Menu
Premium
Controlli interni - Internal Controls
03, Jun 2026

Le funzioni di controllo interno in banca: da centro di costo ad asset strategico

C'è una domanda che, in molte banche, viene raramente posta in modo diretto: le funzioni di controllo interno creano valore o sono solamente una fonte di costi?

La risposta intuitiva — e quella che spesso orienta le decisioni di budget — è che il controllo è un costo necessario, una struttura che serve a non incorrere in sanzioni, a superare le ispezioni di vigilanza, a tenere a posto i documenti. Una visione onesta, ma ormai radicalmente insufficiente.

La Circolare di Banca d'Italia n. 285 è esplicita su questo punto: il sistema dei controlli interni «ha rilievo strategico» e «orienta i mutamenti delle linee strategiche e delle politiche aziendali». Non è la descrizione di un centro di costo. È la descrizione di un asset che, se gestito correttamente, migliora la qualità delle decisioni, riduce le perdite attese, abbassa il costo della vigilanza esterna e protegge il valore reputazionale della banca. Ma un asset che, se gestito male, diventa esattamente il contrario, e cioè fonte di rischi, di errori gestionali, di distruzione del franchise value e di oneri di ogni genere.

Quando il controllo distrugge valore

Prima di capire come le funzioni di controllo generano valore, vale la pena capire come lo distruggono. I meccanismi sono meno ovvi di quanto sembri.

Il più grave è quando la funzione di controllo interno incorre nella perdita di indipendenza, ciò che i supervisori europei definiscono "cattura". Non è quasi mai esplicita: non si manifesta con ordini diretti, ma con pressioni diffuse, auto-censura progressiva, subordinazione informale al business. Quando i report del Risk Management o della Compliance vengono rivisti, attenuati o "filtrati" prima di arrivare agli organi di vertice la catena informativa su cui si basano le decisioni strategiche è corrotta. Il danno non è solo di governance: è patrimoniale, perché le decisioni vengono prese senza conoscere i rischi reali, nella loro estensione e dimensione.

La seconda patologia è l’approccio adempimentalista. Una funzione di compliance che verifica formalmente l'esistenza di procedure senza valutarne l'efficacia sostanziale non protegge la banca — la illude di essere protetta, il che è molto peggio. Un piano di audit che replica anno dopo anno le stesse aree, ignorando l'evoluzione del profilo di rischio, lascia scoperte le zone più pericolose. Un report di una delle funzioni di controllo interno che è prolisso, tecnico, illeggibile per un consigliere di amministrazione o per un membro del Collegio Sindacale non è informazione: è rumore.

Il terzo meccanismo distruttivo è il silenzio. Quando le funzioni di controllo non esercitano il challenge – ad esempio quando esse tacciono di fronte a rischi gravi per non disturbare il business, quando i rilievi di audit vengono ignorati senza conseguenze, quando i pareri preventivi sono sistematicamente positivi per compiacere le linee operative – le funzioni smettono di esistere come presidio e diventano una “foglia di fico” che può tradursi in rischi ed oneri molto, molto elevati.

Quando il controllo crea valore

Il Risk Management crea valore in modo diretto quando il Risk Appetite Framework non è un documento di compliance ma lo strumento attraverso cui il consiglio di amministrazione decide quanta e quale rischiosità è disposto ad assumere. La BCE è netta su questo: «Il RAF dovrebbe essere il driver della strategia dell'istituzione, non il contrario». Quando funziona in questo modo, il Risk Management non frena il business ma, al contrario, lo orienta, lo rende sostenibile, consente di allocare il capitale verso le opportunità con il migliore profilo rischio/rendimento.

La Compliance crea valore intervenendo ex ante nella valutazione di nuovi prodotti, servizi e mercati. Ogni progetto innovativo che riceve un parere di conformità prima del lancio risparmia il costo, spesso enorme, delle correzioni successive, delle controversie con la clientela, delle sanzioni regolamentari. Non è un rallentamento del business: è un'accelerazione intelligente che crea conoscenza in banca e che può individuare linee di sviluppo del business ignote a coloro che si occupano di strategie o di commerciale.

L'Internal Audit crea valore su due fronti. Verso l'interno, con raccomandazioni che migliorano l'efficienza dei processi e che riducono le perdite operative. Verso l'esterno, fornendo agli organi aziendali e all'autorità di vigilanza l'assurance che le cose funzionano come dichiarato, un'assurance che vale molto nella costruzione della fiducia con il supervisore e, attraverso di essa, nella riduzione del costo della supervisione stessa e dei gradi di libertà che essa rilascia alla banca.

Il ruolo decisivo di chi governa

Nulla di tutto questo si realizza senza un impegno preciso da parte di chi governa la banca.

L'organo con funzione di supervisione strategica (il consiglio di amministrazione, nel sistema tradizionale) ha compiti che la normativa definisce non delegabili: nomina e revoca i responsabili delle funzioni di controllo, approva l'architettura dei flussi informativi, definisce il RAF e verifica la sua coerenza con il piano strategico e con il budget. Non sono adempimenti formali. Sono le decisioni che determinano quanto spazio e quante risorse le funzioni di controllo devono avere per fare davvero il loro lavoro.

Il problema è che questi compiti vengono spesso esercitati in modo ritualistico, ad esempio con approvazioni di piani di audit che non hanno mai portato a un dibattito sostanziale, con nomine di responsabili di controllo che replicano i profili del passato senza chiedersi se siano adeguati ai rischi del futuro. Un consiglio che approva il piano di Internal Audit senza mai chiedere conto dell'implementazione delle raccomandazioni dell'anno precedente non sta esercitando un compito di governance: sta performando un adempimento e sta facendo perdere soldi agli azionisti.

L'organo con funzione di controllo — il collegio sindacale — ha un ruolo simmetrico e complementare. La sua posizione di sintesi informativa è unica: riceve i flussi di tutte le funzioni di controllo, può rilevare incoerenze tra RAF, ICAAP e decisioni operative, ha il potere e il dovere di segnalare direttamente alla Banca d'Italia le irregolarità che non vengono risolte internamente. Esercitato con intelligenza, questo ruolo è un sistema di early warning istituzionale.

Incentivi e cultura: il nodo più sottile

C'è un ultimo tema che raramente viene affrontato con franchezza: gli incentivi. Le funzioni di controllo interno sono strutturalmente più deboli del business nel competere per risorse, per talenti, per attenzione. Se la remunerazione variabile è collegata, anche solo indirettamente, ai risultati delle aree controllate, l'indipendenza è già compromessa. Se i percorsi di carriera nelle funzioni di controllo interno sono percepiti come un binario morto, i migliori profili eviteranno quei ruoli.

La normativa è chiara sui divieti: nessun bonus sui risultati economici delle aree presidiate. Ma costruire un sistema di incentivi che funzioni richiede molto di più. Significa garantire una remunerazione fissa competitiva, riconoscere esplicitamente il contributo delle funzioni di controllo nelle decisioni strategiche, creare percorsi di carriera che valorizzino l'esperienza maturata nel controllo. La BCE raccomanda come best practice che i KPI della remunerazione variabile del management includano la tempestività con cui i rilievi di audit vengono risolti: un segnale semplice, ma potente, che l'organizzazione prende sul serio ciò che le funzioni di controllo interno segnalano.

Conclusione

La risposta alla domanda iniziale dipende quasi interamente dalle scelte di chi governa la banca. Le funzioni di controllo interno sono uno strumento prezioso e, come ogni strumento, il loro valore dipende da come vengono usate, da chi le usa e da quanto viene investito per tenerle aggiornate e determinate.

In particolare, in prospettiva la trasparenza sarà sottoposta ad ulteriore pressione normativa. Gli attori dell’industria finanziaria che desiderano perseguire l’eccellenza dovrebbero trasformare la loro profonda conoscenza della conformità in un vantaggio strategico, creando ambienti regolamentati per gli agenti di intelligenza artificiale.

Questi sono gli unici rifugi sicuri in cui la finanza autonoma sarà legalmente inattaccabile, tracciabile e verificabile.

In un mondo di algoritmi a scatola nera, l'istituzione che offre una garanzia di trasparenza diventa indispensabile. La conformità non è un centro di costo.

In un contesto in cui i rischi si moltiplicano — ESG, digitale, intelligenza artificiale, resilienza operativa, criminalità finanziaria — la domanda vera non è se possiamo permetterci funzioni di controllo di qualità. È quanto la banca potrà vivere ancora se non può permettersi di averle.

Le funzioni di controllo interno della sua banca stanno creando o distruggendo valore?

Se vuole approfondire come trasformare il sistema dei controlli interni in un asset strategico di valore - dalla governance degli organi alle competenze delle funzioni, dagli incentivi alla cultura del rischio -  mi direttamente (ab@studiobalestreri.it).

E se questo breve articolo Le è stato utile, lo condivida con chi in banca prende decisioni sul sistema dei controlli. È da lì che il cambiamento comincia. Grazie. 

L'articolo è basato su: Circ. Banca d'Italia n. 285 (51° aggiornamento, febbraio 2026), EBA Guidelines on Internal Governance (EBA/GL/2021/05 e Consultation Paper 2025), BCE Draft Guide on Governance and Risk Culture (luglio 2024).