Integrazione delle funzioni di garanzia

"Il dipartimento di conformità ha fallito", "Le indicazioni del risk management sono state ignorate", questo o simile è come suona nei media quando si scopre una condotta commerciale impropria. L'analisi mostra spesso che le funzioni di garanzia erano installate nelle aziende interessate, ma che il loro potere di applicazione era limitato. Quale potrebbe essere la ragione di questo?

Requisiti relativi all'organizzazione delle funzioni di garanzia
Per le banche e le assicurazioni si applicano le circolari FINMA Corporate Governance 2017/1 e 2017/2, che spiegano i requisiti delle funzioni centrali di garanzia della gestione dei rischi e della compliance come elementi di un SCI efficace. Mentre per le banche rilevanti per il sistema l'autorità di vigilanza disciplina specificamente l'inserimento organizzativo dell'addetto ai rischi (FINMA RS 2017/1, cifra 68), nella circolare rilevante per le imprese di assicurazione non vi sono prescrizioni corrispondenti.

Oltre alle circolari della FINMA, esiste un'ulteriore documentazione come lo standard di revisione PS980 (EXPERTsuisse), che elenca le caratteristiche principali di un'organizzazione (di compliance) come la definizione di ruoli e responsabilità, competenze e risorse e linee di reporting.

Ciò che questi requisiti hanno in comune è che richiedono esplicitamente l'obiettività e l'indipendenza delle funzioni di garanzia (elementi di controllo), senza tuttavia entrare in ulteriori dettagli sulla forma organizzativa che sarebbe appropriata a questo riguardo. In questo senso, c'è l'opportunità di progettare un embedding adattato alle rispettive dimensioni e complessità dell'azienda.

Il modello delle tre linee di difesa
Il modello delle "tre linee di difesa" si è affermato come un modello per promuovere l'indipendenza delle funzioni di garanzia. Questo modello è menzionato anche dalla FINMA nel suo rapporto esplicativo sulle due circolari di governance summenzionate come approccio alla definizione dei ruoli e delle responsabilità nel sistema di governance. La garanzia

"La struttura organizzativa delle funzioni di assicurazione dipende dalle dimensioni dell'azienda".

Gli elementi di gestione del rischio, conformità e ICS sono così raggruppati nella 2a linea e separati dal business quotidiano (1a linea) al fine di garantire l'indipendenza. Oltre ai suddetti elementi di garanzia, le aree di protezione dei dati, sicurezza delle informazioni e gestione della qualità sono spesso considerate come unità della seconda linea di difesa. La terza linea di difesa comprende la funzione di audit interno. La mancanza di inclusione dei revisori esterni e del regolatore nel modello (ad esempio nel senso di una quarta e quinta linea di difesa) è talvolta criticata dalla dottrina.

Mentre il modello di cui sopra illustra l'interazione delle tre linee di difesa e le loro linee di reporting, non fornisce istruzioni concrete per il loro inserimento organizzativo. Diversi studi mostrano una grande eterogeneità a questo proposito. Le funzioni di garanzia, per esempio, possono

• essere implementati come singoli elementi in diverse unità;
• essere raggruppati organizzativamente in un'unità di personale;
• essere subordinato a un'unità orientata al profitto; o
• anche essere mescolati con funzioni orientate al profitto in termini di personale.

La forma organizzativa delle funzioni di assicurazione dipende anche dalle dimensioni dell'azienda. Al di sopra di un certo numero di dipendenti, le funzioni della seconda linea di difesa dovrebbero essere svolte da persone che sono indipendenti dal business quotidiano. Nelle piccole e medie imprese, tutte le funzioni di assicurazione possono essere riunite in una sola persona. Nelle aziende più grandi, invece, ha senso che le funzioni siano svolte da persone diverse. Più piccola è l'azienda, più è probabile che le funzioni della seconda linea di difesa siano svolte da persone operativamente attive. Specialmente in queste situazioni è importante che i funzionari abbiano la personalità e l'integrità necessarie o che abbiano interiorizzato il sistema di valori in costante cambiamento dell'azienda per esercitare le loro attività di controllo in modo obiettivo e indipendente.

Un'alternativa è quella di esternalizzare le attività di controllo a terzi (per esempio società di revisione o studi legali).

A causa dell'eterogeneità delle forme organizzative, l'obiettività e l'indipendenza richieste dal regolamento devono essere valutate su una base specifica dell'azienda.

Misure per salvaguardare l'indipendenza
Quali sono le opportunità che favoriscono un approccio di best-practice per quanto riguarda il radicamento organizzativo delle funzioni di assurance e quindi implicitamente anche il più alto grado possibile di indipendenza?

Fusione organizzativa
Gli elementi di garanzia della gestione del rischio e della conformità insieme assicurano la conformità con la governance aziendale come un efficace SCI. Al fine di creare sinergie, ha quindi senso fondere queste aree in una sola unità organizzativa. Ci sono sovrapposizioni tra la gestione del rischio e la conformità in particolare. I rischi di conformità, per esempio, sono

"Le funzioni di garanzia dovrebbero essere considerate come parte della governance basata sul rischio".

in definitiva i rischi operativi, che costituiscono la base di un sistema di controllo interno (SCI) orientato al rischio. Inoltre, le ridondanze nei rapporti al Comitato esecutivo e al Consiglio di amministrazione possono essere evitate coordinando integralmente non solo la tempistica della pubblicazione di tali rapporti, ma anche l'attenzione al contenuto dei singoli argomenti all'interno del team. La direzione di una tale unità di assicurazione può anche avere un peso aggiuntivo (tone-at-the-top) avendo un seggio nel comitato esecutivo, ad esempio senza diritto di voto, al fine di evitare conflitti di interesse nel processo decisionale.

Separazione del personale dalla 1a e 2a linea di difesa
Se possibile a causa delle dimensioni dell'azienda, le attività di assicurazione dovrebbero essere strettamente disaccoppiate dalle attività operative. Almeno la rispettiva gestione della seconda linea di difesa dovrebbe essere indipendente dalla prima linea di difesa, soprattutto in termini di personale. In questo modo, si evitano potenziali conflitti d'interesse tra le azioni come partner commerciale rispetto al gatekeeper (autorità di controllo) e le autorità di controllo non diventano "risk taker".

Nomina e licenziamento da parte di un ente non operativo
Mentre l'audit interno, come terza linea di difesa, riferisce all'alta direzione (consiglio di amministrazione o comitato), le funzioni di garanzia riferiscono generalmente a un'unità orientata al profitto. Questo vale anche per un'unità di personale sotto il CEO. Al fine di mantenere l'indipendenza, la nomina o il licenziamento di un senior assurance function può essere fatta dipendere dall'approvazione del senior management (consiglio di amministrazione o il suo comitato di rischio). Altre opzioni sono, per esempio, una quasi-protezione contro il licenziamento, per cui il titolare di una funzione di assicurazione non può essere rimosso per un certo periodo di tempo.

Nessun incentivo attraverso una retribuzione variabile legata alla performance
La non inclusione delle funzioni di assurance nel caso di componenti di performance remunerate monetariamente si è oggi affermata come standard e viene propagandata anche dal regolatore come componente per la selezione dell'indipendenza (cfr. circolare FINMA Corporate Governance).

Conclusione
L'integrazione delle funzioni di garanzia nella gestione aziendale può essere risolta solo parzialmente in termini di un approccio di best practice.

Tuttavia, è proprio sotto l'aspetto della massima indipendenza possibile che si possono identificare i campi di sviluppo che rendono possibile questo approccio.

Tre aspetti sembrano essere centrali:

• la fusione organizzativa,
• il disaccoppiamento del personale dalle funzioni decisionali operative,
• la delega delle decisioni sul personale all'alta dirigenza, e
• l'evitamento degli incentivi attraverso la compensazione variabile.

La misura in cui questi possono essere implementati dipende sempre dalle dimensioni dell'azienda e dalla cultura aziendale. Le funzioni di assicurazione dovrebbero sempre essere viste come parte della gestione aziendale orientata al rischio, ma non come un'istanza di controllo reattivo.