4. Le funzioni aziendali di controllo Considerazioni generali
4.2. Nello specifico, i controlli di secondo livello Il Risk Managament e la funzione
Officer come scelta in sintonia con l’attuale allocazione di ruoli e
responsabilità operata dalla Circolare 285. Alcune considerazioni sulla
funzione di Conformità.
Venendo ora, più nello specifico, alla funzione di Risk Management – la cui
centralità, come è noto, pare essere riemersa soprattutto in occasione e a seguito della
crisi finanziaria, come per altro dimostrato dalle importanti indicazioni in argomento
fornite negli ultimi anni da autorità internazionali e comunitarie (
215) – risulta
incontestabile come questa svolga un ruolo chiave nella valutazione integrata dei rischi
e del loro impatto sulla gestione della banca, conseguentemente ricoprendo un momento
nevralgico nella predisposizione ex ante di adeguate strutture operative e di assetti adatti
al business dell’istituto di riferimento (
216) (
217).
(215) Si pensi solo ai principi formulati in tema di corporate governance dal Comitato di Basilea
nonché alle Linee Guida EBA sull’Internal Governance. In materia, vedi poi le chiare parole di TARANTOLA A.M., Il ruolo del risk management per un efficace presidio dei rischi: le lezioni della crisi,
2011. reperibile sul sito istituzionale della Banca d’Italia, che sottolinea, a p. 5, «gli orientamenti che
vanno emergendo si muovono lungo tre direttrici: (i) organizzativa: alla visione tradizionale di unità organizzativa dedicata al “controllo di secondo livello” deve affiancarsi la concezione di “processo aziendale” che coinvolge, in una logica sia top-down sia bottom-up, tutta la struttura: unità commerciali, funzioni di controllo, manager, organi di vertice; (ii) funzionale: il ruolo del risk
management – spesso inteso come “laboratorio”, fucina di sviluppo delle metodologie di misurazione dei
rischi – deve evolvere verso quello di funzione che partecipa ai processi strategici e al controllo di gestione, promuovendo la logica della “redditività corretta per il rischio”; (iii) contenutistica: l’approccio per “silos”, centrato sui singoli profili di rischiosità, deve fare spazio a una visione “olistica” dell’esposizione complessiva, attenta alle interazioni tra rischi, unità di business, entità giuridiche».
(216) Con riferimento alla struttura, è richiesto che la funzione di controllo dei rischi sia organizzata
in modo efficiente ed efficace. Questa può essere infatti variamente articolata, ad esempio in relazione ai singoli profili di rischio (di credito, di mercato, operativo, modello, ecc.), purché la banca mantenga una visione d’insieme dei diversi rischi e della loro reciproca interazione. Le banche che adottano sistemi interni per la misurazione dei rischi, se coerente con la natura, la dimensione e la complessità dell’attività svolta, devono inoltre individuare all’interno della funzione di controllo dei rischi unità preposte alla convalida di detti sistemi indipendenti dalle unità responsabili dello sviluppo degli stessi. Cfr. Circ. 285, Parte Prima.IV.3.20.
(217) Quanto alle osservazioni internazionali in materia, è comune il richiamo della dottrina
BELTRATTI A.,STULZ R.M., Why Did Some Banks Perform Better during the Credit Crisis? A Cross-
Country Study of the Impact of Governance and Regulation, in Charles A Dice Center Working Paper No. 2009-12; HOPT K., Better Governance of Financial Institutions, in ECGI Law Working Paper n. 207,
2013; MEHRAN H.,MORRISON A.D.,SHAPIRO J.D., Corporate Governance and Banks: What Have We
Learned from the Financial Crisis? in FRB of New York Staff Report No. 502, reperibile su www.ssrn.com.
In particolar modo, e come già sottolineato in dottrina (
218), alla funzione in parola
andrebbe infatti ricondotto un ruolo di vero e proprio filtro permanente (
219) dell’operato
della supervisione strategica e della gestione della società, che viene istituito al fine di
scongiurare, in virtù delle competenze tecniche dei suoi componenti – innanzitutto del
suo responsabile, Chief Risk Officer – l’assunzione di rischi sovradimensionati o, in
ogni caso, non compiutamente apprezzabili in occasione della programmazione
dell’attività della banca.
E’ in tal senso, infatti, che risulta essere indirizzato, nello specifico, il potere
riconosciuto al Risk Management di dare «pareri preventivi sulla coerenza con il RAF
delle operazioni di maggiore rilievo eventualmente acquisendo, in funzione della natura
dell’operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi»
(
220), pur dovendosi registrare – a ben vedere – i limiti di una tale disposizione che, non
correlata ad un vero e proprio potere di veto del suo responsabile, resterebbe dunque pur
sempre costretta – in contrasto con le linee guida EBA (
221), ma a detta di chi scrive in
(218) Sul punto v. diffusamente PEDERSOLI E., (nt. 140).
(219) E’ noto, infatti, come ai sensi della Circolare 285, il Risk Management monitori costantemente il rischio effettivo assunto dalla banca e la sua coerenza con gli obiettivi di rischio, nonché il rispetto dei limiti operativi assegnati alle strutture operative in relazione all’assunzione delle varie tipologie di rischio.
(220) Tale potere è inoltre supportato dalle importantissime mansioni attribuite al Risk
Management, cui è richiesto inter alia di: (i) essere coinvolto nella definizione del RAF, delle politiche di
governo dei rischi e delle varie fasi che costituiscono il processo di gestione dei rischi, nonché nella fissazione dei limiti operativi all’assunzione delle varie tipologie di rischio; (ii) verificare l’adeguatezza del RAF; (iii) verificare nel continuo l’adeguatezza del processo di gestione dei rischi e dei limiti operativi; (iv) essere responsabile dello sviluppo, della convalida e del mantenimento dei sistemi di misurazione e controllo dei rischi assicurando che siano sottoposti a backtesting periodici (..); (v) definire metriche comuni di valutazione dei rischi operativi coerenti con il RAF, coordinandosi con la funzione di conformità alle norme, con la funzione ICT e con la funzione di continuità operativa; (vi) definire modalità di valutazione e controllo dei rischi reputazionali, coordinandosi con la funzione di conformità alle norme e le funzioni aziendali maggiormente esposte; (vii) coadiuvare gli organi aziendali nella valutazione del rischio strategico monitorando le variabili significative; (viii) assicurare la coerenza dei sistemi di misurazione e controllo dei rischi con i processi e le metodologie di valutazione delle attività aziendali, coordinandosi con le strutture aziendali interessate; (ix) sviluppare e applicare indicatori in grado di evidenziare situazioni di anomalia e di inefficienza dei sistemi di misurazione e controllo dei rischi; (x) analizzare i rischi dei nuovi i prodotti e servizi e quelli derivanti dall’ingresso in nuovi segmenti operativi e di mercato; (xi) dare pareri preventivi sulla coerenza con il RAF delle operazioni di maggiore rilievo eventualmente acquisendo, in funzione della natura dell’operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi; (xii) monitorare costantemente il rischio effettivo assunto dalla banca e la sua coerenza con gli obiettivi di rischio, nonché il rispetto dei limiti operativi assegnati alle strutture operative in relazione all’assunzione delle varie tipologie di rischio; (xiii) verificare il corretto svolgimento del monitoraggio andamentale sulle singole esposizioni creditizie ed infine; (xiv) verificare l’adeguatezza e l’efficacia delle misure prese per rimediare alle carenze riscontrate nel processo di gestione del rischio. Cfr. Circ. 285, Parte Prima.IV.3.21.
(221) Che, come è noto, al principio 27 sottolineano l’opportunità che un ente valuti la possibilità di
armonia con la distribuzione delle competenze e delle responsabilità attuata da Banca
d’Italia in tema di controlli e, più nello specifico, con la riconduzione di un tale argomento
all’ambito della supervisione strategica (
222) – nei perimetri della mera raccomandazione,
fermo restando il dovere dei gestori di motivare compiutamente eventuali scelte difformi,
in ossequio ai principi di corretta amministrazione di cui all’art. 2392 cod. civ. (
223).
Per quanto attiene, poi, all’altra anima dei controlli di secondo livello e, cioè, al tema
della Compliance, basti in tal sede richiamare le considerazioni generali poc’anzi svolte
con riferimento alle questioni di ordine strutturale/gerarchico e sottolineare, in via
preliminare, come questa – sostanzialmente intesa a verificare la piena corrispondenza tra
previsioni autonome ed eteronome – si veda attribuita la specifica finalità di arricchire il
già «articolato sistema dei controlli interni delle imprese bancarie e finanziarie di un
nuovo importante presidio per il contenimento dei rischi e la tutela dei risparmiatori»
(
224), nello specifico prevedendo modalità operative volte ad azzerare, quantunque ciò sia
possibile, quel c.d. rischio di non conformità alle norme, in estrema sintesi identificabile
nella possibilità di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie
rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (leggi,
e l’organo gestorio o i relativi comitati siano in grado di comunicare direttamente tra loro in relazione alle principali questioni in materia di rischi, compresi gli sviluppi nell’operatività che potrebbero essere non coerenti con la tolleranza al rischio/propensione per il rischio e gli indirizzi strategici dell’ente.
(222) Ed, infatti, a parere di chi scrive, tanto più a fronte del chiaro depotenziamento attuato in tema
a scapito dei delegati andrebbe abbandonata l’idea di rendere una funzione aziendale a tal punto rilevante da opporsi alle scelte del plenum per il tramite di un vero e proprio diritto di veto.
(223) Chiara, sul punto, la Circolare, che si limita a prevedere che l’organo con funzione di gestione
esamini le operazioni di maggior rilievo oggetto di parere negativo da parte della funzione di controllo dei rischi e, se del caso, le autorizzi, informando di tali operazioni l’organo con funzione di supervisione strategica e l’organo con funzione di controllo.
(224) Sul punto v. TARANTOLA A. M., La funzione di compliance nei sistemi di governo e controllo
delle imprese bancarie e finanziarie, Milano, 4 ottobre 2007 e La trasparenza sostanziale nei rapporti tra banca e clienti: la visione della Banca d’Italia, Roma, 6 giugno 2011, entrambi reperibili sul sito
istituzionale della Banca d’Italia. In particolare, nel primo scritto l’A. sottolinea come «la
regolamentazione sulla compliance recepisce i principi guida sulla materia pubblicati nel 2005 dal Comitato di Basilea. Essa pone particolare enfasi su alcuni aspetti comuni: il forte commitment degli organi di vertice; la formalizzazione del mandato in termini di compliance policy; l’autonomia del responsabile della compliance e il suo adeguato posizionamento gerarchico; il riporto diretto ai vertici aziendali; l’assegnazione di autorità, risorse e competenze adeguate quali presupposti di indipendenza della funzione; il rilievo attribuito al monitoraggio dell’esposizione ai rischi di non conformità e al reporting sistematico ai vertici aziendali; l’impulso ad azioni formative e informative su tematiche di conformità, quali strumenti di sviluppo di una cultura aziendale di compliance». Sempre in argomento si,
veda, poi lo scritto di DOLMETTA A.A., Funzione di compliance e vigilanza bancaria, in Banca, borsa, tit.
cred., 2012, p. 125 e ss. e la bibliografia ivi riportata nonché ABI, Il libro Bianco sulla funzione di
regolamenti) ovvero di autoregolamentazione (ad es., statuti, codici di condotta, codici
di autodisciplina) (
225).
Più in particolare, la Compliance, già oggetto di un attento intervento
regolamentare nel luglio 2007 (
226) e di una rivisitazione in chiave razionalizzatrice da
parte della Comunicazione congiunta Banca d’Italia - Consob in materia di ripartizione
delle competenze tra compliance e internal audit nella prestazione dei servizi di
investimento e di gestione collettiva del risparmio dell’8 marzo 2011(
227), traduce
quindi la volontà dell’Autorità di Vigilanza di identificare il rischio in ogni sua
possibile manifestazione e la necessità di assicurare, in primis, un corretto operare della
banca, che proprio nel rispetto quotidiano della normativa imposta troverebbe prima
garanzia di una gestione virtuosa, ai sensi della normativa di settore richiamata.
E ciò, non senza alcune problematicità, emerse soprattutto in tema di
sovrapposizione di ruoli e competenze con l’operato del terzo livello di controllo
interno, di cui ora segue l’esame.
(225) Specificano le Disposizioni che la funzione di conformità alle norme presiede, secondo un approccio risk based, alla gestione del rischio di non conformità con riguardo a tutta l’attività aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio. A tal fine, la funzione in parola deve avere accesso a tutte le attività della banca, centrali e periferiche, e a qualsiasi informazione in argomento rilevante, anche attraverso il colloquio diretto con il personale. I principali adempimenti che la funzione di conformità alle norme è chiamata a svolgere sono: (i) quella di ausilio alle strutture aziendali per la definizione delle metodologie di valutazione dei rischi di non conformità alle norme; (ii) l’individuazione di idonee procedure per la prevenzione del rischio rilevato, con possibilità di richiederne l’adozione; la verifica della loro adeguatezza e corretta applicazione; (iii) l’identificazione nel continuo delle norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali;
(iv) la proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei
rischi di non conformità identificati; (v) la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (ad es.: gestione del rischio operativo e revisione interna); (vi) la verifica dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità alle norme. Vi sono poi altre aree di intervento quali: (vii) il coinvolgimento nella valutazione ex ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi (inclusa l’operatività in nuovi prodotti o servizi) che la banca intenda intraprendere, nonché nella prevenzione e nella gestione dei conflitti di interesse sia tra le diverse attività svolte dalla banca, sia con riferimento ai dipendenti e agli esponenti aziendali; (viii) la consulenza e assistenza nei confronti degli organi aziendali della banca in tutte le materie in cui assume rilievo il rischio di non conformità, nonché la collaborazione nell’attività di formazione del personale sulle disposizioni applicabili alle attività svolte, al fine di diffondere una cultura aziendale improntata ai principi di onestà, correttezza e rispetto dello spirito e della lettera delle norme. Cfr. Circolare 285, Parte Prima.IV.3.19.
(226) Trattasi delle c.d. Disposizioni di vigilanza in materia di conformità (Compliance) del 10
luglio 2007, che riprendono quanto proprio della direttiva MiFid. Le Disposizioni citate sono reperibili sul sito istituzionale della Banca d’Italia e sono state abrogate dal 1 luglio 2015. Per un commento approfondito di tale documento v. DOLMETTA A., (nt. 224), p. 127 e ss.
(227) Una prima analisi del documento è quella offerta da COLONNA F., La comunicazione
congiunta Banca d’Italia-Consob in materia di ripartizione delle competenze tra compliance e internal