In buona sostanza, l'Internal audit è tenuto a segnalare le operazioni sospette ex d.lgs 231/07?
Il 1° comma dell'art. 52 del decreto legislativo richiede che a vigilare sull'osservanza delle norme antiriciclaggio siano:
- il collegio sindacale;
- il consiglio di sorveglianza;
- il comitato di controllo di gestione;
- l'organismo di vigilanza ex d.lgs 231/01;
- "tutti i soggetti incaricati del controllo di gestione comunque denominati".
Ma la funzione di Internal audit è assimilabile agli organi di controllo e vigilanza menzionati dalla norma?
Ovvero, l'Internal audit gode di quell'autonomia, di quell'indipendenza, di quella autosufficienza economica dagli organi amministrativi, necessaria a garantirgli la massima libertà d'azione?
La risposta è piuttosto ovvia, ed è no!
Infatti l'Internal audit, dipendendo funzionalmente dall'organismo amministrativo, non può essere assimilato ad un organo di vigilanza, proprio per la mancanza di quegli elementi distintivi, tipici e caratteristici che invece dovrebbero qualificare una struttura di controllo.
Ma vi è un'altra motivazione meno empirica e più concettuale che porta ad escludere l'Internal audit dal novero dei soggetti obbligati alla segnalazione di operazioni sospette ai fini antiriciclaggio.
La ragione è da ricercarsi nello stesso compito attribuito dall'organo amministrativo alla funzione Internal audit: l'essere responsabile dell'aggiornamento e del corretto funzionamento dei sistemi di controllo interno.
Se si considerassero, come devono essere considerate, le procedure antiriciclaggio come una delle più importanti componenti di un efficiente ed efficacie sistema di controllo interno, allora non apparirebbe tanto strano escludere dagli organi utilizzatori dello stesso sistema di vigilanza, la struttura che ne tiene la manutenzione.
L'Internal audit è chiamato a garantire che il sistema antiriciclaggio funzioni correttamente e sia aggiornato ed adeguato ad intercettare le operazioni sospette da segnalare all'Unità di Informazione Finanziaria, mentre altre strutture saranno preposte ad utilizzare tali sistemi e procedure per effettuare materialmente le comunicazioni.
Se così non fosse ci troveremmo a negare un principio fondamentale nell'ambito delle attività di controllo e vigilanza: il concetto di "segregation of duties", di cui il blog si è già occupato nel dicembre scorso (link), ovvero il principio di segregazione o separazione dei compiti tra la funzione d'Internal audit e la funzione Antiriciclaggio.