Secondo quanto stabilisce il D.Lgs. 141/2010, i mediatori creditizi sono tenuti all’osservanza dei seguenti obblighi:
. Il rispetto delle norme che regolano lo svolgimento dell’attività;
. Il mantenimento dei requisiti previsti per l’iscrizione;
. l’esercizio effettivo dell’attività;
. La comunicazione, entro 10 giorni, di ogni variazione intervenuta nei dati comunicati all’atto dell’iscrizione;
. L’adeguamento, in caso di aumento dei volumi di attività, dei massimali della polizza di assicurazione di responsabilità civile per i danni arrecati nello svolgimento dell’attività, in conformità alle disposizioni dell’Organismo;
. L’aggiornamento professionale mediante frequenza di corsi di formazione, conformi agli standard stabiliti dall’Organismo e di durata non inferiore a 60 ore nel biennio; aggiornamento professionale dei soggetti esponenti aziendali;
. La comunicazione, su richiesta dell’Organismo, di dati e notizie, e trasmissione di atti e documenti secondo i termini e le modalità stabilite dallo stesso, nonché accoglimento di eventuali ispezioni disposte dall’Organismo nell’espletamento dei propri poteri di controllo;
. La corresponsione dei contributi annuali previsti dall’Organismo;
. L’utilizzo di dipendenti e collaboratori indicati nel proprio relativo elenco;
. Il rispetto delle norme poste a garanzia della correttezza e della trasparenza dei rapporti con la clientela; Il rispetto della normativa antiriciclaggio (D.lgs. n. 231/2007).
Il 17 marzo 2014 è stato pubblicato, nella Gazzetta Ufficiale, il Decreto del Ministero dell’Economia e delle Finanze 22 gennaio 2014, n. 31 con cui è stato emanato il Regolamento recante attuazione dell’art. 29 del D.lgs. 13 agosto 2010, n. 141 (di seguito “Regolamento”).
Il decreto regola il contenuto dei requisiti organizzativi (del sistema dei controlli interni) per l’iscrizione nell’Elenco dei mediatori creditizi di cui all’art. 128-sexies, comma 2, del D.lgs. 1 settembre 1993, n. 385 (di seguito “TUB”).
Lo stesso Regolamento, all’art. 8 statuisce che le società di mediazione creditizia, con decorrenza 1 ottobre 2014, devono adempiere alle previsioni Regolamentari.
Nella società di mediazione creditizia, come negli intermediari finanziari, intervengono 3 funzioni:
o La funzione di supervisione strategica;
o La funzione di gestione;
o La funzione di controllo.
Queste funzioni hanno compiti direttamente connessi con il sistema dei controlli interni.
La normativa stabilisce che “le società di mediazione creditizia si dotano di un sistema di controllo interno (“S.C.I.”) proporzionato alla propria complessità organizzativa, dimensionale ed operativa”.
Il Regolamento dispone che “il sistema dei controlli interni” deve quindi assicurare:
o un’efficace gestione e controllo dei rischi derivanti dall’inosservanza e dal mancato adeguamento alle norme di legge, regolamentari e statutarie applicabili all’attività svolta a cui la società è esposta anche in relazione alla rete di soggetti che operano per suo conto;
o la riservatezza e l’integrità delle informazioni e l’affidabilità e sicurezza delle procedure per il loro trattamento;
o la verifica della conformità dell’attività svolta con norme di legge, regolamentari e statutarie ad essa applicabili e con le procedure interne che la società ha definito per osservarle”.
Lo stesso OAM quale organo di controllo delle società di mediazione ha emanato con effetto 1 ottobre 2014 disposizioni specifiche sul controllo interno: le società di mediazione creditizia con un numero di dipendenti o collaboratori superiori a 20 sono tenute a costituire una funzione di controllo interno come disciplinato dall’art. 7 del decreto n°31/2014 e al punto 3 dispone he “rimane fermo l’obbligo per le società di mediazione creditizia di adempiere a quanto previsto dal decreto 22 gennaio 2014 n°141 entro 6 mesi dall’entrata in vigore dello stesso, ovvero il 1° Ottobre 2014; le linee guida concernenti il contenuto dei requisiti organizzativi per l’esecuzione nell’elenco dei mediatori creditizi.
Il sistema dei controlli interni si articola in n.ro 3 livelli di controllo:
I “controlli di primo livello” ovvero i controlli di linea diretti ad assicurare il corretto svolgimento delle operazioni (sistematiche ndr) connesse con l’attività di mediazione creditizia. Essi sono effettuati dalle stesse strutture operative e per quanto possibile gli stessi controlli sono incorporati nelle procedure informatiche;
I “controlli di secondo livello” ovvero controlli sui rischi e sulla conformità che hanno l’obiettivo di assicurare, tra l’altro:
– la coerenza dell’operatività delle aree operative con gli obiettivi assegnati e con l’attuazione del processo di gestione dei rischi;
– la conformità dell’operatività aziendale alle norme, incluse quelle interne della società di mediazione creditizia.
I “controlli di terzo livello” ovvero di revisione interna, volti a individuare le violazioni delle procedure e della regolamentazione, e a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni.
Nello specifico, la società di mediazione creditizia avente oltre 20 dipendenti/collaboratori deve costituire una vera e propria funzione di controllo interno e quindi nominare l’internal auditor ancorché esternalizzato; conseguenzialmente qualora collaboratori/dipendenti non raggiungano le 20 unità non sussisterebbe tale obbligo .
Si evidenzia che nelle società di mediazione creditizia è particolarmente esposta a rilievo il rischio operativo, che include il rischio di natura legale, il quale può discendere dai rapporti con la clientela; a tal fine, la società di mediazione è tenuta, ad approntare adeguati presidi organizzativi per assicurare il rispetto delle norme secondarie di settore e dei regolamenti interni. In particolare saranno oggetto di adeguata valutazione il rischio connesso all’operato dei propri dipendenti e collaboratori che entrano in contatto con il pubblico ed il rischio Antiriciclaggio.
Nella predisposizione dei presidi organizzativi, la società di mediazione creditizia tiene inoltre conto dell’esigenza di prevenire fenomeni di usura, riciclaggio e di finanziamento al terrorismo, nel rispetto delle disposizioni primarie e secondarie di settore.
Tutte le società di mediazione creditizia devono definire forme di controllo di “primo livello” che, nell’esecuzione dell’attività operativa sono correlate al sistema informativo aziendale e all’interno di questo, investono il sistema informatico.
Tutte le società di mediazione creditizia devono implementare forme di controllo di “secondo livello”.
Tali controlli si identificano ne:
– i controlli di conformità alle norme (compliance);
– il controllo di gestione dei “rischi (risk management)”;
– i “controlli sul rischio antiriciclaggio” già previsti come obbligatori per i mediatori creditizi dal Provvedimento Antiriciclaggio odi Bankitalia del 2011.
Si precisa altresì che la società di mediazione creditizia, nel rispetto del principio di proporzionalità e, quindi, in funzione alla propria complessità organizzativa, dimensionale ed operativa, non ha l’obbligo di istituire le “funzioni” di compliance e di Risk Management ma, deve definire ed implementarne i controlli rappresentativi delle funzioni medesime e all’interno del sistema di controllo interno. I suddetti controlli sono connessi alle procedure, regole, protocolli etc.; degli stessi controlli va data apposita evidenza nella relazione sui requisiti organizzativi prevista dall’art. 6 del Regolamento.
Le società di mediazione creditizia devono quindi definire ed implementare i controlli sulla gestione dei rischi, in quanto controlli di secondo livello e includono:
– La verifica nel continuo dell’adeguatezza del processo di gestione dei rischi (rischio legale, rischio reputazionale, rischio operativo, rischio di liquidità) nell’ambito del ”principio della proporzionalità”;
– Il monitoraggio costante dell’evoluzione dei rischi aziendali;
– la predisposizione dei flussi informativi agli organi aziendali.
Il responsabile della funzione di revisione interna (internal audit), ove istituita, dovrà:
– possedere requisiti di professionalità adeguati;
– essere collocato alle dirette dipendenze dell’organo con funzione di gestione;
– essere nominato o revocato dall’organo con funzione di gestione, sentito l’organo con funzione di controllo (se esistente);
– riferire direttamente agli organi con funzione di gestione e di controllo (se esistente);
– non svolgere mansioni operative.
In coerenza con il principio di proporzionalità, il responsabile della funzione di revisione interna potrà, eventualmente, identificarsi in un componente dell’organo con funzioni di gestione, in quanto destinatario di specifiche deleghe in materia di controlli, il quale a sua volta, non dovrà essere destinatario di ulteriori deleghe che ne pregiudichino l’autonomia.
In particolare l’Internal Audit, in quanto responsabile dai controlli di III livello, ha l’obiettivo di valutare:
– la completezza, l’adeguatezza, la funzionalità (in termini di efficacia ed efficienza) e l’affidabilità del sistema dei controlli interni e, in generale, della struttura organizzativa;
– l’adeguatezza, l’affidabilità complessiva e la sicurezza del sistema informativo.
Si rileva che in caso di assenza dell’organo di controllo (collegio sindacale o sindaco unico), nelle società con organo di gestione collegiale, la responsabilità dei controlli di terzo livello può essere affidata ad un componente dell’organo amministrativo, purché non esecutivo e purché diverso dal soggetto a cui viene affidata la responsabilità dei controlli di secondo livello.
Diversamente, nelle società con organo di gestione monocratico (amministratore unico), il responsabile dei controlli di terzo livello non potrà coincidere con l’amministratore medesimo, e quindi, solo per le aziende di piccole dimensioni, potrà essere individuato come referente interno rispetto della funzione esternalizzata.
I controlli sulla conformità alle norme hanno, invece, come obiettivo di prevenire la violazione di norme imperative (leggi e regolamenti) e di autoregolamentazione (statuti, regolamenti interni) applicabili al mediatore creditizio. A tal fine l’attività di controllo della società di mediazione creditizia può prevedere:
– l’identificazione delle norme applicabili al mediatore creditizio e alle attività eseguite;
– l’implementazione di un adeguato presidio dei rischi di non conformità alle norme identificate;
– la verifica preventiva e il monitoraggio successivo dell’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di non conformità;
– la conformità alle normative specifiche ad es., le discipline in materia di trasparenza delle operazioni e correttezza delle relazioni tra intermediari e clienti, antiusura, privacy etc).
Il controllo di terzo livello nelle società di mediazione creditizia, come evidenziato precedentemente, ha una trattazione specifica in quanto, solo le società aventi oltre i 20 dipendenti o collaboratori a dovranno costituire una vera e propria funzione di controllo interno (revisione interna), vale a dire una entità con caratteristiche autonome e peculiari a cui sia attribuita la valutazione periodica del sistema (complessivo) di controllo interno e la verifica della correttezza e regolarità dell’operatività aziendale.
Si ribadisce che, il regolamento, come precisato dall’O.A.M., «costituisce uno schema minimo e indefettibile cui le società di mediazione, che intendono esercitare tale attività, devono necessariamente conformarsi», per cui, non sono stati definiti quei parametri, all’interno dei quali, potrebbe essere istituita una «l’apposita funzione» destinataria dei controlli di secondo livello ovvero, la funzioni di conformità e la funzione di Risk Management. Sarà quindi compito del responsabile della funzione di supervisione strategica (CDA) interpretare il principio di proporzionalità, considerare «la complessità organizzativa, dimensionale dell’azienda» e quindi, valutare l’opportunità di nominare i responsabili delle suddette, specifiche funzioni, ovvero uno delle due. In questo caso, la funzione di compliance potrebbe essere il destinatario naturale del controllo dei rischi caratteristici e significativi della società di mediazione creditizia.
Il regolamento prevede che “la funzione di controllo interno può essere affidata a soggetti esterni dotati di idonei requisiti in termini di professionalità, autorevolezza e indipendenza; resta ferma la responsabilità dell’organo e della società per il corretto svolgimento della funzione esternalizzata”.
I mediatori creditizi possono esternalizzare lo svolgimento di tutte le attività di controllo costituenti il S.C.I., e quindi sia le funzioni di secondo (funzione di Risk Management e funzione di conformità) che la funzione di terzo livello (funzione di revisione interna).
Con l’esternalizzazione della funzione l’incarico può essere affidato a soggetti esterni dotati di idonei requisiti in termini di professionalità, autorevolezza e indipendenza.
L’esternalizzazione deve essere formalizzata in un accordo che definisca quanto meno:
– la compiuta indicazione degli obiettivi da perseguire;
– la frequenza minima dei flussi informativi nei confronti del referente interno e degli organi di vertice e di controllo aziendali, fermo restando l’obbligo di corrispondere tempestivamente a qualsiasi richiesta di informazioni;
– gli obblighi di riservatezza delle informazioni acquisite nell’esercizio della funzione;
– la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche normative o nell’operatività e nell’organizzazione dell’impresa esternalizzante;
– la possibilità per le Autorità di Vigilanza di accedere alle informazioni utili per l’attività di supervisione e controllo.
Resta ferma la responsabilità dell’organo di controllo (ove esistente) e, quindi, in assenza, dell’organo di gestione della società per il corretto svolgimento della funzione esternalizzata. Ne deriva che, per ciascuna attività o funzione di controllo esternalizzata, deve essere nominato uno specifico referente (interno ndr), il quale dovrebbe possedere gli stessi requisiti richiesti per i responsabili delle funzioni di internal audit.
Si sottolinea che per l’esternalizzazione di più funzioni di secondo livello deve essere nominato un unico referente.
Il referente interno della funzione di internal audit, dovrebbe necessariamente invece essere diverso da quelli/o eventualmente nominati per le funzioni di secondo livello. Comunque a mero titolo esemplificativo, nelle società con organo di gestione monocratico, obbligate ad istituire una funzione di controllo interno, il referente delle attività di controllo esternalizzate potrà essere lo stesso l’amministratore unico.
. Il rispetto delle norme che regolano lo svolgimento dell’attività;
. Il mantenimento dei requisiti previsti per l’iscrizione;
. l’esercizio effettivo dell’attività;
. La comunicazione, entro 10 giorni, di ogni variazione intervenuta nei dati comunicati all’atto dell’iscrizione;
. L’adeguamento, in caso di aumento dei volumi di attività, dei massimali della polizza di assicurazione di responsabilità civile per i danni arrecati nello svolgimento dell’attività, in conformità alle disposizioni dell’Organismo;
. L’aggiornamento professionale mediante frequenza di corsi di formazione, conformi agli standard stabiliti dall’Organismo e di durata non inferiore a 60 ore nel biennio; aggiornamento professionale dei soggetti esponenti aziendali;
. La comunicazione, su richiesta dell’Organismo, di dati e notizie, e trasmissione di atti e documenti secondo i termini e le modalità stabilite dallo stesso, nonché accoglimento di eventuali ispezioni disposte dall’Organismo nell’espletamento dei propri poteri di controllo;
. La corresponsione dei contributi annuali previsti dall’Organismo;
. L’utilizzo di dipendenti e collaboratori indicati nel proprio relativo elenco;
. Il rispetto delle norme poste a garanzia della correttezza e della trasparenza dei rapporti con la clientela; Il rispetto della normativa antiriciclaggio (D.lgs. n. 231/2007).
Il 17 marzo 2014 è stato pubblicato, nella Gazzetta Ufficiale, il Decreto del Ministero dell’Economia e delle Finanze 22 gennaio 2014, n. 31 con cui è stato emanato il Regolamento recante attuazione dell’art. 29 del D.lgs. 13 agosto 2010, n. 141 (di seguito “Regolamento”).
Il decreto regola il contenuto dei requisiti organizzativi (del sistema dei controlli interni) per l’iscrizione nell’Elenco dei mediatori creditizi di cui all’art. 128-sexies, comma 2, del D.lgs. 1 settembre 1993, n. 385 (di seguito “TUB”).
Lo stesso Regolamento, all’art. 8 statuisce che le società di mediazione creditizia, con decorrenza 1 ottobre 2014, devono adempiere alle previsioni Regolamentari.
Nella società di mediazione creditizia, come negli intermediari finanziari, intervengono 3 funzioni:
o La funzione di supervisione strategica;
o La funzione di gestione;
o La funzione di controllo.
Queste funzioni hanno compiti direttamente connessi con il sistema dei controlli interni.
La normativa stabilisce che “le società di mediazione creditizia si dotano di un sistema di controllo interno (“S.C.I.”) proporzionato alla propria complessità organizzativa, dimensionale ed operativa”.
Il Regolamento dispone che “il sistema dei controlli interni” deve quindi assicurare:
o un’efficace gestione e controllo dei rischi derivanti dall’inosservanza e dal mancato adeguamento alle norme di legge, regolamentari e statutarie applicabili all’attività svolta a cui la società è esposta anche in relazione alla rete di soggetti che operano per suo conto;
o la riservatezza e l’integrità delle informazioni e l’affidabilità e sicurezza delle procedure per il loro trattamento;
o la verifica della conformità dell’attività svolta con norme di legge, regolamentari e statutarie ad essa applicabili e con le procedure interne che la società ha definito per osservarle”.
Lo stesso OAM quale organo di controllo delle società di mediazione ha emanato con effetto 1 ottobre 2014 disposizioni specifiche sul controllo interno: le società di mediazione creditizia con un numero di dipendenti o collaboratori superiori a 20 sono tenute a costituire una funzione di controllo interno come disciplinato dall’art. 7 del decreto n°31/2014 e al punto 3 dispone he “rimane fermo l’obbligo per le società di mediazione creditizia di adempiere a quanto previsto dal decreto 22 gennaio 2014 n°141 entro 6 mesi dall’entrata in vigore dello stesso, ovvero il 1° Ottobre 2014; le linee guida concernenti il contenuto dei requisiti organizzativi per l’esecuzione nell’elenco dei mediatori creditizi.
Il sistema dei controlli interni si articola in n.ro 3 livelli di controllo:
I “controlli di primo livello” ovvero i controlli di linea diretti ad assicurare il corretto svolgimento delle operazioni (sistematiche ndr) connesse con l’attività di mediazione creditizia. Essi sono effettuati dalle stesse strutture operative e per quanto possibile gli stessi controlli sono incorporati nelle procedure informatiche;
I “controlli di secondo livello” ovvero controlli sui rischi e sulla conformità che hanno l’obiettivo di assicurare, tra l’altro:
– la coerenza dell’operatività delle aree operative con gli obiettivi assegnati e con l’attuazione del processo di gestione dei rischi;
– la conformità dell’operatività aziendale alle norme, incluse quelle interne della società di mediazione creditizia.
I “controlli di terzo livello” ovvero di revisione interna, volti a individuare le violazioni delle procedure e della regolamentazione, e a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni.
Nello specifico, la società di mediazione creditizia avente oltre 20 dipendenti/collaboratori deve costituire una vera e propria funzione di controllo interno e quindi nominare l’internal auditor ancorché esternalizzato; conseguenzialmente qualora collaboratori/dipendenti non raggiungano le 20 unità non sussisterebbe tale obbligo .
Si evidenzia che nelle società di mediazione creditizia è particolarmente esposta a rilievo il rischio operativo, che include il rischio di natura legale, il quale può discendere dai rapporti con la clientela; a tal fine, la società di mediazione è tenuta, ad approntare adeguati presidi organizzativi per assicurare il rispetto delle norme secondarie di settore e dei regolamenti interni. In particolare saranno oggetto di adeguata valutazione il rischio connesso all’operato dei propri dipendenti e collaboratori che entrano in contatto con il pubblico ed il rischio Antiriciclaggio.
Nella predisposizione dei presidi organizzativi, la società di mediazione creditizia tiene inoltre conto dell’esigenza di prevenire fenomeni di usura, riciclaggio e di finanziamento al terrorismo, nel rispetto delle disposizioni primarie e secondarie di settore.
Tutte le società di mediazione creditizia devono definire forme di controllo di “primo livello” che, nell’esecuzione dell’attività operativa sono correlate al sistema informativo aziendale e all’interno di questo, investono il sistema informatico.
Tutte le società di mediazione creditizia devono implementare forme di controllo di “secondo livello”.
Tali controlli si identificano ne:
– i controlli di conformità alle norme (compliance);
– il controllo di gestione dei “rischi (risk management)”;
– i “controlli sul rischio antiriciclaggio” già previsti come obbligatori per i mediatori creditizi dal Provvedimento Antiriciclaggio odi Bankitalia del 2011.
Si precisa altresì che la società di mediazione creditizia, nel rispetto del principio di proporzionalità e, quindi, in funzione alla propria complessità organizzativa, dimensionale ed operativa, non ha l’obbligo di istituire le “funzioni” di compliance e di Risk Management ma, deve definire ed implementarne i controlli rappresentativi delle funzioni medesime e all’interno del sistema di controllo interno. I suddetti controlli sono connessi alle procedure, regole, protocolli etc.; degli stessi controlli va data apposita evidenza nella relazione sui requisiti organizzativi prevista dall’art. 6 del Regolamento.
Le società di mediazione creditizia devono quindi definire ed implementare i controlli sulla gestione dei rischi, in quanto controlli di secondo livello e includono:
– La verifica nel continuo dell’adeguatezza del processo di gestione dei rischi (rischio legale, rischio reputazionale, rischio operativo, rischio di liquidità) nell’ambito del ”principio della proporzionalità”;
– Il monitoraggio costante dell’evoluzione dei rischi aziendali;
– la predisposizione dei flussi informativi agli organi aziendali.
Il responsabile della funzione di revisione interna (internal audit), ove istituita, dovrà:
– possedere requisiti di professionalità adeguati;
– essere collocato alle dirette dipendenze dell’organo con funzione di gestione;
– essere nominato o revocato dall’organo con funzione di gestione, sentito l’organo con funzione di controllo (se esistente);
– riferire direttamente agli organi con funzione di gestione e di controllo (se esistente);
– non svolgere mansioni operative.
In coerenza con il principio di proporzionalità, il responsabile della funzione di revisione interna potrà, eventualmente, identificarsi in un componente dell’organo con funzioni di gestione, in quanto destinatario di specifiche deleghe in materia di controlli, il quale a sua volta, non dovrà essere destinatario di ulteriori deleghe che ne pregiudichino l’autonomia.
In particolare l’Internal Audit, in quanto responsabile dai controlli di III livello, ha l’obiettivo di valutare:
– la completezza, l’adeguatezza, la funzionalità (in termini di efficacia ed efficienza) e l’affidabilità del sistema dei controlli interni e, in generale, della struttura organizzativa;
– l’adeguatezza, l’affidabilità complessiva e la sicurezza del sistema informativo.
Si rileva che in caso di assenza dell’organo di controllo (collegio sindacale o sindaco unico), nelle società con organo di gestione collegiale, la responsabilità dei controlli di terzo livello può essere affidata ad un componente dell’organo amministrativo, purché non esecutivo e purché diverso dal soggetto a cui viene affidata la responsabilità dei controlli di secondo livello.
Diversamente, nelle società con organo di gestione monocratico (amministratore unico), il responsabile dei controlli di terzo livello non potrà coincidere con l’amministratore medesimo, e quindi, solo per le aziende di piccole dimensioni, potrà essere individuato come referente interno rispetto della funzione esternalizzata.
I controlli sulla conformità alle norme hanno, invece, come obiettivo di prevenire la violazione di norme imperative (leggi e regolamenti) e di autoregolamentazione (statuti, regolamenti interni) applicabili al mediatore creditizio. A tal fine l’attività di controllo della società di mediazione creditizia può prevedere:
– l’identificazione delle norme applicabili al mediatore creditizio e alle attività eseguite;
– l’implementazione di un adeguato presidio dei rischi di non conformità alle norme identificate;
– la verifica preventiva e il monitoraggio successivo dell’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di non conformità;
– la conformità alle normative specifiche ad es., le discipline in materia di trasparenza delle operazioni e correttezza delle relazioni tra intermediari e clienti, antiusura, privacy etc).
Il controllo di terzo livello nelle società di mediazione creditizia, come evidenziato precedentemente, ha una trattazione specifica in quanto, solo le società aventi oltre i 20 dipendenti o collaboratori a dovranno costituire una vera e propria funzione di controllo interno (revisione interna), vale a dire una entità con caratteristiche autonome e peculiari a cui sia attribuita la valutazione periodica del sistema (complessivo) di controllo interno e la verifica della correttezza e regolarità dell’operatività aziendale.
Si ribadisce che, il regolamento, come precisato dall’O.A.M., «costituisce uno schema minimo e indefettibile cui le società di mediazione, che intendono esercitare tale attività, devono necessariamente conformarsi», per cui, non sono stati definiti quei parametri, all’interno dei quali, potrebbe essere istituita una «l’apposita funzione» destinataria dei controlli di secondo livello ovvero, la funzioni di conformità e la funzione di Risk Management. Sarà quindi compito del responsabile della funzione di supervisione strategica (CDA) interpretare il principio di proporzionalità, considerare «la complessità organizzativa, dimensionale dell’azienda» e quindi, valutare l’opportunità di nominare i responsabili delle suddette, specifiche funzioni, ovvero uno delle due. In questo caso, la funzione di compliance potrebbe essere il destinatario naturale del controllo dei rischi caratteristici e significativi della società di mediazione creditizia.
Il regolamento prevede che “la funzione di controllo interno può essere affidata a soggetti esterni dotati di idonei requisiti in termini di professionalità, autorevolezza e indipendenza; resta ferma la responsabilità dell’organo e della società per il corretto svolgimento della funzione esternalizzata”.
I mediatori creditizi possono esternalizzare lo svolgimento di tutte le attività di controllo costituenti il S.C.I., e quindi sia le funzioni di secondo (funzione di Risk Management e funzione di conformità) che la funzione di terzo livello (funzione di revisione interna).
Con l’esternalizzazione della funzione l’incarico può essere affidato a soggetti esterni dotati di idonei requisiti in termini di professionalità, autorevolezza e indipendenza.
L’esternalizzazione deve essere formalizzata in un accordo che definisca quanto meno:
– la compiuta indicazione degli obiettivi da perseguire;
– la frequenza minima dei flussi informativi nei confronti del referente interno e degli organi di vertice e di controllo aziendali, fermo restando l’obbligo di corrispondere tempestivamente a qualsiasi richiesta di informazioni;
– gli obblighi di riservatezza delle informazioni acquisite nell’esercizio della funzione;
– la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche normative o nell’operatività e nell’organizzazione dell’impresa esternalizzante;
– la possibilità per le Autorità di Vigilanza di accedere alle informazioni utili per l’attività di supervisione e controllo.
Resta ferma la responsabilità dell’organo di controllo (ove esistente) e, quindi, in assenza, dell’organo di gestione della società per il corretto svolgimento della funzione esternalizzata. Ne deriva che, per ciascuna attività o funzione di controllo esternalizzata, deve essere nominato uno specifico referente (interno ndr), il quale dovrebbe possedere gli stessi requisiti richiesti per i responsabili delle funzioni di internal audit.
Si sottolinea che per l’esternalizzazione di più funzioni di secondo livello deve essere nominato un unico referente.
Il referente interno della funzione di internal audit, dovrebbe necessariamente invece essere diverso da quelli/o eventualmente nominati per le funzioni di secondo livello. Comunque a mero titolo esemplificativo, nelle società con organo di gestione monocratico, obbligate ad istituire una funzione di controllo interno, il referente delle attività di controllo esternalizzate potrà essere lo stesso l’amministratore unico.
Per maggiori informazioni rivolgersi all’Avvocato Stefano Ilari
