1° Lezione 05/03: Presentazione del corso
Mera presentazione del corso.
2° Lezione 12/03/2021: Capitolo 1 del libro
Il presidente dell’associazione compliance AICOM (dott. Claudio Cola) ci fa l’onore di fare una piccola intro sulla compliance. La compliance nasce nel mondo industriale e poi si trasla anche nel mondo finanziario, soprattutto a causa delle crisi degli intermediari finanziari. Il mondo della funzione dell’audit ha sempre avuto il mondo industriale come apripista e poi si è affermato anche nel mondo finanziario. La compliance è nata nel 2005 in Europa. Partiamo con la lezione vera e propria.
Sistema di control governance
Capire l’evoluzione del framework regolamentare è funzionale a comprendere l’origine del sistema di control governance:
- Governance: Struttura decisionale e strategica di qualsiasi azienda e non solo per le banche, essa è caratterizzata dal CDA nelle tre forme classiche e vedremo il suo ruolo in relazione alle problematiche legate alla compliance. Perché dobbiamo capire perché questa enorme produzione normativa si traduca effettivamente in azione e recepimento, e quindi chi si assume la responsabilità di decodificare le norme. Il primo che deve sapere ciò è il CDA che viene sollecitato continuamente.
- Control: Se il CDA è l’organo di gestione strategica, poi abbiamo gli organi di controllo che controlleranno l’operato del CDA ma anche di altre funzioni come il collegio sindacale che è il primo organo di controllo che approfondiremo con lezioni ad hoc. Esso ha una serie di obblighi di controllo anche nei confronti del CDA, ma oltre ad esso dopo aver analizzato per bene abbiamo anche l’internal audit, altro organo di controllo sempre nel perimetro dei controlli interni, il quale affiancato dal CDA dovrà avere requisiti d’indipendenza e altri requisiti (audit = controllo di terzo livello). Poi abbiamo tutto il controllo di secondo livello con la funzione di risk management. La funzione di risk compliance è un altro controllo di secondo livello che si aggiunge a quella di risk management.
Differenza tra redditività, profitto e valore
Il concetto di valore è legato non soltanto alla necessità di massimizzare la redditività, ma quest’ultima deve essere massimizzata al netto dei rischi, quindi si traduce nel realizzare nel medio-lungo termine degli obiettivi, costruendo una banca prendendo decisioni che non immediatamente portano alla redditività, trovando quindi strategie, modelli gestionali ed attività di business che creino valore nel medio lungo periodo e non ritorni economici massimizzati nel breve termine. Vuol dire costruire una governance tale da consentire all’intermediario che magari entra in difficoltà (come con la pandemia in cui i rischi si aggiungono e si inaspriscono e poi si aggiungono nuovi rischi come gli ESG) a sopravvivere senza problemi.
3° Lezione 15/03/2021: Capitolo 2 del libro
La funzione di compliance si inserisce nei sistemi di CG legata al SCI. Partiamo dallo schema finale del capitolo 1: abbiamo visto qual è il nostro perimetro di studio in merito alle fonti giuridiche che caratterizzano la nostra materia. Lo schema finale ci dice: "Questo è il nostro perimetro e contesto di riferimento caratterizzato in modo particolare dagli aspetti di natura normativa (scenario normativo da Basilea 1 fino a Basilea 3.5 muovendoci verso Basilea 4 che hanno ridefinito completamente le logiche di operatività delle banche) in aggiunta al tema della CG nelle banche. Dall’altro lato ci troviamo in un contesto in cui le attività svolte dalle banche sono sempre di più e, di conseguenza, espongono le banche ad una sempre maggiore rischiosità, dove il mercato è in continua evoluzione con una serie di nuovi interlocutori e dove il focus con cui noi dobbiamo orientarci per capire come si allinea il SCI è sul fatto che le banche devono trovare una capacità reattiva a tutto ciò cercando quindi di evidenziarne: la resilienza, la creazione di valore, aumentano la stabilità perché tutti i presidi della normativa di Basilea poggiano sempre su questi nuovi requisiti patrimoniali ed un approccio risk based su tutto; e quindi è importante capire dove come e quando si inserisce questa funzione di compliance all’interno di questo modello di CG legato al SCI.
Definizione di CG
Una prima definizione di CG che abbiamo dato: insieme delle regole a diversi livelli, cioè regole in termini di leggi, regolamenti che provengono dall’esterno e regole interne (self-regulation) che disciplinano tutta la gestione dell’impresa (oggi in particolare parliamo in generale dell’impresa industriale o della pubblica amministrazione, anche se da venerdì parleremo unicamente della banca) e dove naturalmente cercheremo di capire le sfumature e differenze degli obblighi che nascono nelle imprese rispetto alla banca. Perché la cosa fondamentale da capire (necessità di avere, necessità della cultura aziendale) è stato già concettualmente anticipato nel mondo imprenditoriale (come diceva Cola), poi il fatto di inserirlo nel sistema bancario con delle normative imposte dalla Banca d’Italia cioè la nostra vigilanza nazionale quasi per anticipare quello che veniva fuori da Basilea 2 poi 3 e a breve 4, invece nelle imprese è avvenuto prima in una logica di evoluzione non indotta dagli obblighi normativi. Creazione valore: non massimizzare la redditività nel breve termine ma guardare al medio-lungo termine.
Secondo pacchetto di slide: Capitolo 2
In modo particolare, prima di introdurre il COSO Report e l’ERM, spieghiamo la grande necessità dell’impresa industriale (e quindi non in particolare della banca) e dell’impresa pubblica, di definire la differenza tra un controllo di natura contabile da quello che è un controllo di natura gestionale, proprio perché inizialmente quando si parlava di controllo si faceva riferimento esclusivamente ad un controllo di natura contabile ed alla figura pressoché indispensabile ed unica del collegio sindacale. Quindi, tutto quello che vediamo oggi (COSO Report + ERM) ci consente di entrare nel contesto di evoluzione del tema del controllo dove va molto al di là rispetto a quello che è un controllo esclusivamente, ma si muove nella direzione di un controllo interno che solo con il COSO Report e l’ERM ha portato ad una vera e propria formalizzazione del concetto di sistema dei controlli interni perché fondamentalmente già il passaggio a quello che era un controllo gestionale, vedeva l’introduzione di un controllo in termini di pianificazione, di indicatori gestionali e non indicatori legati al bilancio che si leggono alla fine dell’anno, vuol dire che lo leggiamo in un’ottica di andamenti con altri parametri oltre ai meri aspetti legati a costi-ricavi e attivo-passivo.
Controllo e crisi d'impresa
Quindi, quest’aspetto culturale in un’impresa nasce poi con le numerose crisi che si sono osservate (a partire da quella della Enron e poi altre crisi d’impresa importanti) hanno definito la necessità di ridefinire completamente l’assetto dei controlli. Questo è quello che è successo anche all’interno delle banche, cioè tutte quelle crisi come quella del 1936 e poi quelle più recenti come la Lehman Brothers hanno ridefinito tutto l’assetto del SCI. Tutto questo discorso ci consente di arrivare ad un primo documento che definiva che ci diceva come si doveva interpretare un controllo all’interno di una azienda, e quindi si va verso questo report commissionato dalla Treadway Commission (una commissione) ad una società di consulenza (Cooper and Lybrand) che fondamentalmente chiedeva di sviluppare questo modello di gestione specifico per fare in modo che il management venisse supportato nelle decisioni strategiche e dove il processo di controllo, anziché vederlo esclusivamente come un’analisi ex post (verifica di ciò che si poteva creare una volta che i problemi erano emersi) veniva visto in un’ottica gestionale continua, in cui gli elementi e le problematiche potessero essere studiate in modo da consentire di dare un supporto ex ante alle strategie aziendali, e quindi in cui la CG (ricordiamo che nella CG abbiamo definito due momenti della CG legati al management aziendale: uno che prende le decisioni strategiche e poi le trasforma attraverso l’alta direzione in attività operative che è il CDA; quindi quando parliamo di management delle decisioni strategiche parliamo da un lato del CDA e parliamo dell’alta direzione nel momento in cui queste strategie prendono piede con delle azioni operative, quindi l’alta direzione traduce in azioni concrete. Dall’altro lato abbiamo il secondo momento in cui vi è il processo di controllo che agisce in un contesto unitario con il management, il quale non interviene soltanto in un momento successivo ma interviene in concomitanza al momento in cui si prendono le decisioni).
Percorso costruito nel tempo
Percorso costruito nel tempo: cioè non è un percorso compiuto ma nasce e si sviluppa nel tempo. Si stabilisce la versione del COSO Report che diventa un punto di fermo per prendere spunto valido per tutte le imprese e da tradurlo come azioni all’interno delle singole realtà operative: i viviene richiesto di definire ed implementare metodologie, criteri di valutazione e gli strumenti operativi. Il COSO Report viene sintetizzato in questa slide: comincia a prendere piede nel 1992, mentre quello che viene prima è stato un mero esercizio verso quello che il controllo di natura gestionale e non più meramente di natura bilancistica-contabile.
Modello di riferimento: COSO Report
Cosa ci dice questo modello? leggiamo i puntini:
- Modello di riferimento per tutte le imprese ed il settore pubblico: non si è trasformato in degli obblighi normativi, è stato ed è nato da un’esigenza di un modello guida per fare evolvere il controllo per prevenire le situazioni di crisi.
- Mentre nelle imprese industriali non è stato necessario tradurre tale modello in normative, invece nel mondo bancario arriviamo a quel documento (istruzione di vigilanza di banca d'Italia) per far sì che si convincessero le banche mediante un obbligo normativo il SCI.
- Fornire guidelines sulla gestione del rischio aziendale, sul SCI e sui sistemi anti-frode: dove all’interno dei controlli interni c’è l’aspetto gestionale, di programmazione strategica, di introduzione delle tematiche di risk assessment (già nel 1992 nel settore pubblico anche si parla della necessità di focalizzare l’attenzione sui rischi, ma senza imposizione normativa).
- Il COSO Report ha introdotto una definizione di SCI innovativa che ha avuto consensi su scala internazionale e da questo COSO Report c’è stata la piena adozione da parte dell’IMF (istituto monetario internazionale) e da parte di Basilea.
- Questi sono stati gli spunti che hanno portato all’innovazione nel mondo bancario!
- Il COSO Report sintetizza i risultati di un progetto statunitense sulla CG (della società di consulenza Cooper and Lybrand; per mettere a sistema questi nuovi approcci al controllo interno).
- Il modello è stato adottato anche dal comitato di Basilea per portarlo sul tavolo delle banche
- Il COSO Report è raffigurato come un cubo perché è funzionale ad esprimere il carattere di tridimensionalità e di integrazione fra tutti i livelli:
Struttura del COSO Report
- Nella parte alta: vediamo gli obiettivi scritti in modo trasversale, i quali sono obiettivi operativi legati a flussi finanziari e alla compliance.
- Nella parte di facciata-centrale: troviamo gli ambiti di attività.
- Nella parte destra laterale: troviamo le unità che sono le varie unità di business che vengono definite ed evidenziate nell’impresa perché per ogni tipologia di business e di attività dobbiamo creare una situazione di personalizzazione e focalizzazione, quindi è necessario riuscire a coniugare gli obiettivi e gli ambiti sul quale il COSO Report si sofferma ed intende dare le guidelines per affrontare le attività che devono essere svolte, ma il tutto declinato ed approfondito per le varie unità di business.
Quindi, dobbiamo riuscire a comprendere le attività dell’impresa che noi abbiamo.
Perché parliamo di control governance?
Perché è un processo che coinvolge dal CDA, l’alta direzione, gli operatori e arriva alle strutture aziendali: perché se un modello di governance non partisse dal CDA e non venisse declinato e dettagliato nell’operatività a tutti i livelli, ovviamente non riuscirebbe ad essere adattato ed adottato da tutte le dimensioni organizzative, sarebbe un qualcosa percepito da alcuni e non da altri, quindi non a livello sistemico. Quindi, la prima sfida è stata quella di introdurre un modello tridimensionale. Che colpisse tutti e che fosse un processo top down e bottom up, cioè che venisse dall’alto al basso e dal basso verso alto e dove questi flussi informativi fossero il valore aggiunto che determinano la cerniera del modello tridimensionale che permettesse che agli obiettivi che fossero stati prefissati ci fosse una risposta di un controllo che nel continuo va a vedere effettivamente cosa è stato realizzato e cosa no.
Obiettivi del COSO Report
- Efficacia ed efficienza di tutte le attività operative: dunque se nella strategia definisco le attività operative quest’ultime devono essere valutate in termini di efficacia ed efficienza; vuol dire valutare i relativi indicatori.
- Attenzione delle informazioni: vuol dire che i flussi informativi scambiati dove non c’è soltanto una esclusiva attenzione ai bilanci che era il vecchio modo di controllare un’azienda basandosi esclusivamente sui dati contabili ma che devono arrivare da tutta una serie d’informazioni legate allo scambio che c’è tra le varie funzioni e tra le varie funzioni e il CDA da un lato e l’alta direzione dall’altra.
- Compliance a leggi e regolamenti: bisogna creare una struttura che quando modifica le strategie e quindi cambia la sua operatività deve essere comunque sempre compliant alle normative. Ecco perché quando noi parliamo di funzione di compliance parliamo di una funzione chiave e strumentale a fronteggiare e gestire il rischio di compliance che, se per le banche è un obbligo normativo, invece per le industriali c’è un discorso diverso come le PMI per le quali Consob non prevede alcun obbligo, ma vedremo che c’è sempre di più per le società quotate ed una normativa ad hoc per la pubblica amministrazione. In generale diciamo che è una funzione trasversale che inquadriamo in un contesto più ampio che nasce prima dell’entrata nel mondo bancario. La normativa bancaria in merito è del 1998; ma il COSO Report è del 1992, per cui esso ha rappresentato un documento di spunto per il comitato di Basilea e le AV.
- Salvaguardia del patrimonio aziendale: perché nel mondo bancario tutto ruota intorno alla necessità che vi sia solvibilità e quindi la salvaguardia del patrimonio aziendale è cruciale e lo leggiamo sotto vari punti di vista: da una parte lo leggiamo come patrimonio contabile che ci aiuta a proteggerci da queste rischiosità, ma intendiamo anche il patrimonio umano-tecnologico-informativo che porta a quella che è la creazione del valore nella banca (e più in generale in un’impresa).
Componenti dell'organizzazione
- Control environment: Cioè l’ambiente in cui nasce il tessuto che deve recepire questo cubo tridimensionale, e quindi sono tutti gli elementi che compongono l’azienda.
- Risk assessment
- Control activities
- Information & communication
- Monitoring
1) Ambiente di controllo = Control environment
Cosa intendiamo? Determina la componente base del SCI perché crea il presupposto per avviare il cambiamento, cioè il presupposto per dire sono pronto e consapevole che devono rivisitare completamente la mia struttura aziendale. Ricordiamo sempre che nelle banche questo convincimento di evoluzione-necessità di cambiamento è stato volutamente introdotto da un obbligo normativo, per cui le banche hanno dovuto per forza adeguarsi a questo nuovo dettame, invece le imprese industriali hanno sviluppato autonomamente questa evoluzione e le prime sono state proprio le imprese anglosassoni dove la cultura imprenditoriale è più forte rispetto ad altri paesi.
Variabili di tipo individuale
- Variabili di tipo sociale: Le relazioni tra i vari attori aziendali; è necessario conoscere qual è il tessuto culturale, organizzativo, tecnico e come si compone la governance (tipo di modello perché ce ne sono tanti).
- Variabili di tipo tecnico: Processi di trasformazione e tipo di tecnologia utilizzata.
- Variabili di tipo istituzionale: Governance aziendale.
Dunque, trapela come sia necessario conoscere qual è il tessuto culturale, organizzativo, tecnico e come si compone la governance (tipo di modello perché ce ne sono tanti).
2) Risk Assessment: Valutazione del rischio
Guardare al rischio implica inevitabilmente guardare all’obiettivo della creazione del valore che a sua volta vuol dire capire che le strategie possono essere di diversa natura ma se non guardiamo alla rischiosità come un qualcosa che può decurtare la redditività e corrodere la patrimonializzazione; per cui guardare agli indici di performance nelle banche ci fa vedere come i nuovi indici che si utilizzano sono tutti indici corretti per il rischio perché i rischi abbattono la redditività e spesso e volentieri determinano livelli di patrimoni.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
Revisione Interna, Compliance e Risk Management
-
Appunti Contabilità e compliance
-
La tax compliance ed i suoi principali istituti
-
Controlli nelle Amministrazioni Pubbliche