRB Advanced è che il primo prevede che la Banca valuti internamente la probabilità di insolvenza (PD) di ciascun prenditore, mentre l’Autorità di Vigilanza fornirà tutti gli altri input del modello di valutazione. Il secondo invece offrirà più autonomia alle banche che si dimostreranno in grado di costruire sistemi di rating interni efficienti ed efficaci, consentendo loro di stimare internamente anche i valori di LGD, di EAD e di maturity (solo per le categorie non “retail”). Le novità introdotte dal Nuovo Accordo, condurranno certamente ad un forte aumento della sensibilità al rischio da parte delle banche. Il capitale verrà quindi allocato alle imprese oggi più di ieri in base al miglior rapporto rischio/rendimento possibile. Ci si attende quindi una maggiore attenzione nel valutare le singole posizioni con le imprese. Infatti, il peso dei finanziamenti varierà all’interno di classi predeterminate, ognuna delle quali richiederà un impiego di patrimonio diverso. In base a quanto visto sopra, i metodi più vantaggiosi per gli istituti di credito, in termini di calcolo dei requisiti patrimoniali ai fini dello svolgimento della propria attività, risultano essere i metodi IRB. Essi infatti consentono alle banche di calcolare internamente il merito creditizio delle proprie controparti e di effettuare ponderazioni sulla base di parametri calcolati autonomamente. Il Comitato di Basilea impone però agli istituti di credito che desiderino adottare i metodi IRB di dimostrare, alla data di entrata in vigore dell’Accordo (1° gennaio 2007), di possedere almeno 3 anni di conformità operativa, strumentale e organizzativa a quanto previsto nell’Accordo stesso. Questo significa che già oggi le banche che intendono adottare gli approcci più sofisticati devono cominciare ad utilizzare sistemi di rating interno documentati e 81 statisticamente testati. I bilanci aziendali, a partire da quello del 2003, verranno quindi analizzati per valutare la probabilità di insolvenza a 12 mesi, e la rischiosità di ogni impresa verrà sintetizzata in un rating o in uno score (per le categorie “retail”). Secondo gli studi più recenti sulla materia, saranno proprio le PMI in particolare a soffrire dell’evoluzione in atto nel rapporto tra banca e impresa. Ciò a causa di una loro più difficile valutazione quali-quantitativa ai fini di un affidamento (dovuta anche ad una maggiore “opacità” dell’informativa di bilancio) e a causa di una storicamente riscontrata maggiore rischiosità. Tuttavia, questo fenomeno può in parte essere bilanciato da un particolare trattamento che è stato concesso alle PMI nella differente ponderazione per il rischio, al quale si è accennato nell’introduzione all’approccio standard, da cui deriva il requisito patrimoniale associato ad ogni forma di impiego delle banche. Nell’aprile 2003 infatti è stato introdotto un particolare “sconto” sul peso di finanziamenti ad aziende con fatturato annuo inferiore a 50 milioni di Euro per il calcolo del requisito patrimoniale. Figura 2.7 – Patrimonio di vigilanza In altri termini, una banca che affida un’azienda di piccole e medie dimensioni dovrà accantonare una quota di capitale inferiore rispetto ad un uguale affidamento ad una grande azienda. Tale misura correttiva è ispirata alla volontà 82 di non penalizzare eccessivamente le banche di piccole dimensioni che erogano crediti alla categoria “retail”, e deriva dalla consapevolezza che la massa dei crediti verso soggetti di piccole dimensioni e con attività poco correlate tra loro è caratterizzata, in un’ottica di portafoglio, da un rischio sistematico (ossia non diversificabile) più basso rispetto ad un’uguale massa di crediti verso poche grandi imprese, le cui attività sono statisticamente più correlate con l’andamento generale dell’economia. Una selezione delle imprese affidate più rigorosa attraverso l’introduzione di miglioramenti nelle procedure di valutazione e di controllo dei crediti potrebbe inoltre portare ad una sostanziale riduzione delle sofferenze, dei contenziosi e delle perdite su crediti da parte delle banche. Quindi, sulla base della prima bozza dell’Accordo, l’applicazione alle banche minori dell’Approccio Standardizzato, per il calcolo del nuovo coefficiente, rischiava di introdurre una penalizzazione relativa e, di fatto, un fattore di disparità concorrenziale, visto che il sistema dei pesi delle attività a rischio risultava pressoché simile a quello dell’Accordo del 1988. D’altronde, l’ipotesi di beneficiare di pesi di rischio inferiori a fronte di clientela con rating esterno, si rivelava del tutto irrealistica, considerando la scarsissima presenza di imprese rated tra la clientela delle banche di piccole e medie dimensioni, soprattutto nella realtà bancaria dell’Europa continentale. Per contro, l’introduzione nelle banche “minori” di sistemi IRB, è sembrata sin dall’origine poco praticabile, né realmente auspicata dalle autorità di Vigilanza, in considerazione dei costi di impianto e di validazione di tali sistemi, nonché di alcuni oggettivi limiti applicativi (necessità di know-how specialistico non facilmente reperibile, difficoltà nel rispettare i requisiti organizzativi previsti per i sistemi IRB, scarsa significatività numerica delle esposizioni da censire ai fini del buon funzionamento di un sistema di rating interno). In linea generale, gli approcci di misurazione del rischio di controparte basati sul rating, sia esterni, ossia attribuiti dalle agenzie di rating, sia interni, ossia elaborati internamente alle banche, sembrano corrispondere a un modo di svolgere l’attività creditizia cosiddetto di tipo transaction lending, fondato sull’acquisizione di informazioni strutturate sul cliente, in genere pubbliche, e su un’elaborazione massima di dati che tende a privilegiare il trattamento della transazione, piuttosto che la prestazione di un servizio personalizzato per il prenditore di credito. Questo 83 modello, basato sulla transazione, appare in una certa misura alternativo a quello basato sulla relazione, cosiddetto appunto di tipo relationship lending, che tende invece a sfruttare i vantaggi informativi connessi con la prossimità al cliente e la conoscenza diretta, in genere protratta nel tempo. Il modello di relazione si fonda quindi sulla disponibilità di informazioni generalmente non strutturate e proprietarie, di natura quali-quantitativa, di norma riferite a un segmento di piccole imprese, di solito non brillanti dal punto di vista informativo. Risulta in questo contesto premiante, per le banche di prossimità, la capacità di valutare anche informazioni di tipo qualitativo come la qualità del management, il settore di appartenenza e il posizionamento nel settore, che risultano trattabili a costi più elevati e meno“industrializzabili”, proprio perché meno standardizzate e codificate. Le economie di scala che consentono di beneficiare di costi più contenuti nel trattamento delle informazioni su volumi elevati di rapporti ed operazioni non possono quindi pienamente essere sfruttate dalle banche di grandi dimensioni come vantaggio competitivo nei confronti delle “banche di prossimità”. Nonostante sia improprio attribuire in modo netto e schematico, l’approccio di tipo transaction lending alle grandi banche, e quello di tipo relationship lending alle piccole banche a vocazione locale, si può comunque sostenere che l’introduzione nelle banche minori di sistemi di valutazione basati sui rating, potrebbe rivelarsi come un fattore di indebolimento del modello relazionale, sul quale sembra essere fondato gran parte del successo delle piccole banche in molti paesi ed in particolare delle banche di credito cooperativo italiane. A seguito del proficuo confronto che si è sviluppato su questi temi, il Comitato di Basilea, ha parzialmente modificato alcuni criteri previsti nell’Approccio Standard, introducendo nella versione definitiva del giungo 2004, un sistema di pesi di rischio più articolato (specifica ponderazione per il portafoglio retail, riduzione di peso dei mutui ipotecari) e valorizzando ulteriormente le tecniche e le possibilità di mitigazione del rischio. Per questo motivo diviene ancora più importante per la banca riuscire a stabilire con il cliente una relazione stabile, che attraverso le operazioni di finanziamento consenta di veicolare lavoro bancario ed erogazione di servizi che generano redditività. 84 In questo contesto risulta quindi confermata l’evoluzione in atto soprattutto nelle PMI, che sono avviate verso una riduzione del numero di rapporti bancari: tale fenomeno può essere in parte spiegato dalla crescita delle fusioni bancarie, che negli anni scorsi ha interessato il mercato italiano e dalla volontà delle imprese di instaurare rapporti più stabili ed intensi con un numero più ridotto di interlocutori, con conseguenti benefici in termini di riduzione dei costi fissi di gestione dei rapporti e dei costi impliciti ad una gestione della tesoreria operativa più complessa. Un discorso a parte meritano le imprese di piccole e medie dimensioni, che privilegeranno scelte orientate ad instaurare rapporti stabili con “una banca di riferimento”, alla quale richiederanno servizi complementari rispetto all’erogazione del credito, offrendo in ogni caso garanzie collaterali, talvolta rafforzate dalla decisione dell’imprenditore di affidare alla banca stessa anche la gestione del proprio patrimonio personale. Per valutare compiutamente l’impatto della normativa sul rapporto banca/impresa è necessario considerare anche il mutato contesto di mercato nel quale operano le aziende di credito, soprattutto nell’ambito dei servizi finanziari offerti alle PMI: 1) Le banche di grandi dimensioni sembrano progressivamente orientate verso le operazioni di raccolta e di impiego dei capitali nel mercato mobiliare, che appare più remunerativo e coerente con le strategie di riorganizzazione in atto. Per tale motivo le grandi banche considerano l’attività di erogazione del credito tradizionale alle imprese un’attività “matura”, che garantisce quindi una redditività decrescente ed un rischio non sempre giustificabile dal rendimento atteso. 2) L’evoluzione delle preferenze di investimento dei risparmiatori verso strumenti di risparmio gestito pone nuove difficoltà di raccolta di capitali impiegabili dalla banca per operazioni di finanziamento alle imprese. 3) Le banche cosiddette “di prossimità” potranno probabilmente aumentare il proprio interesse verso le operazioni di finanziamento alle imprese a causa di: ♦ una più ridotta competizione con le grandi banche nel settore dell’erogazione del credito alle imprese; l’acquisizione delle nuove esposizioni deve in ogni caso tenere conto del fatto che la crescita delle quote di mercato può condurre ad un sostanziale peggioramento della 85 qualità dei prestiti, se non viene continuamente verificato il rischio dei rapporti lasciati dalle banche più grandi. Le asimmetrie informative tra banca e cliente possono accrescere la possibilità che proprio i clienti con un maggiore grado di rischio si rivolgano alle banche che meno di altre sono in grado di valutarlo correttamente, con un conseguente peggioramento complessivo del livello di efficienza del nuovo sistema ispirato a Basilea 2; ♦ una più efficiente capacità di valutare anche qualitativamente le imprese affidate, a causa di un accesso più economico alle informazioni disponibili nel territorio di competenza, di una comunicazione più efficace delle informazioni qualitative da parte della rete commerciale e di una gestione più flessibile del rapporto con il cliente: in questo modello assume infatti maggiore importanza informativa il ruolo del “gestore della relazione” con il cliente. Le piccole banche sono generalmente dotate anche di una catena decisionale più corta, in grado di rispondere spesso più tempestivamente alle necessità del mercato e della clientela (ad esempio con processi di istruttoria più veloci). L’evoluzione descritta potrebbe rendere oggi più di ieri vantaggioso per le PMI attivare rapporti con banche di prossimità, che appaiono meglio in grado di valutare la complessità di aziende ed operazioni di dimensione contenuta.. Infatti, le informazioni quantitative e mandamentali considerate dai sistemi di rating più diffusi sono spesso meno adeguate a rappresentare correttamente l’andamento aziendale delle PMI complesse rispetto a quello delle grandi aziende. Infatti, la complessità di una azienda non è sempre correlata alla sua dimensione e per tale motivo è possibile prevedere che Basilea 2 creerà una domanda di servizi finanziari complessi da parte di piccole e medie imprese sofisticate, che più difficilmente potranno essere erogati in modo economicamente vantaggioso dalle grandi banche così come sono oggi strutturate. Risulta in questo contesto premiante la capacità di valutare anche informazioni di tipo qualitativo come la qualità del management, il settore di appartenenza e il posizionamento nel settore, che risultano trattabili a costi più elevati e meno“industrializzabili”, proprio perché meno standardizzate e codificate. Le 86 economie di scala che consentono di beneficiare di costi più contenuti nel trattamento delle informazioni su volumi elevati di rapporti ed operazioni non possono quindi pienamente essere sfruttate dalle banche di grandi dimensioni come vantaggio competitivo nei confronti delle “banche di prossimità”. 2.5 NUOVI COMPITI COMPLIANCE: MiFID In questi mesi è in corso di approvazione al Parlamento Europeo il “secondo livello” della Direttiva 2004/39/CE relativa ai mercati degli strumenti finanziari (MiFID – Markets in Financial Instruments Directive). Questo “secondo livello”, presentato nel febbraio 2006 dalla Commissione Europea, contiene regole più precise e misure tecniche per l’implementazione dei principi generali del MiFID, già approvati il 21 aprile 2004. L’approvazione della proposta rappresenta la base di partenza del processo di adeguamento. Le disposizioni legislative e regolamentari di attuazione della Direttiva dovranno essere recepite nella legislazione dei singoli Stati membri della UE entro fine gennaio 2007. La Direttiva dovrà essere applicata nel novembre dello stesso anno. E’ giunto quindi il momento di agire e predisporre tutte le attività necessarie per recepire la nuova Normativa fin da ora. Nelle intenzioni della Commissione, le norme contenute nella Direttiva costituiscono un passo importante verso la costruzione di un mercato azionario europeo integrato. Le imprese di investimento godranno realmente di un "passaporto unico" e gli investitori beneficeranno del medesimo livello di protezione, a qualsiasi sistema di intermediazione mobiliare europeo decideranno di rivolgersi. Al tempo stesso l’introduzione della Direttiva nei singoli paesi membri costituisce un elemento che può determinare significative modifiche alle modalità competitive tra i diversi intermediari. L’adeguamento al nuovo contesto è quindi un “must” da tenere in considerazione nella predisposizione e implementazione delle future strategie degli intermediari finanziari italiani. Gli obiettivi della Direttiva. La Direttiva MiFID è un elemento chiave del “Financial Services Action Plan” dell’Unione Europea, progettato al fine di facilitare l’integrazione dei mercati finanziari europei. 87 Gli obiettivi generali della Direttiva MiFID sono: 1) Efficienza, trasparenza ed integrazione delle infrastrutture di negoziazione, ottenuta con: ♦ Trasparenza delle informazioni sulle negoziazioni pre e post trade; ♦ Nuove regole per tutte le piattaforme di negoziazione attive in Europa: Mercati Regolamentati (con la rimozione del principio di concentrazione delle negoziazioni su di essi), MTF e transazioni “over the counter”. 2) Protezione degli investitori, ottenuta con apposite regole di conduzione del business: ♦ Classificazione dei clienti ♦ Marketing ♦ Informazioni sui Client Agreements ♦ Idoneità e conoscenza del cliente ♦ Convenienza e servizi “execution-only” ♦ Best Execution ♦ Gestione degli ordini dei clienti ♦ Reporting delle informazioni ai clienti Le regole di organizzazione e controlli interni che ne scaturiscono sono relative a: ♦ Impostare una Funzione compliance, emanare Compliance arrangements (incluse le operazioni personali); ♦ Sistemi e controlli interni (organizzazione interna, reporting e definizione delle responsabilità di alto livello); ♦ Record – keeping; ♦ Gestione dei conflitti di interesse; ♦ Salvaguardia degli strumenti finanziari dei clienti Il MiFID cambierà il modo in cui le banche e le società d’investimento conducono il business con la loro clientela, l’adeguamento alla nuova Direttiva non si configura pertanto come un 88 progetto di pura compliance, teso a far rispettare i nuovi requisiti richiesti in ordine alla trasparenza ed alle garanzie per gli investitori, bensì come un progetto di adeguamento ad un nuovo standard di Business. L’evoluzione del mercato USA dimostra efficacemente come il processo di adeguamento normativo abbia forti impatti sul business delle banche e delle società d’investimento. Infatti, intervento normativo, evoluzione tecnologica nel processo di negoziazione dei titoli e maggior esperienza degli investitori, hanno creato un contesto per banche e imprese d’investimento caratterizzato da forte competizione, commissioni più basse e quindi esigenza di agire su altre leve per migliorare il prodotto. Anche per il mercato europeo, in cui tecnologia e competenze degli investitori si sono già evoluti, dopo il recepimento della Direttiva MiFID si presenteranno ragionevolmente le medesime conseguenze. L’adeguamento a tale normativa dovrà pertanto essere intrapreso con la finalità di individuare e cogliere al meglio le opportunità di business che ne scaturiscono. Il ruolo assunto dalle funzioni di controllo (Compliance, Risk Management e Internal Audit) nelle banche e nelle società d’investimento dovrà modificarsi in conseguenza alle nuove richieste di trasparenza, dovranno inoltre, essere adeguatamente considerate le sinergie tra l’adeguamento al MiFID e gli altri progetti in corso relativi a Organizzazione e Internal Auditing, dato che molti dei requisiti richiesti dalla Direttiva MiFID sono comuni anche ad altre normative. Le nuove regolamentazioni introdotte dal MiFID saranno estese anche a strumenti finanziari derivati, strumenti del mercato monetario e commodities. Le società che operano nei servizi di investimento dovranno effettuare un’ampia revisione dei processi esistenti come risultato di nuovi obblighi per la protezione degli investitori. Il MiFID presenta forti implicazioni su tutti gli aspetti di processo legati alla Best Execution. I rischi più elevati, legati all’introduzione della direttiva MiFID riguardano: (vedi figura) 89 Figura 2.8 – rischi connessi alla MiFID A questo punto deve riferirsi delle previsioni in materia di requisiti organizzativi e, in particolare, di procedure e controlli interni contenute nella direttiva 2004/39/Ce 47 (MiFID). Invero, l’art. 13 della direttiva – rubricato “Requisiti di organizzazione” – detta principi già contenuti nel TUF 48 in materia di organizzazione e controlli interni, al fine di assicurare una corretta ed efficiente presentazione dei servizi di investimento, scevra anche da conflitti di interesse 49. Di conseguenza, la sua attuazione non dovrebbe avere un particolare impatto sul nostro ordinamento giuridico, fatta eccezione per alcune novità che a livello 47 Si tratta della direttiva 2004/39/Ce del Parlamento europeo e del Consiglio del 21 aprile 2004 relativa ai mercati degli strumenti finanziari,che modifica le direttive 85/611/Cee e 93/6/Cee del Consiglio e la direttiva 2000/12/Ce del Parlamento europeo e del Consiglio e che abroga la direttive 93/22/Cee del Consiglio (pubblicata nella Gazzetta ufficiale dell’Unione europea, L 145 del 30 aprile 2004). Tale direttiva dovrà essere attuata dagli Stati membri entro il termine di 24 mesi dalla sua data di entrata in vigore (coincidente con la pubblicazione in Gazzetta). 48 49 TUF – Testo Unico della Finanza. L’art. 13 della MiFID stabilisce che: le imprese di investimento adottano misure ragionevoli per garantire la continuità e la regolarità nella prestazione di servizi e nell’esercizio di attività di investimento. A tal fine le imprese di investimento utilizzano sistemi, risorse e procedure appropriati e proporzionati; o le imprese di investimento dispongono di procedure amministrative e contabili sane, di meccanismi di controllo interno, di procedure efficaci per la valutazione del rischio e di meccanismi efficaci di controllo e tutela in materia di elaborazione elettronica dei dati; o l’affidamento a terzi di funzioni operative essenziali deve essere accompagnato dall’adozione di “misure ragionevoli per evitare un indebito aggravamento del rischio operativo” e “non può mettere a repentaglio la qualità del controllo interno né impedire alle autorità di Vigilanza di controllare che le imprese di investimento adempiano a tutti gli obblighi”. o 90 regolamentare potrebbero essere introdotte dalla Commissione europea (in attuazione del secondo livello della cosiddetta procedura Lamfalussy 50) in relazione all’ipotesi di prestazione congiunta di più servizi di investimento e/o accessori. Più interessanti indicazioni si possono trarre dal parere del CESR (Commettee of European Securities Regulators) richiesto dalla Commissione europea, nell’ambito delle richiamate misure di secondo livello, in ordine alle misure tecniche di attuazione della proposta direttiva MiFID 51. Con specifico riferimento alla materia del controllo interno, la Commissione ha richiesto al CESR un parere tecnico in merito ai principi base che le autorità competenti devono tenere a mente per stabilire quando le imprese di investimento 52 abbiano adottato misure ragionevoli al fine di assicurare che le loro procedure amministrative e contabili siano considerabili sicure; le loro procedure di controllo dei rischi siano considerabili efficaci; le disposizioni per il controllo e la sicurezza dei sistemi di elaborazione delle informazioni siano considerabili efficaci. In punto ai principi generali, il CESR ha chiarito che al fine di determinare l’adeguatezza dei propri sistemi, risorse e procedure, un’impresa d’investimento deve prendere in considerazione tutte le circostanze rilevanti, tra le quali: la natura, le dimensioni e la complessità dell’attività svolta dall’impresa d’investimento e dei servizi di investimento prestati; le risorse e le procedure adottate al fine di garantire che l’attività e i servizi d’investimento prestati possono essere svolti senza interruzione, e che tali servizi e attività possano essere velocemente riavviati nel caso in cui si verifichi una grave e improvvisa interruzione di attività. 50 Com’è noto, la direttiva MiFID si caratterizza per l’attribuzione alla Commissione europea di una potestà normativa di rango secondario per l’adozione delle misure di esecuzione dei principi contenuti nella direttiva stessa (in attuazione, per l’appunto, del secondo livello della cosiddetta procedura Lamfalussy). La Commissione europea, nell’assolvimento di tale compito, acquisisce preventivamente i pareri del CESR (Committee of European Securities Regulators), organismo sopranazionale che riunisce le autorità di nazionali di vigilanza sui mercati mobiliari e che collabora , per l’appunto, con la Commissione alla costituzione di una nuova legislazione quadro per il mercato finanziario europeo. 51 Si tratta del CESR’s Technical Advice on Possible Implementino Measures of the Directive 2004/39/EC on Markets in FinancialInstruments, disponibile sul sito www.cesr-eu.org (ref. CESR/05-024b). 52 Per tali intendendosi “qualsiasi persona giuridica la cui occupazione o attività abituale consiste nel prestare uno o più servizi di investimento a terzi e/o nell’effettuare una o più attività di investimento a titolo professionale” 91 Secondo il CESR, i principi sui quali si deve basare l’organizzazione dell’impresa d’investimento in tema di amministrazione, contabilità, sistemi e controlli, prevedono processi decisori chiari, trasparenti, formali e documentati. Con specifico riferimento ai controlli interni, il CESR ha chiarito che le imprese di investimento devono verificare costantemente l’adeguatezza del loro sistema di audit e compliance, al fine di assicurare l’adeguatezza e la effettività delle misure di controllo interno all’impresa e rendere conto dell’attività svolta con frequenza regolare al senior management. Per quanto riguarda l’adempimento agli obblighi l’articolo 6 della direttiva MiFID recita: “Gli Stati membri assicurano che le imprese di investimento istituiscano, applichino e mantengano politiche e procedure adeguate per individuare il rischio di mancata osservanza degli obblighi di cui alla direttiva 2004/39/CE da parte dell’impresa, nonché i rischi che ne derivano, e mettano in atto misure e procedure idonee per minimizzare tale rischio e per consentire alle autorità competenti di esercitare efficacemente i poteri conferiti loro dalla suddetta direttiva”. Gli Stati membri assicurano che, a tali fini, le imprese di investimento tengano conto della natura, delle dimensioni e della complessità della loro attività, della natura e della gamma dei servizi investimento, e delle attività di investimento che prestano ed esercitano nel quadro della loro attività. Gli Stati membri prescrivono alle imprese di investimento di istituire e mantenere una funzione di controllo della conformità permanente, efficace e indipendente che abbia le seguenti responsabilità: a) controllare e valutare regolarmente l’adeguatezza e l’efficacia delle misure e delle procedure messe in atto conformemente al paragrafo 1, primo comma, e delle misure adottate per rimediare a eventuali carenze nell’adempimento degli obblighi da parte dell’impresa; b) fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi di investimento e delle attività di investimento ai fini dell’adempimento degli obblighi che incombono all’impresa in virtù della direttiva 2004/39/CE. Per consentire alla funzione di controllo della conformità di svolgere i suoi compiti con correttezza e indipendenza, gli Stati membri prescrivono alle imprese di investimento di assicurare che siano soddisfatte le seguenti condizioni: 92 a) la funzione di controllo della conformità (funzione compliance), deve disporre dell’autorità, delle risorse e delle competenze necessarie e avere adeguato accesso alle informazioni pertinenti; b) deve essere nominato un responsabile per la funzione di controllo della conformità, al quale spetta presentare le relazioni in materia di conformità di cui all’articolo 9, paragrafo 2; c) i soggetti rilevanti che partecipano alla funzione di controllo della conformità non devono partecipare alla prestazione dei servizi e all’esercizio delle attività che essi sono chiamati a controllare; d) il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alla funzione di controllo della conformità non deve comprometterne l’obiettività e non deve essere tale per cui sia probabile che ne comprometta l’obiettività. Tuttavia, l’impresa di investimento è esentata da uno o da entrambi i requisiti di cui alla lettera c) o d), qualora dimostri che, tenuto conto della natura, delle dimensioni e della complessità della sua attività e della natura e della gamma dei servizi e delle attività di investimento che essa presta o esercita, l’obbligo di cui alla lettera in questione non è proporzionato e che la sua funzione di controllo della conformità continua ad essere efficace. Particolarmente interessante si rivela, al riguardo, la bozza del testo del nuovo art.57 del regolamento 11522/1998 53, che a sua volta recepisce le regole 11 – 14 elaborate in passato dal CESR in alcuni documenti 54, che hanno di fatto anticipato quanto poi disposto in sede istituzionale dal Parlamento europeo e dal Consiglio dell’Unione europea ( e quanto verrà disposto dalla Commissione europea in attuazione del secondo livello della cosiddetta procedure Lamfalussy) in tema di regole di condotta degli intermediari. Alla luce di quanto precede, in linea di massima, può affermarsi che la bozza di normativa italiana pare già rispondere alle dichiarazioni programmatiche del CESR. 53 Il testo dell’ultima bozza di nuovo regolamento 11522/1999 è disponibile sul sito della Consob (www.consob.it) nella sezione “Regolamentazione – lavori preparatori”. 54 Si tratta dei seguenti documenti: European regime of investor protection – the harmonization of conduct of business rules, e A European regime of investor protection – the professional and the counterparty regimes, rispettivamente del mese di aprile e settembre 2000). 93 2.6 RESPONSABILITÀ “AMMINISTRATIVA” DELLE SOCIETÀ E MODELLI ORGANIZZATIVI; D.LGS 231/2001 La pertinenza della nuova disciplina di cui al d.lgs. n. 231/2001 alla tematica della compliance è di tutta evidenza. Basterebbe fare rinvio alle cronache giudiziarie degli ultimi 2 anni per rendersi conto di quali siano gli impatti di tale normativa sui rischi d’impresa e, conseguentemente, sull’assetto di governance che le società operanti in Italia, incluse ovviamente le banche, sono chiamate ad adottare al fine di conformarsi al dettato normativo e presidiare adeguatamente i rischi da questo derivanti. Il d.lgs. 8 giungo 2001, n. 231, recante la “disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, costituisce senza dubbio una delle più importanti e significative novità introdotte nell’ordinamento giuridico italiano negli ultimi anni. Tale normativa ha infatti introdotto un nuovo tipo di responsabilità degli enti collettivi per i reati commessi nel loro interesse o a loro vantaggio. L’ampliamento della responsabilità mira a coinvolgere nell’applicazione della pena per taluni illeciti penali non solo il patrimonio degli enti, ma anche gli interessi economici dei soci i quali, fino all’entrata in vigore della legge de qua non venivano affatto coinvolti dalle conseguenze della realizzazione dei reati eventualmente commessi, a vantaggio della società, dagli amministratori e/o dipendenti. Il principio della personalità della responsabilità penale infatti lasciava queste figure indenni da qualsiasi conseguenza sanzionatoria, con esclusione dell’eventuale azione per risarcimento danno, se applicabile. Sul piano penale poi la nuova normativa produce effetti a dir poco dirompenti in quanto né l’ente, né i soci possono dirsi estranei al procedimento penale per reati commessi a vantaggio o nell’interesse dell’ente. Tutto questo determina un interesse di quei soggetti che partecipano alle vicende patrimoniali dell’ente, al controllo della regolarità e della legalità dell’operato sociale. Infine, la responsabilità dell’ente è chiaramente aggiuntiva, e non sostitutiva, di quella delle persone fisiche, che resta regolata dal diritto penale comune. Il d.lgs. 231/01 dà attuazione ad una serie di atti internazionali e comunitari, e in particolare alla Convenzione internazionale OCSE (Organizzazione per la 94 Cooperazione e lo Sviluppo Economico) sulla “lotta alla corruzione dei pubblici ufficiali stranieri nelle operazioni economiche internazionali”, firmato a Parigi il 17 dicembre 1997, la quale prevedeva l’obbligo per gli Stati aderenti alla Convenzione di mettere a punto un apparato sanzionatorio idoneo a perseguire non solo la persona fisica autrice della corruzione, ma anche le imprese che ne avevano tratto beneficio. L’opportunità di affermare una responsabilità in via autonoma e diretta delle persone giuridiche per i reati commessi nel loro interesse o a loro vantaggio era in realtà da tempo al centro del dibattito della dottrina, la quale – osservando il rilievo crescente che, nella realtà socio-economica, avevano via via assunto i cosiddetti reati dei “colletti bianchi” – aveva evidenziato il costo, in termini di efficienza punitiva e di reale tutela dei beni giuridici, del mantenimento del noto principio “societas delinquere non potest”, e cioè del tradizionale convincimento per il quale le persone giuridiche non possono commettere reati ed essere punite. Al tempo stesso, l’introduzione di forme di responsabilità degli enti collettivi discendeva dall’esigenza di armonizzare e razionalizzare, nei diversi ordinamenti giuridici europei, le risposte sanzionatorie ai fenomeni di criminalità di impresa; ciò anche al fine di creare un meccanismo dissuasivo rispetto a diffuse pratiche (quali quelle di corruzione, truffa in finanziamenti, ecc.) potenzialmente discorsive della concorrenza tra le imprese. In adesione a tali orientamenti il d.lgs. 231/01 ha quindi introdotto nel nostro ordinamento giuridico un nuovo tipo di responsabilità, che il legislatore definisce “amministrativa”, ma che in realtà ha forti analogie con la responsabilità penale. Infatti tale responsabilità sorge per effetto di un reato (e non di un illecito amministrativo), il suo accertamento avviene nell’ambito di un procedimento penale, il provvedimento sanzionatorio è sempre un atto giurisdizionale e, infine, essa è autonoma rispetto alla persona fisica che ha commesso il reato (infatti secondo il disposto dell’art. 8, l’ente potrà essere dichiarato responsabile anche se la persona fisica che ha commesso il reato non è imputabile ovvero non è stata individuata). Ciò conferma la portata innovativa della normativa in commento, prefigurando una sorta di equiparazione tra persona fisica e persona giuridica nell’ambito dei comportamenti penalmente rilevanti. 95 Il nuovo paradigma sanzionatorio introdotto dal d.lgs.231/01 afferma quindi la responsabilità degli enti collettivi per i reati commessi, nel loro interesse o a loro vantaggio: a) da soggetti che nella struttura organizzativa dell’ente rivestono una posizione apicale (e cioè, ai sensi dell’art. 5, comma 1 del d.lgs.231/01, tutti quei soggetti che all’interno dell’azienda, rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso), ovvero; b) da soggetti sottoposti alla vigilanza o alla direzione di questi ultimi (intendendosi per tali, i lavoratori subordinati e parasubordinati, come pure i fornitori e i services providers). Quanto invece ai criteri di imputazione della responsabilità, stante la matrice penalistica che informa la nuova disciplina della responsabilità degli enti, il d.lgs.231/01 ha precisato che, affinché l’ente possa essere dichiarato responsabile, occore che il reato discenda dalla colpa dell’ente, e cioè dalla violazione delle regole di diligenza richieste dall’ordinamento giuridico per la tutela dei beni giuridici di interesse collettivo. Ai fini della responsabilità dell’ente occorrerà dunque non soltanto che il reato sia a esso ricollegabile sul piano oggettivo (le condizioni alle quali ciò si verifica, come si è visto, sono disciplinate dall’art. 5); di più, il reato dovrà costituire anche espressione della politica aziendale o quantomeno derivare da una colpa di organizzazione 55, derivante dalla mancata adozione dei presidi necessari a evitare che il reato sia commesso. È invece espressamente esclusa la responsabilità dell’ente nell’ipotesi in cui i soggetti sopra indicati abbiano agito nell’interesse esclusivo proprio o di terzi. Per quanto attiene alla tipologia dei reati, le fattispecie che rilevano attualmente ai fini dell’applicabilità del decreto in esame sono: ♦ taluni reati contro la Pubblica amministrazione (tra i quali, i reati di malversazione a danno dello Stato, indebita percezione di erogazioni a danno dello Stato, truffa a danno dello Stato, truffa aggravata per il conseguimento di erogazioni pubbliche, corruzione, concussione); 55 96 Così si esprime, testualmente, la relazione ministeriale al d.lgs 321/01 ♦ i reati di falsità in monete, in carte di pubblico credito e in valori in bollo (tra gli altri, i reati di falsificazione di monete, spendita e introduzione nello Stato, previo concerto, di monete falsificate, falsificazione di valori di bollo); ♦ taluni reati societari (tra gli altri, i reti false comunicazioni sociali, falso in prospetto, indebita restituzione dei conferimenti, illegale ripartizione degli utili e delle riserve, illecite operazioni sulle azioni o quote sociali della società controllante, operazioni in pregiudizio dei creditori, formazione fittizia del capitale, indebita influenza sull’assemblea, aggiotaggio, ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza); ♦ taluni delitti contro la personalità individuale (segnatamente i reati di riduzione o mantenimento in schiavitù o servitù, nonché i reati ad esso connessi); ♦ i delitti di abuso di informazioni privilegiate e di manipolazione del mercato, di cui agli art. 184 e 185 del TUF, quali recentemente introdotti dalla legge comunitaria 2004 56. Le sanzioni previste per i casi in cui sia acclarata la responsabilità dell’ente sono particolarmente rigorose, prevedendosi l’applicazione di sanzioni pecuniarie e/o interditive (tra le quali l’interdizione dall’esercizio dell’attività, la sospensione o la revoca delle autorizzazioni funzionali alla commissione dell’illecito, il divieto di contrarre con la Pubblica amministrazione, il divieto di pubblicizzare beni o servizi), nonché la confisca del prezzo o del profitto del reato e la pubblicazione della sentenza di condanna. Le sanzioni pecuniarie e interditive previste dal decreto in oggetto, si applicano anche in relazione alla commissione di reati nelle forme del tentativo – sebbene in 56 Veda la legge 18 aprile 2005, n. 62 (“Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee. Legge comunitaria 2004”). In proposito si evidenzia che l’art. 9 comma 2 di tale legge – che da attuazione alle direttive comunitarie sull’abuso di informazioni privilegiate e sulla manipolazione del mercato – ha tra l’altro introdotto nel TUF (d.lgs. 20 febbraio 1998, n. 58) il nuovo art. 187 quinquies, il quale afferma la responsabilità dell’ente per le sanzioni amministrative irrogate ai propri soggetti “apicali”, o ai soggetti sottoposti alla vigilanza o alla direzione dei primi9, per gli illecitida questi commessi nel suo interesse o a suo vantaggio. Il successivo art. 187 septies attribuisce alla consob la competenza a irrogare dette sanzioni amministrative. Si tratta di disposizioni di una certa rilevanza, in quanto costituiscono il primo caso di (parziale) estensione dell’impianto del d.lgs.231/01 – e segnatamente, degli artt. 6, 7, 8 e 12 – a illeciti di tipo non penale, ma amministrativo. 97 forma ridotta – salvo che l’ente abbia volontariamente impedito il compimento dell’azione o la realizzazione dell’evento. A fronte di un regime sanzionatorio cosi rigoroso – il cui impatto potenziale sui rischi di impresa è di tutta evidenza – il legislatore ha peraltro previsto talune ipotesi di esenzione dalla responsabilità amministrativa. Più in particolare, l’art. 6 del d.lgs.231/01 prevede che l’ente non risponde dei reati commessi dai soggetti in posizione apicale se dimostra (vige quindi, in tal caso un’inversione dell’onere della prova) che: a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi 57; b) il compito di vigilare sul funzionamento e l’osservanza dei modelli nonché di curare il loro aggiornamento, è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b). Secondo l’art. 7, per i reati commessi dai soggetti sottoposti l’ente risponde invece solo se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza (ma in tale ipotesi l’onere della prova è a carico della pubblica accusa). In ogni caso, tali obblighi si presuppongono osservati se l’ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire la realizzazione degli illeciti penali considerati. 57 Si noti tuttavia come l’adozione del modello di organizzazione e gestione non sia obbligatoria, trattandosi di una decisione rimessa alla mera discrezione dell’ente interessato. Va peraltro rilevato che, nel caso delle società di capitali, la mancata adozione del modello potrebbe esporre l’organo di gestione all’azione di responsabilità, nel caso in cui dalla mancata adozione del modello dovessero derivare sanzioni a carico della società stessa. 98 2.6.1 ADOZIONE DEL MODELLO ORGANIZZATIVO Il d.lgs.231/01 fornisce indicazione di carattere generale e piuttosto vaghe (scelta per certi aspetti comprensibile, considerato l’ampio novero di soggetti a cui la normativa si riferisce), che lasciano pertanto all’interprete il compito di individuare, in concreto, il contenuto dei modelli organizzativi. Si tratta di un compito non certo agevole quello di individuare quali caratteristiche debbano possedere i modelli organizzativi al fine di potere assolvere alla loro funzione scriminante, nell’ipotesi in cui la società dovesse essere coinvolta in un procedimento penale ai sensi del d.lgs. 231/01. E’ opportuno precisare poi che la legge prevede l’adozione del modello di organizzazione, gestione e controllo in termini di facoltatività, e non di obbligatorietà. La mancata adozione non è soggetta ad alcuna sanzione, ma espone l’ente alla responsabilità per gli illeciti realizzati da amministratori e dipendenti. Da un punto di vista generale i compliance program fungono da criterio di esclusione della punibilità, ove intervenga la commissione, da parte di soggetti che siano titolari di posizioni apicali, ovvero di persone sottoposte alla direzione o alla vigilanza dell’ente. Sotto un altro profilo, l’esistenza di un compliance program è criterio di attenuazione delle conseguenze giuridiche ed economiche conseguenti alla responsabilità dell’ente. Nel caso di irrogazione di sanzioni pecuniarie, l’adozione e l’efficacia applicativa, post factum, del modello, determina una riduzione delle medesime in una misura complessiva tra un terzo e la metà, e nel caso di risarcimento del danno la riduzione è compresa tra la metà e i due terzi. L’adozione del modello diventa di fatto obbligatoria se l’azienda vuole beneficiare dell’esimente. Naturalmente, facilita l’applicazione di tale esimente, in termini squisitamente probatori, la documentazione scritta dei passi compiuti per la costruzione del modello. L’applicazione delle sanzioni agli enti incide direttamente sugli interessi economici dei soci, in caso quindi di qualche possibile problema in tal senso, legittimamente i soci potrebbero esperire azione di responsabilità nei confronti degli amministratori inerti che, non avendo adottato il modello, abbiano impedito all’ente di fruire del meccanismo di esonero dalla responsabilità. È indispensabile 99 quindi, verificare se questi modelli siano idonei a prevenire reati della specie di quello che in pratica si è commesso, ex art. 6 del decreto, e se gli stessi siano stati efficacemente attuati. Il modello deve quindi prevedere, in relazione alla natura ed alla dimensione dell’organizzazione aziendale cui deve applicarsi, nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente ogni situazione di rischio, attraverso un tipico sistema di gestione dei rischi (risk management). L’implementazione del modello organizzativo nei suoi termini generali può sistematicamente ripartirsi in quattro fasi: 1) di avvio o di individuazione dei rischi, sulla base della struttura esistente attraverso una mappatura delle attività aziendali; 2) di confronto della realtà esistente con i dettami del D.lgs 231/2001; 3) di costruzione del modello, con i relativi interventi organizzativi, ed elaborazione di un sistema di controllo; 4) ed infine quella di effettiva operatività del modello realizzato. La fase di avvio, riconducibile alla fase di individuazione dei rischi, è stata articolata nei seguenti principali adempimenti: ♦ perimetrare i processi sensibili rispetto ai reati previsti dal d.lgs. 231/2001; ♦ rappresentare e delimitare i centri di responsabilità; ♦ descrivere per aree e processi la situazione esistente. Con la fase successiva, si procede a: ♦ confrontare l’assetto organizzativo aziendale ai requisiti previsti dal provvedimento normativo; ♦ individuare le aree di miglioramento in materia di controllo interno; ♦ confrontare la realtà in essere con i possibili disallineamenti rispetto al modello normativo, nel rispetto del modello dettato dall’Associazione di categoria. La terza fase ha riguardato propriamente la costruzione del modello aziendale articolato in un quadro normativo di riferimento e nei contenuti organizzativi. 100 Particolare attenzione si deve prestare in questa fase alla individuazione dell’organismo di vigilanza e controllo, operando una attenta analisi delle opzioni formulate dal modello di comportamento ABI 58. Tra le diverse opzioni si può individuare il soggetto ritenuto idoneo nel Comitato di Audit già composto da soggetti indipendenti e da componenti del consiglio di amministrazione anche rappresentativi della minoranza. Per renderlo conforme alle prescrizioni normative è necessario integrarlo nella composizione inserendovi il Compliance Officer e il Presidente del collegio sindacale, per le materie di rispettiva competenza, trasformando la denominazione in Comitato di Audit e Compliance. La quarta ed ultima fase, da non sottovalutare perché fondamentale per l’efficacia del modello, è riconducibile alla vita del modello organizzativo ossia alla sua diffusione dello stesso, alla formazione e sensibilizzazione del personale ed in genere dei collaboratori, nonché di manutenzione del modello rispetto alle successive modifiche organizzative e normative. La manutenzione del modello è uno dei punti nevralgici del sistema: il modello adottato infatti, oltre ad essere ovviamente perfettibile, ha bisogno di essere continuamente tarato sulla realtà aziendale e sul contesto normativo tempo per tempo esistenti. Infine, i modelli, in quanto strumenti organizzativi della vita dell’ente, devono qualificarsi per la loro concreta e specifica efficacia e per la loro dinamicità e versatilità. Devono inoltre scaturire da una visione realistica ed economica dei fenomeni aziendali e non esclusivamente giuridico-formali. 2.7 AICOM, LINEE GUIDA PER IL MANAGEMENT Nella pratica sono state tracciate linee guida nella composizione e redazione dei modelli organizzativi ad opera di varie associazioni. Alcune di queste suggeriscono la separazione di compiti tra coloro che svolgono fasi cruciali nell’ambito di un processo aziendalmente considerato a rischio, l’attribuzione dei 58 ABI, Linee guida dell’Associazione Bancaria Italiana per l’adozione di modelli organizzativi sulla responsabilità amministrativa delle banche (d.lgs. n. 231/2001), febbraio 2004. 101 poteri di firma coerenti con le responsabilità organizzative e gestionali, l’esistenza di un sistema di monitoraggio idoneo a segnalare in tempo reale situazioni di criticità. L’AICOM, (Associazione Italiana Compliance) è un associazione non riconosciuta, senza finalità di lucro, nasce allo scopo di contribuire a promuovere la cultura della compliance all’interno del sistema finanziario italiano e dei diversi settori industriali, allineandosi ai contesti internazionali nei quali operano importanti associazioni e perseguendo i principi enunciati già dall’ottobre 2003 dal Comitato di Basilea. Allo scopo di promuovere e supportare il ruolo di Compliance AICOM ha deciso di emanare le proprie Linee Guida per garantire che lo svolgimento di tale compito risponda a quei requisiti basilari di autonomia, indipendenza e autorevolezza senza i quali esso non potrebbe risultare realmente efficace. Ove presente la Funzione risponde, al momento, più a specifiche esigenze di governo e controllo preventivo interno che a regole esterne; lo svolgimento di tale ruolo (già molto diffuso nel contesto italiano) varia da azienda ad azienda e si adatta a contesti giuridici e culturali differenti, tipici delle organizzazioni all’interno delle quali prende corpo. Realtà differenti spesso significano finalità, perimetri d’intervento e strutture organizzative non omogenei alla stessa attribuiti. Tuttavia, considerato il rilievo esterno che i rischi presidiati dalla Funzione assumono, si ritiene utile raccomandarne l’insediamento nel rispetto di alcuni principi basilari, di seguito elencati. AICOM, con la formulazione di propri principi standard, intende: a) favorire lo sviluppo e la diffusione della cultura della compliance e la conoscenza delle regole di base che caratterizzano questa attività; b) agevolare lo scambio di informazioni sui temi legati alla conformità ed al rispetto delle regole, ponendosi quale interlocutore delle principali istituzioni del mondo finanziario e industriale, della Pubblica Amministrazione e della Vigilanza; c) offrire supporto consulenziale a tutti coloro che necessitano di approfondire gli argomenti legati alle materie di compliance. 102 L’Associazione, inoltre, si pone a supporto del management e dei vertici aziendali che, integrando la Funzione nel sistema di controllo interno, intendono creare valore per l’azienda, sia in termini di contenimento dei rischi e conseguentemente di sanzioni e perdite, che in termini di miglioramento dell’immagine e del marchio aziendale, con conseguente fidelizzazione della clientela e garanzia di sviluppo di lungo periodo. Più in generale l’impegno dell’AICOM è quello di far comprendere l’importanza che assume la tutela della reputazione aziendale e, in particolare, nel settore bancario, la gestione del banking face value. Ciò comporta la necessità di non fermarsi al mero rispetto formale di leggi e regolamenti, ma d’individuare una strategia d’impresa diretta a consolidare le relazioni aziendali fiduciarie con gli stakeholders di riferimento. In tale ambito diviene peraltro evidente la stretta correlazione che esiste tra compliance e responsabilità sociale d’impresa. La compliance, infatti, è un prerequisito della responsabilità sociale di impresa, non potendosi considerare socialmente responsabile l’impresa che non rispetta le regole. AICOM offre alla Funzione di Compliance un supporto nello svolgimento delle seguenti attività : a) prevenzione e monitoraggio preventivo dei rischi di compliance; b) supporto consulenziale all’Organizzazione, al Risk Management, ai Comitati di Audit e all’Internal Audit, al fine di consentire l’attivazione di processi di prevenzione (il ciclo di compliance) dei rischi di compliance; c) favorire lo sviluppo di adeguati flussi informativi di tipo bottom up e top down sui rischi di compliance nell’ambito dei sistemi di controllo dei gruppi aziendali. A tale scopo, premessa la definizione che Basilea attribuisce alla Funzione di Compliance si espongono le Linee Guida Associative redatte con riferimento al mondo bancario, ma che possono costituire una guida anche per altri settori di impresa (società finanziarie, assicurazioni, società quotate in borsa, ecc.). Secondo il Comitato di Basilea la Funzione di Compliance è: “An independent function that identifies, assesses, advises on, monitors and reports on the bank’s compliance risk, that is, the risk of legal or regulatory sanctions, financial loss, or loss to reputation a bank may suffer as a result of its 103 failure to comply with all applicable laws, regulations, codes of conduct and standards of good practice (together “laws, rules and standards”. Da ciò si evince che, per ciò che concerne i rischi di compliance, la Funzione deve: a. attuarne l’identificazione; b. definire le procedure di monitoraggio e di controllo; c. offrire supporto consultivo alle strutture aziendali; d. seguire lo sviluppo delle normative nazionali ed internazionali; e. formulare il reporting destinato agli organi amministrativi e di controllo dell’azienda; f. mantenere i rapporti con gli Organi di Vigilanza e con le Autorità; g. coordinare e intervenire nell’attività di formazione e di sensibilizzazione del personale, promuovendo lo sviluppo della cultura etica e deontologica e di controllo.. Nel rispetto di tali principi AICOM 59 segue e sviluppa le tematiche connesse al mondo della compliance. 2.8 AICOM, COLLOCAZIONE ORGANIZZATIVA, COSTI E BENEFICI DELLA FUNZIONE COMPLIANCE NELLE BANCHE CHE OPERANO IN ITALIA AICOM, Associazione Italiana Compliance, ha pubblicato, sul proprio sito i principali risultati di una ricerca 60, relativa al profilo organizzativo, i costi ed i benefici derivanti dall’introduzione della funzione compliance nelle società finanziarie, è stata condotta 61 congiuntamente dall'AICOM, dall'Università di Perugia e dalla Facoltà di Economia “Federico Caffè” dell'Università di Roma TRE. 59 Associazione Italiana Compliance – AICOM, compliance,consultabile sul sito www.assoaicom.org Linee guida per la funzione 60 AICOM, Collocazione organizzativa, costi e benefici della funzione compliance nelle banche che operano in Italia, consultabile sul sito www.assoaicom.org 61 Hanno partecipato all’indagine il Prof. R. Aguiari insieme ai laureandi L. Gallo e E. Bovoli per la Facoltà di Economia “Federico Caffè” dell'Università di Roma TRE, l’avv.to C.Cola Presidente AICOM e il Prof. L. Nadotti e la Dott.sa M. Gallo per l’Università degli studi di Perugia. 104 Il questionario era composto da 18 domande, suddivise in tre sezioni: 1) la collocazione organizzativa e la struttura della funzione compliance; 2) i costi e i benefici della funzione compliance; 3) la valutazione della percezione del compliance risk Il campione oggetto di valutazione era composto da 33 aziende, prevalentemente primarie banche nazionali e diverse tra le maggiori banche estere operanti in Italia; solo 4 delle società che hanno risposto al questionario sono intermediari non bancari. Per quanto riguarda la collocazione organizzativa e la struttura della funzione compliance, è emerso che la funzione Compliance è già presente nel 70% delle aziende che rispondono al questionario 62. Fra le aziende che hanno già un'unità di compliance (il 70% del campione esaminato) il 65% ha istituito un'unità apposita mentre il restante 35% ha assegnato le funzioni di compliance ad unità preesistenti. Figura 2.9 – Unità di compliance 62 Si deve notare però che il campione di aziende preso in considerazione è stato volutamente costruito al fine di includere le banche e le società finanziarie che sono apparse più sensibili all’argomento della gestione dei rischi di compliance (sensibilità confermata anche dalla partecipazione all’iniziativa). 105 Figura 2.10 – Unità di compliance apposita funzione / funzione preesistente Per quanto riguarda l’ambito delle funzione compliance i dati sono: ♦ D.lgs 626/94 29%; ♦ Altro 54%; ♦ L. Privacy 75%; ♦ D.Lgs 231/2001 75%; ♦ Tub e normative di attuazione 83%; ♦ Tuf e normativa di attuazione 88%; ♦ Anti money laundering 92%; ♦ Market abuse 92%. I risultati evidenziano un perimetro della compliance molto ampio, in cui risulta consolidata la presenza di alcune attività, in particolare l’antiriciclaggio e la normativa sul market abuse. Per quanto riguardi i benefici ottenuti dall'introduzione della funzione compliance nella azienda i scultati sono: ♦ Effettiva riduzione dei rischi 50%; ♦ Migliore tempestività e qualità nel dare risposte e trovare soluzioni 27%; ♦ Maggiore consapevolezza dei rischi dai responsabili delle diverse unità 73%; ♦ Maggiore consapevolezza dei rischi dal vertice aziendale 45%. 106 Per quanto riguarda il livello di conoscenza e consapevolezza dei rischi di compliance i dati rivelano che il livello medio di conoscenza e consapevolezza dei rischi di compliance sembra essere piuttosto elevato e descrive una popolazione pronta a ricevere nuovi input da parte delle autorità preposte. La ricerca si conclude con alcuni brevi spunti di riflessione molto interessanti. L’attività di compliance deve essere organizzata al fine di contribuire alla “creazione di valore”, minimizzando il rischio di incorrere in multe e sanzioni varie e prevenire eventi dannosi che possano ledere l’immagine e la reputazione dell’azienda, ma evitando che tali controlli di conformità si traducano in mere verifiche burocratiche e inefficienti, incompatibili con i processi produttivi aziendali, che creano invece un ambiente in cui la compliance è percepita come un elemento di fastidio. I costi sostenuti per implementare una unità interna indipendente incaricata di svolgere l’attività di compliance rappresentano un vero e proprio investimento di carattere pluriennale, non più la sola conseguenza della conformità a norme e regolamenti, per non incorrere in sanzioni penali o amministrative, ma una sfida strategica di gestione aziendale, che prenda il via dalla constatazione di trovarsi in un mercato competitivo internazionale. 107 Capitolo 3 COMPLIANCE E MANAGEMENT: GESTIONE DEL RISCHIO 3.1 UN APPROCCIO OLISTICO ALLA FUNZIONE COMPLIANCE C’è molta preoccupazione sull'approccio che molte aziende stanno seguendo per adeguare i meccanismi organizzativi (strutture, formazione, procedure) e il livello di esplicitazione della Funzione di Revisione e Controllo Interno all’insieme delle normative. A fronte di una proliferazione di dispositivi legislativi a livello nazionale ed europeo e di una serie di scadenze perentorie in merito agli obblighi che gravano sulle imprese, le iniziative che possono distinguersi per novità dell'approccio e dei meccanismi sono davvero scarsi. L'approccio suggerito è sicuramente di tipo "olistico 63", ovvero ispirato da una considerazione che da diversi decenni la letteratura considera oramai assodata: l'impresa non può essere considerata un sistema di settori, ma sempre più un sistema di processi, ognuno dei quali è caratterizzato da "rischi" di varia natura (Basilea ne propone una prima classificazione). Se i processi, com'è dimostrato, rappresentano la componente dinamica dell'impresa, allora il Sistema di Controllo deve essere necessariamente omnicomprensivo e seguito da una Regia interna, al fine di omogeneizzare ed armonizzare regole, obiettivi, metodi ed, infine, la cultura. Cultura che non può essere realizzata con semplici interventi sporadici e puntuali, ma solo grazie ad una meticolosa opera di sensibilizzazione del management e delle risorse interne, attraverso piani formativi e change management dedicati, attraverso la condivisione di obiettivi chiari e specifici e mediante strategie di struttura organizzativa ben ponderate. La regia dovrà governare il modello organizzativo che assicurerà la "Compliance" aziendale al sistema normativo generale. Insomma, la Compliance è sicuramente un argomento complesso, sta alle imprese la scelta di renderlo più o meno complicato. Negli anni recenti molte aziende hanno tentato con maggiore o minor fortuna di conformarsi ai vari requisiti normativi (Basilea II, d.lgs 231/01, Sarbanes-Oxley 63 Adopting a Holistic Regulatory Compliance Approach: An Analysis of Total Cost of Ownership (TCO) And Return on Investment (ROI) Benefits By Jeff Jinnett, JD, CISSP, MCP 108 Act ecc.), uno per volta. Ma questo approccio ha spesso portato a iniziative costose e non ben mirate, che richiedevano ingenti investimenti e continui aggiustamenti, portando effettivamente la compliance ad essere un onere troppo elevato rispetto ai benefici da essa derivanti. I CIO più avveduti hanno però scoperto che si ottengono risultati migliori se i manager adottano una visione olistica della conformità aziendale. Anziché considerare ogni normativa come una sfida isolata e a sé stante, i CIO più all'avanguardia ora elaborano le iniziative di conformità secondo un approccio ad ampio spettro, essenzialmente servendosi di processi gestionali standardizzati per garantire una copertura generale volta a soddisfare più normative. Una strategia olistica di successo è caratterizzata da sei requisiti essenziali: 1) Un deciso coinvolgimento del management esecutivo; 2) Opportuni sistemi di controllo aziendale; 3) Verifiche regolari; 4) Formazione ad ampio spettro (economico, giuridico, tecnico, amministrativo ecc.) e comunicazioni regolari; 5) Meccanismi di feedback che coinvolgano i dipendenti; 6) Piani d'azione correttivi e disciplinari efficaci destinati a risolvere le inosservanze in materia di conformità. Sebbene le strategie di attuazione della compliance siano diverse da azienda ad azienda, le iniziative capaci di dare i risultati attesi hanno vari elementi chiave in comune. Innanzitutto, la conformità non può prescindere da un opportuno investimento finanziario. PricewaterhouseCoopers riporta che il 51% delle multinazionali americane ed europee aumenteranno la spesa media destinata all'attuazione della conformità di un buon 23% nel corso dei prossimi 12 - 24 mesi. In secondo luogo, la conformità è una necessità per tutti i tipi di aziende, siano esse pubbliche, private, grandi, medie o piccole. Le start up ad azionariato privato, ad esempio, devono aderire ai criteri delle norme GAAP (Generally Accepted Accounting Principles) per essere pronte ad gevolare possibili IPO (Initial Public Offering) o per attirare più facilmente potenziali acquirenti. Inoltre, le società a capitale privato e le società non statunitensi devono spesso dar prova della loro conformità normativa per avere relazioni commerciali con grandi società quotate in borsa che vogliono garantire a tutti i propri soci operazioni 109 commerciali trasparenti. In terzo luogo, la compliance presuppone un'efficace collaborazione in particolare fra CEO, CFO, CIO, consulenti legali e Chief Compliance Officer di un'azienda, ma in generale fra tutti i dirigenti. Questo livello di comunicazione è essenziale, perché la definizione di conformità aziendale continua a cambiare. I dirigenti inoltre ricevono spesso pareri e indicazioni contraddittorie dai vari revisori. Le normative internazionali in materia di conservazione dei dati e di procedure aziendali sono spesso in contrasto fra loro. L'imminenza della scadenza dell'adeguamento alle normative, poi, induce le organizzazioni a cercare delle scorciatoie, come ad esempio documentare un processo gestionale superato, anziché soluzioni efficaci nel lungo periodo, come l'automazione di tali processi. Adottando una visione olistica della conformità, le organizzazioni possono vincere queste sfide e adeguarsi in modo più efficace alle nuove normative che si profilano all'orizzonte. È necessario rendersi conto che non esiste orientamento unico che sia in grado di soddisfare tutte le esigenze di compliance. Essa richiede invece una serie di processi e soluzioni, e una sorveglianza continua. Sono molti i CIO che condividono questo punto di vista. Secondo un articolo della rivista CIO Insight, un buon 87% dei reparti IT aziendali è formalmente coinvolto nel processo di continuo adeguamento alla conformità normativa e il 46% dei CIO prevede per il 2005 un aumento della spesa IT destinata alla compliance. In tutto il mondo, i senior executive IT sono alle prese con la necessità di soddisfare decine di requisiti di conformità a normative locali, statali, federali e internazionali. In generale, tali normative sono finalizzate a garantire la riservatezza delle informazioni sui clienti, la sicurezza dei dati e l'integrità delle informazioni, migliorando nel contempo i controlli finanziari e i processi gestionali generali. La conformità non è facilmente attuabile. Le organizzazioni più attente, ogni volta che passano da un'iniziativa di conformità (ad esempio la Direttiva UE in materia di protezione dei dati) alla successiva (ad esempio il Sarbanes-Oxley), anziché affrontare ciascuna di esse in modo isolato, scelgono l'approccio olistico alla conformità, adottando una serie di processi e di soluzioni generalmente applicabili a tutti i principali requisiti normativi attuali. Le organizzazioni all'avanguardia si 110 rifanno a sei regole fondamentali per raggiungere e mantenere la conformità normativa: 1) Dare l'esempio. La conformità normativa inizia dai vertici. Il management deve prendere sul serio e ritenersi responsabile dell'attuazione della compliance; 2) Implementare controlli appropriati. Adottare processi e procedure adeguati per proteggere le attività dell'azienda da danni accidentali o intenzionali; 3) Svolgere i controlli con regolarità. Rivedere le procedure di controllo con cadenza regolare e rafforzare quanto prima gli anelli più deboli della catena; 4) Formare e comunicare con regolarità. Informare i dipendenti su ciò che ci si attende da loro per mezzo di comunicazioni regolari in forma scritta ed elettronica, a cui far eventualmente seguire discussioni verbali; 5) Dare ascolto alle critiche. Predisporre un processo che permetta ai dipendenti di esprimere le proprie preoccupazioni, senza timore di conseguenze. Ad esempio, creare una hot line per comunicazioni anonime; 6) Agire opportunamente e con rapidità. Quando sorgono dei problemi di conformità, eseguire un controllo e, se opportuno, adottare misure disciplinari o correttive. Prima regola - Iniziare dall'alto La prima regola riguarda esclusivamente i dirigenti. Senza un coinvolgimento serio e costante del top management dell'azienda, le iniziative di conformità sono destinate a incontrare difficoltà o al fallimento totale. Grazie all'interesse dei manager, le aziende stanno iniziando a pensare alla compliance più come a un insieme di “best practice” piuttosto che come a una semplice “legge” da osservare 64. In altre parole, ora il management accetta la compliance come una componente necessaria delle attività di business e dell'impegno a mantenersi onesti. Il timore, l'ostilità e l'inosservanza della normativa e delle iniziative legate alla conformità stanno cominciando a lasciare il passo alla cooperazione, al riconoscimento di opportunità e al rispetto. Questo è quanto sta succedendo nelle società più avanzate. Si deve poter contare su un atteggiamento di condivisione a 64 Afferma Sanjay Anand, autore del testo “The Sarbanes-Oxley Guide for Finance and Information Technology Professionals”, una guida alla normativa Sarbanes-Oxley per operatori finanziari e IT. 111 partire dal consiglio di amministrazione in giù, in tale processo di condivisione il management deve prendere sul serio e ritenersi responsabile dell'attuazione della compliance e della diffusione della sua cultura in tutta l’azienda. Il consiglio di amministrazione deve comprendere anche un Compliance Committee che si riunisce formalmente almeno otto volte all'anno. Dopo l'avvento del Sarbanes-Oxley Act, questi comitati sono divenuti ancora più attivi e comunicano regolarmente con il Presidente e CEO, con il CFO, il CCO, il Senior Vice President e CIO e con altri protagonisti del processo di conformità. Il Consiglio svolge inoltre un ruolo di primo piano nel reclutare dirigenti esperti di compliance e nel garantire soluzioni organizzative orientate alla conformità normativa. Bisogna inoltre pensare in modo globale, invece di affrontare il problema della conformità regione per regione, le aziende devono adottare una visione totale. È quindi necessario essere al corrente di queste normative in quanto riguardano vari settori dell'industria e paesi diversi. Questo è possibile soltanto se il team dei senior executive ha un'esperienza di livello internazionale e familiarità con le prassi e le normative locali dei vari paesi del mondo. La natura umana non cambia di molto da paese a paese, le differenze fra una regione e l'altra sono culturali. Per implementare un programma di conformità che possa essere definito internazionale, è necessario tener conto delle varie culture. In alcuni paesi un regalo da 250 dollari per un partner commerciale può essere appropriato e ragionevole, in altri potrebbe essere contro le regole. Bisogna quindi stabilire quali sono per i documenti più importanti per il proprio business e quali leggi ne regolano la conservazione nei vari mercati in cui si opera. In quei casi si devono individuare le normative più severe e soddisfarle, per poi soddisfare tutte le altre normative relative al proprio settore di business. Seconda regola – Implementare controlli appropriati Una volta costituito un team di provata esperienza responsabile della conformità, si passa a documentare e valutare tutte le procedure gestionali. In questa fase, molte aziende scoprono di avere procedure antiquate o manuali non conformi alle normative correnti. 112 Alcune organizzazioni ad esempio non prevedono una separazione dei compiti fra personale di vendita, dirigenti finanziari e altri reparti dell'azienda. Ad esempio, CA 65 si avvale del proprio software, come pure della piattaforma software di classe enterprise di SAP AG per garantire che vengano effettuati i controlli opportuni. In particolare, l'iniziativa Global Computing Controls (GCC) della società utilizza soluzioni BrightStor per la gestione, la protezione e il recupero dei dati, eTrust per il controllo degli accessi e le attività di auditing e amministrazione, ed eTrust CA-TopSecret Security per la protezione dei sistemi operativi e dei database aziendali. Inizialmente, l'implementazione dei controlli appropriati può sembrare un'impresa titanica. Ma i senior executive possono sfruttare svariati standard fondamentali come punti di partenza e semplificare così il processo. Ad esempio possono adottare il COBIT (Control Objectives for Information and related Technology), un diffuso standard metodologico messo a punto dalla Information Systems Audit and Control Association (ISACA) e dall'IT Governance Institute, pubblicato nel 1996 e aggiornato regolarmente. Secondo la definizione dell'istituto, il COBIT rappresenta un insieme di obiettivi di controllo generalmente accettati per tutti i sistemi informativi aziendali, ovvero personal computer, minicomputer, mainframe e ambienti distribuiti. Esso si basa sul concetto che le risorse IT devono essere gestite da un insieme di processi raggruppati per affinità naturale al fine di fornire le informazioni pertinenti e affidabili di cui, nell'opinione dell'istituto, necessita un'organizzazione per raggiungere i propri obiettivi. Mentre il COBIT, adottato da società dislocate in oltre 100 paesi, è focalizzato su un'efficace IT governance, ITIL (IT Infrastructure Library) è un'infrastruttura di gestione di processi e servizi, più pratica nel suo approccio alla gestione IT del COBIT; inoltre, secondo Forrester Research di Cambridge, Massachussetts, essa opera a un livello più capillare rispetto a quello delle infrastrutture di governance tradizionali. La metodologia ITIL si articola in una serie di documenti contenenti linee guida su come fornire servizi IT di qualità e sulle infrastrutture logistiche e di ambiente 65 Computer Associates International, Inc.; CA opera nel settore del software per la gestione delle risorse informatiche delle imprese. Oltre il 95% delle società “Global 1000” utilizza il software CA per soddisfare i requisiti normativi producendo la documentazione necessaria più rapidamente e semplicemente 113 necessarie per supportare l'IT secondo quanto stabilito dall'Office of Government Commerci di Norwich in Gran Bretagna. Un altro importante standard di controllo è l'ISO (International Organization for Standardization) 17799. Sebbene le metodologie COBIT e ITIL si riferiscano alla necessità della sicurezza IT e ne illustrino le caratteristiche, secondo Forrester esse tuttavia non forniscono direttive dettagliate a proposito della struttura pratica della sicurezza e dei controlli IT. Né ITIL né COBIT, quindi, sono sufficientemente specifici circa la sicurezza delle informazioni al punto di soddisfare le esigenze di un'organizzazione a questo particolare livello. È in questo ambito che abbiamo invece assistito a un'adozione generalizzata della ISO17799 (BS17799), norma su cui è basato lo schema intorno a cui viene costruita un'architettura di sicurezza informatica. Come già altri schemi di base, la ISO17799 fornisce una struttura all'interno della quale sviluppare e organizzare i controlli specifici per la propria realtà operativa, per quanto, riferisce Forrester, essa non provveda automaticamente a “riempire gli spazi vuoti” durante il processo di documentazione. Oltre a implementare standard orientati ai controlli, le società continuano a investire pesantemente in software e servizi IT in linea con i requisiti di conformità. Secondo la rivista CIO Insight, il 45% delle organizzazioni intende infatti acquistare quest'anno software di business continuity, seguito da software di tracciabilità delle e-mail (38%), gestione dei contenuti (32%) e financial reporting (29%). Terza regola - Svolgere i controlli con regolarità CIO Insight riporta che circa il 60% delle società ha implementato processi per il monitoraggio continuo dell'efficacia delle iniziative di conformità adottate, e un ulteriore 30% ha in programma di sviluppare tali processi nel corso del prossimo anno. Molti CIO paragonano le scadenze dell'adeguamento alle normative di oggi, al panico informatico che si verificò nel 1999 per il passaggio all'anno 2000 denominato “millennium bug”. A differenza del problema dell'anno 2000, però, le iniziative di conformità di oggi richiedono un'applicazione costante e ripetuti controlli. Allora le aziende erano in corsa con il tempo per controllare miliardi di 114 righe di codice e, se necessario, aggiornare le applicazioni per supportare le date a quattro cifre, ovvero “2000”, in alternativa a quelle a due cifre, ovvero “00”. “La maggior parte delle società è in attesa di capire che vento tira fra i revisori e come reagisce il mercato a esiti di controlli interni non proprio cristallini,” afferma Larry White, presidente del consiglio di amministrazione dell'Institute of Management Accountants 66 (www.imanet.org), che conta più di 70.000 membri. “Le aziende stanno cominciando a capire che – la conformità – non è uno di quei grandi eventi che si verificano una volta sola, seguiti da un improvviso calo di attenzione. Se si vuole mantenere la conformità, non si può mollare la presa. Le aziende dovranno cominciare a cercare soluzioni per rendere più efficiente il lavoro di tutti i giorni.” John Halamka della Harvard Medical School ha qualcosa da dire in proposito. “Sei mesi fa pensavamo di aver predisposto tutti i controlli necessari per le nostre policy di security,” ricorda Halamka. “Ma i nuovi attacchi e i malware più recenti ci hanno costretto a modificare le nostre policy e a sviluppare nuovi strumenti di valutazione per capire se qualcuno qui utilizza software peer-to-peer o altre applicazioni contrarie alle nostre policy.” L'approccio proattivo della Harvard Medical School nei confronti della conformità non è tuttavia condiviso da molte organizzazioni che, invece, affrontano i problemi man mano che si presentano. “Si tende a rispondere al fuoco senza elaborare processi sostenibili efficienti,” osserva con rammarico White. “In particolare per quanto riguarda la Sarbanes-Oxley Act, le organizzazioni tendono ad applicare una logica di controllo alle verifiche, ma non attingono alle tecniche di monitoraggio continuo dei processi, tipiche della produzione industriale, per controllare la qualità.” Anche le modifiche del codice di applicazioni legacy possono minare gli sforzi compiuti per soddisfare i requisiti di conformità. “Nel mondo IT, molti fra i programmatori migliori e i membri dello staff ricorrono a degli espedienti per intervenire sui sistemi legacy”, osserva Chellappa Kumar, CIO del New York College of Osteopathic Medicine (NYCOM), la seconda scuola di medicina più grande degli Stati Uniti, ubicata a Old Westbury, New York. “Queste persone non 66 Institute of Management Accountants - IMA, (www.imanet.org), conta più di 70.000 membri. IMA è dedicato a riequilibrare la professione di contabilità istruendo la società per quanto riguarda il ruolo della costruzione di affari dei management accountants e dei professionisti della finanza che lavorano all'interno delle organizzazioni. 115 lascerebbero mai intenzionalmente libero accesso ai dati, ma questi espedienti possono creare inavvertitamente le condizioni perché ciò succeda”. Quarta regola - Informare Naturalmente, qualsiasi misura di controllo aziendale orientata all'implementazione della conformità non vale nulla senza una comunicazione e una formazione degli utenti adeguate. “Comunicare la filosofia di base e una formazione adeguata in itinere sono per le società le due aree più irte di ostacoli quando si tratta di conformità,” afferma Anand 67, esperto di compliance e autore di successo. “Pur a fronte del dovuto coinvolgimento del top management e di investimenti sufficienti in sistemi e tecnologia, la preparazione dei dipendenti in relazione all'importanza della conformità e nel come utilizzare correttamente gli strumenti a disposizione, è l'area in cui le aziende sono più carenti.” “Il training e il riorientamento culturale sono due dei più importanti fattori di successo per un'implementazione riuscita della conformità normativa,” aggiunge Chellappa Kumar del NYCOM, che dedica circa il 20% del suo tempo alle problematiche di compliance. “È essenziale far sì che il personale prenda sul serio il problema della conformità. Spesso vedo che le organizzazioni cercano soltanto una soluzione tecnica, dimenticando che devono convincere i dipendenti di quanto sia importante la conformità.” Al NYCOM, Kumar tiene ogni mese degli incontri di carattere pratico con gli utenti, durante i quali vengono prese in esame le problematiche correnti in fatto di processi e le possibili soluzioni tecniche dei problemi individuati. Altre organizzazioni hanno inserito materiale sulla compliance nei documenti di HR (human resources), nelle intranet e nella newsletter elettronica mensile indirizzata ai dipendenti. Quinta regola - Dare ascolto alle critiche Se una società si dimostra carente in termini di compliance, i dipendenti devono avere a disposizione dei canali di comunicazione che consentano loro di esprimere le proprie perplessità senza timore di 67 Sanjay Anand, CEO of Sarbanes Oxley Group, nel gruppo è incluso il giornale Sarbanes-Oxley compliance journal, www.s-ox.com, il quale si occupa di Proposed Rules, Final Rules, Concept Releases, Interpretive Releases, Policy Statements and PCAOB Rulemaking. Suggerendo alle aziende su come possono interessare e su come occuparsi di loro. 116 conseguenze. Questi possono essere costituiti da una hot line per comunicazioni anonime o da account di posta elettronica anonimi che diano ai dipendenti la possibilità di rendere note le proprie osservazioni. “Oltre a fare in modo che questi canali di comunicazione vengano creati, occorre anche accertarsi che tutti i dipendenti siano a conoscenza della loro esistenza,” ha sottolineato Ed Golod, presidente di Revenue Accelerators, una società di New York specializzata in servizi di consulenza strategica per i manager. L'Health Science Center dell'Università del Texas, ad esempio, mette a disposizione un numero verde tramite il quale i dipendenti possono denunciare in forma anonima casi sospetti di violazione delle leggi federali o statali o del regolamento dell'università. Inoltre i dipendenti possono utilizzare la hot line dedicata alla conformità per porre quesiti in caso di dubbio su come comportarsi in una particolare situazione. Tutte le accuse di presunte violazioni vengono riportate all'Office of Legal Affairs and Institutional Compliance dell'Health Science Center dell'Università del Texas per approfondimento. L'origine della chiamata non viene rintracciata, né le chiamate vengono registrate e il centro non dispone di funzioni di identificazione del chiamante. Agli anonimi che chiamano viene tuttavia fornito un numero di segnalazione che possono utilizzare per richiamare la hot line dedicata alla conformità per aggiornamenti sulla questione sollevata. I dipendenti che chiamano la hot line sono protetti contro ritorsioni o altre conseguenze dalla legge statale e federale e dal regolamento dell'università. Anche CA (Computer Associates International, Inc) ha creato una hot line dedicata alla conformità etica. Durante le riunioni del comitato di controllo della società, il CCO (Chief Compliance Officer) esamina lo stato di tutte le chiamate con i membri del comitato per garantire che tutte vengano attentamente analizzate. Sesta regola – Agire opportunamente e con rapidità Quando sorgono dei problemi di conformità, le aziende devono eseguire un controllo e, se opportuno, adottare misure disciplinari o correttive. Secondo il parere di Faegre & Benson, uno studio legale di Minneapolis, Minnesota, le aziende dovrebbero decidere come condurre delle indagini in materia di conformità prima di trovarsi ad affrontare un'accusa o una denuncia specifica. Molto importante, nell'opinione dello studio, è decidere se condurre 117 l'inchiesta internamente (e in tal caso chi dovrebbe farlo) o se rivolgersi a un investigatore esterno. La seconda soluzione potrebbe giocare a favore dell'indipendenza e della credibilità dell'inchiesta, facilitare l'interazione con i revisori della società in relazione al raggio d'azione e ai risultati dell'inchiesta e rendere più semplice la gestione delle questioni riguardanti il cosiddetto “attorney-client privilege 68” . Un altro aspetto importante è fare in modo che l'investigatore abbia accesso libero e immediato a tutti i documenti pertinenti; ciò implica che le aziende devono avere sistemi di archiviazione e conservazione dei dati efficaci e adeguati alle normative in essere e a quelle di una potenziale introduzione futura di ulteriori regole. “Il numero e la rigorosità delle normative in materia di conformità aumenterà piuttosto che diminuire,” sostiene Sanjay Anand, CEO di Sarbanes Oxley Group, “Questo è dovuto all'evoluzione socio-economica del business e della società. Assisteremo inoltre a una diminuzione esponenziale dell'ostilità nei confronti di questa legislazione negli anni a venire, man mano che impariamo ad adattarci alle nuove realtà delle funzioni manageriali e della responsabilità aziendale. La conformità normativa continuerà a cercare di salvaguardare l'onestà delle persone, a tutto vantaggio del maggior numero di soggetti interessati e degli azionisti.” Il CCO di CA, Gnazzo, conclude: “Qualcuno deve assumersi la responsabilità globale di garantire che vi sia un coordinamento fra i requisiti di conformità attuali e futuri.” In CA e in altre società avanzate questa responsabilità globale investe innanzitutto il Consiglio di amministrazione, estendendosi a CEO, CFO, CIO e Chief Compliance Officer. Facendo leva su questo capitale intellettuale e sugli strumenti IT appropriati, le aziende possono raggiungere e mantenere un'efficace conformità normativa. La compliance avrà sempre meno a che vedere con il tradizionale approccio della conformità. Il management che aspira ad avere un ruolo anche al di fuori dei propri confini nazionali ha capito che occorre passare da un approccio statico amministrativo e corporativo, centrato sul solo rispetto delle norme, a una visione dinamica, economica e individuale della singola impresa, che fa perno sulle tecniche di gestione del rischio. Tenuto conto del fatto che la produzione 68 attorney-client privilege, “privilegio avvocato-assistito” mirante a consentire uno scambio d'informazioni completo e libero fra avvocato e assistito, tutelando la riservatezza delle comunicazioni e dei documenti correlati all'inchiesta o all'erogazione di una consulenza legale. 118 legislativa tende sempre più ad internazionalizzarsi, che i mercati sempre più estesi e complessi renderanno il concetto di regole sempre più aleatorio, sorge la necessità di dare spazio alla individualità personale e aziendale. E questo anche per rispondere efficacemente ai tempi richiesti dalla operatività quotidiana, che non coincidono con quelli della politica e produzione normativa. Si cercano, dunque, risposte autonome interpretando sì le tendenze in atto, ma creando regole di condotta appropriate. Partendo dalla pratica operativa quotidiana, si arriva a gestire il rischio di compliance individuando le regole migliori per il proprio business, minimizzando preventivamente il rischio di essere disallineati rispetto alle regole e definendo come minimizzare successivamente i danni di effettivi disallineamenti. Entra quindi in gioco il patrimonio culturale e dei valori di ciascuna azienda, che è chiamata a fare le sue scelte strategiche e tattiche in coerenza con il proprio ruolo e con le normative che più la riguardano. La complessità del reticolo normativo impone oggi alle aziende, oltre l’istituzione di una Unità di compliance quale centro di competenza, anche la capacità di saper tradurre i principi normativi in cultura aziendale, giacché la compliance deve essere garantita dall’impresa nel suo insieme e dunque da tutti i suoi collaboratori. 3.2 L RUOLO E LE RESPONSABILITÀ DEL TOP-MANAGEMENT: DIFFUSIONE DELLA CULTURA COMPLIANCE NELL’ORGANIZZAZIONE La visione generale è che la funzione di compliance, per quanto strutturata, deve avere accesso diretto al senior management ed alla struttura di governance, i quali sono responsabili dell’accertamento della compliance ai requisiti regolatori. Il management riconosce che l’input della compliance è essenziale per prendere le decisioni strategiche come la riorganizzazione del gruppo al fine di determinare le modalità attraverso le quali i loro affari rispondono alla compliance ed alle questioni regolatrici. Al contempo, è necessario che i membri del Board o i senior executives che hanno il compito di sorvegliare la funzione di conformità abbiano le abilità, l’esperienza e le qualità regolatrici richieste per distribuire efficacemente le loro responsabilità. 119 La maggior parte delle funzioni di compliance ha un calendario delle riunioni convenzionali con il senior management o con i comitati delle varie funzioni durante l’anno. I rapporti formali riguardanti le attività di compliance sono presentati tipicamente a tali gruppi su una base semi annuale o annuale. Tale segnalazione è completata tramite accesso diretto al senior management se vi è una questione problematica. Nel rapporto fra il management e le business unit il fattore più importante è la “fiducia”. Senza di questa, lo staff della compliance non potrebbe realizzare la sua funzione in tutta la sua interezza. Il rischio della compliance ha cominciato a ricevere l’attenzione del management similarmente ad altri rischi, quale il market risk e i rischi operativi. Alcune organizzazioni inoltre hanno espresso la preoccupazione circa le conseguenze finanziarie del rischio di compliance e qualcuno aveva stabilito dei collegamenti fra compliance e management del rischio operativo. Le più grandi organizzazioni ora tendono ad avere le funzioni d’amministrazione del rischio e comitato di rischio all’interno della funzione compliance. Le aziende devono promuovere una cultura organizzativa che consigli il comportamento etico e ad un impegno di compliance alla legge. Il senior management è informato della necessità di controllare il rischio di reputazione e del fatto che i problemi della compliance siano un danneggiamento sicuro della reputazione di un’impresa, così come potrebbe potenzialmente incorrere in penalità. Tutte le organizzazioni sono state rapide nell’imparare le lezioni dai paesi in cui la conformità è stata stabilita da più tempo. Le organizzazioni internazionali principali stanno cercando di sviluppare un metodo costante e olistico per la compliance. In generale è stato riconosciuto che la corporate governance e il senior management di un’istituzione sono responsabili dell’accertamento della conformità ai requisiti regolatori. La funzione di compliance è una funzione di staff: il relativo scopo è quello di aiutare, raccomandare e controllare ma non trasferire la responsabilità regolatrice generale. Sorge a volte un conflitto tra le funzioni di compliance officer che devono al pubblico correttezza come parte integrante del sistema regolatore e lealtà alla loro impresa. 120 L’impressione generale è che la maggior parte dei compliance officer sappiano che il loro ruolo primario è di proteggere gli interessi della loro impresa. La funzione di conformità ha guadagnato rilevanza come parte sempre più importante dell’organizzazione del senior management per occuparsi delle materie regolatrici e dell’annuncio degli argomenti per controllare il rischio di reputazione. Alcuni dei più grandi attori stanno cominciando ad implementare una funzione forte di conformità come fonte di vantaggio competitivo ed i regolatori degli Stati Uniti sono felici di vedere questo ruolo svilupparsi. In Italia il controllo all’interno dell’azienda, l’etica di affari e l’amministrazione efficace della compliance sono sempre più critici nella visione di conformità nei confronti dell’organizzazione. Il modo migliore per salvaguardare la sua reputazione, deve includere l’etica e la compliance in tutti i sistemi, processi e procedure nella cultura dell’organizzazione. Includere l’etica e la conformità nella cultura corporativa può essere una sfida importante. In questo modo è possibile trasformare il costo imposto dai regolatori nel valore aggiunto nei confronti del mercato. I principi della compliance devono essere ampiamente divulgati sia all’interno che all’esterno della struttura. L’organizzazione decide di accertarsi che i relativi impiegati conoscano e capiscano tali principi, in conformità con la loro posizione e ruoli all’interno dell’azienda e promuovano il loro contributo costruttivo. Quando si parla di controlli, la norma coinvolge, come sempre, anche le responsabilità del consiglio di amministrazione. La normativa si propone di “promuovere una cultura aziendale improntata a principi di onestà, correttezza e rispetto non solo della lettera, ma anche dello spirito, delle norme; (...) di approntare specifici presidi organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione.” Il rischio di compliance viene definito in tale ambito come “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme di legge, di regolamenti, ovvero di norme di autoregolamentazione o di codici di condotta.” Il consiglio di amministrazione e il collegio sindacale sono considerati responsabili della supervisione complessiva del sistema di gestione di tale rischio; detto compito spetta: nel modello dualistico, al consiglio di sorveglianza e al consiglio di gestione; nel modello monistico, al consiglio di amministrazione. In 121 particolare, il consiglio di amministrazione, sentito il collegio sindacale, con apposita delibera (non delegabile) approva le politiche di gestione del rischio in questione, ivi inclusa la costituzione di una funzione di conformità alle norme, permanente e indipendente. Per le aziende che adottino il sistema di amministrazione e controllo dualistico, è opportuno che lo statuto della banca medesima preveda su dette materie una delibera del consiglio di sorveglianza, su proposta del consiglio di gestione. In caso di modello monistico, la delibera deve essere approvata, oltre che dal consiglio di amministrazione nel suo complesso, anche dalla maggioranza dei componenti il comitato per il controllo sulla gestione. Almeno una volta l’anno il consiglio di amministrazione, sentito il collegio sindacale, valuta l’adeguatezza della funzione di conformità alle norme e a tal fine può avvalersi di un comitato costituito al suo interno; nel modello dualistico, detta valutazione è svolta dal consiglio di gestione e gli esiti della stessa sono comunicati al consiglio di sorveglianza, ovvero a un comitato costituito al suo interno. La compliance non può essere tale senza una base culturale che consideri il rispetto delle norme come un valore primario cui l’azienda e il comportamento di tutti i suoi attori devono ispirarsi. E, come disse una volta R. Breeden, ex Presidente della SEC: “non è certo uno standard etico adeguato quello di aspirare a concludere la giornata senza essere incriminati”. Occorre quindi verificare, innanzitutto, se la cultura aziendale e l’azione manageriale, che ad essa si ispira, supportino in modo efficace un’azione di controllo in materia di rischio di compliance. Solo di rado infatti è sufficiente il cedimento caratteriale di un unico attore per spiegare chiaramente la cattiva amministrazione di un’azienda 69. Ad esempio, le prime esperienze in materia di verifiche esterne della compliance riferite all’applicazione del d.lgs. 231/01 mostrano che l’attenzione del Tribunale penale è concentrata sulla sostanza e non sulla forma. L’esame del modello organizzativo ex 231, ad esempio, non viene mai fatto in astratto o in relazione ad aspetti puramente documentali: ciò che interessa al Giudice è la volontà di prevenire i reati e l’applicazione pratica dei modelli e delle connesse procedure di controllo. In linea teorica, se non esiste la propensione a delinquere, il modello 69 Convegno ABI, Il ruolo del CdA nel controllo della compliance, una nuova normativa della Banca d’Italia in materia di compliance, 16 e 17 ottobre 122 non serve a nulla. Al tempo stesso, il d.lgs 231/01 prevede l’inversione dell’onere della prova nel caso di soggetti apicali: si suppone che se il reato sia commesso a questo livello, la società non può essere stata estranea ai fatti. Ovvero si suppone implicitamente che il funzionamento della società non possa che ispirarsi alla cultura del top management. Non vale quindi il principio che “se è legale, è etico”: deve esservi un allineamento sostanziale e permanente tra compliance e business ethics, tra adeguamento dei comportamenti alle norme e rispetto dei valori etici dell’organizzazione. Figura 3.1 – Business ethics Il controllo sulla compliance presuppone la verifica della coerenza tra la cultura aziendale e i principi di legge; il ruolo del consiglio di amministrazione è quello di utilizzare gli strumenti per svolgere un’azione preventiva e di monitoraggio a tal fine e di promuovere tali valori in tutta l’organizzazione. La compliance è emersa come una delle aree più importanti di rischio che un’organizzazione affronta. Ciò che una volta era il rischio meno considerato dal senior management, rischio della compliance, insieme al reputational risk, hanno 123 raggiunto le zone più tradizionali di rischio, quali accreditamento, il mercato ed il rischio finanziario per fronteggiare il rischio operativo all’ordine del giorno. Figura 3.2 – Compliance management Mentre la maggior parte delle imprese di servizi finanziari hanno sviluppato bene la competenza dell’identificazione, di valutazione e dell’amministrazione nei rischi più tradizionali, la compliance ai nuovi regolamenti è fonte della preoccupazione del board e del senior management. Tuttavia, la compliance dovrebbe essere osservata non soltanto come sottoinsieme del rischio, per essere controllata come gli altri rischi, ma anche come un “enabler” o catalizzatore per la creazione significativa di valore all’interno di un’organizzazione. Sempre più aziende hanno scoperto che la compliance è una funzione chiave all’interno dell’organismo aziendale. L’iniziale visione della compliance come un’altra funzione interna o di controllo per il commercio sta cominciando a modificarsi e a breve probabilmente sarà mutata completamente. Sempre più aziende esigono che i loro uffici di compliance facciano uno “step change” verso un livello di più alto valore aggiunto attraverso: miglioramento della strategia, implementazione di processi di affari, valutazione del managing risk, fornendo una consulenza al management, cogliendo le nuove possibilità nei loro mercati. 124 Questo “step change” richiede una focalizzazione notevole sul contesto, sulle abilità e sul comportamento del reparto di compliance. Per realizzare questo “step change” del reparto compliance ci si dovrà allineare, sia all’interno che all’esterno, alla strategia di affari e alle aspettative del cliente. Per quelli che realizzano questo cambiamento, le ricompense ed i benefici sono significativi. Una problematica frequentemente sollevata dai compliance directors e dal senior management è: “come fa il reparto di compliance a comprendere e raggiungere la best practice?” La risposta a tale domanda è che tutti i reparti di compliance sono differenti quanto le aziende in cui operano. Quei reparti di compliance che possono sostenere in conformità alla legge di essere fautori di best practice riescono a far coesistere ed operare insieme quattro funzioni del funzionamento con otto fattori essenziali, in una formula che permette loro di contribuire e conseguire gli obiettivi generali dell’azienda. Le quattro funzioni del funzionamento sono: ♦ Dimostrare la conformità alle regole relative; ♦ Includere la compliance all’interno dell’organizzazione; ♦ Controllare il costo di conformità; ♦ Identificare, richiamare e risolvere i problemi di regolazione. Alcuni CCO (Chief Compliance Officer) hanno indicato che spendono generalmente troppo tempo sulla prima ed ultima di queste funzioni, mentre vorrebbero focalizzare i loro sforzi e risorse sulle due centrali. Altri invece riconoscono che dirigendo i loro sforzi e risorse verso l’inclusione della compliance ed il controllo dei costi all’interno delle loro organizzazioni, ridurranno il tempo dedicato alla prima e ultima funzione. Tuttavia, la dicotomia che affrontano i CCO è quella di impiegare le loro risorse in modo da accertarsi che tutte e quattro le funzioni del funzionamento siano controllate simultaneamente, spostando allo stesso tempo l’enfasi alle due centrali. Il metodo utilizzato dal top-management delle aziende più avanzate si focalizza sull’impegno continuo alla compliance dell’organizzazione e permette di sviluppare programmi di conformità efficaci e che siano in grado di sviluppare una cultura compliance all’interno dell’azienda. 125 Questo avviene, attraverso una gestione competente e adeguata di risorse, persone e informazioni con l’obiettivo di ottimizzare il valore, la sicurezza e i controlli dei processi aziendali: 1) Attraverso i boards e il management “tone at the top”. L’etica negli affari richiama come un’azienda coltiva una cultura di “fare la giusta cosa” e di integrarla ai valori del nucleo, quali la responsabilità e la fiducia, nel senso che il commercio è condotto attraverso l’organizzazione. Sia il board che il management hanno bisogno di una visione forte e unificata riguardo allo scopo del programma di compliance. Il management è responsabile della progettazione ed esecuzione di un efficace programma di compliance, mentre il board sorveglia l’amministrazione per accertarsi della corretta esecuzione. 2) Con un codice di condotta “value driven”: i valori servono da obiettivo per i processi decisionali dell’azienda e determinano come un’azienda si comporta nei periodi incerti. L’etica e i valori dell’azienda per quanto riguarda la compliance devono “essere vissuti” ed essere compresi in un codice di comportamento chiaramente scritto e comunicato chiaramente a tutti gli impiegati e terzi associati. Questo codice non dovrebbe esprimere soltanto il valore dell’amministrazione, ma anche identificare e riflettere il valore degli stakeholder importanti. 3) Con l’integrazione efficace nei business process: l’integrazione con i processi di affari include le politiche e le procedure di sviluppo; comunicando ed addestrando, uso del codice di comportamento e relativa pratica, libere segnalazioni all’amministrazione e al board, comunicando agli stakeholder le prestazione dell’azienda. L’integrazione si accerta che il programma di etica e compliance sia operativo ed efficiente. 126 Figura 3.3 – Gestione competente e adeguata Information System Governance e analisi dei rischi con ITIL e CoBIT, Marco Salvato, KPMG, studio AIEA, Roma, 6 aprile 2006 Nel progettare una funzione di compliance, un’organizzazione deve considerare sia i ruoli funzionali che le compliance responsability, considerando le soluzioni IT (information technology) e le best practice al fine di comprendere anch’esse nel programma di conformità. Le pratiche migliori per realizzare una cultura di sostegno della compliance riguardano: ♦ Board e senior management orientati all’etica e alla conformità; ♦ funzione globale di compliance sostenuta dalle possibilità cross-functional del management; ♦ comunicazione efficace verso l’alto e verso il basso; ♦ responsabilità costante a tutti i livelli; ♦ integrazione della conformità nel sistema di misura e di ricompensa di prestazioni specifiche; 127 ♦ metodo basato sui valori, sull’etica e sulla conformità; ♦ knowledge management per facilitare buoni risultati del leverage; ♦ miglioramento continuo basato su un uso efficace di misure obiettive di tecnologia conforme ai requisiti compliance per migliorare il management, la comunicazione e il controllo; ♦ coinvolgimento costruttivo degli stakeholder interni ed esterni; ♦ miglioramenti di conformità del leverage per permettere miglioramento negli affari; ♦ misura sistematica di efficacia del programma di compliance, compreso il controllo e la mitigazione dei costi e dei rischi; ♦ sviluppo dei sistemi di controllo immediato e dei processi efficaci di risoluzione dei problemi; ♦ definizione nuova del programma di conformità e di etica per comprendere la struttura che fornisce il supporto per i programmi di responsabilità sociale d’impresa attraverso la triple-bottom-line relativa alle prestazioni economiche, ambientali e sociali dell’organizzazione. 3.3 ENTERPRISE RISK MANAGEMENT (EMR) E BUSINESS CONTINUITY La sopravvivenza di un’azienda è assicurata dalla sua capacità di creare valore per i suoi stakeholder. Tutte le aziende devono affrontare eventi incerti e la sfida del management è di determinare il quantum di incertezza accettabile per creare valore. L’incertezza rappresenta sia un rischio che un’opportunità e può potenzialmente ridurre o accrescere il valore dell’azienda. L’ERM consente al management di affrontare efficacemente le incertezze e i conseguenti rischi e opportunità, accrescendo così le capacità dell’azienda di generare valore. Il management massimizza il valore quando formula strategie e obiettivi al fine di conseguire un equilibrio ottimale tra target di crescita e di redditività e rischi conseguenti, e quando impiega in modo efficiente e efficace le risorse nel perseguire gli obiettivi aziendali. 128 Figura 3.4 – Equilibrio rischio, valore, costo Information System Governance e analisi dei rischi con ITIL e CoBIT, Marco Salvato, KPMG, studio AIEA, Roma, 6 aprile 2006 Un modello di ERM COSO, ha le seguenti caratteristiche. ♦ L’allineamento della strategia al rischio accettabile – Il management stabilisce il livello di rischio accettabile per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per gestire i rischi che ne derivano. ♦ Il miglioramento della risposta al rischio individuato – L’ERM fornisce una metodologia rigorosa per identificare e selezionare tra più risposte alternative al rischio quella più adeguata (evitare, ridurre, condividere, accettare il rischio). ♦ La riduzione degli imprevisti e delle perdite conseguenti – Le aziende, accrescendo la loro capacità di identificare eventi potenziali, di valutare i relativi rischi e di formulare risposte adeguate, riducono la frequenza degli imprevisti come pure i costi e le perdite conseguenti. 129 ♦ L’identificazione e la gestione dei rischi correlati e multipli – Ogni azienda deve affrontare una miriade di rischi che interessano diverse aree dell’organizzazione, e l’ERM facilita la formulazione di un’efficace risposta ai rischi con impatti correlati e risposte univoche a rischi multipli. ♦ L’identificazione delle opportunità – Analizzando tutti gli eventi potenziali, il management è in grado di identificare e cogliere proattivamente le opportunità che emergono. ♦ Il miglioramento dell’impiego di capitale – L’acquisizione di informazioni affidabili sui rischi consente al management di valutare efficacemente il fabbisogno finanziario complessivo e di migliorare, così, l’allocazione del capitale. Queste caratteristiche proprie dell’ERM aiutano il management a conseguire i propri obiettivi di performance e di redditività e di evitare perdite di risorse. Inoltre, contribuiscono ad assicurare l’efficacia del reporting e la conformità alle leggi e ai regolamenti, e costituiscono un ausilio per evitare danni all’immagine aziendale e le conseguenze che ne derivano. In sintesi, l’ERM supporta l’organizzazione nel raggiungimento delle mete desiderate evitando insidie e imprevisti di percorso. Per l’impresa gli eventi rappresentano rischi e opportunità. Un evento può avere un impatto negativo, un impatto positivo, o entrambi. Eventi con impatti negativi costituiscono “rischi” che possono ostacolare la creazione di valore o erodere quello esistente. Eventi con un impatto positivo possono compensare impatti negativi o possono costituire “opportunità”. Le opportunità sono possibilità che un evento si verifichi e influisca positivamente per il conseguimento degli obiettivi, contribuendo, così, alla creazione di valore oppure preservando quello esistente. Il management valuta le opportunità emerse, riconsiderando le strategie formulate in precedenza o i processi di definizione degli obiettivi in atto ed elaborando nuovi piani per cogliere i vantaggi che ne derivano. L’ERM, che tratta dei rischi e delle opportunità che influenzano la creazione o la preservazione di valore, è definito come il processo di gestione del rischio aziendale, posto in essere dal consiglio di amministrazione, dal management e da 130 altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta l’organizzazione e progettato per individuare eventi potenziali che possono influire sull’attività aziendale, al fine di gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali. Questa definizione riflette alcuni concetti fondamentali. L’ERM è: ♦ un processo continuo e pervasivo che interessa tutta l’organizzazione; ♦ svolto da persone che occupano posizioni a tutti i livelli della struttura aziendale; ♦ utilizzato per la formulazione delle strategie; ♦ utilizzato in tutta l’organizzazione: sia nelle sue singole attività (in ogni livello e in ogni unità della struttura), che nella sua attività complessiva. Esso include una visione del rischio che considera l’azienda nel suo complesso; ♦ progettato per identificare eventi potenziali che potrebbero influire sull’attività aziendale e per gestire il rischio entro i limiti del rischio accettabile; ♦ in grado di fornire una ragionevole sicurezza al consiglio di amministrazione e al management; ♦ in grado di conseguire obiettivi relativi a una o più categorie distinte, ma che si possono sovrapporre. Questa definizione è intenzionalmente estensiva e racchiude i concetti chiave, fondamentali per capire come le aziende devono gestire il rischio; fornisce i criteri di base da applicare in tutte le organizzazioni, quale che sia la loro natura. Si focalizza direttamente sul raggiungimento degli obiettivi di una specifica organizzazione e fornisce i criteri per valutare l’efficacia dell’ERM. Nell’ambito della missione e della visione aziendale, il management definisce gli obiettivi strategici, sceglie la strategia e fissa gli obiettivi specifici, coerenti con la strategia, e li assegna a vari livelli della struttura organizzativa. L’ERM è finalizzato al conseguimento degli obiettivi aziendali rientranti nelle seguenti categorie: ♦ strategici – sono di natura generale e definiti ai livelli più elevati della struttura organizzativa, allineati e a supporto della missione aziendale; 131 ♦ operativi – riguardano l’impiego efficace ed efficiente delle risorse aziendali; ♦ di reporting – riguardano l’affidabilità delle informazioni fornite dal reporting; ♦ di conformità – riguardano l’osservanza delle leggi e dei regolamenti in vigore. Questa classificazione degli obiettivi aziendali consente di approfondire differenti aspetti della gestione del rischio. Queste categorie distinte, ma connesse o sovrapponibili (un determinato obiettivo può rientrare in più di una categoria) riguardano esigenze diverse dell’azienda e possono essere di competenza diretta di più manager. Questa classificazione consente inoltre di distinguere quanto ci si può attendere da ciascuna categoria di obiettivi. Un’altra categoria che riguarda la “salvaguardia delle risorse”, adottata da qualche azienda, è descritta nel proseguo di questo studio. Poiché gli obiettivi riguardanti l’affidabilità del reporting e la conformità alle leggi e ai regolamenti sono sotto il diretto controllo dell’azienda, l’ERM è in grado di fornire una ragionevole sicurezza per il conseguimento di questa tipologia di obiettivi. Il conseguimento degli obiettivi strategici e operativi è soggetto a eventi esterni che non sempre rientrano nella sfera di controllo dell’azienda; di conseguenza, la gestione del rischio può solo fornire una ragionevole sicurezza che il management e il consiglio di amministrazione, nel suo ruolo di vigilanza, siano tempestivamente informati della misura in cui si stanno realizzando detti obiettivi. L’ERM è costituito da otto componenti interconnessi. Essi derivano dal modo in cui il management gestisce l’azienda e sono integrati con i processi operativi. Questi componenti sono: ♦ Ambiente interno - L’ambiente interno, che costituisce l’identità essenziale di un’organizzazione, determina i modi in cui il rischio è considerato e affrontato dalle persone che operano in azienda, come pure la filosofia della gestione del rischio, i livelli di accettabilità del rischio, l’integrità e i valori etici e l’ambiente di lavoro in generale. ♦ Definizione degli obiettivi – Gli obiettivi devono essere fissati prima di procedere all’identificazione degli eventi che possono potenzialmente 132 pregiudicare il loro conseguimento. L’ERM assicura che il management abbia attivato un adeguato processo di definizione degli obiettivi e che gli obiettivi scelti supportino e siano coerenti con la missione aziendale e siano in linea con i livelli di rischio accettabile. ♦ Identificazione degli eventi – Gli eventi esterni e interni, che influiscono sul conseguimento degli obiettivi aziendali, devono essere identificati distinguendoli tra “rischi” e “opportunità”. Le opportunità devono essere valutate riconsiderando la strategia definita in precedenza o il processo di formulazione degli obiettivi in atto. ♦ Valutazione del rischio – I rischi sono analizzati, determinando la probabilità che si verifichino in futuro e il loro impatto, al fine di stabilire come devono essere gestiti. I rischi sono valutati in termini di rischio inerente (rischio in assenza di qualsiasi intervento) e di rischio residuo (rischio residuo dopo aver attuato interventi per ridurlo). ♦ Risposta al rischio – Il management seleziona le risposte al rischio emerso (evitarlo, accettarlo, ridurlo, comparteciparlo) sviluppando interventi per allineare i rischi emersi con i livelli di tolleranza al rischio e di rischio accettabile. ♦ Attività di controllo – Devono essere definite e realizzate politiche e procedure per assicurare che le risposte al rischio siano efficacemente eseguite. ♦ Informazioni e comunicazione – Le informazioni pertinenti devono essere identificate, raccolte e diffuse nella forma e nei tempi che consentano alle persone di adempiere correttamente le proprie responsabilità. In linea generale, si devono attivare comunicazioni efficaci, in modo che queste fluiscano per l’intera struttura organizzativa: verso il basso, verso l’alto e trasversalmente. ♦ Monitoraggio – L’intero processo dell’ERM deve essere monitorato e modificato ove necessario. Il monitoraggio si concretizza in interventi continui integrati nella normale attività operativa aziendale o in valutazioni separate, oppure in una combinazione dei due metodi. L’ERM non è un procedimento strettamente sequenziale, nel quale un componente influisce solo sul successivo. Si tratta, invece, di un processo 133 interattivo e multidirezionale in cui ogni componente può influire o influisce su un altro componente, indipendentemente dalla sequenza del processo. Esiste un rapporto diretto tra obiettivi, ossia ciò che un’azienda si sforza di conseguire, e i componenti dell’ERM, ovvero ciò che occorre per conseguire gli obiettivi. Questo rapporto è schematizzato in una matrice tridimensionale a forma di cubo. Le quattro categorie di obiettivi (strategici, operativi, di reporting e di conformità) sono rappresentate nelle colonne verticali del cubo, gli otto componenti sono invece rappresentati nelle righe orizzontali del cubo, e le unità operative dell’organizzazione sono rappresentate dalla terza dimensione della matrice (vedi fig. 3.8 ERM COSO). Questo schema fa capire l’estrema flessibilità del modello, che qui si illustra: esso può essere applicato, sia all’intero processo di gestione del rischio aziendale, sia distintamente alle singole categorie di obiettivi, ai componenti, alle singole unità operative e alle singole sub unità di queste ultime. La valutazione dell’efficacia del processo di gestione del rischio aziendale è un giudizio soggettivo, fondato sulla presenza degli otto componenti e sul loro corretto funzionamento. Pertanto, i componenti costituiscono anche dei criteri di efficacia. Così, se in un processo tutti gli otto componenti sono presenti e funzionano correttamente, ciò rappresenta una prova dell’assenza di debolezze significative e che i rischi che si vogliono affrontare sono al di sotto del livello di rischio ritenuto accettabile. Quando un processo di gestione del rischio aziendale è giudicato efficace per ciascuna delle quattro categorie di obiettivi, ciò significa che il consiglio di amministrazione e il management hanno una ragionevole sicurezza di venire a conoscenza della misura in cui gli obiettivi strategici e operativi si stanno conseguendo, che i report sono affidabili e che le leggi e i regolamenti in vigore sono osservati. Gli otto componenti non funzionano in modo identico in ogni azienda. L’applicazione del modello, in aziende medio-piccole, per esempio, potrebbe essere meno formale e meno strutturata. Ciò nondimeno, le piccole aziende possono avere un efficace processo di gestione del rischio, purché ciascun componente sia presente e funzioni correttamente. Sebbene l’ERM procuri importanti benefici, tuttavia, esistono dei limiti. Oltre ai fattori illustrati in precedenza esistono dei limiti dovuti a possibili errori di giudizio quando si prendono decisioni gestionali, all’impossibilità di proteggersi 134 da tutti i rischi anche perché il rapporto costo-benefici diverrebbe gravoso, a errori umani che possono procurare danni involontari, alla possibilità che i controlli siano aggirati da parte di due o più persone, in collusione, e al management che può eludere le decisioni sulla gestione dei rischi. Queste limitazioni non consentono al consiglio di amministrazione e al management di ottenere una sicurezza assoluta sul conseguimento degli obiettivi aziendali. Il controllo interno è parte integrante dell’ERM, che qui si presenta. Pertanto, il modello di gestione del rischio aziendale incorpora il controllo interno fornendo un più completo strumento per il management. Il controllo interno è definito e descritto nella pubblicazione intitolata “Il sistema di controllo interno 70”. Poiché questa pubblicazione ha superato bene la “prova del tempo” e ha costituito la base per regolamenti e leggi attualmente in vigore, essa rimane ancora valida come pure la definizione e il modello di controllo interno. Ogni persona che opera in un’organizzazione, ha una certa responsabilità nell’ERM. Il CEO ne ha la responsabilità ultima e ne assume la paternità. Il management promuove la filosofia di gestione del rischio e l’osservanza del livello di rischio accettabile, e gestisce i rischi nella sua sfera di responsabilità in coerenza con i livelli di “tolleranza al rischio”. Generalmente, il risk officer, il direttore finanziario, l’internal auditor assolvono compiti chiave di supporto alla gestione del rischio; altre persone svolgono invece compiti puramente esecutivi nella gestione del rischio in conformità alle direttive e ai protocolli. Il consiglio di amministrazione svolge un ruolo importante di supervisione del processo di gestione del rischio aziendale e contribuisce alla determinazione del livello di rischio accettabile. Un certo numero di soggetti esterni, come i clienti, i fornitori, partner, revisori esterni e analisti finanziari spesso forniscono informazioni utili per il buon funzionamento del processo di gestione del rischio aziendale, ma essi non rispondono della sua efficacia, né fanno parte del processo medesimo. 70 PWC, PriceWaterhouse Cooper, “Il sistema di controllo interno”, ed. Il Sole 24 Ore, tale testo propone la versione italiana del COSO Report, studio sulla best practice dei sistemi di controllo interno, riprendendo l'edizione statunitense del 1992. Il COSO Report è ancor oggi indicato come best practice di riferimento per l'architettura dei sistemi di controllo interno del Sarbanes-Oxley Act del 2002, il provvedimento legislativo del Congresso di riforma dei mercati finanziari americani, dalle relative norme di attuazione della SEC e dai documenti di studio della Commissione Europea. 135 3.3.1 COMPLIANCE RISK MANAGEMENT Il rischio normativo viene definito come il rischio di danni materiali, alla reputazione o di attendibilità, emerso dall’impossibilità di rispettare le disposizioni dei regolatori o dei codici relativi per la prassi migliore, che possa supervisionare le imprese regolamentate, in qualsiasi area si trovi ad operare l’organizzazione. Il rischio normativo influisce sulle aziende regolamentate in qualsiasi industria e può venire classificato in: rischio a monte: i rischi esistenti prima della formulazione delle regole, includendo quei rischi per cui l’organizzazione non è cosciente dei potenziali sviluppi normativi, così che non riesce ad accertare l’impatto commerciale e normativo della nuova legislazione, così che non riesce ad esercitare delle pressioni efficaci sui legislatori ad i regolatori e non riesce, infine, a progettare ed applicare efficientemente le nuove disposizioni. rischio a valle: rischi emersi dopo la formulazione delle regole, includendo il rischio che le direttive esistenti non vengano rispettate dall’organizzazione, che i cambiamenti nell’ambito commerciale dell’organizzazione possano venire influenzati da norme nuove o esistenti o dai regolatori ed, infine, che le violazioni individuate nell’organizzazione non vengano corrette tempestivamente. rischio normativo: i rischi di non sviluppare e gestire efficacemente il rapporto con i regolatori, includendo un’indebolita influenza sulle pressioni politiche, un metodo di supervisione troppo invadente ed un’azione coercitiva invalidabile. Le funzioni di compliance tradizionale e gestione del rischio potrebbero essere le funzioni naturali per assumersi la responsabilità principale per la conduzione di quei rischi normativi fondamentali. Ma, decisamente, questi non sono problemi tecnici da delegare e di cui dimenticarsi in un secondo momento. Il senior management ed i comitati amministrativi più rilevanti devono restare coinvolti da vicino, non solo perché i rischi a valle possono essere molto alti, ma anche perché una gestione efficiente dei rischi a monte e dei rapporti con i regolatori ai livelli più autorevoli darà modo all’organizzazione di valutare ed influenzare più efficientemente il cambiamento del panorama normativo. 136 Il rischio legato alla gestione della compliance ha cominciato a ricevere sufficiente attenzione, al pari di altri rischi come quello operativo, del mercato e su crediti. Alcune aziende hanno espresso preoccupazione sulle conseguenze del rischio legato alla compliance, ed hanno anche stabilito stretti collegamenti tra la compliance e la gestione del rischio operativo. I gruppi più grandi ora tendono a rappresentare la funzione compliance insieme a quelle della gestione dei rischi ed al comitato sui rischi. Figura 3.5 – Risk compliance committee La valutazione del rischio olistico sta guadagnando un profilo sempre più alto all’interno dell’industria dei servizi finanziari, in quanto le aziende stanno cercando non solo di conformarsi alle regole comportamentali di mercato, ma anche di utilizzare il capitale quanto più efficientemente possibile. L’esperienza ha dimostrato che le iniziative di compliance hanno un impatto estremamente benefico sul risultato economico finale. La compliance alle regole di “know your customer” a scopo antiriciclaggio di denaro sporco ad esempio, può combaciare con una gestione più efficiente dei rapporti con la clientela. Il processo di valutazione del rischio compliance tende a svilupparsi maggiormente in quei paesi dove il controllo della compliance viene svolto ampiamente dal dipartimento per la compliance. È chiaro che, in molti casi, potrebbe venire applicato un approccio alla compliance fondato sul rischio, 137 mentre molte organizzazioni possono accostarsi all’esperienza concreta in cui le funzioni della revisione interna si sono sviluppate negli anni verso la realizzazione di settori prioritari per la revisione stessa. Il rischio legato alla compliance viene definito come “il rischio di danneggiamento del modello commerciale aziendale, della sua reputazione e condizione finanziaria, dall’insuccesso nel rispettare le leggi e le regole, agli standard interni e le politiche, nonché le aspettative dei principali interlocutori sociali quali i clienti, i dipendenti e la società nel suo complesso”. Una nuova indagine a livello globale, svolta dalla Price Waterhouse Coopers 71, su 160 senior executives (dirigenti) nel settore industriale, effettuata specificamente su questa funzione, rivela che la conformità alle regole con mandato governativo è considerata meno importante per evitare il rischio di reputazione rispetto alla conformità dei codici morali e professionali interni. Aderire alla legge è necessario, ma non sufficiente per proteggersi contro il reputational risk (rischio di reputazione). Seguire le regole esistenti non basta; identificare la fonte e le conseguenze delle regolamentazioni potenziali è quanto di più decisivo. Il dipartimento di compliance da solo non può risolvere il conflitto di interesse intrinseco tra il desiderio di un’organizzazione per gli utili ed il suo dovere di ampliare gli interlocutori sociali. Le regole diventano inutili se vanno contro l’intera organizzazione, e cioè se esiste una cultura della non-compliance. La compliance è spesso reattiva ai cambiamenti aziendali solo se è consentito dalle regole. Alla richiesta di identificare i sostenitori dell’adozione e realizzazione dei codici di best practice, ad esempio, gli intervistati dell’indagine hanno messo i regolatori al primo posto. Tavola 3.1 – Realizzatori di best practice 71 Price Waterhouse Coopers, “Compliance: a gap at the heart of risk management”, gennaio 2003 138 Questo genere di approccio considera gli strati dei procedimenti di compliance uno sovraordinato all’altro, aggiungendo le spese, aumentando la possibilità di duplicazione ed incoerenza e riducendo la generale destrezza dell’impresa 72. Lo studio Price Waterhouse Coopers sostiene che sussista una lacuna tra i procedimenti ideati per mantenere l’organizzazione in linea con le sue obbligazioni normative e le politiche necessarie per proteggere ed evitare eventuali disallineamenti con tali obbligazioni. Si ha bisogno di una nuova concezione di compliance per superare questa lacuna, che metta avanti il cliente, che comprenda delle direttive interne, così come un regolamento esterno che prevenga i danni all’organizzazione, piuttosto che andarli ad indagare dopo che si sono sofferti, e che inserisca una cultura incentrata sulla compliance nel midollo delle istituzioni. I regolatori si stanno proiettando verso l’accesso immediato al rischio e alle informazioni sulla compliance osservando il management mentre prende le sue decisioni. La loro nozione di compliance comprende sempre di più le informazioni di gestione interna ed i processi decisionali, provenienti dalla sala del consiglio verso il front desk. Le cose stanno cambiando verso un migliore funzionamento delle organizzazioni di servizi finanziari. Piuttosto che vedere la compliance come una funzione a sé stante, queste organizzazioni stanno ora integrandola nelle loro strutture di gestione del rischio generale, rendendo tale gestione una parte fondamentale della compliance globale effettiva. Ma troppe istituzioni continuano a deludere le aspettative di una compliance di prima classe, stando ai risultati dell’indagine. Meno di un quinto delle organizzazioni intervistate considera la consapevolezza dei rischi legati alla compliance come una delle parti più significative del business dell’azienda. Meno di un quarto è molto sicura che la propria organizzazione sia pienamente in compliance con le disposizioni normative, i codici e le politiche interne. Tutto ciò è allarmante; una molteplicità di esempi con un profilo alto nell’industria dei servizi finanziari ha evidenziato che l’insuccesso della compliance in una parte dell’azienda può minacciare l’intera organizzazione. “Il cambiamento necessario per trasformare con successo la conformità richiede uno spostamento culturale importante a tutti i livelli di un'organizzazione, a partire 72 Rollins, Lanza: “Essential project investement governance an reporting”, 2005 139 dalla parte superiore della stessa” dice Bob Moritz, capo dei servizi finanziari di Price Waterhouse Coopers degli Stati Uniti. Dall’indagine emergono tre principi basilari: 1) Gli amministratori ed i direttori dovrebbero formulare in maniera chiara una concezione di compliance che vada ben oltre la sua funzione e che poi possa condurre ad un processo di notifica. Delle politiche e delle procedure trasparenti ed accessibili dovrebbero essere profondamente radicate in tutte le funzioni e unità commerciali all’interno delle organizzazioni. La responsabilità della compliance dovrebbe venire introdotta in tutta l’impresa, dai giovani ai più anziani. 2) Si dovrebbe costruire un’infrastruttura sul posto, per consentire al management di seguire le questioni attuali ed emergenti relative alla compliance e comunicarle agli acquirenti interni ed esterni. Un sistema completo di controlli e revisioni interne dovrebbe creare una situazione di continui miglioramenti nella gestione del rischio legato alla compliance. Parte del processo strategico dovrebbe consistere nella revisione delle tendenze emergenti, così da essere in vantaggio e prevedere le nuove problematiche, prima che vengano introdotte e diventi difficile trattarle. 3) La compliance deve essere utilizzata per orientare il valore. Una buona compliance implica la comprensione e la notifica delle aspettative dei clienti e degli altri acquirenti, migliorando quindi la qualità dei rapporti fondamentali. Le procedure di compliance, stabilite ed introdotte, velocizzano i processi di approvazione dei nuovi prodotti e della gestione, incrementando la destrezza strategica in un mercato stimolante. Una compliance più efficace rinforza il modello aziendale, abbassando il premio sul capitale di rischio e quindi il costo del capitale. Le organizzazioni che non riescono a riconoscere e colmare la lacuna tra l’approccio del banco di controllo della compliance e la totalità del rischio corso sono estremamente vulnerabili dal punto di vista del rischio sulla reputazione. Secondo l’indagine globale di PWC, sui 160 dirigenti dei servizi finanziari, il rischio sulla reputazione è l’unico grande rischio affrontato dagli istituti finanziari. Anche se dovesse essere considerato come un rischio secondario, 140 emergente dagli altri tipi di rischi come quello aziendale e normativo, le riflessioni sulla tassonomia non dovrebbero nascondere il fatto che questa rimane la più grande fonte di preoccupazione per l’industria. Tavola 3.2 – Ambiente di rischio In parte, tutto ciò riflette la certezza crescente e l’aumentata volontà da parte dei regolatori e di altri che vorrebbero rimproverare pubblicamente le istituzioni per i fallimenti del management. In parte, riflette uno scrutinio più invadente, dai gruppi dei consumatori, ai consumatori singoli, agli azionisti ed ai media, fino alle questioni di gestione governativa e del rischio e la loro crescente capacità di influenzare il dibattito normativo e le decisioni aziendali. Queste sfide, richiedono un maggiore sforzo delle istituzioni finanziarie piuttosto che un semplice atteggiamento di completa uniformità alla legge. Alla richiesta di identificare le politiche già efficienti nel limitare il rischio sulla reputazione nelle istituzioni finanziarie, il gruppo intervistato ha scelto codici chiari ed accessibili delle pratiche governative e sulla gestione del rischio, nonché dei controlli interni efficaci. Solo dopo ritroviamo la responsabilità del personale all’aderenza di codici comportamentali, dei regolamenti e alle migliori pratiche. Una rivelazione è stata trovare solo al quarto posto nell’ordine gerarchico, il detenere una funzione di compliance con delle risorse appropriate. 141 Tavola 3.3 – Mitigazione del rischio di reputazione Gli intervistati risultano anche essere d’accordo nel preferire una compliance alle politiche interne di controllo del rischio rispetto alla compliance con il governo 3.3.2 OPERATIONAL RISK MANAGEMENT Un sistema di risk management può essere definito come un insieme di presidi organizzativi, regole, infrastrutture tecniche e metodologiche di misurazione dei rischi il cui obiettivo è quello di assicurare in ogni momento l’allineamento tra la propensione al rischio definita dal vertice aziendale e l’esposizione effettiva al rischio risultante dalle operazioni finanziarie in essere. L’individuazione delle aree di rischio “risk mapping” assume rilievo cruciale e richiede un’approfondita conoscenza delle procedure operative aziendali, nonché un sistema informativo-contabile in grado di rilevare tempestivamente tutti i fatti di gestione. L’attivita di risk mapping risulta non agevole soprattutto con riferimento ai rischi operativi, qualificabili come “il rischio di perdite, dirette o indirette, derivanti da inadeguatezza o fallimento dei processi interni, delle risorse umane, dei sistemi ovvero imputabili a eventi esterni” 73. Per essere efficace la mappatura dei rischi dovrebbe arrivare a un livello di dettaglio molto elevato, riferibile alla singola business unit. In questa fase, il confronto tra il risk 73 Basel Committee on Banking Supervision, Internal Convergence of Capital Measurement Standards: a revised framework, Basilea, giungo 2004. 142 management e i responsabili delle singole unità operative dovrebbe favorire la diffusione di una cultura del controllo basata sul principio che una piena consapevolezza dei rischi comporta ricadute positive anche in termini di redditività prospettica dell’azienda. In pratica, occorre rimuovere la mentalità, spesso diffusa, che vede l’attività di risk management in una dimensione esterna all’istituzione, piuttosto che in un’ottica collaborativa. I rischi operativi, ovviamente, sono sempre esistiti, tanto nelle realtà industriali, quanto in quelle finanziarie, pur non essendo mai stati individuati quale categoria di rischio a sé stante, meritevole pertanto di un autonomo trattamento come – e per certi versi più – dei rischi finanziari. Viceversa, nel comparto industriale, i rischi operativi sono percepiti come elementi chiave del risk management e le esigenze di profitto e competitività hanno posto, da più tempo, il problema di un adeguato trattamento dei rischi. Tuttavia vi sono ancora molteplici aree di criticità con riferimento ai tre profili essenziali di identificazione, valutazione e gestione, a testimonianza del fatto che il trattamento dei rischi operativi nelle realtà aziendali sia ben lungi dall’essere completo. I rischi operativi sono rischi puri e per questo, da una loro manifestazione, possono scaturire solo perdite e mai opportunità di profitto. Tuttavia, la strategia dell’organizzazione deve essere orientata alla creazione di valore per gli shareholder per mezzo di tecniche di quantificazione ex ante e di misurazione ex post della contribuzione agli obiettivi aziendali delle diverse unità operative, ai fini di un’efficiente allocazione del capitale, della disponibilità di accurate informazioni quantitative, oltre che qualitative, sui profili di rendimento, ma anche sui rischi rilevanti a cui è esposto l’intermediario, della definizione e attuazione di strategie di mitigazione mirate a ridurre le perdite causate dai fattori di rischio individuati. La funzione di compliance gestisce un portafoglio di rischi fortemente eterogenei con riflessi in termini di applicabilità di tecniche di misurazione, anche in relazione alla disponibilità di dati di perdita e di sovrapposizione con i rischi gestiti dall’Operational Risk Management, come ad esempio il rischio legale, oneri connessi con contestazioni/reclami della clientela, e altre perdite monetarie. Serve dunque un efficace raccordo del Compliance Risk con l’Operational Risk Management e ciò può valorizzare il contributo della funzione di compliance sotto il profilo della misurazione dei rischi “condivisi”. In particolare, la funzione di 143 Compliance è di ausilio all’Operational Risk Management per attività di risk assessment, interviste ai process/risk owners, per il presidio metodologico e di coordinamento delle attività di control risk self assessment, per la raccolta dei dati di perdita e per la verifica dell’idoneità dei presidi sui rischi operativi. Viceversa l’Operational Risk Management aiuta la Funzione di Compliance per la disponibilità di serie storiche e di stime sull’esposizione ai rischi, fornisce una mappatura dei processi e analisi dei rischi. Ma il contributo maggiormente rilevante della funzione Compliance all’Operational Risk Management, e più in generale all’ERM, nella creazione di valore, nasce dalla riduzione dei rischi di non conformità, mediante l’ausilio al governo dei cambiamenti interni ed esterni, grazie alla presenza di un processo strutturato di analisi e valutazione delle esigenze anche prospettiche di compliance, mediante una maggiore consapevolezza dell’intermediario sui rischi a cui è esposto e sul grado di efficienza e qualità dei propri processi interni, attraverso una minore volatilità degli utili derivante dal contenimento delle perdite monetarie e di eventuali contrazioni di volumi e ricavi da servizi, e infine con una incidenza positiva sulle valutazioni delle società di rating e degli investitori istituzionali e sul costo del funding, con la protezione del marchio e della reputazione, preservando e rafforzando il rapporto fiduciario con la clientela. Infine, mentre sussistono dei problemi di delimitazione reciproca fra la funzione compliance e l’internal auditing, in quanto viene esplicitamente richiesta l’indipendenza della funzione compliance da una particolare unità organizzativa costituita dall’auditing, non esistono espresse indicazioni sulla necessità di costruire per la funzione compliance una unità organizzativa ad hoc. Pertanto, un plausibile candidato, secondo alcuni e anche alla luce dei documenti del Sound Practice for the Management an Supervision of Operational Risk74, potrebbe essere individuato in una unità specialistica dell’ operational risk management che già prevede l’identificazione, la valutazione ed il monitoraggio del rischio legale. Posto che gli eventi di compliance risk per la loro natura sembrerebbero rientrare nell’ambito dell’operational risk, si richiede ai regulators di indicare esattamente quali siano gli event type, che individuano gli eventi di compliance. 74 Basel Committee on Banking Supervision, “Sound Practices for the Management and Supervision of Operational Risk”, Bank for International Settlement, February 2003 144 3.4 METODOLOGIA E MODELLI DI GESTIONE Con l’enfatizzazione della separazione tra proprietà e controllo dovuta all’incessante sviluppo dei mercati finanziari, nel corso degli anni Novanta si è affermato il concetto di Corporate Governance quale moderno strumento di regole a cui le aziende si devono rifare per garantire trasparenza, correttezza e affidabilità della gestione aziendale verso gli azionisti e gli stakeholders in genere, in un’ottica di massimizzazione del valore. Oggi gran parte delle informazioni di business viene prodotta attraverso l'uso di sistemi informatici. L’efficace gestione dell’informazione e dell’information technology (IT) è di fondamentale importanza per la sopravvivenza ed il successo di un’organizzazione. Per realizzare direttive efficaci e garantire adeguati controlli le organizzazioni di successo richiedono una valutazione e una comprensione dei rischi e dei vincoli IT a tutti i livelli dell’azienda. Il management deve pertanto allineare strategie di business con strategie di IT, bilanciare i rischi anche in termini di costi/benefici, usufruire di benchmark sull’efficienza dell’ambiente IT presente e futuro. Negli ultimi anni si è reso necessario possedere un modello per l’identificazione dei confini e della struttura dei processi di gestione dei sistemi informativi: uno standard generalmente accettato di regole tali da considerare “sotto controllo” l’area informatica dell’azienda. A questo proposito gli auditors, invitati sempre più dai managers per consulenze e raccomandazioni sulla sicurezza e sul controllo IT, hanno guidato gli sforzi internazionali nell’elaborazione di nuovi standards. Dall’analisi 75 degli studi Italiani ed Internazionali sulla Corporate Governance, emerge il continuo riferimento, non solo agli aspetti fondamentali di composizione e ruolo del CdA e degli altri organi societari, ma anche alla necessità dello sviluppo di un Sistema di Controllo Interno (SCI) basato sulla gestione dei rischi aziendali, come garanzia di un’applicazione sostanziale delle norme di Corporate Governance Un’efficace sistema di controllo interno e di gestione dei rischi è quindi la risposta concreta di come amministratori e direttori possono far fronte alle loro responsabilità in materia di trasparenza informativa, correttezza gestionale, efficacia ed efficienza 75 Analisi svolta da Deloitte Touche Tohmatsu 145 Il sistema di "protocolli" per la gestione del rischio viene allora ad inserirsi, integrandolo, nel sistema di controllo interno della società, definibile, secondo lo standard internazionale di riferimento Co.S.O. (Committee of Sponsoring Organizations della Commissione Treadway), quale "processo che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi di efficacia ed efficienza delle attività operative, di attendibilità delle informazioni contabili ed extracontabili, sia per i terzi che a fini interni, di conformità alle leggi, ai regolamenti, alle norme e alle politiche interne e alla salvaguardia dei beni aziendali". Figura 3.6 - Focus sul Sistema di Controllo Interno e Risk Management Corporate Governance e Sistema di Controllo Interno Normativa e regolamentazione internazionale e nazionale di riferimento, Deloitte & Touche S.p.A. Nel Rapporto viene messo in evidenza il ruolo primario che spetta all'organo di governo nel sistema di controllo interno ( il c.d. "tone at the top" o "comportamento esemplare del vertice"). Per essere efficace un sistema di controllo interno richiede l'attenzione continua del Capo dell'esecutivo, che deve assumerne la "paternità", determinando le condizioni ambientali favorevoli al pieno sviluppo del processo 76. I requisiti ambientali analizzati nel Co.S.O. Report 77 riguardano aspetti critici quali integrità e valori etici, valore attribuito alla competenza del personale, filosofia e stile di direzione, struttura organizzativa, attribuzione di poteri e 76 V. PASTIN, Relazione al Convegno "Corporate crime in America: strengthening the good citizen corporation", 7/8 settembre 1995, disponibile sul sito www.ussc.gov, pp. 140 e ss., il quale, tra i fattori dell'organizzazione societaria che influiscono sull'effettività dei compliance programs, menziona due tipologie di condotta dei vertici: l'adozione di sistemi premiali conseguenti al raggiungimento di obiettivi economici ottenuti senza il rispetto dei principi etici adottati e le ritorsioni avverso i dipendenti che hanno segnalato illeciti o violazioni del codice etico 77 Co.S.O. Report, pubblicato nel 1992 e aggiornato nel 1994 146 responsabilità, politiche e prassi riguardanti le risorse umane. Tutto ciò configura una visione ampia del controllo interno, incentrata sul concetto di "gestione del rischio" e sui valori di integrità e trasparenza, veri e propri principi-guida per l'impostazione delle strutture organizzative. Il COSO Report (Stati Uniti) 1992, fornisce la prima definizione di SCI, identificato come un processo, svolto dal CdA, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole certezza in merito al raggiungimento degli obiettivi rientranti nelle seguenti categorie: ♦ efficacia ed efficienza delle attività operative; ♦ affidabilità delle informazioni e del reporting economico finanziario; ♦ conformità a leggi e regolamenti in vigore Il Report considera in maniera dettagliata i meccanismi di controllo e propone strumenti quali le analisi di benchmark e i modelli di valutazione finalizzati al self assessment, ovvero all’autovalutazione dei rischi e dei controlli. In altri termini, il nuovo modello di controllo supera la tradizionale (ed angusta) focalizzazione sulle attività di controllo ed ispettive; l'utilità di queste attività deve essere vagliata in termini di rapporto tra costi e benefici, avendo di mira l'obiettivo di realizzare un'appropriata mitigazione del rischio, inscindibile dalla complementare (necessaria) accettazione del rischio residuo. A seguito dell’applicazione degli standard internazionali, delle linee guida, delle ricerche nell’ambito delle “best practices” e allo sviluppo degli “obiettivi di controllo”, è stata emanata nel 1994 la prima definizione del framework COBIT (Control Objectives for Information and Related Technology), benchmark internazionale per un efficace progresso nel campo dei controlli IT. Gli standards CobiT, pubblicati dall’ISACA (Information Systems Audit and Control Association), forniscono le best practices per supportare il management nella determinazione del livello più adatto di sicurezza e controllo IT delle loro organizzazioni. Cobit è un approccio alla gestione, al controllo e alla verifica dei sistemi informativi, sviluppato per permettere la comprensione ai manager, all’Alta Direzione, all’audit interno, dei controlli esistenti, delle performance e delle potenziali criticità. L’obiettivo è stato, innanzitutto, quello di individuare uno standard “aperto”, quindi indipendente dalla piattaforma IT, che permettesse una valutazione 147 dell’area di business riguardante il sistema informativo aziendale. Uno standard tecnico, per il controllo e la sicurezza IT, che fosse anche orientato al business e ai processi aziendali. Attraverso l’analisi della complessa struttura di cui esso è caratterizzato, tali caratteristiche sono state riscontrate nel CobiT, in quanto strumento concepito con l’obiettivo di colmare il ‘gap’ esistente tra i modelli di controllo di business Co.S.O. e i più specifici modelli di controllo dell’IT. 3.4.1 L’EMR Co.S.O. FRAMEWORK La valutazione del proprio sistema di controllo interno, per risultare sufficientemente oggettiva, deve essere condotta con riferimento ad un sistema di controllo interno “ideale”, in cui nessuna componente e nessun aspetto siano trascurati e che risulti largamente condiviso. Questo ruolo oggi viene assolto dal Co.S.O. framework, descritto nel Co.S.O. Report. Il Co.S.O. framework è il modello di sistema di controllo interno elaborato dal 1992 dal The Committee of Sponsoring Organizations of the Treadway Commission 78 (Co.S.O.), e aggiornato nel 2004 (in collaborazione con PriceWaterhouseCoopers) con l’EMR Co.S.O. framework (modello di un processo di Enterprise Risk Management) il quale rappresenta l’evoluzione concettuale dell’Internal Control Framework (del 1992). Il Co.S.O. è universalmente accettato dalle principali organizzazioni e associazioni di professionisti quale modello di riferimento, e di conseguenza il più diffusamente accettato nell’adempimento alla SOA, suggerito dalla stessa SEC quale modello di riferimento. Nel 2004, data di redazione del Co.S.O. Report la Treadway Commission ha emesso, “l’Enterprise Risk Management Framework” rappresentato da un 78 Definizione elaborata dal Committee of Sponsoring Organizations della Commissione Treadway (CO.S.O. Report), nel documento "Internal Control - Integrated framework", 1992. La Commissione è stata istituita nel 1985 per individuare le cause dei falsi in bilancio e formulare suggerimenti per arginare questo fenomeno; era patrocinata dall'American Accounting Association, dall'American Institute of Certified Public Accountants, dal Financial Executives Institute, dall'Institute of Internal Auditors e dall'Institute of Management Accountants. Queste associazioni, successivamente alla presentazione del rapporto della Commissione (1987), costituirono un gruppo di lavoro (appunto il Committee of Sponsoring Organizations) che redasse il Rapporto in discorso. Il Rapporto è stato tradotto ed adattato alla realtà italiana dal Progetto Corporate Governance per l'Italia, il cui lavoro è stato raccolto in Il sistema di controllo interno, Coopers e Lybrand, 1997. 148 modello di gestione dei rischi di impresa che amplia gli obiettivi (includendo gli strategic objectives) e le componenti del Co.S.O. Framework (Objective setting, Event identification, Risk reponse). Il controllo interno è incluso all’interno dell’ Enterprise Risk Management Framework ed è strumentale all’interno del modello stesso al fine di focalizzare sui rischi la gestione di impresa. Oltre l’indubbia qualità di questo framework di riferimento, una delle ragioni che limita il ricorso ad altri modelli è data dal fatto che adottando un riferimento diverso, occorre anche dimostrare che tale modello adottato è almeno equivalente al EMR Co.S.O. Framework in termini di obiettivi e componenti considerati. L’ERM si basa sull’ Internal Control — Integrated Framework, pubblicato nel 1992 dallo stesso Co.S.O., cioè sullo standard internazionale più noto e diffuso per il sistema di controlli interni; tale standard, negli USA, è stato indicato come guide line per la conformità al Sarbanes-Oxley Act dal SEC, l’organo di controllo della borsa. l’EMR Co.S.o. rappresenta un cambiamento fondamentale nell’approccio di un’organizzazione verso le aree di rischio più rilevanti, incluse le questioni di dominio aziendale correlate alla Sarbanes-Oxley Act del quale ne definisce la road map dei punti di intervento. Figura 3.7 – SOA road map L’EMR è un metodo per scoprire, individuare e valutare i rischi, sia dal punto di vista del rischio individuale, sia da un contesto più vasto, riguardante 149 l’interdipendenza dei diversi rischi ed il loro impatto sull’organizzazione. Secondo i nuovi studi del Co.S.O. ERM, questo viene definito come un processo, realizzato dal CdA, dal management o da altro personale, applicato ad un’analisi che stabilisca una strategia per l’impresa. Lo scopo dell’EMR consiste nel fornire una garanzia ragionevole del raggiungimento degli obiettivi aziendali, identificando gli eventi che potrebbero influire sull’istituto. Il Co.S.O. ERM esalterà l’importanza della gestione del rischio nel concetto di istituto o del livello di tendenza al rischio, intendendo per questo quanto rischio un’organizzazione è disposta a correre. La struttura del Co.S.O. ERM, secondo le informazioni del progetto, divide le procedure della gestione del rischio aziendale in quattro vaste categorie: 1) Obiettivi ERM strategici – sono dei traguardi ad alto livello che sostengono la generale missione dell’organizzazione. 2) Obiettivi ERM operativi – si tratta di obiettivi che si concentrano sull’uso efficiente ed efficace delle risorse complessive dell’organizzazione, che può condurre le sue operazioni giornaliere sia in modo conservativo che rischioso. 3) Obiettivi ERM dichiarativi – per prima cosa, questi obiettivi contemplano l’attendibilità nel rendere conto alle parti interne ed esterne. Grazie alle sanzioni imposte dalla SOA per i rendiconti fraudolenti, oggi le organizzazioni sono molto attente nel limitare i rischi per gli obiettivi dichiarativi. Resta comunque, un numero discreto di opzioni dichiarative che possono comportare degli approcci più o meno rischiosi. 4) Obiettivi ERM relativi alla compliance – questi obiettivi si riferiscono alla compliance con leggi e regolamenti, per cui anche qui, si possono intraprendere approcci più o meno rischiosi. In tal caso le passività potenziali derivano dal mancato rispetto di leggi. Con un ERM efficace, rivolta ai suddetti obiettivi, la gestione aziendale dovrebbe avere una verosimile certezza che sta facendo i passi necessari per gestire i propri rischi generali. La dirigenza e l’amministrazione dovrebbero, per prima cosa, identificare il genere e l’ambiente dei rischi che l’organizzazione sta affrontando, che possono essere più o meno vari. Il management team dovrebbe considerare i rischi potenziali in ognuna delle aree multiple, come quella per i rischi finanziari 150 ed operativi (rischi finanziari, sul capitale umano, normativi e giuridici, strategici, operativi e tecnologici). Il team aziendale che accerta i rischi dovrebbe cercare di non quantificare ogni rischio potenziale, ma considerare un’area di rischio maggiore che potrebbe contrastare il progresso aziendale o limitarlo. Il management dovrebbe rivolgersi a questi rischi con aria indagatrice e poi decidere quali possono essere i rischi da correre o meno. Il risultato sarà ciò che il Co.S.O. ERM chiama un quadro della tendenza al rischio, sviluppata dall’organizzazione, e cioè alcune organizzazioni ed i loro manager tenderanno ad assumersi dei rischi al contrario di altri, ognuno con una potenziale ricompensa o sanzione. Il progetto di struttura del Co.S.O. ERM, quindi, sostiene che le organizzazioni dovrebbero rendere esplicita la loro tendenza al rischio e comunicarla. L’idea sarebbe quella di disporre tutti i manager sullo stesso livello di accettazione del rischio, così come per i direttori delle unità, il resto dello staff e gli azionisti. La fase successiva consiste nel creare ciò che può essere definito come rischio portafoglio, così da identificare le interrelazioni tra i vari rischi dell’organizzazione, ma visto che molti non sono collegati, considerarli come portafoglio potrebbe ridurne considerevolmente la volatilità, rendendo più efficienti i rischi difesi individualmente. Basandosi su questi rischi potenziali, l’organizzazione dovrebbe elaborare una strategia tale da fornirsi un qualche tipo di protezione. La struttura del COSO ERM, nella sua attuale forma progettuale, delinea un approccio per comprendere i rischi maggiori dell’impresa e per sviluppare una strategia che li possa gestire, intendendo con questo che un’organizzazione può sviluppare dei controlli per evitare il rischio, può modificare la sua attività con l’unico scopo di eliminare il rischio o può ottenere garanzie o altri controlli per accettare il rischio. Analogamente alla disposizione Co.S.O. (1992), quella Co.S.O. ERM propone una struttura con otto elementi ERM distinti: 1) Condizione ERM interna – internal environment. Effettua una mappatura dell’organizzazione per business unit e location. Questo fattore rivela la tendenza al rischio dell’organizzazione e dovrebbe aiutare ad influenzare il rischio e a controllare la consapevolezza di tutti i membri dell’organizzazione stessa. Il management è responsabile per la fissazione di questa base comportamentale verso i rischi rivolti a tutti i partecipanti in 151 qualità di gruppo di direttive. Ci sono delle similitudini, qui, con l’ambiente di controllo del Co.S.O. (1992). 2) Disposizione degli obiettivi strategici e del rischio – objective Setting. Assegna le misure, i test di verifica che si allineano con i valori corporativi e stabiliscono i livelli di tolleranza di rischio. Stabilisce, inoltre, le strutture di tempo e le prestazioni del processo. L’organizzazione dovrebbe stabilire gli obiettivi nei termini strategici della commissione ed i rischi che è disposta a correre. Gli obiettivi strategici rifletteranno la scelta manageriale relativa a come l’organizzazione tenterà di accrescere il valore, solitamente quello degli azionisti. Perseguendo questi obiettivi strategici generali, un’organizzazione dovrebbe anche fissare degli obiettivi legati al rischio generale. 3) Individuazione degli eventi – Event Identification. Secondo le nozioni del Co.S.O. Internal Control – Integrated Framework (1992), il management dovrebbe avviare dei provvedimenti in loco per realizzare l’ERM con successo ed individuare quegli eventi con influsso positivo o negativo sulle strategie legate al rischio. Queste circostanze potrebbero comprendere, tra l’altro, dei cambiamenti nell’ambiente competitivo, nelle tendenze economiche o sociali o negli sviluppi di automazione. 4) Valutazione del rischio - risk assessment. Se dovesse presentarsi una situazione a rischio, il management dovrebbe considerare il suo influsso sugli obiettivi ERM, in termini sia di probabilità dell’evento, sia del suo impatto. 5) reazione ai rischi – risk response. Il management dovrebbe individuare varie opzioni di risposta al rischio e considerare gli effetti sulla probabilità dell’evento e sull’impatto, relativamente alla tolleranza aziendale per il rischio stesso. Le risposte ai rischi comprenderanno la risoluzione, la riduzione, la condivisione e l’accettazione del rischio. La valutazione delle reazioni al rischio e la garanzia che alcune di queste siano state selezionate e realizzate, è un elemento chiave della struttura ERM organizzativa. Comunque, un ERM efficace non sottintende che sia stata decisa la miglior risposta al rischio, ma che tale risposta riesca a limitare la probabilità del rischio e che l’influsso sull’organizzazione abbia stabilito la sua stessa “fame”. 152 6) Attività di controllo – control activities. Le politiche e le procedure dovrebbero garantire la realizzazione di appropriate risposte ai rischi. Queste attività di controllo dovrebbero venire impiegate per tutti i livelli e le funzioni all’interno dell’organizzazione, includendo l’approvazione, l’autorizzazione, la revisione dell’esecuzione, le questioni relative alla sicurezza e la separazione appropriata delle funzioni. Anche qui ci sono molte similitudini tra i controlli interni Co.S.O. (1992) e la nuova struttura Co.S.O. ERM (2004). 7) Informazione e comunicazione – information & communication. L’informazione legata al rischio, proveniente da fonti interne ed esterne, deve essere identificata, fermata e comunicata in una forma che consenta ai membri più adatti dell’organizzazione di adempiere alle proprie responsabilità. Una comunicazione efficace dovrebbe influire in tutta l’organizzazione, a tutti i livelli, come anche con i contraenti esterni, quali acquirenti, i venditori, i regolatori e gli azionisti. 8) Monitoraggio del rischio – monitoring. Le procedure in corso dovrebbero venire attuate per monitorare il programma ERM e la qualità della sua applicazione nel tempo. Figura 3.8 – ERM Co.S.O. Un ERM viene considerato efficace quando questi otto elementi sono tutti presenti ed operativi e ciò è vero indipendentemente dalle dimensioni dell’organizzazione, anche se alcune istituzioni più piccole possono applicare la 153 loro struttura ERM in modo un po’ diverso. Da una prospettiva più ampia, il progetto del modello ERM è uno strumento utile che amministratori ed azionisti possono utilizzare per valutare come i loro management team riescano a gestire i rischi che affrontano. La rappresentazione della figura (Co.S.O. – internal control) mostra la struttura come viene proposta nell’iniziale relazione del Committee of Sponsoring Organizations of the Treadway Commission. La disposizione tridimensionale dell’ERM contempla le questioni discusse nella struttura di revisione interna del Co.S.O., ma con sottili differenze. Ad esempio, questa colloca la condizione di controllo alla base o come fondamenta per la revisione interna, il cui monitoraggio si trova invece ad un livello più alto. Figura3.9 – Co.S.O. Internal Control – Integrated Framework (1992) Per la struttura ERM è vero il contrario, anche se ci sono diverse fasi aggiuntive da considerare. Mentre la revisione interna Co.S.O. detiene delle classi distaccate per ogni unità commerciale, la ERM pondera i rischi da un livello istitutivo ad uno affiliato. Come già affermato il Co.S.O. ERM fornisce un metodo esaustivo ai manager di tutti i livelli per considerare i rischi per tutta l’impresa, e dovrebbe anche essere un modello valido per i manager più anziani per far fronte alla Sarbanes-Oxley Act. Non esistono, in Italia e nel mondo, obblighi “mandatory” di attuazione dell’ERM. L’implementazione di un processo ERM Co.S.O. consente tuttavia di gestire in maniera strutturata ed organica una serie di richieste regolamentari con cui si confrontano, in particolare, le società quotate: ♦ Codici di Corporate Governance (es. Codice Preda in Italia); 154 ♦ Normative antifrode (es. D.lgs. 231/2001); ♦ Regolamentazione su rischi specifici (es. legge antiriciclaggio, rischio operativo – Basilea II; Risk management in SGR e SICAV; Risk management – ISVAP); ♦ Standard di qualità (es. Cobit, ISO, ecc.). Molte società dichiarano di aver implementato al loro interno processi di risk assessment: ♦ PWC 2004 Global CFO Survey; l’ERM è stato definito una priorità per il 40% dei CFO intervistati; ♦ McKinsey 2003 Board of Directors Survey; il 64% degli amministratori dichiara di conoscere i principali rischi aziendali; ♦ Protiviti Italia 2005 CFO Survey; il 75% circa del campione intervistato dichiara di disporre di un processo o di una politica di gestione dei rischi. Figura 3.10 – maturità dei processi di ERM 155 3.4.2 IL COBIT In questi ultimi decenni l'information technology sta diventando fattore critico di successo per molte organizzazioni, nonché parte integrante del business e suo fondamentale supporto e sostegno per lo sviluppo. Occorre domandarci: perché risulta essere così importante per la crescita dell'organizzazione? Naturalmente perché l'informazione, il suo valore, e le tecnologie ad essa collegate, risultano essere un fattore strategico e di facilitazione per il raggiungimento degli obiettivi dell'organizzazione. Molte aziende e imprese di successo, oltre a riconoscere i potenziali benefici della tecnologia, iniziano a capire l'importanza della gestione dei rischi inerenti l'implementazione delle nuove tecnologie. Il motivo di tanto interesse per i rischi di business collegati all'IT risiede in misura principale negli investimenti sempre maggiori richiesti per stare al passo con i tempi, e per fornire il supporto adeguato ai processi di business. Inoltre, pochissimi manager sono in grado di misurare il ritorno degli investimenti tecnologici, in una realtà dove la maggior parte dei progetti IT, 49 % secondo uno studio del 2001 (Acadys – Standish Group), non raggiunge i suoi obiettivi e fallisce. Quindi, il Vertice deve cercare di trovare la giusta via per: ♦ allineare la strategia IT con quella di business; ♦ supportare e raggiungere strategie ed obiettivi dell'impresa; ♦ implementare strutture organizzative che facilitino il raggiungimento di tali obiettivi; ♦ implementare un adeguato sistema di controllo interno dell'information technology; ♦ riuscire ad individuare indicatori per la misurazione delle performance delle nuove tecnologie. 156 Figura 3.11 - COBIT Recentemente, sono venute alla luce grosse bancarotte di aziende americane, Enron e WorldCom per tutte, le quali hanno aperto il dibattito sulla corportate governance, intesa come l'insieme delle responsabilità ed obiettivi che il Vertice ed i manager si pongono insieme agli obiettivi strategici, cercando di assicurare il loro raggiungimento, accertando che i rischi vengano gestiti in maniera appropriata e le risorse aziendali vengano utilizzate responsabilmente. Inizialmente gli sviluppi della governance furono direzionati verso la necessità di trasparenza sui rischi di impresa e sulla protezione del valore per gli azionisti (shareholder value); successivamente, l'uso massiccio della tecnologia, nelle organizzazioni, ha creato una dipendenza critica verso l'IT e quindi uno spostamento del focus verso l'IT governance. Infatti, il Vertice ed i manager necessitano di estendere il "governo aziendale" all'information technology per essere sicuri che le strutture organizzative ed i processi IT sostengano e supportino adeguatamente le strategie e gli obiettivi aziendali. L'IT governance diventa così parte integrante del governo di impresa, come l'information technology parte integrante dell'organizzazione. Possiamo brevemente definire l'IT governance come il governo delle strutture organizzative e dei processi che assicurano lo sviluppo dell'information technology, finalizzato al supporto e raggiungimento delle strategie ed obiettivi dell'organizzazione. Dobbiamo precisare che i manager, nel contesto attuale, sanno consigliare il Vertice su come operare tradizionalmente, ma sanno poco di risk management ed 157 IT governance. Necessitano quindi di una conoscenza di base dei rischi collegati all'information technology, al fine di prevedere linee di azione e controlli adeguati. La metodologia COBIT, acronimo di "Control Objectives for Information and related Technology", rappresenta un paradigma internazionalmente e generalmente accettato sui controlli IT, che mette in grado le organizzazioni di implementare una corretta struttura di IT governance nell'impresa, offrendo supporto ai manager ed al Vertice per ottenere un adeguato controllo e governo dei processi tecnologici. La conformità alla Serbanes-Oxley Act è responsabilità dei CFO e CEO e la legge non richiede un coinvolgimento specifico dell’IT, ma il CIO ha la responsabilità di documentare i processi che possono influenzare le informazioni finanziare. L’ IT deve assicurare che il controllo delle informazioni finanziare soddisfi gli standard imposti dalla legge. La sezione 404 della Legge, dedicata ai “controlli interni” sui rapporti finanziari, è strettamente correlata ai processi IT di gestione delle informazioni e di integrità e conformità dei dati. La sezione 409 della SOA, che obbliga le società a divulgare un “cambiamento importante” che influenza l’ambiente operativo/l’attività aziendale, ha un impatto sui processi IT per la gestione delle modifiche e delle configurazioni dei sistemi. Per l’effettuazione dei controlli la normativa fa, in primo luogo, riferimento alle raccomandazioni del Committee of the Sponsoring Organizations (Framework Co.S.O.). L’IT Governance Institute ha emesso un documento (IT Control Objectives for Sarbanes-Oxley), focalizzato sulla sezione 404 della SOA, dove sono inclusi i controlli di CoBit per 27 delle 34 aree di processo. Se CoBit definisce i controlli per l’IT in relazione ai processi aziendali, le best practice “ITIL”, mediante la definizione dei processi di servizio, facilitano e indirizzano di fatto circa la metà dei controlli CoBit. L’applicazione delle “best practice” di fatto facilita la verifica della conformità alla SOA, ed in particolare assicura la copertura e la prevenzione dei Rischi Finanziari. La Sezione 404 riguarda i controlli generali atti a mantenere l'integrità dei processi di elaborazione e rendicontazione dei dati finanziari. Perché, dunque, non si tratta di una questione che interessa esclusivamente il dipartimento delle finanze? I processi di rendicontazione finanziaria dell'azienda si affidano ad 158 applicazioni finanziarie, che a loro volta dipendono dai sistemi informatici. Molti sistemi diversi – incluse applicazioni per risorse umane, paghe, gestione magazzino, gestione fornitori, gestione clienti, acquisti, registrazione ordini e applicazioni personalizzate – possono materialmente influire sui principali rendiconti finanziari. Pertanto, è probabile che un'azienda non possa superare l'audit e dimostrare un adeguato controllo del proprio processo di reporting finanziario senza avere il pieno controllo dei sistemi sottostanti e della gestione dell'IT. Conseguentemente, l'organizzazione IT dell'azienda dovrà essere adeguatamente preparata e superare un auditing interno dei controlli IT, al fine di garantire che i controlli interni non solo siano implementati, ma siano anche efficaci ed utilizzati coerentemente. I controlli generali dell'IT sono studiati per evitare – oppure per rilevare e correggere – eventi indesiderati, che potrebbero compromettere l'integrità, le transazioni, l'elaborazione e i dati risultanti. I controlli generali dell'IT contribuiscono ad assicurare un'adeguata gestione e il corretto funzionamento dell'infrastruttura IT che supporta il processo di reporting finanziario, nonché le relative applicazioni e l'integrazione delle applicazioni. Se i controlli generali sono deboli, l'intero processo di reporting finanziario potrebbe essere compromesso in caso di violazione della sicurezza o del processo generale, aprendo la strada a possibili azioni non autorizzate. Per la valutazione dei propri controlli, quindi, occorre specificare ed utilizzare un quadro di riferimento prestabilito. L'IT Governance Institute (ITGI) ha costruito un framework di controllo incentrato sull'IT chiamato COBIT (Control Objectives for Information and related Technology) che fornisce linee guida dettagliate sulla governance dell'IT. L'ITGI ha inoltre pubblicato un compendio degli obiettivi di controllo COBIT specificatamente studiato per prepararsi all'audit previsto nel Sarbanes-Oxley Act, chiamato IT Control Objectives For Sarbanes-Oxley. Questo gruppo di linee guida, che include obiettivi di controllo dettagliati in dodici diverse aree di processo, viene utilizzato da molte aziende per valutare i propri controlli IT ed accertarne la conformità con i requisiti della SOA. L'aiuto delle soluzioni IT accelera gli sforzi di compliance in tre zone importanti nel controllo generale dell’IT: 1) Application and Infrastructure Change Controls – adottare soluzioni IT per il management dell’impresa, comporta dei vantaggi, in quanto, l’uso di 159 applicazioni IT accelera la preparazione in vista dell'audit richiesta dalla Sezione 404, permettendo di dimostrare la padronanza di aree di controllo chiave COBIT, nonché l'utilizzo coerente di tali controlli. 2) Controlli delle attività operative e della gestione dei problemi – Attività operative e gestione dei problemi sono necessarie per contribuire ad assicurare l'integrità, la completezza e l'accuratezza dei dati finanziari e delle transazioni. L’azienda deve dimostrare di essere in grado di rispondere ai guasti di sistema, in modo tale da assicurare la continuità delle attività operative e il mantenimento dell'integrità e della completezza delle transazioni o dei dati finanziari. Occorre stabilire specifici livelli di servizio per l'IT che rispondano agli obiettivi di business dell’azienda e le prestazioni e le capacità dei sistemi dovranno essere tali da supportare le transazioni e i processi di reporting finanziario. 3) Controlli di gestione degli asset – L'attività di asset management, dalla prospettiva dell'audit, include la responsabilità per gli asset IT, dalla richiesta di acquisto al ricevimento, all'installazione e alla manutenzione, fino alla relativa dismissione. L’azienda dovrà quindi verificare periodicamente la lista degli asset IT e valutarne il valore registrato, assicurando che producano un ritorno nell'arco della loro vita utile. È necessario anche monitorare attentamente l'uso appropriato delle licenze software, per evitare passività non registrate, nonché la violazione delle leggi sull'utilizzo del software, che l'auditor potrebbe richiedere di verificare. Infine, sarà necessario configurare l'hardware e il software in modo da ridurre al minimo il rischio di accessi non autorizzati a sistemi e dati. Si dovranno introdurre nel sistema controlli su sicurezza, disponibilità e integrità dei dati elaborati, che andranno mantenuti nell'intero ciclo di vita dell'asset Scandali finanziari, terrorismo internazionale e protezione dei dati personali sono alcuni dei fattori critici che hanno spinto istituzioni e associazioni internazionali a definire standard e normative (internazionali o nazionali) riferiti ad alcuni o alla globalità dei settori di attività. Con il termine compliance, che in questi ultimi 160 anni ha assunto un significato importante nell’Information Technology (IT), si intende appunto la conformità alle normative che impongono ai responsabili aziendali (IT ma non solo), interventi importanti per mettere in regola i sistemi informativi. Il mancato adeguamento alle normative di tipo finanziario e organizzativo e la scarsa protezione dei dati critici possono sfociare in ingenti danni per le aziende, oltre a possibili sanzioni. E’ ormai assodato che uno dei principali driver che spingono le aziende a rafforzare il proprio sistema di sicurezza è rappresentato proprio dalla compliance. Anche rimanendo nel solo ambito della sicurezza, è comunque consigliabile circoscrivere l’argomento alle conformità che interessano il nostro paese. Va innanzitutto chiarito che quando parliamo di “essere compliant a qualcosa” significa adottare tutti i controlli previsti dalla normativa in questione in relazione allo specifico oggetto di analisi. Ma le normative non dicono quasi mai quale debbano essere le tecnologie da adottare per la conformità. Ecco che i cosiddetti “framework” di controllo, come il COBIT, il COSO, l’ITIL, il BS7799 (ora ISO) ed altri ancora diventano sempre più utili per adeguare il sistema informativo aziendale a quanto richiesto dalle normative, dette anche “regulation”. Al fine di garantire la conformità a queste regulation è necessario svolgere un’attività di coordinamento con molte aree aziendali, includendo il dipartimento legale, l’IT, il dipartimento finanziario e coloro che sono responsabili dei processi di business. La compliance deve essere di fatto considerata come un serio problema dell’organizzazione e, se affrontato in modo efficiente ed efficace, può creare un reale valore aggiunto al business stesso dell’azienda. Generalmente le normative (o regulation) non specificano la tecnologia necessaria per la relativa conformità. Di conseguenza, coloro che si occupano di compliance in azienda devono stabilire a priori quali metodi e best practice adottare per soddisfare i requisiti stabiliti dalle singole normative. Gli elementi comuni a tutte le normative sono i controlli, vale a dire una serie di procedure che possono assicurare il successo di un’operazione di business o di una transazione: questo è il motivo per cui, oggi, i principali framework di controllo stanno vivendo momenti di celebrità. I controlli in questione devono soddisfare: 161 1) la tracciabilità, che fornisce le informazioni su chi esegue un’operazione, chi l’approva, quando è stata fatta e qual è stato il risultato; 2) la trasparenza, che permette che tutte le operazioni di business e i controlli possano essere completamente compresi e chiaramente documentati; 3) la misurabilità, che deve garantire che tutti i processi possano essere misurati e valutati sia in caso di successo che di insuccesso attraverso operazioni di auditing, logging, correlazione e visualizzazione. Alcune aziende stanno già adottando framework di controllo come modelli (best practice) per la compliance. Fra questi, il COBIT, il COSO, e l’ITIL sono i più noti. Il COBIT è un framework che fornisce le best practice per analizzare, controllare e governare l'informatica aziendale, gestire i rischi informatici e proporre dei miglioramenti ai processi esaminati. Attualmente il COBIT è arrivato alla versione 4.0, rilasciata nel 2005. Come possiamo notare, questi ultimi anni rappresentano un momento particolare per la compliance; se il 2005 è stato un anno caldo per l’attuazione di alcune delle normative, sembra che i prossimi anni non saranno da meno. Costruendo una relazione fra normative e sicurezza si individuano gli strumenti necessari a garantire questo “matrimonio del terzo millennio” che interessa le aziende e quindi l’IT. Tavola 3.4 – Rrelazione normative/ sicurezza 162 Il ruolo di un framework come il CoBIT è duplice. Come anticipato, alcune di queste regulation (es. la Sarbanes-Oxley), non entrano nei dettagli di come realizzare i controlli necessari per raggiungere gli obiettivi prefissati. Analizzando il documento “Compliance Insight” 79 relativo alla Sarbanes-Oxley, , possiamo notare il riferimento ai framework COSO, COBIT e ISO 17799. Questo significa che, a seconda dell’argomento trattato, la Sarbanes-Oxley reindirizza il lettore sui controlli specifici che si possono trovare nei tre freamework appena menzionati. La tabella seguente mostra invece la mappatura in termini di sola copertura tra l’area “DS5 Ensure Systems Security” del COBIT e la ISO 17799 del 2000. Ancora una volta possiamo affermare che vi sono delle sinergie tra alcuni framework di controllo: questa tabella ne rappresenta un chiaro esempio Tavola 3.5 – Obiettivi di controllo del COBIT 79 Ottenibile dal sito 163 Se consideriamo alcuni punti del COBIT, in riferimento alla Sarbanes-Oxley, possiamo notare una chiara associazione (mappatura) tra l’Identity & Access Management (una delle tre aree del mercato del software di sicurezza) e la “Ensure Systems Security” (DS5) del capitolo “Deliver and Support” del COBIT stesso. Il tema della compliance è veramente ampio. È questo un momento in cui il termine “governance” viene associato a diverse aree dell’IT ed in particolare alla sicurezza. Per un governo vero e proprio della sicurezza IT non si possono improvvisare procedure o soluzioni. Esistono delle normative di carattere nazionale e internazionale che permettono alle aziende di sviluppare, con l’aiuto di specifici framework, il sistema di sicurezza in conformità a quanto espressamente richiesto in generale o dallo specifico settore di attività. Un valido sistema di Identity & Access Management, ad esempio, rappresenta l’essenza della compliance ed è chiaramente riscontrabile nella maggior parte delle normative, dalla 196/03 alla Sarbanes-Oxley, da Basilea II al 21 CFR Part 11. Il 2006 è l’anno in cui alcune di queste normative devono essere ufficialmente attuate riflettendo seriamente sulla necessità di adeguare il sistema di sicurezza; fra queste nuove scadenze, l’accordo di Basilea II (previsto per la fine di quest’anno) e la Sarbanes-Oxley, la cui attuazione è stata prorogata per alcune compagnie al luglio di quest’anno. 164 CAPITOLO 4 4. SARBANES-OXLEY COMPLIANCE E ANALISI DEI COSTI/BENEFICI 4.1 THE SARBANES-OXLEY ACT OF 2002 (SOA) Gli scandali Enron, WorldCom, Global Crossing, Qwest Communication International, AllFirst, Rite Aid, Republic Securities, ImClone, hanno creato diffidenza tra gli investitori del mercato nord-americano. Il Presidente G. W. Bush ha dovuto prendere una netta posizione sulle modalità e le tecniche da utilizzare per fronteggiare la crisi delle big corporations statunitensi e la sfiducia degli operatori del mercato. Lo ha fatto richiamando, in via generale, un maggiore rispetto dell’etica nella conduzione degli affari e nella gestione delle società e, in particolare, rilevando dieci punti d’intervento legislativi (cd. ten-point plan). Il “ten-point plan” (proposto a marzo, quando ancora si era rivelato solo il caso Enron) é una sorta di proposta-risposta del Presidente alla Nazione per creare nuovamente quella fiducia nei mercati finanziari e nella regolamentazione degli stessi che gli statunitensi hanno perduto. Il plan in oggetto può così riassumersi: pene più severe (detenzione sino a dieci anni) per chi commette frodi e certifica bilanci falsi, per chi ostacola la giustizia distruggendo documenti; l’istituzione di una nuova Corporate Fraud Task Force (che sembrerebbe essere stata sostituita dal Board creato dalla Legge Sarbanes-Oxley), l’incremento dei poteri della SEC (Securities Exchange Commission) relativamente al congelamento dei profitti illegittimamente ottenuti dai manager e dagli amministratori; il divieto di erogare prestiti ai dirigenti della società; una più intensa disclosure nelle transazioni e nelle operazioni di acquisto e vendita di azioni della società da parte degli amministratori e dei manager; il rafforzamento della SEC attraverso l’aumento dei fondi. Successivamente alla vicenda Worldcom, il Senato é andato oltre la proposta del Presidente. Il Committee on Banking, Housing, and Urban Affairs del Senato, presieduto dal Senatore (democratico) Paul S. Sarbanes, aveva proposto un nuovo Bill, denominato Public Company Accounting Reform and Investor Protection Act 165 of 2002 (S. 2673), che ha dato il via ai lavori che hanno condotto il Congresso all'adozione del Sarbanes-Oxley Act. Questo Bill era caratterizzato da modifiche normative incisive, che lo differenziavano dalla proposta del Presidente. In data 16 luglio 2002, il Senato ha approvato all’unanimità il Sarbanes Bill e, successivamente, sia quest’ultimo che l’Oxley Bill sono stati discussi nel Conference Committee, in modo da trovare un punto d’accordo tra le due versioni. Effettivamente, in data 30 luglio 2002, il Presidente Bush ha firmato, nella East Room della Casa Bianca, il nuovo Sarbanes-Oxley Act of 2002, così denominato in quanto risulta essere la combinazione dei due Bills precedentemente menzionati, a seguito dell’analisi dei due testi avvenuta presso il Conference Committee. Il nuovo Act ricalca nella stessa struttura e nel contenuto il Sarbanes Bill, al quale sono state aggiunte alla fine (titoli dall'VIII all'XI) le norme in materia di sanzioni previste dall'Oxley Bill. Una tale speditezza legislativa e la stessa firma del Presidente su un Act che prevede riforme strutturali, non sorprendono, in quanto dettata dall'esigenza di ridare, velocemente, fiducia al pubblico. La riforma persegue obiettivi di credibilità e trasparenza dell’amministrazione societaria e contabile, e si traduce in un’importante riforma strutturale della corporate governance, al fine di proteggere gli investitori incrementando l’accuratezza e l’affidabilità dell’informativa societaria. La Legge interessa principalmente gli emittenti e le società di revisione; essa prevede un incremento degli obblighi di comunicazione a carico delle società emittenti, inasprisce le sanzioni penali per i reati finanziari, contiene norme dirette a favorire la precisione e l’affidabilità della certificazione finanziaria, e introduce una nuova regolamentazione dell’attività di revisione contabile, creando una commissione ad hoc per le aziende di revisione. Il Sarbanes-Oxley Act prevede delle modifiche normative in materia di consulenze e di revisione contabile delle società quotate in borsa. Le modifiche della riforma riguardano: ♦ la creazione di un board indipendente che si occupi del monitoraggio delle società di revisione (PCAOB); 166 ♦ la separazione dell’attività di consulenza da quella di revisione, cioè il divieto di svolgere attività di consulenza a favore di imprese oggetto di revisione; ♦ l’obbligo di rotazione del partner revisore; ♦ la certificazione da parte del senior corporate management (CEO e CFO) della veridicità del bilancio annuale e delle relazioni finanziarie delle società quotate; ♦ la full disclosure delle transazioni off-balance sheet (non iscritte in bilancio) e di altre obbligazioni che possono influenzare o mistificare le condizioni finanziarie della corporation; ♦ il potenziamento dei poteri dell’Audit Committee: è richiesta la diretta supervisione sui revisori esterni e sulle procedure aziendali istituite ai fini della e successiva gestione delle segnalazioni interne (c.d. “whistleblower processes”); ♦ la concessione di maggiori finanziamenti alla SEC (Securities and Exchange Commission). Con questo nuovo Act si vogliono aumentare le risorse della SEC ed al contempo aumentarne i poteri per poter meglio rispondere a più alti standards di tutela degli investitori. L’anno fiscale 2003 fu stabilito l’aumento del budget concesso alla SEC di $776 milioni e il potere di quest’ultima di imporre sanzioni civili derivanti da violazioni delle federal securities laws, che andranno ad incrementare dei fondi costituiti per risarcire i danni degli investitori derivanti da tali misconducts delle società.; ♦ l’attestazione del management sull’efficacia del sistema di controllo interno. I problemi che sono stati individuati e che richiedono correttivi sono quelli riguardanti: la contabilità, i conflitti d’interesse (creazione di incompatibilità) e l'aumento dei fondi alla SEC. L’unico cambiamento di diritto sostanziale é quello che riguarda le incompatibilità, in quanto le altre previsioni costituiscono un semplice rafforzamento di norme già precedentemente esistenti. Mentre alcuni articoli della SOA hanno esecutorietà immediata, altre disposizioni corrispondono a principi-quadro che sono state rese operative attraverso l’emanazione di specifici regolamenti (Rule) da parte della commissione 167 statunitense per il controllo degli strumenti finanziari e delle borse (Security Exchange Commission – SEC) e da un apposito comitato per il controllo delle società di revisione aziendale (Public Company Account Oversight Bord – PCAOB) istituito dal SOA. Finora, la SEC ha emanato dei regolamenti esecutivi in materia di certificazioni contabili, corporate governance, obblighi di comunicazione, responsabilità professionale dei consulenti legali interni ed esterni ed indipendenza dei revisori contabili 80. Gli obiettivi che più da vicino riguardano l’informativa societaria, vengono perseguiti, tra l’altro, attraverso l’assegnazione ai vertici aziendali di rilevanti e specifiche responsabilità in merito alla predisposizione dell’informativa societaria e all’istituzione, monitoraggio e verifica dell’affidabilità del sistema dei controlli e delle procedure adottate dall’emittente ai fini del riscontro dell’accuratezza delle informazioni finanziarie e non. In particolare assumono rilevanza: ♦ l’obbligo da parte del management di presentare nel rapporto annuale una relazione (internal control report) sul sistema di controllo interno che sovrintende la redazione del bilancio (cd. internal control over financial reporting) che: indichi la responsabilità del management per la predisposizione ed il mantenimento di tale sistema di controllo interno; identifichi il framework utilizzato dal management per valutare l’efficacia di tale sistema di controllo interno; contenga la valutazione della sua efficacia al termine dell’esercizio finanziario (SEC Release No. 33-8238 del 5 giugno 2003 di attuazione della sezione 404 del SOA); il contenuto della relazione è soggetto all’attestazione da parte del Revisore esterno; 80 In particolare, sono entrate in vigore simultaneamente alla pubblicazione della Legge: il divieto di concedere mutui ad amministratori e consiglieri (cfr., parte III, par. 2.1 infra), l’obbligo di restituzione da parte di CEO/CFO di incentivi e profitti (cfr., par. 2.2 infra) e le norme sulla protezione dei c.d. “whistleblowers”. Le disposizioni della Sezione 302 del Sarbanes-Oxley Act sulla certificazione delle relazioni finanziarie periodiche sono state rese esecutive con l’adopting release emanato il 28 agosto 2002 (cfr., parte III, par. 1.1 infra). Allo stesso modo, recenti releases adottati della SEC hanno dato attuazione, attraverso l’emanazione di c.d. final rules, alle disposizioni della Legge in materia di codice etico ed esperto in materie finanziarie (cfr., par. 3.1 infra), transazioni non riportate in bilancio (cfr., par. 3.2 infra), non-GAAP financial measures (cfr., nota 47 infra), nonché alle norme sull’indipendenza dei revisori contabili (cfr., par. 4.1 infra). Inoltre, il 9 aprile 2003, la SEC ha adottato delle final rules in materia di indipendenza dell’audit committee, dando attuazione alla delega di cui alla Sezione 301 della Legge. Inoltre, l’esecutorietà degli obblighi previsti dalla Rule 10A-3 in materia di audit committee è subordinata all’adozione da parte delle borse nazionali di regolamenti condizionanti l’ammissione alla quotazione nei propri listini agli standards minimi fissati dalla SEC. 168 ♦ l’obbligo dell’emittente di dotarsi si un sistema di controlli e procedure finalizzati ad assicurare il rispetto degli obblighi informativi (cd. “disclosure controls and procedures”) (sezione 302 del SOA); ♦ l’obbligo del principal executive officer e del principal financial officer dell’emittente di rilasciare separate certificazioni con valenza civile (civil certification – sezione 302 del SOA) e penale (criminal certification – sezione 906 del SOA) sulla completezza e correttezza dell’informativa finanziaria e non, fornita nel rapporto annuale. La Legge, nella sua interezza, si applica genericamente, senza altre specificazioni, alla categoria degli issuers, come definita dalla Sezione 2(a)(7) dell’Act. Tale riferimento vale ad estendere la nuova disciplina a tutte le società emittenti, statunitensi o straniere 81, che: a) abbiano titoli quotati, ai sensi della Sezione 12 del Securities Exchange Act (“Exchange Act”), presso un U.S. exchange o Nasdaq; b) siano comunque soggette ad obblighi di comunicazione in base alla Sezione 15(d) dello stesso atto 82; c) abbiano depositato un ‘registration statement’ al fine di procedere ad un’offerta pubblica di securities sul mercato statunitense, ai sensi del Securities Act del 1933. La Legge, quindi, è applicabile: alle società europee quotate negli Stati Uniti o che intendano procedere ad un’offerta pubblica di securities per la quotazione sul mercato statunitense o, ancora, che siano, comunque, soggette ad un obbligo di comunicazione nei confronti della SEC, laddove, per esempio, abbiano un patrimonio superiore a 10 milioni di dollari e un numero di azionisti nel mondo superiore a 81 Ai sensi della SEC Rule 3b-4, si definisce foreign private issuer ogni società costituita fuori dagli Stati Uniti che abbia i due seguenti requisiti: 1) che persone residenti negli Stati Uniti non detengano direttamente o indirettamente la maggioranza delle azioni della società; 2) che la maggioranza degli amministratori non sia composta da cittadini statunitensi o da residenti negli Stati Uniti; o che il business dell’emittente sia gestito al di fuori degli Stati Uniti; o, infine, che la maggior parte del patrimonio sia situato al di fuori degli Stati Uniti. 82 Ai sensi dell’Exchange Act, sono soggette agli obblighi di comunicazione presso la SEC, e quindi sottoposte alla Legge, in qualità di reporting issuers, le società statunitensi anche non quotate che abbiano un patrimonio superiore a 10 milioni di dollari e un numero di azionisti nel mondo superiore a cinquecento. 169 cinquecento, di cui almeno trecento residenti negli Stati Uniti 83; un’esenzione dagli obblighi di comunicazione è prevista per le società non statunitensi il cui unico contatto con i mercati americani avviene tramite investitori istituzionali ai sensi della SEC Rule 144A del 1990 o le cui azioni sono soggette al Level 1 American Depository Receipts (“ADRs”) 84; a quelle società europee che, pur non essendo quotate in una borsa statunitense, siano però controllate da un issuer statunitense; alle società di revisione non statunitensi che svolgono attività di certificazione in favore degli issuers non statunitensi. I regolamenti di attuazione emanati ad oggi dalla SEC hanno reso esplicita l’applicabilità di taluni precetti alle emittenti straniere, mentre soltanto in limitate e circoscritte ipotesi le regole di attuazione hanno previsto delle esplicite esenzioni. 4.1.1 LE DISPOSIZIONI DEL SOA IN MATERIA DI CONTROLLO INTERNO ED INFORMATIVA SOCIETARIA Sezione 302 Le disposizioni della Sezione 302 del SOA (rese operative dalla SEC mediante l’adozione della Rule “Certification of Disclosure in Companies’ Quarterly and Annual Reports” del 29 agosto 2002 85, successivamente modificata dalla Rule “Management’s Report on Internal Contro Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports” del 5 giugno 83 La Legge non si applica alle società non statunitensi che beneficiano dell’esenzione prevista alla Sezione 12g3-2(b) dell’Exchange Act. Centinaia di società straniere hanno beneficiato di tale esenzione. Nella lista pubblicata il 1° maggio 2002 compaiono le seguenti società italiane: AEM S.p.A., Banca Popolare di Brescia, Banca Popolare di Lodi, Cassa di Risparmio di Firenze, Davide Campari Milano S.p.A., ERG S.p.A., Interpump Group S.p.A., Olivetti S.p.A. e Saipem S.p.A.. 84 Il Level 1 American Depository Receipts rappresenta la categoria base di ADRs (vale a dire, titoli negoziabili sui mercati statunitensi che rappresentano un numero determinato di azioni di una società non statunitense). Ricorrono al Level 1 le società non statunitensi che non hanno i requisiti o l’intenzione di quotarsi presso una borsa statunitense. 85 Per le imprese che godono dello stato di foreign private issuers, le norme in esame si applicano a partire dal rapporto annuale su Form 20-F, e a ogni sua eventuale modifica, depositato presso la SEC successivamente alla data del 29 agosto 2002. 170 2003), stabiliscono il rilascio da parte del principal executive officer e del principal financial officer (in genere CEO e CFO), ovvero persone che svolgono analoghe funzioni, di separate certificazioni sulla correttezza e completezza dell’informativa, finanziaria e non, presente nel rapporto annuale su Form 20-F depositato presso la SEC. In particolare ai soggetti citati è chiesto di attestare che: 1) hanno analizzato il rapporto annuale; 2) sulla base delle loro conoscenze: ♦ non vi sono indicazioni false riguardanti fatti di rilievo o omissioni di fatti rilevanti necessari a rendere non ingannevoli le dichiarazioni rese, avuto riguardo alle circostanze nelle quali esse sono state rese, in relazione al periodo di tempo cui il rapporto annuale si riferisce; ♦ il bilancio e le altre informazioni finanziarie contenute nel rapporto annuale rappresentano correttamente, sotto tutti gli aspetti rilevanti, la situazione patrimoniale-finanziaria, il risultato dell’impresa e i flussi di cassa dell’emittente alle date e per i periodi di tempo cui il rapporto annuale si riferisce; 3) sono responsabili della predisposizione e del mantenimento dei controlli e delle procedure finalizzati ad assicurare il rispetto degli obblighi informativi (disclosure controls and procedures) e del sistema di controllo interno che sovrintende la redazione del bilancio (cd internal control over financial reporting) 86; 4) hanno progettato o determinato la progettazione, sotto la propria supervisione, di: ♦ controlli e procedure finalizzati ad assicurare il rispetto degli obblighi informativi (cd disclosure controls and procedures) e intesi, fra l’altro, ad assicurare che le informazioni rilevanti relative alla società, incluse 86 Quanto indicato tiene conto delle modifiche apportate dalla SEC al testo della certificazione richiesta dalla sezione 302 del SOA per effetto dell’adozione della Rule “Management’s Report on Internal Contro Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports” del 5 giugno 2003 di attuazione della sezione 404 del SOA, riguardante l’“internal control over financial reporting”. Il nuovo testo della certificazione si applica ai bilanci presentati al, o successivamente al 10 agosto 2003 ed include una certificazione del sistema di controllo interno che sovrintende la redazione del bilancio (cd internal control over financial reporting). Per gli emittenti non USA, l’adeguamento alle disposizioni relative all’ internal control over financial reporting è previsto per i bilanci relativi agli esercizi finanziari chiusi al, o dopo il 15 aprile 2005 (bilancio 2005). Sino a quella data, la SEC consente di omettere dalla certificazione richiesta dalla sezione 302 del SOA l’attestazione relativa all’internal control over financial reporting. 171 le sue controllate consolidate, siano portate a conoscenza del CEO e del CFO da parte di altri soggetti operanti all’interno di tali società in modo tale da permettere decisioni in materia di informativa, in particolar modo durante le fasi di preparazione del rapporto annuale; ♦ un sistema di controllo interno che sovrintende la redazione del bilancio (cd internal control over financial reporting) al fine di assicurare, per quanto ragionevolmente possibile, che l’informativa finanziaria sia affidabile e che il bilancio pubblicato e diffuso dalla società sia preparato in conformità ai principi contabili generalmente accettati; 5) hanno valutato l’efficacia delle procedure e dei controlli finalizzati ad assicurare il rispetto degli obblighi informativi (cd disclosure controls and procedures) della società e, sulla base di tale valutazione, hanno incluso nel rapporto annuale le proprie conclusioni in merito all’efficacia di tali procedure e controlli al termine del periodo di tempo cui il rapporto si riferisce; 6) hanno illustrato nel rapporto annuale ogni cambiamento relativo al sistema di controllo interno che sovrintende la redazione del bilancio, intervenuto nel corso del periodo di tempo cui il rapporto annuale si riferisce, che abbia inciso in modo significativo o sia ragionevolmente in grado di incidere in modo significativo sul sistema di controllo interno che sovrintende la redazione del bilancio; 7) sulla base della loro più recente valutazione del sistema di controllo interno che sovrintende la redazione del bilancio, entrambi hanno comunicato al Revisore contabile della società ed al comitato per il controllo interno (audit committee) 87: a. ogni punto di debolezza significativo nonché ogni significativa carenza nella progettazione o nell’esecuzione del sistema di controllo interno che sovrintende la redazione del bilancio che sia ragionevolmente in 87 In Italia la comunicazione di frodi e di eventuali carenze del sistema di controllo interno è effettuata non solo al Revisore e al Comitato per il controllo interno (audit committee), ma anche al Collegio sindacale; infatti l’art. 149 del d.lgs 58/98 dispone: “il collegio sindacale vigila: (a) sull’osservanza della legge e dell’atto costitutivo; (b) sul rispetto di principi di corretta amministrazione; (c) sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile nonché sull’affidabilità di quest’ultimo nel rappresentare i fatti di gestione….”. 172 grado di incidere negativamente sulla capacità della società di registrare, elaborare, riassumere e divulgare le informazioni finanziarie; b. ogni frode, anche non significativa, in cui sia coinvolto il management o altri dipendenti con ruoli rilevanti nel sistema di controllo interno che sovrintende la redazione del bilancio. In base alla definizione contenuta nella Rule 13°-15(e) dell’U.S. Security Exchange Act of 1934 (Exchange Act), i “disclosure controls and procedures” rappresentano “i controlli e le altre procedure dell’emittente progettati per assicurare che le informazioni da inserire nei rapporti che l’emittente deposita o fornisce in base alle disposizioni dell’Exchange Act siano registrate, elaborate, riassunte e divulgate secondo le tempistiche definite dalle forms e dalle Rules della SEC”. I disclosure controls and procedures includono tutti controlli e le procedure progettati per assicurare che le informazioni, finanziarie e non, da inserire nei rapporti che l’emittente deposita in base alle disposizioni dell’Exchange Act, siano raccolte e comunicate al management dell’emittente, ivi inclusi il CEO ed il CFO, in maniera idonea a consentire l’assunzione di decisioni tempestive in relazione alle rappresentazioni da fornire. I disclosure controls and procedures coprono uno spettro di informazioni maggiore di quello coperto dall’internal control over financial reporting in quanto relativi ad assicurare la conformità dell’informativa alla generalità dei requisiti applicabili. I disclosure controls and procedures dovrebbero infatti identificare le informazioni rilevanti al fine di valutare la necessità di descrivere nei rapporti depositati forniti alla SEC gli sviluppi ed i rischi relativi agli affari dell’emittente. I disclosure controls and procedures dovrebbero inoltre coprire informazioni da valutare nel contesto del requisito generale di produzione di informazioni necessarie a rendere non ingannevoli le dichiarazioni rese nei rapporti depositati o forniti alla SEC. Con riferimento alla valutazione dell’adeguatezza del sistema di disclosure controls and procedures, sebbene non siano stabiliti criteri specifici, l’emittente è chiamato a “sviluppare un processo (di valutazione, ndr.) confacente ala propria attività e alle proprie condotte di gestione e supervisione interne”; ad ogni modo 173 è incoraggiata la costituzione di un disclosure committee che risponda all’alta direzione aziendale e “abbia la responsabilità di considerare la rilevanza delle informazioni e di definire tempestivamente gli obblighi di divulgazione da rispettare”. Sebbene la certificazione sia prevista in sede di redazione del rapporto trimestrale o annuale (quarterly and annual reports, depositate presso la SEC ai sensi delle Sezioni 13(a) e 13(d) dell’Exchange Act 88; La violazione dell’obbligo comporta sanzioni di natura civilistica.), nelle intenzioni della SEC le nuove rules relative ai disclosure controls and procedures devono supportare qualunque tipologia di informativa predisposta. L’assenza di adeguate procedure e controlli, la loro mancata revisione e valutazione ed altri inadempimenti delle rules applicabili potrebbero pertanto essere sanzionati dalla SEC anche in presenza di una corretta informativa nel rapporto annuale. Infatti, la mancata osservanza delle regole sull’istituzione e il mantenimento delle procedure di controllo espongono l’emittente al rischio di un procedimento giudiziale da parte della SEC per violazione della Sezione 13(a) dell’Exchange Act, a prescindere dall’esattezza o meno della risultante comunicazione 89. Gli obblighi di certificazione relativi ai controlli interni si estendono al delicato rapporto tra amministratori e revisori contabili o audit committee. Gli amministratori firmatari dei Sections reports 13(a) e 13(d), infatti, in aggiunta alle precedenti certificazioni, devono dichiarare di non aver omesso di comunicare ai revisori contabili eventuali lacune o deficienze delle procedure di controllo tali da mettere a repentaglio la veridicità e correttezza dei dati comunicati al pubblico, nonché eventuali frodi commesse dagli amministratori o da altri dipendenti 88 Il regolamento di attuazione della SEC chiarisce che la certificazione in oggetto è obbligatoria soltanto per le comunicazioni aventi natura periodica (trimestrale o annuale). Ciò si traduce, per le società straniere, nell’obbligo di includere le certificazioni nelle Forms 20-F o 40-F. Si segnala anche che il 31 marzo scorso la SEC ha pubblicato una proposta di modifica della sezione 302 della Legge la quale prevede che il filing delle certificazioni debba essere effettuato sotto forma di allegato alle relazioni. Cfr., il SEC Release No. 33-8212. Tale modifica non altererebbe in alcun modo il quadro delle responsabilità susseguenti alla violazione degli obblighi di certificazione. 89 Si segnala che la certificazione finanziaria è stata vincolata a standard assai più rigidi dei principi accolti a livello di revisione contabile. Il SEC Release chiarisce che la dichiarazione che i bilanci rappresentano in modo corretto, in ogni aspetto rilevante, le condizioni finanziarie dell’emittente deve essere intesa come certificazione che l’informativa finanziaria resa pubblica con il report, intesa nel suo complesso, è conforme a standard di assoluta accuratezza e completezza, aventi portata più ampia dei generali parametri di revisione contabile GAAP. 174 coinvolti nell’espletamento dei suddetti controlli 90. Le final rules non specificano la forma e la consistenza che tali procedure devono assumere. Tuttavia, esse raccomandano la costituzione di un comitato interno con il compito di raccogliere dati ed informazioni materiali e di relazionare gli amministratori firmatari 91. Sezione 906 Unitamente alla certificazione prevista dalla sezione 302, la sezione 906 del SOA (recante sanzioni di natura penale) stabilisce la separata attestazione, da parte del CEO e del CFO, che il rapporto annuale contenente il bilancio “rispetta in piano le disposizioni” dell’Exchange Act in materia di rapporti annuali, e che “le informazioni contenute nel rapporto annuale riflettono correttamente, sotto tutti gli aspetti rilevanti, la situazione patrimoniale-finanziaria e i risultati delle operazioni dell’emittente”. Quanto all’aspetto sanzionatorio, esso appare in linea con gli ambiziosi obiettivi di riforma della Legge. Infatti, la Sezione 906 prevede l’irrogazione di una multa fino a $1.000.000 e/o la reclusione fino a 10 anni per chi certifichi il report con piena conoscenza (knowingly) che la relazione non rispetta i precetti di legge. Le sanzioni si irrigidiscono in proporzione alla mens rea del responsabile: la norma prevede una multa fino a $5.000.000 e/o la reclusione fino a 20 anni in caso di condotta dolosa (willful). La Legge, per converso, è muta circa le conseguenze derivanti dalla mancata certificazione o da una dichiarazione non in linea con le formalità prescritte dalla Legge 92. 90 Il SEC Release ha integrato e completato la disciplina predisposta dalla Legge sotto due importanti aspetti. In primo luogo, esso ha esteso l’obbligo di certificazione al cash flow dell’emittente, di cui non v’è menzione nella Legge. Inoltre, la SEC ha sostituito il concetto di controlli interni (internal controls) di cui alla Legge stessa con quello, più ampio, di procedure e controlli interni intesi a garantire la trasparenza (disclosure controls and procedures). 91 Il SEC Release suggerisce che il comitato sia costituito dalle seguenti figure aziendali: il “principal accounting officer” (o il controller), il general counsel o altra figura di consulente legale interno con obbligodi relazionare il general counsel, il “principal risk management officer”, il “chief investor relationsofficer” o altro dirigente avente analoghe funzioni, e altri dipendenti dell’azienda il cui contributo appaianecessario secondo le circostanze. 92 Il 31 marzo 2003, la SEC ha pubblicato una proposta di modifica della sezione 906 della Legge. Essa prevede che le certificazioni previste siano “fornite” alla SEC come allegato alle proprie relazioni periodiche e, dunque, in forma pubblica. Secondo la proposta di regolamento, l’exhibit non andrebbe tuttavia considerato parte integrante del filing ai fini dell’applicazione delle norme federali in tema di responsabilità penale per dichiarazioni false o ingannevoli. Cfr., a tale 175 La certificazione disposta dalla sezione 906 del SOA è in parte differente rispetto a quella indicata nella sezione 302 e alla rule della SEC, non soltanto per la natura delle sanzioni – penali e non civilistiche – che conseguono alla sua falsificazione o irregolarità. Essa, infatti, omette ogni riferimento alla rilevanza delle informazioni e non attribuisce alcun rilievo alla conoscenza del firmatario. Inoltre, l’oggetto dell’obbligo appare assai più circoscritto, in quanto il giuramento non si estende ai controlli ed alle procedure di trasparenza, come previsto dalla Sezione 302 93. In particolare la certificazione ai fini penali: ♦ non fa riferimento al grado di conoscenza del firmatario; ♦ non chiede di certificare l’affidabilità del sistema di controllo interno e delle procedure adottate. Considerate queste differenze, le disposizioni della sezione 906 sono da intendersi come un obbligo informativo ulteriore e diverso rispetto a quello previsto dalla sezione 302 del Sarbanes-Oxley Act. A differenza di quanto previsto per le lettere di attestazione espressamente predisposte nella forma delle sezioni 302 e 404 del SOA, per la fattispecie in esame si fa riferimento ad una più generica “certificazione” non formalmente predefinita. Sezione 404 Le disposizioni della sezione 404 del SOA, rese operative dalla Rule SEC “Management’s Reposrts on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports” del 5 giugno 2003, modificano l’Item 15 del Form 20-F e stabiliscono l’inserimento nel rapporto proposito, la Sezione 18 dell’Exchange Act. In attesa dell’adozione di final rules in materia, la SEC ha comunque incoraggiato le emittenti a fornire le certificazioni come “additional exhibit” alle proprie relazioni periodiche, le Forms 20-F e 40-F. Cfr., SEC Release No. 33-8212. 93 La Legge tralascia invece di definire il concetto di relazioni periodiche (periodic reports), dando originead alcuni dubbi interpretativi, specie per quanto concerne la Form 8-K e la Form 6-K. Infatti, mentrela prima non ha natura periodica, ma corrente, la seconda è soltanto fornita alla SEC e, come tale, nonè tecnicamente oggetto di deposito. Si ritiene comunque che sia la Form 8-K sia la Form 6-K siano esclusedall’obbligo certificativo. 176 annuale di una relazione del management dell’emittente sul sistema di controllo interno che sovrintende la redazione del bilancio che contenga: ♦ l’indicazione della responsabilità del management nell’istituzione e nel mantenimento di un adeguato sistema di controllo interno che sovrintende la redazione del bilancio (cd internal control over financial reporting); ♦ l’identificazione del modello (framework) utilizzato dal management per valutare l’efficacia del sistema di controllo interno che sovrintende la redazione del bilancio dell’emittente come richiesto dalle disposizioni dell’Exchange Act in materia di rapporti annuali; ♦ la valutazione da parte del management dell’efficacia del sistema di controllo interno che sovrintende la redazione del bilancio alla data di chiusura del più recente esercizio dell’emittente. Tale valutazione dovrà indicare se il sistema di controllo interno che sovrintende la redazione del bilancio sia o meno efficace. Tale valutazione dovrà inoltre illustrare ogni debolezza significativa nel sistema di controllo interno che sovrintende la redazione del bilancio dell’emittente che sia stata identificata dal management. Il mamagement non potrà concludere che tale sistema di controllo interno sia efficace in presenza di una o più di tali debolezze significative 94; ♦ l’indicazione che il Revisore che ha effettuato la revisione contabile del bilancio incluso nel rapporto annuale contenente le informazioni richieste dall’Item 15 della Form 20-F ha rilasciato l’attestazione sulla valutazione da parte del management del sistema di controllo interno che sovrintende la redazione del bilancio. 94 Il management dovrà inoltre illustrare ogni cambiamento nel sistema di controllo interno che sovrintende la redazione del bilancio che sia stato identificato in relazione alla valutazione richiesta dalla Rule 13°-15 dell’Exchange Act, sia intercorso nel periodo di tempo cui il rapporto annuale si riferisce e abbia inciso in modo significatico, o sia ragionevolmente in grado di incidere in modo significativo, sul sistema di controllo interno che sovrintende la redazione del bilancio del’emittente. 177 Figura 4.1 – Sec 404, Management assessment process L’attestazione prevista dalla sezione 404 del SOA va in pratica a sostituire la civil certification precedentemente richiesta dalla sezione 302, integrandola sostanzialmente tramite più specifici richiami alla tematica dell’internal control over financial reporting. Alla società incaricata della revisione del bilancio è chiesto di attestare la valutazione effettuata dal management 95; la circostanza che la valutazione dell’ internal control over financial reporting sia oggetto di attestazione da parte della società di revisione non consente peraltro al management di delegare la propria responsabilità relativa alla valutazione del sistema di controllo interno che rimane, in via esclusiva, in capo alla società. La mancanza di adeguate procedure e controlli potrebbe essere sanzionata dalla SEC anche in assenza di carenze nell’informativa fornita. L’espressione “internal control over financial reporting” è definita come il processo progettato dai, o sotto la supervisione dei, principal executive and principal financial officers dell’emittente (in genere identificati nelle persone del CEO e del CFO), ovvero da persone che svolgono analoghe funzioni, e attuato dal Consiglio di amministrazione, dal management e da altro personale, volto a fornire ragionevole certezza sull’attendibilità dell’informativa finanziaria e sulla redazione del bilancio pubblicato o diffuso dall’emittente in ottemperanza ai 95 Per espressa disposizione, l’attestazione svolta da parte della società incaricata della revisione del bilancio non rappresenta un incarico aggiuntivo. 178 principi contabili generalmente accettati, e include quelle politiche e procedure che: 1) attengono al mantenimento di registrazioni contabili che riflettano, con un ragionevole dettaglio, accuratamente e correttamente le transazioni e le cessioni dei beni aziendali; 2) forniscono la ragionevole certezza che le transazioni sono rilevate in modo tale da consentire la redazione del bilancio in accordo con i principi contabili di generale accettazione e che gli incassi e i pagamenti dell’emittente sono effettuati esclusivamente secondo le autorizzazioni del management e degli amministratori dell’emittente; 3) e forniscono la ragionevole certezza relativa alla prevenzione o alla tempestiva individuazione di acquisti, utilizzi o cessioni non autorizzati di beni aziendali che potrebbero avere un effetto significativo sul bilancio. Pertanto, come meglio illustrato in seguito, i controlli a cui intende riferirsi la sezione 404 sono focalizzati sui controlli interni relativi alla redazione del bilancio e alla salvaguardia del patrimonio aziendale. La valutazione della loro efficacia deve avvenire confrontando il proprio sistema di controlli con un metodo di riferimento (cd. Framework; ad esempio il Co.S.O.) adeguato e riconosciuto che sia stato predisposto da un ente o gruppo che abbia seguito procedure di due process, ivi inclusa la distribuzione del framework al pubblico interessato per ottenere commenti prima della sua adozione 96. Per essere considerato adeguato, un framework deve: essere imparziale; consentire misurazione qualitative e quantitative, ragionevolmente coerenti, del sistema di controllo interno di una azienda; essere sufficientemente completo in modo che non vengano omessi quei fattori rilevanti che modificherebbero le conclusioni in materia di efficacia del sistema di controllo interno di una azienda; ed essere rilevante ai fini della valutazione del sistema di controllo interno che sovrintende la redazione del bilancio. Il modello di riferimento utilizzato per la valutazione deve essere indicato nella relazione. Tra i possibili modelli di riferimento, coerentemente ai 96 Vedi SEC Release No. 33-8238 e Rule 13°-15(c) del Securities Exchange Act of 1934 179 suggerimenti della SEC, il Co.S.O. framework 97, appare essere lo standard di generale accettazione. La valutazione sull’efficacia del sistema di controllo interno posto in essere, deve essere effettuata sulla base di procedure sufficienti a valutare il progetto, nonché, attraverso l’esecuzione di appropriati test, sulla sua efficacia operativa 98. La valutazione, inoltre, deve essere supportata da evidenze, adeguatamente documentate, che devono fornire un ragionevole supporto per: 1) valutare se i controlli sono stati progettati in modo adatto a prevenire o individuare significativi errori o omissioni; 2) concludere che i test sono stati adeguatamente pianificati ed eseguiti; 3) assicurare che i risultati dei test effettuati sono stati adeguatamente considerati nell’espressione del giudizio sull’efficacia dei controlli. Sebbene non siano previste specifiche disposizioni, la verifica deve essere svolta su un arco temporale congruo per consentire al management l’espressione di un giudizio sull’efficacia del sistema di controllo interno posto in essere con riferimento alla data di chiusura dell’esercizio. Qualora dalla valutazione emergessero eventuali “carenze materiali” (cd. material weaknesses), per espressa disposizione del sistema di controllo interno posto in essere non può essere qualificato come efficace. Le material weaknesses rappresentano carenze nella progettazione e/o nell’operatività del sistema di controllo interno tali da non consentire di ridurre, ad un livello relativamente basso, il rischio che si verifichino, e non siano tempestivamente individuate, dichiarazioni inesatte determinate da errori o frodi per ammontare rilevante in relazione al bilancio 99. Le carenze in esame sono illustrate nella relazione su internal control over financial reporting unitamente ad 97 Il frameworkin esame è stato definito, nel 1992, dal Committee of Sponsoring Organizations of the Treadway Commission. 98 La SEC non stabilisce criteri specifici da adottare per la verifica di internal control over financial reporting limitandosi a indicare, a titolo esemplificativo, che l’ambito della valutazione include, ma non è limitato, ai controlli relativi: (I) all’apertura, alimentazione, registrazione, elaborazione e riconciliazione dei saldi dei conti, delle classi di transazioni poste in essere e delle informazioni fornite e delle relative asserzioni di bilancio; (II) all’apertura ed alla elaborazione di transazioni non sistematiche e non routinarie; (III) alla selezione e applicazione dei principi contabili adatti; (IV) alla prevenzione, identificazione e individuazione di frodi. 99 Tali definizioni di material weaknesses e significant deficency risultano in linea con quelle contenute nell’Audit Standard n°2 emanato dal PCAOB. 180 ogni cambiamento, intervenuto nel corso dell’esercizio, che abbia inciso (o che sia ragionevolmente in grado di incidere) in modo significativo sul sistema di controllo interno che sovrintende la redazione del bilancio. Le carenze significative e ogni rilevante punto di debolezza (cd significant deficencies) nel progetto o nell’operatività del sistema di controllo interno adottato, che siano ragionevolmente in grado di influenzare negativamente la capacità dell’azienda di registrare, elaborare, riassumere e divulgare informazioni finanziarie, nonché ogni frode, significativa o meno, in cui sia coinvolto il management o altro personale che svolge un ruolo rilevante nel sistema di controllo interno che sovrintende la redazione del bilancio della società, sono portate a conoscenza del Revisore e del Comitato per il controllo interno 100; l’avvenuta comunicazione è oggetto di attestazione dal parte del CEO e CFO. 4.1.2 OBIETTIVI SPECIFICI DEL SISTEMA DI CONTROLLO AI FINI DEL SOA (SEZ. 302 e 404) Le disposizioni relative ai “disclosure controls and procedures” e al’”internal control over financial reporting” individuano come obiettivo principale la correttezza e l’affidabilità dell’informativa finanziaria, comunque non esclusivamente coincidente con la categoria “financial reporting”, definita fra gli obiettivi di controllo del Co.S.O. framework. Risultano pertanto esclusi dalla definizione di internal control over financial reporting, in linea generale, gli obiettivi di presidio di efficacia ed efficienza delle attività operative (operations) e di conformità a leggi e regolamenti (compliance), ad eccezione dei seguenti obiettivi specifici di controllo esplicitamente inclusi nel campo di applicazione dell’internal control over financial reporting: ♦ La salvaguardia del patrimonio aziendale (obiettivo specifico delle operations); ♦ L’adeguata autorizzazione delle transazioni aziendali(obiettivo specifico delle operations); ♦ La documentabilità delle transazioni; 100 Analogamente a quanto indicato in precedenzam in Italia la comunicazione in esame è effettuata anche al Collegio sindacale 181 ♦ La conformità a leggi e regolamenti relativi alla predisposizione dell’informativa finanziaria (obiettivo specifico della compliance). Tuttavia, l’osservanza di altre leggi e regolamenti potrebbe rientrare indirettamente nell’oggetto della normativa nella misura in cui una violazione significativa debba essere oggetto di informazione di mercato. Il concetto di salvaguardia del patrimonio aziendale, definito nell’ambito del sistema di internal control over financial reporting, è da intendersi come il processo volto a “fornire la ragionevole sicurezza relativa alla prevenzione o alla tempestiva individuazione di acquisti, utilizzi o cessioni non autorizzati di beni aziendali che potrebbero avere un effetto significativo sul bilancio”. Pertanto, la definizione di salvaguardia dei beni aziendali in tale accezione non coincide con il più ampio e fondamentale obiettivo del management di proteggere il valore dell’attivo dell’impresa e di accrescerlo nel tempo (mantenimento e creazione di valore) 101. Il concetto di “autorizzazione 102” delle transazioni aziendali è da intendersi con il processo e le procedure adottate dall’azienda che consentono, con ragionevole sicurezza, di attestare che i passi autorizzativi relativi ad impegni e disposizioni, ovvero incassi e pagamenti, cono adeguatamente messi in atto e controllati. Il concetto di “documentabilità” è da intendersi come la capacità dell’azienda di produrre e mantenere tutta la documentazione necessaria al fine di consentire, con un ragionevole livello di dettaglio, di valutare l’accuratezza e la corretta rappresentazione di transazioni o vendite che riguardano i beni aziendali. Il concetto di “conformità” a leggi e regolamenti (compliance) è da intendersi come l’applicazione delle norme previste dalla legislazione di riferimento relativamente all’informativa finanziaria con valenza esterna. 101 In quest’ottica, nel valutare il sistema di controllo sulla salvaguardia dei beni aziendali non devono essere, ad esempio, considerati tutti i controlli sul processo decisionale di acquisizione e vendita. La decisione di vendere un prodotto ad un prezzo che si dimostra non profittevole potrebbe essere considerata da un punto di vista gestionale come un insuccesso nella protezione delle attività esistenti, ma, se opportunamente autorizzata, non un difetto del sistema di internal control over financial reporting. 102 L’autorizzazione delle transazioni aziendali, a differenza dell’autorizzazione propria della salvaguardia dei beni, non è concepita come potere di disposizione dei beni aziendali, ma è limitata alle verifiche autorizzative proprie di incassi e pagamenti. 182 4.1.3 LA CERTIFICAZIONE DEL REVISORE CONTABILE Nel Sarbanes Oxley Act del 2002 sono molti gli articoli che cercano di migliorare l’affidabilità e la correttezza dei reports finanziari, ma, senza ombra di dubbio, le sezioni 302 e 404, con le sanzioni previste dalla sezione 906, sono da considerare preminenti nella nostra analisi. Questa riforma disciplina svariati aspetti dell’organizzazione delle imprese e del loro governo societario e, sicuramente, inciderà in modo molto deciso sulle operazioni e sulle valutazioni economiche delle suddette imprese quotate negli Stati Uniti. Un primo punto di partenza è sicuramente quello dell’affidabilità dei bilanci e di tutti i reports finanziari emessi dalle società quotate. I reports finanziari sono molto importanti in quanto sono spesso l’unica forma di conoscenza effettiva che gli azionisti e gli investitori hanno, riguardo all’andamento economico, finanziario e patrimoniale delle imprese in cui loro investono o a cui sono interessati per vari ordini di motivi. Inoltre, le già richiamate vicissitudini finanziarie che hanno coinvolto molte imprese americane ed europee, hanno fatto sorgere nel legislatore americano, ma anche in tutti gli stakeholders ed economisti in genere, l’esigenza di regolamentare meglio il processo di formazione e comunicazione dei reports finanziari. Sempre i reports finanziari devono essere considerati strumenti fondamentali e, ovviamente, devono correttamente rappresentare le reali condizioni economiche dell’azienda, perché sono l’unico pilastro su cui si fonda il sistema economico capitalista e, in definitiva, il mondo dei mercati finanziari. Si vuole asserire che senza una vera affidabilità delle informazioni finanziarie, e con il sorgere di casi sempre più clamorosi di crack o crisi aziendali, si rischia la perdita di fiducia degli investitori, ma anche di tutti i soggetti interessati alla situazione di un’impresa e, più in generale, si rischia la crisi del sistema economico capitalista. L’obiettivo del Revisore contabile in sede di audit sull’internal control over financial reporting è di esprimere un’opinione sulla valutazione di efficacia fornita dal management riguardante il sistema dei controlli interni sull’informativa finanziaria aziendale (Interna Control Report). Per poter formare una solida base sulla quale costruire un’opinione di tale rilievo, il Revisore deve pianificare ed eseguire un audit finalizzato alla verifica, con un ragionevole grado di sicurezza, su come la società emittente abbia mantenuto 183 efficaci controlli interni relativi alle informazioni di natura finanziaria, così come specificato nell’attestazione del management. A tal fine il Revisore procede all’esame di tutta l’informativa finanziaria relativa al periodo ricadente all’interno dell’arco temporale di riferimento per la suddetta attestazione. Il mantenimento di un efficace sistema di controlli interni sull’informativa finanziaria comporta l’assenza di carenze significative (material weakness) nel disegno, nell’operatività e nel mantenimento dello stesso; pertanto, l’obiettivo principale di un audit sull’ internal control over financial reporting consiste nell’ottenere la ragionevole sicurezza in merito all’assenza di eventuali carenze significative, così come attestato dal management della società emittente. Al fine dell’ottenimento della ragionevole sicurezza, il Revisore è tenuto ad esaminare la valutazione prodotta dal management ed a constatare come e se effettivamente il sistema dei controlli interni sull’informativa finanziaria è stato disegnato e reso operativo. Il Revisore acquisisce tali informazioni tramite diversi strumenti, inclusi l’utilizzo dell’operato altrui (internal auditing, self assessment, ecc.) e l’espletamento di vere e proprie attività di revisione. Il Revisore considera il fatto che fra le categorie di soggetti che fanno affidamento sulle informazioni che interessano il sistema di controllo interno sull’informativa finanziaria, vanno inclusi investitori, creditori, Consiglio di amministrazione, Audit committee, organi di controllo, ecc. il Revisore, inoltre, tiene presente che gli utilizzatori esterni della documentazione finanziaria sono particolarmente interessati all’informativa riguardante il suddetto sistema di controllo in quanto determinante del livello qualitativo del reporting finanziario e quindi del livello di affidamento stesso che tali soggetti ripongono sull’informativa finanziaria prodotta. L’informazione in materia di controlli interni è anche finalizzata a fornire un pronto avviso in merito a situazioni potenzialmente pericolose ai soggetti interni ed esterni operanti nell’ambito del miglioramento del sistema dei controlli stesso, quali Audit commettee e Organi di controllo. Inoltre il SOA afferma il principio dell’illegalità, per ogni società di revisione, delle sue prestazioni di servizi non audit in contemporanea all’attività di revisione, tranne che per quanto previsto dalle esenzioni della stessa legge; il Sarbanes cita esplicitamente una lista di otto servizi non audit di seguito riportati: 1) tenuta della contabilità od altri servizi relativi alle registrazioni contabili o ai bilanci del cliente auditato; 184 2) creazione del sistema informativo dei dati finanziari; 3) servizi di stima o valutazione, opinioni di equità, redazione di report; 4) servizi degli attuariali; 5) outsourcing della funzione di internal auditing; 6) funzione manageriale e/o gestione delle risorse umane; 7) broker o consulente, consulente d’investimento o servizi di investment banking; 8) servizi legali e di consulenza non riferiti all’attività di audit; 9) ogni altro servizio che il Board ritiene di vietare. Il PCAOB ha quindi la facoltà di aumentare le tipologie di servizi non audit da vietare, nonché la possibilità di implementare alcune esenzioni dopo un’analisi caso per caso, seppur in quest’ultimo caso è necessaria l’approvazione della SEC. Il revisore deve quindi evitare la prestazione di determinati servizi non audit a emittenti o a sue società consociate nel momento in cui ha il compito di revisionare il bilancio dello stesso emittente o delle sue consociate 103. La Sec ha implementato le previsioni del SOA riguardo ai servizi non audit nel gennaio del 2003 con l’Act Release 8183 forse invadendo il campo delle prerogative del PCAOB, azione questa giustificata dalla non ancora efficacia operativa raggiunta dal Board in quel periodo e dalla contemporanea necessità di regolamentare tempestivamente e più in dettaglio una disciplina alquanto delicata. Il principio generale definito dalla SEC è che si vieta la prestazione di servizi non audit a meno che è ragionevole concludere che i risultati forniti da questi servizi non saranno oggetto delle procedure di revisione sui bilanci del cliente, ovvero “il revisore non può controllare il suo lavoro”. La lista fornita dal SOA viene solo estesa dividendo i servizi manageriali da quelli relativi alle risorse umane e quelli legali da quelli di consulenza non audit. La lista delle circostanze che potrebbero intaccare l’indipendenza del revisore non è esaustiva e per esaminare attentamente 103 Una società si deve ritenere consociata se una società emittente detiene direttamente o indirettamente il suo controllo, se l’emittente influenza materialmente e significativamente le decisioni della consociata, se la consociata detiene direttamente o indirettamente il controllo sull’emittente o è in grado di esercitare influenza rilevante sulle decisioni dell’emittente. Più specificatamente si potrebbe ritenere controllata una società di cui si possiede almeno la metà delle azioni con diritto di voto, e quindi si è in grado di controllare praticamente tutta l’attività operativa della stessa; inoltre, l’influenza significativa che una società esercita su di un’altra potrebbe essere tale nel momento in cui si possegga più del 20 % del capitale sociale della società in oggetto. 185 questi casi, la SEC esplicitamente afferma che considererà se la fornitura di servizi: ♦ crea un interesse reciproco o contrastante tra il revisore e l’emittente; ♦ mette il revisore in condizioni di revisionare il suo lavoro; ♦ pone il revisore in una posizione di difensore del cliente; ♦ pone il revisore in una situazione simile a quella di manager o impiegato del cliente. I servizi di internal audit potrebbero essere svolti da società esterne a quella dell’impresa emittente o da società di revisione se la società emittente riconosce la sua responsabilità per la creazione e gestione di un adeguato sistema di controllo interno, nomina un responsabile della funzione di internal audit e la stessa società emittente non fa affidamento sul lavoro della società esterna per la determinazione dell’efficacia e dell’affidabilità del sistema di controllo interno. Tutti i servizi audit e non audit devono essere pre-approvati dall’audit committee che si assume la responsabilità di tutti i servizi richiesti al revisore diversi dall’audit che ne possano minare l’indipendenza; è ovvio che è anche interesse del revisore evitare la prestazione di sevizi non audit vietati al suo cliente al fine di non incorrere nelle dure sanzioni del PCAOB che potrebbero anche comportare la revoca della registrazione che, in termini pratici, comporterebbe l’impossibilità a svolgere l’attività di revisione per tutte le società emittenti, che negli USA sono praticamente la totalità delle imprese. Al riguardo la legge individua alcune eccezioni relative all’approvazione di tutti i servizi audit e non audit da parte dell’audit committee. La richiesta di preapprovazione dell’audit committee è derogata, se riguarda servizi non audit prestati ad un emittente da una società di revisione, se: ♦ l’ammontare complessivo degli onorari per tutti i servizi non audit ricevuti non eccede il 5% del totale degli onorari pagati ai revisori, anche per i servizi audit, nell’esercizio in cui i suddetti servizi non audit sono forniti; ♦ questi servizi non sono stati riconosciuti dall’emittente al momento in cui è avvenuto l’accordo con il revisore come servizi non audit; 186 ♦ tali servizi sono stati immediatamente portati all’attenzione dell’audit committee e da esso approvati prima della conclusione della loro prestazione. Tutto ciò deve essere comunicato agli investitori per via degli appositi report periodici che si inviano alla SEC e sono chiaramente resi pubblici. La commissione ha comunque meglio definito i servizi non audit già elencati dal Sarbanes: ♦ tenuta della contabilità o altri servizi relativi alle registrazioni contabili o ai bilanci del cliente auditato comprendono il mantenimento e la preparazione delle registrazioni contabili del cliente auditato, la preparazione dei bilanci del cliente trasmessi alla Sec e l’individuazione di tutti i dati necessari per la redazione dei bilanci di cui sopra; ♦ il design e l’implementazione del sistema informativo finanziario comprende l’operatività diretta o indiretta o la supervisione delle operazioni riguardanti il sistema informativo da parte del revisore,nonché la creazione di sistemi hardware o software che aggreghino ed elaborino dati finanziari da parte dello stesso; ♦ i servizi di stima o valutazione riguardano tutti quei processi svolti dal revisore per la valutazione di assetts tangibili o intangibili e del passivo della società emittente; ♦ i servizi degli attuariali consistono in tutte quelle consulenze sulle poste di bilancio e i relativi conti, nonché l’assistenza fornita al cliente nella comprensione dei metodi, dei modelli, delle ipotesi utilizzate nella stima di un’esposizione di bilancio; ♦ l’outsourcing della funzione di internal auditing comprende ovviamente tutti quei servizi forniti dal revisore relativi al sistema di controllo interno, al sistema finanziario e al bilancio di una società cliente; ♦ le funzioni manageriali si verificano nel momento in cui il revisore agisce come un amministratore, direttore o impiegato di un cliente sottoposto ad audit, nonché lo svolgimento di ogni attività di programmazione, supervisione, monitoraggio e decisione; ♦ la funzione risorse umane si riferisce alla selezione di candidati operata dal revisore per conto del suo cliente, implementazione di test psico 187 attitudinali o test valutativi del personale, determinare la posizione, il titolo, il pagamento ed i benefit che spettano ai dipendenti; ♦ l’attività di broker o dealer significa agire come promotore, sottoscrittore, intrapresa di decisioni di investimento per il cliente o avere autorità riguardo gli investimenti, le transazioni e i movimenti di capitale dello stesso; ♦ i servizi legali potrebbero essere forniti da avvocati registrati. Molti dubbi ha suscitato la disposizione della Sec riguardo i servizi fiscali, in quanto sia Proposing release che nell’Adopting release si afferma che i servizi fiscali non sono totalmente preclusi dal SOA, perché la sezione 201 afferma che i servizi non audit, compresi i servizi fiscali, possano essere forniti dal revisore se approvati anticipatamente dall’audit committee dell’emittente, il quale deve accertarsi se i servizi fiscali costituiscano dei servizi di consulenza proibiti tanto da pregiudicare l’indipendenza del revisore. Si ricordano, inoltre, all’audit committee le tre situazioni su esaminate in cui il revisore non si deve assolutamente trovare e si fa l’esplicito esempio della partecipazione del revisore alla formulazione di quelle strategie fiscali che minimizzino la tassazione a carico dell’emittente. L’unica nota considerata positiva da molteplici osservatori, che si sono opposti a queste disposizioni della SEC, è la messa in guardia operata dalla Commissione sul fatto che i servizi fiscali non sarebbero servizi di consulenza appropriati da prestare ad una società cliente. Comunque, sulla scia delle molteplici proteste anche di commentatori autorevoli e forse, comprendendo la possibile perdita di efficacia che le decisioni della SEC potrebbero produrre sulla reale applicazione del concetto di indipendenza, ha espresso la necessità di una sua revisione delle norme in oggetto e la possibile emanazione di norme più articolate riguardo l’indipendenza del revisore, norme che al momento non sono operative. 188 Uno spiraglio per la Corporate America La Securities and Exchange Commission (SEC, la Consob statunitense) proporrà a dicembre una proposta più flessibile della sezione 404 della Sarbanes-Oxley, la legge che disciplina la corporate governance per le compagnie, a seguito del crac Enron del 2002. Secondo quanto scrive il Wall Street Journal, il lungo dibattito per rivedere le rigidità della legge anti-scandali, finita nel mirino perché scoraggia tra l'altro le nuove quotazioni a Wall Street (a favore di Londra e Hong Kong), starebbe quindi per produrre i primi effetti visto che la SEC lavorerà con la Public Company Accounting Oversight Board (l'agenzia che ha la supervisione delle società di revisione) per definire alcune modifiche agli standard (i cosiddetti AS2) seguiti per valutare l'adeguatezza dei conti aziendali. Proprio questi schemi particolarmente rigidi si sono tradotti in una crescita piuttosto sostenuta degli oneri a carico delle aziende. Il numero uno della SEC, Christopher Cox, ha messo in moto il meccanismo di revisione, scrivendo alla commissione di supervisione con l'auspicio che siano adottate regole contabili capaci di rispettare di più le dimensioni dei gruppi. Dimenticare Enron e World Com, ovvero i grandi scandali finanziari che hanno segnato la stagione della vergogna per la finanza americana? Dopo Christopher Cox, numero uno della SEC (la società che vigila sulla Borsa americana), è arrivato il turno del segretario al Tesoro, Henry "Hank" Paulson, di aprire il capitolo della revisione della Sarbanes-Oxley Act. Non va stravolta, ha avvertito il già banchiere numero uno di Goldman Sachs 104 intervenendo all'Economic Club di New York, ma ha bisogno di «un miglioramento», un rafforzamento capace di bilanciare «tutela dei risparmiatori e necessità di innovazione dei mercati finanziari» per fare in modo che gli Stati Uniti e la sua Mecca borsistica Wall Street in particolare, continuino a indossare i panni di leader del settore su scala globale. 104 Goldman Sachs è una delle piu grandi e affermate Merchant Bank (definibile anche con i termini Banca d'affari, Banca d'investimento, Investment Bank) del mondo, ha sede a New York ma ha sedi anche a Londra, Francoforte, Tokyo, Hong Kong e in tutti gli altri centri finanziari del Mondo. La Banca è quotata al New York Stock Exchange (NYSE) con la sigla GS. Essa opera nei piu variegati e innovati settori finanziari, dalla Consulenza non solo alle aziende o a ricchi imprenditori ma anche a Governi, non ha caso i suoi Top Manager sono spesso reclutati dalla politica (gli ultimi due casi sono Henry Paulson ex presidente della banca e ora nuovo Segretario al tesoro Americano e Mario Draghi vice presidente di Goldman e ora a capo di Banca D'Italia). 189 L'ex boss della principale banca d'affari del mondo, quindi, diventato ministro dell'Economia degli Stati Uniti, mette le mani sulle regole fatte per frenare la disinvoltura dei finanzieri e delle banche d'affari che ne disegnano le strategie. L'obiettivo, ha chiarito tuttavia Paulson, è quello di «non caricare le aziende americane con costi rilevanti e con una regolamentazione severa, capace alla fine di danneggiare la competitività stessa del mercato dei capitali». La SarbanesOxley Act è da diverso tempo materia di dibattito tra gli esperti e nel mondo politico, sulla scia dei ripetuti appelli lanciati dalla Corporate America per le disposizioni troppo onerose contenute in particolare nella sezione 404 (sulla cui revisione è al lavoro proprio la SEC) che obbliga le aziende a valutare i controlli interni per garantire che i risultati finanziari diffusi sui mercati siano affidabili. Queste norme, sostengono gli esperti, spiegherebbero la fuga dai mercati regolamentati degli Stati Uniti di molte corporation che preferiscono andarsi a quotare su listini più flessibili e in forte ascesa come Londra e Hong Kong. «I nostri mercati restano forti e competitivi - ha argomentato il segretario al Tesoro ma hanno di fronte sfide che non possono essere facilmente risolte». Paulson fissa l'attenzione sul capitolo 404 che dovrebbe «essere più efficiente e funzionale sul lato dei costi», assicurando che lo spirito della Sarbanes-Oxley «è integro». C'è solo da migliorare «l'effetto complessivo della legge». Vedremo come. 4.1.4 RELAZIONE TRA “DISCLOSURE CONTROLS AND PROCEDURES” E “INTERNAL CONTROL OVER FINANCIAL REPORTING” La descrizione del concetto di “disclosure control and procedures” e di “internal control over financial reporting”, evidenzia che i due ambiti di controllo si sovrappongono senza però coincidere. In particolare, come indicato in precedenza, il perimetro di riferimento dei disclosure control and procedures (sec. 302) appare più ampio in quanto riferito all’intera informativa prodotta, finanziaria e non, che l’emittente è tenuto a depositare o fornire in base alle disposizioni dell’Exchange Act. L’obiettivo è quello di assicurare uno standard generale di qualità dell’informativa presentata e 190 la conoscenza tempestiva, da parte del vertice aziendale, di ogni fatto rilevante per consentire decisioni tempestive in merito all’informazione che deve essere fornita nel rapporto annuale. Il sistema di internal control over financial reporting (sec. 404) è focalizzato sull’informativa finanziaria, ovvero sulla redazione del bilancio nel rispetto delle disposizioni dei principi contabili applicabili e sulla salvaguardia del patrimonio aziendale. Pertanto le problematiche inerenti la predisposizione dell’informativa finanziaria appaiono comuni a entrambi i concetti di controllo, mentre le indicazioni in merito alla completezza dell’informativa non finanziaria e la tutela del patrimonio aziendale rappresentano aspetti peculiari, rispettivamente dei disclosure control and procedures e dell’ internal control over financial reporting. La distinzione assume rilevanza sostanziale, almeno per gli aspetti di seguito indicati: ♦ L’adeguatezza dei disclosure control and procedures non assicura, di per sé, l’efficacia del sistema di controllo che sovrintende la redazione del bilancio (internal control over financial reporting); ♦ Solo l’ambito del sistema di controllo delineato dalla sec. 404 (internal control over financial reporting) è oggetto di verifica e attestazione anche da parte della società di revisione. 4.2 I COSTI DELLA SARBANES-OXLEY ACT A CONFRONTO CON I BENEFICI E LE ASPETTATIVE All’esordio della Legge SOA, il Congresso ha dichiarato che tale Legge è volta a proteggere gli azionisti attraverso il miglioramento dell’accuratezza e dell’attendibilità delle rivelazioni della società eseguite in conformità alle securities laws. Nel Release No. 33-8238, la SEC (2003a) discute i seguenti benefici e costi. I primi benefici ricercati come risultato dell’implementazione del regolamento della sezione 404 della SOA sono l’accresciuta fiducia degli azionisti nei resoconti finanziari, una migliore trasparenza delle società, dati finanziari più 191 attendibili basati sugli effettivi sistemi di controllo interno riguardo a dati, rivelazioni e deterrenti di frode finanziaria. I costi menzionati dalla SEC (2003a) includono i costi di preparazione dei resoconti richiesti al management sui controlli interni e sui costi trascritti dalla testimonianza degli azionisti. Sebbene i benefici siano difficili da quantificare, i costi non lo sono. Prima di una attestazione è opportuno che le compagnie valutino e documentino i loro sistemi di controllo esistenti, determino quali cambiamenti siano necessari per migliorare tali sistemi, implementino i cambiamenti, e testino l’efficienza dei controlli interni stabiliti. I costi per portare a termine questi incarichi includono i crescenti salari e benefici interni personali, le tasse per la consultazione esterna e per la nuova o aggiornata tecnologia (hardware and software). Nel Release No. 33-8238, la SEC (2003a) fornisce una stima del costo intorno a 91,000 dollari per compagnia su una media dei costi annuali di implementazione riferita solo alla sezione 404(a) della SOA. Tale stima non include i costi riferiti all’attestazione dei revisori indipendenti. Un’indagine svolta con la collaborazione dei dirigenti delle compagnie nel corso del 2003 e 2004 rivela una stima molto alta dei costi. L’indagine condotta dal CFO magazine nell’agosto del 2003 fornisce interessanti informazioni sui costi di implementazione della sezione 404 della SOA (Nyberg 2003). Solo il 44% dei dirigenti intervistati seguono le tracce dei costi di implementazione e più della metà di quelli che non li inseguono non intendono farlo. Questo denota che tali costi sono immateriali o che questi dirigenti non riscontrano benefici nel valutare tali specifici costi. Più di tre-quarti degli intervistati ha indicato che i costi stimati dalla SEC, (91,000 dollari), sono troppo bassi. Circa la metà degli intervistati ha valutato che i propri costi annuali di implementazione, inclusa l’attestazione delle tasse, ammontano a meno di 500,000 dollari. Sebbene il 49% degli intervistati crede che la propria compagnia ha ottenuto internamente dei benefici dall’implementazione dei processi, il 70% sostiene che i costi di compliance abbiano superato i benefici. Questa valutazione è stata condotta con un questionario via e-mail su un campione casuale di dirigenti individuati dalla lista del CFO in circolazione. Su 220 degli intervistati, 139 sono dirigenti di compagnie pubbliche. Il Financial Executives 192 International (FEI) ha osservato i costi della sezione 404 della SOX nel primo anno di implementazione, nel gennaio e luglio del 2004 (FEI 2004), dei propri membri delle compagnie pubbliche. Più della metà degli intervistati di entrambe le indagini rappresentano le grandi aziende con un reddito annuo di 1 miliardo di dollari o più. In queste indagini, il FEI interroga i dirigenti su tre diversi tipi di costi di compliance – i costi dello sfaff interno, costi esterni quali consultazione e tasse sui software, e le tasse sulle valutazioni dei revisori. La media dei costi totali stimata è aumentata da 1.9 milioni di dollari nella valutazione di gennaio, a 3.1 milioni di dollari nella valutazione di luglio. Per gli intervistati con un reddito annuale di 1 milione di dollari o più, la media dei costi totali è cresciuta da 3.0 a 5.2 milioni di dollari. La media dei costi valutata è aumentata per tutte e tre i tipi di costi, ma la proporzione per i diversi tipi di costo è cambiata da gennaio a luglio. Gli intervistati a gennaio hanno visto che le tasse attestate ammontano a circa il 30% dei costi totali, tale percentuale è scesa al 26% nella valutazione di luglio. La media attesa delle tasse attestate dai revisori è stata di 823,200 di dollari a luglio in confronto a 590,100 di dollari in gennaio. Per gli intervistati con un reddito di 1 milione di dollari o più, la media delle tasse attestate è stata stimata intorno a 1.33 milioni di dollari a luglio comparata con 0.92 milioni di dollari in gennaio. Nel maggio del 2005, quattro grandi società contabili, Deloitte & Touche LLP, Ernst & Young, KPMG e PricewaterhouseCoopers hanno rilasciato una ricerca105 condotta da CRA International sulle società degli Stati Uniti il cui campione comprendeva società con un giro d’affari annuale di 2 bilioni di dollari 48%, meno di 500 milioni di dollari 19% e fra 500 milioni e 2 bilioni di dollari 33%. La survey, e la successiva discussione con i partecipanti, si è focalizzata in particolare sugli aspetti seguenti: ♦ Costi per il raggiungimento della conformità alla legge; ♦ Benefici associati in particolare alla sec. 404 della SOA; ♦ Relazioni con i revisori esterni; ♦ Ruoli e responsabilità in riferimento ai Sistemi di Controllo Interno (SCI); ♦ Formazione e addestramento; ♦ Interrelazioni con i comitati di controllo interno; ♦ Costi di mantenimento e miglioramenti previsti. 105 Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey UpdateMay 2005 193 Nei primi due anni di applicazione della Sarbanes-Oxley Act, si sono verificati numerosi impatti, non tutti positivi, in particolare riguardanti:. ♦ I costi, interni ed esterni; ♦ La complessita di applicazione delle norme non sempre esaustive; ♦ La definizione dei ruoli e responsabilità per il processo di monitoraggio; ♦ Le difficoltà di fronteggiare questi impatti, raggiungere gli obiettivi di breve e medio termine ed al contempo far fruttare gli ingenti investimenti effettuati. Alla fine del secondo anno di applicazione integrale per le Società USA, stanno però emergendo molti benefici, in particolare: ♦ La scoperta ed il conseguente uso di molte “features” già presenti, ma non sfruttate nei Sistemi Informativi ed in particolare nei Sistemi ERP; ♦ Eliminazione di processi e/o controlli duplicati; ♦ Ottimizzazione dei cicli contabili; ♦ Elevazione della cultura aziendale in termini di “Governance” ed “Internal Control”; ♦ Miglioramento della conoscenza da parte dei Board. 194 4.2.1 COSTI ELEVATI PER L’ADEMPIMENTO DELLA SEZIONE 404 Un gruppo di società di revisione, tra cui Deloitte & Touche, Ernest & Young, KPMG e Pricewaterhouse Coopers, hanno chiesto (marzo 2005) al CRA International Inc. di svolgere una indagine (“survey spring 2005”) e di rivedere i dati relativi al costo di esecuzione della sec. 404 del Sarbanes-Oxley Act del 2002, per un campione di società (clienti delle società di revisione) “Fortune 1000” con capitalizzazione di borsa sopra i 700 milioni di dollari (Larger Companies). A seguito di quel rapporto le società contabili chiesero al CRA di controllare, per la sec. 404, i costi di esecuzione del secondo anno sia per le grandi compagnie incluse nell’indagine della primavera 2005, che di un gruppo separato di compagnie pubbliche più piccole con capitalizzazione di borsa tra i 75 milioni e i 700 milioni di dollari (“Smaller Companies”). L’indagine attuale, Spring 2006, aggiorna la precedente ricerca con i dati sui costi e sui driver di costo, per l’anno due dell’applicazione della sez. 404 ed il numero di debolezze materiali e di mancanze significative identificate. L’indagine Spring 2006 include un’analisi dei costi totali della sez. 404 e delle informazioni sulla revisione contabile “audit fee” derivanti dalla documentazione contabile, riguardante i compensi sostenuti dalla società per gli auditor esterni. Per aiutare la comprensione, l’indagine distingue tra i costi totali della sec. 404 e gli onorari per la revisione contabile tratti dai documenti contabili dell’azienda, di cui una parte è attribuibile alla verifica di controllo interno relativa alla sec. 404 e un’altra parte è attribuibile alla verifica dei rendiconti finanziari dell’emittente (e altri servizi di revisione contabile, definiti dalle procedure finalizzate ad assicurare il rispetto degli obblighi informativi). Nella precedente ricerca, le stime dei costi di esecuzione e di implementazione dell’anno due di attuazione della sez. 404, si basavano essenzialmente su “proiezioni di costo”. Mentre, i costi sec. 404 “anno due” dell’indagine Spring 2006 si basano su dati di costo più accurati, poiché la gran parte del lavoro di esecuzione della sec. 404 per l’anno due era completa o quasi, nel periodo dell’indagine. L’indagine Spring 2006 fornisce, per la prima volta, dati sui compensi per il servizio di revisione contabile (totale) delle compagnie, che comprendono le competenze per la revisione contabile dei rendiconti finanziari, audit del controllo 195 interno della sec. 404 ed altri servizi di revisione inclusi nell’“audit fees” (compensi per l’attività di audit), come definito per gli scopi definiti dalle procedure finalizzate ad assicurare il rispetto degli obblighi informativi. Tavola 4.1 – Riassunto costi; risultati dell’indagine Spring 2006 Per le compagnie indagate (“subject companies”), le rivelazioni più importanti sono: ♦ Mentre le competenze totali audit nei documenti di delega erano piatte o leggermente diminuite, i costi della sec. 404 (inclusi i costi interni, i costi di terze parti e di audit fees per la 404) diminuirono notevolmente, scendendo del 30.7% per le Smaller Companies e del 43.9% per la Larger Companies; ♦ Dei costi totali della sec 404 dell’anno due, i compensi per l’attività di audit per la sec. 404 diminuirono in media del 20.6% per le Smaller Companies e del 22.3% per le Larger Companies; 196 ♦ Nell’anno due i compensi per l’attività di audit della sec. 404 sono stati computati per il 39% dei costi totali della sec. 404 per le Smaller Companies e del 33% per la Larger Companies. Le società di revisione attribuiscono l’aumento delle competenze audit non-404 a diversi fattori, incluso procedure audit addizionali richieste da nuovi standards diversi dalla sec. 404, o in risposta a risultati di verifica; costi di salario più alti dovuti ad una aumentata richiesta di personale contabile (incluso emittenti di titoli e regulators); costi addizionali relativi alla compliance e ai sitemi di controllo indipendenti; e i più alti costi di adozione delle practice. Gli Auditor indipendenti che lavorano per le compagnie, attribuiscono le diminuzioni dei costi della sec. 404 essenzialmente a efficienze come risultato dell’effetto dell’apprendimento e degli sforzi della documentazione sostenuti nel primo anno, che non fu necessario ripetere nel secondo anno. Alla richiesta di definire i tre motivi principali per la riduzione dei costi, gli auditor hanno indicato i seguenti fattori: Maggiori efficienze ottenute dall’esperienza accumulata nel corso dell’esecuzione. I test dei controlli dall’anno uno verso l’anno due, sono state citate dal 38% degli auditor esterni per le Larger Companies e dal 49% per le Small Companies come la più importante fonte della riduzione dei costi; La riduzione della documentazione dall’anno uno all’anno due: è stata citata dal 32% degli external auditors delle Grandi Compagnie e dal 26% di quelli delle Piccole Compagnie come il maggior fattore rilevante per l’avvenuta riduzione dei costi; Una riduzione nell’uso di revisori esterni da parte delle compagnie: è stato citato dall’8% delle Larger Companies e dal 13% delle Piccole società come il principale responsabile della riduzione dei costi In più, l’indagine Fall 2005 trovò che un’attesa diminuzione del numero dei controlli chiave esaminati, i benefici dell’esperienza e maggiore fiducia nel lavoro degli altri tenderebbe anche a ridurre i costi. Per le piccole società il numero dei controlli chiave testati dagli auditors diminuì più del 21% in media da 262 a 206 dall’anno uno all’anno due. Per le Grandi Compagnie il numero medio dei 197 controlli chiave testati dall’audit è diminuito più del 19%, da 669 dell’anno uno, a 540 nell’anno due. I management sia delle Grandi che delle Piccole Società, hanno anche ridotto la propria verifica dei controlli chiave. Gli auditor delle Piccole Compagnie hanno affermato di essersi fidati del lavoro dei revisori interni alle società per il 22% dell’audit nel secondo anno, e dell 11% nel primo. Per la Grandi Compagnie la fiducia nel lavoro dei revisori interni alle società è aumentato dal 25% al 15% nell’anno due. I dati della ricerca Spring 2006 indicano che per le società intervistate il numero dei punti deboli reali e disavanzi significativi identificati dall’emittente di titoli e dal contabile sono diminuiti nell’anno due rispetto all’anno uno. Le società di revisione credono che ciò indica un generale miglioramento nell’internal controls over financial reporting nelle società assoggettate alla ricerca. Per le Piccole società, il numero dei reali punti deboli e delle mancanze significative sono scesi da una media di 5.3 dell’anno uno all’1.3 nell’anno due, mentre per le Grandi Compagnie sono scesi in media da 5.0 nell’anno uno a 2.5 nell’anno due. È da più di tre anni che l’U.S. Congress ha decretato la SOA con l’intenzione di ristabilire la fiducia nell’investitore. Negli ultimi due anni la sec. 404 ha richiesto che il management di molte compagnie pubbliche e gli auditor indipendenti dalle società riferiscano sull’efficacia del controllo interno delle compagnie sui report finanziari (internal control over financial reporting). Le quattro grandi società di revisione hanno chiesto al CRA di aiutarle a condurre delle indagini periodiche per valutare alcuni orientamenti riguardanti l’esecuzione della sec. 404. Ad oggi, CRA ha condotto tre di queste indagini. Tutte le indagini coinvolgevano i dati di raccolta e di compilazione pertinenti ai cosi della sec. 404 e l’identificazione delle mancanze nel controllo interno. Gli scopi primari dell’indagine Spring 2006 sono di: Aggiornare le stime di costo per l’anno due dell’indagine Fall 2005 con i dati forniti dopo il completamento dell’esecuzione della sec. 404 nell’anno due per determinare la misura in cui le aspettative per la riduzione dei costi della sec. 404, anno due, sono state realizzate; Confrontare le variazioni nei costi totali per l’esecuzione della sec. 404 nell’anno due con le variazioni degli onorari degli auditor esterni, che 198 include sia le competenze per il lavoro su audit sec. 404, che le competenze relative alla revisione contabile dei report finanziari e altri servizi di audit che sono riportati come “audit fees”; Fornire informazioni riguardanti i motivi della diminuzione dei costi di attuazione della sec. 404 nell’anno due. Per questo studio, la CRA International ha fornito a ciascuna società di revisione due campioni a caso selezionati fra le Larger Companies e le Small Companies clienti delle società di revisione. Le aziende assoggettate all’indagine sono le stesse di quelle utilizzate per l’indagine Fall 2005. Ciascuna società di revisione richiedeva, a turno, dei dati sui costi e sugli audit fees dagli audit teams delle società assoggettate all’indagine. Ogni accounting firms fornì al CRA i dati sui costi medi e le competenze audit per ciascuno dei due gruppi (Larger e Small Companies). CRA ha calcolato le risposte medie per ciascuno dei gruppi pertinenti attraverso le risposte delle società intervistate. Le medie delle società assoggettate all’indagine fornite dalle società di revisione, costituiscono la base dei dati utilizzati in questa survey. Per quanto riguarda i costi medi di esecuzione delle Small Companies, come dimostrato nella tavola, i dati dell’indagine spring 2006 mostrano che le compagnie piccole, nella ricerca, hanno rilevato una notevole riduzione nei costi totali della sec. 404 e anche nelle competenze audit esterne relative alla sec. 404 durante il secondo anno di esecuzione. Scoperte significative per le piccole compagnie includono: I costi totali della sec. 404 sono diminuiti ad una media di 860.000 dollari nell’anno due rispetto a 1.24 milioni di dollari nel primo anno di esecuzione; ciò significa una riduzione del 30.7%; Le spese medie per l’audit fees esterne abbinate alle sec. 404 sono diminuite del 20.6% nel secondo anno di esecuzione; I costi totali di esecuzione dell’anno due rappresentano approssimativamente lo 0.24% delle entrate medie delle compagnie per le quali i dati furono raccolti, paragonato allo 0.38% delle entrate nel primo anno. Le competenze audit nell’anno due per la sec. 404 rappresentano lo 0.09% delle entrate. 199 Tavola 4.2 – Confronto tra anno uno e anno due dei costi medi di esecuzione della sec.404 per le Smaller Companies Grafico 4.1 – Costi medi di esecuzione dell’Anno-Due per la sec. 404 per le piccole società Come dimostrato dalla tavola, la media dei compensi per i servizi di revisione sec. 404 sono scese da 423.000 dollari del primo anno di esecuzione a 336.000 dollari nell’anno due. Nell’anno due, gli “audit fees” rappresentano il 39% dei costi medi della sec. 404 per le piccole compagnie. I costi interni e le competenze di terze parti (escluse le audit fees sec. 404) furono stimate per il rimanente 61% dei costi totali della sec. 404. CRA International ha inoltre analizzato i risultati di due sottogruppi di Smaller Companies, quelle con una capitalizzazione di mercato inferiore a 125 milioni di 200 dollari e quelle con una capitalizzazione compresa tra 150 milioni e 700 milioni di dollari. La riduzione media nei costi totali della sec. 404 per il 2004/2005 per questi sottogruppi, è stata simile alla riduzione media dell’intero campione delle Smaller Companies; i costi totali della sec. 404 per le compagnie con capitalizzazione di mercato da 125 milioni di dollari a 700 milioni, diminuirono nel 2004 del 29%, da 1.33 milioni di dollari a 0.94 milioni. Mentre i costi totali della sec. 404 per le società con una capitalizzazione di mercato inferiore a 125 milioni di dollari diminuirono nel 2005 del 42%, da 0.92 milioni a 0.53 milioni di dollari. La ricerca Spring 2006, inoltre, effettuò un confronto dei risultati dell’indagine con gli importi derivanti dai proxy materials (documenti contenenti i compensi delle società di audit esterne). La tavola, mette a confronto i cambiamenti medi dei costi totali della sec. 404 con le total audit fees in proxy materials (composte sia dalla sec. 404 che non 404). Sebbene gli audit fees e i costi totali per la sec. 404 si siano ridotti notevolmente, le competenze audit totali nei proxy materials hanno fatto registrare una riduzione più modesta. A differenza dei costi totali della sec. 404, in cui tutte le categorie di costo diminuirono, la riduzione nelle competenza audit esterne (incluse sia nei costi totali della sec. 404 che nelle competenze audit), fu largamente compensata da aumenti nelle audit fees collaterali (non sec. 404). Questo rapporto di compensazione si risolse in una lieve diminuzione delle competenze audit totali incluse dei proxy materials. Tavola 4.3 – Confronto dei cambiamenti nei costi totali della sec. 404 rispetto al cambiamento degli audit fees totali per le piccole compagnie. 201 Per le Larger Company dai costi medi di esecuzione della sec. 404 come dimostrato dalla tavola 4.4, emergono risultati significativi: I costi totali della sec. 404 sono scesi da una media di 4.8 milioni di dollari nell’anno due, rispetto agli 8.5 milioni di dollari sostenuti nel primo anno di esecuzione, facendo registrare una riduzione dei costi medi sec. 404 del 43.9%; I costi interni e di terze parti per la sec. 404 è diminuito circa il 50% ad una media dei costi per l’anno due di 3.2 milioni di dollari; Le spese medie sulle competenze sulle competenze audit sec. 404 sono scese del 22.3%, da 2.02 milioni (anno uno) a 1.57 milioni di dollari nell’anno due; I costi totali dell’anno due, rappresentano circa lo 0.05% del reddito medio delle compagnie per le quali sono stati raccolti i dati, paragonato allo 0.11% del primo anno. Mentre, gli audit fees per l’anno due rappresentano lo 0.02% del reddito. Tavola 4.4 - Confronto tra anno uno e anno due dei costi medi di esecuzione della sec.404 per le Larger Companies 202 Grafico 4.2 – Costi medi di esecuzione dell’Anno-Due per la sec. 404 per le Larger Companies Come dimostrato dal grafico 4.2, gli audit fees sec. 404, hanno rappresentato per le Larger Companies il 33% dei costi medi totali di esecuzione della sec. 404 nel 2005. I costi interni di audit ed i pagamenti degli auditor esterni (esclusi quelli per la sec. 404) hanno rappresentato i 67 per cento restanti dei costi totali della parte 404. Per quanto riguarda il confronto tra i risultati e gli importi dell’indagine derivanti dai proxy materials, la tavola 4.5 paragona i costi totali della sec. 404 alle competenze audit totali. Dalla tavola emerge la diminuzione del 22.3% nei costi di verifica esterni della sec. 404 per le grandi aziende, che ha compensato gli aumenti nelle tasse di verifica di rendiconto finanziario (financial reporting) in modo che i costi di verifica integrati totali (costi compresi per altri servizi di verifica) segnalate dai proxy materials fossero essenzialmente costanti dall'anno uno all'anno due. 203 Tavola 4.5 - Confronto dei cambiamenti nei costi totali della sec. 404 rispetto al cambiamento degli audit fees totali per le Larger Companies L’indagine ha effettuato una classificazione dei driver più importanti che hanno condotto al cambiamento dei costi dall’anno uno all’anno due. I risultati dell’indagine per le Larger e Smaller Companies sono ricapitolati nella tavola 4.6. I tre driver principali per i cambiamenti nei costi, sono identici per entrambi i gruppi di aziende. Il primo driver si individua nella riduzione dei costi di esecuzione nell’anno due rispetto all’anno uno dovuta all’esperienza accumulata nell’implementazione e valutazione dei controlli interni. Il secondo driver riguarda il fatto che la documentazione iniziale sostenuta nell’anno uno non deve poi essere ripetuta nell’anno due. Il terzo e ultimo driver citato deriva da una riduzione nell’uso di auditor esterni da parte delle Companies nell’anno due Tavola 4.6 – Percentuali degli auditors nella classificazione dei principali Driver di costo della riduzione dei costi di esecuzione dell’anno due 204 Inoltre, l’indagine Fall 2005, prevedeva che una diminuzione prevista nel numero dei controlli chiave esaminati, poteva mettere in luce i benefici derivanti dall’esperienze accumulate nel corso dell’implementazione, e che una maggiore fiducia riposta nell’internal audit avrebbe contribuito a ridurre i costi di implementazione. 4.3 I VANTAGGI DI GESTIRE LA COMPLIANCE CON PROCESSI AUTOMATIZZATI DI AMMINISTRAZIONE DELLA FUNZIONE Le aziende devono far fronte ogni giorno a rischi e sfide. Le interruzioni del funzionamento dei sistemi, con conseguente perdita di dati e diminuzione della credibilità, costano ogni anno ad aziende ed enti pubblici milioni di euro in utili mancati. Non stupisce, dunque, che la sicurezza informatica sia diventata una delle principali priorità. Le regolamentazioni aziendali e la legislazione industriale hanno ampliato la responsabilità relativa alla sicurezza informatica, estendendola alle massime cariche di un'organizzazione. Per molti CEO e CIO, la gestione dei rischi relativi alla sicurezza informatica è diventata, quindi, una nuova area di responsabilità, che richiede formazione e linee guida. Proteggere un'infrastruttura aziendale, e tutto il patrimonio in essa contenuto, senza sapere bene da dove iniziare, può risultare un compito scoraggiante. Le aziende si trovano ad affrontare, come mai prima d'ora, la necessità di conformarsi ai rigidi requisiti che governano la sicurezza e l'integrità dei dati aziendali strategici. Per soddisfare tali requisiti, le organizzazioni devono sapere quali utenti dispongono dei diritti di accesso e a quali risorse, monitorare le variazioni di tali accessi, registrare accuratamente i risultati e fornirne report storicizzati. Inoltre, le aziende devono essere in grado di rispondere, in modo rapido ed efficace, alle eventuali deviazioni dai controlli del processo IT e aziendale. La mancata risoluzione dei problemi che compromettono la conformità e l'efficacia generale della sicurezza potrebbe comportare una responsabilità legale da parte dell'organizzazione. 205 Per migliorare le prestazioni di controllo e garantire la conformità con le normative di settore, ad esempio Sarbanes-Oxley, le organizzazioni stanno ampliando il personale, stipulando contratti con consulenti e implementando nuovi processi, molti dei quali manuali e complessi. Inoltre, le attività di preparazione e di conduzione dei controlli possono essere costose e impegnative, oltre a creare maggiore pressione e carico di lavoro per i team della sicurezza. Le aziende devono poter raggiungere i loro obiettivi di sicurezza, controllo e conformità utilizzando dei metodi che siano gestibili, ripetibili, sostenibili ed economici a lungo termine. Le esigenze di governo, sicurezza e controllo dell'informatica dell'impresa bancaria e finanziaria sono sempre più pressanti. Le competenze e la responsabilità per l'adempimento di queste esigenze ricadono su Centri di competenza diversi, non sono dunque di esclusiva pertinenza dell'Unità IT. Indipendentemente dall'organizzazione interna, e da chi è chiamato a garantire l'osservanza delle condizioni quadro normative, la non-compliance ha delle ripercussioni su quasi tutti gli ambiti operativi e comporta dei rischi giuridici, reputazionali e di immagine importanti. Di conseguenza l'impresa bancaria e finanziaria, anche quella di piccole e medie dimensioni, deve dotarsi di strutture (organizzative e tecniche) e di strumenti al passo con le innumerevoli norme legislative e di autoregolamentazione esistenti e in continuo sviluppo. Sempre più le società IT presentano le soluzioni di It Compliance, una vasta gamma di prodotti e servizi per la sicurezza e la disponibilità che aiutano i clienti a ridurre il costo della conformità. Attraverso l’offerta delle tecnologie necessarie per controllare e analizzare continuamente l’ambiente di controllo, le soluzioni di It Compliance permettono ai clienti di monitorare efficacemente le proprie attività verificando che siano conformi agli standard vigenti. La conformità del sistema informatico aziendale non può più essere un evento occasionale, ma un processo continuo ed automatizzato per poter ridurre i costi e limitare le inefficienze. Secondo un’indagine condotta da Securitycompliance.com, le norme più rigide volte a controllare la riservatezza e la protezione dei dati, influenzano il 60% delle aziende, dalle piccole imprese alle grandi realtà multinazionali. 206 Come emerge da uno Studio Multi-client di IDC 2005 intitolato “Le priorità della conformità 106” e condotto da Vivian Tero, senior research analyst compliance infrastructure, più dell’80% delle aziende intervistate sono concordi nell’affermare che non è possibile affrontare la conformità senza essere dotati di una soluzione automatizzata per la gestione della documentazione e dei processi, comprese alcune operazioni collegate come la valutazione e l’esecuzione di controlli e log degli eventi. L’offerta di servizi IT permette ai clienti di ridurre il costo della compliance automatizzandone alcuni aspetti, come ad esempio: la gestione e l’attuazione delle policy, la valutazione dei controlli, la raccolta di dati da diverse fonti di analisi, tra cui prodotti di sicurezza e disponibilità e la conservazione dei documenti, fornendo una visione completa della conformità delle aziende e dei relativi clienti. In questo modo, le società di servizi IT limitano la necessità dei propri clienti di rivolgersi a diversi titolari e responsabili dei dati per reperire queste informazioni, poiché i dati sono raccolti in modo coerente e sostenibile, riducendo in tal modo le imprecisioni. Al fine di accorciare ulteriormente i tempi e i costi associati alla gestione della compliance, le soluzioni di IT compliance centralizzano le informazioni ottenute tramite le diverse attività, migliorando il processo decisionale e dimostrando con sicurezza una conformità costante. Tali società di servizi IT, attraverso una valutazione, è in grado di automatizzare la gestione della conformità integrando diverse fonti e generando rapporti che misurano e dimostrano l’adeguamento a diverse norme, standard e direttive, come ad esempio Sarbanes Oxley, HIPAA e PCI. L’offerta per l’IT Compliance aiuta le società clienti a definire, controllare e governare le operazioni volte al raggiungimento della conformità informatica. Queste attività cominciano con l’analisi dei requisiti del business, la definizione degli obiettivi di controllo e la valutazione del rischio. Le policy allineate con gli obiettivi del business vengono automaticamente mappate in base a varie norme, quadri normativi e standard e, in seguito, distribuite agli utenti perché le approvino. Al fine di garantire un’ulteriore riduzione dei tempi e dei costi associati alla conformità alle policy, l’IT compliance effettua il collaudo automatico dei 106 Vivian Tero, Compliance in Information Management Forum West Survey: “End-User Attitudes and Investment Priorities”, July 2006, IDC International Data Group. 207 controlli informatici e integra varie fonti di informazioni. I dati vengono raccolti in maniera coerente e sostenibile, riducendo le imprecisioni. Le soluzioni per l’It Compliance permettono ai clienti di redigere e pubblicare rapporti che attestino la loro attenzione verso la conformità e che consentano di ricevere consigli per migliorare l’ambiente di controllo. Tali soluzioni, inoltre, forniscono indicazioni per stabilire le priorità in base al rischio ed attuare i rimedi in base a dati raccolti attraverso la rete d’informazioni sulla sicurezza. Molte leggi e regolamentazioni adottate nello scorso decennio impongono requisiti di sicurezza per aziende e agenzie governative. Alcune di queste, come la normativa HIPAA (Health Insurance Portability and Accountability Act), la California SB 1386 e la Direttiva Europea sulla Privacy, fanno riferimento alla privacy dei consumatori. Altre, come la normativa Sarbanes-Oxley Act, si concentrano sull'inviolabilità dei dati e sui sistemi sicuri di archiviazione e reporting. Altre ancora devono entrare in vigore; ad esempio i requisiti e gli standard stabiliti nell'Accordo di Basilea II, che dovranno essere implementati nel 2007 e la versione giapponese del Sarbanes-Oxley Act che entrerà in vigore solo nel 2008. Tuttavia, rileva Gartner, nessuna di queste regolamentazioni definisce l’attenzione dovuta nell’ambito della sicurezza e non esiste alcuna forma di certificazione che garantisca che un prodotto o un servizio consentirà a un'organizzazione di raggiungere una condizione di conformità10. Inoltre, secondo Forrester, benché i requisiti di conformità per molte imprese richiedano di adottare misure sempre più severe rispetto al passato per proteggere i dati privati memorizzati nei database, le normative che stabiliscono queste regole non offrono strategie, né suggeriscono best practice o linee guida per affrontare le sfide riguardanti la sicurezza 107. Di conseguenza, molte organizzazioni arrancano ancora nel comprendere le numerose normative che potrebbero riguardarle, e le loro implicazioni in termini aziendali 108. Poiché le odierne organizzazioni sono, in misura crescente, dipendenti dai sistemi informatici, la tecnologia riveste un ruolo chiave in iniziative strategiche riguardanti la conformità, per assicurare la sostenibilità di processi legati alla conformità, mitigare i rischi e gestire i costi correnti. In 107 108 “Trends 2006: DBMS Security”, Forrester Research, Inc., 2005 “Worldwide Outbound Content Compliance 2005 – 2009 Forecast and Analysis: IT Security Turns Inside Out”, IDC, 2005 208 generale, le normative si concentrano sulle attribuzioni di responsabilità e sul controllo all'interno dell'azienda, principalmente attraverso la disciplina dei processi e la governance aziendale, e spesso sono implementate nell'IT. Solitamente i requisiti di conformità comprendono: l'uso di sistemi di autenticazione per assicurare l'identità e l'autorizzazione degli utenti; limitazioni di accesso alle informazioni: privacy dei dati personali; ripartizione delle responsabilità tra utenti e gruppi per limitare gli abusi; procedure di auditing, solitamente richieste per dimostrare la conformità e comprendenti requisiti per livelli appropriati di reporting. Le difficoltà e i costi di implementazione della conformità sono inaspriti dal fatto che molte organizzazioni hanno un'infrastruttura informatica estremamente distribuita, comprendente sistemi, dispositivi e dati sparsi per tutta l'impresa. Queste non sono considerazioni banali. Malgrado il fatto che le scadenze per la conformità non siano sempre certe, alcuni aspetti delle iniziative sono alquanto chiari, come ad esempio le sostanziali multe in cui si incorre in caso di non conformità, comprendenti spesso la responsabilità personale per i dirigenti dell'azienda. Occorre anche sottolineare che incidenti legati alla perdita della sicurezza informatica possono minare la fiducia dei clienti, causare un danno d’immagine e perdita di profitti, avere un impatto negativo sul valore delle azioni e dare adito ad azioni legali collettive 109. 4.4 COMPLIANCE SOSTENIBILE, UN APPROCCIO STRATEGICO GENERA BENEFICI Nello scenario complesso del mercato si confrontano e si scontrano diversi approcci culturali; da un lato la complessità come fattore di rischio che contribuisce a rendere la struttura aziendale labile, dall’altra la complessità come fattore di crescita, in grado di proporre opportunità la cui evidenza, spesso, è data 109 “Eight Steps Needed to Define Reasonable Security”, Gartner, Inc., 2005 209 solo a chi sa sviluppare una cultura d’impresa capace di unire piuttosto che separare. Questa dicotomia culturale si riflette nelle scelte delle soluzioni tecnologiche. Il governo della compliance, per esempio, è un caso emblematico; a fronte di una base normativa identica per tutti i soggetti coinvolti, diverse sono le modalità di applicazione, in funzione dei rischi individuati e della capacità di cogliere nelle procedure imposte spunti di innovazione organizzativa. Concepire in questi termini la Sarbanes-Oxley Act, il testo unico sulla Privacy, oppure Basilea 2, o ancora la certificazione di qualità ISO, potrebbe rivelarsi una via per l’innovazione, trasformando i costi in investimenti. Sono proprio i costi di adeguamento normativo caricati sulle aziende a essere fonte di preoccupazione per gli imprenditori e il management. Difficile stimarli; negli Stati Uniti però, dove il tempo trascorso dall’introduzione del Sarbanes Oxley Act (SOA) è ormai significativo, sono già disponibili alcune valutazioni d’impatto della nuova norma sui costi aziendali, stime che comprendono i costi di audit interno ed esterno, le attività di controllo e monitoraggio necessarie per adeguarsi alla sezione 404 della SOA. Secondo Gartner 110 le società che hanno scelto singole soluzioni per ogni sfida proposta dall’ingresso di nuove norme spenderanno dieci volte di più nei progetti di compliance rispetto a quelle che hanno preferito un approccio proattivo e programmatico. Il contenimento dei costi registrato nel corso del tempo dall’attuazione di queste regolamentazioni è anche il frutto dell’automazione dei processi, in particolare quelli interni di controllo e monitoraggio che individuano le non conformità e quelli di auditing. L’allineamento tra tecnologia e business di cui tante volte si è parlato diventa allineamento con il processo di compliance, nella consapevolezza che non esiste una soluzione valida per tutte le aziende, sebbene si vadano sviluppando software per il compliance management, finalizzati appunto all’automazione dei controlli interni, del workflow, del reporting. La maggiore vigilanza dei governi e delle autorità di controllo sull’attività delle aziende rappresenta un nuovo costo di esercizio e può assumere proporzioni considerevoli. Se si esaminano queste spese, si effettua una mappatura delle norme a cui le aziende devono conformarsi e si esplorano i componenti comuni a molte di queste regole, l’esigenza di elaborare una strategia di adeguamento 110 Fonte French Caldwell, Simplifying Compliance: key technologies and best practices, Symposium 2005, Barcellona. 210 proattiva emerge in tutta la sua urgenza. Per raggiungere questi obiettivi, occorre modificare i processi di governance e i sistemi tecnologici aziendali non solo per rispondere rapidamente all’insorgenza di nuove regole, ma anche per acquisire un vantaggio competitivo e un livello più elevato di efficienza IT. L’analista di Gartner Brian Wood in occasione del Gartner Symposium/ITxpo 2004 ha dichiarato “Un’architettura per la conformità non richiede necessariamente nuovi investimenti in software e un’implementazione immediata su scala aziendale. La maggior parte delle organizzazioni dispone già di una buona parte degli strumenti software necessari.” Secondo la società di ricerca, gli stessi principi valgono anche per quanto riguarda l’adeguamento all’accordo Basilea II e ad altre normative. Gli analisti di Gartner hanno espresso altre rassicurazioni nel corso di questo evento, sottolineando che qualunque azienda che disponga di un solido piano di sicurezza e di business continuity, di un sistema di gestione dei documenti e di un sistema di gestione dei servizi aziendali possiede le basi fondamentali per un’architettura della conformità. Istituendo un’architettura di questo tipo, le aziende possono ridurre il costo della conformità alle normative in quanto “si elimina l’esigenza di assumere revisori o consulenti esterni ogni volta che viene varata una nuova legge”, dichiara l’analista di Gartner Rich Mogull. John Hagerty, esperto di conformità presso la AMR Research di Boston, è d’accordo con questa tesi. “Se l’adeguamento alle nuove norme viene gestito isolatamente di volta in volta, i costi risultano enormemente superiori”, dichiara Hagerty, che a febbraio ha pubblicato una relazione, “Planning for a Sustainable Active Compliance Architecture”, in cui la conformità alle normative viene definita “un obiettivo strategico, non un semplice insieme di progetti tattici”. Secondo una ricerca condotta da Mercury111 in collaborazione con The Economist 112 Intelligence Unit, una inondazione di regolamentazioni sta forzando il settore dell’IT nella ricerca di nuove strategie orientate a minimizzare le 111 Sustainable Compliance – Industry regulation and the role of it governance, A survey and white paper produced by Mercury in cooperation with the economist intelligence unit 112 The Economist Business Unit è una divisione del gruppo The Economist. Le aziende del gruppo includono il giornale The Economist, CFO Magazine e di altre pubblicazioni specialistiche. 211 difficoltà ed incrementare i benefici del richiamo alla conformità regolatrice (regulatory compliance). Un'indagine di 808 professionisti IT negli Stati Uniti, nell'Europa, Medio Oriente e Africa (EMEA) e nell’Asia-Pacifico rivela quali regole stanno avendo un maggiore impatto sulle operazioni IT e come i CIO ed i manager dell’IT stanno cercando di rispondere a queste sfide. L'indagine ed un certo numero di interviste approfondite condotte per questo rapporto, hanno mostrato che molte organizzazioni sperano di trasformare la compliance da una costosa difficoltà ad un beneficio per gli affari. I risultati chiave della ricerca includono quanto segue: 1) La compliance porterà a difficoltà sempre maggiori e continue sulle operazioni IT. Gli intervistati dell’indagine negli Stati Uniti, stanno procedendo velocemente per rispondere alle esigenze del Sarbanes-Oxley Act, mentre i board dell'Asia pacifico e di EMEA 113 sono maggiormente focalizzati sui principi internazionali di contabilità (IAS - International Accounting Standards). Ma mentre l’impulso regolatore alla conformità differisce a secondo del paese o dell'industria interessata, la globalità delle aziende sono d’accordo che la compliance è una sfida significativa per l’IT e che continuerà ad assorbire le sue risorse per molti anni ancora. 2) L'obiettivo è di trasformare la compliance da costo puro a beneficio aggiunto. Le aziende sperano di ottenere una serie di benefici dalla compliance, attraverso un più accurato report finanziario, una migliore visibilità dei rischi e una migliore IT governance. Ma questi obiettivi saranno contrastati, a meno che i progetti di conformità non siano gestiti e controllati correttamente ed efficacemente. Questo è già un problema per molte aziende, nell'indagine il 40% dei quadri IT protestano che la mancanza di un budget è un ostacolo importante al buon esito della compliance. 3) l’IT governance deve svilupparsi per minimizzare il costo ed il rischio della conformità. I progetti di compliance richiedono cambiamenti per il 113 212 EMEA, Europe, Middle East and Africa, Europa, Medio Oriente e Africa processo di business e nelle moderne organizzazioni ciò significa modificare i sistemi e le applicazioni IT. Per ridurre il costo ed il rischio dei progetti IT compliance, occorre che le aziende sviluppino una struttura di governo IT che faccia in modo che le nuove richieste regolatrici vengano soddisfatte dall’organizzazione senza notevoli sforzi, come quelli sostenuti nell’affrontare le regolamentazioni singolarmente. I nuovi scandali che hanno colpito la corporate governance, e con il business globale che opera sotto diverse giurisdizioni, la direzione verso maggiori controlli sembra che debba continuare. Il massiccio carico di lavoro necessario per adempiere alle richieste di norme diverse, unitamente all’aumento delle pene sempre più severe, comporta per molte aziende un peso che spesso non riescono a sostenere; ciò implica la necessità che gli esecutivi IT trovino un approccio più sostenibile per la conformità. Questa ricerca dimostra che i piani a lungo termine ed un governo IT forte, saranno la chiave per questo sforzo. Per ciò che riguarda l’impatto della compliance, un numero crescente di norme hanno trasformato la sfida della conformità in un problema maggiore per gli executives IT globali di oggi. Nell’indagine molte aziende sono state prese da problemi regolatori, e le grandi organizzazioni citano in particolare la regulatory compliance come una delle principali sfide per la gestione IT. Infine, per le aziende rispondenti con un giro d’affari superiore a 8 bilioni di dollari, la conformità si colloca come una delle più grandi sfide correnti che affronta IT per più dell’80% delle maggiori compagnie nella regione dell’Asia Pacifica, per il 45% delle maggiori compagnie EMEA, per il 74% di tutte le compagnie degli Stati Uniti. 213 Grafico 4.3 – Quali attività rappresentano la maggiore sfida per l’IT management nell’organizzazione L’importanza crescente della conformità come un problema per i managers IT, riflette il ruolo vitale che il dipartimento IT ha nei progetti di compliance. Il focus per gli esecutivi IT varia da industria a industria e da paese a paese; per esempio, il 68% delle società rispondenti negli Stati Uniti hanno detto che la SarbanesOxley Act avrebbe un maggiore impatto nelle proprie operazioni IT, mentre i principi IAS (standard internazionali di contabilità) e la conformità normativa specifica del paese ha maggiormente occupato la mente degli esecutivi IT nell’EMEA e APAC. Quello che la maggior parte di queste norme hanno in comune, comunque, è che hanno maggiori diramazioni per come i processi informativi delle organizzazioni richiedano personale e maggiori spese. Il Sarbanes-Oxley Act e lo IAS sfidano le organizzazioni per creare le strutture, controlli e bilanci per assicurare una maggiore trasparenza nei report finanziari. Importante, sebbene SOA, IAS e Basilea II siano presenti in particolari mercati, è la riservatezza dei dati che emerge come il problema più grande per i dipartimenti IT su una base globale. Il 70% delle società rispondenti degli Stati Uniti, il 55% di quelli dall’Asia Pacifica ed il 48% dalla regione EMEA hanno identificato la riservatezza dei dati come la loro preoccupazione chiave della regulatory compliance. 214 Grafico 4.4 – Le regolamentazioni che avranno un maggior impatto sulle operazioni IT nei prossimi tre anni Le pene imposte per la non-compliance della riservatezza sui dati va oltre le sanzioni previste dalla legge. Nel 2005, un grande servizio stampa insieme alla business information rivelò pubblicamente che alcuni ladri informatici erano entrati nei sistemi IT ed avevano accesso alle informazioni sulla sicurezza sociale e sulle patenti di guida degli Stati Uniti di più di 300.000 persone. Nonostante la potenziale sanzione regolatoria per non aver protetto queste informazioni personali, l’azienda sta combattendo per ridurre il danno al suo marchio ed alla reputazione. Questo esempio illustra l’ulteriore rischio che le moderne aziende affrontano in un mondo dove ogni scandalo o fallimento derivante da una mancata regulatory compliance è altamente visibile ai clienti ed al pubblico in generale. Di conseguenza, la conformità si è sviluppata oltre il semplice rispetto di un obbligo normativo per abbracciare una politica di maggiore controllo interno eseguita dall’IT. Per i dipartimenti IT, le nuove richieste di report stanno portando un cambiamento verso i sistemi che sono diventati più formali, più orientati verso il processo, più documentati di prima. Creando una struttura organizzativa per gestire le richieste complesse, i progetti di conformità a più facce stanno mostrando di essere una sfida maggiore per le aziende ed i loro dipartimenti. “quello di cui si ha bisogno è una struttura governativa che sia riutilizzabile e stabile attraverso i cambiamenti nella legge e cambiamenti nella strategia 215 dell’azienda”, dice il Dott. Peter Weill, direttore del centro per Information System Research all’istituto di tecnologia del Massachussetts (MIT). “Senza tener conto se si parla di conformità o altri processi di business, lo scopo è che la struttura governativa non deve essere rifatta ogni volta che c’è un cambiamento o un colpo esterno”. Se l’IT può gestire effettivamente la conformità, l’indagine suggerisce che le aziende dovrebbero essere anche in grado di trasformare il peso di norme in maggiori benefici per gli affari. Secondo l’indagine, tre casi (report finanziari, governo IT e miglioramenti del processo di affari), si distinguono come benefici significativi della conformità. Di tutti e tre, quello finanziario è stato considerato il beneficio dominante., con il 54% delle società USA, il 60% di EMEA ed il 66% di APAC, credendo che report finanziari più accurati emergerebbero da iniziative di conformità delle aziende. Secondo Bob Suh, partner di gestione per la strategia tecnologica ad Accenture, un problema del governo IT nel contesto della conformità è un report finanziario tangibile e trasparente. “Siete un’azienda che si interessa a come fare soldi?” Ha chiesto Suh. “Sembra banale, ma occorre che le compagnie riconoscano che le loro abilità nel lasciare informazioni per adempiere ad una richiesta di conformità dipenda da come le aziende gestiscono i processi di business prima di tutto”. Grafico 4.5 – Quali saranno le iniziative di compliance che riguarderanno le diverse aree di business 216 Un miglior controllo sull’IT, miglioramenti di processo e maggiore visibilità del rischio delle imprese sono stati gli altri benefici principali derivanti dalla compliance. Senza badare alle differenze di regione, l’indagine fa credere fortemente che ci si aspetta di vedere dei benefici tangibili della compliance e dalle iniziative del governo IT, oltre ad affrontare le responsabilità sancite dalla legge. Usando i processi e gli strumenti appropriati, un’azienda può reagire rapidamente ogni volta e ovunque venga varato un nuovo insieme di norme. Già di per sé, questo approccio può fornire un vantaggio competitivo, poiché consente di focalizzarsi sull’attività aziendale, mentre i concorrenti cercano ancora di adeguarsi alle ultime regole. In più, il monitoraggio delle informazioni per scopi normativi migliora anche le conoscenze dell’azienda sui clienti, sui partner commerciali e sull’ambiente competitivo. Quindi per realizzare un programma di conformità sostenibile, le società devono creare un'infrastruttura di conformità su tre livelli, che consenta l'adozione di azioni affidabili e ripetibili; 1) Unificare le risorse umane: a. Creare ex novo o ridisegnare ruoli e incarichi per la definizione e l'assegnazione delle responsabilità in materia di conformità e divulgazione delle informazioni; b. Stabilire iniziative formative, inclusi nuovi programmi e standard; c. Favorire un sistema di comunicazione variato e aperto in seno all'intera organizzazione 2) Migliorare i processi: a. Definire processi per la valutazione, la verifica, l'ottimizzazione, il monitoraggio e la certificazione dei controlli interni su base trimestrale e annua; b. Integrare le attività di identificazione dei rischi, di valutazione dei controlli e di monitoraggio nell'ambito della gestione quotidiana dei controlli interni;Migliorare la c. comprensione dei processi aziendali; d. Stabilire processi guida per la gestione della conformità. 217 3) Ottimizzare la tecnologia: a. Valutare e implementare fattori tecnologici a supporto della gestione dei controlli interni; b. Progettare e implementare tecnologie migliorative dei processi di controllo e di monitoraggio; c. Implementare un cruscotto aziendale che fornisca un quadro delle informazioni di controllo e di monitoraggio finanziario e dei processi interni, dei parametri di qualità e dello stato di conformità normativa; d. Sviluppare capacità di monitoraggio, reporting e analisi in tempo reale; e. Sfruttamento delle tecnologie esistenti e/o implementazione di nuove tecnologie. Per quanto riguarda i vantaggi della conformità normativa in termini di gestione, un approccio proattivo, coerente ed esaustivo alla conformità può aiutare ad acquisire maggiori efficienze e a ridurre i costi, attraverso un triplice miglioramento delle prestazioni aziendali: 1) Riducendo i rischi: a. Riduzione degli eventi critici nell'ambito delle pubbliche relazioni; b. Riduzione delle violazioni minori alla sicurezza, con conseguente risparmio di risorse; c. Visione più chiara della situazione aziendale per una reattività più appropriata; d. Maggiore agilità; 2) Favorendo l'efficienza: a. Migliore comprensione e ottimizzazione dei processi di controllo interno esistenti; b. Riduzione del carico sulle risorse di help desk (fino al 50% delle richieste di assistenza riguarda la reimpostazione delle password); c. Maggiore produttività del personale, che accede più rapidamente alle applicazioni interne grazie al provisioning automatico degli account; 218 d. Riduzione dei costi operativi (la gestione centralizzata di tutte le identità e degli accessi degli utenti riduce i costi amministrativi); 3) Aumentando l'efficacia: a. Migliore comprensione e ottimizzazione dei processi di controllo interno esistenti; b. Migliore accesso a informazioni aggiornate con conseguente ottimizzazione delle attività di definizione del budget, di pianificazione e di analisi; c. Maggiore competitività; d. Processo decisionale più efficiente; e. Maggiore agilità nel cogliere le nuove opportunità; f. Automazione dei controlli per una maggiore trasparenza. 219 CONCLUSIONI La funzione Compliance coinvolge un ambito ampio e diversificato nella gestione e nelle attività di una azienda; ad essa si attribuisce una missione particolarmente onerosa, ossia quella di assicurare l’individuazione e la valutazione dei rischi che comportano sanzioni legali, perdite finanziare e di reputazione per il mancato rispetto di leggi, regolamenti, procedure, codici interni e best practices e quella di curare gli aspetti etici e comportamentali che l’azienda deve sostenere. É generale l’idea che i costi di adeguamento rappresentino fondo perduto; per questo l’approccio alla cosiddetta “regulatory compliance” deve essere programmatico, agendo sul supporto organizzativo, sul controllo di processo e sulla metodologia e sul controllo dei contenuti, in modo che gli sforzi profusi vengano spalmati sull’intera struttura aziendale e siano la base su cui edificare un nuovo vantaggio competitivo, oltre che, nel tempo, una fonte di ridimensionamento dei costi. Secondo Gartner (fonte French Caldwell, Simplifying Compliance: key technologies and best practices, Symposium 2005, Barcellona) le società che hanno scelto singole soluzioni per ogni sfida proposta dall’ingresso di nuove norme, spenderanno dieci volte di più nei progetti di compliance rispetto a quelle che hanno preferito un approccio olistico, proattivo e programmatico. Il contenimento dei costi è anche il frutto dell’automazione dei processi, in particolare quelli interni di controllo e monitoraggio che individuano le non conformità e quelli di auditing. Come emerge dalla Survey di CRA International, Spring 2006, i tre driver principali per la riduzione dei costi sono individuabili nella riduzione dei costi di esecuzione riscontrati nel secondo anno di implementazione della Sec. 404, dovuta all’esperienza accumulata nella realizzazione e valutazione dei controlli interni. Il secondo driver riguarda il fatto che la documentazione iniziale sostenuta nel primo anno di implementazione non deve poi essere ripetuta nell’anno due. Il terzo e ultimo driver citato deriva da una riduzione nell’uso di auditor esterni da parte delle Companies nell’anno due. I costi di adeguamento normativo caricati sulle aziende sono comunque fonte di preoccupazione per gli imprenditori e per il management. Ma a fronte degli ingenti costi sostenuti nei primi anni di attuazione della SOA, si stanno ora 220 verificando i benefici, come rilevato dall’indagine della CRA Spring 2006. Oltre all’accresciuta fiducia degli azionisti nei resoconti finanziari, ad una maggior trasparenza delle società e dei dati finanziari resi più attendibili dai sistemi di controllo interno, altri benefici sono riscontrabili nella scoperta ed il conseguente uso di molte caratteristiche, “features,” già presenti, ma non sfruttate nei Sistemi Informativi, nelll’eliminazione dei processi e dei controlli duplicati, nell’ottimizzazione dei cicli contabili, nell’elevazione della cultura aziendale in termini di “Governance” ed “Internal Control” ed infine un miglioramento dell’attenzione alla compliance da parte dei Board. Alcune disponibili valutazioni dell’impatto del Sarbanes-Oxley Act del 2002 sui costi aziendali registrano stime comprendenti i costi dell’audit interno ed esterno e delle attività di controllo e di monitoraggio necessarie per l’adeguamento alla sezione 404 della SOA; questa è risultata, da più indagini, essere una delle cause dei crescenti costi che le imprese sostengono per implementare la funzione. Il CFO MAGAZINE in un articolo, “Sticker Shock: The True Cost of SarbaneOxley Compliance”, riporta i risultati di un’indagine in cui molti managers sostengono che i costi di compliance sono eccessivi. Come è vero che una parte della legislazione così complessa come il SarbanesOxley Act ha portato inevitabilmente delle conseguenze inattese, è anche vero che non tutti i risultati conseguiti sono contrari all’intento dell’Act. Ci sono valide preoccupazioni sui costi riguardanti la sezione 404, e probabilmente è vero che non è stata data abbastanza considerazione a tali costi, quando è stata approvata la legislazione; in parte perché non è stata compresa in anticipo l’importante natura di quelle disposizioni. Per tali motivi la Securities and Exchange Commission (SEC, la Consob statunitense) proporrà entro dicembre 2006 una proposta più flessibile della sezione 404 della Sarbanes-Oxley Act. Secondo quanto scrive il Wall Street Journal, il lungo dibattito per rivedere le rigidità della legge anti-scandalo, finita nel mirino perché scoraggia tra l'altro le nuove quotazioni a Wall Street (a favore di Londra e Hong Kong), starebbe quindi per produrre i primi effetti visto che la SEC lavorerà con la Public Company Accounting Oversight Board (l'agenzia che ha la supervisione delle società di revisione) per definire alcune modifiche agli standard (i cosiddetti AS2) seguiti per valutare l'adeguatezza dei conti aziendali. 221 Proprio questi schemi particolarmente rigidi si sono tradotti in una crescita piuttosto sostenuta degli oneri a carico delle aziende. Il numero uno della SEC, Christopher Cox, ha messo in moto il meccanismo di revisione, scrivendo alla commissione di supervisione con l'auspicio che siano adottate regole contabili capaci di rispettare di più le dimensioni dei gruppi. La via per l’interpretazione di questa sezione sta crescendo e prendendo una propria vita, generando un’intera nuova industria di controlli sui resoconti finanziari. Oggi le imprese sono molto più complesse e tecnologicamente dipendenti rispetto al passato. Questo suggerisce che i modi con cui devono essere controllate necessitano di essere riorganizzati. Per tale motivo gli attori del mercato ed i players internazionali stanno espandendo le loro attività di compliance per migliorare l’implementazione dei processi delle loro imprese Gran parte dei senior management non vede più la funzione compliance come necessaria solamente per rispondere alle esigenze regolatrici. Le imprese internazionali sono andate oltre i requisiti minimi regolatori al fine di sviluppare strutture di compliance che migliorino il modo di operare all’interno del mercato, riconoscendo che questa funzione possa creare valore aggiunto all’organizzazione. Creare valore per l’azienda significa che la funzione compliance è vista come una funzione che non costituisce unicamente un Centro di Costo, ma che riesce invece a creare un vero valore aggiunto, sia tramite il delivery che la funzione è in grado di erogare direttamente, sia attraverso le competenze indotte, capaci di creare un ambiente protetto nei confronti dei rischi che gravano sull’intera Azienda. Si viene così a creare uno “shift” culturale necessario per affrontare in modo consapevole i rischi operativi, riuscendo ad acquistare il riconoscimento da parte degli stakeholder ed essere percepito come una funzione capace di garantire modalità sicure per fare business. Il senior management capisce che la responsabilità della conformità non può essere delegata alla funzione di compliance. Riconosce non soltanto che l’amministrazione del rischio di reputazione è cruciale per il successo degli affari in un mercato che muta continuamente secondo le esigenze dell’odierno consumatore, ma anche l’importanza della compliance finalizzata ad un posizionamento strategico. 222 La regulatory compliance sta muovendosi fino all’ordine del giorno del board e deve rimanere a quel livello. Molti players internazionali, si sono resi conto della molteplicità di contingenze che devono essere fronteggiate, e stanno investendo nella compliance al fine di mantenere la sopravvivenza dell’organizzazione, in quanto solo un efficiente ed efficace utilizzo di una funzione compliance sostenibile comporta per l’azienda un vantaggio competitivo. Questo risonoscimento porterà ad un’armonizzazione degli standard regolatori e guiderà le imprese verso il raggiungimento della “best practice”. 223 APPENDICE n 1: Lista delle sezioni del SARBANES OXLEY ACT OF 2002 224 225 APPENDICE n 2: Contenuto della sezione 404 del Sarbanes-Oxley Act 226 BILIOGRAFIA 1. LA FUNZIONE COMPLIANCE Funzione compliance: attività e indicatori di performance, Mauro Chicchinè Presidente Dexia Crediop Progetto Q-RES: La qualità della responsabilità etico-sociale d’impresa, linee guida per il management, ottobre 2001, CELE – Centre for Ethics, Law & Economics. Discussion Paper, INECE-OECD Workshop on Environmental Compliance and Enforcement Indicators: Measuring What Matters, Prepared by: INECE Expert Working Group on Environmental Compliance and Enforcement Indicators 22 OCTOBER 2003 Banca d’Italia, Vigilanza Creditizia e Finanziaria, NORMATIVA DI VIGILANZA IN MATERIA DI “CONFORMITA’ ALLE NORME (COMPLIANCE)”, Documento per la consultazione, Agosto 2006 PWC, Protecting the brand: The evolving role of the compliance function and the challenges for the next decade, 2005 Da Enron in poi: il pericolo di un epidemia, Luigi Guiso, LaVoce 2002 Moving from ‘Project to Process’ to Add Value to SOA Compliance While Improving Sustainability, By James W. DeLoach, Protiviti Managing Director, 2005 PWC, Regulatory Compliance: Adding value, A review of future trends, 2005 227 La responsabilità sociale di imprese: attori, modelli. Cos’è cambiato e cosa sta cambiando, A. Gandolfi, R. Klaus, C. Carletti, J. Gaffuri, CSR 2003 Come può essere definita la responsabilità sociale delle imprese, Roberto Ravaglia, Coordinatore Comparto "Gestione aziendale" dell'UNI The European Academy of “Business and Society”,SOLIDAS febbraio 2003 La sfida compliance: gestire la conformità bancaria come vantaggio competitivo, Finanza & Mercati The Environmental Law and Compliance Handbook, Berry, Dennison 2000 Autodeterminazione. Un argomento a favore della «responsabilità ultima», Cimmino Luigi 2003 Compliance is essential to running a successful business Gartner Research, De Lotto Richard J. 2004 Compliance: regulation and enforcement, Hutter Bridget 1997 Regulation and Compliance in Operations, Loader David Norman 2003 Basic Guide to Environmental Compliance, Vincoli Jeffrey W. 1993 Moving from “project to process” to Add Value to SOA Compliance While Improving Sustainability, by James W. DeLoach, Protivti Managing Director Mizruchi, M.S., (1999), The Social Construction of Organizational Knowledge: A Study of the Uses of Coercive, Mimetic, and Normative Isomorphism, in “Administrative Science Quarterly”, dicembre 1999 228 H. Petersen, H. Zahle (eds.), 1995, “Legal Policentricity: Consequences of Pluralism in Law, Darthmouth”, Aldershot. C. Taralli, “Vicende del pluralismo giuridico tra teoria del diritto, antropologia e sociologia” Bank for International Settlements. Basel Committee on Banking Supervision, “Compliance and the compliance function in banks”, April 2005 G. Farneti e S. Pozzoli (a cura di), Bilancio sociale di mandato. Il ciclo integrato di strategia e controllo sociale, IPSOA, Milano, 2005. COMMISSIONE EUROPEA, Green Paper. Promoting a European Framework for Corporate Social Responsibility, Bruxelles, Commissione Europea, 2001, p.7. T. Donaldson e L. Preston, “The Stakeholder Theory of the Corporation: Evidence and Implications”, Academy of Management Review, 1995. M. Molteni (a cura di), Primo rapporto sulla Responsabilità Sociale d’Impresa in Italia, 2002. A. Vaccari, Principi in pratica. Bilancio sociale e cittadinanza europea, Liocorno Editore, Roma, 1998. 2. LA FUNZIONE COMPLIANCE IN BANCA Compliance and the compliance function in banks; Basel Committee on Banking Supervision, 2005 229 Affrontare le sfide dell’adeguatezza patrimoniale nell’ambito di Basilea II, Autori Vari SAP 2005 M. Evans, C. Ilako, C. di Florio, in American Banking Association, ABA Banking Journal, March/April, 2003 Associazione Italiana Compliance – AICOM, Linee guida per la funzione compliance, 2006 Position Paper D.L.vo 231/2001, Responsabilità amministrativa delle società: modelli organizzativi di prevenzione e controllo, Associazione Italiana Internal Auditors, ottobre 2001 La responsabilità amministrativa dele società. Un’indagine sull’adozione del modello organizzativo previsto dal D.lgs. 231/01 nelle società quotate, AIIA La responsabilità amministrativa degli enti, d.lgs.231/2001, AA.VV, Milano, Ipsoa 2002 Gazzetta Ufficiale, D. Lgs. 8 giugno 2001, n. 231 "Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge, 29 settembre 2000, n. 300" Pubblicato nella Gazzetta Ufficiale n. 140 del 19 giugno 2001 CESR’s Technical Advice on Possible Implementino Measures of the Directive 2004/39/EC on Markets in FinancialInstruments ABI, Linee guida dell’Associazione Bancaria Italiana per l’adozione di modelli organizzativi sulla responsabilità (d.lgs. n. 231/2001), febbraio 2004. 230 amministrativa delle banche Comitato di Basilea per la vigilanza bancaria, Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali, Nuovo schema di regolamentazione, Bank for International Settlement, Giugno 2004 European regime of investor protection – the harmonization of conduct of business rules, e settembre 2000 A European regime of investor protection – the professional and the counterparty regimes, aprile 2000 Basel Committee on Banking Supervision, Sound Practices for the Management and Supervision of Operational Risk, Bank for International Settlement, February 2003 Sicurezza informativa: verso l’integrazione dei sistemi di gestione per la sicurezza, Raoul Savastano, Responsabile Servizi Sicurezza KPMG Irm, Convegno ABI – Banche e Sicurezza, Roma, 7 Giugno 2006 Does Compliance with Basel Core Principles Bring Any Measurable Benefits?, Richard Podpiera, International Monetari Found, 2004 Compliance Function nel settore finanziario: Stato dell’Arte, AIIA, 2006 Survey: l’attività di Compliance e le soluzioni organizzative adottate dale Banche Prime evidenze, 12 Aprile 2006 Alberto Porzio – KPMG Organizzazione delle funzioni di controllo interno presso le banche ed i commercianti di valori mobiliari con particolare riferimento alla funzione di compliance, Massimiliano Pizolli, ottobre 2006 La funzione compliance e il modello organizzativo, A.Colombo di HSBC Bank, convegno Milano, Iside Srl il 12 ottobre 2004. 231 I conflitti di interesse e la corporate governance nella valutazione del rating delle banche, Roberto Del Giudice, Paolo Capizzano, Liuc Papers n. 184, Serie Impresa e mercati finanziari 4, gennaio 2006 Commenti Abi alla bozza della guida operativa predisposta all’organismo italiano di contabilità (Oic) per la transizione ai principi contabili internazionali (Ias/Ifrs), ABI Position Paper del Sistema Bancario Italiano sul documento del Comitato di Basilea "The compliance function in banks", ABI, Gennaio 2004 Istruzioni di Vigilanza per gli Intermediari Finanziari iscritti nell’«Elenco Speciale» Circolare n. 216 del 5 agosto 1996 - 6° aggiornamento del 15 ottobre 2002, PARTE RISERVATA AGLI INTERMEDIARI, Banca d’Italia Basel Committee on Banking Supervision, Internal audit in banks and the supervisor’s relationship with auditors: A survey, Bank for International Settlements, August 2002 Basilea II: sono ancora numerose le sfide che le banche devono affrontare sul fronte dei preparativi – Autori Vari - Indagine condotta da: Accenture, Mercer - Oliver Wyman e SAP, 2004 MiFID: Direttiva 2004/39/CE relativa ai mercati degli strumenti finanziari, Protiviti, luglio 2006 Basilea I e II: impatti sulle piccole e medie imprese, Autori Vari Basilea II e le banche di medie dimensioni Capgemini, 2005 La compliance in banca; Pogliaghi e Vandali, Ed. Bancaria 2005 232 La compliance in banca, Gestire i rischi dopo Basilea 2 e assicurare la conformità alle norme, A.A.V.V., Bancaria Editrice, 2005 La responsabilità amministrativa delle società (indagine sull’adozione del modello organizzativo previsto dal D.lgs 231/01); Associazione Italiana Internal Auditors ABB COMPLIANCE PROGRAM, Modello organizzativo ABB Italia ; Gruppo ABB (leader nelle tecnologie per l'energia e l'automazione) Funzione compliance, responsabilità “amministrativa” delle società e modelli organizzativi (D.lgs. 231/2001); La Funzione di Compliance nelle banche italiane: evoluzione normativa e contributo alla creazione del valore; Claudio Clemente, Vigilanza sugli Enti Creditizi, Banca d’Italia, 2006 Business Continuity Management e Sicurezza Integrata: l'esperienza di Banca Intesa, Paolo Murgia, Servizio Continuità Operativa, Roma 22 Giugno 2006 3. COMPLIANCE E MANAGEMENT; GESTIONE DEL RISCHIO Cda, come usare bene i consiglieri indipendenti Andrea Boeri, Value Partners, febbraio 2004 La gestione del rischio aziendale, ERM - Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative, CoSO Committee of Sponsoring Organizations of the Treadway Commission, AIIA, PWC, ed. Il Sole24 ore, 2006 233 Adopting a Holistic Regulatory Compliance Approach: An Analysis of Total Cost of Ownership (TCO) And Return on Investment (ROI) Benefits By Jeff Jinnett, JD, CISSP, MCP, 2003 PWC, Compliance: A gap at the heart of risk management, June 2003 Controllo di gestione quale componente generale del SCI, I. Michieli, Global Management Group Position Paper, IL REPORTING SUL SISTEMA DI CONTROLLO INTERNO, Un aspetto qualificante dei più avanzati codici di autodisciplina espressi dal movimento internazionale di riforma della Corporate Governance, AIIA, 1999 Introduzione all’enterprise risk management, A. Cencioni, Protiviti, maggio 2006 Information System Governance e analisi dei rischi con ITIL e CoBIT, Marco Salvato, KPMG, studio AIEA, Roma, 6 aprile 2006 Barometro dei Rischi e del Risk Management italiano, Protiviti, 2005 Enterprise risk management, an opportunità, C. Bhon, B. Kemp, AON, february 2006 Corporate Governance e Sistema di Controllo Interno Normativa e regolamentazione internazionale e nazionale di riferimento Deloitte & Touche, 19 dicembre 2002 IT control objectives for sarbanes-oxley, the role of it in the design and implementation of internal control over financial reporting, 2nd editinon, IT Governance Institute®, 2006 234 Atos Consulting, “tackling compliance to reap long-term benefit”, Research report 2006 “The Sarbanes-Oxley Guide for Finance and Information Technology Professionals”, Sanjay Anand Rollins, Lanza: “Essential project investement governance an reporting”,2005 Basel Committee on Banking Supervision, Internal Convergence of Capital Measurement Standards: a revised framework, Basilea, giugno 2004. V. PASTIN, Relazione al Convegno "Corporate crime in America: strengthening the good citizen corporation", 7/8 settembre 1995 Committee of Sponsoring Organizations della Commissione Treadway (CO.S.O. Report), "Internal Control - Integrated framework", 1992 Conventional IT Management Approaches to Compliance Fall Short, June 15, 2005, Robert Ciampa, Vice President of Marketing and Business Strategy, Trusted Network Technologies Sarbanes–Oxley and it governance: new guidance on it control and compliance, Marios Damianides, Information System Management, 2005 IT Governance and Sarbanes-Oxley: The latest sales pitch or real challenges for the IT Function?, Michelle L. Kaarst-Brown and Shirley Kelly (Graduate) School of Information Studies, Syracuse University, NY USA “Corporate Enterprise Risk Management & Business Continuity”, Anthony Cecil Wright, ANSsAIF, Giugno 2006 235 Worldwide Outbound Content Compliance 2005-2009, Forecast and Analysis : IT Security Turns Inside Out, Brian E. Burke, IDC, january 2006 IT control objectives for Sarbanes-Oxley, the importance of it in the design, implementation and sustainability of internal control over disclosure and financial reporting, IT Governance Institute®, 2004 optimize compliance: business technology optimization for SarbanesOxley, Mercury, 2005 4. SARBANES-OXLEY COMPLIANCE E ANALISI DEI COSTI/BENEFICI PWC, Management barometer, 2005 Determinants of weaknesses in internal control over financial reporting, School of Business New York University, 2005 SARBANES-OXLEY SECTION 404: A Guide for Management by Internal Controls Practitioners, IIA, 2006 Following the Money, The Enron Failure and the State of Corporate Disclosure,George Benston, Michael Bromwich, Robert E. Litan, and Alfred Wagenhofer, Joint Centre for regulatorty studies, AEI Brooking, 2003 The State of U.S. Corporate Governance 2004, S.n. Kaplan and B. Holmstrom, & University of Chicago AEI-Brookings Jan 2004 The Sarbanes-Oxley Act of 2002, Understanding the Independent Auditor’s Role in Building Public Trust: A White Paper, PWC, 2003 236 Rouge Corporations, Corporate Rouges & Ethics Compliance: The Sarbanes- Oxley Act,2002 Public Administration & Management: An Interactive Journal, 2003 Manager’s guide to the Sarbanes Oxley Act, Wiley,Green Scott, 2004 U. S. Multinational looking beyond initial Sarbanes 404 compliance to Business improvement.Nancy Beacham, PricewaterhouseCoopers, November 2005 Tackling compliance to reap long-term benefit, Research report, 2006 The Costs of Being Public After Sarbanes-Oxley: The Irony of Going Private, William J. Carney, Emory University, School of Law, 2005 Compliance costs, spending increasing,T.McCollum, Publication: Internal Auditor, Feb 2005 Rogue Corporations, Corporate Rogues & Ethics Compliance: The Sarbanes-Oxley Act, 2002 Breena E. Coates School of Public Administration, San Diego State University, 2003 Walking the financial tightrope: Balancing compliance and control with the need to prepare for growth, A PeopleSoft financial management white paper, March 2004 Section 302 of the Sarbanes-Oxley Act of 2002: Disclosure Controls and Procedures and the Related CEO and CFO Certification – Analysis and Recommendations, Client ALERT, Oct 2002 The true value of regulatory compliance. Publication: Environs, Dec 2003 Sarbanes-Oxley Section 404 Work Looking at the Benefits by Larry E. Rittenberg, Ph.D., CIA, CPA, Ernst & Young Professor of Accounting, 237 University of Wisconsin and Patricia K. Miller, CIA, CPA, CISA, Partner, Deloitte & Touche LLP, Vice-Chairman, Professional Practices, IIA, January 2005 2006 Survey IT Audit in Banking in Europe, Deloitte, 2006 A 4-Step Blueprint for Achieving Sustainable Compliance, SAP insider, May 2005 Optimize compliance: business technology optimization for SarbanesOxley, Survey , Mercury, 2005 Sustainable compliance industry regulation and the role of IT governance a survey and white paper produced in cooperation with the economist intelligence unit, Mercuri, march 2005 Complying with Section 404 of the Sarbanes-Oxley Act 2002: First Steps Toward a Sustainable Process, Mary Grace Davenport and Paul L. Horgan, PwC's "Americas Insurance Digest", April 2006 Sarbanes-Oxley Section 404 Costs and Implementation Issues: Spring 2006 Survey Update, Prepared By:CRA International, April 17, 2006 SOX Costs: Auditor Attestation under Section 404, Susan W. Eldridge,f Accounting University of Nebraska at Omaha, Burch T. Kealey, June 2005 The cost of being public in the era of Sarbanes-Oxley, Presented by: Thomas E. Hartman, Foley & Lardner LLP, June 15, 2006 Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey UpdateMay 2005 238 Vivian Tero, Compliance in Information Management Forum West Survey: “End-User Attitudes and Investment Priorities”, July 2006, IDC International Data Group. “Trends 2006: DBMS Security”, Forrester Research, Inc., 2005 “Worldwide Outbound Content Compliance 2005 – 2009 Forecast and Analysis: IT Security Turns Inside Out”, IDC, 2005 “Eight Steps Needed to Define Reasonable Security”, Gartner, Inc., 2005 French Caldwell, Simplifying Compliance: key technologies and best practices, Symposium 2005, Barcellona. Sarbanes- Oxley compliance costs average $ 16 million per company, Melissa Buden, RHR International, November 2004 The rising cost of compliance, Jon Surmacz, CIO Magazine-trendlines, 2004 Complying with Sarbanes-Oxley Section 302 & 404, A white paper, Proposing practical, cost effective compliance strategies,Tim J. Leech, April 2003 239 WEBSITES www.aicpa.org www.aima.org www.basilea2.com www.barometersurveys.com www.bis.org www.business.org.nz/surveys www.cbritaly.it www.cftc.gov www.cioinsight.com www.cmswire.com www.compliance.gov www.compliancemag.com www.complianceonline.com www.complianceweek.com www.confindustria.it corporate.complianceonline.com www.theecoa.org www.fese.be www.foley.com/coststudy2004 www.globalcompliance.com www.kpmg.lu www.reatisocietari.it www.sec.gov www.s-ox.com 240 www.soxtelevision.com www.theiia.org www.uni.com www.isaca.org www.aiiaweb.it www.aei.brookings.org 241