Funzione di Audit Interno del Family Office: Ambito, Linee di Reporting e Garanzie di Indipendenza
I family office con una complessità significativa — in particolare quelli che gestiscono patrimoni multigenerazionali in più giurisdizioni, veicoli di investimento e fornitori di servizi — richiedono una funzione di audit interno formale per supportare la governance, la gestione del rischio e la conformità normativa. Il design della funzione deve garantire che operi in modo indipendente dalla direzione operativa, fornendo al contempo una certificazione oggettiva sull’efficacia dei controlli interni, della mitigazione del rischio e dei processi di governance. Questo articolo descrive come definire l’ambito del mandato di audit interno, le linee di reporting e le salvaguardie di indipendenza in modo coerente con le aspettative normative e con il Modello delle Tre Linee dell’Institute of Internal Auditors.
La funzione di audit interno in un family office dovrebbe essere istituita mediante uno statuto formale approvato dal consiglio o da un organo di governance equivalente. Lo statuto deve definire lo scopo, l’autorità, l’ambito e le responsabilità della funzione in linea con gli standard dell’Office of the Comptroller of the Currency (OCC) per il controllo interno e la governance dell’audit. Secondo i manuali dell’OCC Internal Control e Internal and External Audits, lo statuto dovrebbe concedere esplicitamente alla funzione di audit interno accesso illimitato a tutti i documenti, al personale e alle proprietà fisiche necessarie per svolgere le proprie attività. Deve inoltre specificare che il capo dell’audit interno riferisce funzionalmente al comitato di audit e amministrativamente a un dirigente senior, tipicamente il chief executive officer o il presidente del consiglio.
Il posizionamento strutturale dell’audit interno deve riflettere il profilo di rischio dell’office. Per gli office che gestiscono trust, private equity o portafogli immobiliari, la funzione dovrebbe essere collocata a un livello sufficiente a influenzare le decisioni strategiche e a ottenere informazioni tempestive. L’OCC sottolinea che la posizione organizzativa della funzione di audit interno e le relazioni di reporting sono fondamentali per la sua efficacia e oggettività. Quando il family office opera sotto supervisione normativa — ad esempio tramite società controllate di consulenti di investimento registrati — il mandato di audit interno può essere soggetto a requisiti aggiuntivi previsti dalle norme SEC per i consulenti di investimento registrati, inclusa la regola sul programma di conformità dell’Advisers Act.
L’ambito dell’audit interno deve essere basato sul rischio e dinamico, coprendo tutte le attività aziendali, i sistemi e i controlli materiali. Secondo le indicazioni dell’OCC, l’ambito dovrebbe includere la natura e l’estensione delle attività, delle linee di prodotto, dei servizi e delle funzioni rispetto al profilo di rischio dell’office. Ciò comprende i processi di gestione degli investimenti, l’amministrazione di trust e patrimoni, la conformità fiscale, la cybersicurezza, il rischio di terze parti (ad es. fornitori di servizi per il family office, custodi, consulenti legali) e la supervisione delle transazioni tra parti correlate.
La frequenza e la profondità delle verifiche dovrebbero essere calibrate in base all’esposizione al rischio: le aree ad alto rischio — come posizioni concentrate, strategie derivati o strutture di fondi transfrontalieri — dovrebbero essere esaminate annualmente o con maggiore frequenza; le aree a basso rischio — come le funzioni di supporto amministrativo — possono essere esaminate su un ciclo pluriennale. L’ambito dovrebbe includere anche l’efficacia delle attività di controllo, comprese la separazione delle funzioni, le soglie di autorizzazione e le procedure di riconciliazione. Quando l’ufficio si avvale di funzioni esternalizzate (ad es., contabilità, monitoraggio della conformità), la revisione interna dovrebbe valutare l’adeguatezza della supervisione, inclusa la revisione dei report delle organizzazioni di servizio (ad es., SOC 1 o SOC 2).
La funzione di revisione interna deve riportare funzionalmente al comitato di audit per preservare l’indipendenza e garantire l’escalation tempestiva delle questioni materiali. Questa linea di reporting consente al chief audit executive di presentare i risultati e le raccomandazioni direttamente al comitato senza interferenze da parte della direzione. Amministrativamente, la funzione dovrebbe riportare a un dirigente senior — tipicamente l’amministratore delegato o il presidente del consiglio — per facilitare l’allocazione delle risorse, il personale e il coordinamento operativo.
Il comitato di audit è responsabile dell’approvazione della charter della revisione interna, del piano annuale e del budget, nonché della valutazione delle prestazioni del chief audit executive. Il comitato dovrebbe incontrare la revisione interna separatamente dalla direzione per discutere questioni sensibili, inclusi potenziali conflitti o limitazioni di ambito. Il manuale Corporate and Risk Governance dell’OCC osserva che i consigli di amministrazione e i comitati dovrebbero valutare l’adeguatezza della funzione di revisione interna all’interno del più ampio quadro di governance del rischio, includendo l’indipendenza degli auditor e la qualità dei risultati della revisione.
L’indipendenza è preservata mediante salvaguardie strutturali, procedurali e culturali. Dal punto di vista strutturale, il chief audit executive non deve ricoprire alcuna responsabilità operativa e non deve riportare alla direzione di linea. Proceduralmente, la funzione deve avere accesso illimitato a tutti i documenti, sistemi e personale, e deve poter avvalersi di esperti o consulenti esterni senza previa approvazione della direzione quando necessario. Il team di revisione interna non dovrebbe essere incaricato di implementare controlli o progettare sistemi — queste sono responsabilità di linea secondo il Three Lines Model.
Il Three Lines Model dell’Institute of Internal Auditors chiarisce che la revisione interna (terza linea) fornisce una garanzia indipendente sull’efficacia della prima linea (unità di business) e della seconda linea (funzioni di rischio e conformità). Per mantenere l’obiettività, il personale di revisione interna deve astenersi dal verificare aree in cui ha ricoperto in precedenza un ruolo di gestione o di implementazione per almeno un anno. Le valutazioni delle prestazioni del chief audit executive devono essere effettuate esclusivamente dal comitato di audit, con il contributo di amministratori indipendenti, se applicabile.
Le family office spesso compromettono l’efficacia della revisione interna confondendola con il monitoraggio della conformità, la preparazione fiscale o il supporto operativo. La revisione interna non dovrebbe svolgere funzioni di gestione, come la redazione dei bilanci, la due diligence su nuovi investimenti o la stesura di politiche. Quando la revisione interna viene utilizzata come team operativo di fatto, la sua oggettività viene compromessa e aumenta il controllo da parte delle autorità di vigilanza.
Un altro errore frequente è limitare l’accesso a informazioni o personale. La direzione può opporsi a concedere l’accesso a membri della famiglia, consulenti fidati o sistemi proprietari. Per mitigare ciò, la charter della revisione interna dovrebbe concedere esplicitamente i diritti di accesso e richiedere a tutto il personale e ai membri del consiglio di collaborare alle richieste di audit. Qualora la resistenza persista, il chief audit executive deve escalare la questione direttamente al comitato di audit e, se non risolta, all’intero consiglio.
Consideriamo una family office che gestisce 1,2 miliardi di dollari di attività attraverso tre entità legali: una società di investimento familiare, una società fiduciaria e una fondazione privata. La funzione di revisione interna, composta da due professionisti, elabora un piano annuale basato su una matrice di rischio che pondera giurisdizione, concentrazione degli asset, esposizione a terzi e esposizione normativa. Le aree ad alto rischio includono i controlli fiduciari della società fiduciaria, gli investimenti in fondi transfrontalieri e la conformità delle erogazioni della fondazione. Queste sono programmate per revisioni trimestrali, mentre le funzioni amministrative (ad es., risorse umane, strutture) sono esaminate biennalmente.
Il chief audit executive riporta amministrativamente al presidente del consiglio e funzionalmente al comitato di audit. Il comitato di audit si riunisce trimestralmente con la revisione interna in sessione esecutiva e riceve report scritti su tutti gli incarichi. Quando la revisione interna individua una lacuna di controllo nel processo di revisione dei conflitti di interesse della società fiduciaria, il risultato viene escalato direttamente al comitato, che poi ordina alla direzione di implementare un flusso di approvazione rivisto e di riformare il personale. Il team di revisione interna non progetta né implementa il nuovo flusso — questa resta una responsabilità di linea — garantendo così la preservazione dell’indipendenza.
Riferimenti
Cosa determina l'ambito appropriato della funzione di audit interno in un family office?
L’ambito deve riflettere la natura e la complessità delle attività, delle linee di prodotto, dei servizi e delle funzioni dell’office rispetto al suo profilo di rischio, inclusi gli assetti di investimento, le operazioni fiduciari e le dipendenze da terzi. Deve coprire tutte le aree finanziarie e operative materiali secondo un calendario basato sul rischio.
A chi dovrebbe riferire la funzione di audit interno per garantire l'indipendenza?
La funzione dovrebbe riferire funzionalmente al comitato di audit (o all’organo di governance equivalente) e amministrativamente al chief executive o al presidente del consiglio. Questo doppio reporting preserva l’obiettività garantendo al contempo supporto operativo e l’accesso alle risorse necessarie.
Quali salvaguardie strutturali proteggono l'indipendenza della funzione di audit interno?
L’indipendenza è tutelata mediante l’approvazione formale dello statuto da parte del consiglio, l’accesso diretto al comitato di audit senza interferenze della direzione, l’accesso illimitato a documenti e personale, e la valutazione delle prestazioni da parte del comitato di audit — non dalla direzione operativa.