La convivenza tra il monitoraggio di 2° e 3° livello
Partiamo da un dato di fatto, ormai consolidato: le best practice di riferimento richiedono che, nell’ambito di un processo interno di Compliance, accanto a quelle attività “tipiche” della funzione (quali analisi normative, risk assessment, gap analysis, pianificazione e reporting, formazione e informazione ecc.) debba trovare spazio anche un’attività di monitoraggio di secondo livello.
L’astratta difficoltà a inquadrare tale attività tra quelle tipiche della Compliance può risiedere nel fatto che quest’ultima funzione agisce tendenzialmente in via preventiva, tramite un supporto al business volto a minimizzare il rischio di non conformità, mentre il monitoraggio potrebbe far pensare più a una logica di controllo ex-post (ossia posto in essere successivamente rispetto all’azione potenzialmente contraria ad una normativa) che, viceversa, viene tipicamente condotta internamente dalla funzione con compiti di terzo livello di controllo ossia dall’Internal Audit.
Diventa dunque necessario definire i contorni del monitoraggio di secondo livello proprio perché tale attività, da un lato, non può non tener conto di quanto svolto dall’Internal Audit e fare tesoro dell’esperienza e della metodologia elaborata da tale funzione, dall’altro, deve focalizzarsi su aspetti e rischi specifici di compliance al fine di evitare la deriva della pura duplicazione dei controlli da parte di diverse funzioni di controllo interno nonché ridurre l’effort richiesto al management nel corso delle verifiche. Senza trascurare il fatto che, a livello teorico, nel contesto di un sistema di controllo interno strutturato, la funzione di Internal Audit dovrebbe poter auditare anche le funzioni di secondo livello, inclusa la Compliance.
Quindi il monitoraggio di compliance, pur potendo variare nelle sue caratteristiche a seconda dell’ambito normativo nel quale viene svolto, deve avere una propria identità e finalità e cercheremo di indentificarle di seguito. Uno spunto viene già dalla lettura della ISO 37301:2021 che riporta tra le attività di responsabilità della Compliance quella di “monitoring and measuring compliance performance”, lasciando poi carta bianca nella definizione dei “methods for monitoring, measurement, analysis and evaluation”.
Emerge dunque come il monitoraggio di compliance sia finalizzato più a misurare le performance e analizzare gli andamenti dei rischi che non a verificare il rispetto di uno specifico controllo.
Cerchiamo a questo punto di identificare una possibile linea di demarcazione tra i due livelli:
- il monitoraggio di secondo livello potrebbe focalizzarsi su un’analisi più andamentale tipicamente costruita sulla base di indicatori (es. Key Risk Indicators, Key Control Indicators) che forniscono nel tempo dei trend in relazione ai rischi e/o dei controlli di compliance e che possono far emergere situazioni di potenziale criticità;
- il monitoraggio di terzo livello invece si focalizza su un controllo ex post finalizzato a verificare l’adeguatezza e il puntuale rispetto di una regola già contenuta in una normativa interna (tipicamente una procedura aziendale) o esterna (qualora la normativa di riferimento ponga già dei precetti direttamente verificabili).
In questo senso, l’analisi di secondo livello serve per misurare e per intercettare, anche in una logica ex-ante, possibili Alert – ossia fattori di rischio di una potenziale non conformità – e dunque è finalizzata ad indirizzare e alimentare eventuali ulteriori verifiche di dettaglio e più puntuali, da parte della stessa Compliance o da parte dell’Internal Audit, volte a ricercare e accertare eventuali violazioni di normativa interna/esterna. In ogni caso, nulla esclude che la Funzione Compliance possa affidare alcune verifiche alla Funzione di Internal Audit, questo potrebbe da un lato generare efficienza nelle attività di controllo condotte dalle varie funzioni ma soprattutto garantirebbe un grado di ulteriore assurance e indipendenza nelle verifiche.
Tale pratica è molto usuale nelle società di tipo finanziario in cui spesso viene stipulato un vero e proprio accordo di servizio tra le due funzioni, ma anche nelle realtà industriali è possibile riscontare tale tipologia di coordinamento, ad esempio, nell’ambito di società quotate per le verifiche richieste dal Dirigente Preposto ai fini della L. 262/05 alla Funzione di Internal Audit (cd. Monitoraggio Indipendente).
Un approccio di monitoraggio di secondo livello efficace, efficiente e coerente con il ruolo svolto dalla Funzione Compliance potrebbe essere quello di sviluppare, ove la base dati lo consenta, un processo di continuous monitoring su una serie di indicatori costruiti tenendo conto delle normative a maggior impatto sulla società e dei processi nell’ambito dei quali si potrebbe più frequentemente identificare la possibilità di non conformità. Tale processo orientato al supporto del management e all’analisi ex ante dei fenomeni aziendali, presuppone uno sviluppo progettuale e tecnologico che molte aziende stanno via via implementando negli ultimi anni.
In conclusione, l’approccio al monitoraggio di compliance dovrà essere costruito tenendo conto del contesto di ogni singola società, delle normative a perimetro della Funzione, della possibilità di far leva sulla digitalizzazione, non prescindendo comunque dalla necessità di coordinamento con la Funzione Internal Audit in termini di piani di attività e relative risultanze al fine di valorizzare la complementarità delle verifiche, renderne più efficaci gli esiti e ridurre il rischio di duplicazione.
di Paolo Marpillero e Alessandra Infantino tratto da lab4compliance.com