Il ruolo delle funzioni Compliance e Antiriciclaggio

Le funzioni di Compliance ed Antiriciclaggio operano, all’interno del complesso e strutturato sistema organizzativo della Banca, come funzioni di staff sottoposte direttamente alla Direzione Generale e al Consiglio di Amministrazione; una simile decisione organizzativa trova la sua spiegazione nella necessità di garantire che l’operato delle suddette funzioni si svolga adempiendo ai requisiti

152 _{Il Collegio Sindacale è considerato alla stregua di organo “esterno” principalmente a causa}

130  

- individua e previene il rischio di non conformità, il rischio cioè di incorrere in sanzioni, perdite finanziarie e di reputazione in conseguenza della mancata osservanza di leggi, regolamenti, principi, norme statutarie, prassi di mercato, codici interni e procedure;

- identifica nel continuo le norme applicabili alla Banca e provvede alla misurazione e alla valutazione del loro impatto su processi e procedure aziendali;

- supporta il direttore generale nella definizione delle politiche di gestione del rischio di non conformità elaborando, sulla base delle indicazioni ricevute, il documento da sottoporre annualmente all’approvazione del Consiglio di Amministrazione.

La figura di riferimento è costituita dal Responsabile della Compliance il quale: § si tiene costantemente aggiornato sulla normativa rilevante per l’attività

della Banca;

§ collabora con l’ufficio organizzazione nella stesura della normativa interna (regolamenti, manuali ecc…);

§ definisce le metodologie e gli strumenti volte all’identificazione e alla valutazione del rischio di non conformità ed effettua la periodica valutazione del rischio a livello di normativa, di processo e aziendale; § coordina la propria azione con quella delle altre funzioni di controllo, in

particolare con il Risk Controller;

§ valuta l’esistenza dei rischi di non conformità anche mediante l’accesso incondizionato a tutte le strutture aziendali;

§ propone alla direzione generale e all’ufficio organizzazione adeguamenti organizzativi in termini di strutture, processi, procedure (anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità;

131  

§ è responsabile della segnalazione dei comportamenti che violano la normativa esterna ed interna;

§ promuove l’adozione di contromisure per la corretta gestione del rischio di non conformità a fronte delle anomalie rilevate nell’esecuzione delle verifiche di competenza;

§ predispone proposte di revisione e integrazione delle disposizioni interne riguardanti l’adempimento degli obblighi posti dalla normativa esterna; § è responsabile del reporting periodico destinato ai vertici aziendali in

merito al rischio di non conformità.

Per quanto concerne invece la funzione Antiriciclaggio, anch’essa relaziona direttamente con il Consiglio di Amministrazione e la Direzione Generale e, nell’ambito delle sue funzioni:

- verifica l’adeguatezza delle applicazioni e delle procedure utilizzate per la rilevazione e la segnalazione delle operazioni sospette, ai sensi della normativa in materia di antiriciclaggio;

- supporta e fornisce consulenza sulle scelte gestionali, effettuando le valutazioni di competenza sui nuovi prodotti e servizi offerti;

- svolge funzioni di controllo di conformità sull’applicazione della normativa primaria e secondaria di riferimento;

- gestisce le relazioni con gli Organi Esterni (in particolare l’UIF) in materia di antiriciclaggio;

- informa periodicamente l’alta direzione sulle attività svolte.

Come per la funzione Compliance, anche la funzione Antiriciclaggio vede istituito al proprio interno un responsabile che, nello specifico:

§ identifica le norme applicabili e valuta il loro impatto sui processi e le procedure interne;

§ collabora all’individuazione degli assetti organizzativi finalizzati alla prevenzione e al contrasto dei rischi in discorso e verifica nel continuo il loro grado di efficacia;

132  

adottate, proponendo modifiche organizzative e procedurali al fine di assicurare un adeguato presidio dei rischi;

§ presta consulenza e assistenza agli organi aziendali e all’alta direzione e, in caso di offerta di prodotti e servizi nuovi, attua in via preventiva le valutazioni di competenza;

§ verifica l’affidabilità del sistema informativo di alimentazione dell’AUI aziendale;

§ verifica il corretto inserimento delle considerazioni dei responsabili di filiale in merito ai movimenti inattesi proposti dalla procedura GIANOS®©_{, di cui si tratterà più avanti;}

§ predispone un documento, da sottoporre all’approvazione dell’organo con funzione di supervisione strategica, che definisce responsabilità, compiti e modalità operative nella gestione del rischio di riciclaggio e di finanziamento al terrorismo. Si occupa inoltre di rendere tale documento disponibile e facilmente accessibile a tutto il personale dipendente e ai collaboratori;

§ trasmette mensilmente all’UIF i dati aggregati concernenti le registrazioni nell’Archivio Unico Informatico (Flusso S.A.R.A.);

§ cura, in accordo con le altre funzioni aziendali competenti in materia di formazione, la predisposizione di un adeguato piano formativo finalizzato a conseguire un aggiornamento su base continuativa del personale dipendente e dei collaboratori.

133  

2. Il Presidio del Rischio di Compliance: Go® Compliance

2.1 Il software

La BCC di Fornacette per fronteggiare il verificarsi dei rischi di non conformità si serve da 2 anni a questa parte di un applicativo software modulare153 sviluppato dalla società Opentech® e denominato “Go®”; nello specifico, il pacchetto di interesse utilizzato dalla Banca è chiamato Go® Compliance.

Tale software si prefigge come obiettivo principale quello di assecondare le aziende e gli enti nel monitoraggio del quadro normativo, nel garantire processi conformi e, più in generale, nel verificare l’efficacia dei presidi posti in essere per la mitigazione dei rischi di non conformità. Alcune funzioni svolte dal programma riguardano:

- la mappatura di norme, processi, controlli e rischi;

- la predisposizione di azioni di mitigazione, sia preventive che correttive, a completa discrezione dell’utente che lo utilizza;

- la valutazione, sia qualitativa che quantitativa, dei rischi;

- il monitoraggio dei più opportuni indicatori di conformità predisposti; - la generazione di report e statistiche in merito al presidio del rischio di

compliance.

Senza dubbio il principale punto di forza che caratterizza il software è rappresentato dal fatto di essere “aperto” e personalizzabile: infatti, i responsabili che provvedono al presidio del rischio di conformità hanno la possibilità di predisporre ed inserire all’interno del programma tutti i controlli e le azioni correttive che ritengono più opportune, nonché la facoltà di predisporre un piano delle verifiche atto alla valutazione dei controlli in essere.

153 _{Per un approfondimento sul concetto di “modularità” degli applicativi software si veda L. Marchi,}

134  

l’intera operatività della banca e che potrebbero sfociare in rischi sia di non conformità quanto reputazionali o legali; ad ogni evento è assegnato un punteggio di rischio che, con cadenza mensile, viene aggiornato in automatico dal programma.

Gli eventi di rischio, affinché possano essere considerati come “monitorati”, devono essere visualizzati dall’operatore con un simbolo di colore verde significativo del fatto che il punteggio di rischio associato al preciso evento è al di sotto della soglia decisa preventivamente dalla banca; al contrario, uno stato

rosso comporta la necessità di intervenire

tempestivamente con azioni ulteriori volte all’abbattimento del punteggio di rischio. Per fare questo occorre associare ad ogni evento di rischio un nuovo controllo che sia il più possibile idoneo a ricondurre il punteggio al di sotto della soglia fissata a priori. A ciascun evento rischioso vengono inoltre assegnate le principali normative che lo riguardano, normative che devono essere costantemente aggiornate per far si che i controlli effettuati siano sempre “compliant”, attinenti cioè alle disposizioni interne ed esterne.

La parte più importante del programma è dunque costituita dalla varietà di controlli che devono essere creati ed associati ai singoli eventi di rischio affinché il valore di accadimento di questi ultimi sia sempre contenuto entro la soglia predeterminata; tali controlli, se effettuati correttamente, garantiscono l’abbattimento del punteggio associato all’evento mentre, nel caso siano mal eseguiti, ne favoriscono l’incremento.

135  

Per quanto concerne l’esecuzione vera e propria dei controlli di primo livello, ogni utente della Banca che accede al programma tramite la propria username e password visualizza la schermata iniziale di riferimento del programma, quella relativa alla “ToDo List”: tale è una lista in cui sono suggerite una serie azioni da compiere, fornite in automatico dal programma all’operatore. Esempi di indicazioni importanti possono essere quelle relative alle “news”, una serie di suggerimenti riferiti agli aggiornamenti delle normative provenienti dalla società esterna che si occupa della gestione del software, oppure in merito ai controlli che devono essere eseguiti secondo quanto predisposto per ciascun evento di rischio; in particolare, i controlli da iniziare vengono forniti in automatico dall’applicativo in base alla periodicità stabilita in sede di censimento del controllo, ovvero la frequenza con cui il controllo stesso deve essere eseguito (ogni giorno, ogni mese, annualmente, “ad evento”).

(Go® _{Compliance - Esempi di “ToDo” List)} Una volta eseguito il controllo indicato, l’esecutore registra il suo esito sull’applicativo indicandone contestualmente la percentuale di avanzamento. Capita infatti che alcuni controlli non siano adempiuti nel corso della stessa operazione in quanto richiedono una maggiore quantità di tempo; in questo caso l’operatore, sulla base della propria esperienza, inserisce la percentuale di avanzamento del controllo secondo lui svolta fino a quel momento, così che il controllo stesso continui a risultare all’interno della ToDo List fino a quando non sarà giunto a completamento, ovvero la sua percentuale di avanzamento non avrà raggiunto il valore di 100.

136  

rischi di non conformità fa riferimento ai controlli di secondo livello che si espletano nella verifica:

§ dell’adeguatezza dei controlli di primo livello e delle procedure poste in essere;

§ della conformità alle disposizioni (interne ed esterne) emanate.

In ultima analisi, il programma fornisce in output una lista delle verifiche così come censite all’interno dell’applicativo dai responsabili che si occupano di realizzarle; l’applicativo permette inoltre di pianificare l’esecuzione delle verifiche così che anch’esse possano essere effettuate in base ad una predeterminata periodicità.

(Go® _{Compliance - Esempio di Lista delle Verifiche)}