La funzione Compliance ed il sistema di prevenzione del riciclaggio di denaro nelle banche: il caso BCC di Fornacette

Testo completo

(1)Facoltà di Economia Corso di Laurea Specialistica in Management e Controllo. Tesi di Laurea La funzione Compliance ed il sistema di prevenzione del riciclaggio di denaro nelle banche: il caso BCC di Fornacette. Relatore:. Candidato:. Prof. Marco Allegrini. Luca Manzi. ANNO ACCADEMICO 2011-2012.

(2)

(3) INDICE Introduzione............................................................................................................. 7. CAPITOLO I La Compliance 1 - Inquadramento e Contesto di Riferimento.......................................................... 11 1.1 - Fonti e letteratura della compliance........................................................ 11 1.2 - Il rapporto tra compliance e cultura aziendale........................................ 14 2 - I Rischi di Conformità e di Reputazione.............................................................. 16 2.1 - Il presidio del rischio di non conformità.............................................. 16 2.2 - Il rischio di compliance nel sistema dei rischi aziendali......................... 17 2.3 - Il rischio di reputazione........................................................................... 20 2.4 - Il presidio dei rischi di reputazione......................................................... 24 3 - La Funzione Compliance nelle Banche.............................................................. 26 3.1 - Premessa.................................................................................................. 26 3.2 - Ambiti di applicazione della funzione compliance................................. 27 3.3 - Il ruolo degli organi di vertice................................................................. 31 3.4 - Posizionamento nel sistema dei controlli interni..................................... 33 3.5 - Il principio di proporzionalità..................................................................35 3.6 - Il rapporto con le altre funzioni aziendali............................................... 37 4 - La Valutazione dei Rischi di non Conformità......................................................37 5 - Indagine su Compliance e Rischi di Reputazione................................................44. .

(4) CAPITOLO II Antiriciclaggio e Prevenzione del Finanziamento al Terrorismo 1 - I Fenomeni di Riciclaggio e Finanziamento del Terrorismo.............................. 51 1.1 - Riciclaggio di denaro...............................................................................51 1.2 - Il meccanismo di riciclaggio e la necessità di antiriciclaggio................. 55 1.3 - Evoluzione della normativa antiriciclaggio............................................. 57 1.4 - Antiriciclaggio e responsabilità d’impresa.............................................. 60 1.5 - Finanziamento del terrorismo.................................................................. 63 2 - Il Principio della “Collaborazione Attiva”........................................................... 65 3 - Il Modello Organizzativo di Riferimento.............................................................. 68 3.1 - Diffusione della “cultura antiriciclaggio”............................................... 68 3.2 - Formazione del personale........................................................................ 69 3.3 - Indicazioni della Banca d’Italia............................................................... 72 4 - Obblighi di Adeguata Verifica della Clientela..................................................... 78 4.1 - L’approccio basato sul rischio................................................................. 78 4.2 - Obblighi di esecuzione............................................................................ 80 4.3 - Obblighi semplificati di adeguata verifica.............................................. 85 4.4 - Obblighi rafforzati di adeguata verifica.................................................. 89 4.4.1 - Persone politicamente esposte.................................................... 92 4.5 - Esecuzione da parte di terzi..................................................................... 93 4.6 - Obbligo di astensione.............................................................................. 94 5 - Obblighi di Conservazione e Registrazione delle Informazioni.......................... 96 6 - Obblighi di Segnalazione delle Operazioni Sospette (S.O.S.).............................. 100 6.1 - Identificazione e segnalazione dell’operazione sospetta......................... 100 6.2 - Indicatori di anomalia.............................................................................. 103 .

(5) 6.3 - Procedura e contenuto della segnalazione............................................... 105 7 - Bollettino UIF in Merito alle S.O.S...................................................................... 110 8 - Limitazioni Ulteriori all’Uso del Contante e dei Titoli al Portatore................... 114 9 - Disposizioni Sanzionatorie.................................................................................... 115. CAPITOLO III Compliance e Antiriciclaggio: il Caso BCC di Fornacette 1 - La Banca................................................................................................................ 119 1.1 - Storia....................................................................................................... 119 1.2 - Situazione economica, patrimoniale e finanziaria................................... 120 1.3 - Modello organizzativo interno............................................................... 128 1.4 - Il ruolo delle funzioni Compliance e Antiriciclaggio.............................. 129 2 - Il Presidio del Rischio di Compliance: Go® Compliance................................... 133 2.1 - Il software................................................................................................ 133 2.2 - Procedura operativa................................................................................. 134 2.3 - Piano delle verifiche e dati statistici........................................................ 136 3 - L’Iter Antiriciclaggio............................................................................................ 142 3.1 - Procedura di adeguata verifica della clientela......................................... 143 3.2 - Registrazione delle informazioni all’interno dell’AUI........................... 152 3.3 - Segnalazione delle operazioni sospette (S.O.S.)..................................... 154 .. 3.4 - Misure di prevenzione all’uso del contante........................................... 160 4 - Il Sistema dei Rapporti con gli Altri Organi Aziendali........................................ 162. Considerazioni Conclusive................................................................................... 167 .

(6) Bibliografia............................................................................................................... 169. ALLEGATO 1 - Indicatori di Anomalia emanati dalla Banca d’Italia tramite “Provvedimento recante gli indicatori di anomalia per gli intermediari” del 24.08.10.. ALLEGATO 2 - Quadro Sinottico delle Sanzioni Previste ai sensi degli artt. 55 e ss. del Decreto Legislativo 21 Novembre 2007 n. 231.. .

(7) Introduzione Il riciclaggio di denaro quanto il finanziamento del terrorismo rappresentano fenomeni criminali che costituiscono una grave minaccia per l’economia legale, in grado di destabilizzare con i loro effetti negativi l’intero sistema bancario e finanziario. Al fine di scongiurare tali effetti, l’armonizzazione internazionale della disciplina di prevenzione dei rischi anzidetti mira a preservare l’integrità e la stabilità del sistema assegnando un ruolo chiave agli intermediari. Il contenimento dei rischi in esame assume rilievo pratico anche sotto il profilo della regolamentazione prudenziale, dal momento che potrebbero indirettamente condurre all’accadimento di ulteriori eventi di rischio quali, ad esempio, il rischio legale o il rischio reputazionale; questi ultimi rappresentano a loro volta eventi che devono necessariamente essere fronteggiati dalle banche mediante un idoneo assetto organizzativo ed un’efficace quanto efficiente attività di Compliance, oltreché un’adeguata dotazione patrimoniale. In un simile contesto l’azione di prevenzione e contrasto, in particolar modo del riciclaggio di denaro, si esplica attraverso l’introduzione di presidi volti a garantire: § la piena conoscenza del cliente; § la tracciabilità delle transazioni finanziarie; § l’individuazione delle operazioni sospette. La banche sono perciò chiamate attivamente ad adottare misure di contrasto del riciclaggio e soluzioni organizzative calibrate in ragione del rischio desumibile da una apprezzabile serie di elementi tra cui, a titolo di esempio, è possibile citare la natura della controparte, la tipologia di servizio richiesto o l’area geografica di riferimento. Il tutto muove intorno al c.d. “approccio basato sul rischio”, in cui l’elemento che deve essere preso in considerazione per l’individuazione e la segnalazione delle operazioni sospette e, ancor prima, per l’applicazione di misure 7 .

(8) differenziate di verifica della clientela, è rappresentato dal grado di rischio individuato di volta in volta per le singole fattispecie. A fronte di queste considerazioni il lavoro è stato strutturato come di seguito illustrato. Il CAPITOLO I prende in esame la disciplina della Compliance indagandone gli aspetti principali che, in maniera crescente negli ultimi anni, hanno affidato a tale attività un ruolo di primaria importanza per quanto concerne il presidio dei rischi di non conformità e di reputazione. Il CAPITOLO II prende avvio con la descrizione dei fenomeni del riciclaggio e del finanziamento del terrorismo e prosegue con l’analisi dei presidi attualmente previsti ed adottati ai sensi della normativa concernente la prevenzione e l'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, il Decreto Legislativo n. 231 del 21 novembre 2007. Il CAPITOLO III riporta infine un caso pratico di prevenzione dei fenomeni trattati effettuato dalla Banca di Credito Cooperativo di Fornacette.. 8 .

(9) CAPITOLO I La Compliance Sommario: 1. Inquadramento e contesto di riferimento; 2. I rischi di conformità e di reputazione; 3. La funzione compliance nelle banche; 4. La valutazione dei rischi di non conformità; 5. Indagine su compliance e rischi di reputazione. .

(10) .

(11) 1. Inquadramento e Contesto di Riferimento. 1.1 Fonti e letteratura della compliance Sono molteplici in letteratura le definizioni fornite dai diversi autori per definire la compliance; ma cosa è effettivamente? Una condizione culturale? Una funzione aziendale? Un rischio che potrebbe verificarsi nel più ampio scenario del risk management aziendale? Oppure ancora una mera e semplice attività non codificata e di prassi? Ebbene possiamo affermare che la compliance può essere tutto questo. Generalmente la compliance consiste nel far sì che l’attività svolta dagli enti e dalle organizzazioni sia conforme alle leggi, alle regole, alle politiche ed agli standard, così da rendere quanto più possibile pari a zero il disallineamento tra ciò che viene effettivamente realizzato e ciò che è invece teoricamente ipotizzato. Ciò ha portato sempre più le imprese a creare una forma di compliance all’interno delle proprie strutture denominata “regulatory compliance”, o compliance normativa, la quale descrive l’obiettivo per cui le aziende o le pubbliche amministrazioni desiderano concentrare i loro sforzi al fine di assicurare che il personale sia “consapevole” ed intraprenda le più opportune e corrette operazioni, così da essere in linea con le leggi ed i regolamenti di maggior rilevanza per l’attività svolta. In relazione alle fonti di derivazione Comunitaria la compliance trova una sua disciplina nella direttiva 2004/39/CE1 del Parlamento e del Consiglio Europeo relativa ai mercati degli strumenti finanziari, e nella direttiva di attuazione 2006/73/CE della Commissione Europea, attinente nello specifico i requisiti di organizzazione e le condizioni di esercizio dell’attività delle imprese di investimento. In particolare, la direttiva MiFID prevede all’art. 13, paragrafo 2, che le imprese di investimento applichino politiche e procedure sufficienti a garantire che l’impresa, ivi compresi i suoi dirigenti, i suoi dipendenti e gli agenti 1. Anche detta MiFID, Markets in Financial Instruments Directive. Cfr. Basel Committee of Banking Supervision - “Compliance and the Compliance Function in Banks”, 2005. 11 2. .

(12) collegati, adempia gli obblighi che su di essa incombono in virtù delle disposizioni della direttiva stessa, nonché delle opportune regole per le operazioni personali svolte dalle persone interessate. Una simile disposizione è volta ad attribuire a tutti i soggetti operanti nelle imprese di investimento, tra i quali rientrano anche le banche, una certa responsabilità per le azioni proprie, così che il fine ultimo della conformità alle regole emanate e alle operazioni pianificate sia garantito. Successivamente poi, nel 2005, il Comitato di Basilea2 per la vigilanza bancaria ha identificato per la prima volta un’importante fattispecie della compliance, quella relativa al rischio di compliance, o meglio, al non rischio di compliance; tale veniva definito come “the risk of legal or regulatory sanctions, material financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with laws, regulations, rules, related self-regulatory organisation standards, and codes of conduct applicable to its banking activities (together, compliance laws, rules and standards)”. Da tale definizione è facilmente intuibile come il rischio di sanzioni legali o regolamentari, di perdite finanziarie rilevanti o, infine, di una perdita di reputazione cui un intermediario finanziario può incorrere a seguito della sua incapacità di essere compliant, cioè conforme con leggi, normative secondarie, regole, standard aziendali e codici di condotta, poneva le basi per la concezione di una necessaria funzione aziendale che da lì a pochi anni sarebbe divenuta di notevole importanza: la funzione di compliance. Ancora, alcuni autori hanno individuato il concetto di compliance come una sorta di responsabilità sociale che deve essere diffusa a tutti i livelli organizzativi: sono di questo avviso Edwards e Wolfe3 che, in termini generici, definiscono la compliance come “the adherence by regulated to rules and regulations laid down by those in authority. Not only does compliance means adherence to the letter of the law it also is just as 2. Cfr. Basel Committee of Banking Supervision - “Compliance and the Compliance Function in Banks”, 2005. 3 Edwards J., Wolfe S. - “The compliance function in banks”, in “Journal of financial regulation and compliance”, 2004.. 12 .

(13) concerned with adherence to the spirit of the law”; per questi due autori la compliance non rappresenta soltanto l’aderenza degli organismi regolati alle regole e alle norme emanate dalle Autorità da cui sono vigilati, ma è qualcosa di più ampio ed esteso. Continuano affermando che il termine Compliance include vari significati4 ed obiettivi che possono essere nel loro insieme realizzati associando “a rule-based approach to a more flexible ethical one”, lasciando intendere la necessità di assecondare il rigido approccio sistematico basato sul rispetto delle regole con uno più flessibile fondato sull’etica. Dunque, la realizzazione efficace della compliance all’interno degli organismi e degli enti non può fermarsi alla semplice coniugazione delle attività svolte dai soggetti operanti al loro interno con quanto disposto dalle istituzioni che su di essi vigilano, soltanto perché altrimenti incorrerebbero in meccanismi sanzionatori. Il rispetto delle regole e delle normative deve essere un qualcosa di più profondo, insito nell’essere e nell’operare di ciascuno. Dello stesso parere sembra essere anche un importante organismo di vigilanza italiano, la Banca D’Italia, che nel documento dispositivo sulla compliance5 afferma che, vista la recente situazione dei mercati economici, è necessario improntare sistemi organizzativi e culturali all’interno degli intermediari tali per cui i soggetti rispettino non soltanto alla lettera, ma comprendendone a pieno il significato, le normative ed i regolamenti, coadiuvati altresì dai principi e dai valori loro trasmessi dall’organizzazione. Ecco che il termine compliance non richiama un ben preciso e trasparente significato ma è tutt’al più suscettibile di diverse interpretazioni che possono variare in base a come viene osservato. E’ dunque possibile concludere che la Compliance può essere generalmente intesa sotto forma di: • cultura; 4. “Compliance includes concepts of obedience, observance, deference, governance, amenability, passivity, no-resistance and submission”. 5 Banca d’Italia - “Disposizioni di Vigilanza - La funzione di conformità (Compliance)”, 2007 pag. 1: “Nel mutato contesto è necessario, da un lato, promuovere una cultura aziendale improntata a principi di onestà, correttezza e rispetto non solo della lettera, ma anche dello spirito, delle norme; dall’altro, approntare specifici presidi organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione”.. 13 .

(14) • rischio da presidiare e contrastare; • funzione organizzativa.. 1.2 Il rapporto tra compliance e cultura aziendale Come accennato in precedenza, l’attività di compliance deve essere inserita all’interno del contesto di riferimento non solo come pura attività di controllo svolta da un apposito “staff” quanto come valore di fondo che deve permeare il funzionamento dell’organizzazione a tutti i livelli, così da essere recepita nella cultura aziendale6. Risulta che ad oggi la maggior parte delle aziende, all’interno della qual categoria si intendono anche gli istituti bancari, hanno adottato codici etici ed hanno istituito programmi mirati allo sviluppo di quella che può essere definita, a volte in maniera utopistica, la forma di controllo per eccellenza in grado di coniugare un basso costo con un elevato impatto simbolico: l’autocontrollo. L’autocontrollo, inteso come motivazione intrinseca di ciascun individuo, ha a che fare con l’etica, la moralità e la lealtà, e rientra, all’interno delle organizzazioni, nell’ambito dei controlli del personale; tali sono definiti come “iniziative e strumenti diretti a fare in modo che i singoli dipendenti si controllino da soli indirizzandoli a svolgere bene il proprio lavoro” 7. In questo contesto molti autori affermano l’importanza di unire solidi programmi di orientamento ai comportamenti etici con lo spirito di compliance, volto a sviluppare in ogni individuo e a tutti i livelli l’essere compliant. Negli ultimi tempi i principali sforzi delle organizzazioni si stanno concentrando proprio sullo spostamento dell’approccio individuale alla compliance, passando da un “compliance-based approach”, incentrato essenzialmente sulla prevenzione, il controllo e la punizione dei soggetti responsabili delle violazioni, ad un “integrity or value-based approach” che, al contrario, intende definire in maniera chiara e 6. “Compliance should be part of the culture of the organization; it is not just the responsibility of specialist compliance staff” in Basel Committee of Banking Supervision - “Compliance and the compliance function in banks”, 2005. 7 S. Marasca, L. Marchi, A. Riccaboni - “Il controllo di gestione”, pag. 98, Knowità, 2008.. 14 .

(15) precisa quelli che sono i fondamenti dell’organizzazione così da indirizzare i comportamenti soggettivi verso i valori etici condivisi. Weaver e Trevino infatti evidenziano8 come un forte orientamento ai principi e ai valori sia necessario per mettere in condizione i soggetti di capire meglio gli scopi delle attività di controllo della conformità; infatti, tali attività devono essere percepite come parte di un ben più ampio sistema di supporto ai comportamenti etici. Affermano inoltre che senza un forte orientamento ai valori le attività di compliance rischiano di essere comprese soltanto come parte di un sistema volto semplicemente alla scoperta di cattive condotte. Sempre con riferimento al connubio tra compliance ed etica, Michaelson9 afferma che “the objective of responsible conduct cannot be achieved by imposing from outside what is required but must also appeal to what is desired”, inducendo i lettori a ragionare sul fatto che è difficile raggiungere l’obiettivo di una condotta responsabile soltanto attraverso l’imposizione esterna di ciò che è richiesto, in quanto essa deve necessariamente essere accompagnata da ciò che invece effettivamente l’organizzazione desidera. Senza ombra di dubbio l’aspirazione delle autorità di vigilanza e degli organismi di formazione in un tale contesto di riferimento è orientata ad incoraggiare gli intermediari finanziari ad articolare il proprio credo nell’ambito di un determinato contesto etico, nell’ottica di un approccio alla compliance più proattivo e meno prescrittivo. All’atto pratico risulta che la compliance, associata ed integrata alla cultura propria di ogni realtà, rappresenta un tema molto caro oggigiorno all’interno delle aziende, delle organizzazioni ed in particolar modo nelle banche. Proprio con riferimento a quest’ultima categoria si è assistito alla diffusione di una serie di iniziative da parte degli organismi di vigilanza che hanno condotto addirittura. 8. Cfr. Weaver G. R., Trevino L. K. - “Compliance and Values Oriented Ethics Programs: Influences on Employees' Attitudes and Behavior”, pag. 330, 1999. 9 Michaelson C. – “Compliance and the illusion of ethical progress” in “journal of business ethics, 2006.. 15 .

(16) al riconoscimento dell’obbligatorietà di creare una funzione volta a prevenire l’accadimento del c.d. “rischio di non conformità”.. 2. I Rischi di Conformità e di Reputazione. 2.1 Il presidio del rischio di non conformità Soltanto in epoca recente, a seguito di importanti scandali che hanno minato il corretto funzionamento dei mercati finanziari in cui fiducia, correttezza e solidità degli intermediari costituiscono il fondamento, soprattutto, dei rapporti tra banca e cliente, si è assistito alla produzione di norme che hanno modificato la considerazione degli organismi in merito alla compliance. Difatti, a partire dall’anno 2007 per gli istituti bancari, e dal 2009 per le assicurazioni, vige l’obbligo di istituire al proprio interno un organo di Compliance dedicato al presidio e al controllo della conformità10. L’azione di compliance mira a far fronte al rischio di non conformità, il rischio cioè “di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina)”, così come definito dal documento emanato dalla Banca d’Italia; le disposizioni prevedono che un corretto presidio del rischio in esame debba essere realizzato attraverso: - il monitoraggio continuo del quadro normativo; - la costruzione di processi conformi alle norme; - la promozione e la definizione di controlli volti alla mitigazione del rischio di non conformità; - la verifica nel tempo dei presidi adottati;. 10. Banca d’Italia, “La funzione di conformità”, 2007; ISVAP, Regolamento n. 20/2008, Capo V, 2008.. 16 .

(17) - l’assistenza e la consulenza del vertice aziendale, anche per aspetti strategici; - la promozione di una cultura improntata ai valori di eticità e correttezza. Ancora, tale funzione svolge un ruolo di rilievo nella creazione del valore aziendale attraverso il rafforzamento e la preservazione del buon nome della banca e della fiducia del pubblico nella sua correttezza operativa e gestionale. Un ulteriore importante elemento che deve essere tenuto in considerazione durante l’attività di compliance e prevenzione di accadimento del correlato rischio è rappresentato dal perimetro normativo cui le banche devono riferirsi durante lo svolgimento del processo di Compliance; a tal riguardo, il comitato esecutivo dell’ABI11 ha adottato nel 2008 un proprio position paper12 in risposta alle disposizioni emanate da Bankitalia, il quale, tra l’altro, riconosce che “spetta alla singola banca la definizione del perimetro delle regole affidate alla verifica della funzione di compliance, nel rispetto di un perimetro minimo obbligatorio (core) che assicuri la verifica di secondo livello della corretta applicazione delle regole in materia bancaria e delle regole dei servizi di investimento”.. 2.2 Il rischio di compliance nel sistema dei rischi aziendali L’obbligatorietà dell’istituzione della funzione di compliance all’interno delle banche rappresenta senza dubbio una forte presa di posizione da parte degli organismi di vigilanza e degli enti di normazione nei confronti di una tipologia di rischio spesso considerata solo “parte” del ben più ampio panorama dei rischi aziendali. Nel 2005 lo stesso Comitato di Basilea affermava come alcuni aspetti dei rischi operativi trovavano una stretta correlazione con il rischio di non conformità13; questa supposizione, volta ad avvicinare il rischio di non conformità alla più ampia gamma dei rischi operativi, i rischi che lo stesso 11. Associazione Bancaria Italiana. ABI - “Riflessioni del settore bancario in tema di perimetro della funzione compliance”, 2008. 13 Cfr. Basel Committee of Banking Supervision – “Compliance and the compliance function in banks”, 2005, pag. 8 “there is a close relationship between compliance risk and certain aspects of operational risk”. 12. 17 .

(18) Comitato nel 2004 ha definito come “i rischi di perdite derivanti da disfunzioni a livello di procedure, personale e sistemi interni, oppure da eventi esogeni”, ha portato all’assunzione che “some banks may wish to organise their compliance function within their operational risk function”. Tale affermazione ampliava dunque lo scenario dei possibili eventi di rischio all’interno degli istituti creditizi tanto da suggerire l’organizzazione di una funzione specificatamente atta al presidio del rischio di non conformità all’interno della funzione che si occupava del generale presidio dei rischi operativi. La definizione proposta di “operational risk” tuttavia, a detta dello stesso Comitato, comprendeva il rischio legale ma non quelli di posizionamento strategico e di reputazione; anche per questo motivo gli organismi di vigilanza e normativi hanno ritenuto opportuno promuovere successivamente la costituzione di una funzione principalmente dedita alla prevenzione del Compliance Risk, prendendo in considerazione vari aspetti fino ad allora mai ritenuti parte di una classe di rischio a sé stante. . . (Fonte Grillo A. - http://www.compliancenet.it, 2011). L’illustrazione aiuta a comprendere la diversa connessione esistente tra i rischi operativi ed il rischio di conformità, così come definiti dal Comitato di Basilea: è. 18 .

(19) possibile osservare che i principali rischi operativi sono quelli facenti riferimento a14: • frode interna - esempi: alterazione intenzionale di dati, sottrazione di beni e valori, operazioni in proprio basate su informazioni riservate; • frode esterna - esempi: furto, contraffazione, falsificazione, emissione di assegni a vuoto, pirateria informatica; • rapporto di impiego e sicurezza sul posto di lavoro - esempi: risarcimenti richiesti da dipendenti, violazione delle norme a tutela della salute e sicurezza del personale, attività sindacale, pratiche discriminatorie, responsabilità civile; • pratiche connesse con la clientela, i prodotti e l’attività - esempi: violazione del rapporto fiduciario, abuso di informazioni confidenziali, transazioni indebite effettuate per conto della banca, riciclaggio di denaro di provenienza illecita, vendita di prodotti non autorizzati; • danni a beni materiali - esempi: atti di terrorismo e vandalismo, terremoti, incendi, inondazioni; • disfunzioni e avarie di natura tecnica - esempi: anomalie di infrastrutture e applicazioni informatiche, problemi di telecomunicazione, interruzioni nell’erogazione di utenze; • conformità esecutiva e procedurale - esempi: errata immissione di dati, gestione inadeguata delle garanzie, documentazione legale incompleta, indebito accesso consentito a conti di clienti, inadempimenti di controparti non clienti, controversie legali con fornitori. Si. nota. chiaramente. come. alcuni. eventi. possano. essere. considerati. rappresentativi sia di un rischio di tipo operativo sia di un rischio di conformità in quanto, a causa delle loro caratteristiche, devono essere considerati in entrambe le fattispecie. Infatti, il “rischio di conformità esecutiva e procedurale” ed il. “rischio relativo a pratiche connesse con la clientela, i prodotti e. 14. Comitato di Basilea - “Prassi corrette per la gestione e il controllo del rischio operativo”, 2004.. 19 .

(20) l’attività”, rappresentano rischi operativi che potrebbero generare un forte impatto sulla reputazione dell’intermediario in considerazione. In effetti l’elemento più importante che deve essere considerato quando si parla di Compliance e dei rischi ad essa connessi, oltre al più volte citato rischio di incorrere in sanzioni o perdite dovute alla mancata conformità a norme di etero e di autoregolamentazione, è rappresentato dalla necessità di indagare su quelli che sono i c.d. “eventi per rischio reputazionale”, vero e proprio cuore pulsante della disciplina di Compliance, con l’obiettivo di. individuare, e all’occorrenza. mitigare, tutte le manifestazioni che potrebbero potenzialmente comportare il verificarsi di danni economici derivanti dall’alterazione del giudizio e del rapporto fiduciario percepito dalla clientela dell’intermediario15.. 2.3 Il rischio di reputazione Occorre sottolineare fin da subito come fallimenti, truffe, licenziamenti nelle più importanti istituzioni bancarie mondiali, fatti di cronaca ed evoluzioni normative hanno dato alla reputazione delle banche un maggior rilievo rispetto al passato, trovando spesso le suddette aziende impreparate nei confronti di un fattore di rischio che da sempre rappresenta uno dei pilastri strategici fondamentali per il successo, atto a garantire la continuità aziendale. E’ evidente che la reputazione risulti particolarmente rilevante per il sistema bancario, in cui il rapporto fiduciario con la clientela rappresenta uno dei principali elementi a determinare la preferibilità di un soggetto economico (ad esempio un investitore) a stipulare un contratto finanziario con un determinato intermediario piuttosto che con un altro; in un mercato competitivamente organizzato in questo modo il pericolo di perdere la reputazione deve agire come incentivo per ciascuno ad operare con correttezza, trasparenza e nel rispetto delle regole. La reputazione in un simile contesto, intesa in senso lato, altro non è che il giudizio di apprezzamento che i vari stakeholder formulano in relazione 15. Gabbi. G. - “Definizione, misurazione e gestione del rischio reputazionale degli intermediari bancari”, 2004.. 20 .

(21) all’intermediario, avendo come oggetto di valutazione la capacità da questo dimostrata nel soddisfare le loro aspettative ed esigenze mediante comportamenti corretti, chiari e responsabili. Con riferimento alla salvaguardia della buona reputazione la Compliance svolge un ruolo importantissimo in quanto pone l’esistenza di un presidio interno all’azienda a garanzia della correttezza delle operazioni svolte; negli ultimi anni ha inoltre rappresentato sempre più un’attività necessaria volta all’individuazione di una particolare ed innovativa categoria di rischio all’interno degli intermediari finanziari (e non solo), quella del rischio di reputazione (o reputazionale). Il rischio di reputazione risulta particolarmente importante per questa categoria di soggetti vista la “pressione” esercitata dai vari stakeholders esterni quali depositanti, creditori, Autorità di vigilanza, nonché tenuto conto dei potenziali effetti che il “fallimento” di un intermediario comporterebbe al contesto economico e sociale. La sua corretta gestione si pone obiettivi ampi, tra cui il recupero della fiducia del pubblico e la conquista di un positivo giudizio dell’impresa da parte di tutti i suoi stakeholders16. Non esiste ad oggi in letteratura una chiara ed univoca definizione di rischio reputazionale, tuttavia diverse definizioni sono state date da molte autorevoli fonti che, in linea generale, inquadrano tale rischio nei seguenti modi. Nel 1997 il Comitato di Basilea disponeva che il rischio di reputazione deriva da fallimenti operativi, difficoltà ad uniformarsi con leggi e regolamenti di maggior rilievo o altre fonti; continuava affermando che una perdita di reputazione è particolarmente pregiudizievole per le banche poiché la natura delle loro attività richiede che sia preservata la fiducia dei depositanti, dei creditori e del mercato in generale. La vigilanza creditizia BIS17 nel. 2001 definiva il rischio di. reputazione come “la possibilità che la diffusione di notizie negative, siano esse veritiere o meno, concernenti le modalità di gestione o le connessioni di una banca intacchino la fiducia nella sua integrità”; successivamente nel 2009 16. Uselli A. - “ La responsabilità sociale come possibile fattore di mitigazione a protezione del rischio reputazionale. Alcune questioni per il settore finanziario”, Convegno ADEIMF, 2007. 17 Bank for International Settlements.. 21 .

(22) aggiornava ed integrava la definizione, inquadrando tale rischio come “derivante da una percezione negativa dell’immagine della banca da parte di clienti, controparti, azionisti, investitori, obbligazionisti, analisti, altri soggetti interessati o autorità di vigilanza in grado di condizionare negativamente la capacità della banca di mantenere o sviluppare nuove business relationships e la capacità di accedere a fonti di finanziamento”18. Ancora, il documento di informativa al pubblico emanato dal Comitato di Basilea nel 2008 riconosceva il rischio di reputazione come “il rischio attuale o prospettico di flessione degli utili o del capitale derivante da una percezione negativa della banca da parte degli stakeholders, generata ad esempio da: - atti dolosi o colposi commessi dalla banca o ad essa riconducibili a danno diretto della clientela; - mancata chiarezza nel trasferimento delle informazioni alla clientela; - fenomeni di market-abuse e altri reati societari a danno degli investitori; - storia di regolamento parziale o non puntuale tale da indurre le controparti istituzionali a contrarre la negoziazione nei mercati non regolamentati; - mancato rispetto di accordi interbancari nell’ambito di processi di ristrutturazione extra-giudiziali; - dichiarazioni errate, omissive o poco trasparenti alle Autorità di Vigilanza”. La Banca d’Italia ha successivamente fatto propria la definizione del Comitato di Basilea ed ha introdotto una definizione di rischio reputazionale, simile per certi versi, ma che risulta di notevole interesse19: “Il rischio reputazionale è il rischio attuale o prospettico di flessione degli utili o del capitale derivante da una percezione negativa della banca da parte di clienti, controparti, azionisti della banca, investitori o autorità di vigilanza”. Tale definizione può senza dubbio essere considerata come il sunto di tutti gli elementi caratterizzanti le diverse 18. Bank for International Settlements - “Proposed enhancements to the Basel II framework Consultative Document”, 2009. 19 Banca d’Italia - “Circolare n. 263 – Nuove disposizioni di vigilanza prudenziale per le banche”, aggiornamento del 2010.. 22 .

(23) definizioni di rischio reputazionale reperibili in letteratura; tali elementi fondamentali sono20: • gli eventi scatenanti che possono alterare il giudizio su una banca: si tratta di quegli eventi che rischiano di modificare le percezioni degli stakeholder sull’organizzazione, e quindi i loro comportamenti rispetto ad essa; • la pubblicità negativa per la banca; • la perdita di valore per la banca: affinché si possa parlare di danno reputazionale è necessaria una flessione degli utili o del capitale in essa che sia attuale o prospettica. Relativamente all’ultimo punto è stato osservato che tra i principali effetti della perdita di reputazione, causati quindi dall’accadimento di un c.d. danno reputazionale, in genere vengono indicati21: § la perdita di quote di mercato, dovuta alla disaffezione della clientela; § la maggiore difficoltà a reperire capitale di rischio, la crescita del costo del capitale e, di conseguenza, la minore economicità delle condizioni di approvvigionamento di capitale sui mercati nazionali ed internazionali; § il downgrading del merito creditizio ed il possibile peggioramento delle condizioni. di. solvibilità. che. potrebbero. determinare. anche. un. accrescimento della volatilità sui prezzi degli strumenti finanziari emessi dalla banca, con l’ulteriore rischio che questi si trovino esposti anche a mosse speculative; § l’esposizione a crescenti pressioni concorrenziali; § la difficoltà di attrarre personale qualificato e, in parallelo, il rischio di perdere risorse umane qualificate; § la perdita di opportunità strategiche (quali fusioni o acquisizioni); § i costi necessari, diretti e indiretti, per “recuperare” la reputazione. 20. Anolli M., Rajola F. (a cura di) - “Il rischio di reputazione e di non conformità. Strumenti e metodi per la governante e la gestione operativa”, 2010. 21 Gabbi G. (2004).. 23 .

(24) 2.4 Il presidio dei rischi di reputazione Affinché sia possibile instaurare le più idonee iniziative volte al riconoscimento e alla mitigazione del rischio di reputazione, occorre comprenderne il posizionamento all’interno dell’intero sistema di risk management. Anzitutto è necessario esplicitare come il rischio reputazionale non faccia capo ad un evento chiaramente contraddistinto nell’ambito del sistema dei rischi aziendali, in quanto rappresenta un fenomeno che spesso si verifica come conseguenza di altri accadimenti. Comunemente in letteratura questa categoria di rischio viene definita di “secondo livello” in quanto si attiva su altre tipologie di eventi che sono soggetti ad altre fonti di rischio, definiti rischi di primo livello (o originari). I rischi operativi, legali e di non conformità sono considerati il fattore più frequente di innesco del rischio di reputazione, il quale si basa sul concretizzarsi di fatti, atti o comportamenti della banca che configurano22: - inadeguatezza o disfunzione di procedure, risorse umane, sistemi interni o ulteriori eventi esogeni (rischio operativo); - violazioni di leggi o regolamenti, responsabilità contrattuale o extracontrattuale (rischio legale); - non conformità a norme, standard di comportamento e operative rilevanti (rischio di non conformità). In particolare i rischi legali e di non conformità (o di compliance), attivandosi su tematiche socialmente sempre più rilevanti sotto il profilo etico, finiscono per generare fenomeni imprevisti, incontrollabili e potenzialmente ad alto impatto reputazionale. Per molte banche inoltre, affinché il rischio reputazionale possa concretizzarsi, è necessaria la presenza, congiuntamente al manifestarsi di rischi operativi, legali e di non conformità, di due elementi in grado di contribuire a trasformare il rischio originario in rischio reputazionale: 22. Antonicelli M. A. - “La gestione del rischio di reputazione nelle banche”, intervento tenuto al Convegno ABI “Basilea 2 e la crisi finanziaria”, 2009.. 24 .

(25) 1) la diretta responsabilità della banca riguardo all’evento di rischio; 2) l’interazione dei comportamenti aziendali con variabili reputazionali (ad esempio: importanza socialmente attribuita a un dato evento rischio, significatività del marchio, esposizione a processi di comunicazione esterna). Per il settore dell’intermediazione finanziaria, in ragione anche dei suggerimenti contenuti nelle istruzioni della Banca d’Italia, la funzione aziendale maggiormente adatta a minimizzare il rischio reputazionale, e gli eventuali danni conseguenti ad esso, è rappresentata dalla Compliance. A tale funzione, nonché alle attività di gestione della conformità ad essa demandate, spetta il presidio del corretto rapporto nei confronti della clientela, ossia di quel rapporto fiduciario considerato un valore primario per le banche e gli intermediari finanziari in generale; un valore che favorisce la reputazione e consolida il business nel tempo23. L’importanza di garantire il rapporto tra banca e clientela, fortemente basato sulla fiducia, è dovuta anche alla tipologia dei prodotti e servizi erogati da tali enti, che risultano essere connotati da un’elevata complessità associata spesso ad un alto profilo di incertezza della prestazione. Fanno parte di questa offerta i c.d. prodotti e servizi di tipo “trust”, spesso difficilmente valutabili a priori a causa della scarsa conoscenza finanziaria del consumatore medio, eppure di notevole importanza in quanto, ad esempio, potrebbero coinvolgere “i risparmi di una vita”; l’accettazione dell’offerta da parte del consumatore presuppone quindi una piena fiducia ed apprezzamento nell’operatore in questione. In un simile contesto, come osservato anche per il rischio di non conformità, risulta di non poca importanza l’istituzione di una funzione di Compliance atta a garantire il presidio del rischio di reputazione, in modo da prevenirne altresì i potenziali effetti negativi. 23. Cola C., prefazione in Musile Tanzi P. (a cura di) - “La funzione compliance. Banche, assicurazioni, imprese di investimento”, Bancaria Editrice, 2010.. 25 .

(26) 3. La Funzione Compliance nelle Banche. 3.1 Premessa L’argomento della compliance e l’istituzione obbligatoria di una funzione con competenze specifiche in merito si è affermato prepotentemente negli ultimi anni, soprattutto a seguito della crisi scatenatasi sui mercati finanziari nazionali ed internazionali. La presa di coscienza dell’importanza che tale funzione ricopre nell’intero sistema dei controlli ha spinto i vari organismi di vigilanza, ed i più accreditati enti normativi, ad attribuire sempre maggior rilievo alle questioni riguardanti i comportamenti che gli intermediari devono tenere al fine di garantire un’efficiente ed efficace gestione della compliance. Le diverse Authority di vigilanza hanno da sempre auspicato lo sviluppo all’interno delle banche di politiche guida coerenti, adeguati presidi organizzativi e procedure sull’adeguatezza normativa tali da garantire un controllo preventivo ex ante, in termini di compliance, ed uno ex post relativo all’istituzione di idonee azioni correttive da porre in essere al verificarsi di problemi ed anomalie in termini di conformità. Già nell’ottobre 2003, il Basel Committee of Banking Supervision aveva raccomandato alle banche di valutare attentamente lo sviluppo di una funzione dedicata alla compliance normativa e, nel 2004, all’interno del suo position paper, dettò una serie di principi in cui veniva essenzialmente riconosciuta la funzione di compliance; secondo tale documento, le attività della funzione dovevano: • assicurare la conformità dell’intera attività bancaria non solo alla lettera ma anche, e soprattutto, alla sostanza delle norme che la disciplinano, anche autoregolamentari; • riguardare tutti i livelli dell’organizzazione; • essere considerata come parte integrante delle business activities della banca; 26 .

(27) • essere vista come espressione della cultura organizzativa, ovvero come un pervasivo modo di essere dell’intera organizzazione bancaria. Resta il fatto che una simile serie di principi dettati fino a quel momento in un’ampia gamma di documenti altro non rappresentavano che dei semplici suggerimenti, susseguenti alla cognizione dell’importanza di istituire un presidio volto a garantire la conformità delle azioni predisposte. Da qui ha preso avvio l’analisi che ha condotto, nei successivi anni, all’istituzione obbligatoria della funzione compliance per alcune categorie di intermediari, tra cui le banche, e alla definizione dei principali obblighi, compiti e aree di interesse cui essa deve ottemperare e far fronte.. 3.2 Ambiti di applicazione della funzione compliance Le principali tematiche cui si riferisce il presidio del rischio di conformità, ovvero le prescrizioni rilevanti che devono essere attentamente adempiute affinché possa essere scongiurato un default in termini di Compliance, sono state molteplici nel corso del tempo. Resta comunque il fatto che il perimetro normativo sul quale intende vigilare la funzione di compliance risulta ampio, poco determinato e non definitivamente determinabile; l’art. 1624 del regolamento congiunto CONSOB25-Banca d’Italia emanato nel 2007 ha previsto per gli intermediari il dovere di istituire all’interno dell’organizzazione misure specifiche dedite alla prevenzione e all’individuazione delle fattispecie in mancanza delle quali non vi sarebbe stata conformità alle disposizioni divulgate dalla direttiva 2004/39/CE, la già citata Direttiva MiFID. Tale Direttiva ha istituito precise regole di comportamento che gli intermediari finanziari dovevano, e devono tutt’ora, tenere al momento della prestazione dei servizi di 24. Art. 16, Comma. 1, Regolamento Congiunto CONSOB-Banca d’Italia: “Gli intermediari adottano procedure adeguate al fine di prevenire e individuare le ipotesi di mancata osservanza degli obblighi posti dalle disposizioni di recepimento della direttiva 2004/39/CE e delle relative misure di esecuzione, minimizzare e gestire in modo adeguato le conseguenze che ne derivano, nonché consentire alle autorità di vigilanza di esercitare efficacemente i poteri loro conferiti dalla relativa normativa”. 25 Commissione Nazionale per le Società e la Borsa.. 27 .

(28) investimento; essa è stata emanata con lo scopo principe di armonizzare le legislazioni degli Stati membri, in modo da “creare un mercato finanziario integrato nel quale gli investitori sono efficacemente tutelati”. I principali obblighi previsti dalla Direttiva possono essere brevemente riepilogati in: § obblighi di valutazione della coerenza degli investimenti rispetto al profilo dell’investitore; § obblighi di classificazione delle operazioni finanziarie, in funzione della tipologia dei clienti coinvolti, in tre distinte categorie: al dettaglio, professionali e controparti qualificate. Precludere lo spazio di manovra della funzione compliance ai soli obblighi previsti dalla Direttiva MiFID, ai sensi dell’art. 16 del Regolamento, rischiava di ridurre in modo significativo il perimetro che tale funzione è chiamata a presidiare. Ulteriori considerazioni sono state fornite in via principale dalla Banca d’Italia, la quale ha notevolmente ampliato l’ambito esecutivo della funzione precisando che essa è tenuta, in linea generale, ad istituire idonee procedure di controllo della conformità in quanto: § è finalizzata a promuovere una cultura aziendale improntata sui principi di onestà, correttezza, rispetto non solo della lettera, ma anche dello spirito delle norme; § ha la responsabilità in termini di prevenzione della violazione di norme di etero e di autoregolamentazione applicabili alla banca. Secondo quanto stabilito dalla Banca d’Italia è perciò impensabile che l’ambito di applicazione della Compliance possa essere preventivamente determinato in quanto viene praticamente rimessa alle singole banche la definizione concreta del perimetro normativo rilevante di ogni singola realtà. Tuttavia è stato generalmente riconosciuto che le norme maggiormente sensibili ad un rischio di non conformità, che dovrebbero dunque essere sottoposte a controlli, sono quelle che riguardano26: 26. Banca d’Italia - “Disposizioni di Vigilanza - La funzione di conformità”, pag. 2, 2007.. 28 .

(29) • l’esercizio dell’attività di intermediazione; • la gestione dei conflitti di interesse; • la trasparenza nei confronti del cliente; • la disciplina posta a tutela del consumatore. Tali tematiche tipicamente includono aree importanti quali l’antiriciclaggio ed il finanziamento di attività illecite dalle quali possono scaturire ingenti danni in termini reputazione e rapporti con la clientela, che potrebbero altresì ripercuotersi sul generale andamento dell’istituto creditizio anche in termini economici e patrimoniali. Infatti, una banca che prende consapevolmente parte ad operazioni formalmente corrette ma poste in essere dalla controparte con l’obiettivo di aggirare o di sottrarsi all’applicazione delle norme, si espone ad un significativo rischio di non conformità. Risulta dunque di notevole importanza impostare all’interno delle organizzazioni specifici presidi volti ad assicurare la mitigazione di detto rischio. Le stesse disposizioni prevedono che l’azione di Compliance all’interno delle banche, affinché sia nel suo complesso efficace ed efficiente, dovrebbe strutturarsi secondo: • una chiara e formalizzata individuazione e distinzione di ruoli e responsabilità a tutti i livelli dell’organizzazione; • l’istituzione dell’apposita funzione incaricata della gestione del rischio di non conformità; • la nomina di un responsabile della conformità alle norme; • la redazione e formalizzazione di un documento interno concernente la funzione di conformità che indichi responsabilità, compiti, modalità operative, flussi informativi, programmazione e risultati in merito all’attività svolta. Da un punto di vista strettamente operativo gli adempimenti principali che riguardano la funzione di conformità sono: 29 .

(30) • l’identificazione. nel. continuo. delle. norme. applicabili. e. la. misurazione/valutazione del loro impatto sui processi e sulle procedure poste in essere; • la proposta di modifiche organizzative e procedurali finalizzata ad assicurare l’adeguato presidio dei rischi di non conformità identificati; • la predisposizione di flussi informativi diretti ai principali organi aziendali e a tutte le strutture coinvolte nell’attività operativa; • la verifica dell’efficacia dei presidi organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di conformità. Ancora, alla funzione compliance è attribuito un ruolo importante e di primo piano: • nella valutazione ex ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi che gli enti intendono intraprendere, nonché nella prevenzione e nella gestione dei conflitti di interesse; • nella verifica della coerenza del sistema premiante con gli obiettivi di conformità alle norme, allo statuto, nonché ad eventuali codici etici o altri standard di condotta applicabili; • per la consulenza e l’assistenza degli organi di vertice relativamente alle materie in cui assume rilievo il rischio di non conformità; • per la collaborazione nell’attività di formazione del personale circa le disposizioni applicabili con riferimento alle attività svolte, così da diffondere una cultura aziendale improntata al rispetto delle norme esterne ed interne. Inoltre la funzione di conformità ha il compito di: § identificare e valutare, almeno una volta all’anno, i principali rischi di non conformità cui la banca è esposta e programmare i relativi interventi di gestione. La programmazione degli interventi deve riguardare sia le 30 .

(31) eventuali carenze (di politica, procedurali, di implementazione o esecuzione) emerse nell’operatività aziendale, sia la necessità di affrontare eventuali nuovi rischi di non conformità identificati a seguito della valutazione annuale del rischio; § riferire almeno una volta l’anno al C.d.A. (o a un comitato costituito al suo interno) e al Collegio Sindacale (o a un comitato costituito al suo interno), ovvero al consiglio di sorveglianza, di iniziativa o su richiesta, in merito all’adeguatezza della gestione del rischio di non conformità attuata dalla banca; § fornire tempestiva informazione agli organi di cui al punto precedente ogniqualvolta si verifichi una violazione rilevante della conformità alle norme (ad esempio violazioni che possono comportare un alto rischio di sanzioni regolamentari o legali, perdite finanziarie di rilievo o danno di reputazione).. 3.3 Il ruolo degli organi di vertice Il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative o di autoregolamentazione permea la banca nel suo complesso, partendo da ogni tipologia di attività svolta e coinvolgendo l’insieme delle unità organizzative, dall’alta direzione alle singole aree produttive di business. L’attività di prevenzione deve realizzarsi in primo luogo laddove il rischio viene generato: risulta pertanto necessaria, come anche suggerito dalle Authority, un’adeguata responsabilizzazione di tutto il personale, in particolare dei soggetti preposti alle funzioni maggiormente operative. Come affermato dal Comitato di Basilea27, “Compliance starts at the top”; da tale imperativo discende che gli organi apicali ricoprono un ruolo di primo rilievo per quanto concerne il presidio del rischio di non conformità e gli eventi 27. Basel Committe of Banking Supervision – “Compliance and the Compliance Function in Banks”,. 2005.. 31 .

(32) che derivano da una mancata o inefficace gestione dello stesso. Banca d’Italia prosegue affermando che “il consiglio di amministrazione e il collegio sindacale sono responsabili della supervisione complessiva del sistema di gestione del rischio di non conformità alle norme”. Nel caso in cui le banche adottino un modello organizzativo diverso da quello tradizionale detto compito spetta, nel modello dualistico, al consiglio di sorveglianza e al consiglio di gestione, mentre, nel modello monistico, al consiglio di amministrazione. Sono dunque questi i principali attori che devono assicurare lo svolgimento di un’efficace azione preventiva nei confronti del rischio di conformità e, a tal fine: § definiscono adeguate politiche e procedure di conformità; § stabiliscono canali di comunicazione efficaci per assicurare che il personale, a tutti i livelli dell’organizzazione, sia a conoscenza dei presidi di conformità relativi ai propri compiti e responsabilità; § assicurano che le politiche e le procedure vengano osservate all’interno dell’intera organizzazione; § nel caso emergano violazioni, accertano che siano apportati i rimedi necessari; § delineano flussi informativi verso le funzioni competenti volti ad assicurare piena consapevolezza sulle modalità di gestione del rischio di non conformità. Nel 2005 lo stesso Comitato di Basilea proseguiva nell’affermare che “it will be most effective in a corporate culture that emphasises standards of honesty and integrity and in which the board of directors and senior management lead by example”; ecco che risulta indispensabile un effettivo e forte commitment del vertice aziendale ed un’attenzione costante da parte delle autorità di controllo per giungere ad un reale consolidamento della funzione nelle organizzazioni, nonché per assicurare i risultati auspicati in termini di gestione del rischio di conformità richiesti alla funzione stessa. 32 .

(33) Tale consolidamento può efficacemente essere raggiunto soltanto introducendo all’interno dell’azienda complessivamente considerata un insieme strutturato di presidi organizzativi ed operativi che come scopi principali hanno la diffusione della “cultura di compliance” ed il concreto rispetto delle indicazioni previste in norme, disposizioni e regolamenti vigenti.. 3.4. Posizionamento nel sistema dei controlli interni Per quanto concerne il posizionamento all’interno dell’organizzazione, la funzione Compliance può essere ritenuta parte integrante del più ampio sistema dei controlli interni attuati per la gestione dei rischi; l’operatività svolta dalla funzione viene comunemente considerata come attività di controllo di secondo livello ed è generalmente posta sullo stesso piano del risk management. . (Fonte Grillo A. - http://www.compliancenet.it, 2011). Nell’ambito dei controlli di secondo livello, comprendenti l’insieme delle attività svolte dalle funzioni e dagli organi che, in posizione indipendente dai responsabili degli altri processi, hanno il compito di monitorare in via sistematica l’andamento delle diverse famiglie di rischio connesse con l’operatività aziendale, nonché l’adeguatezza dei controlli di primo livello, la funzione compliance opera con l’obiettivo di concorrere alla definizione delle metodologie 33 .

(34) di misurazione e valutazione del rischio di non conformità al fine di individuarne idonee procedure di prevenzione. Il ruolo descritto differenzia sostanzialmente la funzione di conformità da quella di revisione interna così come indicata all’interno delle Istruzioni di Vigilanza emanate dalla Banca d’Italia28. Secondo le istruzioni tra le due attività esiste in parte una interdipendenza sequenziale, poiché l’adeguatezza e l’efficacia della funzione compliance, come tutte le altre funzioni aziendali, devono essere sottoposte a verifica periodica da parte dell’internal auditing, il terzo livello di controllo, volto ad individuare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché ad effettuare una valutazione del sistema nel suo complesso. Resta comunque predominante nella funzione di compliance l’aspetto di funzione che opera ex ante ed in modo proattivo nell’esaminare, valutare e dare impulso all’adozione di soluzioni per quanto concerne le materie a rischio compliance, passando da “strumento che assicura la mera conformità alla norma” a “strumento che crea per l’azienda un vantaggio reputazionale che si riflette in una maggiore capacità competitiva”. L’inserimento della funzione di compliance nella parte intermedia della piramide delle attività di controllo consegue alla necessità di assicurare l’indipendenza tra la funzione stessa e la revisione svolta dal controllo di terzo livello, in modo che l’imparzialità delle verifiche sia assolta. Proprio l’indipendenza rappresenta uno degli elementi fondamentali che caratterizzano la funzione Compliance: infatti, al fine di garantire che tale principio sia rispettato, è necessario che29: • siano formalizzati lo status e il mandato della funzione attraverso l’indicazione di compiti, responsabilità, addetti, prerogative, flussi informativi rivolti direttamente agli organi di vertice; 28. Cfr. Banca d’Italia – “Istruzioni di vigilanza per le banche”, Titolo IV - Capitolo 11- Sezione II Par. 1, 1999. 29 Banca d’Italia - “Disposizioni di Vigilanza - La funzione di conformità”, pag. 5-6, 2007.. 34 .

(35) • sia nominato un responsabile indipendente; • sia assicurata la presenza di adeguati presidi in modo da prevenire i conflitti di interesse attraverso, in particolare, la previsione di flussi informativi separati rispetto a quelli del controllo di terzo livello. Al fine di permettere il regolare svolgimento dei suoi compiti, oltre al requisito dell’indipendenza, la funzione di compliance deve, inoltre: § essere dotata di risorse qualitativamente e quantitativamente adeguate; sotto il profilo delle risorse umane le attività di conformità possono essere svolte da personale inserito in una struttura organizzativa dedicata e gerarchicamente dipendente dal responsabile della funzione ovvero da dipendenti integrati in aree operative diverse. Indipendentemente dalla soluzione organizzativa prescelta il personale che svolge funzioni di conformità deve essere adeguato per numero, competenze tecniche e professionali e aggiornamento, attraverso l’inserimento in programmi di formazione nel continuo. Inoltre, tramite l’attribuzione di risorse economiche eventualmente attivabili anche in autonomia, deve essere consentito alla funzione il ricorso a consulenze esterne in relazione alla particolare complessità attinenti specifiche innovazioni normative e/o operative; § avere accesso a tutte le attività della banca svolte presso gli uffici centrali e le strutture periferiche, nonché a qualsiasi informazione rilevante per lo svolgimento dei propri compiti, anche attraverso il colloquio diretto con il personale.. 3.5 Il principio di proporzionalità Fatti salvi i requisiti anzidetti, costituenti il fondamento della funzione secondo quanto predisposto dalla Banca d’Italia, lo stesso organismo di vigilanza lascia ampia discrezionalità alle banche per quanto concerne l’organizzazione vera e propria della funzione; a tal fine esse devono attenersi al principio di 35 .

(36) proporzionalità: tale si esplica nell’organizzare la funzione di conformità in coerenza con le peculiarità dimensionali e operative proprie di ogni specifica realtà, nonché con l’assetto organizzativo e strategico della gestione dei rischi. In applicazione del principio di proporzionalità, inoltre, le banche di dimensioni contenute o caratterizzate da una limitata complessità operativa possono affidare lo svolgimento della funzione di conformità a strutture interne incaricate della gestione dei rischi o a soggetti terzi (come ad esempio altre banche o organismi associativi di categoria), purché dotati dei requisiti idonei in termini di professionalità e indipendenza; il tema dell’esternalizzazione della funzione, menzionato sia dalle disposizioni emanate dal Comitato di Basilea nel 2005 che dalla Banca d’Italia nel 2007, non sembra tuttavia essere una possibilità favorita dalle autorità di vigilanza, secondo le quali la compliance deve essere considerata un’attività core del risk management e la relativa responsabilità non dovrebbe essere affidata a soggetti terzi30. Ad ogni modo, nel caso sia attuata, l’esternalizzazione della funzione di conformità deve essere formalizzata in un accordo che definisca quantomeno i seguenti aspetti31: - obiettivi della funzione; - frequenza minima dei flussi informativi nei confronti del responsabile interno all’azienda e degli organi di vertice aziendali, fermo restando l’obbligo di corrispondere tempestivamente a qualsiasi richiesta di informazioni e consulenza da parte di questi ultimi; - obblighi di riservatezza delle informazioni acquisite nell’esercizio della funzione; - possibilità di rivedere le condizioni del servizio al verificarsi di modifiche nell’operatività e nell’organizzazione della banca. L’esternalizzazione può altresì essere effettuata a condizione che all’interno dell’ente rimanga un presidio di controllo sul servizio ottenuto; in ogni caso, affinché non venga meno il controllo sulle aree a maggior rischio, deve essere 30. Musile Tanzi P. (a cura di) - “La funzione compliance. Banche, assicurazioni, imprese di investimento”, Bancaria Editrice, 2010. 31 Banca d’Italia - “Disposizioni di Vigilanza - La funzione di conformità”, pag. 6-7, 2007.. 36 .