1 INDICE
INTRODUZIONE……… 3
CAPITOLO I - La Compliance in banca………... 6
1.1 La necessità di un sistema integrato di controlli e di una cultura della Compliance... 6
1.2 Profili evolutivi della normativa di riferimento: un graduale ampliamento del perimetro di competenza... 7
1.2.1 Le indicazioni del Comitato di Basilea... 9
1.2.2 Le Disposizioni di Vigilanza e il Regolamento congiunto Banca d’Italia - Consob... 12
1.2.3 Nuove disposizioni di vigilanza prudenziale per le banche, 15° aggiornamento... 18
1.3 L’obiettivo della Compliance: il rischio di non conformità e le discipline rilevanti... 28
1.3.1 D.lgs. n. 231/2001... 30
1.3.2 Antiriciclaggio e contrasto al finanziamento del terrorismo... 32
1.3.3 Privacy... 35
1.3.4 Market Abuse... 35
CAPITOLO II -La funzione Compliance: aspetti organizzativi e operativi 37 2.1 Principi generali... 37
2.2 Modelli organizzativi... 39
2.3 Gli adempimenti della funzione Compliance... 42
2.3.1 Il ruolo della Funzione nel processo di conformità... 42
2.3.2 Le ulteriori attività della Funzione... 45
2.3.3 Il Compliance Risk Assessment... 47
2.3.4 I flussi informativi... 56
2
2.4.1 Compliance e Internal Audit... 57
2.4.2 Compliance e Operational Risk Management... 63
2.4.3 Compliance e Antiriciclaggio... 64
2.4.4 Compliance e altre Funzioni... 68
2.5 Un focus sul rischio Reputazionale... 69
2.6 Le nuove sfide per la Compliance... 74
2.6.1 Il ruolo strategico del Compliance Officer... 77
2.6.2 Il conduct risk... 79
2.6.3 Il ruolo della cultura aziendale nella disciplina della compliance... 81
2.6.4 Un piccolo focus sulla situazione attuale italiana... 83
CAPITOLO III – L’esperienza delle banche italiane………. 85
3.1 Presentazione della ricerca... 85
3.2 Evoluzione organizzativa della Funzione Compliance... 90
3.3 La Compliance e le relazioni con le altre Funzioni... 98
3.4 La Funzione Antiriciclaggio... 100
3.5 La formazione e la cultura... 103
3.6 La reputazione e la gestione del rischio reputazionale... 107
CONCLUSIONI.……….……….……….…... 112
BIBLIOGRAFIA……….. 114
3 INTRODUZIONE
L’eccezionale incertezza che ha caratterizzato il sistema finanziario ed economico negli ultimi anni ha acuito inevitabilmente le esigenze degli stakeholder di chiarezza e affidabilità dell’intermediario bancario.
Una tendenza questa che, tuttavia, affonda le radici ben prima dell’ultima crisi globale; è un’esigenza che nasce con l’attività bancaria stessa ma che recentemente ha raggiunto il suo apice. I recenti scandali finanziari hanno infatti portato ad una rarefazione dell’ingrediente principe alla base dell’attività bancaria: la fiducia.
A fronte di queste rinnovate esigenze le Autorità di Vigilanza hanno esortato gli intermediari affinché compissero un salto di qualità, concentrando l’attenzione sulla creazione di una cultura aziendale orientata non solo al mero rispetto formale delle regole.
Creazione di una cultura aziendale che è passata attraverso importanti scelte organizzative e l’implementazione di una capillare rete di controlli che garantisca la conformità di ogni processo interno alla banca con le disposizioni interne ed esterne vigenti.
La Funzione Compliance si inserisce perfettamente all’interno di questo quadro, rappresentando una risposta organizzativa fondamentale in un contesto caratterizzato da una crescente complessità operativa e normativa.
In particolare, a fronte della complessità operativa dovuta alle molteplici attività svolte, all’eterogeneità dei mercati e degli stakeholder cui si relazionano, gli intermediari si sono ritrovati dinanzi ad un’imponente produzione normativa e regolamentare disciplinante ciascun ambito operativo. A contribuire alla complessità hanno concorso altresì le risposte “anticrisi” urgenti poste in essere dalle Autorità per rifornire fiducia e stabilità al sistema di mercato.
4
In tutta questa situazione si è radicata la consapevolezza che operare in conformità a norme, regolamenti, codici di condotta e codici etici può di fatto contribuire a migliorare la reputazione o comunque ad evitare danni reputazionali e all’immagine, ricostruendo così le relazioni con la clientela fondate sulla fiducia e sulla trasparenza.
La Compliance diventa così lo strumento giusto per la creazione di valore: da un lato garantisce la disamina nel continuo di tutte le norme applicabili all’intermediario, valutando il loro impatto su processi e procedure aziendali e proponendo soluzioni di modifiche organizzative, e dall’altro fornisce consulenza e assistenza, attraverso flussi informativi, nei confronti degli organi di vertice in tutte le materie in cui assume rilievo il rischio di non conformità.
A quasi dieci anni dalle Disposizioni di Banca d’Italia che hanno introdotto la Funzione, si è voluto indagare sull’evoluzione percorsa dalla stessa fino a comprendere il grado di complessità e consolidamento raggiunto oggi.
Le Disposizioni citate sono il punto di partenza del presente elaborato che si è occupato di mettere in luce le caratteristiche organizzative ed operative della Compliance, avendo cura di evidenziare i rapporti su cui basa la propria attività. Attraverso il primo capitolo ripercorreremo le principali tappe che hanno introdotto la Funzione nel sistema bancario italiano, avendo cura di ricordare come tutto nasca dal Documento di Basilea del 2005 in cui già si prevedeva l’importanza di essere conformi alle regole. Verrà quindi evidenziato il perimetro normativo cui si è occupata la Compliance, il suo progressivo allargamento fino all’eliminazione completa dello stesso.
Nel secondo capitolo affronteremo la Compliance dal punto di vista dinamico, analizzando le implicazioni organizzative, operative e relazionali derivanti dall’attività della Funzione.
In un sistema di controllo che oggi definiamo integrato non è possibile guardare alla Compliance a sé stante, bensì risultano fondamentali i rapporti intrapresi anzitutto con gli altri due componenti del Sistema dei Controlli Interni, ovvero
5
Internal Audit e Risk Management. Si tratta di una collaborazione auspicata da sempre anche dalle Autorità di Vigilanza ma che di fatto è solo negli ultimi anni in cui possiamo intravedere dei rapporti sinergici con le altre funzioni.
Le cause/conseguenze di un rischio di non conformità ci hanno portato ad allargare lo studio anche a quei rischi che hanno delle fattispecie in comune al rischio di non conformità, in particolare il riferimento va al rischio operativo, legale e reputazionale. Vedremo come il rischio di non conformità sia un rischio trasversale e quindi anche il processo che gestisce e presidia lo stesso ha le medesime caratteristiche: la Compliance si serve di tutte le funzioni e unità organizzative per ottenere informazioni e presidiare, laddove di propria competenza, la conformità. Verranno messi in luce altresì ruoli e responsabilità di ciascun attore del processo di compliance cercando di capire i possibili problemi di sovrapposizione delle diverse aree.
L’elaborato si conclude con una ricerca condotta sui sei maggiori gruppi bancari italiani. In particolare si è cercato di indagare come di fatto la funzione Compliance si sia evoluta dalla sua introduzione in Italia nel 2008 al 2015, ultimo anno in cui si ha la disponibilità dei bilanci.
L’obiettivo che l’ultimo capitolo si è posto è quello offrire una panoramica dello stato dell’arte della Funzione Compliance, mettendo in luce le caratteristiche che oggi la rendono una funzione con rilievo maggiormente strategico. L’organizzazione della Compliance, le relazioni con le altre funzioni aziendali, il tema dell’antiriciclaggio e i rapporti con la funzione preposta, la trasparenza, i metodi per lo sviluppo della cultura e della formazione anche in tema di conformità ed infine i compiti della Compliance in ambito reputazionale e la gestione del rischio reputazionale sono gli ambiti di ricerca sui quali si è voluto far luce.
6
CAPITOLO I
La Compliance in banca
1.1 La necessità di un sistema “integrato” di controlli e di una cultura della compliance
In un contesto altamente competitivo, quale quello in cui tutti gli operatori finanziari si trovano ad operare, è divenuto fondamentale dotarsi di un sistema di governance e controllo solido ed efficiente. Di questo assunto si è avuto prova evidente soprattutto in seguito all’ultima devastante crisi.
Carenze negli strumenti di gestione del rischio, scarsa consapevolezza della reale esposizione ai rischi e della correlazione tra questi, distorsioni nei sistemi di remunerazione ed inadeguatezza dei sistemi di informazione e comunicazione, sono solo alcuni dei fattori che hanno portato le banche ad assumere rischi sempre crescenti e, come noto, fatali per la loro stabilità economica, patrimoniale e finanziaria.
A fronte di questo scenario è risultato evidente sia per i regolatori nazionali, internazionali e comunitari, sia per gli intermediari stessi improntare delle azioni volte alla ristrutturazione delle pratiche di risk management e alla ridefinizione del sistema dei controlli interni al fine di ottenere un approccio integrato alla gestione dei rischi.
Dotarsi di un sistema integrato di controlli interni presuppone che le sue componenti siano tra loro coordinate e interdipendenti, e che il sistema nel suo complesso sia a sua volta integrato nel generale assetto organizzativo, amministrativo e contabile della società. Esso rappresenta la chiave affinché il management sia tempestivamente informato sul grado di realizzazione degli obiettivi e sugli eventi rischiosi al fine di prendere decisioni corrette.
7
Un sistema così disegnato però, non può prescindere dalla coesistenza di un altro fattore fondamentale, definito come la “coscienza” dell’impresa bancaria1:
la Compliance.
Una cultura aziendale orientata alla conformità tiene insieme l’azienda, specie laddove la normativa, come quella attuale, è improntata a principi di carattere generale e la flessibilità dell’organizzazione comporta un’elevata destrutturazione dei compiti delle persone.
Nuove regole, nuove strutture e organizzazioni, seppur necessari, non sono di per sé sufficienti a ridonare la fiducia degli operatori negli intermediari: è fondamentale investire nella formazione, nella comunicazione e nell’educazione finanziaria. Occorre far maturare e diffondere una “cultura” della compliance, che sia orientata non solo al mero adempimento formale delle norme, ma soprattutto ad ispirare attività e comportamenti a principi di conformità sostanziale.
La formazione di questo tipo di cultura diventa un requisito essenziale per garantire la conformità alle norme, ai regolamenti e ai codici di condotta interni e dunque rappresenta un mezzo per la produzione di valore per l’intermediario, per i clienti e per il sistema in generale, in termini di ricostituzione della fiducia e della credibilità.
1.2 Profili evolutivi della normativa di riferimento: un graduale ampliamento del perimetro di competenza
La conformità alle norme è un’attività che, come ovvio, è da sempre presente all’interno delle banche.
Le Istruzioni di Vigilanza sulle banche del ’99 facevano rientrare l’attività di conformità delle operazioni alle normative nella sfera d’azione dell’Audit.
1
Tarantola A.M. “LA funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie”, Workshop “Il ruolo del sistema dei controlli nella gestione del rischio di conformità negli istituti finanziari”, Milano 4 ottobre 2007.
8
L’esigenza di istituire una funzione all’interno della governance bancaria che si occupasse del presidio del rischio di (non) conformità, è diventata sempre più pressante nell’ultimo decennio e nasce dal presupposto che la puntuale osservanza delle norme, di adeguati standard operativi e principi etici costituisca un prerequisito per la sana e prudente gestione.
Una notevole influenza sull’introduzione formale di una funzione autonoma posta a presidio del rischio di non conformità è stata esercitata dall’introduzione del D.Lgs 231/01, il quale “suggerisce” di creare un modello organizzativo ed inserire un Organismo di Vigilanza idonei a prevenire la commissione dei reati elencati dallo stesso decreto2. Compito dell’Organismo di Vigilanza è proporre modifiche in caso di evoluzioni legislative e segnalare eventuali violazioni alla legge o regolamenti interni. Possiamo affermare dunque che esso sia un precursore della funzione Compliance, alla quale, come vedremo verranno assegnati compiti ben più ampi rispetto al suddetto organismo.
L’esigenza di introdurre una funzione di Compliance è stata “formalizzata” dapprima a livello internazionale, con le previsioni del Comitato di Basilea nel 2005, recepite in seguito all’interno di ciascun stato membro e nel nostro in particolare, con le Disposizioni di Vigilanza di Banca d’Italia. A queste pubblicazioni si sono aggiunte, in parte sovrapponendosi, le indicazioni predisposte per le imprese di investimento emanate dalla Comunità Europea con la direttiva MiFID (direttiva 2004/39/CE) e recepite nel Regolamento Congiunto di Banca d’Italia e Consob.
Le materie cui la Compliance ha responsabilità diretta, nel tempo hanno subito un notevole incremento, fino a ricomprendere tutte le attività che riguardano le banche, come ben specificato dalle Nuove disposizioni di vigilanza, 15° aggiornamento del 2013.
Nei successivi paragrafi cercheremo di analizzare le tappe principali che hanno segnato l’evoluzione della funzione oggetto della trattazione.
9 1.2.1 Le indicazioni del Comitato di Basilea
“Compliance and compliance function in banks”3 è il primo riferimento
regolamentare in cui viene affrontata l’esigenza di introdurre una vera e propria funzione di Compliance nella struttura organizzativa della banca.
Sebbene la conformità sia parte integrante della cultura dell’organizzazione, una condizione di utilizzo di standard di onestà e integrità su cui debba poggiare l’intera operatività dell’intermediario a partire dal “top”4
, si ritiene che il rischio
di non conformità possa essere presidiato in maniera efficiente istituendo la funzione apposita, orientata a definire le linee guida, presidiare e controllare il rispetto della “conformità” dell’azione dell’intermediario alle norme di auto ed etero regolamentazione.
Il documento si occupa di definire il rischio di (non) compliance, e i presupposti per un efficace presidio di tale rischio.
Il rischio di conformità è definito dal Comitato come:
“ the risk of legal or regulatory sanctions, material financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with laws, regulations, rules, related self-regulatory organization standards, and codes of conduct applicable to its banking activities (together, “compliance laws, rules and standards”).”
Come si evince, il rischio di compliance ha una particolare natura e stretti legami con il rischio reputazionale e strategico, il che rende la gestione trasversale su tutta l’organizzazione l’unico presidio efficace ed efficiente.
I presupposti per gestire il suddetto rischio vengono forniti sottoforma di principi e regole di portata generale: essi infatti devono essere adattati in base al contesto regolamentare ed economico in cui i singoli intermediari si trovano ad operare, alla struttura e alle dimensioni proprie, nonché alla natura dell’attività svolta. Per completezza, di seguito nel Box 1 è fornita una veloce panoramica dei suddetti principi enunciati dal Comitato.
3
Comitato di Basilea, Compliance and the compliance function in banks, Basilea, aprile 2005.
10 Box 1 – I principi del Comitato di Basilea
Affinché il rischio di non conformità venga presidiato in maniera efficiente è necessaria una chiara individuazione dei ruoli e delle responsabilità; a tal proposito i primi 4 principi del documento sono dedicati proprio alle responsabilità in capo ai massimi vertici aziendali, ovvero il Consiglio di Amministrazione e l’Alta Direzione.
Ai primi è affidata la responsabilità di definire le strategie, di supervisionare la gestione del rischio di compliance, tramite l’approvazione e l’implementazione delle policy aziendali, che, come ribadito nel documento, devono essere fondate su principi di onestà e integrità. Inoltre, almeno una volta l’anno il CdA dovrebbe valutare l’effettivo grado di gestione del rischio di compliance.
L’Alta Direzione è invece responsabile della fase di realizzazione: stabilisce con chiarezza e trasparenza le politiche di compliance, gli standard generali di comportamento per tutti i membri dell’organizzazione e le regole da applicare solo a specifici gruppi; si assicura che le policy siano rispettate ed eventualmente procede ad azioni disciplinari per la non osservanza di queste; infine, ma non per rilevanza, è responsabile di introdurre una funzione di compliance efficace e permanente all’interno della banca. Anche in questo caso è auspicata la comunicazione con il CdA almeno una volta l’anno per informare sull’andamento della gestione del rischio.
Nel secondo gruppo di principi vengono dettagliate le caratteristiche della funzione, tra cui l’indipendenza, che ha una rilevanza principale, le risorse cui deve essere dotata la neo funzione, le responsabilità in seno ad essa e le relazioni con l’Internal Audit. Dell’indipendenza, si occupa il principio 5, il quale prende in esamina quattro aspetti di cui è composta la stessa:
- Per essere autorevole ed indipendente, anzitutto, alla funzione deve essere riconosciuto formalmente uno status all’interno della banca. Lo status può essere formalizzato all’interno delle policy di compliance o in altri documenti, purché vengano dichiarati ruoli, responsabilità e relazioni con le altre funzioni aziendali.
11
- Deve essere nominato un Head of Compliance, ovvero il responsabile del coordinamento nella funzione e della gestione del rischio della banca. Per questo aspetto possiamo notare come il principio lasci la singola banca adattarsi a seconda dell’organizzazione scelta per la funzione.
L’Head of Compliance infatti può appartenere o meno all’Alta Direzione, con la differenza che nella prima situazione esso non dovrà avere dirette responsabilità di business line, mentre nel caso opposto è necessario che vengano instaurate delle relazioni di reporting con un membro dell’Alta Direzione, ancora una volta senza responsabilità dirette sulle business line. Inoltre, la natura delle linee di riporto e le relazioni tra l’Head of Compliance e il personale della funzione sono regolate diversamente a seconda che la funzione sia in un’unità di supporto indipendente o risieda all’interno di altre unità di business. Le banche possono decidere di inserire la funzione compliance nell’ambito dell’unità di Operational Risk Management, in considerazione dello stretto legame esistente fra le due attività, oppure stabilire un’unità di compliance separata da quella di gestione dei rischi operativi, prevedendo comunque una interconnessione tra esse.
- La posizione del personale con responsabilità di compliance non deve dare luogo a potenziali situazioni di conflitto di interessi. Per tale ragione il Comitato ha espresso la possibilità che almeno per le grandi banche il personale della funzione si occupi solo della conformità; mentre per le piccole banche, per le quali sarebbe eccessivamente oneroso è richiesto almeno di evitare possibili conflitti di interesse nell’andare a gestire compiti non relativi alla compliance. L’indipendenza della funzione viene garantita prevedendo che la remunerazione non sia legata alle performance delle business line in cui si svolgono gli incarichi.
- Infine, per adempiere alle proprie responsabilità, la funzione deve poter avere accesso a qualsiasi registro o documento utile e richiedere assistenza a specialisti interni o anche esterni alla banca.
12
Indipendentemente dall’organizzazione interna della banca, il Comitato richiede inoltre che la funzione sia dotata di sufficienti risorse finanziarie per compiere la sua attività di verifica e prevenzione, che sia chiaramente esplicitata l’attribuzione delle responsabilità e che l’attività sia regolarmente sottoposta alla supervisione della funzione di Revisione Interna.
Fondamentale evidenziare sin da subito5, le responsabilità della funzione Compliance, sintetizzabili in: consulenza e assistenza all’Alta Direzione; identificazione, misurazione e valutazione6 del rischio di non conformità; reportistica periodica ai vertici per informare loro sull’esposizione rischiosa, sullo sviluppo di nuovi prodotti e processi di business o anche nuovi rapporti con la clientela.
Infine, il Comitato ha previsto un regime di separatezza tra l’Internal Audit e la funzione Compliance. Sul punto l’ABI si è espressa in maniera differente durante le consultazioni avvenute prima dell’emanazione di tali principi. Le relazioni tra le due funzioni suddette verranno comunque analizzate nel secondo capitolo e per questo si rimanda al paragrafo 2.1 per la trattazione.
1.2.2 Le Disposizioni di Vigilanza e il Regolamento congiunto Banca d’Italia-Consob
In Italia, la funzione di conformità negli intermediari bancari viene istituita attraverso le Disposizioni di Vigilanza del 10 Luglio 2007, intitolate “la Funzione di Conformità (compliance)”, che recepiscono di fatto i principi dettati dal Comitato di Basilea. Sull’istituzione della funzione Compliance però troviamo un altro riferimento normativo nel "Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di
5
Per una trattazione approfondita su compiti ed attività della Compliance si rimanda al Capitolo 2 del presente elaborato.
6
In merito alla valutazione del rischio, il Comitato auspica la possibilità di determinare metodi per migliorare la misurazione del rischio di compliance, cosi come l’utilizzo di indicatori di performance per valutarlo.
13
investimento o di gestione collettiva del risparmio7 che, congiuntamente ad altri regolamenti, implementa la Direttiva Comunitaria 2004/39/CE (meglio nota come MiFID) e la correlata direttiva d’attuazione 2006/73/CE.
La MiFID e le relative misure di esecuzione segnano il passaggio ad un disciplina di armonizzazione molto ampia, individuata come lo strumento per dar vita ad un mercato finanziario effettivamente integrato ed unico.
Incentivare la concorrenza, rafforzare la trasparenza dei mercati, assicurare protezione agli investitori, uniformare le regole di condotta nei rapporti tra intermediari e clientela ed introdurre requisiti uniformi di organizzazione e controllo degli intermediari rappresentano, in estrema sintesi, i macro obiettivi della Direttiva.
L’implementazione di standard uniformi di organizzazione e controllo degli intermediari è stata realizzata proprio tramite il Regolamento Congiunto Banca d’Italia – Consob. Esso rappresenta il frutto della collaborazione tra i due Organi di Vigilanza ed introduce obblighi relativi all’organizzazione, requisiti di continuità dell’attività e di organizzazione amministrativa e contabile, l’istituzione della funzione di controllo di conformità alle norme, di gestione del rischio d’impresa e di revisione.
A fronte del raggiungimento di obiettivi che accomunano entrambe le autorità, Banca d’Italia definisce le regole sul contenimento del rischio, stabilità patrimoniale e sana e prudente gestione, mentre la Consob ha competenze sulla trasparenza e correttezza dei comportamenti. Nella materia della prestazione dei servizi finanziari, a Banca d’Italia è stata attribuita la competenze sulla istituzione della funzione di compliance, mentre alla Consob quella sui controlli della funzione.
Come affermato anche nelle Disposizioni di Vigilanza, le due discipline non sono alternative ma “per lo svolgimento dei servizi e delle attività di investimento
da parte delle banche, troveranno applicazione anche le disposizioni di
7
Consob e Banca d’Italia, Regolamento della Banca d’Italia e della Consob ai sensi dell’art. 6 comma
14 recepimento della direttiva 2006/73/CE relativa alla funzione di conformità di cui all’articolo 6 della medesima direttiva”.
La necessità di definire un efficiente assetto organizzativo, volto ad assicurare il rigoroso rispetto delle norme e la promozione di una cultura aziendale diffusa su tutti i livelli e improntata sulla correttezza, anche dello spirito, delle norme rappresenta il leitmotiv di entrambe le normative.
Le regole definite sia nelle Disposizioni che nel Regolamento Congiunto sono ispirate a dei principi di fondo, sintetizzabili nel principio di proporzionalità e nel principle based approach.
In base al principio di proporzionalità, ciascun intermediario si adegua alle disposizioni tenendo conto delle proprie caratteristiche, in termini di dimensione, tipologie di servizi prestati, ambito operativo e modello societario adottato; in base al principle based approach, invece, vengono fornite le regole generali, integrate se necessario da linee guida applicative e indicazioni sulle prassi accettabili.
Nelle Disposizioni di Vigilanza ritroviamo tutti i principi introdotti di Basilea, a partire dalla definizione del rischio di non conformità:
Il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina).
Viene ribadito anche il concetto che tale rischio è diffuso a tutti i livelli dell’organizzazione e per un ottimale presidio deve essere responsabilizzato tutto il personale.
Al fine di gestire il rischio di non compliance, deve essere istituita la funzione di conformità, per la quale la normativa prevede dei principi di carattere generale,
15
diretti a individuare le finalità ed i compiti, sia in termini di adempimenti che di aree di intervento.
I principali compiti delineati dalle Disposizioni sono:
l’identificazione nel continuo delle norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali;
la proposta di modifiche organizzative e procedurali finalizzata ad assicurare adeguato presidio dei rischi di non conformità identificati;
la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (gestione del rischio operativo e revisione interna);
la verifica dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità.
Considerati i numerosi profili professionali richiesti per l’espletamento di tali adempimenti, viene data la possibilità all’intermediario di affidare le diverse fasi a strutture organizzative diverse già presenti nella banca, purché l’intero processo di gestione del rischio sia ricondotto a una sola unità, mediante la nomina di un responsabile che coordini le diverse attività.
In tema di aree di intervento, le Disposizioni prevedono il coinvolgimento delle
Compliance:
nella valutazione ex-ante della conformità alla regolamentazione, applicabile a tutti i progetti innovativi che la banca intende intraprendere;
nella verifica della coerenza del sistema premiante aziendale nel rispetto di tutta la regolamentazione interna ed esterna;
in tutte le materie in cui assume rilievo il rischio di non conformità, fornendo un servizio di consulenza e assistenza nei confronti degli organi di vertice nonché nelle attività di formazione del personale in tema di rispetto delle norme.
16
Su questo punto, occorre fare una precisazione che di fatto rende disomogenee le Disposizioni rispetto al Regolamento Congiunto.
Le responsabilità da attribuire alla funzione di conformità secondo il Regolamento sono:
controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure adottate ai sensi dell’articolo 15 e delle misure adottate per rimediare a eventuali carenze nell’adempimento degli obblighi da parte dell’intermediario, nonché delle procedure di cui al comma 1;
fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini dell’adempimento degli obblighi posti dalle disposizioni di recepimento della direttiva 2004/39/CE e delle relative misure di esecuzione.
Si noti come il momento fondamentale in cui deve agire la funzione sia individuato in maniera diversa. Nelle disposizioni bancarie, la compliance assume un ruolo decisivo ex-ante: è una componente del processo di gestione del rischio, inteso come insieme di presidi organizzativi, regole, infrastrutture tecniche e metodologie di individuazione, verifica e monitoraggio dei rischi di compliance e della conformità dei processi e dei comportamenti gestionali alle norme. Nel Regolamento, invece viene data più enfasi a una funzione di compliance audit oriented8, ovvero si estende anche ad attività di verifica ex-post.
Ulteriore punto di divergenza riguarda l’applicazione del principio di separatezza organizzativa tra funzioni di controllo: per gli intermediari che prestano servizi di investimento l’introduzione della funzione Compliance, efficace ed indipendente, è obbligatoria, potendosi derogare alla presenza di altre funzioni di controllo indipendenti.
Nella disciplina bancaria la rilevanza principale è affidata alla funzione di gestione dei rischi in quanto, in base al principio di proporzionalità, le banche di dimensione minori o caratterizzate da una limitata complessità operativa,
8
Cfr. F. Del Bene, “Strumenti finanziari e regole MiFID: Compliance, Autorità di vigilanza e Conflitti di interesse”, IPSOA ( 2009), p. 479.
17
possono affidare lo svolgimento della funzione di conformità alle strutture già esistenti incaricate della gestione dei rischi.
In ogni caso, va sempre istituita nel terzo livello la funzione di internal audit. In merito ai gruppi bancari, le attività relative alla funzione potranno essere accentrate, al fine di conseguire economie di scala, anche attraverso la costituzione di unità specializzate all’interno del gruppo stesso. In ogni caso ogni componente del gruppo dovrà individuare un Referente che svolgerà funzioni di supporto per il responsabile di gruppo della conformità. (da notare che questa soluzione non è prevista per gli intermediari che svolgono attività di investimento. In conseguenza di ciò potrebbe accadere dunque che un intermediario appartenente a un gruppo, che svolge sia attività bancaria che di investimento, si potrebbe trovare a prevedere sia un Responsabile della Funzione di Compliance per le attività di investimento che un Referente del Compliance officer di gruppo per le altre attività9).
Ancora in merito ai gruppi si deve sottolineare il fatto che le decisioni strategiche in materia di gestione del rischio di non conformità sono rimesse alla Capogruppo, la quale dovrà tenere conto della specificità operativa di ciascuna delle componenti.
Infine, per quanto riguarda la nomina e la revoca del responsabile della conformità, essa è di competenza esclusiva e non delegabile del Consiglio di Amministrazione sentito il Collegio Sindacale10 e deve essere tempestivamente comunicata alla Banca d’Italia.
9
Cfr. ABI, Libro Bianco sulla Funzione Compliance, pag. 16, Bancaria Editrice, Roma, 2008.
10
Nel modello dualistico, il riferimento è chiaramente al consiglio di gestione e al consiglio di sorveglianza.
18 1.2.3 Nuove disposizioni di vigilanza prudenziale per le banche, 15°
aggiornamento
Come noto, il sistema dei controlli interni e il governo societario sono due elementi imprescindibili, che insieme concorrono al buon funzionamento dell’impresa, quindi alla duratura creazione di valore, ed assicurano una sana crescita economica.11
Con la crisi, questa consapevolezza si è radicata in maniera sempre più forte ed è emerso un unanime consenso sul fatto che una delle principali cause che hanno portato alla destabilizzazione degli intermediari sia stata proprio una carenza nel sistema dei controlli. Tali carenze, ancora una volta, hanno portato le Autorità, sia nazionali che internazionali, ad esprimersi sulle soluzioni da apportare per migliorare gli assetti di governo e di controllo delle banche. Tra queste ricordiamo le Linee guida in materia di Internal Governance12 dell’EBA (European Banking Authority) che introducono dei principi per assicurare la presenza di organi aziendali e di funzioni di controllo interno efficienti; le
Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche13 redatto dalla Banca d’Italia e il report Thematic review on risk
governance14 emanato dal Financial Stability Board che offre un contributo nell’andare a identificare lo stato dell’arte della governance nelle banche intervistate e le aree che necessitano di ulteriore miglioramento.
Tutti questi interventi sono accomunati dall’intenzione di introdurre standard minimi più incisivi per rendere efficiente il sistema dei controlli, in particolare andando a definire ruoli, composizione degli organi e compiti delle funzioni di controllo.
11
Cfr. Tarantola A. M., Il sistema dei controlli interni nella governance bancaria, intervento al Convegno DEXIA Crediop 4° Incontro Compliance, “Il sistema dei controlli aziendali: alla ricerca di una governance”, Roma, 6 giugno 2008.
12 EBA, Guidelines on Internal Governance, settembre 2011
13
Banca d’Italia, Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, 4 marzo 2008.
19
Il 15° aggiornamento delle Nuove Disposizioni di vigilanza prudenziale15 emanato da Banca d’Italia il 2 luglio 2013, rappresenta un importante tassello del percorso avviato nel 2007. Oltre a prevedere significative novità per il rafforzamento della capacità delle banche di gestire i rischi, le Disposizioni di
vigilanza prudenziale per le banche in materia di sistema dei controlli interni, sistema informativo e continuità operativa, razionalizzano il quadro normativo
previgente, riconducendolo ad uno, unitario e organico.
Le nuove norme, inserite nel Titolo V della Circolare 263/2006, confluite poi nella Circolare 285/13, diventano parte integrante della disciplina concernente gli assetti di governo e controllo delle banche e sono ricche non solo di chiarimenti ma di vere e proprie novità che stabiliscono con incisività e dettaglio i compiti e le responsabilità sia degli organi di vertice che delle funzioni aziendali di controllo.
I capitoli di neo-introduzione sono il capitolo 7 (“Il sistema dei controlli interni”), il capitolo 8 (“Il sistema informativo”) e il capitolo 9 (“La continuità operativa”).
L’adeguamento alle novità introdotte ha presupposto interventi significativi sulla struttura organizzativa degli intermediari, richiedendo del tempo per essere realizzati.
Per tale motivo, Banca d’Italia, in sede di emanazione, ha definito puntualmente delle scadenze differenziate a seconda dell’intervento oggetto di adeguamento16
. Alle banche è stato comunque richiesto di effettuare entro il 31 gennaio 2014 un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (c.d. gap analysis), di individuare le misure da adottare e la relativa scansione temporale per assicurarne il rispetto.
15
Banca d’Italia il 4 settembre 2012 pone in consultazione lo schema delle disposizioni di vigilanza in materia di sistemi di controlli interni, sistema informativo continuità operativa, dando la possibilità ai partecipanti di esprimere osservazioni e commenti. Al termine della procedura, sono stati pubblicati il resoconto delle osservazioni ricevute, l’analisi d’impatto e il testo definitivo.
16
Ultima scadenza sarà il 1 luglio 2016, termine per l’adeguamento dei contratti di esternalizzazione ai requisiti previsti dalle disposizioni.
20
Per avere una visione più ampia su ciò che le Disposizioni in esame rappresentano, pare opportuno soffermarsi in generale sul sistema dei controlli interni, per poi scendere nel particolare di nostro interesse, ovvero le novità apportate sulla funzione di Compliance.
L’intervento sul sistema dei controlli interni ha il fine di rafforzare la capacità delle banche di presidiare tutte le tipologie di rischio aziendale, creando un quadro normativo organico e coerente con gli orientamenti internazionali. Le disposizioni, come affermato da Banca d’Italia nelle premesse del documento in esame, rappresentano la cornice di riferimento nella quale si inquadrano le regole sui controlli dettate all’interno di specifici ambiti disciplinari (ad es., regole organizzative in materia di gestione di singoli profili di rischio, di sistemi interni di misurazione dei rischi per il calcolo dei requisiti patrimoniali, di processo ICAAP, di prevenzione del rischio di riciclaggio) che ne completano e integrano la portata (c.d. modello “hub and spokes”)17.
La disciplina sul sistema dei controlli interni ruota attorno a dei principi cardine, riassumibili in:
Principio di proporzionalità e di autonomia organizzativa, già chiariti in precedenza;
Crescente coinvolgimento degli organi di vertice: si tratta degli organi con funzione di supervisione strategica, con funzione di gestione e con funzione di controllo, sui quali ricade, ciascuno secondo le rispettive competenze, la responsabilità primaria della definizione di un sistema dei controlli interni completo, adeguato, funzionale e affidabile;
Diffusione di una cultura dei controlli interni che coinvolge tutta l’organizzazione: organi, strutture, livelli gerarchici e personale sono coinvolti nello sviluppo e nell’applicazione di metodi per identificare, misurare, comunicare e gestire i rischi. In tale contesto, merita citare una novità riguardante l’organo con funzione di supervisione strategica, il
17
Cfr. Banca d’Italia, Documento per la consultazione. Disposizioni di vigilanza prudenziale per le
banche. Sistema dei controlli interni, sistema informativo e continuità operativa, Relazione Illustrativa, 4
21
quale deve approvare un codice etico contenente i principi di condotta a cui deve essere improntata l’attività aziendale (cui sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti) e l’attuazione, da parte dell’organo con funzione di gestione, di programmi di formazione per sensibilizzare i dipendenti in merito alle responsabilità in materia di rischi, agevolando lo sviluppo e la diffusione a tutti i livelli di una cultura del rischio integrata.
Garantire una visione integrata dei rischi: questo aspetto assume una rilevanza cruciale, soprattutto alla luce delle cause che hanno portato alla crisi recente. Un approccio integrato alla gestione dei rischi significa coinvolgere tutti gli organi di vertice e le funzioni di controllo a collaborare per una visione coordinata e olistica dei rischi e delle loro interrelazioni. L’obiettivo non è semplicemente la copertura, me si tratta di individuare i rischi che possono incidere sulla performance aziendale e migliorare la capacita della banca di conseguire i propri obiettivi. Operativamente, si traduce: nella diffusione di un linguaggio comune nella gestione dei rischi a tutti i livelli della banca; nella definizione di modelli di reporting dei rischi che ne consentano la comprensione e valutazione anche in un’ottica integrata; in un sistema informativo che consenta di condividere tutte le informazioni rilevanti; nel coordinamento tra le diverse attività e nell’adozione di metodi e strumenti di rilevazione e valutazione tra di loro coerenti;
Rilevanza dell’efficienza, dell’efficacia e del coordinamento dei controlli, assicurabile attraverso l’approvazione da parte dell’organo con funzione di supervisione strategica di uno specifico documento in cui devono essere definiti compiti, responsabilità e modalità di coordinamento/ collaborazione tra le funzioni aziendali di controllo e gli organi aziendali con compiti di controllo.
Tra i principi generali della disciplina troviamo una nuova definizione del Sistema dei Controlli Interni che sottolinea la rilevanza che esso assume nella
22
governance bancaria. In tal senso, il sistema dei controlli è finalizzato ad assicurare che l’attività sia in linea con le strategie e le politiche aziendali ed improntata alla sana e prudente gestione, ad assicurare il contenimento del rischio entro il limite massimo accertato e a verificare il rispetto della conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le politiche, i regolamenti e le procedure interne.
Ma il sistema dei controlli interni svolge un ruolo fondamentale anche nell’ambito dell’organizzazione aziendale. Citando le Disposizioni infatti, “esso
rappresenta un elemento fondamentale di conoscenza per gli organi aziendali in modo da garantire piena consapevolezza della situazione ed efficace presidio dei rischi aziendali e delle loro interrelazioni; orienta i mutamenti delle linee strategiche e delle politiche aziendali e consente di adattare in modo coerente il contesto organizzativo; presidia la funzionalità dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale; favorisce la diffusione di una corretta cultura dei rischi, della legalità e dei valori aziendali.”
Una delle novità centrali, cui merita quantomeno un cenno, è l’introduzione del contenimento dei rischi all’interno dei limiti posti nel Risk Appetite Framework (RAF). Alle banche è richiesto di formalizzare un quadro di riferimento per la determinazione della propensione al rischio, nel quale si definiscono ex ante gli obiettivi di rischio/rendimento e i limiti operativi che ne derivano. Anche se questa può non rappresentare una novità assoluta, poiché in numerosi istituti si era già soliti definire il livello di rischio accettabile, si sottolinea come l’imposizione agli intermediari di svolgere un’analisi del livello massimo di rischio accettabile rappresenti un grosso passo in avanti; infatti, tale previsione normativa funge per un verso, da strumento per il controllo strategico, nella misura in cui lega i rischi alla strategia aziendale, per l’altro come mezzo per la gestione e il controllo dei rischi, obbligando il vertice ad analizzare in modo particolareggiato i rischi attualmente in essere, ma anche a monitorarne l’andamento nel tempo e ad intensificare i flussi informativi tra la funzione di controllo dei rischi e gli altri organi aziendali.
23
La disciplina, sempre tra i principi generali, conferma e approfondisce la ripartizione in tre diverse tipologie di controllo, a prescindere dalle strutture organizzative in cui sono collocate:
Controlli di linea o di primo livello: sono diretti ad assicurare il corretto svolgimento delle operazioni. Sono effettuati dalle stesse strutture operative (ad es: controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office; per quanto possibile, sono incorporati nelle procedure informatiche.
Controlli sui rischi e sulla conformità o di secondo livello: hanno l'obiettivo di assicurare la corretta attuazione del processo di gestione dei rischi, il rispetto dei limiti operativi assegnati alle varie funzioni, la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione. Le funzioni preposte a tali controlli sono distinte da quelle produttive e concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi.
Revisione interna o controlli di terzo livello: l’attività di revisione interna, volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all’intensità dei rischi.
La II sezione è dedicata agli organi aziendali, ai quali viene riconosciuto il compito di definire un sistema dei controlli che sia completo, funzionale e adeguato. Nell’andare a definire i ruoli e responsabilità di ciascun organo, le Disposizioni riconoscono la necessità di definire puntualmente i ruoli ci ciascun organo ex-ante e nella gestione in itinere di livelli di rischio adeguati al fine di presidiare al meglio i rischi dell’attività. Viene inoltre ribadito che i compiti e i
24
poteri di amministrazione e controllo devono essere ripartiti in modo chiaro ed equilibrato, evitando concentrazioni di potere che possano impedire una corretta dialettica interna. Il riferimento puntuale è dedicato alla funzione di supervisione strategia e alla funzione di gestione: nel caso in cui questi siano identificati nello stesso organo, è richiesto un equilibrato bilanciamento dei poteri tra i componenti esecutivi e quelli non esecutivi.
Le nuove norme enfatizzano il ruolo dell’organo con funzione di supervisione strategica, dettando una cornice ben definita dei compiti e differenziandoli con quelli di competenza dell’organo di gestione. I compiti assegnati ricadono nella definizione del modello di business, del livello di rischio tollerato, politiche e i processi di valutazione delle attività, in particolare degli strumenti finanziari, e stabilire i limiti massimi all’esposizione verso strumenti o prodotti finanziari di incerta o difficile valutazione e favorire la diffusione della cultura dei controlli approvando il codice etico.
All’organo con funzione di gestione è invece richiesto di avere un’approfondita comprensione di tutti i rischi aziendali e, nell’ambito di una gestione integrata, delle loro interrelazioni reciproche e con l’evoluzione del contesto esterno. In particolare, devono stabilire i limiti operativi all’assunzione delle varie tipologie di rischio, tenendo in considerazione i risultati delle prove di stress e dell’evoluzione del quadro economico. Inoltre si occupa di stabilire le responsabilità delle strutture e delle funzioni coinvolte nella gestione dei rischi, in modo che siano chiaramente definiti i relativi compiti e siano prevenuti potenziali conflitti di interesse. Infine, cura l’attuazione di: processi per approvare investimenti in nuovi prodotti o mercati; politiche in materia di esternalizzazione di funzioni aziendali; metodologie di valutazione delle attività aziendali e in particolare degli strumenti finanziari.
La disciplina delle funzioni aziendali di controllo (Internal Audit, Compliance e Risk Management), contenuta nella sezione III è stata profondamente rivisitata, in particolare:
25
1. la nomina e la revoca dei responsabili delle funzioni aziendali di controllo sono di competenza esclusiva dell’organo con funzione di supervisione strategica, sentito l’organo con funzione di controllo;
2. i responsabili della funzione di controllo dei rischi (c.d. Chief Risk Officer) e della funzione di conformità alle norme sono posti alle dipendenze dell’organo con funzione di gestione o con funzione di supervisione strategica, ferma restando la loro prerogativa di avere accesso diretto all’organo con funzione di supervisione strategica e all’organo con funzione di controllo. Il responsabile della funzione di revisione interna è, invece, sempre collocato a riporto gerarchico dell’organo con funzione di supervisione strategica;
3. le tre funzioni aziendali di controllo sono indipendenti dalle aree di business e fra loro separate;
4. i poteri della funzione di risk management sono stati rafforzati. La funzione, oltre a collaborare alla definizione del Risk Appetite Framework, è chiamata, tra l’altro, a fornire pareri preventivi sulla coerenza delle operazioni di maggiore rilievo con il RAF stesso.
Elementi innovativi di cruciale importanza sono stati introdotti dal 15° aggiornamento anche con riferimento alla funzione di Compliance.
Innanzitutto, è importante notare che le disposizioni per la funzione di Compliance sono organicamente inserite nella disciplina delle altre funzioni aziendali di controllo, quindi di Risk Management e Internal Audit. Questa inclusione rappresenta una novità, in quanto assicura un quadro unitario e razionale per gli operatori bancari e risolve alcuni punti critici riguardanti i rapporti della funzione compliance con altre funzioni specialistiche, quali legale e fiscale.18
18 Cfr. Cola C., Le novità per la funzione di compliance e la gestione ed il controllo del rischio fiscale,
intervento al Convegno Unione Fiduciaria S.p.a., “Provvedimento di Banca d’Italia del 2 luglio 2013. Le nuove regole sul sistema dei controllo interni, sistemi informativi e continuità operativa”, Milano, 1 ottobre 2013.
26
Il secondo aspetto innovativo particolarmente importante, attiene al perimetro delle attività di competenza della funzione. A differenza del precedente quadro normativo infatti, la funzione Compliance dovrà presiedere la gestione del rischio di non conformità con riferimento a tutte le norme applicabili alle
banche, avendo a riguardo, dunque, tutte le attività aziendali.
La funzione è direttamente responsabile della gestione del rischio di non conformità sia con riferimento alle norme core (già previste nelle Disposizioni del 2007) relative all’esercizio dell’attività di intermediazione, alla gestione dei conflitti di interesse, alla trasparenza nei confronti della clientela e più in generale alla disciplina posta a tutela del consumatore, ma anche per tutte quelle
norme per cui non c’è un presidio specializzato all’interno della banca.
Una terza novità è rappresentata dalla possibilità per le banche, di adottare un modello di conformità “graduato” attribuendo alcune fasi del processo di compliance a uno o più presidi specializzati. In particolare, il coinvolgimento della funzione è graduato in relazione sia al rilievo che le singole norme hanno per l’attività svolta e per le conseguenze della loro violazione, sia all’esistenza all’interno della banca di altre forme di presidio specializzato a fronte del rischio di non conformità relativo a specifiche normative.
Per quanto concerne la gestione del rischio di compliance relativo alle norme di maggior rilievo sopra elencate, prevale la responsabilità diretta della funzione in esame, mentre per le normative con presidio specializzato (ad es.: normativa sulla sicurezza sul lavoro, in materia di trattamento dei dati personali), previa valutazione dell’adeguatezza dei controlli specialistici posti in essere per gestire i rischi di non conformità alle normative specifiche, è prevista la responsabilità condivisa e il coinvolgimento graduato della stessa funzione.
In tali casi, la funzione di compliance è comunque responsabile, in collaborazione con le funzioni specialistiche incaricate, almeno della definizione delle metodologie di valutazione del rischio di non conformità e della individuazione delle relative procedure, verificandone l’adeguatezza a prevenire il rischio di non conformità.
27
Come ultima novità troviamo l’inserimento della normativa fiscale all’interno del perimetro di attività di competenza della funzione Compliance. Le Disposizioni prevedono che per il presidio del rischio di non conformità alla normativa di natura fiscale possa essere adottato l’approccio, appena visto, della gradualità. In questo caso è richiesto almeno:
la definizione di procedure volte a prevenire violazioni o elusioni di tale normativa e ad attenuare i rischi connessi a situazioni che potrebbero integrare fattispecie di abuso del diritto;
la verifica dell’adeguatezza di tali procedure e della loro idoneità a realizzare effettivamente l’obiettivo di prevenire il rischio di non conformità.
Le procedure da definire possono prevedere il ricorso a figure interne esperte in materia fiscale o, nei casi più complessi, l’acquisizione del parere delle competenti autorità tributarie. Inoltre, precisano che, oltre alla prevenzione dei rischi derivanti dalla mancata osservanza delle normative fiscali, è necessario tenere in considerazione anche l’effettuazione da parte della clientela di operazioni fiscalmente irregolari.
La scelta del legislatore di ampliare il perimetro di competenza della funzione e predisporre procedure per la prevenzione del rischio di non conformità, implica la possibilità di ridurre ai minimi termini le probabilità di incorrere in sanzioni e di proteggere l’intermediario dunque anche dal rischio reputazionale. Inoltre, il coinvolgimento graduato della compliance nell’attività di presidio della normativa fiscale e delle normative che già prevedono figure specializzate di garanzia contribuisce al rafforzamento dei presidi esistenti. A fronte di questi benefici, i costi di adeguamento per le banche sono sostanzialmente correlati alla predisposizione di procedure di mitigazione del rischio rilevato. La semplice predisposizione delle stesse, ma non la loro attuazione, permette di evitare duplicazioni e sovrapposizioni di attività, richiedendo solo un coordinamento da parte della funzione di compliance.
28
Infine, per quanto concerne il profilo organizzativo, considerando i molteplici profili professionali richiesti per l’espletamento degli adempimenti imposti, le Disposizioni mantengono la previsione contenuta nelle disposizioni del 2007, in base alla quale è possibile affidare le varie fasi dell’attività della funzione di compliance a strutture organizzative già presenti in banca (ad es., legale, organizzazione, gestione del rischio operativo), assicurando, però, che il processo di gestione del rischio e l’operatività della funzione siano ricondotti ad unità attraverso la nomina di un responsabile che coordini e sovraintenda alle diverse attività.
Infine, collabora con le altre funzioni presenti in azienda anche allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando costante ausilio consultivo.
1.3 L’obiettivo della Compliance: il rischio di non conformità e le discipline rilevanti
Come anticipato nel paragrafo precedente, le ultime Disposizioni di vigilanza prevedono l’allargamento del presidio della funzione Compliance a tutte le attività aziendali; di fatto si tratta, più che di un ampliamento del perimetro, di una abolizione dello stesso.
In questo quadro, le banche si sono ritrovate a dover scegliere un modello organizzativo che rispondesse in maniera ottimale alle richieste delle Disposizioni.
La scelta di accentrare tutte le materie in capo alla funzione appare di difficile implementazione, soprattutto per le banche di dimensioni minori. Una situazione del genere necessiterebbe di un adeguato dimensionamento della Funzione e delle conoscenze e competenze specialistiche che graverebbero sulla attività della Compliance, inficiandone l’efficienza. Soprattutto, se da un lato la normativa ammette il principio di proporzionalità, dall’altro le citate competenze specialistiche, sia normative sia di processo, richiederebbero in astratto un
29
dimensionamento di risorse “potenzialmente utili” ma spesso non necessarie, del tutto incompatibile con le strutture di costo sostenibili. Una parziale soluzione a questo è costituita nel ricorso a consulenze esterne una tantum, con però la conseguente perdita di know how e controllo19.
Un secondo modello è quello di avvalersi di Presidi Specialisti, ovvero funzioni già presenti in banca che presidiano determinate materie. Chiaramente, è importante non snaturare il senso delle Disposizioni delegando tutte le materie a funzioni già presenti, ma in questo ambito è necessario che la Compliance definisca puntualmente le responsabilità attribuite ai presidi specializzati e gli ambiti normativi di competenza. In questo caso la Compliance rimane comunque responsabile della definizione delle metodologie di valutazione del rischio di non conformità e della individuazione delle relative procedure, con l’obbligo di procedere alla verifica dell’adeguatezza delle stesse, al fine di prevenire possibili rischi di non conformità.
Rimane infine possibile l’eventualità dell’esternalizzazione della Funzione o di parte delle sue attribuzioni, nel rispetto delle stringenti condizioni poste dal quadro normativo, tra le quali rilevano: la definizione degli obiettivi; la metodologia e la frequenza dei controlli; le modalità e la frequenza della reportistica dovuta al referente per l’attività esternalizzata ed agli organi aziendali sulle verifiche effettuate, nonché severi requisiti soggettivi, tra cui, principalmente, l’indipendenza.
A titolo non esaustivo, con riferimento all’attività bancaria, i controlli di conformità maggiormente rilevanti riguardano le seguenti materie:
La trasparenza dei servizi bancari
Il contrasto all’usura
La tutela del risparmio
Le disposizioni MiFID
19
Cfr. Michele Bonollo, Bruno Martorana, Nicola Pasqualon. “Ambiti di riferimento della funzione di
30 L’antiriciclaggio e il contrasto del finanziamento del terrorismo
La responsabilità amministrativa delle persone giuridiche ( D. Lgs. n. 231/01)
La privacy e la protezione dei dati personali
La sicurezza informatica (ICT compliance)
La sicurezza sul posto di lavoro
Nel prosieguo della trattazione, senza pretesa di completezza, daremo uno sguardo agli ambiti normativi più “sensibili” dal punto di vista del rischio di non conformità.
1.3.1 D.lgs. n. 231/2001
Si tratta della “Disciplina della responsabilità amministrativa degli enti”20,
regolata dal D.lgs. n. 231/2001, il quale recepisce il principio della sanzionabilità delle Società rispetto a una serie ampia di reati. Con l’introduzione di questa nuova forma di responsabilità in capo alla società, il legislatore non ha inteso punire i comportamenti illeciti, bensì indurre le società ad approntare sistemi di controllo e monitoraggio idonei a prevenire la realizzazione degli illeciti. La disciplina, prevede dei criteri di possibile esenzione dalla responsabilità amministrativa connessa ad un reato posto in essere da vertici o dipendenti dell’ente stesso qualora il giudice penale verifichi che l’ente sia dotato ed abbia efficacemente attuato modelli organizzativi idonei alla prevenzione del reato. È infatti stabilito all’art. 6, comma 1 che l'ente non risponde se prova che:
a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
20
Il termine “enti”, ricomprende i soggetti dotati di personalità giuridica, le società e le associazioni anche prive di personalità giuridica.
31
b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell'organismo .
In proposito, l’ABI ha suggerito la predisposizione di alcune impostazioni organizzative differenti, in base alle quali è previsto che i compiti derivanti dalla normativa 231/2001 possano essere attribuiti:
ad una funzione ad hoc costituita sia da professionalità interne alla banca (come legali, esperti contabili, di gestione del personale, di controllo interno nonché, ad esempio, un membro del Collegio Sindacale) che esterne ad essa (consulenti, esperti di revisione, ecc.), con la presenza di uno o più amministratori non esecutivi (o indipendenti) che diano garanzia di effettività sul controllo dell’alta amministrazione e di omogeneità di indirizzo;
alla funzione di internal auditing che, eventualmente integrata nei poteri e nella com-posizione, può risultare adeguata ai compiti che il legislatore attribuisce all’organismo di controllo;
ad un organismo composto da soli amministratori non esecutivi o indipendenti.
Sembra essere preferibile quindi la scelta di attribuzione dei compiti ad una funzione indipendente come la Compliance, la quale occupandosi di compiti di conformità presenta un approccio idoneo a presidiare i rischi di responsabilità amministrativa. Se gli stessi fossero affidati all’Internal Audit ciò potrebbe comportare inutili sovrappo-sizioni con la funzione di conformità esistente, in virtù dell’affinità delle attività da svolgere ed analogamente accadrebbe qualora venisse costituito un apposito comitato di vigilanza la cui esclusiva competenza fosse il monitoraggio della normativa 231/2001.
32 1.3.2 Antiriciclaggio e contrasto del finanziamento al terrorismo
Anzitutto è opportuno sottolineare che data la rilevanza del tema, in questa sede verranno prese in considerazione solo le maggiori disposizioni normative in tema di antiriciclaggio, rimandando al 2°capitolo le interconnessioni operative con la Funzione Compliance. Come confermato da A.M. Tarantola: “il riciclaggio e il
finanziamento del terrorismo espongono gli intermediari a potenziali, rilevanti rischi di natura legale e reputazionale. Di conseguenza, tali rischi devono essere oggetto di particolari misure di gestione e mitigazione, la loro valutazione deve essere integrata nel sistema di risk management”21. Si tratta quindi delle stesse componenti di rischiosità per le quali la funzione di conformità è chiamata in causa.
La normativa antiriciclaggio è stata oggetto di numerose disposizioni da parte del regolatore, che nel tempo ha ampliato le categorie dei destinatari della disciplina e gli obblighi a carico di questi.
Ad oggi le direttive comunitarie emanate in tema di riciclaggio sono quattro, di cui l’ultima dovrà essere recepita dagli Stati membri entro il 26 giugno 201722
. Il primo passo verso la creazione di un sistema normativo armonizzato per il contrasto al riciclaggio viene mosso nel 1991, con la prima direttiva comunitaria che introdusse il concetto stesso di riciclaggio23, allo scopo di mantenere la stabilità e la fiducia nel sistema degli intermediari finanziaria e degli enti creditizi, evitando che esso diventi uno strumento al servizio delle organizzazioni criminali per il perseguimento di fini illeciti. Tale direttiva prevedeva degli obblighi di identificazione della clientela in capo agli enti creditizi e finanziari con la quale intrattiene rapporti, la conservazione dei documenti e delle
21
A. M. TARANTOLA,“Il contributo della Banca d’Italia nella lotta al riciclaggio”, Rimini, 29 Gennaio 2010.
22
L’obiettivo ultimo della IV Disposizione è la maggiore tracciabilità dei flussi finanziari. Le novità di rilievo riguardano:l’inserimento dei reati fiscali nella lista dei reati che definiscono un’attività criminosa; l’introduzione dell’obbligo per gli Stati Membri di istituire registri centrali dove dovranno essere iscritti i nominativi dei titolari effettivi di società e altre entità giuridiche, compresi i trust; approfondite azioni volte alla verifica della clientela.
23
Obbligava gli Stati membri a combattere unicamente il riciclaggio dei proventi da reato connessi al traffico di stupefacenti.
33
informazioni raccolte, cosi come il rifiuto da parte dell’ente di porre in essere le operazioni impartite dal cliente qualora vi sia sospetto di riciclaggio e la collaborazione tra autorità responsabili e soggetti interni agli enti attraverso l’istituzione di un sistema di controllo interno.
Con la seconda disposizione vengono ampliate le fattispecie di illecito (presupposto dell’azione di riciclaggio) e i soggetti destinatari della disciplina, ma è la direttiva 2005/60/CE in materia di “Prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo” ad essere considerata la tappa fondamentale. Essa, come evidente, aggiunge il reato di finanziamento del terrorismo e prevede nuovi obblighi ai fini della trasparenza.
Nel contesto italiano, attualmente, i due testi di riferimento della normativa antiriciclaggio sono il D. Lgs n. 231 del 2007 (che attua la terza direttiva) e le “Disposizioni in materia di Organizzazione e Controlli interni per la prevenzione del riciclaggio e finanziamento al terrorismo”, emesse da Banca d’Italia il 10 marzo 2011.
Carattere distintivo della regolamentazione è la coesistenza di due impostazioni differenti:
Per le norme di stretta conformità24, il legislatore ha disciplinato in maniera puntuale compiti e responsabilità, ai quali l’ente dovrà conformarsi semplicemente attuando quanto specificato.
Per altre previsioni, invece, il legislatore ha fatto ancora una volta ricorso al risk based approach, limitandosi a fornire le linee guida generali, lasciando all’ente l’autonomia di decidere concretamente come applicarle e, dunque, come adeguare la propria struttura organizzativa.
In tale logica si inquadra il provvedimento emanato dalla Banca d’Italia che coerentemente con le preesistenti disposizioni volte a rafforzare la gestione del
24
Sono tali le disposizioni sui termini entro i quali devono essere registrate le informazioni raccolte nella fase di verifica della clientela e la definizione del riciclaggio.