Sono passati oramai cinque anni dall’emanazione della Circolare 288/2015 – Disposizioni di vigilanza per gli Intermediari Finanziari, ma ancora oggi permangono dubbi, o meglio, molte e variegate interpretazioni sulle caratteristiche e responsabilità in capo a questa figura interna – chiamata Referente per le attività esternalizzate, specie nella gestione dei rapporti con la funzione di Internal Audit.
Partiamo dall’inizio e cerchiamo innanzitutto di capire la ratio di questa posizione, ulteriore responsabile del controllo, questa volta delle funzioni esternalizzate richiesta dalla Autorità di Vigilanza; quest’ultima ha voluto responsabilizzare in modo più definito, rispetto a quanto lo avesse fatto con la Circolare che precedeva, l’intermediario, che conserva la competenza richiesta per controllare efficacemente le funzioni esternalizzate e per gestire i rischi connessi con l’esternalizzazione, inclusi quelli derivanti da potenziali conflitti di interessi del fornitore di servizi; in tale ambito, individua, all’interno della propria organizzazione, un responsabile del controllo delle funzioni esternalizzate (“referente per le attività esternalizzate”).
È indubbio e riconosciuto da chi lavora nel mondo del controllo interno che esternalizzare le attività o le funzioni, anche di controllo, non significhi esternalizzare le relative responsabilità; anzi proprio per questo l’Autorità di Vigilanza richiede che tale figura sia, in primo luogo, interna alla organizzazione – escludendo evidentemente la possibilità di affidare questa responsabilità ad un ulteriore consulente o esterno all’Intermediario, che invece di mantenere al suo interno tale competenza proprio per avere la continuità di azione, di controllo e di monitoraggio sulle attività affidate in outsourcing, compresi i rischi connessi con l’esternalizzazione, compresi quelli derivanti da possibili conflitti di interesse del fornitore di riferimento.
Ecco allora che sorgono i primi problemi e dubbi; chi siano i candidati papabili e più accreditati per assumere questa responsabilità, per esempio; immaginate realtà tra le più variegate in termini di struttura organizzativa e dimensionale dalle 10/15 unità e oltre, ma pensate alle realtà piccole e già limitate nella configurazione organizzativa principale, figuriamoci per le funzioni di controllo.
Ecco che le figure candidate, nonché suggerite dalla stessa normativa di riferimento, a ricoprire il ruolo sono proprio gli amministratori, basta che non rivestano ruoli esecutivi e non siano in possesso di specifiche deleghe operative che ne possono compromettere l’autonomia; sono privilegiati invece gli amministratori in possesso di deleghe in materia di controllo interno e, meglio ancora se anche completamente indipendenti dalla realtà di riferimento.
Non mancano tuttavia però i casi, soprattutto nelle organizzazioni più piccole, in cui tale responsabilità venga assegnata al responsabile delle funzioni di controllo di secondo livello; quest’ultimo si trova spesso anche ricoprire tutte le funzioni aziendali di controllo, fatta ovviamente eccezione della funzione di Internal Audit.
In questi casi, ancorché la normativa non escluda tale possibilità, viene però compromessa l’indipendenza e autonomia di giudizio della funzione di terzo livello in quanto si trova da una parte a “giudicare adeguatezza e efficacia” delle funzioni di secondo livello e dall’altra ad essere “giudicato” – anche se solo in termini di SLA/KPI dal referente della funzione esternalizzata: che guarda caso è proprio colui che è e sarà anche oggetto di audit.
Ma veniamo al punto. Quali compiti e responsabilità ha il Referente per le attività esternalizzate? E soprattutto fino a che punto può o deve entrare nel merito del Piano di Audit o delle verifiche previste nel Piano, approvato dal Consiglio di Amministrazione, esprimendo una propria valutazione o giudizio?
Il referente per le attività esternalizzate ha il compito e responsabilità di monitorare il rispetto del contratto dell’outsourcer nell’esecuzione dei servizi esternalizzati, in particolare nel rispetto degli SLA e dei KPI in esso obbligatoriamente riportati come richiesto dalla normativa di riferimento, segnalando al Consiglio di Amministrazione, ove si verifichi il non completo e/o accurato rispetto dello stesso in termini oggettivi, appunto di prestazioni mancate o non effettuate: in tal senso infatti predispone, per l’approvazione del Consiglio di Amministrazione, entro il 30 aprile di ogni anno la “relazione sulle FOI”, con le considerazione dell’Organo con funzione di controllo in cui riporta il risultato del monitoraggio espletato sull’outsourcer.
Spesso capita però che proprio per senso di responsabilità o confusione più totale si eserciti un altro ruolo che con proprie valutazioni soggettive finisca per pronunciarsi sul merito del lavoro svolto dal fornitore selezionato, creando spesso duplicazioni inutili e non efficienti a volte anche di imbarazzo nel riconoscimento dei ruoli apicali: giova ricordare che è appunto il RIA ad essere il Responsabile della funzione di Internal Audit e dello svolgimento del Piano approvato dal Consiglio di Amministrazione; è infatti il suo nome che viene segnalato alla Autorità di Vigilanza e non quello del Referente interno.
Il Referente interno della funzione deve invece predisporre la relazione annuale sulle attività svolte dalla funzione di Internal Audit da inviare alla Autorità di Vigilanza: ciò appunto per dimostrare di aver conservato la competenza richiesta oltre che di essere sul pezzo nella gestione dei rischi di esternalizzazione connessi.
