Compliance e Internal Audit dei gestori: dalla CSA ESMA 2025 indicazioni operative per rafforzare i presidi di controllo
ESMA ha pubblicato il Final Report relativo alla Common Supervisory Action 2025 dedicata alle funzioni Compliance e Internal Audit dei gestori di fondi, con riferimento in particolare agli AIFM e alle società di gestione UCITS.
L’iniziativa, condotta con il coinvolgimento delle Autorità nazionali competenti dei 27 Stati membri dell’Unione europea e di 3 Paesi SEE, aveva l’obiettivo di verificare il grado di conformità dei gestori rispetto alle previsioni della disciplina AIFMD e UCITS in materia di assetti organizzativi, funzioni di controllo, indipendenza, risorse, reporting e follow-up delle anomalie.
Il quadro complessivo che emerge dal report è sostanzialmente positivo: la maggior parte delle Autorità nazionali ha valutato soddisfacente il livello generale di conformità degli operatori vigilati. Tuttavia, l’esercizio ha evidenziato diverse aree di miglioramento, in particolare con riferimento all’effettività dei controlli, alla qualità della documentazione, all’approccio risk-based, alla formalizzazione dei piani di controllo e alla capacità degli organi aziendali di presidiare in modo attivo le risultanze delle funzioni Compliance e Internal Audit.
Le principali evidenze della CSA
La CSA conferma che molti gestori hanno istituito funzioni Compliance e Internal Audit formalmente coerenti con il quadro normativo applicabile. Le policy e le procedure interne risultano, nella maggior parte dei casi, presenti e generalmente adeguate. Tuttavia, ESMA evidenzia che la qualità e l’effettiva applicazione di tali presidi variano sensibilmente in funzione della dimensione, della complessità operativa e del modello organizzativo adottato dai gestori.
Le vulnerabilità più ricorrenti riguardano:
- l’indipendenza effettiva delle funzioni di controllo;
- l’adeguatezza delle risorse dedicate, soprattutto quando le attività sono svolte da soggetti esterni o da strutture di gruppo;
- la qualità e la completezza dei report indirizzati al senior management e al board;
- la formalizzazione dei piani di monitoraggio Compliance e dei piani di Internal Audit;
- la tracciabilità delle azioni correttive e il monitoraggio del relativo stato di avanzamento;
- il rischio di un’applicazione solo formale del principio di proporzionalità.
Un tema trasversale riguarda inoltre l’utilizzo di fornitori esterni o strutture di gruppo per lo svolgimento di attività riconducibili alle funzioni di controllo. ESMA ribadisce che, anche in presenza di esternalizzazioni o supporti infragruppo, il gestore resta pienamente responsabile del rispetto della normativa applicabile e deve mantenere un adeguato presidio interno, con responsabilità chiare, flussi informativi strutturati e capacità di supervisione effettiva.
Le buone prassi: Compliance al centro del sistema di controllo
L’allegato al report dedica particolare attenzione alle buone prassi individuate dalle Autorità nazionali. Tali prassi riguardano soprattutto la funzione Compliance, a conferma del suo ruolo centrale nel presidio preventivo e continuativo dei rischi di non conformità.
Tra le prassi più significative rientra il coinvolgimento preventivo della Compliance nei processi di aggiornamento di policy e procedure, nell’introduzione di nuovi processi, nello sviluppo di nuovi prodotti e nelle valutazioni connesse alla product governance. In questi casi, la Compliance non interviene solo in fase di controllo ex post, ma fornisce un parere prima che i documenti o le iniziative siano sottoposti al senior management o al board.
Un’ulteriore buona prassi è rappresentata dall’utilizzo di strumenti IT dedicati, in grado di rendere più efficiente e tracciabile l’interazione tra Compliance e funzioni operative. La disponibilità di workflow strutturati, evidenze documentali e strumenti di monitoraggio consente di rafforzare la qualità dei controlli e di facilitare anche eventuali verifiche da parte delle Autorità.
ESMA valorizza inoltre l’istituzione di un Comitato Controlli interno, quale sede di raccordo tra funzioni di controllo e funzioni operative. Questo presidio può favorire una maggiore integrazione dei requisiti di compliance nei processi aziendali ordinari, evitando che la funzione Compliance sia percepita come un presidio meramente formale o separato dalla gestione operativa.
Particolare rilievo viene attribuito anche al reporting verso il board. La predisposizione di report periodici, almeno semestrali o trimestrali, consente all’organo amministrativo di ricevere un quadro aggiornato sui principali rischi di non conformità, sulle verifiche svolte, sulle carenze individuate e sulle azioni correttive avviate.
Accanto al reporting periodico, ESMA considera positivamente anche la produzione di report ad hoc su specifici eventi, novità regolamentari o sviluppi di mercato. Questa prassi appare particolarmente rilevante nei settori più sensibili per la tutela degli investitori, come costi e oneri, product governance, marketing, onboarding della clientela, reclami e processo di investimento.
Infine, tra le buone prassi viene richiamata la necessità di procedure interne chiare per la gestione delle carenze: le anomalie devono essere tempestivamente segnalate, accompagnate da raccomandazioni puntuali, responsabilità assegnate, scadenze definite e aggiornamenti periodici al board sullo stato di avanzamento.
Per la funzione Internal Audit, la buona prassi espressamente richiamata riguarda l’inserimento stabile dell’attività di audit tra i punti all’ordine del giorno del board. Tale approccio consente un coinvolgimento più frequente e strutturato dell’organo amministrativo, rafforzando la supervisione sulle risultanze degli audit e sulle azioni di rimedio.
Le cattive prassi: quando il presidio resta solo formale
Il report ESMA è particolarmente utile anche perché individua una serie di cattive prassi che possono rappresentare segnali di debolezza degli assetti di controllo.
Per la funzione Compliance, le criticità più rilevanti riguardano innanzitutto l’insufficiente monitoraggio delle azioni correttive. In alcuni casi, le carenze venivano segnalate al board, ma senza un adeguato aggiornamento sullo stato di avanzamento degli action plan. Questo approccio rischia di trasformare il reporting in un adempimento formale, privo di reale capacità di presidio.
Un’altra criticità ricorrente è la mancanza di raccomandazioni chiare e di scadenze definite. La semplice indicazione di una carenza, se non accompagnata da misure correttive concrete, responsabilità assegnate e tempistiche di attuazione, non consente al management e al board di esercitare un controllo effettivo.
ESMA segnala anche casi di documentazione insufficiente, ad esempio verbali del board che non riportano in modo adeguato le discussioni relative ai temi di compliance. Si tratta di un aspetto rilevante, perché la tracciabilità delle valutazioni svolte dagli organi aziendali è un elemento essenziale per dimostrare l’effettività della governance.
Particolarmente importante è anche il tema dei gruppi finanziari. Il report evidenzia il rischio che una funzione Compliance accentrata a livello di gruppo non tenga adeguatamente conto dei rischi specifici del gestore locale. In questi casi, il rischio è che il piano di compliance sia costruito su priorità generali di gruppo, trascurando aree rilevanti per la singola entità, come risk management, liquidità, valutazione degli asset o deleghe operative.
Ulteriori cattive prassi riguardano l’accesso limitato della Compliance a informazioni rilevanti, la mancata tracciatura sistematica degli episodi di non conformità, la debolezza dei controlli sui limiti di investimento, l’insufficiente coordinamento tra seconda e terza linea di difesa e l’assenza di una metodologia formalizzata e coerente per la valutazione dei rischi di compliance.
Per l’Internal Audit, le principali criticità riguardano la qualità e la chiarezza dei report, che in alcuni casi risultavano privi di obiettivi, perimetro, descrizione delle verifiche svolte e spiegazione adeguata dei rilievi. In assenza di report chiari e completi, il board non è messo nelle condizioni di assumere decisioni informate né di monitorare efficacemente le azioni correttive.
Sono state inoltre rilevate attività di audit eccessivamente generiche, carenze non intercettate dalla funzione Internal Audit ma emerse solo in sede di verifica di vigilanza, debolezze prive di raccomandazioni formali e casi in cui le policy di audit di gruppo non erano state rese formalmente applicabili all’entità locale.
Un’ulteriore cattiva prassi particolarmente significativa riguarda l’assenza di audit sulla funzione Compliance. Tale circostanza evidenzia una debolezza strutturale del sistema dei controlli interni, poiché anche la seconda linea di difesa deve essere periodicamente oggetto di verifica indipendente da parte della terza linea.
Le indicazioni operative per i gestori
Le evidenze della CSA confermano che l’efficacia delle funzioni Compliance e Internal Audit non può essere valutata solo sulla base dell’esistenza formale di policy, procedure e organigrammi. Gli aspetti realmente decisivi sono l’indipendenza effettiva, la disponibilità di risorse adeguate, la qualità dei controlli, la capacità di produrre reporting utile per gli organi aziendali e la tracciabilità del follow-up.
In questa prospettiva, i gestori dovrebbero verificare in particolare che:
- i piani di Compliance e Internal Audit siano fondati su una metodologia risk-based formalizzata;
- i report al board siano chiari, completi e orientati alle decisioni;
- le anomalie siano accompagnate da raccomandazioni, responsabilità, scadenze e monitoraggio dello stato di avanzamento;
- le funzioni di controllo abbiano accesso a tutte le informazioni rilevanti;
- le attività svolte da soggetti esterni o da strutture di gruppo siano presidiate da contratti, flussi informativi, SLA, KPI e controlli interni adeguati;
- il principio di proporzionalità sia applicato in modo sostanziale e documentato, e non come giustificazione automatica di presidi ridotti.
Conclusioni
La Common Supervisory Action 2025 conferma che le funzioni Compliance e Internal Audit rappresentano presidi essenziali per la sana e prudente gestione dei gestori di fondi. Il messaggio di ESMA è chiaro: non è sufficiente disporre di funzioni formalmente istituite, ma occorre dimostrare che tali funzioni siano autorevoli, indipendenti, adeguatamente dotate di risorse, integrate nei processi decisionali e capaci di generare azioni correttive effettive.
Le buone e cattive prassi richiamate nel report costituiscono quindi uno strumento utile di autovalutazione per i gestori. Esse consentono di individuare le aree di rafforzamento del sistema dei controlli interni e di anticipare le aspettative delle Autorità di vigilanza, in un contesto in cui la qualità della governance e l’effettività dei presidi di controllo assumono un ruolo sempre più centrale.
Tabella 1 — Buone e cattive prassi relative alla funzione Compliance
| N. | Tipologia | Prassi | Messaggio chiave |
|---|---|---|---|
| 1 | Buona prassi | Coinvolgimento preventivo della Compliance nella revisione di policy e procedure, nell’introduzione di nuovi processi, nuovi prodotti e presidi di product governance. | La Compliance deve intervenire prima delle decisioni rilevanti, non solo in fase di controllo ex post. |
| 2 | Buona prassi | Utilizzo di strumenti IT dedicati per rendere tracciabili le interazioni tra Compliance e funzioni operative, nonché i controlli ex post. | La tracciabilità rafforza l’efficacia dei controlli e facilita anche eventuali verifiche di vigilanza. |
| 3 | Buona prassi | Istituzione di un Comitato Controlli interno per favorire il coordinamento tra funzioni di controllo e funzioni operative. | I requisiti di compliance devono essere integrati nei processi aziendali ordinari. |
| 4 | Buona prassi | Predisposizione di report periodici della Compliance al board, almeno su base semestrale o trimestrale. | Il board deve ricevere informazioni regolari, complete e utili per esercitare la propria supervisione. |
| 5 | Buona prassi | Procedure interne che disciplinano la segnalazione delle carenze, la definizione delle azioni correttive, le relative scadenze e il monitoraggio dell’avanzamento. | Ogni carenza deve generare un action plan concreto, assegnato e monitorabile. |
| 6 | Buona prassi | Predisposizione di report ad hoc su eventi, novità regolamentari o sviluppi di mercato, con particolare attenzione alla tutela degli investitori. | La Compliance deve essere in grado di reagire tempestivamente ai cambiamenti del contesto normativo e operativo. |
| 7 | Cattiva prassi | Insufficiente monitoraggio dell’avanzamento degli action plan e delle azioni correttive. | Segnalare una carenza non è sufficiente: occorre verificarne la presa in carico e la chiusura. |
| 8 | Cattiva prassi | Report Compliance privi di raccomandazioni chiare o di scadenze definite. | Le carenze devono essere accompagnate da misure correttive, responsabilità e tempi di attuazione. |
| 9 | Cattiva prassi | Verbali del board non sufficientemente documentati sulle discussioni relative ai temi di compliance. | La supervisione del board deve essere dimostrabile anche sul piano documentale. |
| 10 | Cattiva prassi | Eccessivo affidamento alla Compliance di gruppo, senza adeguato focus sui rischi specifici dell’entità locale. | Le priorità di gruppo non devono sostituire la valutazione dei rischi propri del gestore. |
| 11 | Cattiva prassi | Misure inadeguate di controllo e sicurezza nella gestione elettronica dei documenti e dei flussi informativi. | La protezione delle informazioni è parte integrante del sistema dei controlli interni. |
| 12 | Cattiva prassi | Accesso limitato della Compliance a informazioni rilevanti, come dati sulla remunerazione o altri flussi necessari. | La Compliance deve disporre di tutte le informazioni utili per valutare i rischi di non conformità. |
| 13 | Cattiva prassi | Risorse Compliance insufficienti o allocate su attività riferibili ad altre entità del gruppo. | Le risorse devono essere coerenti con il perimetro operativo e il profilo di rischio del gestore. |
| 14 | Cattiva prassi | Mancata tracciatura sistematica degli episodi di non conformità. | Le violazioni devono essere registrate, analizzate e monitorate nel tempo. |
| 15 | Cattiva prassi | Controlli insufficienti sul rispetto dei limiti di investimento. | Le aree regolamentari ad alto impatto devono essere adeguatamente coperte dal piano di controllo. |
| 16 | Cattiva prassi | Controlli inefficaci o tardivi da parte della seconda e della terza linea di difesa. | Il sistema dei controlli deve intercettare tempestivamente le criticità. |
| 17 | Cattiva prassi | Scarso coordinamento tra Compliance e Internal Audit. | Seconda e terza linea di difesa devono condividere informazioni rilevanti e assicurare coerenza tra le rispettive pianificazioni. |
| 18 | Cattiva prassi | Metodologia di compliance risk assessment non documentata o applicata in modo incoerente. | Il piano di Compliance deve fondarsi su una metodologia risk-based formalizzata e coerente. |
Tabella 2 — Buone e cattive prassi relative alla funzione Internal Audit
| N. | Tipologia | Prassi | Messaggio chiave |
|---|---|---|---|
| 1 | Buona prassi | Inserimento dell’Internal Audit come punto stabile all’ordine del giorno del board. | Il board deve essere coinvolto in modo continuativo sulle risultanze dell’audit e sullo stato delle azioni correttive. |
| 2 | Cattiva prassi | Report di Internal Audit poco chiari, incompleti o privi di obiettivi, perimetro, descrizione delle verifiche e spiegazione delle risultanze. | Il board deve poter utilizzare i report di audit per assumere decisioni informate e monitorare i rimedi. |
| 3 | Cattiva prassi | Attività di audit troppo generiche, con controlli non sufficientemente granulari rispetto ai rischi effettivi. | Il piano di audit deve essere risk-based e adeguatamente dettagliato. |
| 4 | Cattiva prassi | Carenze non intercettate dall’Internal Audit, ma emerse solo in sede di verifica di vigilanza. | La terza linea di difesa deve essere in grado di individuare autonomamente le debolezze rilevanti. |
| 5 | Cattiva prassi | Debolezze prive di raccomandazioni formali o di adeguato follow-up. | Le risultanze di audit devono tradursi in azioni correttive tracciate, assegnate e monitorate. |
| 6 | Cattiva prassi | Policy di Internal Audit di gruppo non formalmente resa applicabile all’entità locale. | Il ricorso a strutture di gruppo deve essere formalizzato e adattato al contesto locale. |
| 7 | Cattiva prassi | Assenza di verifiche di Internal Audit sulla funzione Compliance. | Anche la seconda linea di difesa deve essere periodicamente oggetto di revisione indipendente. |
| 8 | Cattiva prassi | Scarso coordinamento tra Internal Audit e Compliance. | La terza linea deve coordinarsi con la seconda linea, pur mantenendo indipendenza e autonomia di giudizio. |