Tre linee di difesa per gestire e controllare correttamente i rischi

L’IIA – Institute of Internal Auditors – ha aggiornato, a luglio 2020, il modello “The IIA’s Three Lines of Defense Model” che in precedenza era noto come “The Three Lines of Control for Effective Risk Management and Control”.

In questa nuova versione del modello, l’IIA propone un approccio che mira a garantire una maggiore integrazione delle questioni di governance nella gestione e controllo dei rischi. In altre parole, le imprese devono dotarsi di strutture e processi ottimali per raggiungere i loro obiettivi strategici, creare valore e prendersi cura della sostenibilità.

Il modello IIA delle tre linee di difesa presenta quindi un’analisi dettagliata incentrata sui seguenti temi: 1. I principi fondamentali del modello, 2. I ruoli e le responsabilità degli organi di governance e delle funzioni coinvolte nella gestione e nel controllo dei rischi, 3. Le relazioni esistenti tra gli attori principali: consiglio di amministrazione, direzione e audit.

1. I principi fondamentali del Modello delle Tre Linee

L’IIA identifica sei principi fondamentali che devono essere presi in considerazione dagli organi di governance nell’ambito della gestione dei rischi e dello sviluppo di una governance efficiente. Si tratta dei seguenti principi:

• Principio 1 – Governance

La governance di un’organizzazione deve essere basata su strutture e processi appropriati che devono permettere:

• all’organo di governance di fissare la strategia dell’impresa – definendo la sua visione, la sua missione, i suoi valori e la sua propensione ai rischi – e di assumersi la responsabilità di rendere conto alle parti interessate
• all’equipe di direzione di privilegiare un processo decisionale basato sui rischi e di attuare tutte le azioni correttive necessarie per garantire una gestione efficiente dei rischi
• alla funzione di audit interna di fornire garanzie e consulenze per apportare chiarezza e fiducia in modo da favorire un miglioramento continuo della gestione.

• Principio 2 – Ruoli dell’organo di governo

L’organo di governance deve garantire la creazione di strutture e processi adeguati necessari per attuare una governance efficace, e verificare che gli obiettivi dell’organizzazione siano in linea con gli interessi prioritari delle parti interessate.

A tal fine, deve delegare alcune delle sue responsabilità e assegnare delle risorse all’equipe di direzione per consentirle di realizzare gli obiettivi strategici dell’impresa, in conformità con le norme giuridiche ed etiche.

Inoltre, deve designare e sorvegliare la funzione di audit interna che è incaricata di formulare, in modo chiaro, il suo parere sui progressi compiuti, ma anche sulle misure correttive da adottare per migliorare la gestione e il controllo dei rischi.

• Principio 3 – L’equipe di direzione e la prima e seconda linea di difesa

La responsabilità dell’equipe di direzione di raggiungere gli obiettivi dell’organizzazione comprende anche i ruoli delle prime due linee di difesa, cosi come identificate dal modello IIA. I ruoli della prima linea sono più direttamente legati alla fornitura di prodotti o servizi ai clienti dell’organizzazione e includono le funzioni di supporto. La seconda linea, invece, corrisponde alle attività che devono coadiuvare l’equipe di direzione nella gestione dei rischi.

L’IIA precisa che la prima e la seconda linea di difesa possono essere accorpate o separate. Alcuni ruoli della seconda linea possono essere affidati ad esperti incaricati di fornire competenze complementari di assistenza, di monitoraggio e di critica costruttiva verso gli attori della prima linea.

Altri ruoli della seconda linea del modello IIA possono essere orientati verso la realizzazione di obiettivi specifici relativi alla gestione dei rischi (come la conformità alle leggi e ai regolamenti, e al Codice etico, il controllo interno, la sicurezza dei sistemi informatici, lo sviluppo sostenibile…) con conseguente conferimento a quest’ultimi di maggiori responsabilità.

• Principio 4 – Ruolo della terza linea di difesa

Nel suo ruolo di terza linea, la funzione di audit fornisce garanzie e consulenze indipendenti e obiettive sull’adeguatezza e l’efficacia della governance e della gestione dei rischi. Ha la possibilità di farsi assistere nell’esercizio della sua missione da consulenti e collaboratori, interni o esterni, all’impresa.

• Principio 5 – Indipendenza della terza linea di difesa

La funzione di audit interna deve essere necessariamente indipendente dall’equipe di direzione al fine di preservarne l’obiettività, l’autorità e la credibilità.

• Principio 6 – Creazione e protezione del valore

Insieme, tutti i ruoli citati contribuiscono alla creazione e alla tutela del valore dell’impresa, sempre che siano in sintonia tra loro e tengano conto degli interessi prioritari delle parti interessate. Da questo punto di vista, la comunicazione, la cooperazione e la collaborazione tra i diversi attori coinvolti nella gestione e controllo dei rischi è essenziale.

2. I ruoli chiave del Modello a Tre Linee

Il modello delle tre linee di difesa dell’IIA offre quindi alle organizzazioni economiche una grande flessibilità. Non esiste un unico modello di difesa valido per tutti i tipi di organizzazioni. In effetti, il modo in cui le imprese applicano i principi identificati dall’IIA per mettere in atto strutture e processi adeguati in grado di garantire la gestione dei rischi può variare da un’organizzazione all’altra, a seconda delle loro esigenze ed obiettivi.

3. Relazioni tra i diversi attori del modello IIA

L’IIA dedica un capitolo specifico all’esame delle relazioni tra i principali attori del modello delle tre linee di difesa. E in particolare, l’IIA pone grande enfasi sull’importanza di creare buone relazioni tra:

• L’organo di governance e l’equipe di direzione (prima e seconda linea)

Il grado di separazione o di sovrapposizione tra i ruoli dell’organo di governance e dell’equipe di direzione varia da un’organizzazione all’altra. L’organo di governance può adottare un approccio più o meno interventista nelle questioni operative e strategiche.

In ogni caso, l’equipe di direzione e l’organo di governance devono stabilire una solida comunicazione tra di loro. Sebbene il direttore generale (DG) svolga spesso il ruolo di interlocutore principale, altri dirigenti possono interagire regolarmente con l’organo di governance.

In alcune organizzazioni, gli attori della seconda linea (come i responsabili della gestione dei rischi e della conformità) sono direttamente collegati all’organo di governance. Per alcune imprese si tratta di una scelta volontaria giustificata dal fatto di garantire la massima indipendenza ai responsabili delle funzioni interessate. Per altre imprese, invece, si tratta di un obbligo imposto dalla regolamentazione.

• L’equipe di direzione (prima e seconda linea) e l’audit interno

L’indipendenza dell’audit interno dall’equipe di direzione gli consente di pianificare e svolgere i propri compiti in piena libertà e imparzialità. L’audit interno deve disporre delle risorse necessarie per svolgere la sua missione e avere accesso a tutte le informazioni di cui ha bisogno.

L’audit interno è direttamente collegato all’organo di governance. E deve mantenere un dialogo regolare con l’equipe di direzione per consentire a quest’ultima di verificare che i lavori dell’audit sono pertinenti e in linea con gli obiettivi strategici dell’impresa.

Attraverso l’esercizio della sua missione, l’audit interno impara a conoscere e a comprendere l’organizzazione in profondità, migliorando così la qualità dell’assicurazione e della consulenza che fornisce in quanto partner strategico ed esperto di fiducia dell’impresa.

• Audit interno e organo di governance

L’audit interno rende conto all’organo di governance – di cui a volte viene descritto come «occhi e orecchie» – e deve avvertirlo in caso perdita o di possibili violazioni della sua indipendenza e imparzialità in modo che possa adottare le misure di protezione necessarie.

Conclusioni

Di fronte a un mondo sempre più interconnesso in cui complessità, incertezza e instabilità sono sempre più presenti, il modello di tre linee di difesa dell’IIA offre alle imprese interessate un dispositivo globale di controllo dei rischi che fornisce un orientamento ed elementi di linguaggio comuni.

Ciò non può che rafforzare la cultura del rischio all’interno delle imprese, facilitare il consolidamento di informazioni disparate, responsabilizzare gli attori coinvolti e favorire lo sviluppo di una governance più efficace.

gp@giovannellapolidoro.com