DICIAMO LA NOSTRA a cura della Direzione
Questa rubrica promossa dalla Presidenza intende aprire un dialogo costruttivo con gli associati che desiderano dare il loro contributo di idee, suggerimenti e critiche per la crescita della Comunità. In questo numero ospitiamo l’intervista a Giovanni Maria Garegnani1 che ringraziamo per aver accettato di rispondere alle nostre domande.
Un tema che torna spesso alla ribalta in materia di governance è quello dei controlli, in relazione ai quali sono talvolta sottolineate sovrapposizioni tra compiti affidati ai vari attori, per altri versi possibili sinergie. Lei ha approfondito in particolare il tema del ruolo dell’Organismo di Vigilanza istituito dal D.Lgs. 231/2001, coordinando tra l’altro i lavori che hanno portato l’Associazione Organismi di Vigilanza AODV231 all’emanazione di un position paper sull’argomento. In primo luogo, come si innestano i Modelli Organizzativi nel sistema dei controlli aziendali?
Occorre premettere che non ha senso, a mio avviso, istituire un Modello Organizzativo ex. D.Lgs. 231/2001 in una realtà che non presenti un sistema di controllo interno ben strutturato. Il Modello Organizzativo deve rispondere agli stessi requisiti che presenta un sistema di controllo interno, e quindi innestarsi su un positivo ambiente di controllo, prevedere un’attività di risk assessment, individuare appropriati presidi, strutturare flussi di comunicazione snelli ed efficaci, essere costantemente monitorato. In una realtà non sorretta organicamente da questa infrastruttura l’introduzione di un Modello Organizzativo rischia di risolversi in un intervento di facciata. Poiché una delle finalità di un sistema di controllo interno è la mitigazione dei rischi di compliance, il Modello Organizzativo dovrebbe soltanto enucleare, nell’ambito delle sopracitate caratteristiche del sistema di controllo interno, i profili specificamente connessi alla prevenzione del rischio di commissione dei reati presupposto, introducendo se del caso elementi (solo ad esempio, peculiari elementi di enforcement) che possano enfatizzare l’efficacia dei profili preventivi e di reazione.
Come può essere definito il ruolo dell’OdV nell’attuale scenario dei controlli societari?
L’OdV è chiamato da un lato ad una funzione di stimolo al perfezionamento, dall’altro lato al monitoraggio, del particolare sottosistema dei controlli interni aziendali volto a prevenire la commissione dei reati presupposto. Un duplice ruolo, quindi: sia di valutazione dell’adeguatezza del Modello, sia di vigilanza. È interessante osservare, sotto questo profilo, che da un lato l’OdV ha compiti più estesi in senso funzionale degli altri soggetti che si occupano dei sistemi di controllo interno: infatti, il consiglio di amministrazione, con l’assistenza del comitato di controllo interno, ha in merito un ruolo – tra l’altro – di valutazione di adeguatezza ed efficacia, mentre l’azione di vigilanza è demandata al collegio sindacale. Dall’altro lato, l’operato dell’OdV è focalizzato e non investe il sistema nella sua totalità. Fermo restando che, comunque, il ruolo propulsivo nella delineazione del sistema di controllo interno in tutte le sue componenti spetta al consiglio di amministrazione; con specifico riferimento all’area interessata dalle prescrizioni del D.Lgs. 231/2001, è un errore pensare che all’OdV possano essere demandati compiti a ben vedere gestionali, quali il disegno del Modello o di sue componenti, che non gli sono propri.
L’interazione tra OdV e gli altri soggetti che si occupano di controlli societari è quindi rilevante?
Senza dubbio, e ciò discende dal carattere unitario del sistema di controllo interno. Ad esempio, una valutazione di inadeguatezza dei sistemi di controllo interno, sollevata dal consiglio di amministrazione, deve essere portata all’attenzione dell’OdV, che deve preoccuparsi del possibile impatto che ciò può avere sul sottosistema di sua competenza; così come deficit applicativi delle prescrizioni dettate dal sistema, rilevati dal collegio sindacale nella sua azione di vigilanza, possono fornire all’OdV indicazioni circa l’azione di monitoraggio cui è preposto. Vale naturalmente anche il contrario; osservazioni sia in termini di disegno del sistema che di malfunzionamento dello stesso, rilevate dall’OdV nell’ambito di sua competenza, possono sottendere profili problematici di valenza generale, e fornire pertanto preziosi spunti al consiglio di amministrazione ed al collegio sindacale nell’esercizio delle loro funzioni. In merito, un contributo potrà certamente essere dato dal revisore con la relazione prevista dall’art. 19 del D.Lgs. 39/2010; anche se la relazione – presumibilmente – sarà focalizzata sugli aspetti del controllo interno che contribuiscono a fondare il giudizio sull’attendibilità dell’informativa economico finanziaria, è ben ipotizzabile che da essa possano essere distillate indicazioni di carattere strutturale, certamente di interesse anche dell’OdV.
Cosa ci può dire in merito alle relazioni tra OdV ed internal audit?
Spesso si dice che l’internal audit è il “braccio armato” dell’OdV, e l’affermazione è sicuramente condivisibile. Peraltro, anche qui occorre considerare il carattere unitario del sistema di controllo interno; sarebbe da un lato antieconomico, dall’altro lato probabilmente non efficiente, che l’OdV utilizzi l’internal audit senza il necessario coordinamento con gli altri soggetti che si occupano dei sistemi di controllo interno aziendale. Il piano di audit, ad esempio, dovrebbe prevedere interventi integrati; l’internal audit, nell’analizzare una specifica area aziendale, dovrebbe pertanto aver riguardo a tutte le finalità del sistema di controllo interno, operational, financial e compliance, e nell’ambito di quest’ultima ai profili di prevenzione dei reati presupposto (è infatti frequente – anzi, ciò avviene nella quasi totalità dei casi – che una medesima issue impatti in più direzioni). Ciò comporta, naturalmente, che – pur nel rispetto dei rispettivi ruoli – l’OdV possa analizzare criticamente il piano di audit, se del caso proponendo le integrazioni che gli sembrano necessarie; peraltro, se il risk scoring ha un particolare “occhio di riguardo” al profilo di prevenzione del rischio reato, la gerarchizzazione degli interventi propedeutica al piano di audit dovrebbe “di suo” efficacemente soddisfare anche le aspettative di monitoraggio dell’OdV. Ciò non significa, naturalmente, che l’OdV debba appiattirsi sulle esigenze manifestate all’internal audit dagli altri soggetti che si occupano dei sistemi di controllo interno; ad esempio, con particolare riguardo a specifici eventi l’internal audit ben potrà essere chiamato ad agire su impulso dell’OdV. Anche in questo caso, atteso il carattere unitario del sistema di controllo interno, le risultanze dell’analisi possono fornire elementi informativi utili in relazione agli altri sottosistemi del sistema di controllo interno medesimo.
Se questo è lo scenario, in qual modo gli amministratori indipendenti possono e debbono interagire con l’OdV nell’esercizio delle suo funzioni?
È pacifico, da quanto abbiamo discusso, che devono essere previsti adeguati flussi di comunicazione tra OdV e gli organi sociali: periodici, ovvero da attivare ad hoc su problemi specifici. Più complessa è la valutazione circa l’opportunità della partecipazione all’OdV di un amministratore indipendente; nel position paper abbiamo osservato che – di fatto – si tratta di una scelta largamente seguita nella prassi, anche se la dottrina sul punto è divisa. Non entro nel merito del possibile conflitto di interessi (l’amministratore, secondo la dottrina più critica, si troverebbe a vigilare sulla possibilità che il consiglio, di cui fa parte, possa commettere reati). Osservo che, da un certo punto di vista, indubbiamente la partecipazione di un amministratore indipendente all’OdV sostanzierebbe una funzione di trait d’union pur sempre rilevante. È peraltro da rilevare, a contrariis, che il profilo dei flussi informativi, in tal caso, potrebbe per assurdo risultare più problematico; a ben vedere, infatti, determinate informazioni assunte in un ambito potrebbero considerarsi automaticamente trasferite all’altro, caricando l’amministratore indipendente della responsabilità uti singulo di selezionare, tra le informazioni di cui viene in possesso nell’esercizio in una delle due funzioni, quali debbano essere travasate nell’altro contesto. Tutto ciò senza avere il conforto della strutturazione procedurale che invece, di norma, regola i flussi informativi tra l’OdV ed il consiglio di amministrazione e/o il comitato di controllo interno.
Per concludere, come osservavamo in premessa Lei fa parte, oltre che di NEDCommunity, anche della AODV231. Vede uno spazio di collaborazione tra le due associazioni?
Certamente; il tema dei sistemi di controllo interno, come ho sottolineato più volte in questa conversazione, è unitario e di grande interesse sia per l’amministratore indipendente (spesso chiamato, tra l’altro, a far parte dei comitati di controllo interno), sia del componente dell’Organismo di Vigilanza. Affinare l’approccio al problema, facendo sì che possibili aree di sovrapposizione si traducano in utili sinergie, potrebbe essere una sfida stimolante per entrambe le associazioni.
Nota
1. Giovanni Maria Garegnani è professore associato di economia aziendale ed è autore di pubblicazioni in tema di governance e di controllo; è vicepresidente della Associazione Organismi di Vigilanza AODV231; siede nei CdA e negli OdV di numerose società quotate e non; è vicepresidente del consiglio di sorveglianza di Deutsche Bank spa.
© RIPRODUZIONE RISERVATA