Il modello cobit a supporto della compliance
| Autore | Michele Rubino - Filippo Vitolla |
| Pagine | 111-143 |
CAPITOLO IV
IL MODELLO COBIT
A SUPPORTO DELLA COMPLIANCE
Sommario: 4.1 La rilevanza della compliance nel sistema di controllo interno; 4.2 La
responsabilità amministrativa degli enti; 4.3 Il Sarbanes-Oxley Act e la Legge sulla
Tutela del risparmio; 4.4 La regolamentazione applicabile agli intermediari finan-
ziari; 4.4.1 L’evoluzione del quadro regolamentare; 4.4.2 Basilea II: insieme inte-
grato di regole di vigilanza prudenziale; 4.4.3 Vigilanza, governance e sistema dei
controlli interni: verso Basilea III; 4.5 Il modello COBIT a supporto del sistema di
controllo interno e dei Modelli Organizzativi 231; 4.5.1 Il modello COBIT a sup-
porto della compliance al Sarbanes-Oxley Act; 4.5.2 Il modello COBIT a supporto
della compliance alle disposizioni di Basilea II.
4.1 La rilevanza della compliance nel sistema di controllo
interno
Uno degli obiettivi del sistema di controllo interno è quello di assicura-
re la conformità dell’attività aziendale sia alla normativa interna che ester-
na. L’azienda dovrebbe essere caratterizzata da una cultura innanzitutto
orientata al rispetto delle regole e dei codici di condotta interni, che sono
costituiti da un insieme di valori etici e principi che ispirano l’attività di
tutti i soggetti operanti nella sfera aziendale. Il rispetto delle disposizioni
regolamentari, interne all’azienda, rappresentate da linee guida, procedu-
re e prescrizioni contrattuali, costituisce un elemento fondamentale per il
raggiungimento degli obiettivi di ecacia e di ecienza delle attività.
Peraltro, il contesto nel quale operano le aziende è interessato da speci-
che previsioni normative e regolamentari alle quali occorre prestare ne-
cessariamente attenzione. Pertanto, oltre che sul fronte interno, le aziende
sono impegnate ad operare conformandosi a Leggi, regolamenti, proce-
112 Sistemi informativi e controllo interno: un approccio integrato
dure e autoregolamentazioni di origine esterna, sostenendo adempimenti
spesso costosi che impattano sulla redditività (Paletta, 2008).
La compliance può essere denita come una parte della più ampia at-
tività di gestione dei rischi aziendali, che ha il compito di minimizzare le
conseguenze negative derivanti dal mancato rispetto delle predette norme,
in particolare di quelle esterne. La non osservanza di queste ultime, ol-
tre a poter causare perdite dirette, sotto forma di sanzioni di varia natura,
può danneggiare l’immagine aziendale che rappresenta uno dei valori più
importanti da difendere, ad esempio, per le aziende operanti nel settore
dell’intermediazione nanziaria. Infatti, il tema della compliance ha assun-
to una grande rilevanza proprio all’interno delle istituzioni nanziarie, a
seguito dei numerosi scandali che hanno travolto la comunità imprendi-
toriale. In conseguenza di ciò il Legislatore è intervenuto emanando ido-
nee misure normative al ne di porre un freno ai comportamenti illeciti
perpetrati dalle aziende a danno della collettività. Tali misure normative,
nel settore dell’intermediazione nanziaria, fanno riferimento essenzial-
mente al recepimento delle disposizioni previste dal comitato di Basilea e
delle indicazioni emanate dalla Comunità Europea con la direttiva MiFID
(direttiva 2004/39/CE). È proprio a seguito di tali disposizioni che Banca
d’Italia ha previsto, in tema di vigilanza, la funzione di compliance1, quale
attività dedicata al presidio e al controllo della conformità.
Altre disposizioni relative a tutti i settori di attività, che hanno dato
enfasi al tema della conformità normativa, sono il D.Lgs. 231/2001, il Sar-
banes-Oxley Act, la Legge 262/2005 e i codici di autoregolamentazione in
genere, quale, ad esempio, il codice di autodisciplina delle società quotate.
Le citate disposizioni fanno riferimento ad aspetti strettamente connes-
si con gli obiettivi del sistema di controllo interno. Inoltre, occorre tener
presente che le aziende devono adempiere a un complesso di norme molto
vasto, tra cui quelle in materia di sicurezza dei luoghi di lavoro e di tratta-
mento dei dati personali.
1 Le disposi zioni in materia di Vigila nza, introdotte da Ba nca d’Italia nel 2006 , prevedono
che “Assume particolare rilievo l a costituzione all’inte rno delle banche e dei gruppi ba ncari di
una specifica f unzione dedicata al presidio e al cont rollo della conformità. Le prese nti disposi-
zioni dettano pr incipi di carattere generale, volti a in dividuare le finalità e i principa li compiti
della funzion e di conformità, riconosc endo nel contempo alle banch e piena discrezionalità ne lla
scelta delle solu zioni organizzative più i donee ed eff icaci per realizzarli. Esse si ap plicano alle
banche e ai gruppi ba ncari secondo il p rincipio di propor zionalità, in coe renza quindi con le
specifiche ca ratteristiche dimen sionali e operative. La funzion e di conformità svolge un ruolo di
rilievo nella c reazione di valore azie ndale, attrave rso il rafforzam ento e la preserva zione del
buon nome della banc a e della fiducia del pu bblico nella sua corret tezza operativa e gestional e”.
Tuttavia, sebbene il set tore dei mercati finanzia ri abbia preso solo di recente in seria conside -
razione l’obiettivo del la compliance, quest’ultimo, come osserv ato nel primo capitolo, era già
previsto dal lonta no 1992, quando fu emanato il Co SO report.
Capitolo IV – Il modello COBIT a supporto della compliance 113
Il rispetto di tali norme richiede la costituzione di apposite procedure,
nonché di strumenti, processi di verica e individuazione di gure all’in-
terno dell’organizzazione. Come osservato nel primo capitolo, la normati-
va in tema di controllo interno si è sviluppata notevolmente ma in modo
disorganico, tanto che, anche in questo ambito, è opportuna un’azione di
coordinamento tra i diversi organi, al ne di predisporre idonee misure
atte a garantire l’osservanza delle disposizioni vigenti. Un importante ruo-
lo in tal senso è svolto dall’internal audit. Infatti, l’audit di conformità ve-
rica l’osservanza delle norme ed è riconosciuto come un valido strumento
di prevenzione, in grado di fornire assurance alle strutture aziendali de-
putate all’emanazione e all’applicazione di regolamenti interni (Dittmeier,
2011). Un auditing di compliance preventivo può assolvere il ruolo di atti-
vità ispettiva. In questo modo è possibile aggiornare le procedure aziendali
e i regolamenti interni che non risultino in linea con le diposizioni previste
dal Legislatore.
Il tema della compliance, tuttavia, è strettamente connesso ai principi e
ai valori insiti nel vertice aziendale. Come già ricordato, è preferibile che
all’interno dell’azienda ci sia una cultura orientata al rispetto delle norme.
Ciò può senz’altro favorire l’adozione di procedure rispettose delle Leg-
gi e soprattutto l’adozione di comportamenti responsabili nei confronti
di tutti i portatori di interesse. In questo caso la compliance non è intesa
come mero obbligo ma come opportunità, in quanto le sde che si devono
arontare richiedono l’osservanza delle norme. Al contrario, nelle aziende
in cui i valori non sono ispirati a principi etici, il rispetto delle norme ri-
schia di rappresentare solamente un intervento di facciata.
Ai ni della conformità alle diverse disposizioni, vincolanti o apparte-
nenti a sistemi volontari, le aziende devono scegliere e implementare un
framework funzionale. Il modello COBIT, in questo caso, rappresenta una
delle fonti principali a disposizione delle aziende, in grado di garantire la
conformità a numerose disposizioni attraverso l’impostazione e il miglio-
ramento complessivo del modello di gestione del sistema informativo.
Nei paragra seguenti sarà eettuata una breve disamina delle princi-
pali disposizioni normative, internazionali e nazionali, che interessano il
sistema di controllo interno e in particolare il soddisfacimento dell’obiet-
tivo di compliance. In ultimo sarà analizzato l’apporto fornito dal modello
COBIT per ciascuna delle disposizioni osservate.
Per continuare a leggere
RICHIEDI UNA PROVA