Compliance, risk management, internal audit: le linee guida dell’Oam chiariscono il sistema dei controlli interni per le società del credito

Oam QuadratoControlli di secondo livello per le società di mediazione creditizia con meno di 20 dipendenti, controlli anche di terzo livello per quelle con più di 20. È quanto chiarisce l’Oam con le Linee guida pubblicate sul portale internet e riguardanti i requisiti organizzativi per l’iscrizione nell’elenco dei mediatori creditizi. Con tali Linee guida l’Organismo ha inteso apportare alcuni chiarimenti operativi e fugare possibili dubbi, soprattutto in tema di controlli interni.

Entro il primo ottobre 2014, come stabilito dal decreto del 22 gennaio 2014 n. 31 del ministero dell’Economia e delle Finanze, tutte le società di mediazione creditizia si sono dovute dotate di un sistema di controllo proporzionato alla propria complessità organizzativa, dimensionale e operativa. Lo spartiacque nel sistema dei controlli è rappresentato dal numero di dipendenti e collaboratori che hanno rapporti con il pubblico e che prevede modalità e organizzazione dei controlli differenziati a seconda che le società abbiano più o meno di 20 dipendenti (come ribadito anche dalla circolare Oam 17/14).

Controlli di secondo e terzo livello

Le Linee guida Oam stabiliscono che tutte le società di mediazione, a prescindere dalle loro dimensioni, devono attuare forme di controllo di secondo livello. Tali controlli sono identificati in particolare nella conformità alle norme “compliance” e nel controllo dei rischi “risk management”. Le linee guida specificano che non è tuttavia necessario la creazione di una vera e propria funzione aziendale. Le società devono predisporre un “sistema di controllo interno” (SCI) inteso come insieme di procedure, regole, protocolli dei quali occorre dare apposita evidenza nella relazione sui requisiti organizzativi prevista dallo stesso decreto 31/14. Tali controlli devono necessariamente sommarsi a quelli di primo livello e ai tre livelli di controllo per l’antiriciclaggio.

Qualora nella società sia prevista l’istituzione di un organo di controllo esso si avvarrà di tale sistema di procedure, protocolli e regole per assicurare il buon funzionamento dei controlli. Qualora invece l’organo di controllo non fosse previsto (ricordiamo che il decreto competitività 91/14 ha annullato l’obbligo per le Srl di avere il controllo sindacale se quest’obbligo scaturiva dal limite del capitale sociale occorrente per la sua costituzione), il funzionamento e la responsabilità dei controlli potrà essere attribuita a un membro del Consiglio di amministrazione, purché destinatario di specifiche deleghe in materia di controlli e non sia destinatario di altre deleghe che possano comprometterne l’autonomia (salvo il caso di organo con funzioni di gestione monocratico).

Più articolato si presenta invece il sistema dei controlli interni per le società che abbiano un numero pari o maggiore di 20 dipendenti e collaboratori. Esse sono infatti obbligate a istituire la funzione di controllo interno “internal audit”, cui è affidata la valutazione periodica del sistema di controllo interno e la verifica della correttezza e regolarità dell’operatività aziendale. Questa funzione di revisione interna deve essere un’entità con caratteristiche autonome e peculiari e, in particolare, il responsabile di essa deve: possedere requisiti di professionalità adeguati; deve essere collocato alle dirette dipendenze del CdA; deve essere nominato e revocato dal CdA sentito l’organo con funzioni di controllo (qualora esistente); deve riferire direttamente all’organo di gestione e all’organo di controllo (se esistente); non deve svolgere mansioni operative.

La responsabilità dei controlli di terzo livello può essere affidata a un membro del CdA purché non esecutivo e purché non sia responsabile dei controlli di secondo livello. In caso di gestione societaria monocratica invece l’internal audit non potrà essere sotto la responsabilità dell’amministratore unico, il quale potrà tutt’al più essere il referente interno, almeno nelle società di piccole dimensioni.

Le società di mediazione di qualunque dimensione possono esternalizzare sia il secondo che il terzo livello dei controlli. Lo svolgimento di tali funzioni deve essere però attribuito a soggetti dotati di idonei requisiti di professionalità, autorevolezza e indipendenza. Inoltre, per ogni attività esternalizzata deve essere nominato uno specifico referente interno. Ovviamente, nel caso di esternalizzazione dei controlli di secondo livello ci sarà un unico referente. Qualora a essere esternalizzata dovesse essere la funzione di internal audit (il terzo livello), i referenti interni non potranno coincidere, ma dovranno essere due figure distinte.

Si ricorda che resta ferma la responsabilità della società e dell’organo di controllo (se esistente) per il corretto svolgimento dell’attività esternalizzata e che tutta la documentazione relativa ai controlli effettuati deve essere conservata per almeno 10 anni.

Controlli su dipendenti e collaboratori

Le linee guida Oam chiariscono che i controlli di secondo livello (valevoli per le società di tutte le dimensioni), devono essere attuati anche nei riguardi di dipendenti e collaboratori che abbiano rapporti con il pubblico. Le società devono definire il processo di selezione, gestione e controllo dei dipendenti di cui si avvalgono per lo svolgimento della propria attività e attuare idonee soluzione organizzative per gestire i rischi nel rispetto del principio di proporzionalità e di complessità organizzativa, dimensionale e operativa. Le società di mediazione sono chiamate a definire rigorose procedure di selezione del personale acquisendo e conservando tutta la documentazione relativa al possesso dei requisiti di professionalità e onorabilità e all’obbligo di aggiornamento professionale. Devono inoltre assicurare che dipendenti e collaboratori siano adeguatamente informati sulla normativa che è loro applicabile e devono definire procedure di verifica della correttezza del loro operato anche attraverso apposite indagini sul grado di soddisfazione dei clienti. Devono inoltre prevedere degli accessi ispettivi da effettuare annualmente su almeno un quinto dei dipendenti. Infine le società devono identificare le misure attivabili in caso di anomalie e di non corretto svolgimento delle attività da parte dei dipendenti e collaboratori.

 Cosa deve contenere la relazione sui requisiti organizzativi

Il decreto 31/14 ha imposto alle società di mediazione creditizia di redigere una relazione sui requisiti organizzativi che descriva le scelte effettuate e i presidi adottati. Le linee guida dell’Oam precisano che tale relazione deve contenere: la descrizione delle modalità organizzative adottate dalla società. La descrizione per ciascuna tipologia di rischio rilevante i presidi organizzativi approntati per la loro identificazione, misurazione, valutazione, gestione e controllo. L’indicazione dei presidi, regole e funzionamento della funzione di controllo interno, ove istituita, cui è affidata la valutazione periodica del sistema dei controlli interni e la verifica della correttezza dell’operatività aziendale.

In caso di funzioni esternalizzate, la relazione deve descrivere il profilo dell’outsourcer individuato, i presidi idonei ad assicurare la piena accessibilità alle informazioni utili alla valutazione dei processi e dei rischi, la modalità e la frequenza con la quale gli organi aziendali verificano l’attività di controllo esternalizzata, l’individuazione del referente per le attività esternalizzate. La descrizione delle procedure adottate per assicurare la corretta applicazione della disciplina in tema di trasparenza e correttezza dei rapporti con la clientela. La descrizione delle scelte effettuate per garantire il rispetto delle disposizioni riguardanti i controlli sui dipendenti, le modalità di selezione e verifica del possesso e mantenimento dei requisiti di legge.

La relazione deve essere presentata all’OAM in caso di richiesta da parte dell’Organismo.

Ruolo dell’Organismo di vigilanza

È un organo introdotto dal D.lgs 231/2001 al quale sono affidati autonomi poteri di iniziativa e di controllo con il compito di vigilare i modelli di organizzazione, gestione e controllo predisposti al fine di prevenire reati societari previsti dallo stesso decreto.

Le linee guida Oam al proposito precisano che, qualora nominato, in funzione del principio di proporzionalità e di economicità organizzativa, questa figura può ricoprire contemporaneamente sia le funzioni internal audit che di organo di controllo.

Consulta le linee guida

Compliance, risk management, internal audit: le linee guida dell’Oam chiariscono il sistema dei controlli interni per le società del credito ultima modifica: 2014-11-03T16:46:25+00:00 da Valentina Petracca

Print Friendly, PDF & Email
© RIPRODUZIONE RISERVATA

Articoli che potrebbero interessarti: