La funzione Compliance negli istituti di credito nell
Transcript
La funzione Compliance negli istituti di credito nell
UNIVERSITÀ CATTOLICA DEL SACRO CUORE DI MILANO Facoltà di Economia Corso di Laurea Specialistica in Economia e Legislazione d’Impresa LA FUNZIONE COMPLIANCE NEGLI ISTITUTI DI CREDITO NELL'AMBITO DELL'ATTIVITÀ DI ANTIRICICLAGGIO Relatore: Chiar.mo Prof. Marco SANTI Tesi di Laurea di: Alessio FOGLIA Matri. n. 3706583 Anno Accademico 2009/2010 INDICE RINGRAZIAMENTI 6 PRESENTAZIONE 7 CAPITOLO I – IL SISTEMA DEI CONTROLLI INTERNI NEGLI ISTITUTI DI CREDITO 9 INTRODUZIONE 10 1. IL SISTEMA DEI CONTROLLI INTERNI............................................................................ 11 1.1 Le definizioni di controlli interni ................................................................................11 1.2 Controlli interni, organizzazione aziendale e corporate governance ........................15 1.3 La struttura del Sistema dei Controlli Interni ............................................................18 1.4 L’aspetto funzionale del Sistema dei Controlli Interni ..............................................21 1.5 Le funzioni di controllo interno ..................................................................................25 2. I RISCHI BANCARI.............................................................................................................32 2.1 La classificazione dei rischi nelle disposizioni di vigilanza di Banca d’Italia ..........34 CONCLUSIONI 38 39 CAPITOLO II – LA FUNZIONE DI COMPLIANCE INTRODUZIONE 40 1. LA DEFINIZIONE DI COMPLIANCE NELLE FONTI NORMATIVE......................................41 1.1 Le tipologie di rischio affrontate: il rischio legale e reputazionale ...........................44 2. IL PROFILO ORGANIZZATIVO DELLA FUNZIONE COMPLIANCE....................................48 2.1 Il ruolo dei vertici: Compliance starts at the top ........................................................49 2.2 I requisiti necessari per l’operatività ..........................................................................51 2.3 La collocazione all’interno del sistema dei controlli interni ......................................52 2.3.1 I rapporti con l’internal auditing............................................................................. 53 2.3.2 La stretta collaborazione con la funzione di risk management............................... 57 2.3.3 Compliance e funzione legale.................................................................................. 58 2.4 Il modello accentrato ed il modello decentrato ...........................................................59 2.5 Il responsabile della Compliance ................................................................................62 3. L’ASPETTO FUNZIONALE ED IL PROCESSO DI COMPLIANCE.........................................65 3.1 Il ruolo della funzione Compliance nel processo di conformità ................................66 3.2 Gli ulteriori adempimenti ............................................................................................69 3.3 Il compliance risk assessment .....................................................................................70 3.4 L’ambito normativo di interesse ..................................................................................73 3.4.1 La compliance al D.Lgs. n. 231/2001...................................................................... 75 CONCLUSIONI 77 CAPITOLO III – COMPLIANCE ANTIRICICLAGGIO 79 INTRODUZIONE 80 1. L’ANTIRICICLAGGIO....................................................................................................... 82 1.1 Le definizioni di riciclaggio .........................................................................................83 1.1.1 Il finanziamento del terrorismo................................................................................ 86 1.2 Cenni alle fonti antiriciclaggio ...................................................................................88 1.2.1 Le disposizioni degli organismi internazionali........................................................ 89 1.2.2 L’evoluzione delle fonti comunitarie e la direttiva 2005/60/CE.............................. 91 1.2.3 Le norme nazionali...................................................................................................95 1.2.4 La normativa secondaria di Banca d’Italia............................................................. 99 2. L’ATTIVITÀ DI COMPLIANCE ALL’ANTIRICICLAGGIO................................................ 101 2.1 Dal riciclaggio come fattore di rischio di non conformità al “risk-based approach” ....................................................................................................................................101 2.2 La Compliance come destinatario naturale dei presidi antiriciclaggio ...................105 2.2.1 Il coinvolgimento di vertici e sistema dei controlli interni.................................... 105 2.2.2 L’antiriciclaggio nel sistema dei controlli interni................................................. 109 4 2.2.3 2.2.4 2.2.5 La realizzazione di una coscienza condivisa: la policy......................................... 115 Responsabile antiriciclaggio e delegato antiriciclaggio....................................... 117 L’evoluzione dell’articolo 52 sul ruolo dell’Internal Auditor in materia di antiriciclaggio........................................................................................................120 2.2.6 Il parallelo tra disposizioni antiriciclaggio e di conformità..................................123 2.3 L’attività di antiriciclaggio ........................................................................................135 2.3.1 Customer due diligence: l’adeguata verifica della clientela................................. 136 2.3.2 La registrazione dei rapporti e la conservazione dei dati..................................... 140 2.3.3 La segnalazione delle operazioni sospette............................................................. 144 CONCLUSIONI 150 CAPITOLO IV – I RISCONTRI PRATICI NELLA GESTIONE DELL’ATTIVITÀ ANTIRICICLAGGIO 151 INTRODUZIONE 152 1. I RISCONTRI PRATICI IN MATERIA DI COMPLIANCE ED ANTIRICICLAGGIO.............. 153 1.1 L’informativa delle note di bilancio sull’attività antiriciclaggio .............................158 CONCLUSIONI 176 177 BIBLIOGRAFIA 5 PRESENTAZIONE Le tematiche di controllo hanno assunto ormai da tempo particolare rilevanza all’interno della gestione delle aziende. Se ciò è vero in assoluto, ancor più comprovato risulta per il settore dell’intermediazione bancaria, dove da tempo il controllo interno è divenuto una componente fondamentale di buon governo, per la realizzazione degli obiettivi di gestione. In particolare si è moltiplicata la regolamentazione sul tema, che ha trova nuovo slancio con l’emanazione di “Basilea 2” e le successive disposizioni di vigilanza nazionali diffuse da Banca d’Italia. Un altro tema di perenne attualità riguarda una particolare tipologia di regolamentazione che interessa molta da vicino le istituzioni bancarie: l’antiriciclaggio e l’azione di contrasto al finanziamento del terrorismo. L’attrattiva del “denaro facile” comporta per le organizzazioni criminali la necessità di occultarne la provenienza, potendo in tal modo scambiarlo regolarmente sui liberi mercati dei capitali. Per poter circolare, tali capitali necessitano di essere “ripuliti” dalla propria origine illecita attraverso operazioni di occultamento e dissimulazione. È chiaro come in tali attività gli intermediari finanziari – e le banche in prima linea – vengano sfruttati come veicoli inconsapevoli del più ampio disegno criminale. Le normative e le regolamentazioni di diversa fonte, si pongono trasversalmente a tale fenomeno, coinvolgendo in prima linea le istituzioni finanziarie attraverso disposizioni ad esse destinate ed in continua evoluzione. Controlli interni e disciplina antiriciclaggio trovano il minimo comun denominatore nella funzione antiriciclaggio. Il coordinamento dell’azione di contrasto al riciclaggio svolta internamente all’istituto è un fenomeno complesso, come egualmente lo sono le norme che lo disciplinano e le fattispecie pratiche con le quali si cerca di mettere in atto tale attività. Per tali ragioni è richiesto che la funzione venga adeguatamente collocata all’interno del Sistema dei Controlli Interni. 7 Con il seguente elaborato si vuole dimostrare come il soggetto naturalmente predisposto per la gestione della funzione antiriciclaggio sia rappresentato dalla Compliance. Di recente costituzione per quanto riguarda l’esperienza italiana, tale unità organizzativa appare come la più titolata alla gestione del rischio di riciclaggio, in virtù delle componenti legali e reputazionali che costituiscono tale minaccia, già rientranti nel novero dell’attività di conformità. Queste ed altre ragioni verranno adeguatamente esposte nei capitoli dedicati e suffragate da riscontri pratici. L’elaborato si compone dunque di un primo capitolo, a carattere introduttivo, finalizzato alla descrizione sintetica del Sistema dei Controlli Interni, del quale fa parte la funzione di compliance. Successivamente l’attenzione è rivolta proprio a tale unità organizzativa, attraverso la presentazione e la descrizione dell’inquadramento organizzativo. Il passo successivo individua invece il perimetro normativo di interesse e si sofferma sull’attività di conformità alle norme. Proseguendo con il terzo capitolo, vengono presentate le linee essenziali della normativa antiriciclaggio. Massima attenzione è però riservata alla funzione antiriciclaggio ed alla sua collocazione tra le unità organizzative che compongono i controlli interni. A conclusione si riportano le evidenze pratiche a suffragio di quanto sostenuto, facendo riferimento ad un rapporto di ricerca sulla Compliance ed ai riscontri contenuti nei bilanci di istituti di credito nazionali ed internazionali. 8 CAPITOLO I – IL SISTEMA DEI CONTROLLI INTERNI NEGLI ISTITUTI DI CREDITO 9 INTRODUZIONE L’attuale crisi che sta tutt’ora sconvolgendo l’ambiente economico ed i recenti fenomeni di instabilità che hanno travolto importanti istituzioni finanziarie hanno portato gli enti del settore a ripensare ai propri assetti di controllo, rivolgendo le proprie attenzioni non solo a metodologie di valutazione del rischio estremamente sofisticate, ma concentrando i propri sforzi anche all’aspetto organizzativo ed alla reingegnerizzazione del Sistema dei Controlli Interni. L’obiettivo perseguito è la realizzazione di un supporto efficace alla gestione aziendale ed il contestuale raggiungimento degli obiettivi definiti. Il sistema dei controlli assume in questo modo una differente connotazione realizzata attraverso il contributo che è chiamato a fornire nella realizzazione del buon governo aziendale, in aggiunta alla classica attività di gestione e di valutazione dei rischi per la definizione di un’adeguata dotazione patrimoniale di vigilanza. Tali esigenze, che portano alla valorizzazione del controllo interno da semplice strumento di vigilanza ad elemento in grado di influire positivamente sulle sorti aziendali è stata dettata anche dalla nuova impronta assunta dall’attività bancaria, da intermediazione e concessione di credito, a vera e propria attività di servizio. Tale contesto innovativo ha contribuito all’aumento dei fattori di complessità e rischiosità in grado di influire sul raggiungimento degli obiettivi della nuova attività bancaria quale azienda di servizi, giustificando la metamorfosi del controllo interno da supervisore dei rischi a elemento fortemente connesso con la struttura organizzativa dell’intermediario. Sulla base di tali considerazioni si sono sintetizzati in questo capitolo gli elementi in grado di fornire una descrizione dei controlli interni e del sistema ad essi deputato, partendo dalle differenti definizioni di controllo e dal ruolo che tale attività assume all’interno dell’organizzazione, nonché prendendo in considerazione il ruolo assunto nei confronti della governance. La descrizione del Sistema dei Controlli Interni passa attraverso l’analisi degli elementi statici, quelli strutturali che ne sostengono l’impianto e degli elementi dinamici che costituiscono l’operatività in materia di controllo. Da ultimo, al fine di agevolare la comprensione delle tematiche di rischio affrontate nel prosieguo dell’elaborato, viene presentata una panoramica delle tipologie degli stessi secondo la classificazione prevista da Banca d’Italia all’interno della normativa di vigilanza. 10 1. IL SISTEMA DEI CONTROLLI INTERNI 1.1 Le definizioni di controlli interni Il Sistema dei Controlli Interni è un concetto relativamente recente del diritto societario nazionale, che in passato contemplava il Collegio Sindacale quale unico soggetto investito del controllo interno all’azienda, con funzioni di sorveglianza sulla correttezza della gestione. Tuttavia l’evoluzione nelle tecniche di governance ed il nuovo orientamento della gestione improntato alla forte attenzione ai rischi, hanno comportato una maggiore considerazione del controllo interno, sino alla proliferazione di standard in materia che assumono i controlli interni a fondamento del buon governo. Il moltiplicarsi dei precetti, frutto della stratificazione dei diversi provvedimenti, non ha però condotto all’individuazione di una definizione univoca in grado di sintetizzare la complessità della materia e – a seconda delle fonti prese in considerazione – vengono valorizzati solo alcuni aspetti del controllo interno. La prima definizione, quella a cui fare continuo riferimento, è stata fornita dal Committee of Sponsoring Organizations of the Treadway Commission (CoSO) nel 1992 all’interno dell’autorevole documento denominato “CoSO Report”, dal quale hanno successivamente preso spunto i regolamenti emanati dal Comitato di Basilea e da Banca d’Italia. La definizione riportata individua il controllo interno quale “processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie: efficacia ed efficienza delle attività operative; attendibilità delle informazioni di bilancio; conformità alle leggi e ai regolamenti in vigore”1. Appare chiaro sin da subito come il controllo interno sia uno strumento al servizio del management per il raggiungimento degli obiettivi prefissati, in grado di fornire la ragionevole certezza della correttezza nella gestione secondo i canoni di efficacia ed efficienza, dell’attendibilità dei dati contenuti nel bilancio quale principale fonte di informazione societa1 La definizione riportata è basata sulla traduzione italiana curata da PricewaterhouseCoopers ne “Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali”, Milano 2004. 11 ria e dello svolgimento dell’attività conformemente alle normative ed ai regolamenti ai quali l’azienda (bancaria nel caso in questione) è sottoposta. Ispirandosi a quanto indicato dal “Coso Report”, il Comitato di Basilea ha fornito una definizione analoga rintracciabile nello “Schema per i sistemi di controllo interno nelle organizzazioni bancarie” pubblicato nel 1998. In esso vengono ripresi i tratti fondamentali già esposti, integrati inoltre dalla precisazione che “esso [il sistema] non consiste unicamente in una procedura o in una politica applicata in un dato momento, bensì opera costantemente a tutti i livelli all’interno della banca. Al consiglio di amministrazione e all’alta direzione compete la responsabilità di instaurare una cultura che favorisca un efficace processo di controllo interno e di sorvegliarne l’efficacia in modo continuativo; tuttavia, a questo processo deve partecipare ogni individuo che opera nell’organizzazione. I principali obiettivi di un sistema di controllo interno possono essere classificati come segue: 1. efficienza ed efficacia delle attività (obiettivi di performance); 2. affidabilità, completezza e tempestività dei rendiconti finanziari e di gestione (obiettivi di informazione); 3. conformità con le leggi e le regolamentazioni applicabili (obiettivi di conformità)”. In tale rivisitazione della definizione originale è stata sottolineata la stabilità del controllo interno nell’organizzazione, creato per fornire il proprio apporto all’amministrazione2 in maniera continuativa. Non si tratta dunque di una semplice procedura applicabile meccanicamente per la risoluzione delle criticità. Una sfumatura differente è stata invece enfatizzata nelle “Istruzioni di vigilanza per le banche” pubblicate da Banca d’Italia nel 1999: “il sistema dei controlli interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità: efficacia ed efficienza dei processi aziendali (amministrativi, produttivi, distributivi, ecc.); salvaguardia del valore delle attività e protezione dalle perdite; affidabilità e integrità delle informazioni contabili e gestionali; conformità delle operazioni con la legge, la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne”. 2 Il comitato di Basilea nelle proprie indicazioni cita esplicitamente il consiglio di amministrazione e l’alta direzione, precisando tuttavia come – data la portata generale del provvedimento e l’eterogeneità del pubblico al quale si rivolge – non si faccia riferimento a concetti giuridici, ma l’intento sia quello di indicare attraverso questi le funzioni decisionali degli enti. 12 Le successive “Nuovi disposizioni di vigilanza prudenziale per le banche” (2006) sono intervenute su quanto già esposto precisando che “al fine di fronteggiare i rischi a cui possono essere esposte, le banche si dotano di idonei dispositivi di governo societario e di adeguati meccanismi di gestione e controllo. Tali presidi si inseriscono nella più generale disciplina dell’organizzazione e del sistema dei controlli interni volta ad assicurare una gestione improntata a canoni di efficienza, efficacia e correttezza”. Nel testo rinnovato è rintracciabile la forte enfasi che l’Autorità di Vigilanza nazionale ha sottolineato in merito agli aspetti organizzativi che interessano i controlli interni. Inoltre è stata rimarcata l’importanza della preservazione dell’azienda dai rischi connessi all’esercizio della propria attività quali componenti onerose. Si è dunque proseguito nel completamento della direzione indicata dal Comitato in relazione alla stabilità dei controlli interni, incardinandoli ora all’interno dell’organizzazione aziendale. In ragione delle definizioni formulate – tutte riconducibili al medesimo concetto di controllo interno nonostante le differenti sfumature che le contraddistinguono – è possibile notare come il controllo di origine anglosassone assuma una connotazione del tutto difforme da quella comunemente utilizzata. È lontana l’idea delle verifiche ispettive e burocratiche, finalizzate all’accertamento dei disallineamenti normativi ed al riscontro delle inefficienze gestionali basate su riscontri successivi. I controlli che si svolgono internamente all’attività aziendale hanno lo scopo di indirizzare la corretta gestione attraverso un’attività di supporto che permetta il raggiungimento dei risultati prospettati. Così come il management fissa la soglia di performance ritenuta soddisfacente e si avvale della direzione per il concreto raggiungimento degli obiettivi, altrettanto compie il controllo interno fornendo il proprio contributo alla realizzazione dei piani aziendali. Si tratta di una visione innovativa, lungi dall’approcciarsi all’attività attraverso un atteggiamento passivo e rigidamente formalizzato nel proprio ruolo: il riformato controllo prevede l’azione a suffragio degli obiettivi aziendali, realizzata attraverso la consulenza destinata alle attività poste in essere. Il “CoSO Report” avvalora questa visione declinando tale controllo come “un insieme di azioni propositive condotte da un ente per promuovere adeguati comportamenti del proprio personale”. Questo approccio innovativo ha prospettato un nuovo modo di esercitare attività 13 bancaria, elevando tale sistema ad elemento necessario per il raggiungimento del successo aziendale. Anche se non adeguatamente sottolineato nelle precedenti definizioni, rientra nella declinazione di controllo interno il concetto di sistema – ci si riferisce infatti al Sistema dei Controlli Interni – attraverso il quale indicare l’apparato di cui esso è costituito. Trattasi infatti di un complesso incardinato nell’organizzazione, che nasce contestualmente alla stessa. Muovendo da tale considerazione il Sistema dei Controlli Interni è scomponibile in una pluralità di elementi: ad esso fanno riferimento personale, risorse monetarie e tecniche che nello svolgimento delle attività di controllo partecipano attivamente al raggiungimento degli obiettivi. Le componenti a cui viene fatto riferimento non rappresentano però una mera sommatoria, ma il valore aggiunto che sono in grado di generare è frutto delle sinergie e del coordinamento che le uniscono. Si deve dunque scindere la struttura del sistema, che si compone degli elementi di cui i controlli interni si avvalgono compresi gli obiettivi formulati dai vertici aziendali, dal funzionamento dello stesso, frutto delle connessioni e dei rapporti sinergici che si sviluppano tra i soggetti deputati al controllo. Al momento della definizione dell’organizzazione il management si preoccuperà di implementare la struttura del sistema, promuovendo l’integrazione ed il coordinamento tra i destinatari chiamati in causa e successivamente provvederà al mantenimento del complesso in relazione all’evoluzione dell’attività. Solo attraverso un’adeguata struttura è auspicabile il corretto funzionamento, che necessita delle adeguate sinergie e competenze per un’attività di successo. Struttura e corretto svolgimento sono i due elementi necessari per l’attuazione dell’azione di supporto descritta, entrambi aspetti caratterizzanti del sistema prescindendo dai quali viene a mancare l'adeguato sostegno alle attività. Mentre la componente organizzativa è illustrata nelle definizioni, quest’ultime non tengono in dovuta considerazione l’aspetto funzionale, assai più qualificativo dell’attività. Spetta dunque all’alta direzione fornire la garanzia della realizzazione di un Sistema dei Controlli Interni idoneo a fornire il proprio contributo, curando al tempo stesso il profilo strutturale nonché quello funzionale, per mezzo di interventi organizzativi e di indirizzo. 14 1.2 Controlli interni, organizzazione aziendale e corporate governance Come detto il Sistema dei Controlli Interni non rappresenta all’interno della struttura aziendale un processo attivabile saltuariamente per mezzo di verifiche di adeguatezza, bensì si configura come un elemento costante e fortemente inglobato nell’organizzazione, dalla cui applicazione nel continuum l’istituto non può prescindere. Il controllo interno non è ispezione applicata all’esercizio dell’impresa bancaria ma componente della struttura portante organizzativa che l’intermediario adotta al momento della sua costituzione e mantiene, modifica ed aggiorna lungo l’arco della propria esistenza. Sistema dei Controlli Interni ed organizzazione sono elementi strettamente connessi al punto tale da essere inscindibili ed inevitabili. Il sistema, quale tassello della struttura aziendale è oggetto di particolare interesse da parte della Banca d’Italia, che ne valuta l’adeguatezza nello svolgimento della propria attività di vigilanza sugli intermediari. L’attenzione è testimoniata dalla stessa Autorità di settore che sostiene “come gran parte delle situazioni di difficoltà individuate nell’esercizio dell’attività di vigilanza sono collegabili ad assetti organizzativi inadeguati e a carenze nel sistema dei controlli interni”3. Una tale attenzione riservata alla componente organizzativa è rivolta all’individuazione dei punti di debolezza all’interno di quest’ultima – e del sistema – per evitare che venga compromessa l’azione di presidio ai rischi che minacciano l’attività. Da parte sua la Vigilanza si interessa del Sistema dei Controlli Interni attraverso una duplice azione che comprende, in primis la produzione di normativa secondaria che indichi gli standard di best practice per mezzo di principi e raccomandazioni rivolti alla gestione dei rischi aziendali, alla funzione di Revisione Interna, ai sistemi informativi ed alla gestione di una politica comune di gruppo. In secondo luogo svolge l’azione di verifica sui sistemi concretamente sviluppati dai singoli istituti secondo l’approccio basato sul rischio ed il principio di proporzionalità. Con particolare riferimento a questi ultimi è opportuno fare un richiamo delle rispettive definizioni poiché spesso verranno ripresi nel prosieguo. Le origini dell’approccio basato sul rischio sono da ricercarsi negli standard del CoSO ed in particolare nel “Framework ERM” (Enterprise Risk Management) che contiene la seguente definizione di approccio basato sul rischio: “la gestione del rischio aziendale è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori 3 In BANCA D’ITALIA – “Bollettino di Vigilanza”, numero 10 – Ottobre 1999. 15 della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”4. Quanto invece al principio di proporzionalità, trae le proprie origini dalla normativa nazionale, ed in particolare è inserito nel comma 2 dell’articolo 23 della Legge 28 dicembre 2005, n. 262 rubricata “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”. Con esso si intende il “criterio di esercizio del potere adeguato al raggiungimento del fine, con il minore sacrificio degli interessi dei destinatari”. Questa formulazione ha influenzato tutte le successive disposizioni normative in materia bancaria e finanziaria anche di secondo livello, ridefinendo il ruolo dell’Autorità di Vigilanza nei confronti dei singoli istituti. L’approccio ha spiegato i propri effetti attraverso la formulazione di obblighi meno prescrittivi in favore di più generali previsioni allo scopo di meglio adattarsi alle peculiarità del singolo istituto. In tal modo vengono valorizzate anche le capacità del management, che di fronte alla libertà di scelta dell’assetto organizzativo e di controllo deve adoperarsi per la realizzazione di un sistema coeso che permetta il raggiungimento degli obiettivi; la direzione assume un ruolo centrale nella predisposizione del Sistema dei Controlli Interni. Tuttavia il passaggio da un approccio rule-based ad uno risk-based (proporzionalità ed approccio basato sul rischio sono elementi strettamente connessi tra loro, poiché adattare i controlli alle peculiarità dell’istituto significa soprattutto adattarli a grado di rischio che l’ente si trova a fronteggiare in ragione delle caratteristiche assunte), non deve essere erroneamente interpretato come libertà da vincoli ed arbitraria autogestione nell’esercizio del potere. Bensì – citando Dellarosa – “si tratta di un lassez-faire solo apparente, dato che l’autorganizzazione deve informarsi al principio dell’idoneità dei provvedimenti rispetto alle finalità legislative e alla costante mitigazione dei rischi a carico della banca”5. Alla luce dell’introduzione dei principi citati, il rapporto tra istituti e vigilanza, a seguito anche dell’emanazione del nuovo accordo sul capitale, ha subito alcune modifiche: gli intermediari dovranno sì dotarsi di un’adeguata sicurezza patrimoniale in funzione del livello di rischio che si trovano a fronteggiare, ma ciò non può di per sé essere considerato sufficiente. Sotto la lente d’ingrandimento della Vigilanza sarà posta anche la struttura organizzativa ed il 4 Traduzione italiana curata da AIIA e PricewaterhouseCoopers. In E. DELLAROSA – R. RAZZANTE, “Il nuovo sistema dei controlli interni della banca”, Franco Angeli, Milano 2010 5 16 correlato sistema dei controlli, con la finalità di implementare all’interno del complesso aziendale adeguati presidi al rischio, nonché processi e procedure valutative degli stessi. Appare chiaro come anche l’atteggiamento di Banca d’Italia – oltre a quello della regolamentazione internazionale – consideri organizzazione e sistema dei controlli come elementi imprescindibili per la corretta gestione aziendale, i quali sommati ad una adeguata dotazione patrimoniale sono ragionevolmente in grado di portare al raggiungimento degli obiettivi. È dunque importante che il controllo costituisca il driver della cultura aziendale, allo scopo di realizzare la dovuta consapevolezza delle connesse problematiche organizzative e delle strutture e procedure di presidio. La creazione di un adeguato assetto organizzativo e di un Sistema dei Controlli Interni rientra tra le competenze del management con la finalità di raggiungere la correttezza gestionale e di mantenerla nel tempo. La stretta correlazione che lega controlli interni ed organizzazione fino a confonderne i tratti, è già stata evidenziata; tuttavia vi è un’altra componente per nulla trascurabile che si inserisce nella relazione come elemento propulsivo: la corporate governance6. Prescindendo dalla forma assunta dal sistema di governo che fa capo ad un intermediario, esso rappresenta l’elemento deputato alla formulazione degli obiettivi aziendali ed all’organizzazione della struttura funzionale al raggiungimento degli stessi. La consapevolezza che il sistema dei controlli sia un utile strumento di governo deve nascere ai vertici dell’istituto che, di conseguenza, ne orientano la progettazione verso le esigenze palesate. È possibile affermare che il controllo rivolto alla buona gestione dei rischi aziendali è elemento qualificante di un buon sistema di governo societario, espressione della corretta gestione. Il management si trova infatti ad orientare le sorti dell’impresa attraverso l’assunzione costante di decisioni, per le quali è assolutamente necessario disporre di un adeguato livello informativo in merito alle opportunità ed ai rischi che queste comportano, inoltre l’alta direzione deve anche essere in grado di gestire le minacce rilevate relativamente alle scelte compiute. 6 Definita dall’OECD come “procedures and processes according to which an organisation is directed and controlled. The corporate governance structure specifies the distribution of rights and responsibilities among the different participants in the organisation – such as the board, managers, shareholders and other stakeholders – and lays down the rules and procedures for decision-making”. 17 L’attività di supporto così delineata è propria del sistema di controllo; appare dunque confermato il sostegno al raggiungimento della mission aziendale, fornendo una ragionevole sicurezza riguardo al successo delle scelte poste in essere. In definitiva il buon governo di un istituto passa attraverso le tre componenti enunciate di corporate governance, struttura organizzativa e Sistema dei Controlli Interni e solo attraverso il giusto coordinamento e la presa di coscienza del valore di questi ultimi è possibile ottenere la ragionevole sicurezza riguardo al raggiungimento degli obiettivi comuni. 1.3 La struttura del Sistema dei Controlli Interni L’approccio sin qui adottato nella considerazione del sistema dei controlli ha visto la di- stinzione tra elementi strutturali – cioè la componente organizzativa che incardina il sistema all’interno della struttura aziendale – ed elementi funzionali, quelli concretamente utilizzati nell’esercizio dell’attività di supporto. Quanto ai primi verrà data spiegazione di seguito, con una precisazione in merito ai soggetti destinatari di funzioni di controllo interno, mentre nel paragrafo successivo verrà fornita indicazione delle metodologie proprie del controllo. L’elemento basilare della struttura del sistema sul quale poggiano le altre componenti è la cultura aziendale, o più nello specifico la cultura del controllo. Ogni istituto genera al proprio interno la cultura aziendale, cioè l’insieme di filosofia e valori ai quali l’intera organizzazione si deve ispirare nell’esercizio delle proprie funzioni. È il valore che gli organi gestionali devono essere in grado di creare e trasmettere, affinché esso venga riflesso negli atteggiamenti del personale con convinzione. Per gli istituti bancari è importate che la cultura aziendale sia principalmente una cultura del controllo. Il Consiglio di Amministrazione e la Direzione devono prodigarsi affinché tra i valori fondamentali ai quali il personale si ispira vi rientri l’idea che il controllo è un elemento determinante nel successo delle politiche aziendali. Ciò presuppone che sia l’organo gestorio in primis ad apprezzare il contributo che il Sistema dei Controlli Interni è in grado di fornire nella preservazione dell’attività dai rischi ed il sostegno nel raggiungimento dei comuni obiettivi fissati. È di competenza del management la creazione e la diffusione della cultura aziendale all’interno dell’organizzazione e solo attraverso l’apprezzamento totale da parte di quest’ultimo potranno essere divulgati correttamente i valori di controllo ed avversione al rischio. 18 Per una realizzazione di successo è importante che il messaggio penetri nelle menti del personale e venga metabolizzato come una visione imprescindibile dell’attività bancaria, solo in questo modo l’approccio orientato al rischio potrà lasciare la propria impronta nelle singole attività compiute. La divulgazione di questo modus operandi non è certo immediata né indolore poiché arreca con sé il cambiamento, nei confronti del quale il personale è spesso reticente. Inoltre frequentemente non si comprende appieno che la cultura aziendale è unica e come tale universalmente accettata ad ogni livello; non è perciò ammissibile la visione che confini la cultura del controllo limitatamente ai soggetti destinatari di tali funzioni all’interno del sistema. Sarà la cultura nella sua interezza a mutare, sensibilizzando riguardo alle tematiche del rischio e rivolgendosi alla totalità del personale inserito nelle diverse strutture. Agli organi con funzioni di gestione (tradizionalmente Consiglio di Amministrazione e Direzione) è dunque affidata la responsabilità della creazione e della divulgazione della cultura aziendale rivolta alla valorizzazione dei controlli interni, verificando che venga concretamente recepita e costantemente richiamata nello svolgimento di ogni attività intrapresa dal personale. Per essere credibile la cultura del controllo deve essere formalizzata acquistando così stabilità e coerenza, ma non per questo deve essere esente da revisioni in funzione dell’evoluzione degli standard di riferimento. Appurata la necessità di una cultura del controllo fortemente radicata e concretamente attuata dall’intera organizzazione, il secondo elemento attinente alla struttura del Sistema dei Controlli Interni riguarda proprio l’organizzazione di quest’ultimo e la suddivisione delle relative attività di controllo fra le diverse unità aziendali interessate. Muovendo dalla considerazione che non esiste un modello unico di sistema che possa definirsi migliore in assoluto, in ragione del principio di proporzionalità e dell’approccio basato sul rischio, saranno possibili svariate soluzioni tutte allo stesso modo valide. Tuttavia i canoni interpretativi utilizzati dall’alta direzione nella predisposizione di un corretto assetto organizzativo – quale esso sia – hanno in comune alcuni elementi guida che possono contribuire alla realizzazione di una struttura di successo. Come ampiamente suggerito dalla regolamentazione secondaria anche di natura internazionale, è importante che la predisposizione di un sistema di controllo si accompagni ad una chiara formalizzazione dei contenuti rivolti all’individuazione di compiti e responsabilità in capo ai soggetti coinvolti in attività di controllo. 19 Il management deve, sempre coerentemente con le politiche adottate e le finalità preposte, istituire e mantenere nel tempo un’adeguata architettura organizzativa avendo cura di individuare i soggetti destinatari di competenze e responsabilità. Ad esso spetta anche la definizione delle relazioni gerarchiche che mettono in connessione i soggetti interessati. Attraverso la formalizzazione dei ruoli viene reso noto all’interno dell’organizzazione quali siano i soggetti interessati da attività di controllo interno ed allo stesso modo quale sia l’ampiezza dei poteri loro riservati che determina il grado di responsabilità assunte. I vertici nella scelta della struttura ottimale possono ricercare liberamente il miglior modello al quale ispirarsi, ma è imprescindibile che la soluzione adottata venga pubblicizzata nel complesso aziendale attraverso una comunicazione che non lasci spazio ad interpretazioni equivoche. Per la realizzazione di un efficiente sistema di controllo il personale deve conoscere appieno il ruolo che è chiamato a svolgere, allo stesso modo deve essere conscio delle relazioni intrattenute con altre unità organizzative ed infine avere cognizione delle linee di riporto. Sul tema le Autorità di Vigilanza dispongono che gli istituti applichino e mantengano “idonei meccanismi di controllo interno volti a garantire il rispetto delle decisioni e delle procedure a tutti i livelli” ed inoltre che “il personale sia provvisto delle qualifiche, delle conoscenze e delle competenze necessarie per l’esercizio delle responsabilità attribuite”7. L’organo gestorio ha infine il compito di monitorare costantemente il funzionamento dell’assetto organizzativo prescelto, garantendo che l’attività sia svolta da personale competente e dotato delle risorse necessarie per ammontare e caratteristiche. Un ulteriore elemento di assoluta rilevanza che delinea la struttura del sistema di controllo aziendale è costituito dalle politiche di rischio. Come già esposto, l’attività bancaria è stata innovata attraverso il framework del Comitato di Basilea che ha promosso la gestione orientata al rischio attraverso il risk based approach. È dunque necessario che l’impresa bancaria, al fine di realizzare un’adeguata struttura di presidio, stabilisca il proprio “profilo” di rischio sulla base degli obiettivi fissati. L’alta direzione deve dunque formulare la politica di rischio in diretta conseguenza dell’orientamento strategico assunto nell’attuazione del governo, con la finalità di raggiungere la necessaria coerenza tra risultati ed insidie. 7 Da “Regolamento della Banca d’Italia e della CONSOB ai sensi dell’articolo 6, comma 2-bis, del Testo Unico della Finanza”, comma 2, art. 5, lettere d) ed e). 20 La definizione della linea di condotta passa attraverso l’individuazione preliminare delle minacce in grado di interessare il business aziendale e solo successivamente ad un’analisi attenta e mirata è possibile predisporre adeguati presidi, potendo ricondurre il grado di rischio a livelli ritenuti accettabili. Si tratta di ricercare il giusto equilibrio tra obiettivi di performance, che si concretizzano in crescita e profittabilità e la conservazione dell’attività bancaria dalle minacce ad essa connesse. Il management è chiamato ad operare una scelta complessa di trade-off, assumendo il livello di rischio che è disposto a tollerare e definendo il complesso dei presidi da realizzare per mantenere il livello di minaccia entro la soglia preventivamente stabilita. Ciò determina appunto la politica di rischio propria dell’impresa, ossia la tolleranza con la quale l’alta direzione si rapporta, nonché l’insieme delle misure di prevenzione. Attraverso la stessa si realizza altresì l’articolazione ed il concreto funzionamento del complesso Sistema dei Controlli Interni. Tale programma di gestione rappresenta inoltre l’espressione della consapevolezza dell’organo gestorio in materia di rischi, rispetto ai quali dovrà rivolgere costantemente la propria attenzione, pronto a cogliere situazioni di cambiamento che originano dal continuum aziendale. Infine è opportuno precisare come le politiche si adattino – oltre all’attività svolta – alla tipologia di minacce affrontate: qualora i rischi siano valutabili e quantificabili si fa loro riferimento in termini quantitativi, se invece per gli stessi non fosse possibile operare una misurazione l’approccio più idoneo risulterebbe quello qualitativo. 1.4 L’aspetto funzionale del Sistema dei Controlli Interni Analizzati gli aspetti organizzativi essenziali del Sistema dei Controlli Interni, l’attenzione viene ora focalizzata sulla componente funzionale del controllo interno allo scopo di indagare quali elementi contribuiscano all’attuazione dell’attività di controllo; da un’indagine sulla componente statica – la struttura – si passa all’aspetto dinamico del sistema: il suo funzionamento. Ancora una volta è necessario sottolineare come anche per l’elemento operativo non esistano modelli di riferimento considerabili concreta espressione della best practice regolamentare di derivazione internazionale. 21 Come per l’aspetto strutturale, allo stesso modo il principio di proporzionalità e l’approccio basato sul rischio costituiscono capisaldi ai quali il management deve fare riferimento nella fase di progettazione e di manutenzione (rinnovamento) del sistema. Il concreto esercizio dell’attività di controllo sarà perciò svolto in maniera difforme da istituto a istituto, secondo gli obiettivi aziendali stabiliti, in ragione della complessità strutturale ed operativa, nonché valutando il livello di rischiosità secondo la politica di rischio assunta. La principale delle attività – la vocazione naturale per la quale ha origine il sistema dei controlli – è la preservazione dell’azienda dalle minacce che possono distoglierla dal raggiungimento degli obiettivi stabiliti dall’organo gestorio. La dottrina in materia8, traendo spunto dalle disposizioni di vigilanza prudenziale, individua tale attività nella valutazione complessiva dei rischi aziendali. In particolare in Pesic è possibile leggere: “nella componente di valutazione del rischio, che all’interno dell’intermediario creditizio è individuata con il concetto più ampio di gestione del rischio, si tiene conto dell’attività di individuazione, valutazione e gestione dei diversi fattori di rischio interni ed esterni, in grado di influire negativamente sul conseguimento degli obiettivi aziendali”. L’attività di risk management9 così delineata riflette dunque le sembianze dell’operatività bancaria indirizzata dall’alta direzione. Secondo tale impostazione si è giunti ad un approccio di gestione accentrata delle minacce, attraverso una valutazione generale in grado di quantificare in modo complessivo l’esposizione dell’attività bancaria. Strumentale a tale impostazione è la predisposizione, ad opera del management, di adeguate soluzioni che permettano l’identificazione, la misurazione ed il controllo dell’esposizione sia in relazione ai singoli fattori di rischio, nonché alle minacce originate da influenze reciproche. Tale approccio permette la reconductio ad unum della valutazione del rischio globale. Nell’organizzazione dell’attività di gestione del rischio l’alta direzione deve assicurarsi che l’unità destinataria dei compiti sia caratterizzata da indipendenza in grado di portare ad una valutazione obiettiva e affidabile della situazione aziendale, orientata al controllo delle 8 Il riferimento è a Pesic ne “Il Sistema dei Controlli Interni nella banca” e sulla medesima linea Dellarosa ne “Il nuovo sistema dei controlli interni della banca”. 9 Saita ne “Il risk management in banca” definisce la gestione del rischio come il complesso delle metodologie e dei processi volti alla misurazione e al controllo integrato dei rischi della banca, finalizzati alla efficiente gestione in chiave dinamica del capitale proprio a disposizione. 22 aree dove il rischio ha origine, che riporti direttamente all’organo direttivo e che sia sottoposta a verifica da parte della revisione interna. L’attività di risk management trova applicazione concreta attraverso il processo ad essa asservito, che attraverso il susseguirsi di determinate fasi operative realizza la complessa attività di gestione coinvolgendo l’intero ambiente aziendale. Tale processo giunge a compimento attraverso: un fase preliminare di mappatura dei rischi e delle attività in grado di generarli allo scopo di realizzare il quadro complessivo delle minacce aziendali; la valutazione di impatto dei riscontri ottenuta attraverso la misurazione della dimensione quantitativa e l’espressione di un giudizio sull’aspetto qualitativo; l’assunzione dei rischi; l’azione di contrasto alle minacce attraverso la predisposizione di presidi per la mitigazione, o più in generale per mezzo di azioni in risposta ai fenomeni; la fase terminale di monitoraggio costante dell’evoluzione dei rischi riscontrati, di quelli inediti scaturiti dall’evoluzione del business e del corretto funzionamento delle soluzioni adottate. Il processo di gestione, attraverso le fasi successive di cui si compone, non solo coinvolge interamente il sistema dei controlli dal quale trae origine e viene alimentato, ma interessa anche componenti dell’organizzazione che non si occupano specificamente di controllo. Ne è esempio la fase di assunzione dei rischi, che essendo strettamente connessa al raggiungimento dei risultati prefissati non può che essere assunta nella responsabilità degli organi direttivi. Il processo è dunque un‘attività che attraversa l’intera organizzazione aziendale ed alla quale sono chiamati a partecipare – secondo modalità differenti – tutte le unità che la compongono. In ragione di un simile approccio appare ancor più giustificabile la corretta diffusione di una cultura aziendale guidata dal controllo, quale elemento strutturale portante di un’adeguata gestione del rischio. L’alta direzione ha dunque la responsabilità di progettare l’apparato di gestione del rischio – risk management – sulla base del miglior modello applicabile all’impresa allo scopo di determinare, quantificare e mitigare le manifestazioni che possano ostacolare il raggiungi- 23 mento degli obiettivi ed inoltre assicurare nel tempo che le soluzioni adottate siano sempre adeguate, in funzione dell’evoluzione dell’attività. Un apporto rilevante all’attività di gestione del rischio e più in generale all’intero Sistema dei Controlli Interni è fornito dai flussi informativi volti ad assicurare l’azione informata dei soggetti che vi partecipano. Attraverso la conoscenza e la comunicazione si rende possibile la diffusione all’interno dell’ambiente dei dati e delle notizie necessari all’attività di controllo, il personale viene edotto in merito alla politica di rischio ritenuta ottimale ed il management ottiene i feedback necessari alla supervisione del sistema, nonché all’assunzione di decisioni informate. A tale aspetto i framework internazionali hanno assegnato forte rilevanza, come testimoniato dal Comitato di Basilea il quale sottolinea la necessità per il controllo interno di essere supportato adeguatamente da sistemi informativi e canali di comunicazione. Si legge che “un efficace sistema di controllo interno richiede che operino affidabili sistemi informativi comprendenti tutte le attività rilevanti della banca. Tali sistemi, inclusi quelli che contengono e utilizzano dati in forma elettronica, devono essere sicuri, sorvegliati in modo indipendente e assistiti da adeguati dispositivi di emergenza”10. Gli istituti devono dunque dotarsi di un sistema basato su tecnologie elettroniche, in grado di raccogliere il patrimonio informativo in materia di attività di controllo e gestione del rischio. È altresì importante che vengano garantiti un adeguato livello di significatività dei dati, l’affidabilità degli stessi in merito al contenuto, la tempestività della disponibilità ed accessibilità da parte dei soggetti titolati al loro utilizzo. Altra caratteristica che interessa le informazioni è l’uniformità che deve riguardare il loro trattamento, potendo in questo modo assicurare un’interpretazione univoca del suo contenuto ed una gestione integrata. Allo stesso modo assume rilevanza la circolazione di tali informazioni, che deve essere strutturata in appositi canali a seconda della tipologia dei dati diffusi. Questi infatti si sviluppano secondo una direttrice verticale quando hanno finalità di reporting, permettendo al management ed alla direzione di prendere coscienza della reale situazione che interessa il sistema dei controlli – con particolare riguardo all’efficacia dei presidi adottati, alla valutazione dei rischi affrontati ed al riscontro di carenze –, ma anche allo scopo di diffondere la politica di rischio e le indicazioni sull’approccio da adottare nella gestione. 10 BASEL COMMITTEE ON BANKING SUPERVISION, “Schema per i sistemi di controllo interno nelle organizzazioni bancarie”, 1998, principio n. 8. 24 Diversamente la diffusione delle informazioni si sviluppa anche all’interno dell’organizzazione per vie orizzontali, coinvolgendo le differenti unità interessate nell’attività di controllo, ma più in generale i flussi toccano in vario modo tutto il personale dato il forte legame tra Sistema dei Controlli Interni ed organizzazione aziendale nel suo complesso. L’alta direzione nello svolgimento della propria attività di gestione deve necessariamente predisporre un sistema aziendale che permetta la certezza della comunicazione e della diffusione delle informazioni in materia di controllo, al fine di creare consapevolezza nel personale e sensibilizzazione ai temi, ma soprattutto permettendo l’agire informato che riguarda in primo luogo il management stesso. In relazione a quanto finora affrontato, l’istituto ha come ultima necessità quella di assicurare che il Sistema dei Controlli Interni e la connessa attività di gestione del rischio, mantengano i livelli di adeguatezza ed efficienza raggiunti lungo il periodo nel quale il business si svolge. L’organo gestorio deve compiere azioni di monitoraggio e verifiche periodiche – anche avvalendosi di altri soggetti interni ed esterni – volte ad individuare disallineamenti tra la politica di rischio stabilita e la concreta realizzazione delle attività di controllo, nonché valutare le nuove situazioni in grado di arrecare danno all’attività. Il monitoraggio prevede un’azione di supervisione continua a carattere generale sui controlli interni, le verifiche saranno invece mirate all’indagine di particolari aspetti o processi, per le quali il management potrà avvalersi del supporto della funzione di Internal Audit. 1.5 Le funzioni di controllo interno Come già precisato nei paragrafi precedenti, l’organizzazione assume il ruolo di ele- mento principale nella realizzazione del Sistema dei Controlli Interni in concordanza con le altre componenti strutturali, quali l’ambiente interno e le politiche di rischio. Nel considerare l’aspetto strutturale risulta rilevante indagare come le attività di controllo vengano distribuite tra le diverse unità organizzative che compongono tale sistema, contribuendo in questo modo alla realizzazione del modello, adottato in relazione alla politica di rischio. 25 È utile precisare come anche questo aspetto venga interessato dal già noto principio di proporzionalità, più volte richiamato contestualmente al risk based approach, non contemplando quindi per gli istituti un modello preferenziale che sia espressione della migliore soluzione. Tuttavia le disposizioni di vigilanza di Banca d’Italia prevedono esplicitamente l’indicazione di organi ed unità organizzative che gli istituti non possono trascurare di costituire presso la propria struttura e rispetto ai quali vengono fornite indicazioni sulle attività da svolgere nel contesto dei controlli interni. L’Autorità di Vigilanza fornisce indicazioni attraverso la statuizione di principi di best practice rispetto ai quali ogni singolo istituto deve trarre ispirazione nella realizzazione e nella manutenzione nel tempo di un adeguato impianto di controllo rispondente alle specifiche peculiarità. Con particolare riferimento alla normativa secondaria di vigilanza diffusa da Banca d’Italia, in essa viene fatto riferimento alle funzioni di controllo delle quali gli istituti devono dotarsi nell’attuazione del presidio dei rischi e definite dalla dottrina come “l’insieme delle attività volte a favorire il raggiungimento degli obiettivi aziendali secondo i principi e le regole del sistema dei controlli interni”11. È però necessario precisare sin da subito, allo scopo di agevolare la comprensione delle scelte terminologiche effettuate nei capitoli successivi, come il concetto di funzione attenga alle attività che vengono assegnate alle diverse unità organizzative investite dell’attività di controllo. In particolare il riferimento è al complesso “di poteri, competenze, compiti ed attività previste dal sistema dei controlli interni per il raggiungimento di determinate finalità di presidio, calate nella struttura organizzativa aziendale”12. Dette funzioni vengono poi destinate, sulla base delle indicazioni delle disposizioni normative e regolamentari, ai diversi soggetti coinvolti nel sistema. Tuttavia, la terminologia corrente ha avvicinato molto i concetti di funzione e di unità organizzativa (ovvero organo), sino a portare alla confusione dei concetti, intendendo con funzione anche l’unità organizzativa destinataria dei compiti e delle responsabilità. Ciò è spiegabile attraverso l’elevata specificità delle attività assegnate che necessitano la gestione da parte di un’unità ad esse dedicata: ne è un esempio in tal senso la funzione – appunto – di compliance per mezzo della quale si realizza la conformità alle norme che interessano l’intermediario e con la quale viene altresì intesa l’unità Compliance ad essa asservita. 11 12 Dellarosa ne “Il nuovo sistema dei controlli interni nella banca”. In Dellarosa ne “Il nuovo sistema dei controlli interni nella banca”. 26 Differenti considerazioni possono invece riguardare la funzione antiriciclaggio – per la quale non esiste al momento una univoca destinazione, ma la soluzione organizzativa viene lasciata alla discrezionalità del singolo istituto – stante ad indicare la sola attività di presidio dal rischio di riciclaggio. Ciò premesso è rilevante indagare come tali funzioni di controllo vengano distribuite all’interno dell’organizzazione ed in particolare entro il perimetro del sistema di controllo, ma altresì come possano interessare, con modalità difformi, l’intera organizzazione ed il coinvolgimento di tutto il personale. Facendo costante riferimento all’assetto organizzativo, strettamente interlacciato con il concetto di controlli interni, è possibile operare una ripartizione delle funzioni tra organi, funzioni aziendali di controllo tipiche e funzioni aziendali di controllo in senso lato. Attraverso la prima categoria – gli organi – la normativa secondaria di vigilanza emessa da Banca d’Italia individua con essa, riferendosi al sistema di corporate governance tradizionale, il Consiglio di Amministrazione, il Collegio Sindacale ed il Direttore Generale. Tali soggetti sono coinvolti necessariamente in attività di controllo sulla base delle normative che li interessano, ma anche per la naturale vocazione al raggiungimento degli obiettivi prefissati. Il coinvolgimento degli organi è riassumibile come di seguito. Il Consiglio di Amministrazione – e più in generale l’organo destinatario di funzioni di supervisione strategica – è coinvolto nei controlli interni attraverso la formulazione della politica di rischio e nella realizzazione della struttura del Sistema dei Controlli Interni, tenendo in considerazione le peculiarità dell’intermediario e le tipologie di rischio affrontate. Inoltre realizza le strategie e le direttive alle quali il personale si deve attenere e si assicura che compiti e responsabilità siano correttamente allocati. Altresì deve promuovere all’interno dell’organizzazione i valori e la cultura del controllo e verificare nel tempo che le azioni intraprese vengano effettivamente poste in atto ed infine il mantenimento in efficienza del sistema. Il Collegio Sindacale – e tutti gli organi con funzioni di controllo – svolgono un’azione di supervisione e coordinamento del Sistema dei Controlli Interni, assicurando che l’attività di tali controlli venga svolta secondo efficacia ed efficienza. Inoltre sovraintende e coordina le unità organizzative assegnatarie delle funzioni di controllo. La Direzione Generale – quale organo con funzioni di gestione – è chiamata alla verifica dell’applicazione nel concreto delle politiche predisposte dall’amministrazione ed 27 in particolare cura il generale funzionamento delle attività di controllo e l’adeguatezza della struttura organizzativa predisposta, rispetto alle necessità dell’attività bancaria. Per quanto riguarda invece le funzioni aziendali di controllo, esse costituiscono le attività che in maniera più diretta si occupano del presidio dei rischi, ma allo stesso tempo – secondo la terminologia corrente utilizzata – i soggetti assegnatari delle stesse. Tali funzioni rispondono alle direttive predisposte dai vertici aziendali e contribuiscono alla realizzazione del quadro generale del sistema dei controlli attraverso l’attività strumentale di traduzione nel concreto della politica di rischio. Tali funzioni vengono suddivise in tipiche, quelle cioè la cui presenza all’interno dell’organizzazione è prevista dalle normative e dai regolamenti in materia e sono proprie della struttura organizzativa degli intermediari. Ad esse si affiancano le funzioni in senso lato, previste da disposizioni settoriali e non endemiche dell’attività finanziaria. Le funzioni aziendali di controllo tipiche sono così riassumibili. La funzione Internal Auditing risponde direttamente al Consiglio di Amministrazione e si caratterizza per lo svolgimento di verifiche volte a riscontrare l’efficacia e l’efficienza di aree, processi e procedure realizzati in azienda, ponendo sotto particolare attenzione l’allineamento tra le disposizioni impartite dalla direzione e l’attuazione delle stesse nel concreto. Tale azione di controllo si caratterizza per l’approccio ex post, improntato cioè a verifiche successive delle soluzioni adottate nell’attività di controllo. La funzione Compliance partecipa al sistema attraverso un’azione continua di controllo volta ad asseverare la conformità a norme e regolamenti – di qualsiasi fonte – ai quali gli istituti sono soggetti nell’esercizio delle attività finanziaria e di credito. L’attività ha origine attraverso l’identificazione delle norme già esistenti, di nuova emanazione, nonché delle modifiche alle stesse, le quali comportano nuove soluzioni ed adeguamenti allo scopo di allineare l’operatività bancaria a tali previsioni. L’approccio è sia di tipo ex ante, realizzato per mezzo di valutazioni preventive delle esposizioni, sia ex post quale riscontro dell’adeguatezza delle soluzioni adottate. Inoltre la funzione partecipa all’attività di valutazione dell’impatto di tali disposizioni sul complesso aziendale e formula proposte organizzative adeguate all’evoluzione degli obblighi e dell’attività bancaria. La funzione di controllo sulla gestione del rischio si assicura che l’attività di risk management sia attuata per mezzo delle fasi predisposte e secondo il corretto svolgimento 28 delle stesse ed inoltre svolge azione di sorveglianza sull’esposizione dell’attività bancaria ai rischi. Le funzioni di controllo di linea svolgono azione di presidio direttamente all’interno delle unità operative nelle quali sono inserite, allo scopo di realizzare la concreta azione di mitigazione ed eliminazione delle minacce, in attuazione delle strategie e delle direttive predisposte dai vertici aziendali. È questa la fase attraverso la quale la politica di rischio e le azioni intraprese a realizzazione della stessa trovano riscontro in merito all’adeguatezza, nonché sulla quale basarsi per attuare azioni correttive di miglioramento. Le funzioni di Internal Auditing, Compliance e Risk Management secondo le disposizioni contenute dalla direttiva europea 2004/39/CE in materia di mercati e strumenti finanziari, meglio conosciuta come MiFID – Markets in Financial Instruments Directive. Alcuni esempi di funzioni aziendali di controllo in senso lato sono invece sintetizzabili come segue. La funzione di prevenzione dei reati che comportano il coinvolgimento per responsabilità amministrativa dell’ente, affidata all’Organismo di Vigilanza come disposto dal d.lgs. 231/2001. La funzione di antiriciclaggio rivolta all’osservanza delle normative in materia di contrasto del riciclaggio e del finanziamento del terrorismo, allo scopo di prevenire la complicità inconsapevole degli istituti in tale attività illecita13. La funzione volta a garantire il rispetto del trattamento dei dati personali raccolti dall’intermediario nell’instaurazione dei rapporti con la clientela ed in qualsiasi altro modo acquisite, comprese le informazioni raccolte in osservanza delle disposizioni in materia di antiriciclaggio e finanziamento del terrorismo. La funzione destinata al rispetto delle disposizioni in materia di sicurezza sul posto di lavoro. La normativa di vigilanza di Banca d’Italia prevede per le funzioni aziendali di control- lo tipiche un’ulteriore ripartizione. Le unità organizzative destinatarie, nello svolgimento delle funzioni che direttamente le riguardano, portano a compimento una serie di compiti che si differenziano in ragione della 13 Sull’argomento si rimanda al capitolo III, “Compliance antiriciclaggio”. 29 finalità che gli stessi mirano a perseguire, in funzione della tipologia di rischio presidiato, nonché delle caratteristiche proprie dell’unità assegnataria. Le funzioni in oggetto vengono comprese nel più ampio processo di gestione del rischio e si avvalgono del Sistema dei Controlli Interni, nonché dell’intera organizzazione aziendale, allo scopo di supportare e garantire ragionevolmente il raggiungimento degli obiettivi; a ciascuna di esse è affidato lo svolgimento di compiti omogenei rispetto ai quali è possibili attuare un’ulteriore suddivisione in categorie, di seguito illustrate. Controlli di primo livello che riguardano i presidi di linea svolti all’interno delle unità operative. Essi rappresentano la prima linea di controllo e sono incaricati della concreta attuazione dei compiti secondo le metodologie predisposte dai gestori del rischio. Controlli di secondo livello sono svolti dalle funzioni Compliance e Risk Management e mirano alla gestione dei rischi attraverso l’implementazione di diverse soluzioni orientate alla valutazione dell’esposizione alle minacce, alla verifica dell’attività di controllo assegnate alle unità produttive ed al riscontro della coerenza tra politica di rischio ed obiettivi di performance assegnati alle strutture operative. Controlli di terzo livello assegnati alla revisione interna, con la finalità di verificare l’adeguatezza riguardante il complesso delle attività e della struttura organizzativa del Sistema dei Controlli Interni. 30 Sintetizzando quanto finora esposto si riporta la struttura organizzativa di un gruppo bancario di dimensioni rilevanti, evidenziando le tipologie di controllo secondo la precedente classificazione. Chairman Comitato nomine Internal audit Board of directors Comitato remunerazione Executive committee Funzione di controllo di III° livello Compliance & corporate affairs Comitato audit Plann., finance & amministartion (CFO) CEO M&A and business development Management committee Other holding committe Funzione di controllo di II° livello Risk management (CRO) Asset management division Human resources Institut. bodies strategic adv. Deputy CEO Deputy CEO Deputy CEO Legal affairs Household financing German region strategic adv. Group identity & communication Central eastern europe division Corporate division Group ITC Poland’s market division Market & investment banking division Group organisation & logistic Retail division Private banking Global banking services Retail Italy Funzioni di controllo di I° livello Retail Austria & Germany Figura - Fonte rielaborazione da "Il gruppo bancario di dimensioni maggiori" in V. PESIC, "Il Sistema dei Controlli Interni nella banca", Bancaria Editrice, Roma 2009. 31 2. I RISCHI BANCARI Gli istituti di credito in ragione delle tipologie di attività svolte sono da sempre stati in- teressati da un elevato livello di rischiosità, che tuttavia negli ultimi anni è accresciuto, alla luce dell’aumento della competitività del mercato nonché del novero dei servizi prestati al pubblico. A fianco della tipica attività bancaria di concessione del credito e di prestazione di servizi legati alla raccolta rivolta a privati ed imprese, è possibile constatare la convivenza di un’ampia offerta di soluzioni di investimento attraverso tipologie differenti di strumenti finanziari ed in alcuni casi anche la prestazioni di servizi assicurativi. La forte espansione dell’attività è stata accompagnata inesorabilmente all’ampliamento dei fattori di rischio che possono ostacolare il raggiungimento degli obiettivi aziendali. Secondo l’accezione più ampia il rischio comprende tutti i fatti di gestione la cui manifestazione è afflitta da incertezza e – qualora si verificassero – l’esito potrebbe essere favorevole o avverso al raggiungimento degli obiettivi aziendali. Il rischio che si manifesta in tali termini è definibile come “dinamico”, poiché in grado di dare origine a conseguenze sia positive che negative. Quando invece la manifestazione del rischio può arrecare esclusivamente conseguenze avverse all’impresa, si fa riferimento ad esso come ad un rischio “statico”. Ne è un esempio in tal senso la minaccia rappresentata da frodi interne all’organizzazione, poste in essere dal personale dipendente di dubbia professionalità e basso livello morale. Quanto al rischio dinamico ne è un esempio quello di tasso di interesse, rispetto al quale la variazione che si origina può comportare una perdita di risorse per l’intermediario, piuttosto che un incremento delle stesse. Tuttavia in merito a questa seconda tipologia gli istituti rivolgono la loro attenzione all’aspetto negativo degli stessi, in grado di deviare la gestione dal raggiungimento degli obiettivi fissati, fino a compromettere la stabilità dell’intera struttura. Un chiaro esempio in tal senso è fornito dal rischio reputazionale, rispetto al quale assume maggiore interesse la perdita di fiducia che il pubblico accorda all’impresa; mentre il guadagno di consensi è interpretato come la conseguenza che testimonia la bontà delle scelte intraprese e per il quale ci si limita alla constatazione del risultato, diversamente accade per la perdita di reputazione rispetto alla quale la direzione deve immediatamente correre ai ripari. 32 Tale rischio – aggravato dalla difficoltà di valutazione – è in grado di minacciare seriamente la sopravvivenza dell’intermediario. Nella maggior parte dei casi è però possibile pervenire ad una stima di massima dell’esposizione attraverso l’analisi delle componenti di frequenza ed impatto. La frequenza esprime con quale assiduità – sulla base di calcoli statistici che originano dai dati storici – l’evento è in grado di manifestarsi. L’impatto è invece l’onerosità14 che l’intermediario dovrà sopportare qualora la minaccia dovesse trovare riscontro pratico. La combinazione di tali elementi fornisce la misura dell’evento rischioso e così accade per tutti i riscontri che la mappatura dei rischi porta in evidenza. Di fronte al manifestarsi di tali eventualità avverse il CoSO Report ha individuato distinte modalità di approccio adottabili dal management: l’evitare alcun tipo di assunzione del rischio, anche parziale, scegliendo di non cogliere l’opportunità direttamente connessa all’evento negativo; la riduzione, attraverso la predisposizioni di idonee misure volte alla prevenzione piuttosto che all’abbattimento della manifestazione e dell’impatto dello stesso; la condivisione, attraverso la stipula di contratti assicurativi o il trasferimento dell’eventuale manifestazione negativa a terzi; l’accettazione, semplicemente ponendosi in modo passivo senza intraprendere alcun tipo di operazione che possa in qualsiasi modo ridurne le conseguenze. Detti esempi di condotta sono espressione delle scelte che l’alta direzione può operare nel momento di definizione degli obiettivi e di conseguenza dei rischi ad essi direttamente legati. La scelta dell’approccio spetta tuttavia solo all’organo gestorio, l’unico in condizione di assumersene la responsabilità, poiché soggetto chiamato a definire le strategie volte al raggiungimento dei risultati stabiliti. È dunque opportuno, nella definizione di una politica di rischio, individuare in via preliminare i traguardi che l’entità si prefigge di raggiungere, indagandoli a fondo e rendendoli stabili. Solo attraverso il successo di tale operazione preliminare è possibile realizzare i passi successivi che prevedono la mappatura dei rischi che interessano l’azienda bancaria e le relative azioni volte ad eliminarli, o quantomeno a diminuirne l’influenza. 14 Poiché come detto il management è interessato agli aspetti negativi degli eventi aleatori. 33 Quanto alla mappatura dei rischi essa consiste nell’esame preliminare di tutti i fattori che possono comportare un ostacolo, una volta definiti gli obiettivi che l’azienda intende raggiungere. Si tratta, come detto, di un’attività preliminare imprescindibile, sulla quale basare la realizzazione delle fasi successive di creazione della cultura aziendale e definizione della politica di rischio, assegnazione delle funzioni di controllo all’interno della struttura, predisposizione di adeguati flussi informativi, gestione del rischio e revisione periodica del sistema. Attraverso tale fase preliminare l’alta direzione è in grado di assumere decisioni in merito all’approccio da adottare nei confronti dei rilievi, mentre spetterà agli altri soggetti destinatari di funzioni di controllo – in coordinamento con gli organi direttivi – fornire la valutazione degli elementi rischiosi e monitorarli lungo l’arco temporale in cui l’attività bancaria si svolge. La stessa Autorità di Vigilanza si è pronunciata sul tema sottolineando la necessità da parte del Sistema dei Controlli Interni di sviluppare una conoscenza approfondita in merito a tutte le tipologie di rischio che possono interessare l’organizzazione, valutandone l’esposizione attraverso metodologie di misurazione per le fattispecie che ne consentono la quantificazione. Al fine di realizzare una corretta mappatura di tutti i rischi è necessaria l’indagine completa dei processi aziendali attraverso i quali si realizza l’attività e la correlazione di questi ultimi alle rispettive manifestazioni di rischio che potrebbero interessarli. Per tali ragioni è necessaria la chiara conoscenza degli obiettivi che il management ha posto ed allo stesso tempo devono essere compresi i processi attraverso i quali realizzarli. Solo in questo modo è possibile ottenere una conoscenza completa delle minacce all’attività bancaria che permetta l’agire informato e la conseguente adozione di soluzioni di contrasto efficaci. 2.1 La classificazione dei rischi nelle disposizioni di vigilanza di Banca d’Italia A compimento dei cenni in materia di rischi che l’impresa bancaria deve necessaria- mente affrontare per il raggiungimento del successo aziendale, è necessaria l’individuazione delle categorie nelle quali le minacce vengono suddivise. Nella letteratura sul tema sono numerose le fonti che propongono una propria suddivisione dei rischi, seguendo metodologie di riclassificazione personali, ma tuttavia si ritiene di 34 maggiore utilità fare riferimento alle “Nuove disposizioni di vigilanza prudenziale” emesse da Banca d’Italia nel 200615. La ripartizione operata nel testo è finalizzata alla determinazione del patrimonio di vigilanza per mezzo del processo ICAAP – Internal Capital Adequacy Assessment Process. Tale metodo di valutazione è volto alla determinazione di un livello di patrimonio “prudenziale” del quale il singolo istituto deve dotarsi per poter fronteggiare le conseguenze negative della manifestazione dei rischi dai quali è afflitto. Attraverso la misurazione dell’impatto di tali eventi avversi per mezzo di metodologie di calcolo differenti, l’intermediario è in grado di definire un livello di patrimonio che possa garantire una certa stabilità, quantomeno rispetto alle tipologie di rischio valutabili. Nel Capitolo 1 del Titolo III delle citate disposizioni è possibile leggere che “le banche effettuano in autonomia un’accurata identificazione dei rischi ai quali sono esposte, avuto riguardo alla propria operatività e ai mercati di riferimento” e “ai fini della determinazione del capitale interno, le banche misurano ovvero – in caso di rischi difficilmente quantificabili – valutano tutti i rischi rilevanti ai quali sono esposte, utilizzando le metodologie che ritengono più appropriate, in relazione alle proprie caratteristiche operative e organizzative”. Per quanto riguarda le categorie di rischio rilevanti “l’analisi deve considerare almeno i rischi contenuti nell’elenco di cui all’Allegato A. Detto elenco non ha carattere esaustivo: è rimessa alla prudente valutazione di ogni banca l’individuazione di eventuali ulteriori fattori di rischio connessi con la propria specifica operatività”. Il contenuto dell’allegato in questione fa riferimento alle seguenti tipologie. Rischi compresi nel Primo Pilastro16. Rischio di credito: è originato dall’eventualità di insolvenza o dalle difficoltà a far fronte ai propri impegni, manifestate dalle controparti della banca in operazioni di concessione di finanziamenti. Rischio di controparte: è compreso nel rischio di credito e riguarda la possibilità che la controparte risulti inadempiente al momento del regolamento finale dei flussi finanziari di un’operazione. Rischio di mercato: è originato dalle conseguenze avverse di movimentazioni di capitali sui mercati finanziari in cui opera l’istituto. Esso comprende il rischio di posizione 15 L’ultimo aggiornamento – il quarto – è recentissimo e risale allo scorso 13 dicembre. In particolare le modifiche hanno interessato il Capitolo 1 del Titolo I in tema di gruppi bancari ed il Capitolo 2 del Titolo V per ciò che riguarda le disposizioni comuni. 16 Il riferimento è al contenuto del First Pillar ne “The New Basel Capital Accord”, pubblicato da Basel Committee on Banking Supervision nel 2001. 35 generico su titoli di debito, il rischio di posizione generico su titoli di capitale, il rischio di posizione specifico su titoli di capitale, il rischio di concentrazione del portafoglio di negoziazione, il rischio di regolamento, il rischio di cambio, il rischio di posizione in merci. Rischio operativo: trae origine dall’inadeguatezza o dall’inefficacia di procedure, risorse umane, unità interne o eventi esterni avversi alla gestione dell’ente ed in grado di comportare perdite di risorse finanziarie. Sono ad esso riconducibili le frodi, gli oneri derivanti da errori umani, nonché perdite contrattuali e catastrofi naturali. Allo stesso modo è compreso il rischio legale, ma non quello strategico. Altre tipologie di rischio. Rischio di concentrazione: deriva da esposizioni eccessivamente rivolte nei confronti di medesime controparti, soggetti appartenenti allo stesso gruppo, nonché appartenenti al medesimo settore industriale o area geografica. Rischio di tasso d’interesse: deriva dalla variabilità connessa ad attività diverse dalla negoziazione in relazione al mutamento dei tassi di interesse. Rischio di liquidità: si manifesta sotto forma di incapacità da parte dell’intermediario di onorare tempestivamente i propri impegni di cassa, sia sotto forma di incapacità di reperire i fondi (funding liquidity risk), che di limitazioni allo smobilizzo delle attività finanziarie detenute (market liquidity risk). Rischio residuo: è costituito dalla minaccia che i processi e le procedure istituite per la mitigazione del rischio di credito disattendano le aspettative di performance previste. Rischio da cartolarizzazioni: deriva dall’eventualità che la sostanza economica dell’operazione di cartolarizzazione non sia pienamente rispecchiata nelle decisioni di valutazione e di gestione del rischio. Rischio strategico: si manifesta attraverso riduzioni attuali o future dei risultati economici o del capitale dell’ente in conseguenza di scelte aziendali errate, attuazione inadeguata delle scelte, cambiamento del contesto operativo e conseguente mancato adeguamento alle condizioni. Rischio reputazionale: è la manifestazione di riduzioni attuali o future dei risultati economici o del capitale dovute ad una percezione negativa dell’immagine dell’istituto da parte della clientela, delle controparti, degli azionisti, degli investitori, nonché delle autorità di vigilanza. 36 L’autorità di vigilanza, sebbene sottolinei la non esaustività delle fattispecie di rischio contenute nell’elenco esposto, raccomanda di fare riferimento ad esso anche al di fuori delle valutazioni finalizzate alla determinazione del patrimonio di vigilanza, in modo tale da mantenere la coerenza tra rischi rilevati e metodologie di valutazione. 37 CONCLUSIONI L’introduzione sin qui svolta ha brevemente illustrato il Sistema dei Controlli Interni quale elemento complesso della struttura aziendale a supporto della gestione. Esso è elemento stabile e duraturo dell’organizzazione e si fonde con la struttura aziendale allo scopo di assisterla. Infatti il concetto di controllo che tale sistema incardina è lontano dalla comune idea di verifica e si configura come un supporto continuo agli obiettivi aziendali stabiliti dall’alta direzione. L’attività di presidio svolta in generale dai controlli interni è indirizzata all’individuazione di tutti gli elementi in grado di ostacolare la gestione verso il raggiungimento delle finalità, o più correttamente il presidio dell’attività bancaria dai rischi. Il Sistema dei Controlli Interni trae origine dall’azione degli organi aziendali direttamente coinvolti nella predisposizione: all’alta direzione spetta infatti la predisposizione della struttura dei controlli interni, supervisionata dall’organo di controllo. L’aspetto più rilevante riguarda la creazione e la diffusione della cultura di controllo, attraverso la quale viene realizzata la consapevolezza dell’agire secondo un fine comune. Tale responsabilità è posta anch’essa in capo ai vertici, i quali devono essere d’esempio nell’accettazione di tale cultura. Solo in questo modo i valori aziendali di controllo potranno essere trasmessi con successo sino al personale, realizzando l’auspicata coscienza dell’agire verso uno scopo comune. Tale sistema, che svolge i propri compiti per mezzo di diverse funzioni specializzate (Risk Management, Internal Audit, Compliance, queste le principali), è dunque una componente stabile che evolve di pari passo con l’attività aziendale e non un’attività di controllo esercitata in maniera non continuativa. Da ultimo l’attenzione è ai rischi in grado di compromettere l’attività bancaria. Si è visto come gli istituti possano assumere diversi atteggiamenti nei confronti delle minacce affrontate, coerentemente con la politica di rischio elaborata. Le tipologie di rischio che interessano in particolare l’attività bancaria e di intermediazione rappresentano categorie peculiari rispetto ad altre tipologie di business e per questo motivo è utile fare riferimento alla classificazione operata da Banca d’Italia. 38 CAPITOLO II – LA FUNZIONE DI COMPLIANCE 39 INTRODUZIONE Il contesto nel quale operano gli istituti di credito è caratterizzato da un’elevata complessità che deriva dalle molteplici attività svolte, dai mercati in cui operano e dalla eterogeneità di interlocutori con i quali si relazionano. Ciascuno di questi fattori è interessato da specifiche previsioni normative e regolamentazioni di altra fonte alle quali gli istituti devono necessariamente prestare attenzione. Per far fronte a questa crescente necessità anche per le banche è stata istituita l’apposita funzione di compliance. Lo scopo è quello di prevenire il rischio di non conformità alle normative, accentrando il monitoraggio e lo sviluppo di adeguati strumenti di presidio in un unico organo. Di ciò si sono occupati diversi organismi: il Comitato di Basilea ha emanato “Compliance and the compliance function in banks” al quale hanno fatto seguito le Disposizioni di Vigilanza di Banca d’Italia rubricate “La funzione di conformità (compliance)”. A queste pubblicazioni si sono aggiunte, in parte sovrapponendosi, le indicazioni specificamente predisposte per le imprese di investimento emanate dalla Comunità Europea con la direttiva MiFID (direttiva 2004/39/CE) e recepite nel regolamento congiunto di Banca d’Italia e Consob. Secondo le previsioni contenute nelle fonti citate la Compliance è una funzione di presidio che rientra nei controlli di secondo livello e si caratterizza per l’elevato grado di indipendenza nell’esercizio delle proprie funzioni di monitoraggio e gestione dei rischi di non conformità e reputazionali. Al fine di svolgere la propria attività secondo i dettami della best practice essa deve necessariamente essere dotata di una propria struttura interna e di adeguate risorse economiche. Inoltre la Compliance è situata al centro di una fitta rete di rapporti che la mettono in relazione in primis con i vertici aziendali, ai quali spetta la responsabilità della conformità alle norme e l’implementazione della funzione secondo le caratteristiche dell’istituto, ma anche con le altre funzioni di controllo ed in particolare con il Risk Management e l’Internal Audit. Affinché l’attività di prevenzione sia efficace è necessario che venga sviluppata una forte cultura di rispetto delle norme e che questa sia accettata e trasmessa all’interno dell’organizzazione, specialmente presso le unità operative ove si genera la maggior parte dei rischi. 40 1. LA DEFINIZIONE DI COMPLIANCE NELLE FONTI NORMATIVE La funzione di compliance all’interno degli istituti di credito trova le proprie origini nel- le disposizioni emanate dal Comitato di Basilea ed incorporate nel documento “Compliance and the compliance function in banks” pubblicato nell’aprile 2005. Il Comitato definisce il rischio di non conformità (compliance risk) come il rischio di incorrere in sanzioni legali o regolamentari, perdite finanziarie o di reputazione, che una banca può soffrire in conseguenza della mancata osservazione di leggi, regolamenti, regole, standard di autoregolamentazione e codici di condotta inerenti alle attività bancarie17. I principi del Comitato di Basilea sono stati successivamente recepiti da Banca d’Italia attraverso la stesura delle Disposizioni di Vigilanza intitolate“La funzione di conformità (compliance)” emanate il 10 luglio 2007. Con il presente documento è stata formalmente introdotta la funzione di compliance negli istituti bancari nazionali, adattando le più generali previsioni del Comitato di Basilea alla realtà italiana. La definizione di compliance risk fornita dall’autorità di vigilanza ribadisce che “il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina)”. Sulla base delle precedenti definizioni la Compliance è delineata come la funzione che “governa un processo trasversale che consta di presidi organizzativi e operativi atti ad evitare disallineamenti con l’insieme delle regole esterne ed interne”18. Inoltre la materia è stata trattata a livello comunitario dalla direttiva 2004/39/CE (indicata come direttiva MiFID) e dalla connessa direttiva di attuazione 2006/73/CE successivamente recepite dal Regolamento congiunto Banca d’Italia – Consob del 29 Ottobre 2007. Destinatari delle disposizioni sono i soggetti che prestano servizi ed attività di investimento, siano essi istituti di credito o meno, come ad esempio le società di intermediazione mobiliare (SIM). 17 “The expression “compliance risk” is defined in this paper as the risk of legal or regulatory sanctions, material financial loss, or loss to reputation a bank may suffer as a results of its failure to comply with laws, regulations, rules, related self-regulatory organisation standards, and codes of conduct applicable to its banking activities (together, “compliance laws, rules and standards””. 18 Cfr. AICOM, Linee guida per la funzione di compliance. 41 È necessario precisare che il Regolamento congiunto Banca d’Italia – Consob e le Disposizioni di Vigilanza di Banca d’Italia non sono tra loro alternativi e formano un’intersezione delle rispettive applicazioni in capo alla totalità delle banche odierne. Ciò è espressamente previsto dalle Disposizioni di Vigilanza: “per lo svolgimento dei servizi e delle attività di investimento da parte delle banche, troveranno applicazione anche le disposizioni di recepimento della direttiva 2006/73/CE relativa alla funzione di conformità di cui all’articolo 6 della medesima direttiva”. Questa duplice soggezione ha comportato un coordinamento di entrambi gli organismi di vigilanza (Banca d’Italia e Consob) al fine eliminare disposizioni contrastanti ed eccesiva onerosità. I citati organismi attraverso l’emanazione delle disposizioni hanno ricercato la soddisfazione di obiettivi comuni di portata generale che investono l’intero sistema finanziario e sono identificabili in: salvaguardia della fiducia del sistema, stabilità e buon funzionamento dello stesso, tutela degli investitori, competitività ed osservanza delle disposizioni in materia finanziaria. Oltre a queste finalità di ispirazione macroeconomica gli organismi di vigilanza sono accomunati da principi di fondo rintracciabili nei testi: proporzionalità: come sottolineato in precedenza, nel conformarsi alle disposizioni è necessario prendere in considerazione le caratteristiche peculiari dell’intermediario quali dimensioni, ambito di operatività, tipologie di servizi prestati, struttura societaria, interlocutori ed altre specificità, secondo un modello coerente; principle based approach: vengono fornite regole generali integrate successivamente da linee guida operative e indicazioni di best practice; gradualità: l’evoluzione nel tempo della struttura degli intermediari porta all’applicazione di metodologie sempre più articolate, nell’osservanza delle regole emanate. Infine secondo una logica di buon senso il Regolamento congiunto prevede che la funzione di conformità sia unica per quegli istituti dove viene svolta anche la prestazione di servizi finanziari; spetterà alla Compliance applicare entrambi i regolamenti coordinandoli tra loro19. 19 Artt. 3 e 4, Regolamento congiunto Banca d’Italia – Consob. 42 Passando agli elementi disomogenei, è possibile operare una ripartizione delle competenze in ragione delle finalità, che per Banca d’Italia comprendono la stabilità patrimoniale delle banche, il contenimento del rischio ed una sana e prudente gestione, mentre Consob si occupa della trasparenza e correttezza delle transazioni e di tutti i comportamenti in generale. Un confronto diretto tra i principali aspetti delle normative può agevolare l’analisi. La Funzione di Compliance secondo le Di- La Funzione di Compliance secondo il Resposizioni di Vigilanza di Banca d’Italia golamento congiunto Banca d’Italia – del 10 luglio 2007 deve: Consob del 29 ottobre 2007 deve: essere inquadrata nel sistema dei controlli; essere inquadrata nel sistema dei controlli; identificare nel continuo le norme applicabili alla essere indipendente; banca; essere sempre istituita; misurare/valutare l’impatto delle norme applica- essere separata dalla funzione di revisione interna bili alla banca su processi e procedure aziendali; se istituita; proporre modifiche organizzative e procedurali al essere responsabile del controllo e della valutafine di assicurare adeguato presidio dei rischi di zione regolare dell’adeguatezza e dell’efficacia non conformità identificati; delle procedure interne idonee a garantire predisporre flussi informativi diretti agli organi l’adempimento degli obblighi di correttezza e traaziendali ed alle strutture coinvolte (gestione del sparenza nella prestazione dei servizi di investirischio operativo e revisione interna); mento; verificare l’efficacia degli adeguamenti organiz- essere responsabile del controllo e della valutazativi suggeriti per la prevenzione del rischio di zione regolare dell’adeguatezza e dell’efficacia conformità; delle misure adottate per rimediare ad eventuali essere coinvolta nella valutazione ex ante della carenze nell’adempimento degli obblighi da parte conformità alla regolamentazione applicabile di dell’intermediario; tutti i progetti innovativi che la banca intende in- essere responsabile del controllo e della valutatraprendere nonché nella prevenzione e nella ge- zione regolare dell’adeguatezza e dell’efficacia stione dei conflitti di interesse; delle procedure adottate ai sensi dell’art. 16, verificare la coerenza del sistema premiante comma 1, del Regolamento congiunto Banca aziendale con gli obiettivi di rispetto delle norme, d’Italia – Consob del 29 ottobre 200720; 20 “Gli intermediari adottano procedure adeguate al fine di prevenire e individuare le ipotesi di mancata osservanza degli obblighi posti dalle disposizioni di recepimento della direttiva 2004/39/CE e delle relative misure di esecuzione, minimizzare e gestire in modo adeguato le conseguenze che ne derivano, nonché consentire alle autorità di vigilanza di esercitare efficacemente i poteri loro conferiti dalla relativa normativa”. 43 dello statuto nonché di eventuali codici etici o fornire consulenza ed assistenza ai soggetti rilestandard di condotta applicabili alla banca; vanti incaricati dei servizi ai fini prestare consulenza ed assistenza nei confronti dell’adempimento degli obblighi posti dalle didegli organi di vertice della banca in tutte le ma- sposizioni di recepimento della MiFID e delle reterie in cui assume rilievo il rischio di conformi- lative misure di esecuzione; prestare agli organi aziendali, con periodicità al- tà; collaborare nell’attività di formazione del perso- meno annuale, le relazioni sull’attività svolta. Tanale sulle disposizioni applicabili alle attività li relazioni devono altresì riportare la situazione svolte al fine di diffondere una cultura aziendale complessiva dei reclami ricevuti. improntata ai principi di onestà, correttezza e rispetto dello spirito e della lettera delle norme. Tabella - fonte M. LAMANDINI, Framework normativo di riferimento per la Compliance in banca, in ABI, Libro Bianco sulla Funzione Compliance, Bancaria Editrice, Roma, 2008. 1.1 Le tipologie di rischio affrontate: il rischio legale e reputazionale La disciplina di riferimento indica che la funzione di compliance si occupa della gestio- ne del rischio, del monitoraggio e dell’attuazione di presidi al fine di mitigarlo o eliminarlo. Come esplicitato le tipologie di criticità che devono essere affrontate riguardano la sfera legale e quella reputazionale. Il rischio legale è la possibilità che l’istituto non ottemperi alle disposizioni normative alle quali è sottoposto come diretta conseguenza dell’attività svolta. I vincoli in questione derivano da una pluralità di fonti che posso essere di tipo normativo, come regolamenti e direttive di natura comunitari, oppure la legge dello Stato (o meglio degli stati data la vocazione internazionale delle banche), o ancora leggi locali. Sono allo stesso modo rilevanti anche le obbligazioni implicite che discendono dall’adozione di codici di interni o di autoregolamentazione emessi da associazioni di categoria. L’importanza che viene riservata alla regolamentazione interna o settoriale è da ricercare nel fatto che le disposizioni dell’ambito si caratterizzano per una formulazione sempre più generale, affidando ad organismi di vigilanza piuttosto che di autorganizzazione il compito di entrare nel merito di questioni complesse ed altamente specifiche. 44 Si tratta di un approccio basato su principi di ampia portata che si caratterizzano per una limitata prescrittività e trovano preziosa integrazione attraverso linee guida applicative ed indicazioni di prassi secondo lo schema della principle based regulation21. Nella premessa contenuta nelle Disposizioni di Vigilanza si fa riferimento all’importanza del rapporto fiduciario che intercorre tra istituti ed interlocutori in generale ponendolo alla base dell’attività: le banche devono perciò essere compliant anche a codici etici dei quali si sono volontariamente dotate al fine di salvaguardare questa relazione che garantisce il continuum dell’attività. Inoltre si sottolinea come il rispetto di norme e regolamenti non debba limitarsi alla lettera ma ricercarne lo spirito e ad esso conformarsi secondo un’impostazione di osservanza sostanziale. Quest’ultimo punto è stato ampiamente dibattuto22 per le problematiche che possono scaturire dalla ricerca dell’effettivo significato e dall’ampiezza dell’interpretazione, tuttavia lo spirito della norma non deve offuscarne il senso portando ad applicazioni oltremisura basate su deduzioni avventate. Con riferimento al rischio reputazionale l’analisi diviene meno immediata. La reputazione è definita come l’insieme di più fattori concomitanti individuabili come visione, leadership, prodotti e servizi, performance economica, gestione del personale, responsabilità sociale e ambientale ed attrattiva emozionale23, oppure più genericamente come “qualsiasi evento o circostanza che può incidere sulla reputazione di un’organizzazione”24. Si tratta dunque di un insieme di elementi che unitariamente contribuiscono a formare la percezione che gli stakeholder hanno dell’entità secondo un rapporto che coinvolge l’identità (come l’impresa si vede e si pone sul mercato) e l’immagine (come viene percepita dagli interlocutori)25. 21 L’articolo intitolato “New Governance, Compliance, and Principles-Based Securities Regulation” pubblicato su “American Business Law Journal, Volume 45, Spring 2008” fornisce la seguente definizione: “[…] a rule generally entails an advance determination of what conduct is permissible, leaving only factual issues to be determined by the frontline regulator or decision maker. A principle may entail leaving both specification of what conduct is permissible and factual issues to the frontline regulator”. 22 Una prima versione delle Disposizioni di Vigilanza sul tema della compliance si spingeva oltre questa formulazione prevedendo che “nell’ambito del rischio di non conformità assumono, altresì, rilievo le operazioni formalmente corrette, alle quali la banca collabora consapevolmente, poste in essere dalla controparte con l’obiettivo di aggirare l’applicazione delle norme”. 23 Zurich Sustainability Forum, 2005. 24 Rayner, 2004. 25 Chun, 2005. 45 In riferimento agli istituti di credito una definizione più accurata è stata formulata dal Comitato di Basilea che ha delineato il reputational risk come risultanza di fallimenti operativi e di conformità a leggi e regolamenti, oppure originato da altre fattispecie negative. Si tratta di un rischio particolarmente dannoso per le banche poiché la natura dell’attività svolta richiede il mantenimento di rapporti cordiali con correntisti, creditori e clientela in generale26. In particolare la salvaguardia dei rapporti con il pubblico che l’istituto è stato in grado di creare attraverso la proiezione di un’immagine positiva e la comunicazione di una politica gestionale affidabile risultano essere un fattore critico di successo. La deviazione dal corretto modo di operare può facilmente urtare la sensibilità degli interlocutori alle tematiche del credito, giungendo sino a minacciare la sopravvivenza nel mercato degli stessi intermediari. Considerando il rischio reputazionale come componente dell’insieme più ampio dei rischi a cui le banche sono esposte è stato evidenziato come esso abbia natura additiva. Può accadere che la violazione di norme sul credito, oltre a comportare sanzioni per il fatto commesso, costringa a situazioni imbarazzanti dalle quali possono derivare perdite di fiducia ed abbandono della clientela. La natura trasversale di questo rischio implica una particolare cura nella gestione, della quale la funzione Compliance è chiamata a farsi carico. Negli istituti a vocazione internazionale il tema è particolarmente sentito ed è sempre maggiore la necessità di proiettare un’immagine positiva a trecentosessanta gradi associata ad un brand stimabile. Tarantola ha ribadito che il sistema finanziario si basa da sempre su fiducia e correttezza ma che oggi più che mai è fondamentale per il successo degli intermediari predisporre adeguati sistemi di governo e di controllo che favoriscano correttezza ed eticità e conducano al consolidamento della fiducia. La reputazione non è quindi un concetto astratto, ma una componente intangibile in grado di generare valore nel tempo attraverso una politica oculata di mantenimento e di preservazione dal rischio, anche se la sua quantificazione risulta essere difficoltosa. Trattandosi di un downside risk (il rischio è legato alla perdita di reputazione, cioè all’aspetto negativo della questione), gli istituti devono anche considerare, come avviene per le altre tipologie, un’adeguata dotazione patrimoniale che possa arginare gli effetti negativi. 26 2Reputational risk arises from operational failures, failure to comply with relevant laws and regulations, or other sources. Reputational risk is particularly damaging for banks since the nature of their business requires maintaining the confidence of depositors, creditors and the general marketplace”. 46 Tra questi i principali riguardano: disaffezione della clientela, perdita di quote di mercato, peggioramento del merito creditizio ed esposizione a manovre speculative, difficoltà nell’attrarre o trattenere personale qualificato e perdita di opportunità strategiche. Inoltre bisogna anche considerare gli sforzi aggiuntivi che l’intermediario deve sostenere per recuperare la propria immagine e credibilità sul mercato a scapito di altre azioni strategiche. 47 2. IL PROFILO ORGANIZZATIVO DELLA FUNZIONE COMPLIANCE Le Disposizioni di Vigilanza emesse da Banca d’Italia non prevedono una definizione rigorosa dell’organizzazione della funzione Compliance e nemmeno della sua struttura interna. Fatti salvi vincoli che riguardano i rapporti con l’alta direzione, con le altre funzioni aziendali e la previsione di un responsabile della Compliance, ampia libertà è riservata alla predisposizione di un sistema che garantisca la conformità. Il termine “sistema” è volutamente impiegato poiché, come più precisamente trattato in seguito, la compliance alle norme è un concetto che si estende a tutta la struttura dell’istituto e deve permeare ogni processo consolidandosi come cultura. Se così non fosse tal funzione diverrebbe sterile e fine a sé stessa, destinata a costituire un onere anziché una preziosa risorsa. Fondamentale è la capacità di porsi come principale interlocutore nelle problematiche di osservanza delle norme, operando con atteggiamento propositivo e promuovendo l’adattamento ai continui cambiamenti delle disposizioni. La funzione ad hoc costituita è l’aspetto immediatamente tangibile, necessaria per l’attribuzione di poteri di supervisione ed attraverso la quale il management dispone di uno strumento per il governo della conformità. L’ampio margine di autonomia concesso all’organizzazione è frutto anche del principio di proporzionalità al quale le Disposizioni di Vigilanza ed il Regolamento congiunto fanno riferimento: ogni istituto deve dotarsi della struttura che meglio si adatta alle proprie esigenze in considerazione delle attività svolte, della tipologia di clientela e dell’assetto societario. Le banche di dimensioni minori possono utilizzare le strutture già costituite, purché siano rispettati i vincoli di professionalità ed indipendenza. Nella definizione di una peculiare struttura della Compliance è opportuno che gli intermediari non trascurino alcuni elementi chiave quali: l’adeguata dotazione di risorse umane, tecniche e finanziarie opportunamente dimensionate alle esigenze; l’individuazione di una linea di responsabilità che coinvolga in primis il Consiglio di Amministrazione (o il Consiglio di Gestione nel modello dualistico) e si sviluppi lungo tutta la struttura aziendale sino alle linee operative; l’assenza di conflitti di interesse che possano riguardare il responsabile della funzione Compliance, in modo da garantire l’autonomia decisionale necessaria; 48 la creazione di un clima collaborativo all’interno dell’organizzazione tra organi di controllo e funzioni ad esso sottoposte. Vengono ora presentati i principali aspetti che interessano l’organizzazione della funzione di compliance evidenziando per primo il ruolo dei vertici aziendali, presentando poi i requisiti che ne garantiscano la professionalità ed inserendo infine la funzione nel contesto aziendale, facendo riferimento ai rapporti che questa intrattiene con le altre funzioni del sistema dei controlli interni. 2.1 Il ruolo dei vertici: Compliance starts at the top Il Comitato di Basilea e Banca d’Italia nelle rispettive disposizioni affidano un ruolo inequivocabile ai vertici degli istituti, coinvolgendoli in prima linea nell’implementazione della funzione di conformità. Si legge nelle Disposizioni di Vigilanza che “il consiglio di amministrazione e il collegio sindacale sono responsabili della supervisione complessiva del sistema di gestione del rischio di non conformità alle norme”. Spetta al primo – previo parere del Collegio – costituire la funzione di compliance all’interno dell’organizzazione ed approvarne le politiche di gestione del rischio proposte. Nell’implementazione il Consiglio deve agire come organo collegiale e non può delegare tale funzione ad uno o più suoi componenti, tenendo presente inoltre le caratteristiche principali che devono essere rispettate: la permanenza e l’indipendenza. La Compliance non può essere una funzione “a scadenza” poiché i rischi dei quali si occupa sono intrinseci al complesso dell’attività bancaria e di conseguenza non eliminabili. Inoltre il continuo mutamento nell’assetto normativo comporta che il processo di adeguamento sia protratto nel tempo. Quanto al requisito di indipendenza, che vuole che il controllore nello svolgimento dei propri compiti con finalità di rispetto delle norme non debba subire influenze di ogni sorta, trova applicazione sia sotto il profilo di dipendenza gerarchica, sia per ciò che riguarda i requisiti di cui deve essere dotato il responsabile della funzione. Il Consiglio di Amministrazione è chiamato annualmente a valutare l’adeguatezza della struttura della Compliance avvalendosi anche del parere del Collegio Sindacale ed a porre rimedio alle eventuali carenze riscontrate. 49 Per quanto riguarda gli organi delegati e la Direzione Generale è previsto che essi predispongano adeguate politiche per la gestione del rischio e promuovano all’interno dell’azienda la diffusione della cultura di compliance, assicurandosi che venga percepita ed attuata dal personale nell’esecuzione dei propri compiti, ad ogni livello gerarchico. Fondamentale in tal senso è la stesura di regole scritte di chiara ed univoca interpretazione che costituiscano le linee guida da seguire nell’identificazione e nella gestione del rischio27. Nello svolgimento di questo compito è di primaria importanza l’apporto fornito dalla Compliance che assiste l’alta direzione anche nell’espletare i seguenti doveri. Almeno annualmente è necessario identificare e valutare i rischi ai quali l’istituto è esposto al fine di pianificare adeguati interventi di gestione. Questa operazione interessa sia le carenze che sono state riscontrate, tanto l’esigenza di affrontare nuove tipologie di rischio. Almeno annualmente occorre aggiornare il Consiglio di Amministrazione ed il Collegio Sindacale su come venga intrapresa la gestione del rischio di non conformità, in modo da supportare la creazione di un giudizio informato. È d’obbligo informare prontamente il Consiglio di Amministrazione ed il Collegio Sindacale qualora venissero ravvisate violazioni delle norme. Nell’attribuzione del mandato per la gestione del rischio di non conformità è inoltre Importante che i compiti, il posizionamento all’interno dell’organizzazione e l’ampiezza dei poteri attribuiti alla funzione Compliance siano chiaramente formalizzati all’interno di un documento scritto che verrà approvato dal Consiglio di Amministrazione, quale diretto responsabile dell’osservanza delle disposizioni. Tale soluzione interessa anche il reporting annuale destinato a quest’ultimo organo, attraverso il quale avviene la rendicontazione dell’attività svolta. In particolare è importante che contenga: l’indicazione degli obiettivi di compliance, il perimetro normativo di interesse, l’approccio metodologico adottato nel valutare la conformità unitamente alla descrizione delle attività svolte ed i risultati conseguiti in termini di adeguatezza dei presidi organizzativi istituiti e di esposizione complessiva al rischio di non conformità. 27 “The bank’s senior management is responsible for establishing a written compliance policy that contains the basic principles to be followed by management and staff, and explain the main processes by which compliance risks are to be identified and managed trough all levels of the organisation. Clarity and transparency may be promoted by making a distinction between general standards for all staff members and rules that only apply to specific groups of staff”. Tratto da BASEL COMMITTEE ON BANKING SUPERVISION, Compliance and the compliance function in banks, 2005. 50 La rendicontazione, infine, non manca di considerare la componente previsionale dell’azione di conformità, indicando quali sono gli obiettivi per il prossimo futuro e le normative connesse e predisponendo una stima delle attività e delle risorse necessarie all’attuazione. 2.2 I requisiti necessari per l’operatività L’analisi dell’inserimento della funzione di compliance all’interno dell’organizzazione aziendale necessita una preventiva considerazione dei requisiti necessari per il corretto svolgimento dei propri compiti. Come già accennato, la gestione della conformità è un’attività che deve essere svolta con la massima indipendenza poiché comporta la supervisione di tutte le aree aziendali per garantire l’osservanza delle norme: come conseguenza logica è necessario che sia salvaguardata la possibilità di organizzare la funzione senza che i soggetti destinatari dei controlli siano in grado di condizionarne la gestione o limitarne l’area di operatività. Al fine di garantire questo status di autonomia il Comitato di Basilea ha indicato quattro elementi28 che devono essere considerati nell’istituzione della funzione: la funzione di compliance deve essere formalizzata all’interno della banca; è necessaria l’istituzione di un gruppo di addetti alla compliance o di un responsabile della Compliance con responsabilità generali al fine di coordinarsi insieme al management per la gestione del rischio di conformità; il personale della funzione Compliance, ed in particolare, il responsabile della compliance, non devono essere collocati in posizioni che possano generare l’insorgere di conflitti di interessi tra le proprie responsabilità di garanti della conformità ed ogni altra responsabilità dei quali possono essere destinatari; lo staff della Compliance deve poter avere accesso alle informazioni ed al personale necessari per l’espletamento dei propri compiti. 28 “First, the compliance function should have a formal status within the bank. Second, there should be a group compliance officer or head of compliance whit overall responsibility for co-ordinating the management of the bank’s compliance risk. Third, compliance function staff, and in particular, the head of compliance, should not be placed in a position where there is a possible conflict of interest between their compliance responsibilities and any other responsibilities they may have. Fourth, compliance function staff should have access to the information and personnel necessary to carry put their responsibilities”. Tratto da BASEL COMMITTEE ON BANKING SUPERVISION, Compliance and the compliance function in banks, 2005. 51 In merito al primo punto, esso è già stato considerato nel paragrafo precedente precisando che spetta all’alta direzione la predisposizione e l’approvazione – come organo collegiale – di un documento che istituisca la funzione di compliance all’interno della banca. La redazione della compliance policy o di altro documento formale investe la funzione dello status necessario alla sua corretta operatività ed è previsto che venga diffuso all’interno dell’organizzazione per una piena consapevolezza del suo contenuto. In esso devono essere riportate l’indicazione del ruolo e delle responsabilità della funzione, le misure adottate per assicurarne l’indipendenza, le relazioni con l’Internal Audit e la funzione Risk Management, il diritto di ottenere informazioni dal personale e di consultazione dei documenti, la possibilità di svolgere compiti ispettivi nelle manifestazioni di violazioni delle norme, la definizione dell’ambito di operatività del personale di compliance posizionato all’interno delle singole aree aziendali e la possibilità di rivolgersi liberamente agli organi delegati, o all’intero Consiglio, qualora lo svolgimento dei compiti lo richieda. Al personale destinato alla funzione di compliance sono richieste specifiche capacità professionali e conoscenze approfondite nei temi, ma soprattutto è necessario un costante aggiornamento che segua l’evoluzione delle normative. Il numero deve essere adeguato alla complessità dell’istituto, così come la dotazione di risorse economiche alle quali il compliance officer deve poter attingere in autonomia. Il sufficiente ammontare di risorse garantisce l’indipendenza della funzione e permette l’autonomia nella gestione del rischio. Infine gli addetti devono poter richiedere il supporto di consulenze esterne nell’affrontare temi che richiedano conoscenze specifiche ed approfondite. 2.3 La collocazione all’interno del sistema dei controlli interni Passando all’analisi della macrostruttura organizzativa degli istituti di credito bisogna innanzi tutto individuare quale sia il collocamento adatto della funzione Compliance che permetta il rispetto dei requisiti di operatività. Le Disposizioni di Vigilanza la inseriscono, all’interno del Sistema dei Controlli interni, nell’area delle funzioni di supervisione sulla gestione dei rischi, i cosiddetti controlli di secondo livello. Tuttavia non è opportuno limitarsi ad una classificazione così rigida date le peculiarità della funzione. La conformità svolge all’interno degli intermediari compiti di supervisione e 52 gestione del rischio attraverso una costante azione di controllo, ma anche adoperandosi per la predisposizione di programmi d’azione mediante il suggerimento di modifiche organizzative e la costante comunicazione con le linee operative, laddove il rischio si genera. Inoltre le è riconosciuta ampia autonomia nell’esecuzione dei propri compiti e la possibilità di interloquire direttamente con i soggetti delegati e con l’intero consiglio. Alla luce di queste considerazioni appare limitante il posizionamento della funzione in collocazione intermedia tra i controlli di primo livello svolti dalle varie funzioni aziendali e l’Internal Audit di terzo livello, secondo una linea verticale di controllo unidirezionale che muove dal vertice alla base. Per tutte le ragioni sin qui esposte risulta opportuno riservare alla conformità un assetto organizzativo simile a quello previsto per la funzione di revisione interna, salvaguardando l’autonomia della gestione ed il contatto diretto con il vertice. 2.3.1 I rapporti con l’internal auditing Il punto di partenza nell’analisi della relazione tra la funzione di conformità e la revisione interna risiede nell’assessment periodico: l’obiettivo e l’ampiezza delle attività della Compliance devono essere soggetti a revisione periodica da parte della funzione di Internal Audit29. Sottoposti a valutazione sono l’adeguatezza e l’efficacia dei presidi di conformità in essere, attraverso anche l’attuazione di test volti a verificare che i controlli siano consoni al livello di rischio percepito. Come conseguenza diretta è previsto che le funzioni in questione siano separate, altrimenti non potrebbe garantirsi un serio controllo sulla gestione del rischio in oggetto e che le rispettive competenze siano formalizzate in modo da circoscriverne gli ambiti ed evitare sovrapposizioni costose. La separatezza delle funzioni è giustificata anche dalla differente natura dei controlli che esse sono chiamate a mettere in atto: l’internal auditing è svolta attraverso valutazioni expost che mirano a quantificare la rischiosità delle diverse aree di attività – in particolare determinando la congruenza e l’efficacia di processi, procedure, sistemi e meccanismi di controllo –, mentre la Compliance si occupa del monitoraggio nel continuo delle misure esistenti 29 “The scope and the breadth of the activities of the compliance function should be subject to periodic review by the internal audit function”. Tratto da BASEL COMMITTEE ON BANKING SUPERVISION, Compliance and the compliance function in banks, 2005. 53 finalizzate alla mitigazione del rischio di non conformità e reputazionale, nell’ambito di controlli di secondo livello, anche attraverso un approccio ex-ante. Numerosi sono però i punti di contatto che prevedono un fitto scambio di informazioni tra le funzioni, così come previsto anche dalle Disposizioni di Vigilanza: “specifica attenzione è posta nell’articolazione dei flussi informativi tra le due funzioni; in particolare il responsabile della revisione interna informa il responsabile della conformità per le eventuali inefficienze nella gestione del rischio emerse nel corso delle attività di verifica di propria competenza”. Secondo un approccio pratico l’internal auditing provvede a trasmettere alla funzione di compliance le informazioni necessarie in merito all’adeguatezza dei controlli, all’efficacia dei provvedimenti adottati e più in generale riguardanti l’esposizione al rischio di mancata osservanza; ciò si attua attraverso la notifica periodica delle risultanze di procedure ispettive poste in essere sulle aree operative che rientrano nel perimetro di interesse della conformità, delle operazioni di follow up attuate e dei reclami riguardanti le attività prestate. Viceversa la Compliance rende nota alla revisione interna qualsiasi notizia riguardante violazioni rilevanti e rischiosità dei diversi processi. Detto rapporto di stretta collaborazione è attuabile anche investendo quest’ultima di specifiche operazioni riguardanti controlli di conformità, ma è necessario prestare attenzione al differente ruolo delle funzioni non dimenticando la difformità di origine. A tal fine lo scambio di notizie è attuato sulla base di “accordi di servizio” evitando così anche la sovrapposizione del perimetro di attività e degli oneri che ne deriverebbero. Allo scopo di meglio individuare le rispettive aree di competenza delle funzioni in questione viene di seguito presentata una tabella comparativa che riassume i principali compiti, suddivisi tra consulenza ed assurance secondo una ripartizione presente nella letteratura internazionale. Quest’ultimo termine identifica l’attività posta in essere per “assicurare la Direzione Aziendale sul sistema di gestione dei rischi ai quali l’organizzazione è esposta”30 avvalendosi di presidi di prevenzione e verifiche ex-post, mentre per consulenza si intende l’azione di sostegno destinata ad orientare i vertici aziendali e le altre strutture di cui si compone l’organizzazione, sviluppando nuovi assetti organizzativi e modificando i comportamenti operativi. 30 Cfr. AIIA – AICOM, Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competenza, 2008. 54 RUOLI E RESPONSABILITÀ PER L’INTERNAL AUDIT E PER LA FUNZIONE DI COMPLIANCE Ambiti Aziendali di Analisi Internal Audit Funzione di Compliance CONSULENZA Proporre iniziative per garantire che il processo/progetto sia coerente con gli obiettivi di business e di governo, nonché con la strategia aziendale. Assistere nell’individuazione delle azioni per il contenimento dei rischi entro i limiti di propensione stabiliti dall’azienda. Supportare ex-ante la configurazione dei processi operativi affinché risultino conformi con la normativa, al fine di prevenire/gestire il rischio di non conformità. Trasmettere e diffondere all’interno dell’organizzazione la cultura del “face value”. Verificare l’adeguatezza dell’assetto organizzativo e delle funzioni aziendali con riferimento al requisito del “buon funzionamento” in termini di dimensionamento, struttura, responsabilità, processi decisionali, modello di controllo, ecc. Proporre soluzioni organizzative che consentano l’individuazione univoca e formalizzata di compiti, responsabilità e riporti. Valutare l’efficacia del principio della “segregation of duties” per quelle attività che richiedono la segregazione delle responsabilità tra più risorse/funzioni. Valutare che il sistema delle deleghe e dei poteri rispecchi le direttive formulate dal CdA/Capogruppo. Valutare la coerenza tra i poteri delegati e la struttura gerarchica. Rilevare eventuali superamenti dei poteri attribuiti, individuare le cause, formulare adeguate proposte correttive. Verificare la conformità della struttura organizzativa e delle funzioni aziendali (in termini di compiti e di responsabilità) alla normativa di riferimento, anche a livello di Gruppo. Presidiare, gestire e monitorare i conflitti di interesse con riferimento a tutte le attività svolte nell’ambito della struttura organizzativa. ASSURANCE Modello di governance (assetto organizzativo) Sistema delle deleghe e dei poteri 55 Valutare l’allocazione di deleghe e poteri in modo tale da assicurare la conformità alle disposizioni normative (interne ed esterne) e il presidio dei conflitti di interesse emergenti dall’allocazione delle stesse, sia con riferimento alle risorse all’interno delle funzioni, sia con riferimento agli esponenti aziendali. RUOLI E RESPONSABILITÀ PER L’INTERNAL AUDIT E PER LA FUNZIONE DI COMPLIANCE Ambiti Aziendali di Analisi Sistema dei Controlli Interni Internal Audit Funzione di Compliance Valutare l’adeguatezza del sistema dei controlli interni sulla base di un piano di verifiche risk based. Relazionare in merito all’adeguatezza generale del sistema dei controlli interni e proporre aree di miglioramento con riferimento alle valutazioni complessive effettuate in fase di audit. Valutare il livello di adeguatezza delle metodologie di gestione del rischio con riferimento al presidio del rischio di compliance. Relazionare in merito all’adeguatezza dei presidi esistenti sui rischi di non conformità e proporre aree di miglioramento con riferimento alle valutazioni complessive emergenti dalle analisi effettuate. Valutare il modello di gestione del rischio di non conformità nonché l’aderenza alle specifiche normative degli altri modelli di gestione dei rischi adottati dall’azienda. Verificare nel continuo l’adeguatezza del modello di gestione del rischio di non conformità, con riferimento ai cambiamenti normativi che interessano l’intera organizzazione. Valutare nel continuo la conformità dei processi aziendali alla normativa vigente. Valutare in una visione sistematica l’adeguatezza dei modelli di gestione del rischio previsti dall’organizzazione. Modello di gestione del rischio Processi Procedure Verificare l’efficacia e l’efficienza dei processi aziendali, con specifico riferimento all’adeguatezza dei controlli di I e di II livello, al fine di assicurare il contenimento dei rischi aziendali entro il livello ritenuto accettabile dall’organizzazione. Valutare le procedure aziendali con l’obiettivo di assicurare il contenimento dei rischi attraverso la verifica dell’esistenza e dell’adeguatezza dei presidi di controllo di I e II livello. 56 Validare ex-ante le procedure organizzative in relazione al principio di conformità alla normativa di riferimento. Verificare nel continuo che le procedure aziendali assicurino l’ordinata e corretta prestazione dei servizi e la ricostruzione delle modalità operative in conformità alle normative interne ed esterne. RUOLI E RESPONSABILITÀ PER L’INTERNAL AUDIT E PER LA FUNZIONE DI COMPLIANCE Ambiti Aziendali di Analisi Internal Audit Funzione di Compliance Informativa e reporting Valutare nel suo complesso il sistema di reporting aziendale in termini di adeguatezza, di coerenza generale e di rispetto delle procedure interne. Valutare il reporting e l’informativa in termini di rispetto di contenuti e di tempistica in relazione alla normativa vigente. Tabella - fonte AIIA - AICOM, Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competenza, 2008. 2.3.2 La stretta collaborazione con la funzione di risk management Restando in tema di relazioni con gli altri organi, interessante è anche l’analisi dei rapporti intrattenuti con la funzione di risk management. In questo caso la medesima collocazione organizzativa – entrambe sono poste al secondo livello del sistema dei controlli interni – permette, oltre ad un fitto e continuo scambio di informazioni, una compenetrazione nelle rispettive aree di operatività senza generare conflitti come potrebbe accadere con la funzione Internal Audit. Il risk manager si colloca all’interno della struttura allo scopo di preservare l’istituto da ogni tipologia di rischio che possa ricondursi all’inadeguatezza o al mancato funzionamento delle procedure interne, oppure in connessione ad eventi esterni, compresi quelli di natura legale ed esclusi quelli reputazionali e strategici. È evidente come Compliance e Risk Management siano unite da una vocazione comune che le pone necessariamente in un rapporto di collaborazione reciproca, tanto da prevedere che al risk manager sia delegata l’attività di misurazione del rischio di conformità attraverso l’impiego di tecniche statistiche. Questo è possibile in virtù dell’attività di analisi quantitativa che è chiamato a svolgere insieme alla valutazione di adeguatezza patrimoniale. Il legame è ulteriormente rafforzato dall’eventualità che al gestore del rischio sia affidata anche la nomina di responsabile della compliance – compliance officer –, fungendo da trait d’union tra le funzioni. Da sottolineare è il flusso di informazioni condivise dagli addetti al rischio, che muovendosi bidirezionalmente portano a conoscenza della Compliance le stime di probabilità di accadimento ed impatto delle insidie reputazionali e di non conformità, le risultanze dei risk assessment condotti, i dati riguardanti la classificazione delle perdite operative e la congruità del capitale posto a copertura dei rischi di interesse. 57 Vengono invece destinate al risk manager le informazioni riguardanti le analisi di esposizione al pericolo di inadeguatezza derivante da nuove normative o attività intraprese dall’istituto, l’efficacia delle modifiche organizzativi e dei presidi posti a garanzia, l’adattamento agli indicatori di rischiosità e la valutazione di massima delle sanzioni derivanti dalla difformità alle norme. 2.3.3 Compliance e funzione legale Ulteriori rapporti rilevanti intrattenuti dalla Compliance sono quelli rivolti alla funzione legale, dalla quale trae un importante supporto per la propria attività. Ciò si concretizza in numerosi scambi informativi che hanno ad oggetto gli studi svolti sull’entrata in vigore di nuove norme o modifiche alle stesse comprese nell’area di interesse della conformità, nonché la considerazione del connesso sistema sanzionatori in grado di colpire l’entità. Inoltre vengono forniti pareri sull’interpretazione delle disposizioni integrati dagli orientamenti di dottrina e giurisprudenza. La funzione di compliance restituisce come output alla funzione legale le valutazioni di esposizione al compliance risk. Come è stato già accennato il concetto di corrispondenza alle norme deve penetrare in ogni area dell’organizzazione per creare una cultura “dell’agire corretto” e ciò deve manifestarsi con maggior evidenza nelle unità di linea dove è svolta l’attività dell’istituto e dove il rischio si genera. I vertici delle banche dovrebbero impegnarsi per promuovere nei soggetti il senso di appartenenza all’organizzazione, avendo cura di diffondere l’importanza dell’osservanza delle regole tramite un’efficace azione di comunicazione e nel contempo affermare il rispetto dei ruoli per mezzo di un equilibrato esercizio del potere. Risulta essere necessaria la collaborazione con i responsabili delle diverse aree operative al fine di attuare nel concreto i programmi predisposti, di promuovere comportamenti conformi e realizzare gli adeguamenti organizzativi. Il fronte dei controlli di primo livello è anche sottoposto dalla Compliance ad ispezioni per mezzo di interviste ai principali interlocutori, ma è anche possibile che venga formalizzato un rapporto continuo basato su scambi di dati. 58 Tale tipologia di reporting è in grado di fornire ai gestori della conformità la percezione immediata dell’effettiva applicazione dei presidi predisposti ed in base ai feedback ottenuti valutarne l’efficacia e le eventuali carenze. Dall’analisi delle molteplici relazioni è comprensibile come la Compliance sia inserita in una fitta rete informativa con le altre funzioni aziendali, rete che si estende dai vertici e raggiunge le unità operative a conferma che il rispetto della normativa e dei regolamenti interni interessa l’intero complesso degli istituti e non può essere confinato all’interno di una singola funzione che lo gestisca senza confrontarsi con i diversi ambiti. 2.4 Il modello accentrato ed il modello decentrato Proseguendo nell’analisi della struttura organizzativa risulta opportuno considerare in che modo la funzione di conformità sia inserita all’interno dell’organizzazione. È da precisare come sia le Disposizioni di Vigilanza che i principi del Comitato di Basilea non vincolino le banche all’adozione di un modello rigido e completamente definito, ma si limitino a fornire indicazioni di ampia applicazione, sempre nel rispetto del principio di proporzionalità. Il Comitato in particolare affronta la questione organizzativa badando alla gestione dei conflitti di interesse: al fine di salvaguardare l’indipendenza, è preferibile che gli addetti alla compliance si occupino esclusivamente delle tematiche connesse. Tuttavia è comprensibile come in piccole realtà la conformità sia gestita da diverse unità organizzative cumulativamente ai rispettivi compiti. In questi casi bisogna prestare particolare attenzione nella gestione dei rischi evitando che gli addetti alla compliance possano trovarsi in situazioni di conflitto di interesse. Per fare ciò è necessario stabilire un contatto diretto con il responsabile della Compliance prevedendo flussi informativi separati e organizzando il sistema premiante in modo che retribuzioni ed avanzamenti di carriera non dipendano dalle performance della funzione nella quale gli addetti sono inseriti. Ciò premesso le soluzioni organizzative adottate dagli istituti sono riconducibili a due impostazioni alternative: il modello accentrato ed il modello decentrato. L’adozione del modello accentrato prevede che l’azienda costituisca una funzione autonoma alla quale viene assegnato il preciso adempimento di gestione dei rischi di conformità e di reputazione, dotandola di personale in numero sufficiente i cui compiti sono esclusivamen- 59 te quelli attinenti alla conformità. Ad essa devono anche essere garantite risorse sufficienti allo svolgimento delle attività, nonché indipendenza, riconducendo la gestione dell’unità organizzativa ad un responsabile – head of compliance – con caratteristiche professionali ed individuali adeguate alla natura dell’incarico. Questa impostazione comporta per la banca il sostenimento di oneri piuttosto rilevanti data l’implementazione di una struttura complessa, che quindi meglio si adatta agli istituti di maggiori dimensioni ed ai gruppi bancari. L’accentramento dei presidi di conformità può infatti verificarsi sia a livello di singolo istituto, attraverso la creazione della funzione di compliance, sia a livello di gruppo per il raggiungimento di economie di scala e di una visione ampia del rispetto delle norme. In quest’ultima ipotesi è previsto che in ogni controllata sia nominato un responsabile di conformità come referente della struttura di gruppo. Con la costituzione di una funzione ad hoc si adotta un approccio più formale e rigido che necessita di essere inserito in una rete di scambi informativi con le altre aree aziendali, siano esse parte del Sistema dei Controlli Interni piuttosto che unità operative. Nonostante gli sforzi economici, organizzativi ed investimenti in risorse umane considerevoli, il modello accentrato restituisce il vantaggio di rappresentare una funzione specializzata nel preservare l’istituto dai rischi reputazionali e di non conformità, con una struttura interna che riporta ad un unico responsabile. Per quanto riguarda il modello decentrato esplicito richiamo è contenuto nelle Disposizioni di Vigilanza: “in relazione ai molteplici profili relazionali richiesti per l’espletamento di tali adempimenti, le varie fasi in cui si articola l’attività della funzione di conformità possono essere affidate a strutture organizzative diverse già presenti nella banca (es. legale, organizzazione, gestione del rischio operativo), purché il processo di gestione del rischio e l’operatività della funzione siano ricondotti ad unità mediante la nomina di un responsabile che coordini e sovraintenda alle diverse attività, anche attraverso la predisposizione di un apposito programma di attività”. Seguendo un’impostazione già adottata dal Comitato di Basilea si è prevista la possibilità per le aziende di credito di dotarsi di una funzione di compliance più “snella” e meno formalizzata al fine di ottenere un risparmio di costi. I compiti che fanno capo alla Compliance possono suddividersi in una fase attiva di prevenzione dei rischi attraverso l’analisi delle normative interne ed esterne, la proposta di modifiche organizzative e la diffusione di conoscenze attraverso la formazione ed una fase di 60 controlli ex post per la verifica nel concreto del rispetto delle politiche di prevenzione e dell’efficacia dei presidi adottati. Per quanto riguarda la prima tipologia di attività Banca d’Italia ha previsto che questi compiti possano essere delegati ad altre funzioni già esistenti in azienda data l’affinità degli interventi di cui sono assegnatarie; si tratta della funzione legale e di quella organizzativa. Ad esse spetterà l’identificazione delle norme applicabili all’azienda, la consulenza destinata agli organi di vertice, la formulazione di adeguamenti organizzativi, la formazione e l’assistenza per una corretta applicazione delle norme e più in generale le attività spettanti alla Compliance. I controlli invece saranno posti in capo alle funzioni di Revisione Interna e di Risk Management. È opportuno precisare che l’internal auditor non può essere destinatario di compiti di conformità e le rispettive funzioni devono mantenere un sufficiente grado di separazione, tuttavia è ritenuto ammissibile31 che alla funzione di Revisione Interna siano affidate operazioni di controllo spettanti alla Compliance. Ciò risulta possibile in quanto l’Internal Audit svolge abitualmente controlli ex post; è però necessario ricordare che si tratta di funzioni poste a livelli differenti all’interno del Sistema dei Controlli Interni. Per questo motivo l’attribuzione dei compiti di controllo di pertinenza della funzione di conformità deve essere attentamente gestita e formalizzata attraverso accordi di servizio, allo scopo di non creare confusione tra i rispettivi ambiti di operatività. Più agevole risulta la delega delle fasi di controllo alla funzione di Risk Management, sia per la collocazione all’interno del sistema dei controlli – al II livello come per la Compliance – ed anche per la vicinanza dei compiti svolti dalle funzioni. Così come accade per il modello accentrato, anche nel modello decentrato è previsto che la gestione del rischio di non conformità debba essere ricondotta al compliance officer al quale spetta il compito impegnativo di coordinare le attività di conformità delegate alle diverse aree aziendali. Si tratta del riferimento a cui gli addetti dislocati nelle varie aree devono rivolgersi in ambito di osservanza ed alle cui disposizioni devono sottostare. 31 Nel documento congiuntamente emanato da AIIA ed AICOM rubricato “Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competenza” si precisa che “[…] al fine di evitare sia inefficienti sovrapposizioni di ruoli con l’Internal Audit, che rischi di eccessivo dimensionamento della struttura, appare percorribile la soluzione di formalizzare specifici accordi di servizio tra le due Funzioni, in particolare con riferimento alle attività di verifica”, riportando in nota che “L’attribuzione all’Audit da parte della Compliance di attività di verifica di conformità, per suo conto, configurano, limitatamente a quella specifica area di intervento, lo svolgimento per la funzione di Audit di controlli di secondo livello”. 61 I soggetti delegati presentano dunque una duplice soggezione: quella derivante dal responsabile della funzione nella quale sono inseriti e quella dell’head of compliance esclusivamente per questioni attinenti all’aderenza alle normative. È qui che il modello decentrato incontra le maggiori difficoltà di applicazione; se da un lato l’attrattiva dell’abbattimento dei costi e la snellezza della funzione rappresentano gli elementi vincenti, dall’altro l’istituto deve necessariamente dotarsi di regole opportunamente formalizzate in accordi di servizio che possano garantire la corretta funzionalità. Ciò è possibile solo attraverso il riconoscimento del ruolo del responsabile della compliance da parte dei soggetti delegati inseriti nelle diverse aree, i quali devono altresì essere in grado di gestire il doppio binario di riporto e possedere un forte senso dell’organizzazione. Ciò deve valere anche per il responsabile di funzione, il quale deve garantire l’autorevolezza del compliance officer ed attivarsi al fine di rimuovere ostacoli ed incomprensioni. La costituzione di un network compreso e riconosciuto dall’intera organizzazione risulta essere il requisito basilare per la creazione di un solido modello decentrato di Compliance. 2.5 Il responsabile della Compliance Nell’implementazione del sistema di compliance ogni banca deve dotarsi di un respon- sabile della funzione – compliance officer o head of compliance32 – deputato al coordinamento dell’attività di salvaguardia dai rischi, al quale fanno riferimento gli addetti disposti nelle diverse aree aziendali o inseriti in staff nella funzione dedicata. Il Consiglio di Amministrazione, previo parere del Collegio Sindacale, provvede alla nomina del responsabile della Compliance secondo una disposizione che non contempla la facoltà di delega ad altri soggetti, inoltre lo stesso organo deve essere informato anche della sostituzione e della presentazione di dimissioni da parte del responsabile. Similmente accade per gli istituti di credito operanti in campo internazionale dove il responsabile locale deve essere informato tempestivamente delle variazioni che interessano l’head of compliance relativo alla propria divisione. 32 In mertio alla terminologia utilizzata per definire il responsabile di compliance, il Comitato di Basilea in “Compliance and the compliance function in banks” precisa in una nota a pag. 11 che “in some banks, the head of compliance has the title “compliance officer”, while in other the title “compliance officer” denote a staff member carrying out specific compliance responsabilities”. Per questo motivo appare più adatto l’utilizzo del termine “Head of Compliance” in grado di portare ad una identificazione univoca del responsabile. 62 La nomina deve anche essere portata a conoscenza di Banca d’Italia, così come la revoca e le dimissioni33. Possono essere investiti della carica solo coloro che possiedono congiuntamente i requisiti fondamentali di indipendenza, autorevolezza e professionalità. Quanto al primo è importante sottolineare che al responsabile deve essere garantita la massima libertà nell’organizzare la funzione alla quale sovraintende e l’adeguata autonomia nel prendere le proprie decisioni, collaborando attivamente con i vertici nella scelta del modello da adottare. Ma l’indipendenza è soprattutto un concetto strettamente connesso al posizionamento gerarchico, infatti è disposto che qualora la nomina riguardasse un soggetto impegnato in amministrazione, egli non dovrebbe essere destinatario di deleghe, se invece fosse investito un esponente della dirigenza, quest’ultimo non dovrebbe essere coinvolto in aree operative né essere subordinato a responsabili di aree operative. L’indipendenza riguarda anche la facoltà di poter comunicare direttamente con gli organi amministrativi attraverso un canale non mediato dal riporto gerarchico ad altri soggetti, stabilendo un rapporto libero con il principale interlocutore della Compliance. In particolare è da precisare che qualora l’head of compliance fosse collocato in staff al Direttore Generale, dovrebbe – in ogni caso – essergli garantita la possibilità di comunicare direttamente con il Consiglio di Amministrazione senza l’interferenza del Direttore Generale. Soffermandosi sempre sulla prima caratteristica le Disposizioni di Vigilanza prevedono esplicitamente che non possa essere nominato responsabile della Compliance il capo della Revisione Interna, confermando la netta distinzione della due funzioni. Infine il principio di proporzionalità vuole che anche soggetti diversi dai precedenti possano ricoprire la carica, purché adeguatamente dotati delle caratteristiche necessarie. L’head of compliance, per poter svolgere il proprio compito, deve essere dotato dell’autorevolezza necessaria che discende sia dall’adeguata conoscenza dei temi, sia dalle capacità personali del soggetto nominato. Il responsabile ha la necessità di diffondere all’interno dell’istituto la cultura dell’osservanza delle norme per poter essere univocamente riconosciuto come una figura di autorità ed essere in grado di comunicare l’importanza dell’agire conformemente. 33 Le dimissioni non vengono specificamente contemplate ma fonte autorevole ritiene logicamente necessaria anche questa eventualità. 63 In quest’opera deve essere adeguatamente supportato dall’alta direzione la quale deve favorire la diffusione della cultura di conformità ed il riconoscimento dell’importanza del ruolo del responsabile deputato a gestirla. La redazione di un mandato che preveda la chiara indicazione dei compiti e delle responsabilità spettanti al capo della compliance è un utile strumento per favorirne l’autorevolezza. Da ultimo il requisito della professionalità richiede all’head of compliance di essere in possesso di un adeguato bagaglio di conoscenze nei campi di interesse, maturato attraverso anni di esperienza nell’ambito dei controlli interni negli istituti di credito. In particolare deve aver acquisito capacità in ambito legale – poiché la compliance trova la propria raison d’être nelle norme e nei regolamenti interni –, deve possedere “l’anima” del controllore ed inoltre è chiamato ad organizzare la funzione attraverso un approccio manageriale. La Compliance infatti è lungi dall’essere un organismo preposto all’ispezione attraverso controlli successivi, ma anzi svolge una funzione attiva di primaria importanza volta alla prevenzione del rischio di non conformità. Nel fare ciò il responsabile deve relazionarsi con l’alta direzione suggerendo le adeguate modifiche organizzative necessarie, lavorare a stretto contatto con le altre funzioni preposte al controllo attraverso un fitto scambio di informazioni e comunicare con le unità di linea per poter identificare le eventuali carenze del sistema, infine ottenere riscontro dall’attuazione dei piani d’azione. Attraverso un concetto molto efficace Dellarosa precisa che “il Responsabile della compliance deve essere visto come la “coscienza aziendale” e non come “l’anima nera della banca”. Il suo obiettivo non è la mera segnalazione dei gap rispetto alle normative con i modi dell’inquisitore, bensì la progettazione di modifiche organizzative necessarie per l’adeguamento, studiate con la consapevolezza di chi conosce in profondità l’azienda e con essa le criticità di carattere operativo e di governo”34. Appare chiaro come il responsabile della compliance debba possedere capacità relazionali e comunicative unite ad una visione tipica manageriale, oltre a padroneggiare le conoscenze necessarie per l’assolvimento dei compiti di conformità attraverso la gestione di una funzione preposta a tale scopo. 34 Tratto da E. Dellarosa – R. Razzante, “Il nuovo sistema dei controlli interni della banca”, Franco Angeli, 2010. 64 3. L’ASPETTO FUNZIONALE ED IL PROCESSO DI COMPLIANCE Il concetto di conformità non è una novità per gli istituti di credito, che anche prima del- la pubblicazione delle disposizioni sul tema operavano nel rispetto delle norme e dei regolamenti ai quali erano assoggettati. Tuttavia la crescente complessità e specificità delle disposizioni hanno reso necessaria l’istituzione di una funzione appositamente predisposta per il recepimento degli obblighi, in grado di occuparsi dell’adeguamento organizzativo e della promozione della cultura di legalità all’interno degli intermediari. La risposta a queste necessità si è avuta con la previsione della funzione Compliance e la formalizzazione delle responsabilità ad essa attribuite, individuate da Banca d’Italia nelle Disposizioni di Vigilanza sulla materia. Gli adempimenti che la funzione di conformità è chiamata ad assolvere sono: l’identificazione nel continuo delle norme a cui gli istituti sono assoggettati e la misurazione/valutazione dell’impatto su processi e procedure aziendali; la proposta di modifiche organizzative e procedurali allo scopo di costituire un adeguato presidio dei rischi di non conformità identificati; la predisposizione di flussi informativi destinati agli altri organi aziendali ed alle strutture coinvolte dalle normative (gestione del rischio operativo e revisione interna); la verifica continua dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) proposti, al fine di prevenire il rischio di conformità. Le istituzioni bancarie assolvono questi ed altri compiti, nello svolgimento della propria attività di salvaguardia dai rischi reputazionali e di conformità, attraverso una serie di operazioni che complessivamente considerate formano il processo di conformità. Il punto di partenza è l’individuazione delle norme che interessano l’istituto, comprese quelle di autoregolamentazione delle quali si è dotato in completa autonomia secondo il modello culturale prescelto e che intende perseguire. Muovendo da questa analisi la banca mira ad avvicinare la propria struttura organizzativa, il proprio modo di operare e la propria percezione negli interlocutori ad un’impostazione ritenuta espressione ottimale dell’agire. Nel fare ciò la funzione Compliance si avvale degli 65 strumenti sviluppati, in linea con le metodologie operative delle altre funzioni preposte al presidio dei rischi che minacciano l’operatività dell’istituto. A ciò si devono aggiungere le altre attività svolte che comprendono la consulenza agli organi di vertice attraverso il suggerimento di modifiche organizzative, la formulazione di pareri sugli interventi da porre in essere e la creazione di una cultura “dell’agire conformemente” anche attraverso attività di formazione e sensibilizzazione del personale. 3.1 Il ruolo della funzione Compliance nel processo di conformità Il processo di conformità che interessa gli istituti di credito trae la propria origine dalla necessità di adeguamento dell’assetto aziendale all’evoluzione della normativa alla quale è sottoposto, ma anche ai provvedimenti – interni e non – volontariamente adottati. Questo procedimento coinvolge più ambiti del Sistema dei Controlli Interni e proprio per questo è definito con il termine “trasversale”, ma la gestione ed il coordinamento è posto in capo alla funzione di compliance quale unico referente dell’alta direzione. Ciò che interessa ai fini dell’analisi fin qui svolta è tratteggiare il ruolo che essa svolge nel suddetto processo, avendo sempre come riferimento gli adempimenti individuati da Banca d’Italia nelle Disposizioni di Vigilanza. Il processo di conformità prende avvio dallo studio nel continuo della normativa esterna. Le banche nello svolgimento delle proprie attività sono sottoposte ad un numero elevato di disposizioni normative di varia natura, le quali sono interessate da una continua evoluzione e da un elevato tasso tecnico35. Proprio per questo motivo, oltre alle conoscenze in materie giuridiche, risulta prezioso il supporto fornito dalle aree operative che si occupano di svolgere le attività richiamate dalle norme in questione, essendo in grado di dipanare le problematiche connesse ai tecnicismi della materia. In questa fase la Compliance è chiamata ad identificare le disposizioni applicabili nello specifico all’istituto in cui è inserita – e se del caso anche al gruppo – occupandosi del monitoraggio dell’evoluzione delle disposizioni a cui già soggiace. 35 In merito al perimetro normativo che interessa gli istituti di credito si rimanda allo specifico paragrafo 3.3 L’ambito normativo di interesse. 66 Inoltre è richiesto che la funzione di conformità si adoperi nel ricercare il significato della norma non limitandosi alla lettera, ma indagando lo spirito che la sostiene e valutandone le modalità di applicazione al caso concreto in modo da riscontrare l’eventuale gap esistente. Al fine di coadiuvarsi con le altre funzioni aziendali coinvolte in questa fase è necessaria la progettazione di adeguati punti di contatto che favoriscano la comunicazione ed il supporto. Il passo successivo allo studio della normativa è la gap analisys: una volta individuate le disposizioni che interessano l’attività bancaria è necessario valutare la distanza che intercorre tra la best practice da queste prevista e l’attuale situazione dell’istituto. Indicata anche come analisi di impatto, mira a compiere una valutazione ex ante degli effetti negativi che possono scaturire dai disallineamenti riscontrati, quali perdite reputazionali o oneri da sanzioni e controversie legali. La Compliance è chiamata in questa fase alla valutazione a priori del sistema dei presidi in essere in modo da avere piena cognizione della reale situazione; ciò permette di valutare – attraverso una proiezione – quale sia l’impatto dei deficit aziendali, ma anche in quali aree si dovranno concentrare le azioni correttive in seguito all’introduzione di nuove attività o di nuovi servizi che sarà intenzionata a prestare. Nel fare ciò la funzione di conformità concorre alla misurazione del compliance risk, che si svolge secondo le modalità meglio specificate nel successivo paragrafo, inoltre valuta l’adeguatezza patrimoniale in riferimento all’esposizione ai rischi ed infine tiene conto nelle proprie analisi degli indicatori di rischio. La fase termina con la redazione di un documento che elenca le evidenze risultanti. Al fine di porre rimedio alle mancanze riscontrate nei presidi di rischio attraverso la fase precedente, le Disposizioni di Vigilanza richiedono che la Compliance fornisca idoneo supporto al management nella formulazione di modifiche organizzative. Si tratta di un ulteriore avanzamento nello svolgimento del processo di conformità che mira a colmare le lacune attraverso l’attività di revisione organizzativa: in altri termini vengono poste in essere tutte le operazioni necessarie ad allineare la struttura aziendale alle disposizioni cogenti attraverso il recepimento di nuove normative, attività di formazione ed aggiornamento del personale, cambiamenti nelle politiche commerciali ed adeguamento dei processi operativi e dei sistemi informatici. 67 È attraverso questa azione che la funzione di compliance svolge un ruolo che la letteratura definisce “proattivo”, travalicando gli aspetti del mero controllo. Oltre ai provvedimenti citati a titolo esemplificativo lo scopo è quello di un adeguamento generale della struttura, perciò verranno posti in essere tutti gli interventi necessari per colmare i gap riscontrati. Quanto esposto finora illustra come la funzione Compliance sia chiamata ad attuare azioni diversificate nello svolgimento dei propri compiti, in particolare come essa si adoperi attraverso controlli ex ante. Questi ultimi vengono anche individuati con la terminologia di “controlli a norma” poiché il fine per il quale vengono attuati è la valutazione dello scostamento che intercorre tra la corretta applicazione e la situazione esistente. I controlli a norma sono posti in essere quando l’istituto amplia il proprio business mettendo a disposizioni del pubblico nuovi servizi soggetti a specifiche disposizioni, ma accade anche con l’emanazione di nuove disposizioni che interessano una situazione già configurata all’interno dell’azienda (es. introduzione delle nuove disposizioni in materia di prevenzione del riciclaggio). Impronta differente hanno i controlli ex post che vengono attuati nel momento successivo all’introduzione dei presidi di prevenzione del rischio, con il preciso obiettivo di verificarne l’efficacia e la “presa” che essi hanno sulle aree coinvolte, tipicamente refrattarie al cambiamento. Secondo questa impostazione la funzione, oltre a ricoprire il ruolo di progettista, stimola l’adeguamento al cambiamento degli ambiti interessati, nella consapevolezza della certezza dei controlli. La concentrazione del follow up degli interventi in capo allo stesso soggetto chiamato a predisporli, potrebbe portare alla negazione stessa del concetto di controllo se si ignorasse il contesto nel quale si svolgono le attività. Infatti queste sono inserite nel processo di conformità al quale partecipano le altre funzioni titolate al controllo e comunque l’azione proattiva della Compliance si materializza in supporto e suggerimenti alla definizione dei piani di adeguamento, ma non nella loro effettiva implementazione. Nonostante la delicatezza con la quale è necessario approcciare questa attività non sembra però proibitiva una concentrazione posta nei termini indicati. Una volta implementati gli adeguamenti necessari il processo di conformità trova la propria realizzazione nell’aggiornamento delle disposizioni interne – la cui importanza è an68 data crescendo fino a prevederne l’obbligo attraverso le disposizioni del Regolamento congiunto di Banca d’Italia e Consob – e la predisposizione di programmi di formazione e supporto al personale delle strutture coinvolte nei cambiamenti. Su quest’ultimo punto in particolare la Compliance, in coordinamento con la funzione di gestione delle risorse umane programma interventi volti a diffondere la conoscenza “dell’agire corretto” tra le unità operative, contribuendo a divulgare la cultura della conformità. L’assistenza al personale può anche concretizzarsi attraverso un contatto diretto con la funzione alla quale potranno essere richiesti chiarimenti su argomenti specifici delineando un rapporto di consulenza. Si tratta quest’ultima di una specifica previsione contenuta nelle Disposizioni di Vigilanza che sottolinea la necessità di collaborazione e supporto ai diversi organi aziendali, poiché agire secondo legge deve essere l’obiettivo dell’intera organizzazione e non un mero adempimento della funzione ad esso titolata. 3.2 Gli ulteriori adempimenti Mentre il processo di conformità si esaurisce con la diffusione all’interno dell’organizzazione dei cambiamenti necessari al mantenimento di un corretto modo di operare, i compiti di cui la funzione Compliance è assegnataria prevedono ulteriormente la verifica del sistema premiante e l’eliminazione dei conflitti di interesse. Quanto al primo punto è necessario considerare che le imprese adottano un sistema di incentivazione destinato al proprio personale inserito in determinate aree operative o rispondente a certe caratteristiche allo scopo di premiare il raggiungimento di livelli di prestazione prestabiliti. Il riconoscimento ai dipendenti dei maggiori sforzi intrapresi è sicuramente un modo efficace per aumentare la redditività del complesso dell’impresa bancaria, ma è importante che ciò avvenga secondo efficienza, cioè che non si realizzi a discapito della qualità dei servizi resi o in conseguenza di un’osservanza meno rigorosa delle disposizioni. È facile cadere in tentazione quando la promessa di avanzamenti di carriera o di extra profitti eccedenti le normali retribuzioni possono essere facilmente ottenuti attraverso comportamenti non conformi da parte del singolo. 69 Il ruolo giocato dalla Compliance nel presidiare questo genere di rischi è cruciale: spetta ad essa il compito di mantenere l’equilibrio tra prestazioni e conformità sviluppando adeguate procedure in grado di punire comportamenti poco virtuosi che possano danneggiare l’immagine dell’istituto. In questo contesto si inserisce anche la tutela dell’agire etico assunto attraverso la responsabilità sociale dell’impresa36. Infine in secondo punto richiede alla Compliance di prevenire e gestire i conflitti di interesse che si possono verificare. La ratio sta negli effetti dannosi che potrebbero scaturire come conseguenza del mancato rispetto del principio di separatezza il quale prevede la segregazione delle attività operative e quelle di presidio. Tuttavia la necessità della certezza dei controlli è ugualmente conciliabile con il principio di proporzionalità, attraverso un’applicazione meno rigorosa che tenga conto delle necessità dell’organizzazione. 3.3 Il compliance risk assessment Nel paragrafo precedente è stato illustrato come la funzione di compliance si inserisce all’interno del processo di conformità – la cui ampiezza in termini di adempimenti è maggiore del perimetro della funzione stessa e per questo coinvolge più unità titolate al controllo – in esecuzione delle attività che le Disposizioni di Vigilanza hanno previsto per essa. All’intero del processo di compliance la funzione di conformità è chiamata alla quantificazione del rischio di inosservanza delle norme e di perdita di reputazione. Ciò avviene con l’attività di risk assessment, attraverso la quale si determina l’ammontare del rischio attribuendolo ad una scala di valori, sulla base delle caratteristiche dello stesso. Si tratta dunque di un’analisi bidimensionale che considera aspetti quantitativi e qualitativi delle insidie e fornisce una rappresentazione misurabile dei disallineamenti presenti nell’istituto. Il processo di misurazione ha inizio con la fase di valutazione dei rischi così detti “lordi”, cioè la determinazione dell’impatto che essi potrebbero comportare sull’istituto nello spe36 La Commissione Europea nel Libro Verde la definisce come “l’integrazione volontaria delle preoccupazioni sociali ed ecologiche delle imprese nelle loro operazioni commerciali e nei loro rapporti con le parti interessate”. 70 cifico, a prescindere dell’esistenza e dall’efficacia dei presidi posti in essere per la sua mitigazione. Una volta individuate le disposizioni ed i rischi ad esse connessi – fase di preassessment – questi ultimi vengono valutati tenendo conto di due dimensioni: l’impatto negativo che le criticità possono comportare e la frequenza con la quale possono manifestarsi. La combinazione di questi elementi, guidata dall’esperienza e dal giudizio degli addetti alla compliance, porta alla determinazione del risk scoring – attraverso il quale è possibile attribuire una valutazione alle manifestazioni negative – e successivamente all’inserimento dei valori nella matrice di rischio, in modo da realizzare una mappatura completa della valutazione delle criticità aziendali. Una precisazione richiede la quantificazione del rischio reputazionale, più difficilmente determinabile in relazione alle caratteristiche intrinseche di incertezza e carenza di oggettività. L’approccio utilizzato si basa soprattutto sull’esperienza passata e sulle valutazioni dell’azienda che i diversi stakeholder forniscono attraverso le loro manifestazioni nei confronti della stessa. La problematica di più difficile trattazione riguarda la creazione di indicatori basati sulle esperienze dei diversi interlocutori, tenendo conto della forza delle relazioni intrattenute, le quali verranno poi pesate attraverso la variabile impatto come per le altre tipologie di rischio. Terminata l’attività di risk scoring, la valutazione si rivolge ai presidi di prevenzione e mitigazione del rischio che risultano già operativi all’interno dell’organizzazione, al fine di poterli ricondurre ad un giudizio confrontabile con le valutazioni dei rischi inerenti. Gli elementi che possono essere considerati riguardano la sussistenza dei controlli unita alla loro portata e qualità, il grado di preparazione e la frequenza di aggiornamento degli addetti, la presenza di automatismi nella gestione dei rischi ed il grado di centralizzazione dei rischi. Attraverso il passaggio in questa fase – concettualmente molto simile alla precedente – è possibile ottenere la misurazione del rischio netto dato dalla differenza tra i rischi inerenti ed i relativi presidi in essere: il risultato indica se ed in quale misura via stato un abbattimento e l’ammontare delle insidie ancora presenti. Sulla base delle risultanze l’istituto può stabilire una soglia di tolleranza all’interno della quale decidere di accettare le possibili conseguenze negative senza programmare nuovi interventi (ciò si verifica a seguito di analisi capillari sui residui quando, ad esempio, i costi per 71 lo sviluppo di nuovi metodi di prevenzione risultano essere sproporzionati rispetto ai benefici che ne possono derivare) ed oltre la quale prevedere azioni di mitigazione. I risultati netti riguardanti i singoli rischi possono essere tra loro aggregati secondo un oggetto di riferimento per giungere alla determinazione di un rischio medio, tuttavia la perdita di informazioni che ne deriva potrebbe celare insidie meritevoli di particolari attenzioni. Stabilita la soglia di tolleranza la funzione di compliance, in accordo con le altre funzioni di controllo interno stabilisce le priorità degli interventi da attuare prendendo in considerazione i risultati dei risk scoring netti. Questo momento prevede una forte integrazione all’interno del Sistema dei Controlli Interni allo scopo di raggiungere un risultato coerente con le esigenze dell’organizzazione. Al termine della fase viene redatto un piano contenete i provvedimenti correttivi ordinati per priorità che sarà sottoposto all’attenzione dell’alta direzione, titolata ad attuare le modifiche di adeguamento. L’ordinamento per priorità che scaturisce dalla quantificazione dei gap funge quindi da riferimento, da supporto alle analisi degli organi titolari delle attività di controllo, sottolineando la natura strumentale del processo di risk assessment. Una volta che gli adeguamenti sono stati messi in atto la fase conclusiva prevede che venga realizzata una revisione per valutarne l’efficacia. Anche in questo caso, si tratta di una fase di scoring dei presidi di prevenzione del rischio, ma si differenzia dall’analisi preventiva poiché non è volta a verificarne l’adeguatezza sulla base di quanto già esistente ma si preoccupa di valutare l’efficacia delle modifiche apportate per la prevenzione del rischio. La valutazione misura le performances dei nuovi presidi attuati e viene successivamente confrontata con i precedenti risultati dei rischi residui al fine di determinare se ed in quale misura siano presenti ulteriori deficit nei controlli, in considerazione della soglia di tolleranza precedentemente stabilita. Questa fase di valutazione successiva, che può coinvolgere anche le funzioni di Internal Audit e Risk Management, può comportare l’attuazione di ulteriori adeguamenti alla gestione delle criticità qualora l’efficacia non risulti ancora sufficiente ad assicurare un livello di rischio ritenuto accettabile per l’organizzazione. È possibile cogliere quindi in quale modo il processo di compliance risk assessment preveda il coinvolgimento di diverse funzioni deputate al controllo interno, come supporto al72 le analisi del rischio condotte dalla funzione Compliance, ma anche al fine di creare un coordinamento tra organi allo scopo di prevenire tutti i rischi aziendali secondo un approccio ragionato e condiviso. Infine la valutazione dei presidi contribuisce all’accettazione dell’agire a norma ed a rafforzare la cultura del rispetto delle regole nella realizzazione dei business. 3.4 L’ambito normativo di interesse Allo scopo di completare l’analisi – seppur sintetica – della funzione di conformità ap- pare rilevante circoscriverne l’ambito di operatività all’interno del perimetro normativo rilevante per l’istituto. È utile premettere che la Compliance non è interessata da tutte le norme applicate ed applicabili, ma considera le disposizioni secondo l’ottica dei controlli di secondo livello. Le Disposizioni di Vigilanza emesse da Banca d’Italia prevedono esplicitamente che “in via generale, le norme più rilevanti ai fini del rischio di non conformità sono quelle che riguardano l’esercizio dell’attività di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore”37. In prima analisi è possibile distinguere le disposizioni in due categorie sulla base della rilevanza che esse assumono per l’attività dell’istituto: abbiamo quindi il perimetro normativo core che comprende i dettami fondamentali per l’impresa bancaria e rappresenta lo spazio minimo all’interno del quale la funzione deve attivarsi. Ad esso si aggiungono gli altri riferimenti che i singoli istituti possono decidere di attribuire alla Compliance tenendo conto delle peculiarità e dell’evoluzione dei servizi resi. Rientrano necessariamente nell’area core le disposizioni contenute nel Testo Unico Bancario (TUB) e nelle Istruzioni di Vigilanza, ciò per il semplice fatto che l’impresa che esercita l’attività bancaria è vincolata a queste norme in virtù della natura dei servizi prestati. Alle precedenti fonti è possibile affiancare il Testo Unico sulla Finanza (TUF) e la disciplina di attuazione della direttiva MiFID che riguardano la prestazioni di servizi di investimento, poiché la quasi totalità delle banche annovera tra le proprie attività anche l’offerta al 37 Si è volutamente deciso di escludere dall’analisi le norme di autoregolamentazione che – seppur rappresentabili attraverso alcune esemplificazioni più o meno comuni agli istituti, almeno nelle linee essenziali – esse costituiscono un argomento molto vasto e sono caratterizzate da numerose peculiarità. 73 pubblico di strumenti finanziari, ponendosi come intermediario tra soggetti emittenti e soggetti sottoscrittori. Banca d’Italia fa riferimento esplicito ad ulteriori ambiti che la funzione di conformità deve presidiare. Si tratta di: norme sullo svolgimento delle operazioni e dei servizi bancari e di pagamento; disciplina di vigilanza prudenziale; norme di prevenzione e contrasto del riciclaggio ed antiusura. In particolare rientrano nel perimetro le direttive della Commissione Europea in materia di servizi di pagamento – “Payment Services Directive” –, le disposizioni generali di Banca d’Italia rubricate “Trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti”, le “Nuove disposizioni di vigilanza prudenziale per le banche”, nonché le previsioni in materia di antiriciclaggio. È necessario precisare che quest’ultimo tema verrà ampiamente analizzato nei capitoli successivi, limitando le considerazioni di questo paragrafo al richiamo del Decreto Legislativo 21 novembre 2007, n. 231. Prendendo ora in considerazione le norme non core è opportuno considerare che queste ultime sono attribuite alla competenza della Compliance nella fase di definizione del rispettivo perimetro da parte dell’organo di governo. Sono in esso comprese le disposizioni che riguardano le peculiarità dell’attività prestata, oppure quelle volontariamente inserite. È importante in questa fase richiamare il concetto di proporzionalità, evitando di sovraccaricare le neonate funzioni di conformità affidando loro il monitoraggio omnicomprensivo delle normative. La best practice vuole che alla Compliance siano affidati compiti in maniera graduale, estendendo il perimetro di pari passo con la complessità dell’istituto, evitando strutture articolate ed onerose, sproporzionate rispetto alle esigenze. A titolo esemplificativo possono rientrare nell’ambito di interesse le norme sulla responsabilità amministrativa degli enti, sulla privacy, sulla salute e sicurezza dei lavoratori e le disposizioni fiscali. 74 3.4.1 La compliance al D.Lgs. n. 231/2001 Un approfondimento meritano le previsioni in materia di responsabilità amministrativa degli enti contenute nel D.Lgs n. 231/2001, le quali dispongono che possano essere attribuite forme di responsabilità agli enti38 nel cui interesse o vantaggio i soggetti in posizioni di vertice, o altri soggetti direttamente sottoposti alla vigilanza di questi ultimi, hanno agito in commissione di un reato. Rimandando alla lettura del testo normativo per ciò che concerne gli aspetti sanzionatori, è mia premura concentrarmi sugli aspetti organizzativi che l’osservanza del testo impone. È infatti stabilito all’art. 6, comma 1 che “l'ente non risponde se prova che: a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell'organismo di cui alla lettera b)”. A tal proposito, salvo che l’ente risulti essere di piccole dimensioni giustificando l’attribuzione dei compiti all’organo dirigente39, l’Associazione Bancaria Italiana suggerisce la predisposizione di alcune impostazioni organizzative differenti sulla base delle seguenti caratteristiche: compiti: l’organismo è chiamato a vigilare sul funzionamento e l’osservanza dei modelli ed a curare il loro aggiornamento; poteri: nel raggiungimento dei propri obiettivi l’organismo deve essere dotato di un budget sufficiente per operare in autonomia, deve poter colloquiare liberamente con i vertici della banca e possedere poteri di acquisizione delle informazioni, inoltre essere il punto di riferimento all’interno dell’istituto per l’accertamento dei comportamenti e la proposta di sanzioni; requisiti: l’organismo deve essere dotato di autonomi poteri di iniziativa e controllo e personale adeguato in numero e caratteristiche. 38 Il termine volutamente generico del testo normativo comprende i soggetti dotati di personalità giuridica, nonché le società e le associazioni prive di personalità giuridica. 39 Anche se ciò non appare particolarmente idoneo per gli istituti di credito di limitate dimensioni per i quali sembrerebbe più opportuna la costituzione di un organo monocratico. 75 Alla luce di quanto richiesto è da escludere l’attribuzione di detti compiti al Collegio Sindacale il quale manca dell’adeguata autonomia nei poteri di iniziativa e controllo così come accade per altre funzioni interne gerarchicamente subordinate (ad esempio la funzione legale), inoltre appare inopportuna l’ipotesi di attribuzione dell’attività di presidio ad organismi esterni all’istituto come le società di revisione. La best practice di ABI prevede quindi che i compiti derivanti dalla normativa 231/2001 possano essere attribuiti: ad una funzione ad hoc costituita sia da professionalità interne alla banca (come legali, esperti contabili, di gestione del personale, di controllo interno nonché, ad esempio, un membro del Collegio Sindacale) che esterne ad essa (consulenti, esperti di revisione, ecc.), con la presenza di uno o più amministratori non esecutivi (o indipendenti) che diano garanzia di effettività sul controllo dell’alta amministrazione e di omogeneità di indirizzo; alla funzione di internal auditing che, eventualmente integrata nei poteri e nella composizione, può risultare adeguata ai compiti che il legislatore attribuisce all’organismo di controllo; ad un organismo composto da soli amministratori non esecutivi o indipendenti, secondo il modello, già noto alle banche quotate, del comitato di audit. Sembra essere preferibile quindi la scelta di attribuzione dei compiti ad una funzione indipendente come la Compliance, la quale occupandosi di compiti di conformità presenta un approccio idoneo a presidiare i rischi di responsabilità amministrativa. Se gli stessi fossero affidati all’Internal Audit ciò potrebbe comportare inutili sovrapposizioni con la funzione di conformità esistente, in virtù dell’affinità delle attività da svolgere ed analogamente accadrebbe qualora venisse costituito un apposito comitato di vigilanza la cui esclusiva competenza fosse il monitoraggio della normativa 231/2001. 76 CONCLUSIONI Riassumendo quanto finora affrontato in materia di compliance è utile fare riferimento ai seguenti aspetti fondamentali. La funzione di conformità è l’attività svolta dall’omonima unità organizzativa allo scopo di garantire la rispondenza delle attività aziendali alle normative di etero ed autoregolamentazione. Lo scopo è quello di evitare che i rischi tipici presidiati – quello legale e quello reputazionale – possano comportare conseguenze legali e fuoriuscite di risorse, in grado di destabilizzare la gestione e compromettere il raggiungimento degli obiettivi. Particolare attenzione deve essere riservata al buon nome dell’istituto, il cui mantenimento attraverso la preservazione dal rischio è un’attività che richiede particolare attenzione. Ciò risulta ancor più vero se si considera l’impossibilità di stimare attendibilmente l’impatto di tale minaccia. Quale funzione di controllo interno la Compliance è inserita nell’omonimo sistema, compresa tra i controlli di secondo livello. In virtù dell’azione svolta, tale funzione intrattiene però forti legami con gli altri attori di controllo ed allo stesso modo con altri uffici specializzativi appartenenti all’organizzazione. La conformità si relaziona con le funzioni legale, organizzativa e di formazione del personale, ma anche con i controlli di linea in capo alle unità operative. Per il corretto svolgimento delle proprie funzioni la Compliance deve essere esente da interferenze esterne, garantendo la possibilità di riportare direttamente agli organi di vertice in merito ai riscontri di maggior interesse. Per le stesse ragioni deve essere dotata di risorse sia umane che patrimoniali in misura adeguata alla realizzazione dei propri scopi ed essere gestita da un responsabile indipendente, autorevole e competente. La Compliance collabora con l’unità Risk Management nel compimento del processo di conformità attraverso l’identificazione delle norme di etero ed autoregolamentazione applicabili all’istituto. Successivamente, sulla base della valutazione d’impatto dei rischi sulle carenze riscontrate, elabora gli opportuni adeguamenti e li sottopone all’esame del management. Da ultimo la Compliance monitora l’evoluzione delle disposizioni e l’adeguatezza dei presidi predisposti. In aggiunta a tali compiti la funzione si occupa anche dell’attività didattica interna relativa alle tematiche di conformità, rivolta al personale. 77 Infine la Compliance esprime il proprio giudizio e propone eventuali correzioni riguardo l’adeguatezza del sistema premiante. 78 CAPITOLO III – COMPLIANCE ANTIRICICLAGGIO 79 INTRODUZIONE Il fenomeno del riciclaggio di denaro, cioè la pratica criminale attraverso la quale le organizzazioni occultano la provenienza illecita dei capitali raccolti attraverso il compimento di reati ed il finanziamento di azioni terroristiche, con qualsiasi mezzo o modalità, rappresentano una minaccia sempre attuale per la stabilità del sistema economico e finanziario. Il fenomeno ha ormai assunto la dimensione di minaccia globale, in ragione dell’integrazione dei mercati e della possibilità di disporre di strumenti che agevolino gli scambi in maniera rapida. Questi elementi di innovazione rappresentano al tempo stesso nuovi veicoli attraverso i quali il crimine può raggiungere le proprie finalità di occultamento, o per mezzo dei quali finanziarsi così come analogamente accade per le transazioni legittimamente disposte. Muovendo da questi presupposti è necessario che l’azione di contrasto non si limiti più soltanto alle disposizioni dettate autonomamente dai singoli Stati, ciascuno agendo individualmente secondo le proprie finalità. Se così accadesse si darebbe origine ad un’azione scoordinata facilmente eludibile dalle organizzazioni internazionali attraverso arbitraggi normativi, in grado di sfruttare le falle dei singoli sistemi per completare allo stesso modo i fenomeni contrastati. È necessario – così come si è verificato – che l’azione preveda l’impegno comune a livello globale affinché le normative siano quanto più simili possibile e concentrate sullo scopo comune di prevenzione dell’utilizzo del sistema finanziario per depistare la reale provenienza dei fondi. In questa direzione si sono mossi gli organismi internazionali, l’Unione Europea e le normative dei singoli Stati. La medesima armonia è stata ricercata anche all’interno delle singole realtà attraverso la pubblicazione di regole di fonte secondaria da parte delle Autorità di Vigilanza e delle Financial Intelligence Units. Oltre alla dimensione internazionale e normativa è fondamentale indagare come gli intermediari si organizzino nella predisposizione di presidi antiriciclaggio e di contrasto al finanziamento del terrorismo. Il nuovo approccio improntato alla self regulation ha certamente influenzato anche le nuove disposizioni in materia, distinguendosi per la formulazione di poche disposizioni precise e mirate, lasciando agli istituti la libertà di scegliere il miglior assetto della funzione, se- 80 condo le peculiarità presentate dal singolo istituto, nonché il livello di rischio che quest’ultimo si trova ad affrontare. È cura dei singoli soggetti strutturare un apparato coordinato all’interno del Sistema dei Controlli Interni in grado di porre in essere efficacemente i presidi di primo livello direttamente utilizzati per il contrasto: l’adeguata verifica della clientela, la registrazione e conservazione delle informazioni, la segnalazione delle operazioni sospette. Nei paragrafi che seguono si tratterà l’argomento partendo dalla definizione di riciclaggio e si passerà all’analisi dei tratti essenziali della normativa di riferimento. Successivamente l’attenzione sarà rivolta al rischio di riciclaggio quale rischio tipico di non conformità, all’individuazione delle caratteristiche della funzione antiriciclaggio così come prospettata da Banca d’Italia ed all’assegnazione della funzione stessa all’interno del Sistema dei Controlli Interni. Da ultimo verranno analizzate le attività tipiche dell’attività di antiriciclaggio. 81 1. L’ANTIRICICLAGGIO Il contesto internazionale che interessa la movimentazione dei capitali ha subito diverse evoluzioni con lo scopo di favorire l’abbattimento delle barriere e la promozione della libera circolazione tra stati. Un esempio di riferimento è costituito dagli accordi di Schengen attraverso i quali i paesi membri dell’Unione Europea (e non solo) si impegnano a favorire – tra le altre – la libertà di movimento dei capitali all’interno dello spazio costituito dai rispettivi territori. A ciò si deve aggiungere la forte spinta evolutiva che sta interessando ancora oggi gli strumenti per il trasferimento di denaro e titoli di varia natura. La forza propulsiva di questo processo è sicuramente la dimensione globale che i mercati finanziari hanno assunto, connessi tra loro attraverso l’impiego di nuove tecnologie di comunicazione che permettono rapidità e sufficiente livello di sicurezza nell’esecuzione delle transazioni. La possibilità di impiegare piattaforme online per investire in mercati esteri, piuttosto che la possibilità di trasferirne i proventi su conti intestati a società fiduciarie permettono la massima libertà nella gestione finanziaria di privati ed imprese. Una risorsa però ha la caratteristica di essere tale a prescindere dall’impiego che se ne voglia fare, sia esso virtuoso o meno. Le nuove tecnologie, le maggiori opportunità di investimento, la creazione di strumenti innovativi per l’impiego dei capitali e la possibilità di operare real time rappresentano opportunità anche per chi utilizza le risorse finanziare in modo distorto. Le organizzazioni criminali hanno da tempo affinato le proprie tecniche operative, affiancando al braccio violento menti criminali in grado di muoversi tra il ventaglio di opportunità fornite dagli strumenti finanziari e dai mezzi per il trasferimento delle risorse. Al fine di assicurare la propria sopravvivenza ed espandere il controllo, risulta vitale la possibilità per i proventi raccolti attraverso le attività criminali di oltrepassare il confine dell’illecito, inserendosi nel mercato regolamentato. Il mezzo attraverso il quale si realizza quest’opera di ripulitura è il riciclaggio: i proventi raccolti dalle attività di traffico di stupefacenti, contrabbando di armi, tratta di essere umani, sfruttamento della prostituzione ed estorsione – solo per citarne alcune – si presentano sotto forma di denaro contante per le palesi caratteristiche che ne facilitano la circolazione, solo parzialmente controllabile. 82 Il contante viene allora investito in attività commerciali che ne permettono la confusione all’interno della circolazione economica, quali supermercati, phone center, ristoranti e fast food, bar e locali di intrattenimento, casinò, ma anche in imprese edili ed agenzie immobiliari. A queste attività commerciali si affiancano tecniche sempre più raffinate di ingegneria finanziaria basate sui disparati strumenti a disposizione e coinvolgendo il sistema di intermediazione. A ciò si aggiunge che in periodi di recessione economica la disponibilità di capitali completamente gratuiti e facilmente reperibili dalle organizzazioni criminali aumenta il successo del processo di ripulitura. Aspetto ancor più grave, innesca un circolo vizioso attraverso il quale le attività intraprese falsano la concorrenza operando nel mercato a condizioni per altri proibitive, riducendola e potendo così espandere la propria influenza sui territori attraverso il rafforzamento della struttura economica. In questo scenario oltremodo allarmante gli Stati, le organizzazioni internazionali e gli organismi preposti collaborano per la realizzazione di misure necessarie per contrastare il fenomeno del riciclaggio, secondo metodologie che prevedono una continua evoluzione delle tecniche per mantenere il passo con l’innovazione finanziaria ed i nuovi metodi utilizzati dai criminali per operare. 1.1 Le definizioni di riciclaggio Nonostante l’approccio armonizzato nel trattare il riciclaggio sia a livello internazionale che europeo, attualmente non esiste una definizione univoca che lo identifichi poiché i singoli stati hanno adottato soluzioni coerenti con il proprio ordinamento interno. Inoltre l’impegno profuso a livello globale non è stato elemento innovatore della materia dal momento che numerosi stati si erano già impegnati sulla questione, come accaduto per l’Italia. Anche tale aspetto contribuisce a spiegare le difformità presenti nei diversi testi normativi, così come accade allo stesso modo per i metodi di contrasto che derivano dall’ampiezza della definizione40. 40 “The FATF recognises that countries have diverse legal and financial systems and so all cannot take identical measures to achieve the common objective, especially over matters of detail”. FATF – GAFI, The Forty Recommendations. 83 Ciò premesso, lo scopo dell’attività criminale, indipendentemente da come essa sia organizzata, è la ricerca del profitto attraverso lo svolgimento di attività illecite, così come tali sono anche i capitali che ne derivano. Risulta quindi fondamentale occultarne la reale provenienza rendendola quantomeno giustificabile, allo scopo di poter utilizzare i proventi illeciti senza mettere a repentaglio le attività stesse che li hanno generati. Si tratta spesso di vendita illegale di armi, narcotraffico, sfruttamento della prostituzione, ma anche appropriazione indebita, insider trading e frodi informatiche in grado di rendere somme ingenti la cui gestione non passerebbe inosservata. Da qui l’attività di riciclaggio che attraverso svariate tecniche spesso articolate, cela la fonte del profitto immettendolo nella circolazione dei capitali leciti: si innesca in questo modo una spirale deviata nella quale profitti facili generano ulteriori profitti secondo un meccanismo parassitario che ammorba la componente virtuosa dell’economia. I riciclatori hanno a disposizione dei capitali che non hanno un costo, differentemente da quanto accade a chi fa impresa in modo corretto, attraverso il sacrificio dei mezzi propri o il sostenimento dell’onere per l’impiego di risorse altrui. Di conseguenza scarso è anche l’interesse per la massima efficienza e redditività del capitale, il cui unico traguardo è quello di giungere “inosservato” nel mercato41. La direttiva europea 2005/60/CE fornisce la definizione di riciclaggio all’articolo 1 e specialmente al secondo comma dove si precisa che ai fini della direttiva costituiscono riciclaggio: la conversione o il trasferimento di beni, effettuati essendo a conoscenza che essi provengono da un'attività criminosa o da una partecipazione a tale attività, allo scopo di occultare o dissimulare l'origine illecita dei beni medesimi o di aiutare chiunque sia coinvolto in tale attività a sottrarsi alle conseguenze giuridiche delle proprie azioni; l'occultamento o la dissimulazione della reale natura, provenienza, ubicazione, disposizione, movimento, proprietà dei beni o dei diritti sugli stessi, effettuati essendo a conoscenza che tali beni provengono da un'attività criminosa o da una partecipazione a tale attività; 41 Un’interessante precisazione si trova in RAZZANTE, “Il riciclaggio come rischio tipico dell’intermediazione finanziaria” il quale con chiarezza illustra come “il concetto di “rischio di mercato” (o “di controparte”) per il riciclatore non esiste” infatti “chi ricicla azzera un rischio, che è quello dell’handling di qualcosa che “scotta”, di una ricchezza che – udite udite – “pesa”, poiché non giustificabile ufficialmente, e della quale pertanto non si può usufruire in maniera diretta presso i canali tradizionali di spendita della stessa”. 84 l'acquisto, la detenzione o l'utilizzazione di beni essendo a conoscenza, al momento della loro ricezione, che tali beni provengono da un'attività criminosa o da una partecipazione a tale attività; la partecipazione ad uno degli atti di cui alle lettere precedenti, l'associazione per commettere tale atto, il tentativo di perpetrarlo, il fatto di aiutare, istigare o consigliare qualcuno a commetterlo o il fatto di agevolarne l'esecuzione. È inoltre sottolineando come ciò si verifichi quando tali azioni sono poste in essere intenzionalmente e – al quinto comma – come la conoscenza, l’intenzione o la finalità richiamate possano essere dedotte da circostanze di fatto obiettive. Il recepimento della direttiva nell’ordinamento italiano non ha comportato modifiche di sorta riportando nell’articolo 2 del d.lgs. 231/2007 la medesima definizione, così come il passaggio al secondo comma dello stesso, dove è previsto che il riciclaggio si considera tale anche se le attività che hanno generato i beni da riciclare si sono svolte nel territorio di un altro Stato comunitario o di un Paese terzo. Tuttavia nell’ordinamento italiano il riciclaggio era già contemplato come reato al momento dell’entrata in vigore delle direttive europee e delle raccomandazioni degli organismi internazionali, limitandosi nella sua prima stesura ad una ristretta cerchia di illeciti. Le successive modifiche che hanno interessato la materia penale hanno portato all’attuale formulazione – trattata nel paragrafo successivo –, ma una certa discrepanza sussiste tra la disciplina codicistica ed il più recente dettato comunitario. In particolare è la dicitura “fuori dei casi di concorso nel reato” a sollevare questioni pratiche di rilievo: il soggetto che compie il reato presupposto non può essere altresì punito per il reato di riciclaggio, escludendo così l’ipotesi di “autoriciclaggio”. Calando la fattispecie nel concreto, il criminale che attraverso la propria organizzazione svolge le attività di usura ed estorsione e successivamente – sempre il medesimo soggetto – investe i capitali raccolti nella propria impresa edile, non potrà essere imputato per il reato di riciclaggio, in quanto è presente una situazione di concorso. Diversamente si verifica con l’introduzione della legge antiriciclaggio42, secondo la quale l’ente ad essa soggetto dovrà procedere alla segnalazione del criminale in questione – 42 Il riferimento è al decreto legislativo del 21 novembre 2007, n. 231. 85 sulla base di un sospetto ponderato –, qualora quest’ultimo desse disposizioni, ad esempio, di trasferire i fondi di natura illecita presso una propria fiduciaria estera. La ratio perseguita dal legislatore nella materia penale è quella di assorbire l’afflizione relativa al reato di riciclaggio nella pena prevista per il reato presupposto. Diverse voci autorevoli43 si sono levate a sostegno di un rinnovamento della disciplina codicistica ed al momento sono in corso di analisi tre disegni di legge sul punto44. Un altro aspetto non secondario è costituito dalla previsione di riciclaggio anche nei casi di partecipazione all’illecito stesso, nonché “il fatto di aiutare, istigare o consigliare qualcuno a commetterlo”, non previsti dalla normativa penale. Da ultimo, la legge antiriciclaggio non opera distinzioni tra ricettazione, riciclaggio ed impiego di denaro, di beni o utilità di provenienza illecita, inserendoli nel termine di cui all’articolo 2. Quanto finora esposto, supportato dalle autorevoli raccomandazioni e dalle proposte di modifica presentate, evidenzia come all’interno degli ordinamenti dei singoli stati debbano ricercarsi coerenza e coordinamento, così come prospettato dagli organismi internazionali ed altresì dall’Unione Europea, in materia di norme per il contrasto del fenomeno del riciclaggio. 1.1.1 Il finanziamento del terrorismo Appare doveroso, parlando di riciclaggio, fare riferimento al fenomeno del finanziamento del terrorismo per la forte relazione che può unire le diverse pratiche criminali. Inoltre si tratta dell’aspetto più recentemente interessato dalle modifiche ai testi normativi di riferimento, per tutte le categorie di soggetti presi in considerazione. In proposito nel 2001 il GAFI ha pubblicato “The Nine Special Reccomendations” trattando specificamente l’argomento del sovvenzionamento del terrorismo, in stretta connessione con le precedenti quaranta raccomandazioni in materia di riciclaggio. La definizione fornita prevede che la minaccia del finanziamento del terrorismo debba essere estesa a qualsiasi persona che volontariamente fornisca o raccolga fondi con qualsiasi mezzo, direttamente o indirettamente, con l’intento illecito di utilizzarli o nella consapevolez- 43 In particolare si sono pronunciati il Fondo Monetario Internazionale ed il governatore della Banca d’Italia Draghi nell’ambito dell’esame dei disegni di legge n. 733 e collegati in materia di sicurezza pubblica. 44 I riferimenti sono: A.S. n. 733-bis del giugno 2008, A.S. n. 1454 del marzo 2009 e A.S. n. 1629 del giugno 2009. 86 za che essi saranno utilizzati, interamente o in parte: (a) per portare a termine uno o più atti terroristici; (b) da organizzazioni terroristiche; (c) da singoli terroristi45. Inoltre si precisa come il finanziamento del terrorismo debba interessare qualsiasi forma di capitale, indipendentemente dall’origine lecita o illecita46 e come risulti irrilevante il fatto che gli stessi siano effettivamente utilizzati nell’attuare, piuttosto che per predisporre, un’azione terroristica, oppure sussista una connessione tra fondi ed atto47. Infine non vengono considerati finanziamento del terrorismo e perciò non criminalizzabili come tale, il solo favoreggiamento, tentativo o complotto nella realizzazione dell’attività48. Difformemente ha operato l’Unione Europea, comprendendo le disposizioni in materia nella già citata direttiva 2005/60/CE rivolta al riciclaggio ed al sovvenzionamento delle attività terroristiche. L’approccio adottato in Italia si è contraddistinto invece per la separazione degli atti normativi riguardanti il riciclaggio ed il finanziamento del terrorismo, quest’ultimo trattato nel Decreto Legislativo 22 giugno 2007, n. 10949 il quale, oltre a fornirne la definizione, incorpora anche le disposizioni riguardanti il congelamento dei fondi e delle risorse economiche previsto dal Consiglio di sicurezza delle Nazioni Unite50 e dall’Unione Europea51. La definizione contenuta all’articolo 1 riprende nel testo quanto disposto a livello internazionale, richiamando tra le attività a scopo terroristico quelle considerate tali dalle norme del codice penale. Resta importante sottolineare come tale minaccia possa sconvolgere la sicurezza nazionale sia rivolgendosi all’ordine interno, sia minando le basi dei sistemi finanziari internazionali. Anche in presenza di una forte connessione con il riciclaggio rimane tuttavia una differenza importante tra i due reati: il finanziamento del terrorismo si configura a prescindere dal45 “Terrorist financing offences should extend to any person who wilfully provides or collects funds by any means, directly or indirectly, with the unlawful intention that they should be used or in the knowledge that they are to be used, in full or in part: (a) to carry out a terrorist act(s); (b) by a terrorist organisation; or (c) by an individual terrorist”. 46 “Terrorist financing offences should extend to any funds whether from a legitimate or illegitimate source”. 47 “Terrorist financing offences should not require that the funds: (a) were actually used to carry out or attempt a terrorist act(s); or (b) be linked to a specific terrorist act(s)”. 48 “Criminalising terrorist financing solely on the basis of aiding and abetting, attempt, or conspiracy does not comply with this Recommendation”. 49 Rubricato “Misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l’attività dei Paesi che minacciano la pace e la sicurezza internazionale, in attuazione della direttiva 2005/60/CE” 50 Risoluzione n. 1373 (2001). 51 Posizione comune 2011/931/PESC del Consiglio, del 27 dicembre 2001. 87 la provenienza dei fondi impiegati, siano essi frutto di attività illecite piuttosto che denaro “pulito”. Questa distinzione risulta essere invece fondamentale nel riciclaggio il quale ha come presupposto primario la natura illegale dei capitali impiegati, dato che nel caso contrario si realizzerebbero semplici compravendite o trasferimenti di denaro, come comunemente accade. 1.2 Cenni alle fonti antiriciclaggio Le fonti normative che hanno disciplinato la materia antiriciclaggio e di prevenzione del finanziamento del terrorismo hanno origini lontane, ma è ultimamente che il fenomeno di contrasto ha ricevuto una forte spinta evolutiva. In particolare in ambito internazionale sono stati numerosi gli interventi assunti in questa direzione e dettati dalla necessità di contrastare il fenomeno, che ha assunto sempre più la dimensione internazionale. Per questo motivo la necessità di un’azione di opposizione coordinata a livello sovrannazionale è quantomeno necessaria. Muovendo da questo presupposto gli organismi internazionali, l’Unione Europea ed i singoli Stati, anche attraverso l’azione delle Autorità di Vigilanza locali, hanno partecipato – e tutt’ora lo stanno facendo – alla creazione di un sistema armonizzato affinché l’azione di contrasto possa essere più compiutamente intrapresa, aumentandone nel contempo l’efficacia. L’approccio adottato per giungere sino al singolo intermediario, coinvolto in prima linea per mezzo di un’azione di collaborazione attiva a sostegno degli organismi preposti, è ben noto nell’ambito, poiché ispirato al famoso concetto principle based. Le disposizioni antiriciclaggio e di contrasto al finanziamento del terrorismo promosse a livello internazionale si contraddistinguono per la statuizione di principi generali, di ampia portata, allo scopo di abbracciare una platea di Nazioni il più ampia possibile. Se non allo stesso modo, similmente hanno proceduto l’Unione Europea ed i singoli Stati attraverso la normativa interna, in riferimento ad un pubblico altamente eterogeneo. Per questo motivo il dettato normativo, a qualsiasi livello venga analizzato, non sarà mai contraddistinto da formulazioni esaustive, in grado di regolamentare totalmente la materia e rispetto al quale i soggetti sottoposti debbono adempiere in modo passivo. Accanto a previsioni puntuali e complete, vi è un lungo elenco di disposizioni che dettano principi di massima, rispetto ai quali l’osservanza è esercitata in osservanza dei noti prin- 88 cipi di “proporzionalità” ed di “approccio basato sul rischio”, familiari nell’ambito dell’attività bancaria. La scelta rivolta alla self-regulation responsabilizza dunque i destinatari, indirizzandoli verso la corretta applicazione delle norme ed al contempo lasciandoli liberi nelle scelte di attuazione. 1.2.1 Le disposizioni degli organismi internazionali Come già si è sottolineato l’integrazione sempre maggiore dei mercati finanziari su scala globale rende semplice e rapido operare investimenti e trasferimenti di fondi con relativa semplicità e sicurezza, ma al tempo stesso rappresenta un veicolo utilizzabile anche da coloro che vogliono celare le origini illecite dei capitali movimentati. Sulla base di queste premesse le Nazioni Unite già nel 1988 hanno cercato una cooperazione transnazionale per il contrasto del reimpiego dei profitti realizzati attraverso la produzione ed il traffico illecito di sostanze stupefacenti e psicotrope. Sin da quell’occasione si capì come certi temi debbano, per loro natura, essere affrontati a livello internazionale: gli strumenti ed i presidi sviluppati dalle singole nazioni sono sì necessari, ma devono essere coordinati tra loro seguendo di pari passo l’integrazione dei mercati. L’internazionalizzazione delle strategie e la realizzazione di una rete di istituzioni deputate al presidio ha comportato la creazione di organizzazioni che combattono il riciclaggio ed i reati connessi su scala mondiale. Il principale punto di riferimento è costituito dal GAFI, il gruppo d’azione finanziaria per il contrasto del riciclaggio e del finanziamento del terrorismo. Dalla sua creazione nel 1989 ed attraverso la cooperazione di numerosi paesi ed organizzazioni52, il GAFI si è impegnato a promuovere a livello globale il contrasto del riciclaggio attraverso la pubblicazione di standard fortemente raccomandati. Si tratta de “The Forty Recommendations” pubblicate dopo un solo anno dalla costituzione dell’organizzazione e successivamente ampliate sino all’attuale versione risalente al 2003. 52 Attualmente il “Groupe d’action financière” o “Financial Action Task Force” è composto da 34 paesi, per la maggior parte i medesimi che compongono il G20, ai quali si aggiunge l’Unione Europea. Nel novero rientrano anche numerose altre organizzazioni, sia come membri che come osservatori i quali si occupano in modo specifico della materia antiriciclaggio. 89 Detti principi si rivolgono alle istituzioni dei diversi stati affinché provvedano a: criminalizzare il riciclaggio di denaro anche quando attuato da persone giuridiche; prevedere adeguate sanzioni e confiscare l’oggetto dell’attività; istituire unità informative finanziarie per la creazione di un soggetto responsabile della supervisione del sistema di prevenzione, destinatario delle comunicazioni e dotato di poteri di indagine e di accesso alle informazioni; adoperarsi collaborando attivamente qualora problematiche di riciclaggio interessassero più giurisdizioni attraverso lo scambio di notizie, l’assistenza alle indagini e la sollecita risposta a richieste di estradizione e congelamento di beni e capitali. Le raccomandazioni si rivolgono inoltre agli stati aderenti con disposizioni che interessano direttamente gli enti ed i soggetti che esercitano attività finanziare o prestano assistenza agli stessi, richiedendo in particolare: l’identificazione dei soggetti o dei beneficiari effettivi delle operazioni, evitando relazioni coperte da anonimato e calibrando i controlli sulla base della rischiosità connessa all’operazione ed al soggetto agente; l’assessment degli altri enti e soggetti con i quali vengono mantenuti rapporti di natura finanziaria; la conservazione per un periodo minimo stabilito delle informazioni raccolte riguardanti i soggetti che intrattengono rapporti continuativi o compiono sporadiche operazioni; la pronta segnalazione delle operazioni sospette alle autorità competenti; lo sviluppo di specifici programmi, la divulgazione degli stessi all’interno della struttura attraverso la formazione e l’aggiornamento del personale ed il controllo di adeguatezza secondo proporzionalità; l’applicazione delle policy sviluppate internamente anche a filiali e succursali operanti in paesi esteri. Le prime disposizioni promosse a livello internazionale ebbero come oggetto il riciclaggio di capitali, fonte del traffico illecito di stupefacenti; successivamente si assistette ad una generalizzazione della fattispecie considerando tutti i ricavi provenienti da attività criminali. 90 La connessione che lega queste pratiche illegali ad organizzazioni con finalità terroristiche e l’intensificarsi della loro attività intimidatoria ha portato la disciplina ad evolversi, considerando l’attuazione di misure di contrasto al finanziamento del terrorismo. In risposta a questa esigenza si pongono “The Nine Special Recommendations” diffuse dall’organizzazione nel 2001 e che, “when combined with the FATF Forty Recommendations on money laundering, set out the basic framework to detect, prevent and suppress the financing of terrorism and terrorist acts”. Il contenuto fa riferimento alla Convenzione Internazionale delle Nazioni Unite per la Soppressione del Finanziamento al Terrorismo risalente al dicembre 1999. Sono state riprese le tematiche di criminalizzazione del finanziamento alle organizzazioni terroristiche, congelamento e confisca di beni e capitali, segnalazione delle operazioni sospette, collaborazione a livello internazionale, soggezione ad autorizzazione delle attività finanziarie, tracciabilità dei trasferimenti di denaro, attenta supervisione delle organizzazioni no-profit ed esportazione di capitali. Attraverso la diffusione delle Raccomandazioni ed un’azione di prevenzione estesa a livello globale, il GAFI ha incrementato la propria rilevanza fino a divenire la principale organizzazione internazionale per la lotta al riciclaggio e finanziamento del terrorismo. La sua centralità è stata altresì riconosciuta anche dall’Unione Europea nella direttiva 2005/60/CE, sottolineando come le misure adottate dovrebbero essere coerenti con quelle degli organismi internazionali ed in particolare con quelle del capolista GAFI, non mancando di aggiornare la direttiva sulla base dei nuovi standard emessi. 1.2.2 L’evoluzione delle fonti comunitarie e la direttiva 2005/60/CE L’attuale normativa in materia di contrasto del riciclaggio che è stata adottata nel nostro Paese, così come accaduto analogamente negli altri Stati dell’Unione, è figlia della direttiva 2005/60/CE, meglio conosciuta come “terza direttiva antiriciclaggio”53. Il concetto di riciclaggio fu introdotto con la prima direttiva attraverso la quale l’Unione compì il primo passo per la creazione di un sistema normativo armonizzato per il contrasto del riciclaggio. Lo scopo esplicitamente dichiarato fu – e rimane tutt’oggi – il mantenimento della stabilità e della fiducia nel sistema degli intermediari finanziari e degli enti creditizi, evitando 53 Le precedenti disposizioni normative di fonte comunitaria sulla materia sono la Direttiva 91/308/CEE e la successiva Direttiva 2001/97/CE rispettivamente denominata prima e seconda direttiva in materia di antiriciclaggio. 91 che esso diventi uno strumento al servizio delle organizzazioni criminali per il perseguimento di fini illeciti. Essa fornì la definizione del reato già delineata nel 1988 dalle Nazioni Unite in merito al traffico illecito di narcotici e sostanze psicotrope54, inoltre gettò le basi dell’azione di contrasto attraverso: l’identificazione da parte degli enti creditizi e finanziari della clientela con la quale intrattiene rapporti sia continuativi che occasionali, anche in caso di operazioni per mezzo di soggetti terzi; la conservazione dei documenti e delle informazioni raccolte; l’analisi interna agli enti delle segnalazioni di operazioni sospette effettuate dal personale e l’eventuale comunicazione agli organi esterni di prevenzione; la riservatezza e l’esonero della responsabilità del segnalante; il divieto di comunicazione al segnalato dei sospetti e delle segnalazioni che interessano operazioni da lui compiute; il rifiuto da parte dell’ente di porre in essere le operazioni impartite dal cliente qualora vi sia il sospetto di riciclaggio; la collaborazione tra autorità responsabili e soggetti interni agli enti attraverso l’istituzione di un sistema di controllo interno. Si trattò del primo provvedimento in materia di riciclaggio posto in essere al fine di creare un sistema armonizzato – prendendo ispirazione dagli standard adottati a livello internazionale – all’interno dell’Unione Europea, per evitare che i disallineamenti tra singoli stati potessero creare delle fessure attraverso le quali realizzare arbitraggi criminosi. A questo provvedimento seguì la seconda direttiva in materia di antiriciclaggio che apportò alcune integrazioni di primaria importanza, riconducibili principalmente all’estensione dei soggetti destinatari dei provvedimenti, alla loro integrazione nell’adempimento degli obblighi ed all’ampliamento degli illeciti presupposto dell’azione di riciclaggio. In particolare anche i professionisti, le imprese di investimento, gli uffici di cambiavalute, le imprese di incasso e trasferimento fondi, le case d’asta e da gioco furono considerate nel perimetro della normativa. 54 Art. 3, comma 1, lettere b) e c) punti I) e IV) della Convenzione delle Nazioni Unite contro il traffico illecito di sostanze stupefacenti e psicotrope adottata dalla Conferenza nella sua 6° seduta plenaria, il 19 dicembre 1988, Vienna (Austria), 25 novembre - 20 dicembre 1988. 92 La qualifica di riciclaggio non interessò più solamente gli illeciti riguardanti il traffico di sostanze stupefacenti e le ulteriori previsioni introdotte contemplarono la possibilità per i soggetti interessati di interrompere le operazioni sospette prima di aver effettuato l’opportuna comunicazione agli organi competenti o, se impossibilitati, immediatamente dopo il compimento di dette operazioni. Lo spirito di questo secondo provvedimento fu principalmente quello di ampliare e modificare le disposizioni della prima direttiva mantenendo viva la stesura originale. La svolta importante si ebbe con la pubblicazione della direttiva 2005/60/CE in materia di “Prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo”, con la quale venne stabilito che “data la necessità di apportare modifiche molto consistenti alla direttiva 91/308/CEE, ragioni di chiarezza ne impongono l’abrogazione”. A conferma di questo orientamento è da subito possibile notare come l’ambito di applicazione venga esteso anche al reato di finanziamento del terrorismo, spesso conseguenza logica nell’attività criminale delle maggiori organizzazioni, già delineato in altra sede dal Consiglio55. Rimanendo nell’ambito delle definizioni la normativa comunitaria si è arricchita contemplando: i titolari effettivi di società ed i beneficiari di fondazioni e trust; i prestatori di servizi di natura professionale rivolti a società e trust; le persone politicamente esposte; le banche di comodo. Forti innovazioni hanno anche riguardato gli obblighi di adeguata verifica della clientela che intrattiene rapporti con enti e soggetti destinatari, prevedendo in particolare l’obbligo di risalire al titolare o beneficiario effettivo dei rapporti al fine ottenere la massima trasparenza negli assetti societari e fiduciari, con la possibilità di calibrare gli accertamenti sul livello di rischiosità che le circostanze impongono. Sulla tempistica delle verifiche si è sottolineata la preferenza per un’attuazione immediata al momento dell’instaurazione del rapporto continuativo e comunque ogni qual volta vengano disposte operazioni. 55 Si fa riferimento agli articoli da 1 a 4 della decisione quadro 2002/475/GAI del Consiglio sulla lotta contro il terrorismo. 93 Particolari condizioni giustificano inoltre obblighi semplificati e rafforzati di accertamento: rientrano nel primo caso i rapporti intrattenuti dagli enti con società quotate in mercati mobiliari rispondenti ai requisiti comunitari, quelli realizzati attraverso moneta elettronica56 e quelli avendo come interlocutore le autorità pubbliche nazionali. Controlli rafforzati sono invece previsti per le relazioni da porre in essere con enti corrispondenti di paesi terzi e soggetti politicamente esposti. È fatto assoluto divieto di rapportarsi con banche di comodo. L’elemento di assoluta novità è costituito dalla previsione dell’esecuzione da parte di terzi degli obblighi di identificazione imposti dalla direttiva: è facoltà degli Stati membri permettere ai soggetti destinatari di potersi avvalere delle verifiche obbligatorie già svolte da altri soggetti, al fine di evitare inefficienze e ritardi, fatta salva la responsabilità dell’ente utilizzatore che instaura il rapporto. Infatti, sempre a quest’ultimo spetta l’obbligo di effettuare segnalazioni e di conservare i documenti per il periodo prescritto. Ulteriore novità riguarda l’istituzione delle Unità di Informazione Finanziaria alle quali è affidata la gestione centralizzata delle segnalazioni all’interno degli Stati membri, ricevendo, analizzando e ritrasmettendo le comunicazioni. Viene così eliminata la generica definizione di “autorità responsabili per la lotta contro il riciclaggio” inserita nelle precedenti direttive. Per quanto riguarda il divieto di comunicazione dei provvedimenti adottati al soggetto segnalato, la normativa si arricchisce di ulteriori considerazioni, che però escludono dall’interdizione gli scambi informativi eseguiti tra soggetti appartenenti alla medesima categoria con finalità chiarificatrici e sottolineano la necessità della tutela del soggetto segnalante. Al fine di evitare arbitraggi sulle diverse normative è stato specificamente previsto che gli enti creditizi e finanziari, qualora operino in paesi extracomunitari attraverso succursali, debbano necessariamente rispettare la direttiva anche nell’operatività intrapresa in detti Stati. Interamente nuova è la sezione dedicata alla vigilanza che prevede – per alcune categorie di soggetti57 – l’obbligo di autorizzazione per l’esercizio dell’attività. È inoltre richiesto che autorità competenti designate dai singoli Stati assolvano il compito di supervisione del rispetto delle normative antiriciclaggio da parte di enti e soggetti destinatari attraverso l’attribuzione di poteri adeguati, compresi quelli di ispezione fisica ed accesso alle informazioni attestanti la conformità. 56 Solo «nel caso in cui, se il dispositivo non è ricaricabile, l'importo massimo memorizzato sul dispositivo non ecceda 150 EUR, oppure nel caso in cui, se il dispositivo è ricaricabile, sia imposto un limite di 2 500 EUR sull'importo totale trattato in un anno civile, fatta eccezione per il caso in cui un importo pari o superiore a 1 000 EUR sia rimborsato al detentore nello stesso anno civile ai sensi dell'articolo 3 della direttiva 2000/46/CE». 57 Vi rientrano: uffici di cambio, prestatori di servizi relativi a società e trust, case da gioco, società di trasferimento fondi. 94 Infine nel contesto sanzionatorio è stato inequivocabilmente previsto che gli istituti possano essere chiamati a rispondere delle responsabilità derivanti dalle violazioni contenute nella direttiva, quando esse sono attuate da soggetti apicali al fine di apportare vantaggi all’ente stesso: più semplicemente è stata inserita la possibilità di richiamare le norme sulla responsabilità amministrativa degli enti in materia di violazioni delle disposizioni antiriciclaggio. 1.2.3 Le norme nazionali Passando all’analisi delle disposizioni nazionali è opportuno considerare che l’Italia – così come gli altri stati compresi nell’Unione Europea – ha recepito all’interno del proprio ordinamento le direttive in materia di antiriciclaggio e finanziamento del terrorismo, con la finalità di attuare il più ampio disegno comunitario di creazione del sistema armonizzato di contrasto. Riferendosi alle passate disposizioni, il decreto legislativo 26 maggio 1997, n. 125 ha comportato l’introduzione di disposizioni a integrazione dell’attuazione della direttiva 91/308/CEE, mentre il successivo decreto legislativo 20 febbraio 2004, n. 56 ha attuato la direttiva 2001/97/CE. Numerose sono state poi le norme correlate che hanno originato modifiche in ambiti dell’ordinamento toccati indirettamente dalle direttive58. Attualmente il testo di riferimento in materia di prevenzione del riciclaggio e finanziamento del terrorismo è il decreto legislativo 21 novembre 2007, n. 231 che recepisce nell’ordinamento italiano le disposizioni contenute nelle direttive comunitarie 2005/60/CE e 2006/70/CE. In riferimento all’ultima fonte citata si sottolineano le misure adottate relativamente a persone politicamente esposte, applicazione di misure semplificate nella verifica del cliente ed esclusione delle stesse per attività finanziarie esercitate occasionalmente ed in modo limitato. Il contenuto riprende in buona misura quanto disposto e già brevemente illustrato in sede di analisi della norma comunitaria e verrà più dettagliatamente analizzato al momento della disamina dell’attività di riciclaggio e del ruolo di prevenzione da parte della Compliance. Resta da sottolineare quali importanti innovazioni siano state introdotte come diretta conseguenza del suddetto provvedimento. In primis è opportuno sottolineare che le previsioni contenute nel dettato normativo sono riconducibili a due impostazioni difformi. Da un lato è possibile trovare le disposizioni at- 58 Tra i quali rientrano i provvedimenti di limitazione dell’uso contante e dei titoli al portatore, norme sulla circolazione transfrontaliera di capitali, disposizioni di riordino dell’Ufficio italiano dei cambi. 95 traverso le quali il legislatore ha minuziosamente disciplinato compiti e responsabilità affidati agli istituti di credito ed in base ai quali l’ente dovrà conformarsi semplicemente attuando quanto indicato. Sono tali le disposizioni che indicano i termini entro i quali devono essere registrate le informazioni raccolte nella fase di adeguata verifica della clientela, piuttosto che la definizione di riciclaggio. Sotto altro aspetto le previsioni si sono limitate a fornire linee guida, che seppure vincolanti, presentano carattere di generalità, lasciando all’ente l’autonomia di decidere come concretamente applicarle. L’istituto è chiamato a progettare l’osservanza alle disposizioni in questione attraverso un approccio personale, basandosi sulle caratteristiche – e sul rischio – che lo contraddistinguono. Numerosi sono i riferimenti a questo approccio che è possibile rinvenire nel dettato normativo, prima tra tutte la libertà di organizzazione della funzione antiriciclaggio ed il coinvolgimento dei soggetti deputati al controllo. Spetterà dunque ai singoli istituti adeguare la propria struttura organizzativa avendo cura di adempiere alle norme in questione. Inoltre l’art. 63, comma 3 ha introdotto l’art. 25-octies (Ricettazione, riciclaggio ed impiego di denaro, beni o utilità di provenienza illecita) all’interno del d.lgs. 231/2001. Con questa previsione il legislatore ha espressamente considerato la possibilità di assoggettare gli enti a responsabilità amministrativa per i reati di ricettazione, riciclaggio ed impiego di denaro, beni o utilità di provenienza illecita – rispettivamente agli artt. 648, 648-bis e 648-ter del codice penale – quando sono commessi a beneficio degli stessi, da soggetti che rivestono funzioni di rappresentanza, di amministrazione e di direzione, o da personale ad essi direttamente sottoposto. Come diretta conseguenza è prevista: la condanna dell’ente alla sanzione pecuniaria da 200 a 800 quote. Se il denaro, i beni o le utilità sono frutto di un reato per il quale sia prevista la reclusione superiore nel massimo a cinque anni, la sanzione è elevata ad un minimo di 400 quote fino ad un massimo di 1000; la soggezione dell’ente alla sanzione interdittiva della durata massima di due anni, secondo quanto disposto dall’art. 9, comma 2, d.lgs. 231/2001, qualora intervenga la condanna per uno dei delitti al punto precedente; la formulazione delle osservazioni da parte del Ministero della giustizia, previo parere dell’UIF a norma dell’art. 6, d.lgs. 231/2001, in merito alla condanna di cui ai punti precedenti. 96 Altra area di rilevanza è quella che vede al centro l’art. 52 per due questioni di significativo spessore. Ai fini di una più chiara lettura si riporta di seguito il citato articolo. 1. Fermo restando quanto disposto dal codice civile e da leggi speciali, il collegio sindacale, il consiglio di sorveglianza, il comitato di controllo di gestione, l'organismo di vigilanza di cui all'articolo 6, comma 1, lettera b), del decreto legislativo 8 giugno 2001, n. 231, e tutti i soggetti incaricati del controllo di gestione comunque denominati presso i soggetti destinatari del presente decreto vigilano sull'osservanza delle norme in esso contenute. 2. Gli organi e i soggetti di cui al comma 1: a) comunicano, senza ritardo, alle autorità di vigilanza di settore tutti gli atti o i fatti di cui vengono a conoscenza nell'esercizio dei propri compiti, che possano costituire una violazione delle disposizioni emanate ai sensi dell'articolo 7, comma 2; b) comunicano, senza ritardo, al titolare dell'attività o al legale rappresentante o a un suo delegato, le infrazioni alle disposizioni di cui all'articolo 41 di cui hanno notizia; c) comunicano, entro trenta giorni, al Ministero dell'economia e delle finanze le infrazioni alle disposizioni di cui all'articolo 49, commi 1, 5, 6, 7, 12,13 e 14 e all'articolo 50 di cui hanno notizia; d) comunicano, entro trenta giorni, alla UIF le infrazioni alle disposizioni contenute nell'articolo 36 di cui hanno notizia. Al primo comma vengono indicati i soggetti investiti delle funzioni di vigilanza all’interno degli enti per i quali è previsto il compito di supervisionare la corretta applicazione delle disposizioni del decreto in oggetto. Non pochi equivoci ha generato l’enunciato “e tutti i soggetti incaricati del controllo di gestione comunque denominati presso i soggetti destinatari del presente decreto” portando al dibattito in merito all’opportunità di investire la funzione di revisione interna della gestione del rispetto delle disposizioni in materia di antiriciclaggio. Al comma successivo, invece, viene richiamato il ruolo di primaria importanza degli organismi di vigilanza che permea l’intero decreto. In particolare però si legge che i soggetti di cui al precedente comma “comunicano, senza ritardo, alle autorità di vigilanza del settore tutti gli atti o i fatti di cui vengono a conoscenza nell’esercizio dei propri compiti, che possano costituire una violazione delle disposizioni emanate ai sensi dell’articolo 7, comma 259”. Quest’ultima previsione investe Banca d’Italia dell’emanazione e del controllo di proprie disposizioni, ma se letto congiuntamente al primo comma rischia di attribuire a tale sog- 59 “Nel rispetto delle finalità e nell'ambito dei poteri regolamentari previsti dai rispettivi ordinamenti di settore, le Autorità di vigilanza, d'intesa tra di loro, emanano disposizioni circa le modalità di adempimento degli obblighi di adeguata verifica del cliente, l'organizzazione, la registrazione, le procedure e i controlli interni volti a prevenire l'utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria di cui all'articolo 11 e di quelli previsti dall'articolo 13, comma 1, lettera a), a fini di riciclaggio o di finanziamento del terrorismo. Per i soggetti di cui all'articolo 13, comma 1, lettera a), contemporaneamente iscritti al registro dei revisori, tali disposizioni sono emanate dalla CONSOB. Per i soggetti di cui all'articolo 11, comma 2, lettera a), tali disposizioni sono emanate dalla Banca d'Italia”. 97 getto una più ampia funzione di garanzia di tutte le disposizioni in materia di riciclaggio, compresi gli illeciti di natura penale60. Quanto finora esposto mira a sottolineare come le autorità di vigilanza settoriali – e nello specifico Banca d’Italia e Consob – sia affidato per legge un ruolo incisivo che comprende attività regolamentari, di controllo, di intervento attraverso una continua interazione con gli altri operatori coinvolti. Come già accennato il decreto legislativo 231 del 2007 prende in considerazione le disposizioni generali sul riciclaggio contenute nel codice penale, le quali considerano in autonomia la fattispecie delittuosa. Le norme in questione sono le seguenti. Art. 648 – Ricettazione Fuori dei casi di concorso nel reato, chi, al fine di procurare a sé o ad altri un profitto, acquista, riceve od occulta denaro o cose provenienti da un qualsiasi delitto, o comunque si intromette nel farle acquistare, ricevere od occultare, è punito con la reclusione da due ad otto anni e con la multa da euro 516 a euro 10.329. La pena è della reclusione sino a sei anni e della multa sino a euro 516, se il fatto è di particolare tenuità. Le disposizioni di questo articolo si applicano anche quando l’autore del delitto da cui il denaro o le cose provengono non è imputabile o non è punibile ovvero quando manchi una condizione di procedibilità riferita a tale delitto. Art. 648-bis – Riciclaggio Fuori dai casi di concorso nel reato, chiunque sostituisce o trasferisce denaro, beni o altre utilità provenienti da delitto non colposo, ovvero compie in relazione ad essi altre operazioni, in modo da ostacolare l’identificazione della loro provenienza delittuosa, è punito con la reclusione da quattro a dodici anni e con la multa da euro 1.032 a euro 15.493. La pena è aumentata quando il fatto è commesso nell’esercizio di un’attività professionale. La pena è diminuita se il denaro, i beni o le altre utilità provengono da delitto per il quale è stabilita la pena della reclusione inferiore nel massimo a cinque anni. Si applica l’ultimo comma dell’articolo 648. Art. 648-ter – Impiego di denaro, beni o utilità di provenienza illecita Chiunque, fuori dai casi di concorso nel reato e dei casi previsti dagli articoli 648 e 648-bis, impiega in attività economiche o finanziarie denaro, beni o altre utilità provenienti da delitto, è punito con la reclusione da quattro a dodici anni e con la multa da euro 1.032 a 15.493. La pena è aumentata quando il fatto è commesso nell’esercizio di un’attività professionale. La pena è diminuita nell’ipotesi di cui al secondo comma dell’articolo 648. Si applica l’ultimo comma dell’articolo 648. Quanto illustrato configura i reati previsti dalla materia penale la cui applicazione interessa i soggetti responsabili, prescindendo da quanto contenuto nel decreto. Tuttavia il d.lgs. 231/2007 ha introdotto nel codice penale un’ulteriore previsione all’art. 648-quater rubricato “Confisca”. Il testo impone, in caso di condanna per uno dei de- 60 Cfr. M. ARENA – R. RAZZANTE, “Normativa Antiriciclaggio e Responsabilità da Reato delle Società”, Edizioni Giuridiche Simone, 2009. 98 litti previsti agli articoli 648-bis e 648-ter, la confisca dei beni che ne costituiscono il prodotto o il profitto, salva l’ipotesi in cui i medesimi appartengano a terzi estranei al reato. Qualora non sia praticabile la confisca dei frutti del reato, il giudice deve sottoporre alla medesima procedura le somme di denaro, beni o altre utilità nella disponibilità del trasgressore – anche attraverso interposta persona – per un valore pari a quello del profitto realizzato dall’operazione illecita. Al pubblico ministero è riservata la facoltà di intraprendere le opportune attività di indagine al fine di accertare il denaro, i beni o le utilità da sottoporre a confisca, nei limiti di quanto previsto dal codice di procedura penale. Quest’ultima modifica introdotta dalla legge antiriciclaggio è un ulteriore segnale di come la stessa costituisca per il nostro ordinamento il fulcro in materia di contrasto del reato, recependo disposizioni dettate dalla direttiva europea e coordinandole con quelle nazionali per creare un sistema integrato e coerente di norme. 1.2.4 La normativa secondaria di Banca d’Italia Seguendo il modello “a cascata” adottato nell’implementazione delle disposizioni antiriciclaggio, che vede l’arricchimento progressivo attraverso nuove fattispecie, si giunge alla normativa secondaria predisposta da Banca d’Italia caratterizzata da un elevato grado di specificità e circoscritta agli enti e soggetti sui quali esercita la vigilanza. Le previsioni della legge antiriciclaggio nazionale hanno affidato agli organismi di vigilanza una posizione centrale che si caratterizza per il ruolo attivo che sono chiamati a svolgere. In particolare Banca d’Italia – che si occupa di vigilanza nel settore degli istituti di credito – ha costituito con riferimento al proprio ambito l’Unità di Informazione Finanziaria, equivalente per il nostro paese alla Financial Intelligence Unit richiamata dalle direttive europee e destinata nello specifico all’analisi delle operazioni sospette pervenute. Con il supporto di quest’ultima e delle altre autorità di vigilanza, Banca d’Italia ha emanato le disposizioni attuative per la tenuta dell’archivio unico informatico indicando le modalità attraverso le quali vengono registrati i rapporti e le operazioni che le banche intrattengono con la propria clientela. Gli elementi innovativi riguardano la tenuta dei dati relativi al titolare effettivo dei rapporti, l’obbligo di registrazione nell’archivio a carico degli intermediari presso cui sono incardinati i rapporti continuativi o a cui le operazioni sono riferibili e nuove modalità di inseri99 mento per operazioni intrattenute con altri intermediari insediati in paesi a regime normativo non equivalente. Altra pubblicazione nata di recente dalla collaborazione tra Banca d’Italia ed UIF ha portato allo sviluppo di indicatori di anomalia attraverso i quali gli intermediari possono individuare più accuratamente le operazioni potenzialmente sospette. L’allegato inoltre riporta una serie di fattispecie esemplificative che identificano eventi quantomeno sospetti in grado di generare riciclaggio o finanziamento del terrorismo, suddividendoli in relazione alla tipologia di cliente, alle operazioni ed ai rapporti in essere, ai mezzi ed alle modalità di pagamento, agli strumenti finanziari e contratti assicurativi, al finanziamento del terrorismo. Tuttavia il documento che – ai fini dell’analisi in corso – risulta essere di maggiore impatto è il “Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio e finanziamento del terrorismo, ai sensi dell’art. 7 comma 2 del Decreto Legislativo 21 novembre 2007, n. 231”. Le norme in questione sono rivolte a delineare un assetto organizzativo ottimale che gli enti dovrebbero adottare al fine di realizzare un sistema coerente con le disposizioni sul controllo interno dettate dal decreto. Le regole hanno come scopo la rivisitazione della best practice in tema di organizzazione, alla luce della nuova legge antiriciclaggio ed in particolare delineano i ruoli degli organi di supervisione strategica, gestione e controllo, nonché suggeriscono le unità organizzative adatte per la gestione della funzione antiriciclaggio sottolineandone compiti, inquadramento organizzativo, responsabilità, esternalizzazione e rapporti con altre funzioni aziendali. Da ultimo vengono considerate peculiarità riguardanti le strutture di gruppo e l’esercizio di specifiche attività. Anche se al momento non si tratta ancora di un documento ufficiale ma solo di una stesura preliminare per la quale è da poco terminata la fase di consultazione, è possibile considerarlo come il principale riferimento a cui le banche devono attenersi nella predisposizione di un’ottimale struttura aziendale di gestione del rischio di riciclaggio. 100 2. L’ATTIVITÀ DI COMPLIANCE ALL’ANTIRICICLAGGIO 2.1 Dal riciclaggio come fattore di rischio di non conformità al “risk-based ap- proach” Il concetto di rischio del riciclaggio è stato per lungo tempo considerato dagli intermediari come un elemento detrattivo intrinseco al sistema economico, in parte tollerato come un malcostume di fronte al quale essere impotenti. Tuttavia lo scenario è cambiato con l’approccio basato sul rischio introdotto da Basilea II nell’attività bancaria, allo scopo di basare la solidità patrimoniale degli istituti in considerazione dei rischi che si trovano ad affrontare. La rivoluzione creata con questo approccio ha influenzato le successive normative in ambito bancario, mantenendo al centro del discorso il concetto di rischio. Ciò è valso per le previsioni in materia di conformità alle norme già affrontate nel capitolo precedente ed altrettanto è stato fatto con le disposizioni in materia di riciclaggio e finanziamento del terrorismo. Da questa impostazione gli intermediari hanno sviluppato un modus operandi basato sulla rischiosità, rivedendo altresì la considerazione del fenomeno di riciclaggio alla luce delle fonti normative e delle previsioni secondarie. Le fonti citate hanno, nella loro impostazione, la finalità di preservare gli istituti dallo sfruttamento – quali complici inconsapevoli – da parte della criminalità ed attraverso la tutela del singolo soggetto mantenere la stabilità dell’intero sistema finanziario locale e globale61. La considerazione del rischio di riciclaggio allargata all’intero sistema ne impone quindi la ponderazione da parte dei singoli istituti. Il rischio di riciclaggio è stato riconosciuto dalla Vigilanza di Banca d’Italia come una minaccia insita nell’attività tipica degli enti, prevedendo che “al fine di assicurare l’integrità e l’autonomia gestionale, alcune discipline di settore richiedono agli intermediari sottoposti a vigilanza di predisporre un efficace sistema dei controlli interni per la rilevazione e la gestione dei rischi; in tale ambito rientra anche il “rischio di riciclaggio””. È in questi termini che 61 La già considerata globalizzazione dei mercati finanziari impone una visione allargata al sistema finanziario mondiale, o almeno ai sistemi che per caratteristiche e regolamentazione risultano essere fortemente interfacciati tra loro. La permeabilità di uno di essi all’azione criminale comprometterebbe l’intero “sistema comune”. 101 tale insidia assume i connotati di minaccia per la quale devono essere istituite opportune misure di contrasto. Considerandolo attraverso l’ottica della gestione basata sul rischio – ed in particolare secondo quando indicato nelle “Nuove disposizioni di vigilanza prudenziale per le banche” di Banca d’Italia – è possibile osservare come il riciclaggio sia in grado di generare62: rischio di ricorrenza derivante dall’utilizzo da parte di organizzazioni o soggetti criminali degli intermediari finanziari allo scopo di occultare la reale provenienza dei capitali nonché la trasformazione degli stessi; rischio di ricorrenza come reiterazione di condotte omissive operate dal personale interno, in accordo con soggetti ed organizzazioni criminali; rischio di inadeguatezza della struttura organizzativa dell’ente ed in particolare del sistema dei controlli interni deputato al presidio dei rischi aziendali; rischio di disfunzione dei supporti informatici e tecnologici impiegati a supporto dell’attività di controllo. Le fattispecie elencate rappresentano come la manifestazione del rischio di riciclaggio sia mutevole all’interno della naturale collocazione di rischio legale, ergo di rischio operativo. Gli enti sono infatti chiamati al monitoraggio ed alla mitigazione del rischio di riciclaggio sulla base di obblighi di legge o di regolamentazioni ad essi assimilabili per cogenza. Da qui deriva che ogni inosservanza della normativa esporrà l’istituto a conseguenze di natura legale ed al tempo stesso sanzionatorie. Si tratta dunque dell’aspetto immediato che caratterizza le pratiche di occultamento e trasformazione dei capitali illeciti – ma anche di finanziamento del terrorismo – che si verifica nel momento in cui l’ente prende contatto con il criminale – o chiunque agisca nell’interesse di quest’ultimo – senza porre in atto le adeguate misure di identificazione. All’inosservanza della legge si sommano poi ulteriori insidie strettamente collegate al fenomeno del riciclaggio alle quali gli enti si espongono. Il rischio di intermediazione si manifesta nel momento in cui l’istituto apre le proprie porte ai capitali di provenienza illecita, accettando tra la propria clientela personaggi loschi e disattendendo le disposizioni di adeguata verifica ed astensione previsti dagli artt. 17 e 23 del decreto antiriciclaggio. 62 Cfr. R. RAZZANTE – E. DELLAROSA “La normativa antiriciclaggio e il nuovo sistema dei controlli interni”. 102 Altro esempio è il rischio di credito che deve essere affrontato nelle operazioni di finanziamento qualora vengano impiegate a garanzia somme di natura illecita. Questa tipologia di minaccia, definita come la probabilità che la controparte di un’operazione risulti inadempiente prima del momento in cui avverrà il regolamento definitivo dell’operazione63, potrebbe anche strutturarsi come una semplice attività di collocamento da parte dell’istituto, dalla quale i criminali potrebbero avvantaggiarsi in conseguenza di una inadeguata verifica del cliente. Da ultimo, ma certamente non per importanza, vi è il rischio di reputazione che potrebbe travolgere un istituto che intrattiene rapporti con soggetti di dubbia condotta. Questo aspetto non è certamente da sottovalutare dato che – come opportunamente chiarito in precedenza64 – gli intermediari devono tenere in forte considerazione l’immagine che essi proiettano all’esterno ed i valori che in questo modo comunicano, come fattore critico del proprio successo nel mantenimento del rapporto di fiducia dell’intero sistema finanziario. Specialmente in momenti di congiuntura negativa nei quali serpeggiano tra investitori e risparmiatori sentimenti di sfiducia, gli intermediari bancari sono impegnati nel difficile compito di porsi come punto di riferimento coniugando le esigenze degli interlocutori. Scoprire dalle pagine della cronaca che i soggetti chiamati a contribuire alla stabilità del sistema finanziario disattendono il proprio ruolo facendosi coinvolgere inconsapevolmente in azioni di riciclaggio e finanziamento del terrorismo, certamente mette a repentaglio la fiducia riposta dalla clientela che potrebbe non gradire l’attenzione negativa proiettata sull’ente. In questo modo il rischio di reputazione potrebbe manifestarsi con un impatto devastante che si rivelerebbe ben maggiore dei risvolti sanzionatori connessi, destabilizzando e minacciando la sopravvivenza dell’azienda stessa. È dunque possibile affermare come i riflessi che derivano dal rischio di riciclaggio siano quelli di natura legale e reputazionale, così come confermato da Tarantola: “il riciclaggio e il finanziamento del terrorismo espongono gli intermediari a potenziali, rilevanti rischi di natura legale e reputazionale. Di conseguenza, tali rischi devono essere oggetto di particolari misure di gestione e mitigazione, la loro valutazione deve essere integrata nel sistema di risk management”65. Proprio in relazione a quest’ultimo passaggio è possibile notare come le componenti di rischiosità generate dal riciclaggio siano le stesse per le quali la funzione di conformità è chiamata in causa. 63 Cfr. BANCA D’ITALIA “Nuove disposizioni di vigilanza prudenziale per le banche”, Titolo III, Capitolo 1, Allegato A. 64 Capitolo 2, Paragrafo 1.1, “Le tipologie di rischio affrontate: il rischio legale e reputazionale”. 65 A. M. TARANTOLA “Il contributo della Banca d’Italia nella lotta al riciclaggio”. 103 Riprendendo quanto già esposto, la funzione di compliance si occupa della preservazione degli istituti dai rischi legali e reputazionali, dai quali potrebbero essere insidiati nell’esercizio della propria attività ed a tal fine utilizza strumenti organizzativi per la gestione ed il presidio delle minacce. L’assonanza con quanto finora esposto risulta essere importante. A sostegno è possibile riformulare le definizioni di rischio legale e di rischio reputazionale in virtù delle considerazioni sul rischio di riciclaggio. Il rischio legale viene interpretato come la possibilità che l’istituto non ottemperi alle disposizioni normative in materia di riciclaggio, sia nazionali che di derivazione comunitaria, nonché alla regolamentazione di Banca d’Italia e dell’Unità di Informazione Finanziaria, alle quali è sottoposto come diretta conseguenza dell’attività svolta. La minaccia reputazionale invece può essere definita come risultanza di fallimenti operativi e di conformità a leggi e regolamenti in materia di riciclaggio del denaro, oppure originata da altre fattispecie negative riconducibili al coinvolgimento dell’ente nelle pratiche di occultamento dell’origine illecita dei capitali. Analogamente, restringendo il campo d’analisi alla normativa antiriciclaggio, è possibile riscrivere la definizione di compliance risk connotandolo come il rischio di incorrere in sanzioni legali o regolamentari, perdite finanziarie o di reputazione, che una banca può soffrire in conseguenza della mancata osservazione di leggi, regolamenti e standard di autoregolamentazione aventi ad oggetto il contrasto dello sfruttamento del sistema finanziario a scopo di riciclaggio, che potrebbe derivare dall’esercizio di attività bancarie. Addentrandosi ancor più nel quadro e facendo riferimento alla bipartizione presente nel d.lgs 231/2007 tra disposizioni cogenti e norme di indirizzo autoregolamentare, il compliance risk rispetto alla prima tipologia menzionata si presenta come un rischio discreto in relazione al quale l’intermediario è conforme o meno a quanto indicato. La seconda tipologia manca invece dell’elemento di certezza, poiché nell’implementazione all’interno dell’organizzazione dei presidi antiriciclaggio gli enti adottano un approccio molto personale nel rispetto del principio di proporzionalità. Solo nel momento in cui si manifesta il rischio e l’istituto è agevolmente in grado di presidiarlo è raggiunto l’obiettivo di conformità alle norme. Per concludere è possibile considerare il rischio di riciclaggio come una particolare tipologia di rischio di conformità alla luce delle numerose analogie che li accomunano e da questo punto è possibile intraprendere un’analisi sulla gestione dello stesso da parte della Compliance. 104 2.2 La Compliance come destinatario naturale dei presidi antiriciclaggio Dopo aver tratteggiato l’essenza dell’impianto normativo e regolamentare che sorregge la materia, sul quale molto si è già detto, si pone ora l’attenzione su un aspetto non ancora sufficientemente indagato nei numerosi scritti, che presenta alcuni aspetti oscuri. Si tratta di analizzare le previsioni antiriciclaggio dal punto di vista dell’assetto organizzativo che la corretta gestione dell’attività implica, in ragione del complesso sistema coordinato che necessita. Recentemente Banca d’Italia ha emanato con finalità di consultazione la bozza66 del documento rubricato “Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell’art. 7 comma 2 del Decreto” attraverso il quale l’Autorità di Vigilanza del settore bancaria, in accordo con la Consob, ha voluto fornire le linee guida con scopo di creare per gli istituti un sistema quanto più comune di organizzazione interna. Nel testo si fa riferimento al ruolo ricoperto dai vertici, nonché dai soggetti inseriti nel Sistema dei Controlli Interni e dalla funzione antiriciclaggio impegnata nella gestione del sistema coordinato di prevenzione del rischio connesso. È possibile notare come il contenuto faccia riferimento ad altre disposizioni già emanate da Banca d’Italia nel 2007 e riguardanti l’organizzazione, i compiti e le responsabilità posti in capo alla Compliance. Non a caso quest’ultima è stata individuata tra le unità organizzative che possono svolgere la funzione antiriciclaggio Di seguito si è cercato di fornire un possibile scenario in materia di organizzazione interna della funzione, ispirato dalle neonate fonti e da quanto sinora proposto dalla dottrina in materia. 2.2.1 Il coinvolgimento di vertici e sistema dei controlli interni L’emanazione delle disposizioni più volte richiamate, nell’attuazione degli obblighi primari di adeguata verifica della clientela, registrazione e tenuta dei dati nell’archivio unico e segnalazione delle operazioni sospette, ha previsto il coinvolgimento dell’intera struttura aziendale. 66 Il periodo di consultazione è terminato il 31 marzo 2010, attualmente si è ancora in attesa della versione definitiva delle disposizioni, che per tradizione, difficilmente si discosteranno dal testo originale aperto ai suggerimenti degli interessati. 105 Tale concetto si basa sul principio che l’ostacolo ad operazioni attuate con capitali illeciti debba penetrare all’interno della cultura aziendale, ergo essere universalmente compreso. Inoltre i numerosi adempimenti e le relazioni con gli organismi esterni previsti dalla “collaborazione attiva”, hanno comportato il coinvolgimento nella gestione del Sistema dei Controlli Interni e degli organismi di vertice, sui quali ricade inoltre la responsabilità della corretta gestione dei presidi. Richiamando infine la regolamentazione prudenziale e l’approccio basato sul rischio, è opportuno che gli intermediari adottino di un idoneo assetto organizzativo ed un’adeguata dotazione patrimoniale necessari a fronteggiare tutti i rischi ai quali si trovano esposti. L’approccio voluto dalla recentissima normativa secondaria di Banca d’Italia si caratterizza dunque per un coinvolgimento totalitario degli organi aziendali, i quali devono rispondere alle esigenze delle disposizioni antiriciclaggio definendo una comune policy, adottando strutturati provvedimenti di natura sia organizzativa che operativa e – con riferimento a questi – procedere ad operazione di verifica riguardanti il corretto allineamento con le disposizioni. In questo scenario è richiesto ad ogni organo l’assolvimento di specifici compiti per creare il coordinamento interno auspicato. Coinvolti in primis sono i vertici dell’istituto, che la normativa secondaria individua negli organi “con funzione di supervisione strategica” e “con funzione di gestione” rifacendosi ad una terminologia rivolta alla funzione assegnata piuttosto che alla denominazione di specifici organi. Tuttavia, come precisato in una nota al testo “la funzione di supervisione strategica e quella di gestione, attenendo unitariamente alla gestione dell’impresa, sono generalmente incardinate nel medesimo organo aziendale, come tipicamente avviene nell’ambito del consiglio di amministrazione”. Privilegiando la visione organizzativa e considerando gli organi in modo unitario, l’impegno a loro richiesto si concretizza attraverso: la definizione di precisi orientamenti strategici dai quali scaturiscano misurate policy di gestione dei rischi in oggetto, avendo cura di adattarle alle esigenze secondo proporzionalità e rischiosità; la formalizzazione di compiti e responsabilità da attribuire ai soggetti incaricati i quali dovranno essere forniti di risorse adeguate, separando funzioni operative e di controllo; l’adeguamento dell’assetto del sistema dei controlli interni finalizzato alla creazione di una architettura coordinata e stabile, in grado di fornire garanzie di efficacia; 106 la predisposizione di un sistema informativo improntato sulla rapidità degli scambi di conoscenze complete, in grado di supportare gli stessi vertici in merito a carenze o inefficienze nei presidi; la presa di coscienza dello status dell’attività di contrasto di riciclaggio e finanziamento del terrorismo, attraverso rapporti con cadenza almeno annuale. Facendo inoltre riferimento alle fondamenta della disciplina – adeguata verifica della clientela, tenuta dei dati e segnalazione delle operazioni sospette – l’organo in questione è chiamato a realizzare ed aggiornare nel tempo le procedure interne di presidio e ad assicurare attività operative e sistemi informativi adeguati. L’aspetto gestionale riservato ai vertici si concretizza altresì per: la diffusione all’interno della struttura di informazioni necessarie alla piena conoscenza del rischio di riciclaggio, rivolgendosi in particolare alle funzioni di controllo investite ex art. 52 del decreto; l’approvazione di programmi di formazione e sviluppo delle conoscenze rivolti al personale, modulandoli secondo il ruolo ricoperto e la rischiosità che ne deriva e mantenendo un costante allineamento nel tempo con l’evoluzione delle normative; l’adozione di strumenti di controllo per la verifica nel continuo dell’operato svolto dai dipendenti e collaboratori. Passando alla sfera dei controlli, l’impatto della normativa risulta essere più incisivo anche alla luce del nuovo art. 52 del decreto. È importante sottolineare come le disposizioni in materia di antiriciclaggio e contrasto al finanziamento del terrorismo abbiano investito l’intero Sistema dei Controlli Interni di funzioni di presidio, ma soprattutto collocando all’interno dello stesso – come logico – la funzione deputata nello specifico alla gestione del rischio di riciclaggio. Nel progettare il proprio sistema i singoli intermediari dovranno prendere in considerazione anche le disposizioni in oggetto allo scopo di creare armonia e coerenza tra i diversi organismi ed assegnando la funzione antiriciclaggio avendo riguardo del soggetto, che per caratteristiche ed attività svolta risulta essere il naturale assegnatario. In particolare l’organo preposto al controllo deve vigilare in primis sull’osservanza delle normative ed in secondo luogo sull’adeguatezza sul sistema di gestione dei rischi più volte richiamati. 107 Più nello specifico sono richieste: la valutazione delle procedure approntate per la verifica della clientela, la conservazione dei dati e la segnalazione delle operazioni sospette al fine di asseverarne l’adeguatezza in funzione della rischiosità; un approccio attivo attraverso l’indagine sulle carenze riscontrate e la conseguente promozione di azioni correttive. In particolare quest’ultimo punto attribuisce all’organo di controllo un ruolo di supporto al management, chiamato a predisporre le procedure. Un prezioso aiuto è fornito dalle indicazioni che riguardano l’architettura dei presidi, indicando eventuali carenze, proponendo adeguate verifiche, migliorando il sistema informativo e la collaborazione tra le diverse funzioni di controllo. La peculiarità introdotta dal decreto con l’art. 52 è data dal dovere di procedere – senza indugio – alla comunicazione all’Autorità di Vigilanza di ogni elemento che possa costituire una violazione delle norme antiriciclaggio. L’inserimento dell’art 25-octies nel decreto legislativo 231/2001 attuata da parte della legge antiriciclaggio67 ha previsto la responsabilità amministrativa degli enti anche per i delitti di riciclaggio contenuti nel codice penale. In questo modo, limitatamente alla materia penale, anche l’Organismo di Vigilanza, non solo è garante del rispetto delle norme antiriciclaggio, ma “contribuisce in via preventiva alla definizione del modello, monitora nel continuo il rispetto delle procedure ivi previste e, nel caso in cui un reato sia comunque commesso, ne analizza in via successiva le cause per individuare le misure correttive più idonee”68. Particolare attenzione dovrà essere riservata dall’organo amministrativo al momento dell’assegnazione di compiti e responsabilità all’interno della struttura antiriciclaggio, al fine di evitare duplicazioni di compiti, interferenze tra le funzioni ed in generale scarsità di chiarezza. La funzione antiriciclaggio e l’Organismo ex 231/2001 dovranno quindi coordinarsi nei propri compiti e lavorare a stretto contatto per una corretta applicazione dei presidi di contrasto. 67 Art. 63, comma 3 del d.lgs 231/2007. Così contenuto nel citato documento in consultazione di Banca d’Italia in materia di organizzazione, procedure e controlli interni. 68 108 2.2.2 L’antiriciclaggio nel sistema dei controlli interni Passando all’analisi della citata funzione antiriciclaggio è opportuno in primo luogo considerare gli adempimenti dei quali è destinataria. La normativa secondaria di Banca d’Italia utilizza volutamente una terminologia generica riferendosi alla “funzione antiriciclaggio” quale principale attore della gestione del rischio connesso: la ragione alla base è quella di realizzare dei principi guida che possano adattarsi ai numerosi soggetti sottoposti all’osservanza. Si tratta di banche, Poste Italiane S.p.A., istituti di moneta elettronica, SIM, SGR, SICAV, nonché le succursali italiane di soggetti esteri equivalenti, agenti di cambio, società fiduciarie e mediatori creditizi che esercitano attività finanziaria69. L’organizzazione interna di questi soggetti è difforme in ragione delle specifiche caratteristiche e dell’attività svolta e ciò spiega l’approccio di non indicare una particolare funzione, bensì attraverso una formula generica descriverne adempimenti e responsabilità, lasciando al singolo ente – proporzionalità – la facoltà di meglio definirla. Quanto premesso porta a delineare una funzione antiriciclaggio che sia adeguata alla struttura alla quale è asservita, riservandole la necessaria dotazione di risorse, adeguate in numero e livello qualitativo, nonché garantendo l’assenza di interferenze che possano comprometterne l’indipendenza. È proprio quest’ultima prerogativa, di fondamentale importanza, che permette all’antiriciclaggio la possibilità di accedere liberamente alle informazioni necessarie per l’assolvimento tempestivo dei propri compiti. Anche le disposizioni in questione, così come accade per la Compliance, sono permeate in ogni loro aspetto del risk based approach e del concetto di proporzionalità che ha cambiato tutta la produzione normativa di natura secondaria. L’azione di supervisione e gestione del rischio di non conformità alle norme antiriciclaggio e di contrasto al finanziamento del terrorismo prevede che l’ente si doti di misure di presidio attraverso la partecipazione attiva dell’organismo specificamente individuato, al quale ne è altresì affidata la supervisione ed il compito di mantenere l’allineamento con la normativa di riferimento. 69 Per l’elenco completo consultare “Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell’art. 7 comma 2 del Decreto Legislativo 21 novembre 2007, n. 231” 109 In particolare la funzione antiriciclaggio: identifica nel continuo le previsioni applicabili all’ente e svolge un’azione di controllo ex-ante allo scopo di verificare la congruità di processi e procedure interni; collabora attivamente alla definizione della dimensione organizzativa idonea alla riduzione del rischio, confrontandone la rispondenza all’evoluzione normativa; predispone verifiche ex-post sugli adeguamenti organizzativi adottati dal management e suggerisce ulteriori provvedimenti correttivi per la riduzione ulteriore del rischio residuo; svolge azione di supporto ai vertici fornendo consulenza ed assistenza, nonché comunica i risultati di assessment preventivi aventi ad oggetto nuovi prodotti e servizi; collabora con le altre funzioni aziendali sui temi ed inoltre, sempre attraverso un’azione coordinata, promuove la diffusione delle conoscenze e della cultura antiriciclaggio che permetta un costante aggiornamento; accerta la concreta applicazione dei controlli predisposti per il monitoraggio delle procedure; assicura la rapida diffusione di dati ed informazioni rivolti agli organi di vertice attraverso la realizzazione di canali informativi; applica controlli e verifiche stringenti in merito a soggetti che pongono in essere specifiche operazioni ad elevato rischio. Oltre alle attività elencate, la funzione antiriciclaggio nell’ottica del rapporto collaborativo con la direzione ed i vertici predispone un documento nel quale vengono formalizzati compiti, responsabilità e modalità operative e ne viene data diffusione all’interno delle strutture previa verifica ed approvazione. La necessità di una chiara ed univoca conoscenza degli assetti organizzativi agevola l’interazione tra le diverse funzioni interessate dai riflessi delle disposizioni e previene situazioni conflittuali a danno dell’ente. Non bisogna dimenticare che l’azione fin qui descritta è strumentale alle tre fondamentali attività che caratterizzano l’antiriciclaggio, riconducibili all’adeguata verifica della clientela, alla registrazione e conservazione dei dati acquisiti ed alla segnalazione di operazioni suscettibili di costituire reato. È perciò importante che la realizzazione del sistema di prevenzione sia costantemente rivolta alla soddisfazione dei principali obiettivi citati: sarebbe gravissima la costruzione di un 110 apparato articolato di ineccepibile efficienza, massima espressione della best practice, ma tuttavia incapace di raggiungere efficacemente gli scopi riducendosi a costoso meccanismo destinato a “girare a vuoto”. Allo scopo di evitare tali situazioni di inefficienza e di aggiornare i vertici sull’andamento dell’operato, almeno annualmente la funzione antiriciclaggio presenta una relazione che illustri le criticità incontrate, gli interventi correttivi posti in essere e quelli ancora da attuare per ridurre al minimo la rischiosità di coinvolgimento in operazioni illecite. Altresì non deve essere trascurato il resoconto sull’attività di formazione del personale. Con riferimento a quest’ultima attività è necessario sottolineare l’importanza della diffusione delle conoscenze in materia di antiriciclaggio all’interno della struttura attraverso la predisposizione di programmi di formazione calibrati sulla base delle mansioni del personale dipendente. Così come accade per la policy anche e soprattutto le norme devono essere divulgate all’interno della struttura per ottenere una presa di coscienza comune sulle tematiche del rischio. Tutti i dipendenti, così come gli agenti ed i collaboratori esterni legati all’ente da vincolo contrattuale, devono conoscere ed applicare nell’esecuzione dei propri compiti gli accorgimenti necessari per evitare il coinvolgimento dell’intermediario. La formazione del personale è dunque orientata alla conoscenza dei rischi in oggetto e delle conseguenze che essi comportano, comprese le eventuali responsabilità del sottoposto qualora in mala fede. Tuttavia i programmi di formazione, per essere validi, non possono essere unici ed universalmente rivolti poiché da diverse posizioni derivano rischiosità differenti e per questo motivo l’istruzione del personale deve conformarsi ad un approccio basato sul rischio. I dipendenti ed i collaboratori esterni che sono a più stretto contatto con la clientela saranno destinatari di una più intensa attività di training. La conoscenza sarà particolarmente rivolta alle tecniche che i criminali adottano nel raggiungimento dei propri scopi. Specifici riferimenti si trovano anche ai commi secondo e terzo dell’art. 54 della legge antiriciclaggio rubricato “Formazione del personale” dove si legge: “le misure di cui al comma 170 comprendono programmi di formazione finalizzati a riconoscere attività potenzial- 70 Per agevolare la lettura si riporta anche il primo comma al quale viene fatto riferimento. “I destinatari degli obblighi e gli ordini professionali adottano misure di adeguata formazione del personale e dei collaboratori al fine della corretta applicazione delle disposizioni del presente decreto”. 111 mente connesse al riciclaggio o al finanziamento del terrorismo”, “le autorità competenti, in particolare la UIF, la Guardia di finanza e la DIA, forniscono indicazioni aggiornate circa le prassi seguite dai riciclatori e dai finanziatori del terrorismo”. Ancor più attenzione deve essere rivolta al personale inserito nella funzione antiriciclaggio il quale deve essere addestrato a fondo e con continuità, in grado di padroneggiare una conoscenza massima al fine di prestare un adeguato supporto alle attività aziendali. Sempre per le medesime ragioni, anche la frequenza dell’aggiornamento è superiore rispetto ai programmi predisposti per le altre tipologie di dipendenti. Infine gli enti possono farsi assistere nelle fasi di istruzione del personale da associazioni di categoria ed organismi esterni differenti dai soggetti citati dalla normativa, potendo così affinare la preparazione avendo a disposizione le informazioni più accurate in modo tempestivo. Recentemente si sono tenuti numerosi convegni e seminari di approfondimento su tematiche legate al riciclaggio ed altresì sui controlli interni71, a testimonianza della continua evoluzione della materia e della necessità di interventi di riordino. Qualche ulteriore considerazione meritano i rapporti che l’ente intrattiene con agenti e soggetti ad esso vincolati, regolamentati attraverso contratto. La banca, allo scopo di agevolare il rispetto della normativa e dei regolamenti, richiama al momento della stipula del contratto le condotte che gli agenti ed i collaboratori devono tenere nell’esercizio dell’attività ed inoltre si impegna a fornire supporto operativo nell’esecuzione degli adempimenti richiesti dalle normative. Oltre alla realizzazione di specifici programmi di formazione già citati, l’ente deve attivarsi anche per mezzo di ispezioni nei punti operativi al fine di monitorare in maniera diretta il rispetto delle regole ed in particolare la pronta esecuzione della trasmissione dei dati all’Archivio Unico Informatico dell’istituto. Al fine di evitare ridondanze onerose e dispendi di tempo, l’intermediario può avvalersi, previa adeguata verifica, dei dati e delle informazioni raccolte dall’agente in merito alla clientela già contattata, alimentando il proprio archivio in modo rapido. 71 I principali sono stati tenuti da AIRA, l’Associazione Italiana Responsabili Antiriciclaggio, da ABI attraverso i programmi di ABI Formazione ed anche da AIIA per quanto specificamente riguarda i programmi di revisione interna sulla conformità all’antiriciclaggio. 112 Questa previsione si inserisce nel quadro innovativo dell’esecuzione da parte di terzi che ha permesso l’utilizzo delle informazioni richieste per l’adeguata verifica della clientela raccolte da altri soggetti, come disposto dall’art. 29 del d.lgs. 231/2007. Inoltre qualsiasi elemento che lasci presagire l’infedeltà o la negligenza nella raccolta dei medesimi dati deve essere valutato al fine dell’interruzione del rapporto di collaborazione. Ciò risulta necessario poiché anche nei rapporti con i collaboratori esterni, la responsabilità per la corretta attuazione dei presidi contro gli illeciti ricade sull’ente. Quanto invece ai rapporti intrattenuti con mediatori e collaboratori indipendenti attraverso convenzioni, l’istituto deve richiamare la regolamentazione al momento dell’accordo avendo cura di rispettare le autonomie, sia propria che del soggetto terzo. Come considerato in precedenza la funzione antiriciclaggio per una corretta azione di presidio del rischio deve interfacciarsi e coordinarsi con gli altri organi di controllo interno ai quali non è stata attribuita. La funzione in questione può costituire all’interno degli istituti un’unità organizzativa separata, i cui sforzi sono concentrati esclusivamente sulla prevenzione del riciclaggio e del finanziamento del terrorismo, ma può altresì – ed anzi auspicabile per la ragioni che si andranno ad esporre – essere incardinata in funzioni preesistenti, già destinatarie del presidio dei rischi e della conformità alle norme. In proposito Banca d’Italia ammette la possibilità di assegnare la funzione ai gestori del rischio per definizione, quali la Compliance ed il Risk Management. Qualora così non fosse è necessario che l’antiriciclaggio, quale elemento organizzativo a sé, sviluppi le proprie metodologie operative in collaborazione con gli altri organi del sistema dei controlli, potendo così realizzare l’azione coesa auspicata e promossa dai vertici. Oltre a sottoporre i propri pareri agli organi di vertice l’antiriciclaggio coopera attivamente con: la Compliance quale garante dell’osservanza delle norme applicabili all’istituto e della preservazione dai rischi; l’Internal Auditing chiamato a svolgere assessment sulle procedure attuate, nonché sull’operato della stessa funzione antiriciclaggio; il risk manager delegato alla valutazione dell’impatto dei rischi; le funzioni legale, organizzativa e di gestione delle risorse umane chiamate a svolgere supporto sulle materie di competenza in merito alla formazione del personale ed 113 all’aggiornamento alle nuove disposizioni, alla corretta applicazione delle norme al caso pratico, alla formulazione di modifiche organizzative in risposta alle carenze riscontrate, al rischio generato dall’introduzione di nuove prodotti e servizi; il responsabile dell’information technology nella gestione del sistema informativo e dell’AUI. Gli ultimi due punti indicano come la prevenzione del riciclaggio si estenda all’intera organizzazione coinvolgendo anche funzioni all’esterno del Sistema dei Controlli Interni. Ciò risulta indispensabile alla luce della proliferazione dei controllori, in un momento nel quale l’annunciato riordino tarda a concretizzarsi. D’innanzi alle nuove fonti primarie in materia che poco contribuiscono alla chiarezza, le banche devono autonomamente farsi largo e sviluppare internamente un’organizzazione orientata alla collaborazione, evitando i contrasti che possono generare falle nei controlli. Una soluzione alternativa nella collocazione della funzione è prevista attraverso l’outsourcing. È possibile che le funzioni fin qui richiamate siano attribuite ad un soggetto esterno, a condizione però che vengano rispettate le medesime caratteristiche di indipendenza, autorevolezza e professionalità previste per la soluzione opposta. Si tratta indubbiamente di una facoltà, attuabile però solamente tramite l’adozione delle dovute cautele, perciò è opportuno che la banca formalizzi le condizioni della concessione a terzi in un accordo. Il contratto deve almeno contenere clausole in merito agli obiettivi da perseguire, alla riservatezza riguardante le informazioni raccolte nell’esercizio delle proprie funzioni, nonché alla facoltà di modificare le condizioni medesime e di interrompere il rapporto, in ragione dell’evoluzione degli obblighi di legge o delle modifiche nella prestazione del servizio. Particolare attenzione deve essere rivolta ai flussi informativi destinati all’ente. Il soggetto concessionario deve provvedere alla divulgazione delle informazioni raccolte secondo la cadenza minima prestabilita ed in ogni caso qualora la corretta operatività richieda la conoscenza rapida ed accurata dei dati. In quest’ottica i vertici e le altre funzioni di controllo devono poter accedere senza interferenza alcuna al database del soggetto terzo. La questione dell’accesso ai dati riguarda anche i soggetti esterni all’istituto che compiono anch’essi azione di contrasto alle attività criminali con finalità differenti: così come per i soggetti interni, anche Banca d’Italia ed l’Ufficio di Informazione Finanziaria devono poter consultare liberamente e senza ritardo le informazioni. 114 L’intermediario rimane anche in questo caso il responsabile delle eventuali manchevolezze nell’attività prestata dall’outsourcer e deve in ogni caso nominare un soggetto interno che faccia da tramite ed assicuri il corretto svolgimento dell’operato – sia secondo i termini dell’accordo di esternalizzazione, che relativamente agli obblighi di legge – attraverso un’operazione costante di supervisione. Data la delicatezza e le numerose accortezze che la predisposizione di un accordo tale comporta, nonché la complessità nel raggiungimento della coesione con gli altri organi interni, l’Autorità di Vigilanza ha precisato che “non si reputa coerente con il principio di proporzionalità l’esternalizzazione della funzione antiriciclaggio da parte delle imprese dimensionalmente significative o caratterizzate da complessità operativa”, fatto alquanto comune per gli istituti di credito. 2.2.3 La realizzazione di una coscienza condivisa: la policy Le disposizioni antiriciclaggio e di contrasto al finanziamento del terrorismo hanno seguito l’approccio principle based limitando le norme “chiuse” – completamente definite, configurabili come meri adempimenti – e privilegiando l’impostazione ispirata a proporzionalità. In conseguenza ha assunto rilevanza l’attuazione delle norme risk based. Si è così realizzato un sistema normativo “a cascata” che tra le proprie origini dalle massime contenute nelle Quaranta Raccomandazioni del GAFI e degli altri organismi internazionali impegnati nell’ambito, proseguendo via via per la direttiva europea, i decreti legislativi nazionali e la disciplina penale, giungendo sino alle previsioni secondarie di Banca d’Italia, per altro ancora in piena fase di completamento. Ispirandosi agli ampi accordi internazionali in materia, le normative che si sono susseguite hanno cercato di ridurre la portata generale inserendo previsioni sempre più specifiche in relazione al rispettivo ambito di interesse. Ciò si è realizzato attraverso il recepimento della direttiva europea nell’ordinamento italiano, coordinando il nuovo dettato con le misure già esistenti ed analogamente ha proceduto Banca d’Italia riguardo ai soggetti vigilati. Tuttavia non è pensabile che quanto sinora predisposto – né allo stesso modo quanto verrà attuato in futuro – possa rappresentare il punto d’arrivo della disciplina antiriciclaggio e di contrasto del terrorismo e perciò direttamente applicabile al singolo istituto. Il processo sequenziale di proliferazione che interessa la regolamentazione de qua prevede dunque un’ulteriore fase interna all’istituto, attraverso la quale verrà predisposto un decalogo riguar115 dante l’approccio che l’intermediario adotta nell’osservanza delle disposizioni in materia: la policy. La necessità di disporre di una regolamentazione interna trae origine nelle Raccomandazioni del GAFI, dove è precisato che le istituzioni finanziarie debbono sviluppare programmi antiriciclaggio e in opposizione al finanziamento del terrorismo che includano: lo sviluppo di politiche interne, procedure e controlli, inclusi accordi appropriati di gestione della conformità, nonché adeguate procedure di monitoraggio atte a garantire elevati standard in sede di assunzione dei lavoratori; programmi di formazione continua del personale; il coinvolgimento della funzione di revisione nella verifica del sistema.72 In accordo con la funzione preposta, il management provvede alla redazione del programma antiriciclaggio aziendale avendo cura di formalizzare in esso l’organizzazione della struttura, l’individuazione di compiti e responsabilità delle unità interessate nel processo di conformità alle norme. Le indicazioni interessano anche la predisposizione di programmi di formazione calibrati in base al rischio gestito, nonché l’adeguata verifica della clientela, la registrazione delle informazioni acquisite e la segnalazione delle operazioni sospette. Il programma deve individuare all’interno del Sistema dei Controlli Interni la funzione deputata alla gestione del complesso apparato antiriciclaggio, definendo i rapporti con le altre funzioni di gestione del rischio e riconducendo ad unità le attività attribuite attraverso l’elezione del responsabile antiriciclaggio. Per quanto attiene ai programmi di formazione del personale, lo scopo della policy, oltre all’illustrazione delle modalità di fruizione, è quello di diffondere la conoscenza e la cultura antiriciclaggio e di contrasto al terrorismo all’interno dell’intera organizzazione, affinché si crei una coscienza comune, nonché la collaborazione necessaria al corretto presidio del rischio. Il personale deve essere particolarmente istruito in merito alla normativa antiriciclaggio ed alle politiche interne dell’istituto. Altrettanto importante è la necessità di predisporre tipologie differenti di programmi formativi in relazione ai compiti assolti. 72 “Financial institutions should develop programmes against money laundering and terrorist financing. These programmes should include: a) The development of internal policies, procedures and controls, including appropriate compliance management arrangements, and adequate screening procedures to ensure high standards when hiring employees. b) An ongoing employee training programme. c) An audit function to test the system”. 116 Il contenuto della policy deve comunque rispondere alle esigenze dell’organizzazione secondo i principi cardine della proporzionalità e deve altresì tenere in forte considerazione il livello di rischio affrontato. In particolare è possibile definire tale provvedimento come “l’attuazione concreta del principio di proporzionalità, il criterio di esercizio delle funzioni di controllo, cioè quel documento strategico di governo che esprime la misura di coerenza fra le finalità preventive e la protezione del business”73. Il richiamo alla protezione del business deriva dal forte legame con la normativa di prevenzione (in generale si fa riferimento ad un più ampio concetto di mantenimento della stabilità del sistema finanziario), giustificando così la predisposizione di politiche basate sul livello di rischio affrontato. In conclusione la policy è la definizione di un regolamento interno che illustra l’approccio assunto dall’ente nella personale azione di presidio delle minacce in questione, formalizzandone ogni aspetto in termini di compiti e responsabilità attribuite. Successivamente ne è prevista la diffusione all’interno della struttura affinché tutti ne siano a conoscenza e si possa così realizzare una comune coscienza antiriciclaggio. Infine il programma interno deve risultare stabile per garantire certezza e serietà dei propri contenuti, ma allo stesso tempo mutevole, coerentemente con l’evoluzione dell’assetto normativo ed organizzativo dell’istituto. 2.2.4 Responsabile antiriciclaggio e delegato antiriciclaggio Ogni funzione antiriciclaggio, prescindendo dalla forma organizzativa prescelta , deve essere dotata di un responsabile al quale fare riferimento in merito alla gestione delle attività. Tale figura è indicata con la terminologia “responsabile antiriciclaggio” secondo il fil rouge di indeterminatezza già adottato dall’Autorità nell’individuazione74 della funzione antiriciclaggio. Come già affrontato, la configurazione organizzativa della quale si è dotata la banca non ha alcuna rilevanza sulla necessità di adottare un responsabile a capo della funzione: egli deve essere nominato sia nell’ipotesi in cui l’antiriciclaggio assuma una propria struttura all’interno dei controlli interni, così come nell’eventualità di una scelta di esternalizzazione. 73 Da R. RAZZANTE in “Il libro bianco sulla normativa antiriciclaggio”, Roma, Febbraio 2010. O meglio nella non individuazione, poiché come già indicato lo scopo perseguito non è quello di concretizzare la funzione all’interno di un organo già esistente. L’ampiezza e l’eterogeneità dei destinatari impedisce alle disposizioni questa individuazione, limitandosi così all’esposizione dei requisiti dei quali deve essere in possesso. Spetterà ai singoli soggetti individuare la soluzione organizzativa più idonea alle proprie peculiarità. 74 117 Inoltre nulla cambia anche per la soluzione che prevede l’inserimento di personale deputato al presidio del riciclaggio direttamente in aree operative, secondo il modello decentrato compatibile con le disposizioni in materia di compliance. La nomina del responsabile – ricalcando le previsioni in riferimento all’head of compliance – rientra nel novero del Consiglio di Amministrazione, sentito il parere dell’organo di controllo, mantenendo un’impronta coerente in riferimento alle attribuzioni di responsabilità. È tuttavia possibile che i suggerimenti in merito al soggetto maggiormente idoneo possano arrivare direttamente dalla funzione stessa, qualora sia già costituito il gruppo di operatori ad essa assegnati. Nel fornire i suggerimenti è necessario tenere in considerazione le caratteristiche personali ed il bagaglio di conoscenze posseduti, i quali dovranno necessariamente rispondere ai requisiti di indipendenza, professionalità ed autorevolezza. Sarà in ogni caso compito dei vertici predisporre un assetto organizzativo tale da garantire che l’attività del responsabile non venga turbata, privilegiando quindi il rapporto diretto ed evitando la soggezione ad organi direttivi. È dunque importante che il responsabile non abbia contestualmente compiti gestionali in aree operative ed allo stesso modo non dipenda da soggetti titolari di questi ultimi. A questo scopo è necessaria la formalizzazione dei compiti e delle responsabilità del primo funzionario e la divulgazione all’interno della struttura. Peculiarità riservata a questa figura riguarda inoltre la comunicazione della nomina, nonché la sostituzione del soggetto all’Ufficio di Informazione Finanziaria istituito presso Banca d’Italia. Da ultimo è stata concessa la facoltà per gli enti in questione caratterizzati da dimensioni limitate e semplicità operativa di poter affidare il ruolo ad un amministratore, “purché privo di deleghe”; come sottolineato per l’outsourcing, anche questa soluzione non sembra essere l’ipotesi corretta adottabile dalle banche. Figura diversa è quella del delegato antiriciclaggio ex art. 42 del d.lgs 231/2007, dove al comma 4 è possibile leggere che “il titolare dell’attività, il legale rappresentante o un suo delegato esamina le segnalazioni pervenutegli e, qualora le ritenga fondate tenendo conto dell’insieme degli elementi a sua disposizione, anche desumibili dall’archivio unico informatico, le trasmette alla UIF prive del nominativo del segnalante”. Come è possibile desumere dalla normativa, il soggetto delegato è nominato all’interno dell’istituto allo scopo di raccogliere i fatti e le operazioni sospette di riciclaggio e finanzia- 118 mento del terrorismo che vengono portate alla sua attenzione dal personale, procedendo successivamente al vaglio. Qualora secondo le indagini compiute – avvalendosi altresì delle strutture interne e dell’archivio informatico – la minaccia fosse ritenuta fondata, il delegato provvede senza indugio alla trasmissione delle segnalazioni all’Ufficio di Informazione Finanziaria. Nonostante la distinzione operata tra responsabile e delegato antiriciclaggio sono numerosi gli elementi che li accomunano: anche il delegato deve essere un soggetto con le citate caratteristiche di indipendenza, professionalità ed autorevolezza, inoltre non deve ricoprire il ruolo di supervisore in aree operative, o esserne direttamente assoggettato ed il nominativo del soggetto destinatario della nomina deve essere comunica all’UIF. Infine il corretto svolgimento dei propri incarichi comporta necessariamente la stretta collaborazione con il responsabile antiriciclaggio, quale principale referente dell’attività di prevenzione. Ma la normativa secondaria si spinge oltre il rapporto collaborativo prospettando, alla luce delle somiglianze tra figure, la possibilità che i soggetti coincidano, attribuendo al responsabile antiriciclaggio la delega per la valutazione e la trasmissione delle segnalazioni pervenutegli. Quest’ultimo sarà di conseguenza investito dei compiti derivanti dalla gestione della struttura antiriciclaggio che annovera: l’identificazione nel continuum delle norme antiriciclaggio ed antiterrorismo applicabili all’istituto; la valutazione dell’impatto che esse comportano sulla presente struttura organizzativa e di prevenzione; il supporto e la proposizione di soluzioni idonee alla riduzione del rischio; la successiva verifica in merito all’efficacia ed all’efficienza dei provvedimenti adottati; la consulenza agli organi di vertice in merito alle problematiche in oggetto; l’azione di coordinamento con le altre strutture aziendali coinvolte nella gestione del rischio. A queste andrebbero ad aggiungersi: la valutazione riguardante i casi sospetti di riciclaggio e finanziamento del terrorismo; l’inoltro delle segnalazioni ritenute fondate all’Ufficio di Informazione Finanziaria. 119 Anche se la facoltà introdotta da Banca d’Italia non è configurabile come un conflitto di interessi in virtù della vicinanza delle attività ed in riferimento alla medesima natura di controllore in capo ai soggetti, autorevole dottrina in materia75 ritiene che quest’approccio potrebbe “svilire” la figura del delegato che si troverebbe per necessità coinvolto nella fase operativa di gestione del rischio. È dunque possibile che il responsabile antiriciclaggio, quale “guardiano” immediatamente impegnato nell’azione di preservazione della struttura dal coinvolgimento in fatti di riciclaggio, manchi dell’adeguata libertà ed indipendenza di pensiero che gli permettano di valutare in modo oggettivo i fatti segnalati. Per questo motivo ed in virtù della possibilità di assegnare la funzione antiriciclaggio a strutture di controllo interno già esistenti, che comporterebbe la convivenza di più ruoli in capo al medesimo soggetto, è preferibile per gli istituti di credito l’adozione di una soluzione che separi la figura del responsabile antiriciclaggio dal delegato antiriciclaggio. 2.2.5 L’evoluzione dell’articolo 52 sul ruolo dell’Internal Auditor in materia di antiriciclaggio L’articolo 52 della legge antiriciclaggio è stato al centro di un lungo dibattito per una serie di motivi tutti riconducibili ad un’eccessiva indeterminatezza della formulazione adottata, che ha comportato confusione nell’applicazione. Al fine di agevolare la comprensione si riporta il testo del’articolo nella sua prima formulazione contenuta nel d.lgs. 231/2007: In particolare ha destato attenzione la formulazione “[...]e tutti i soggetti incaricati del controllo di gestione comunque denominati presso i soggetti destinatari del presente decreto” alla quale la dottrina ha cercato di dare la propria interpretazione. In primis si è cercato di interpretare il significato di controllo “di gestione” contestualizzandolo nella normativa e differenziandolo dal controllo “sulla gestione”76. Si è evidenziato come quest’ultimo faccia riferimento ad organi aziendali e nel caso al Collegio Sindacale, peraltro già menzionato al primo comma, mentre il controllo di gestione attenga a funzioni, preferibilmente allocabili in staff alla direzione generale. 75 Cfr. R. RAZZANTE in “Il libro bianco sulla normativa antiriciclaggio”, Roma febbraio 2010. Cfr. R. RAZZANTE, “L’art. 52 d.lgs. 231/2007: l’equivoco degli organi “incaricati” del controllo di gestione” in “La responsabilità amministrativa degli enti”, pp. 133 – 142. 76 120 Successivamente sono sorti dubbi sull’estensione dell’investitura di controllori antiriciclaggio prevista nella disposizione. In particolare ci si è chiesto se l’Internal Auditor, con funzione di presidio dell’adeguatezza e dell’efficienza delle soluzioni gestionali adottate, possa essere responsabile al contempo della gestione del rischio di riciclaggio nell’istituto. Il dubbio in questione è stato fugato attraverso una nota emessa dalla vigilanza bancaria e finanziaria di Banca d’Italia del 20 febbraio 2008 in risposta al puntuale quesito sull’applicazione del d.lgs. 231/2007. La richiesta mirava ad ottenere chiarimenti in merito alla possibilità di comprendere la funzione di Internal Auditing delle banche nel novero dei soggetti sottoposti agli obblighi previsti dalla’articolo 52, comma 1 del decreto in questione. Precisando come la pronuncia in materia sia frutto del coordinamento con il Ministero dell’Economia e delle Finanze, la Guardia di Finanza e l’Unità di Informazione Finanziaria, Banca d’Italia ha inequivocabilmente sottolineato che detta unità organizzativa non possa farsi carico della gestione dei presidi in contrasto al riciclaggio. La motivazione è da ricercarsi nella diversità rispetto ai citati organismi di controllo “in quanto l’attività di verifica che essa esercita viene svolta in base ad un rapporto di dipendenza con gli organi amministrativi della banca sui quali ricade la responsabilità di assicurare la funzionalità del sistema dei controlli interni, ivi compresi quelli deputati al contrasto del riciclaggio e del finanziamento del terrorismo”. Con questa nota sì è sottolineato che il controllo di terzo livello esercitato dalla revisione interna allo scopo di riferire direttamente al management in merito ad anomalie nell’esecuzione delle attività e delle procedure, violazioni che possano interessare la regolamentazione interna, nonché la formulazione di un giudizio complessivo riguardante l’intero Sistema dei Controlli Interni, non possa essere compatibile con l’attività di gestione del rischio di riciclaggio. Sul tema è stata fatta ulteriore chiarezza con l’intervento correttivo alla legge antiriciclaggio apportato dal decreto n. 151 emesso il 25 settembre 2009. Oltre alla modifica al secondo comma77, l’articolo 52 è stato interessato anche dal cambiamento del primo attraverso l’inserimento della precisazione “[...]ciascuno nell’ambito delle proprie attribuzioni e competenze” in riferimento alla vigilanza di cui sono destinatari i soggetti incaricati del controllo in questione. 77 Alla lettera d) è stato sostituito l’UIF con la vigilanza settoriale, portando alla seguente formulazione del testo: «comunicano, entro trenta giorni, alla autorità di vigilanza di settore le infrazioni alle disposizioni contenute nell’articolo 36 di cui hanno notizia». 121 Il testo aggiornato del primo comma è quindi il seguente: “fermo restando quanto disposto dal codice civile e da leggi speciali, il collegio sindacale, il consiglio di sorveglianza, il comitato di controllo di gestione, l'organismo di vigilanza di cui all'articolo 6, comma 1, lettera b), del decreto legislativo 8 giugno 2001, n. 231, e tutti i soggetti incaricati del controllo di gestione comunque denominati presso i soggetti destinatari del presente decreto vigilano, ciascuno nell’ambito delle proprie attribuzioni e competenze, sull'osservanza delle norme in esso contenute”. Attraverso il nuovo testo si è evitato lo stallo della precedente formulazione, che secondo un’interpretazione estensiva avrebbe portato alla moltiplicazione degli attori chiamati a farsi carico del presidio del rischio, non escludendo complicazioni nei rapporti tra soggetti coinvolti e sovrapposizione delle figure con conseguente dispendio di risorse. In questo modo le funzioni e gli organi deputati al controllo operano in materia antiriciclaggio limitatamente al proprio ambito d’interesse. Qualora sussistessero ulteriori perplessità riguardanti il ruolo dell’Internal Auditor, la normativa secondaria di Banca d’Italia è intervenuta in maniera chiara e categorica nel dirimere la questione: l’ufficio di Revisione Interna non può essere assegnatario della funzione antiriciclaggio. Passando ad una esposizione in positivo, l’Internal Auditing è chiamato a volgere all’interno dell’ente un’azione di verifica della corretta applicazione delle norme e delle procedure interne predisposte a presidio dei rischio di riciclaggio e finanziamento del terrorismo. Più nello specifico è incaricata del controllo: sul rispetto dell’obbligo di adeguata verifica della clientela al momento dell’apertura del rapporto e lungo tutto l’arco della relazione; riguardante la corretta registrazione dei dati e conservazione della documentazione; in merito alle procedure di alimentazione dell’Archivio Unico Informatico ed all’affidabilità del sistema informatico; sull’effettiva collaborazione del personale nella corretta attuazione delle procedure di controllo e di segnalazione istituite. Le attività elencate sono svolte attraverso l’esecuzione di interventi precedentemente programmati e sono rivolti sia alla funzione antiriciclaggio quale gestore delle politiche di prevenzione, sia alle unità operative che materialmente eseguono i controlli. 122 Su queste ultime dovranno concentrarsi verifiche ripetute poiché a più stretto contatto con la clientela, laddove nella sostanza ha origine il rischio. È dunque un’attività che mira a verificare la rispondenza di quanto in generale stabilito e predisposto. L’attività così descritta è compatibile con la nuova formulazione dell’art. 52 in quanto il controllo così configurato rientra nella normale attività della Revisione Interna. Così come l’auditor verifica che la funzione Risk Management assolva i compiti attribuiti secondo le disposizioni del management, allo stesso modo accadrà per la funzione antiriciclaggio. È questo il nodo gordiano che impedisce il conflitto di interessi secondo il quale il controllore sarebbe al tempo stesso il soggetto sottoposto a controllo. 2.2.6 Il parallelo tra disposizioni antiriciclaggio e di conformità La normativa secondaria emessa da Banca d’Italia avente ad oggetto organizzazione, procedure e controlli interni sul tema del contrasto al riciclaggio e finanziamento del terrorismo – anche se non ancora definitiva – ha fornito un primo quadro completo relativamente alla funzione antiriciclaggio ed all’unità ad essa preposta. Tuttavia l’Autorità di vigilanza nella redazione del testo ha adottato un approccio ampio e generale nella terminologia dettato, come anticipato, dalla platea eterogenea ai cui le disposizioni vengono applicate. Banca d’Italia non ha però voluto esimersi dal porre essere punti fermi di inequivocabile chiarezza, così come testimoniato dalla presa di posizione riguardo il ruolo dell’Internal Audit. Inoltre, proprio in merito alla funzione antiriciclaggio si è lasciato “spazio di manovra” riguardo alle ipotesi di attribuzione della stessa a soggetti già istituiti presso gli enti, prospettando la possibilità che il ruolo di gestore del rischio in questione possa essere rivestito dalle unità organizzative Compliance e Risk Management. Non a caso il riferimento è fatto a detti soggetti; infatti è possibile confrontare le previsioni de qua con le Disposizioni di Vigilanza in merito all’attività di conformità emesse sempre da Banca d’Italia nel 2007 e notare una certa assonanza tra le indicazioni contenute. Sembra dunque che l’Autorità abbia ripreso quanto disposto in materia di compliance allo scopo di gestire il rischio – o ancora meglio i rischi, principalmente legale e reputazionale – di riciclaggio e finanziamento del terrorismo come un rischio di non conformità alle normative che lo regolamentano. 123 Non sembra essere azzardato affermare che ancor prima di una ammissione esplicita, Banca d’Italia abbia voluto implicitamente indicare l’unità di conformità come il soggetto predestinato al presidio del rischio trattato, ancor più idonea rispetto al Risk Management, maggiormente improntata alla valutazione e quantificazione dei rischi che minacciano l’ente. Il risk manager è coinvolto nelle prime fasi del processo di verifica sull’adeguatezza del capitale interno (Internal Capital Adequacy Assessment Process – ICAAP) che prevedono l’individuazione dei rischi da sottoporre a valutazione e la conseguente misurazione degli stessi necessaria alla determinazione del patrimonio di sicurezza secondo le regole di vigilanza prudenziale. Sembra perciò che l’approccio basato sulla quantificazione dei rischi, specialmente se finalizzato alla determinazione del capitale di vigilanza, sia lontano dall’attività richiesta per il contrasto del riciclaggio che pone le proprie basi in un’attività ragionata sulla base del rischio normativo ma soprattutto reputazionale, per definizione incalcolabile e di complicata gestione. In riferimento all’Internal Auditor si è già visto come la sua partecipazione alla prevenzione delle minacce non possa, per espresso divieto, assumere un ruolo di centralità e coordinamento, data la necessità di svolgere verifiche imparziali sull’efficienza dell’intero processo di salvaguardia. L’approccio adottato dalla revisione interna è caratterizzato da controlli che interessano specifiche aree, processi o uffici aziendali, allo scopo di ricercare problematiche ed incongruenze rispetto al corretto modo di operare indicato dalla gestione. Indubbiamente tale impronta non sarebbe adatta alle esigenze di gestione, organizzazione e coordinamento che la funzione antiriciclaggio necessariamente richiede. Inoltre non sembra essere opportuno, in linea con le disposizioni di Banca d’Italia, il posizionamento della funzione all’interno dei controlli di terzo livello. Come già premesso, le disposizioni adottate in materia dall’Autorità bancaria hanno seguito un approccio simile a quello in tema di conformità, almeno per quanto attiene all’organizzazione di cui la funzione deve dotarsi78. 78 La stessa Banca d’Italia sottolinea come “in linea con le disposizioni volte a rafforzare la gestione del rischio di non conformità (compliance), la presente normativa mira a introdurre presidi specifici per il controllo del rischio di riciclaggio e finanziamento del terrorismo, richiedendo agli intermediari risorse, procedure, funzioni organizzative chiaramente individuate e adeguatamente specializzate”. 124 La disciplina è così pregna di riferimenti – anche diretti nonostante i destinatari multiforme ai quali si riferisce – alla Compliance, già presente negli istituti di credito ai quali si sta facendo riferimento. Risulta d’obbligo verificare se l’attribuzione della funzione antiriciclaggio così delineata possa essere adeguatamente gestita dall’unità di compliance ed inserita nel processo di conformità. Riprendendo quanto esposto nel capitolo dedicato, tale unità organizzativa è chiamata all’interno del Sistema dei Controlli Interni a svolgere l’attività che garantisce il rispetto di leggi e regolamenti al fine di prevenire sanzioni, perdite operative, finanziarie e reputazionali che deriverebbero dall’inosservanza di leggi e regolamenti. In questa definizione vi rientra senza alcuno dubbio il rischio di riciclaggio e finanziamento del terrorismo in quanto rintracciabili gli elementi di cogenza da provvedimenti legislativi e regolamentari e di onerosità derivante da sanzioni o perdite reputazionali. È così possibile definire il rischio di riciclaggio come un rischio tipico di non conformità e da questo punto considerare la Compliance come assegnataria della funzione antiriciclaggio. Per quanto attiene alla forma organizzativa, la Compliance ha tra le sue referenze la caratteristica di indipendenza cha la disciplina antiriciclaggio richiede e deve essere altresì dotata di risorse, sia umane che monetarie che le garantiscano l’operatività secondo gli standard qualitativi definiti con il management. Nel fare ciò il riferimento costante è ai principi di proporzionalità e rischiosità quali pilastri delle nuove disposizioni in materia finanziaria. La conformità definisce con gli organi di vertice la politica istituzionale in materia di antiriciclaggio, la quale dovrà contenere l’esplicita attribuzione dei compiti e delle responsabilità di gestione e coordinamento dell’apparato, indicando inoltre la condotta che il personale deve tenere in riferimento alle tematiche e calibrando il livello di attenzione sulla base della rischiosità dei compiti loro assegnati. Tuttavia il rapporto che la Compliance intrattiene con i vertici è altresì rivolto alla collaborazione, attraverso le attività di supporto e di suggerimento nell’intento di predisporre un corretto sistema di prevenzione del rischio, del quale la conformità è interprete e coordinatore. Continuando con gli aspetti organizzativi, alla Compliance deve riservarsi l’adeguato livello di indipendenza che la gestione della minaccia di riciclaggio impone. 125 È questo un punto di particolare delicatezza poiché la libertà da condizionamenti ed influenze deve concretizzarsi sotto il profilo strettamente organizzativo, evitando così la soggezione a responsabili di aree operative che ne comprometterebbero la libertà d’azione. Analogamente l’indipendenza è perseguibile attraverso un’adeguata dotazione di risorse umane e monetarie che devono garantire la gestione di una funzione complessa quale l’antiriciclaggio. Un clima collaborativo e rapporti fortemente interconnessi che pongono al centro l’unità di compliance sono la base di un efficiente programma di prevenzione del suddetto rischio, che prevede il necessario coinvolgimento dell’intero Sistema dei Controlli Interni. Risulta perciò strategico il coordinamento tra tutte le unità del sistema, sottoposto a verifiche dalla Revisione Interna, la quale è in grado di evidenziare attraverso un approccio ex post le carenze di adeguatezza. Il rapporto con la funzione di Risk Management è invece improntato allo scambio di informazioni in merito alle valutazioni di impatto che il in questione potrebbe avere sull’ente, con particolare riferimento alle connotazioni di rischio legale e reputazionale. Nel fare riferimento ai flussi informativi, è rilevante per la conformità avere a disposizione un sistema di scambio delle informazioni che garantisca la piena conoscenza del fenomeno a tutti i soggetti coinvolti, in primo luogo al management, senza trascurare la tempistica, che in materia di antiriciclaggio assume un aspetto cruciale. È importante che le evidenze raccolte siano prontamente nella disponibilità della Compliance e del responsabile antiriciclaggio, al fine di poter prendere decisioni efficaci in tempi rapidi. Il sistema informativo deve quindi riflettere l’estensione del relativo sistema di contrasto e le esigenze degli attori coinvolti, garantendo prontezza nelle segnalazioni e negli scambi ed al tempo stesso riservatezza delle notizie indice di operazioni sospette, le quali non possono e non devono trapelare all’infuori dei soggetti direttamente coinvolti. Un approfondimento merita il ragionamento intorno al responsabile antiriciclaggio. La disciplina dell’Autorità di Vigilanza precisa inequivocabilmente che destinatari del ruolo possono essere alternativamente l’head of compliance ed il risk manager: tuttavia, per palesi questioni logiche prima ancora che organizzative, il soggetto predestinato sembra essere il responsabile della Compliance alla quale è attribuita la funzione antiriciclaggio. 126 Quest’ultimo è già in possesso dei requisiti di indipendenza, professionalità ed autorevolezza richiamati dalla materia, nonché espressione del potere gestionale e delle responsabilità relativamente alla propria unità organizzativa di conformità. È possibile dunque sostenere che, se la Compliance è l’unità organizzativa di elezione della funzione antiriciclaggio, consequenzialmente l’head of compliance è il soggetto destinato a ricoprire il ruolo di responsabile antiriciclaggio, attesa la contiguità delle strutture organizzative. Per usare una terminologia efficace “il responsabile della compliance favorisce la reconductio ad unum” delle attività antiriciclaggio ed in particolare di quelle riconducibili al processo di conformità, “accentrando le funzioni o valorizzando le competenze di altre unità organizzative”79. Appare in questo modo più giustificabile la necessità precedentemente esposta di separare le figure di responsabile antiriciclaggio e delegato antiriciclaggio. La sovrapposizione di compiti e responsabilità in materia di conformità in capo all’head of compliance e le specifiche attribuzioni quale responsabile antiriciclaggio non sembrano lasciare spazio ad ulteriori adempimenti se, come necessario, si vuole salvaguardare l’efficienza dei ruoli. Inoltre la sua cultura è fortemente improntata al controllo, in coordinamento con le altre unità del Sistema. Questo appare certamente come un limite ai fini dei compiti spettanti al delegato antiriciclaggio, chiamato alla valutazione imparziale – non coinvolta – delle segnalazioni sospette. L’attribuzione della figura di responsabile antiriciclaggio all’head of compliance sembra dunque allontanare ancor più l’ipotesi che ad esso possa fare capo anche la delega per la valutazione di segnalazioni sospette. Trattato l’aspetto organizzativo risulta opportuno considerare come il processo di conformità è interessato dagli adempimenti antiriciclaggio ed antiterrorismo posti in capo alla Compliance. Come illustrato nel capitolo precedente80 all’unità di compliance spetta il ruolo di protagonista all’interno del processo di conformità, volto a garantire la rispondenza dell’assetto aziendale alla normativa ed ai provvedimenti per i quali è stata assunta un’obbligazione implicita. 79 80 L’espressione è di R. RAZZANTE in “Il libro bianco sulla normativa antiriciclaggio”. Il riferimento è al paragrafo 3.1 Il ruolo della funzione Compliance nel processo di conformità. 127 Concentrando l’analisi alle sole disposizioni in oggetto è possibile verificare come gli adempimenti che compongono detto processo siano applicabili ed efficaci anche in materia di antiriciclaggio. La prima fase è identificabile nello studio della normativa e dei regolamenti applicabili all’istituto. La Compliance accerterà la soggezione dell’ente alle disposizioni europee contenute nella direttiva 2005/60/CE, nonché ai decreti legislativi n. 231/2007 e n. 109/2007 ed inoltre alle disposizioni riportate agli articoli 648, 648-bis e 648-ter del codice penale. L’attenzione sarà altresì rivolta alle Raccomandazioni del GAFI, ma anche ai suggerimenti ed alle linee guida emanate dal Fondo Monetario Internazionale e dall’Organizzazione delle Nazioni Unite. Da ultimo – ma non per importanza – lo sguardo sarà indirizzato verso la normativa secondaria di Banca d’Italia, le disposizioni dell’UIF e le note del Ministero dell’Economia e delle Finanze. Qualora l’intermediario operasse al di fuori dei confini nazionali attraverso divisioni o filiali, il processo interesserà anche l’impianto normativo locale. Una volta accertato il perimetro, sarà premura della conformità seguirne attentamente l’evoluzione per adeguare la struttura alle nuove previsioni. Per l’identificazione della normativa e la valutazione d’impatto la Compliance si avvale della collaborazione delle funzioni legale ed organizzativa attraverso la formalizzazione di accordi servizio. La fase successiva prevede l’adozione di un approccio di controllo ex ante applicato alla valutazione dell’esposizione al rischio in questione attraverso tecniche di misurazione tipiche del risk assessment. La procedura assume risvolti di particolare delicatezza alla luce delle diverse tipologie di obblighi previsti dalla legge antiriciclaggio. Facendo riferimento nello specifico alle norme stringenti la valutazione è relativamente semplice e di immediata: l’intermediario risulterà o meno compliant. Complicazioni non trascurabili presentano invece quelle prescrizioni il cui testo non contempla adempimenti già definiti, ma lascia all’istituto la libertà di autorganizzarsi secondo le proprie caratteristiche. È questo l’ambito dove l’head of compliance, coadiuvato dallo staff della propria unità specializzata in antiriciclaggio, dimostra il valore aggiunto del proprio ruolo, chiamato 128 all’interpretazione e nel contempo all’espressione di un giudizio di rispondenza alla norma, laddove non v’è certezza. In questo sono limitati i poteri di supporto del risk manager che poco può fare attraverso delle proprie valutazioni dinnanzi alla portata generale di parte dei provvedimenti. Il ruolo proattivo della Compliance spiega inoltre i propri effetti anche in materia di antiriciclaggio, nello specifico in riferimento alla fase successiva di consulenza al management sulle modifiche organizzative da adottare. Necessaria si rivela la collaborazione con la funzione organizzativa e gli altri componenti del Sistema dei Controlli Interni allo scopo di mantenere o potenziare il coordinamento tra i vari soggetti affidatari di compiti antiriciclaggio. La fine del processo vede la Compliance impegnata nella seconda tipologia di attività tipiche, il controllo ex post. L’unità, anche avvalendosi delle risultanze riscontrate dall’Internal Auditing, valuta l’efficacia e l’efficienza delle azioni predisposte dai vertici per una corretta azione di presidio. Fuori dalle attività del processo, l’unità di compliance partecipa anche alle attività formative del personale. In linea con quanto stabilito nella policy, la Compliance si fa carico dei compiti di apprendimento in merito alle novità introdotte in campo normativo e regolamentare, provvedendo altresì all’aggiornamento in materia di prassi e tecniche maggiormente utilizzate nella predisposizione di attività di riciclaggio e finanziamento del terrorismo. La formazione, in osservanza dell’approccio basato sul rischio deve essere opportunamente calibrata in relazione alla tipologia di destinatari: maggior attenzione dovrà essere rivolta alle aree che vengono direttamente a contatto con la clientela, specialmente se abilitate all’instaurazione di rapporti continuativi, nonché all’esecuzione di operazioni su capitali. Anche questa attività vede la collaborazione tra Compliance ed altre unità aziendali, quali gestione del personale e funzione legale. Tuttavia un prezioso aiuto giunge dai soggetti esterni all’organizzazione, impegnati in vario modo nella lotta al riciclaggio: la Guardia di Finanza e l’Ufficio di Informazione Finanziaria, ma anche Banca d’Italia, il Ministero dell’Economia e le associazioni specializzate possono fornire consulenza su aspetti tecnici della materia, contribuendo ad elevare la qualità dei programmi di formazione. 129 In linea con quanto presentato in precedenza, è proposto di seguito un confronto riassuntivo tra la disciplina in materia di compliance e le disposizioni secondarie su antiriciclaggio, al fine di realizzare un parallelo che evidenzi immediatamente la palese contiguità tra i provvedimenti in questione. PARALLELO TRA COMPITI E RESPONSABILITÀ DI COMPLIANCE E DI ANTIRICICLAGGIO Ambiti Aziendali di Analisi CONSULENZA Compliance Funzione Antiriciclaggio Svolge consulenza e assistenza nei confronti degli organi di vertice della banca in tutte le materie in cui assume rilievo il rischio di non conformità nonché la collaborazione nell’attività di formazione del personale sulle disposizioni applicabili alle attività svolte al fine di diffondere una cultura aziendale improntata ai principi di onestà, correttezza e rispetto dello spirito e della lettera delle norme. Presta consulenza e assistenza agli organi aziendali e all’alta direzione; in caso di offerta di prodotti e servizi nuovi, la funzione effettua in via preventiva le valutazioni di competenza. Pone in essere una attenta opera di addestramento e di formazione del personale sugli obblighi previsti dalla normativa antiriciclaggio. Inoltre predispone un documento, da sottoporre all’approvazione dell’organo con funzione di supervisione strategica, che definisce responsabilità, compiti e modalità operative nella gestione del rischio di riciclaggio e di finanziamento al terrorismo. Verifica l’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di conformità. Inoltre propone modifiche organizzative e procedurali finalizzate ad assicurare adeguato presidio dei rischi di non conformità identificati. Collabora all’individuazione degli assetti organizzativi finalizzati alla prevenzione e al contrasto dei rischi di riciclaggio e finanziamento del terrorismo e verifica nel continuo il loro grado di efficacia. Inoltre verifica l’idoneità dei modelli organizzativi adottati e propone le modifiche necessarie o opportune al fine di assicurare un adeguato presidio degli stessi rischi. ASSURANCE Modello di governance (assetto organizzativo) 130 PARALLELO TRA COMPITI E RESPONSABILITÀ DI COMPLIANCE E DI ANTIRICICLAGGIO Ambiti Aziendali di Analisi Organizzazione dell’unità Rapporti con altre funzioni aziendali Compliance Funzione Antiriciclaggio Ferma restando la discrezionalità delle banche nell’organizzare la funzione di conformità è necessario che la stessa sia indipendente e dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere. È nominato un responsabile della conformità che possieda requisiti adeguati di indipendenza, autorevolezza e professionalità. Se il responsabile della funzione è un’esponente della dirigenza della banca non deve avere responsabilità dirette di aree operative né deve essere gerarchicamente dipendente da soggetti responsabili di dette aree. L’attività può essere affidata a strutture organizzative diverse già presenti nella banca, purché il processo di gestione del rischio e l’operatività della funzione siano ricondotti ad unità mediante la nomina di un responsabile che coordini e sovrintenda alle diverse attività. La funzione è organizzata in coerenza con le proprie peculiarità dimensionali e operative; è comunque necessario che la medesima funzione sia indipendente e dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere. L’ente nomina un responsabile della funzione che sia in possesso di adeguati requisiti di indipendenza, autorevolezza e professionalità. La persona incaricata della funzione non deve avere responsabilità dirette di aree operative né deve essere gerarchicamente dipendente da soggetti responsabili di dette aree. I diversi compiti della funzione possono essere affidati a strutture organizzative diverse, già presenti nell’ambito dell’impresa, purché il processo di gestione dei rischi sia ricondotto ad unità mediante la nomina di un responsabile con compiti di coordinamento e di supervisione. Collabora con le altre funzioni presenti in azienda allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo. Cura, in raccordo con le altre funzioni aziendali competenti in materia di formazione, la predisposizione di un adeguato piano di formazione, finalizzato a conseguire un aggiornamento su base continuativa del personale dipendente e dei collaboratori. Collabora con le altre funzioni presenti in azienda allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo. Valuta il livello di adeguatezza delle metodologie di gestione del rischio con riferimento al presidio del rischio di compliance. Si relaziona in merito all’adeguatezza dei presidi esistenti sui rischi di non conformità e propone aree di 131 PARALLELO TRA COMPITI E RESPONSABILITÀ DI COMPLIANCE E DI ANTIRICICLAGGIO Ambiti Aziendali di Analisi Rapporti con altre funzioni aziendali Gestione del rischio Procedure Procedure Compliance Funzione Antiriciclaggio miglioramento con riferimento alle valutazioni complessive emergenti dalle analisi effettuate. L’adeguatezza e l’efficacia della funzione di conformità devono essere sottoposte a verifica periodica da parte della revisione interna. Ne consegue che, per assicurare l’imparzialità delle verifiche, la funzione di conformità non può essere affidata alla funzione di revisione interna. Verifica che le procedure interne siano coerenti con l’obiettivo di prevenire la violazione di norme di eteroregolamentazione e autoregolamentazione applicabili alla banca. Identifica nel continuo le norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali. Valida ex-ante le procedure organizzative in relazione al principio di conformità alla normativa di riferimento. Verifica nel continuo che le procedure aziendali assicurino l’ordinata e corretta prestazione dei servizi e la ricostruzione delle modalità operative in conformità alle normative interne ed esterne. Valuta ex ante la conformità alla regolamentazione applicabile di tutti i progetti innovativi che la banca intenda intraprendere nonché la prevenzione e la gestione dei conflitti di interesse sia tra le diverse attività svolte dalla banca sia con riferimento ai dipendenti e agli esponenti aziendali. L’adeguatezza e l’efficacia della funzione devono essere sottoposte a verifica periodica da parte della revisione interna. Ne consegue che, per assicurare l’imparzialità delle verifiche, la funzione antiriciclaggio non può essere affidata alla funzione di revisione interna. 132 Verifica che le procedure aziendali siano coerenti con l’obiettivo di prevenire e contrastare la violazione di norme di eteroregolamentazione e di autoregolamentazione in materia di riciclaggio e finanziamento del terrorismo. Identifica le norme applicabili e valuta il loro impatto sui processi e le procedure interne. Verifica l’effettiva applicazione dei controlli previsti sulle procedure. Pone particolare attenzione all’adeguatezza dei sistemi e delle procedure interne in materia di obblighi di adeguata verifica della clientela e di registrazione nonché dei sistemi di rilevazione, valutazione e segnalazione delle operazioni sospette. Pone attenzione all’efficace rilevazione delle altre situazioni oggetto di obbligo di comunicazione, all’appropriata conservazione della documentazione ed alle evidenze richieste dalla normativa. Inoltre svolge le attività di “rafforzata verifica” sulla clientela che presenta livelli di rischio di riciclaggio più elevati. PARALLELO TRA COMPITI E RESPONSABILITÀ DI COMPLIANCE E DI ANTIRICICLAGGIO Ambiti Aziendali di Analisi Informativa e reporting Compliance Funzione Antiriciclaggio Predispone flussi informativi diretti agli organi aziendali e alle strutture coinvolte (gestione del rischio operativo e revisione interna). Almeno una volta l’anno presenta agli organi aziendali una relazione sulle iniziative intraprese, sulle disfunzioni accertate e sulle relative azioni correttive da intraprendere nonché sull’attività formativa. Tabella – adattamento delle previsioni contenute in BANCA D’ITALIA, “Disposizioni di Vigilanza. La funzione di conformità (compliance)”, 2007 e delle disposizioni contenute in BANCA D’ITALIA, “Documenti per la consultazione. Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell’art. 7 comma 2 del Decreto Legislativo 21 novembre 2007, n. 231”, 2010. Quanto esposto in forma tabellare è un adattamento delle disposizioni contenute nelle normative secondarie di Banca d’Italia nelle materie rispettivamente di compliance ed antiriciclaggio. È stato volutamente adottata un’esposizione che ha limitato al minimo le modifiche ai testi originali, allo scopo di far risaltare con maggior chiarezza il forte legame che unisce le discipline e le attività in esse regolamentate. Da questa analisi risulta ancor più chiaro come il soggetto d’elezione per la gestione della funzione antiriciclaggio negli istituti di credito sia la Compliance. Tuttavia è opportuno approfondire alcuni aspetti di particolare importanza finora solamente accennati ed in grado di sostenere compiutamente l’analisi svolta. L’unità di compliance è senza dubbio alcuno il soggetto che tra le proprie attività annovera la gestione del rischio reputazionale quale componente del rischio di non conformità. Come è noto la proiezione al mercato di un’immagine positiva è diventata un fattore critico di successo anche per le istituzioni finanziarie, le quali devono salvaguardare le proprie relazioni e la fiducia che gli interlocutori ripongono in loro. Ciò che crea difficoltà è l’essenza stessa del rischio che scaturisce dalla questione reputazionale. La problematica – peraltro non di poco conto – risiede nella quasi impossibilità di attribuirne una dimensione, sia sotto il profilo dell’impatto economico, che in merito alla probabilità di manifestazione del rischio in questione. Anche l’arco temporale non è facilmente determinabile. 133 Dunque l’incertezza e l’impatto devastante fanno del rischio reputazionale un nemico famigerato per i nuovi approcci risk based. Il mantenimento di una buona immagine assume rilevanza anche rispetto al rischio di riciclaggio, dal momento che il coinvolgimento dell’intermediario in operazioni di occultamento di denari illeciti, piuttosto che di finanziamento inconsapevole di organizzazioni criminali comporterebbero certamente ripercussioni sul rapporto fiduciario con la clientela. Alla luce di queste considerazioni la Compliance sembra essere l’unità organizzativa predestinata all’attività di antiriciclaggio, in considerazione del valore aggiunto in grado di fornire nella gestione delle problematiche legate all’immagine della banca. Si tratta di una peculiarità che non è presente così marcatamente nelle altre strutture aziendali: la capacità di gestire siffatte problematiche presuppone abilità di astrazione, di valutazione ex ante della minaccia. Spetta dunque alla Compliance il ruolo di attore protagonista nella gestione del rischio in oggetto, quale soggetto in grado di amministrare le minacce reputazionali. La conformità può inoltre contribuire in modo prezioso anche nella gestione delle problematiche legali laddove la disciplina non esaurisce completamente la trattazione, bensì delega alle singole organizzazioni la realizzazione di un sistema ad hoc. A conclusione è utile sottolineare la necessità di incardinare la funzione antiriciclaggio all’interno dell’unità organizzativa di conformità, garantendo la presenza di una figura preminente quale coordinatore dei complessi rapporti che la materia genera ed a cui fare riferimento. Inopportuna risulterebbe la creazione di un soggetto separato alla luce dell’auspicato snellimento dei controlli interni che dovrebbe portare quanto prima alla definizione di un nuovo assetto da parte delle Autorità di Vigilanza81. Qualora la funzione antiriciclaggio assumesse una propria autonomia nel Sistema dei Controlli Interni si rischierebbe un’inutile duplicazione di ruoli alla luce delle similitudini che, come già sottolineato, interessano le disposizioni in materia organizzativa. Si avrebbero in conseguenza due funzioni destinatarie di compiti di conformità – una ad ampio spettro, l’altra concentrata sulla sola materia antiriciclaggio e di contrasto al terrorismo 81 Come evidenziato da A. M. TARANTOLA in “Il sistema dei controlli interni nella governance bancaria” nel quale si legge “per completare il quadro normativo sull’internal governance delle banche è ora necessario procedere a un riassetto delle vigenti istruzioni di vigilanza in materia di controlli interni per ricondurre ad unità e coordinare i diversi interventi che hanno interessato nel tempo la materia”; inoltre “occorre ora restituire organicità, unitarietà e completezza alla materia, coordinando le diverse iniziative normative e rivedendo la disciplina vigente per tener conto dell’evoluzione del contesto in cui le banche operano”. 134 – con relativa moltiplicazione di personale e responsabili, spreco di risorse e complicazioni di natura organizzativa, per un’attività che sembra essere progettata su misura per la Compliance. In ragione di quanto finora sottolineato sembra essere proprio quest’ultima l’unità organizzativa naturale destinataria della funzione antiriciclaggio. 2.3 L’attività di antiriciclaggio La funzione antiriciclaggio deve trovare la naturale collocazione nel Sistema dei Con- trolli Interni allo scopo di realizzare l’ampio disegno di presidio alle minacce in questione. Per fare ciò essa predispone attività di controllo di primo livello da destinare al personale che materialmente si trova a contatto con i rischi. Tipicamente si tratta di operatori di front office, promotori finanziari ed agenti legati contrattualmente all’intermediario, ma secondo un senso lato sono poche le aree aziendali a non essere interessate da rapporti con la clientela. A questo scopo la funzione antiriciclaggio predispone le misure che devono essere adottate dai soggetti “in prima linea” finalizzate alla realizzazione delle tre attività fondamentali, attraverso le quali si compie l’antiriciclaggio: l’adeguata verifica della clientela, la registrazione e conservazione delle informazioni e la segnalazione delle operazioni sospette. Attraverso i primi due adempimenti gli istituti svolgono indagini in merito alla propria clientela, nonché ai soggetti con i quali intrattiene sporadiche operazioni – anche singole – e ne conservano i dati nell’Archivio Unico Informatico allo scopo costituire una base dati relativa alle informazioni raccolte. Si tratta di operazioni che, oltre ad essere rilevanti di per sé, costituiscono anche il punto di partenza per la realizzazione della “collaborazione attiva”. Attraverso la fase successiva infatti, gli enti procedono alla segnalazione delle operazioni che possono destare sospetto, basandosi sui dati raccolti ed in altro modo desumibili. Il contributo delle banche e degli altri intermediari in questo senso si rivela molto prezioso, poiché la totalità delle operazioni che movimentano capitali – se si escludono le transazioni in contanti – prevedono il passaggio obbligato attraverso uno dei precedenti soggetti. Di seguito viene fornita una descrizione dell’attività in oggetto, soffermandosi in particolare sul ruolo svolto dalla Compliance in funzione antiriciclaggio in ciascuna delle tre fasi. 135 2.3.1 Customer due diligence: l’adeguata verifica della clientela Tra i presidi che la Compliance in “assetto” antiriciclaggio deve attivare vi è la predisposizione di un sistema rivolto all’adeguata verifica della clientela, il primo dei “tre pilastri” 82 sui quali si basano le normative in materia. Si tratta probabilmente anche del più importante dei compiti, dato il rilievo che assume in ragione delle fasi successive dell’iter antiriciclaggio. Nel rinnovato83 articolo 15 del d.lgs. 231/2007 si legge che – relativamente all’ambito dell’analisi svolta – gli intermediari finanziari “osservano gli obblighi di adeguata verifica della clientela in relazione ai rapporti e alle operazioni inerenti allo svolgimento dell’attività istituzionale [...] degli stessi”. L’identificazione deve avere luogo: al momento dell’instaurazione di un rapporto continuativo con il cliente, cioè di una relazione che rientra nell’esercizio di attività dell’ente dalla quale derivano operazioni di versamento, prelievo e trasferimento di fondi e che non si esauriscono in una sola operazione; all’atto di esecuzione di una singola operazione estranea ad un rapporto continuativo che abbia ad oggetto somme pari o superiori a 15.000 euro, a prescindere che la disposizione sia unica piuttosto che frazionata in parti – ciascuna di importo inferiore – ragionevolmente connesse e riconducibili ad un’unica operazione; all’insorgere del sospetto di riciclaggio o di finanziamento del terrorismo; quando i dati precedentemente raccolti possono far insorgere dubbi in merito alla veridicità ed all’adeguatezza delle informazioni fornite. Attraverso la formula “adeguata verifica” il legislatore ha voluto sottolineare come l’identificazione del cliente debba essere sufficientemente esauriente, non limitandosi solamente al dato oggettivo desumibile dai documenti ma indagando quanto ritenuto opportuno in merito al soggetto operante ed al rapporto intrattenuto. Inoltre è stato precisato che non è compatibile con la definizione “la mera acquisizione di una dichiarazione sottoscritta dal cliente con la quale quest’ultimo dichiari la provenienza lecita delle disponibilità oggetto dell’operazione”84. 82 Si conceda l’estensione della terminologia figurata anche alla normativa antiriciclaggio con l’intento di indicare le tre operazioni principali con le quali si esplica l’attività di contrasto: adeguata verifica, registrazione dei dati e segnalazione delle operazioni sospette. 83 Il riferimento è al decreto legislativo 25 settembre 2009, n. 151 che ha integrato e corretto la legge antiriciclaggio. 84 Nota del Ministero dell’Economia e delle Finanze del 17 dicembre 2008. 136 L’adeguata verifica della clientela non è un concetto elementare poiché lascia agli istituti un certo margine nella predisposizione della propria attività di presidio, tuttavia riconducibile ad una serie di attività comuni. Nei casi appena elencati gli intermediari devono raccogliere le informazioni ritenute opportune sulla base dei documenti di identità o di altri dati ed informazioni da fonti attendibili Altri dati ugualmente rilevanti sono quelli necessari a delineare la tipologia di rapporto continuativo che si intende instaurare, avendo cura di approfondire la natura ma soprattutto la motivazione che soggiace alla relazione. In merito all’identificazione della clientela un aspetto risulta particolarmente critico, quello della beneficial ownership. La legge dispone che l’adeguata verifica del cliente si concretizza anche attraverso l’identificazione del titolare effettivo del rapporto, delineato come il soggetto fisico per conto del quale è stata concretizzata l’operazione o altresì la persona fisica (o le persone fisiche) che in ultima istanza possiede (controlla, o risulta beneficiaria) del soggetto giuridico che intrattiene rapporti con l’intermediario. La ratio di questa disposizione affonda le proprie radici nel concetto di rischio, impedendo alle banche di relazionarsi con soggetti che non rappresentano la vera espressione dei rapporti posti in essere. In virtù delle norme che richiedono la correlazione tra soggetto, attività svolta ed operazione attuata è palese come gli istituti non possano accontentarsi di soddisfare semplicemente mere formalità, ma debbano ottenere un quadro coerente sulla base degli aspetti indagati. Rientra nel concetto di adeguata verifica anche l’attività di monitoraggio protratta nel tempo riferita al rapporto continuativo intrattenuto con la clientela, allo scopo di mantenere aggiornate le informazioni nella disponibilità della banca in rapporto alla reale situazione del beneficiario. L’approccio basato sul rischio ha interessato anche gli obblighi che riguardano l’adeguata verifica della clientela, i quali varieranno in funzione del soggetto con il quale l’ente si rapporta. La legge prevede che quando gli interlocutori sono: uffici della Pubblica Amministrazione o destinatari di funzioni pubbliche conformemente alla normativa europea; 137 intermediari finanziari europei o extraeuropei insediati in paesi che adottano una normativa in materia equivalente85 alle direttive europee; società con strumenti finanziari quotati in mercati regolamentati dalle normative europee, o ad esse conformi; sia possibile adottare un regime semplificato di verifica. Analogamente è previsto per determinate tipologie di strumenti finanziari ed in riferimento a qualunque altro prodotto o transazione caratterizzati da una bassa rischiosità secondo i criteri tecnici stabiliti dalla Commissione Europea86. La senso della previsione non è di difficile interpretazione: i soggetti ed i prodotti indicati presentano per loro natura un limitato rischio di riciclaggio poiché soggetti alle medesime disposizioni di prevenzione o a normative analoghe. Ad esempio, è improbabile che l’operazione con un istituto di credito possa essere considerata rischiosa e suscettibile di riciclaggio, poiché entrambi gli intermediari sono soggetti alla medesima normativa. Tuttavia ciò non rappresenta una verità assoluta (anche recentemente sono giunti alla ribalta della cronaca finanziaria fatti di riciclaggio realizzati attraverso la partecipazione attiva di noti istituti bancari), per questo motivo è necessario che l’ente si adoperi per raccogliere informazioni soddisfacenti a suffragio di verifiche semplificate. All’opposto gli istituti compiono verifiche più accurate qualora le esigenze di rischiosità lo giustifichino. È infatti previsto l’obbligo di raccogliere informazioni maggiormente dettagliate nei casi in cui il cliente non sia fisicamente presente all’atto dell’instaurazione del rapporto, qualora lo stesso rientri nella definizione di persona politicamente esposta e nel caso vengano mantenuti conti di corrispondenza con istituti equivalenti residenti in paesi extraeuropei che non osservano disposizioni analoghe agli standard GAFI. Oltre alla casistica contenuta nei testi, si richiede comunque che l’ente ottemperi agli obblighi di verifica attraverso una ricerca più approfondita di informazioni, qualora le esigenze lo richiedano. Proseguendo nella parabola ascendente del rischio, al culmine è previsto che le banche si astengano dal porre in essere operazioni per le quali si sospetti una connessione con fatti di 85 Il Ministero dell’Economia e delle Finanze tramite il Decreto 12 agosto 2008 ha individuato la lista sei paesi e dei territori extraeuropei che adottano un regime normativo in materia di antiriciclaggio e di contrasto al finanziamento del terrorismo equivalente alle direttive europee. 86 Cfr. art. 25, comma 6, lettere a), b), c), d), e) del d.lgs. 231/2007. 138 riciclaggio e di finanziamento del terrorismo ed allo stesso modo nell’ipotesi in cui l’ente non riesca a reperire adeguate informazioni in merito alla verifica della controparte. Così facendo si cerca di scongiurare qualsiasi possibile coinvolgimento in operazioni illecite, valutando di volta in volta le singole casistiche che si presentano. Infine è opportuno dare conto della possibilità introdotta dal legislatore di avvalersi di verifiche sulla clientela precedentemente effettuate da soggetti terzi, i quali risultino sottoposti alle medesime – o analoghe – disposizioni in materia ed abbiamo provveduto all’identificazione alla presenza della controparte. Incontrando esigenze pratiche e limitando sprechi di risorse e di tempo gli istituti possono così operare, tuttavia rimarranno comunque responsabili della correttezza delle verifiche. Gli istituti non potranno dunque additare i soggetti terzi dei quali si sono avvalsi qualora i dati da questi ultimi raccolti non si siano rivelati adeguati. Nella fase di progettazione dei controlli di primo livello la Compliance deve focalizzare il proprio impegno particolarmente su questa prima fase di presidi. Le azioni da intraprendere sono perciò rivolte alla riorganizzazione dei processi operativi, improntandoli alla migliore conoscenza della clientela secondo il principio del know your customer. Quest’ultimo non è più, come in passato, un semplice adempimento al quale le istituzioni devono ottemperare come conseguenza di un obbligo formale di legge, ma ha assunto i connotati di elemento basilare. La Compliance si fa dunque carico di un’importante azione di prevenzione dei rischi che implica la predisposizione di procedure operative mirate alla valutazione delle minacce sulla base di un’adeguata conoscenza della clientela. Il concetto di adeguata verifica è stato recentemente mutato dalle nuove disposizioni prevedendo che l’identificazione non venga assolta attraverso un’unica operazione al momento dell’instaurazione del rapporto, bensì ne segua l’evoluzione lungo l’intero arco attraverso un monitoraggio costante e rispondente alla reale situazione. Le mutate condizioni nell’operatività della controparte comportano un differente profilo di rischio che gli istituti non possono ignorare. Se ciò accadesse si tornerebbe a considerare l’attività di antiriciclaggio come una serie di adempimenti che l’intermediario è chiamato ad espletare attraverso un approccio passivo. 139 Tuttavia una simile impostazione è lungi dall’essere efficace e tantomeno definibile un’attività basata sul rischio. Dunque è questa la motivazione che individua la Compliance quale soggetto più idoneo alla gestione del modus operandi trattato, che necessita di procedure strutturate che coinvolgano le aree operative. La già richiamata importanza della fase è sottolineata anche dalle disposizioni di Banca d’Italia contenute nelle “Istruzioni operative per l’individuazione di operazioni sospette”, all’interno delle quali è possibile leggere: “una approfondita conoscenza del cliente costituisce, da un lato, un momento fondamentale del percorso logico che porta alla valutazione dell’operazione ai fini dell’inoltro di una segnalazione di operazione sospetta, dall’altro, un requisito essenziale dell’attività di intermediazione, in quanto consente di individuare i profili di rischio e le possibilità di sviluppo della relazione d’affari”. L’attenzione è inoltre rivolta alla considerazione di elementi che richiedono giudizi soggettivi, come in merito al comportamento tenuto dalla controparte al momento del compimento dell’operazione, piuttosto che dell’instaurazione del rapporto. Parimenti non possono essere trascurati ragionevolezza dell’operazione e relazione tra tipologia di rapporto ed attività svolta. È alla luce di queste considerazioni che la Compliance nella predisposizione dei presidi relativi all’aspetto di verifica, deve trasmettere al personale le conoscenze ed i mezzi necessari – anche avvalendosi del supporto di altre unità organizzative, piuttosto che di soggetti esterni quali Guardia di Finanzia ed Autorità di Vigilanza – per compiere le opportune valutazioni e fornire supporto nei casi in cui la situazione presenti aspetti problematici. 2.3.2 La registrazione dei rapporti e la conservazione dei dati Il “secondo pilastro” delle disposizioni de qua è rivolto a disciplinare la registrazione delle informazioni raccolte nella fase di adeguata verifica della clientela e successivamente in merito alle operazioni eseguite. In particolare il disposto normativo dell’art. 36 precisa che l’istituto debba provvedere a tenere traccia: delle informazioni raccolte attraverso l’attività di adeguata verifica della clientela e del titolare effettivo per il periodo successivo di dieci anni, a decorrere dalla data di interruzione del rapporto; 140 delle registrazioni, nonché delle scritture contabili contenute nei documenti relativi alle operazioni disposte dalle controparti e riguardanti i rapporti continuativi intrattenuti con la clientela. In riferimento al primo punto, l’istituto provvederà a conservare le informazioni che nello specifico attengono alla data di instaurazione del rapporto continuativo, all’identificazione del cliente nonché del titolare effettivo, le generalità dei soggetti delegati ad operare per conto del titolare ed altresì il codice identificativo del rapporto. Per le operazioni di importo pari o superiore a 15.000 euro – prescindendo dalle modalità di esecuzione dell’operazione – le registrazioni dovranno interessare: la data, la causale, l’importo, la tipologia di operazione, i mezzi di pagamento ed i dati identificativi dell’esecutore nonché del soggetto per conto del quale agisce. Le disposizioni del d.lgs. 231/2007 precisano anche le modalità con le quali devono realizzarsi le operazioni citate; in particolare le registrazioni devono essere eseguite in modo tempestivo, non superando in ogni caso il trentesimo giorno dal compimento dell’operazione, piuttosto che dall’apertura del rapporto continuativo. Analoga previsione si applica altresì alla conservazione delle informazioni (ad esempio riconducibili alla modifica del rapporto contrattuale, piuttosto che del profilo di rischio del cliente, oppure dell’attività svolta dallo stesso soggetto alla base del rapporto continuativo con l’istituto), per le quali è prevista l’annotazione nell’archivio informatico sempre, nel termine perentorio di trenta giorni. La ratio che sostiene tali disposizioni è da ricercarsi nel più ampio concetto di “collaborazione attiva”-. In particolare gli istituti di credito assolvono gli obblighi di registrazione allo scopo – quali migliori conoscitori delle relazioni economiche intrattenute con la clientela – di mettere a disposizione il proprio patrimonio informativo ai soggetti che materialmente operano per il contrasto del riciclaggio e del finanziamento al terrorismo. Si tratta in particolare della Guardia di Finanza, della Magistratura, nonché dell’Unità di Informazione Finanziaria istituita presso banca d’Italia; inoltre la normativa prevede l’utilizzo dei dati raccolti anche a supporto di verifiche fiscali87. In virtù del ruolo che gli intermediari finanziari e le banche rivestono nel quadro delle relazioni economiche, la partecipazione all’attività di contrasto attraverso il supporto dei dati nella loro disponibilità diventa un aspetto cruciale. 87 Non a caso tra i documenti necessari alla corretta identificazione del cliente rientra il codice fiscale, come indicato nella definizione di “dati identificativi” ex art. 1, comma 2 del d.lgs. 231/2007. 141 -La conoscenza del cliente e l’informazione in merito ai dati personali, piuttosto che all’attività che esso conduce sono elementi preziosi in quanto permettono di conoscere con chi l’ente intrattiene i proprio rapporti. Va da sé che l’importanza nell’attività di prevenzione del rischio è massima poiché la minaccia è costituita proprio dal punto di contatto tra istituto e controparte, ma è altresì vero che l’informazione a disposizione permette di calibrare le politiche commerciali sulla base della migliore conoscenza del cliente. Dunque non si tratta soltanto di un onere, bensì anche dell’opportunità di svolgere l’attività incontrando le esigenze del pubblico. Allo scopo di conservare in modo uniforme e sistematico le informazioni raccolte nella fase di adeguata verifica della clientela la normativa – arricchita dalle disposizioni di Banca d’Italia88 – ha previsto la costituzione di un Archivio Unico Informatico (AUI), destinato ad accogliere tutti i dati soggetti a registrazione. Le banche costituiscono al proprio interno un’adeguata struttura informativa atta ad accogliere le informazioni in questione, assicurando che l’archivio possa garantire una conservazione uniforme dei dati, anche attraverso collegamenti tra diverse tipologie di informazioni, permettendo l’accesso rapido e la completezza dei risultati di interrogazione. Si tratta di caratteristiche fondamentali che devono essere necessariamente rispettate anche nel caso in cui i dati siano inseriti in database differenti dall’AUI, o allorché si provveda ad outsourcing dello stesso. La normativa contempla la possibilità che la gestione sia affidata a terzi, mantenendo in capo all’istituto la responsabilità della correttezza formale e funzionale dell’archivio. Inoltre, nel caso di strutture di gruppo è permessa la gestione accentrata dell’AUI, purché sia assicurata la possibilità di accedere alle informazioni in maniera rapida e completa, permettendo anche analisi incrociate con informazioni derivanti da strutture diverse. Quanto finora affrontato in materia di registrazione delle informazioni coinvolge la Compliance su due tipologie di tematiche differenti. In primo luogo è necessario affrontare, nell’ottica del presidio dei rischi legali e reputazionali di riciclaggio e finanziamento del terrorismo, la questione della correttezza dei dati e del trattamento degli stessi. 88 L’atto è rubricato “Provvedimento recante disposizioni attuative per la tenuta dell’archivio unico informatico e per le modalità semplificate di registrazione di cui all’articolo 37, commi 7 e 8, del decreto legislativo 21 novembre 2007, n. 231”. 142 La conformità deve assicurarsi che le informazioni raccolte siano inserite tempestivamente nell’archivio ed altrettanto rapidamente vengano aggiornate ogni qualvolta intervengano modifiche sugli stessi, facendo coincidere la conoscenza del cliente con la reale situazione. Particolare attenzione deve essere prestata in merito ad operazioni straordinarie che possono interessare l’attività del gruppo: fusioni e scissioni comportano problematiche di integrazione dei dati raccolti nei rispettivi Archivi Unici Informatici che devono essere gestite con accuratezza onde evitare onerose perdite di informazioni. A tal proposito Banca d’Italia ha disposto i termini entro i quali gli archivi della società scissa debbano essere interessati dalle operazioni di separazione ed analogamente per l’ipotesi di fusione che interessano il nuovo soggetto costituente. Alla Compliance spetterà organizzare le operazioni in collaborazione con le altre strutture aziendali interessate. La raccolta delle informazioni in oggetto è interessata dalle disposizioni in materia di trattamento dei dati personali contenute nel Decreto Legislativo 30 giugno 2003, n. 196, come specificato dall’Autorità di Vigilanza. Sempre in riferimento ai rischi anzidetti la Compliance dovrà porre attenzione alla corretta osservanza delle norme affinché la privacy degli interlocutori non possa essere violata. Ciò può essere anticipato attraverso una sensibilizzazione del personale che tratta le informazioni sensibili dei clienti, per mezzo di una documentazione esauriente che informi la controparte degli obblighi imposti dalla normativa, ma altresì attraverso una oculata strutturazione dell’AUI che limiti gli accessi ai soggetti autorizzati e garantisca integrità di quanto inserito. La riservatezza degli intermediari ha da sempre costituito un elemento cruciale nell’instaurazione del rapporto fiduciario al quale le banche riservano particolari attenzioni: il timore che le informazioni fornite – quasi “confessate” – possano divenire oggetto di dominio pubblico potrebbero travolgere la fiducia nell’istituto, minacciandone la solidità economica. Un secondo aspetto rilevante riguarda le problematiche connesse alla costituzione dell’Archivio Unico Informatico ed alla gestione dello stesso. In questa fase la Compliance è chiamata a coordinarsi con l’unità di gestione dell’information technology al fine di predisporre un sistema integrato, alimentato dalle informazioni ricevute dalle diverse divisioni in merito ai rapporti intrattenuti ed alle operazioni effettuate. 143 L’archivio così costituito deve essere in grado di rispondere rapidamente alle interrogazioni ed allo stesso tempo garantire sicurezza e riservatezza delle informazioni in esso inserite. È necessario che le modifiche del contenuto siano realizzate in modo da conservarne la traccia delle precedenti registrazioni. Maggiore attenzione deve essere riservata all’esternalizzazione dell’AUI che comporta la medesima responsabilità in capo all’istituto, ma la gestione è affidata a soggetti esterni. Sarà cura della Compliance affidataria della funzione antiriciclaggio monitorare nel continuo la corretta rispondenza del servizio ai termini di legge, prevedendo la possibilità di recedere dall’accordo qualora le modifiche relative all’operatività non garantiscano i termini previsti dalle disposizioni. 2.3.3 La segnalazione delle operazioni sospette Nel contesto generale di prevenzione dei reati di riciclaggio e finanziamento del terrorismo, gli istituti di credito quali soggetti coinvolti in via principale nelle transazioni finanziarie sono chiamati a collaborare attivamente con gli organi che materialmente svolgono azione di contrasto. La collaborazione attiva si concretizza nell’attività di segnalazione delle operazioni sospette, come indicato nel disposto normativo, che è altresì il terzo e più importante “pilastro” sul quale poggiano le disposizioni. In essa trovano compimento le attività pregresse di corretta identificazione ed adeguata verifica della clientela, nonché di registrazione e conservazione delle informazioni. L’operazione si concretizza nell’invio di una segnalazione all’Unità di Informazione Finanziaria (UIF)89 ogni qualvolta vi sia il sospetto in merito ad operazione compiute dalla clientela in riferimento ai rispettivi rapporti continuativi, o da altre controparti che compiono singole operazioni. Il sospetto trova origine nelle caratteristiche e nelle modalità attraverso le quali l’operazione è realizzata, con particolare riguardo all’entità delle somme movimentate, alla natura dell’operazione ed a qualsiasi altra circostanza che possa risultare rilevante. 89 Il d.lgs. 231/2007, recependo la direttiva europea antiriciclaggio per cioè che concerne l’istituzione delle Financial Intelligence Unit, ha previsto la costituzione dell’Unità di Informazione Finanziaria presso Banca d’Italia, quale soggetto indipendente destinatario delle segnalazioni degli istituti, ruolo un tempo ricoperto dall’Ufficio Italiano dei Cambi. 144 Il sospetto è generato nell’operatore – o in qualsiasi altro soggetto che intrattenga rapporti con la clientela – facendo riferimento alle informazioni raccolte al momento dell’adeguata verifica e custodite nell’AUI. Operazioni che si discostano dal profilo del cliente o che possono apparire anomale in ragione delle modalità infrequenti con le quali vengono realizzate, piuttosto che l’assiduo ricorso a soggetti terzi o a procedure frazionate e non da ultimo il comportamento del soggetto al momento del compimento dell’operazione, sono segnali da valutare per il riconoscimento di manovre elusive. Necessitano inoltre di valutazione: le operazioni che coinvolgono soggetti residenti o che operano in paesi considerati non collaborativi, piuttosto che caratterizzati da regimi fiscali agevolati e da segreto bancario; le transazioni concluse a valori diversi da quelli di mercato; il ricorso assiduo ed ingiustificabile al denaro contante per la realizzazione di operazioni. Oltre agli elementi di soggettiva valutazione, i dipendenti possono avvalersi del Generatore di Indici di Anomalia per Operazioni Sospette (GIANOS) – qualora l’ente l’abbia implementato nel proprio sistema IT – realizzato dall’Associazione Bancaria Italiana. Si tratta di un software che attraverso l’interrogazione del database unico dell’istituto genera come output informazioni in grado di segnalare le operazioni anomale. L’utilizzo dell’applicativo non è però da ritenersi strumento sostitutivo del giudizio soggettivo del singolo operatore per almeno due ragioni: in primis le analisi svolte attraverso la procedura GIANOS si riferiscono a dati storici relativamente alle registrazioni di precedenti operazioni svolte del soggetto in merito al proprio rapporto continuativo ed in conseguenza non sono in grado di riflettere correttamente i mutamenti evolutivi. In secondo luogo un’operazione che presenta caratteri di atipicità non è necessariamente sintomo di attività di riciclaggio. Appurata da parte del personale la presenza di elementi sospetti nell’operazione da eseguire, la fase successiva prevede l’immediata comunicazione interna all’istituto, allo scopo di valutarne la fondatezza. La legge dispone che la segnalazione deve essere fatta necessariamente prima dell’esecuzione dell’operazione per permetterne la sospensione fino ad un massimo di cinque giorni lavorativi; solo nei casi in cui ciò non sia possibile è inoltrata immediatamente dopo l’esecuzione dell’operazione. 145 Destinatario ultimo della segnalazione è il delegato antiriciclaggio come contenuto nel decreto in materia ex comma 2, art. 42: “il responsabile della dipendenza, dell'ufficio, di altro punto operativo, unità organizzativa o struttura dell'intermediario cui compete l'amministrazione e la gestione concreta dei rapporti con la clientela ha l'obbligo di segnalare senza ritardo al titolare dell'attività o al legale rappresentante o a un suo delegato le operazioni” sospette indicate all’articolo 41. Analogamente è disposto dalle “Istruzioni operative per l’individuazione di operazioni sospette” emesse da Banca d’Italia nelle quali si fa riferimento al Responsabile aziendale antiriciclaggio. L’iter segnaletico interno porterà la segnalazione all’attenzione del delegato antiriciclaggio secondo uno schema che assicuri celerità ed un numero il più possibile limitato di passaggi intermedi. La best practice ritiene opportuno che il corso della segnalazione preveda l’analisi da parte di tre soggetti: il personale di front office, il responsabile del punto operativo ed il delegato antiriciclaggio. Figura - Il processo di segnalazione delle operazioni sospette. Una volta giunta al responsabile aziendale antiriciclaggio, la segnalazione è oggetto di valutazione da parte dello stesso soggetto attraverso l’ausilio di interrogazioni dell’Archivio Unico Informatico e qualora sussistano nell’operazione fondati rischi di riciclaggio o finanziamento del terrorismo, provvede ad inoltrare la medesima all’UIF. Elemento che contraddistingue l’iter segnaletico è la riservatezza che deve essere garantita durante tutto il processo in oggetto. 146 Come precisato nelle disposizioni deve essere assicurato l’anonimato dell’operatore che procede alla segnalazione dell’operazione suscettibile di perseguire finalità illecite. Il nome dello stesso non comparirà nelle trasmissioni effettuate dal delegato e dirette all’Unità di Informazione Finanziaria ed allo stesso modo accadrà per i documenti predisposti dalle autorità investigative e giudiziarie90, qualora il corso della segnalazione dovesse avere seguito. I documenti nei quali il segnalante fornirà le proprie generalità, oltre all’identificativo del soggetto segnalato, agli estremi dell’operazione in oggetto, nonché delle motivazioni a fondamento della comunicazione al delegato antiriciclaggio, saranno custoditi da quest’ultimo sotto la propria responsabilità. La finalità è indubbiamente quella di garantire la collaborazione dei propri dipendenti attraverso la protezione che l’anonimato è in grado di garantire; l’operatore di front office piuttosto che il promotore finanziario non mostreranno alcuna reticenza nell’applicazione del principio di collaborazione attiva, sapendo di non temere nessuna ritorsione da parte degli esponenti criminali. Sempre in ambito di riservatezza, l’art. 46 del decreto dispone la proibizione in merito alla comunicazione al soggetto interessato – ed allo stesso modo a terzi – del processo di segnalazione in corso in merito ad operazioni da costui compiute, suscettibili di violazione delle leggi antiriciclaggio e di contrasto al terrorismo. È data facoltà all’ente di comunicare le rilevanze anzidette ad altri istituti con i quali vengono intrattenuti rapporti in merito al soggetto segnalato, ma ciò solo nei casi in cui l’intermediario interlocutore è residente in uno Stato comunitario o sottoposto all’osservanza di una normativa equivalente. Vige il divieto di inoltrare le segnalazioni ad istituti insediati in territori considerati non collaborativi. Alla medesima sorte sono sottoposti i flussi informativi di ritorno contenenti i feedback sull’esito delle segnalazioni e qualsiasi richiesta di chiarimento rivolta dagli organismi esterni all’ente segnalatore. In quest’ultima fase di segnalazione – peraltro eventuale – l’unità di compliance all’antiriciclaggio ha un ruolo di minor impatto, tuttavia non viene però intaccata l’importanza 90 L’identità del segnalante “può essere rivelata solo quando l'autorità giudiziaria, con decreto motivato, lo ritenga indispensabile ai fini dell'accertamento dei reati per i quali si procede”. 147 del proprio operato, creando l’ambiente favorevole affinché il processo di segnalazione si svolga correttamente. È infatti necessaria una riflessione in merito al ruolo svolto nella fase di segnalazione. La legge indica con chiarezza che il destinatario finale delle segnalazioni – per ciò che riguarda l’iter interno – debba essere “il titolare dell’attività, il legale rappresentante o un suo delegato”. Come già sostenuto nel paragrafo dedicato91 spetta dunque al delegato antiriciclaggio valutare in ultima istanza i fatti sospetti all’interno dell’istituto. Inoltre è già stata sottolineata la preferenza per la separazione delle figure evitando l’inopportuna sovrapposizione dei ruoli di head of compliance, responsabile e delegato antiriciclaggio in capo al medesimo soggetto. In ragione di queste considerazioni sembra dunque che il compliance officer in veste di responsabile della funzione antiriciclaggio, non sia coinvolto nell’iter segnaletico, così come l’intera unità organizzativa. Sostegno all’ipotesi è fornito altresì dalla ribadita necessità di limitare il numero dei passaggi intermedi della segnalazione, garantendo una linea di riporto il più possibile diretta tra segnalante e delegato. La Compliance non può dunque dirsi protagonista della fase segnaletica, anche se non esiste in proposito una prescrizione di legge che vieti l’attribuzione della figura di delegato al compliance officer, già responsabile antiriciclaggio. La Compliance sarà impegnata nell’implementazione dei presupposti necessari affinché il processo di segnalazione sia completato tempestivamente e secondo i canoni normativi ed interni. In particolare la formazione, nonché la definizione e diffusione del programma antiriciclaggio costituiscono elementi imprescindibili. È necessario che il personale sia compiutamente informato riguardo alla riservatezza delle proprie segnalazioni, ma altresì degli obblighi di divieto di comunicazione al soggetto ed a terzi delle informazioni indice di violazioni, informandolo inoltre della sanzioni che potrebbero interessarlo. Lo scopo non è certamente quello di creare un’azione intimidatoria, quanto quello di responsabilizzare gli operatori che intrattengono rapporti con la clientela. L’istruzione deve concentrarsi anche sugli aspetti pratici, informando riguardo all’evoluzione delle tecniche predisposte dai criminali. 91 Si veda il paragrafo 2.2.4 Responsabile antiriciclaggio e delegato antiriciclaggio. 148 Particolarmente preziose saranno le indicazioni fornite dall’UIF, dalla Guardia di Finanza e dalla DIA in merito agli elementi ed ai comportamenti tenuti dai riciclatori, in grado di destare sospetto. Rilevante è l’indicazione all’interno del programma antiriciclaggio aziendale della procedura di segnalazione adottata dall’ente, predisponendo l’iter ed i soggetti interni titolati a conoscere e trasmettere le segnalazioni. Non da ultimo, la policy deve fornire istruzioni comuni per l’individuazione di ulteriori elementi di sospetto, allo scopo di uniformare il processo di segnalazione ed evitando che il giudizio personale offuschi la reale percezione del rischio. Oltre all’attività di formazione la Compliance, avvalendosi di altre funzioni ed unità – in particolare quella organizzativa e Revisione Interna – si adopera per garantire il corretto svolgimento del processo di segnalazione, verificando che non siano presenti falle che lascino trapelare le informazioni “sensibili”. La predisposizione di canali diretti di comunicazione tra i soggetti coinvolti nell’iter, la corretta custodia dei documenti utilizzati per le segnalazioni, nonché la preservazione del sistema da fughe di notizie, sono gli aspetti ai quali deve essere rivolta particolare attenzione, in virtù del rischio di natura legale in grado di arrecare pesanti conseguenze economiche. 149 CONCLUSIONI L’unità organizzativa di compliance è il soggetto che all’interno del Sistema dei Controlli Interni, all’interno dei controlli di secondo livello, è destinatario del presidio del rischio di conformità, in grado di manifestarsi come rischio di natura legale e minaccia reputazionale. Secondo quanto finora esposto e così come indicato dalla stessa Banca d’Italia, la Compliance può essere destinataria della funzione antiriciclaggio, data l’affinità tra il rischio di conformità ed il rischio di riciclaggio. Anche quest’ultimo infatti si compone delle medesime conseguenze di tipo legale e reputazionale, dovute all’inosservanza delle copiose disposizioni che regolamentano l’antiriciclaggio ed alle ripercussioni negative che svilirebbero l’immagine di un istituto complice di attività criminali. Tuttavia è proprio quest’ultimo aspetto – la salvaguardia della reputazione dell’intermediario – a risultare cruciale, trasformando l’ufficio di conformità da possibile destinatario a soggetto di naturale elezione nella gestione dell’attività antiriciclaggio. Appurato il divieto di destinare tale funzione all’internal auditor, per altro coinvolto in diverse tipologie di verifiche, la scelta non può che ricadere sulla Compliance, già destinataria di controlli a norma. Se come esposto il rischio di riciclaggio è un particolare rischio di conformità, in riferimento agli obblighi imposti dalle diverse fonti normative ed alle ricadute negative che comporta sull’immagine, la relativa funzione attraverso la quale viene gestito deve necessariamente rientrare nel perimetro della conformità. Il Risk Management, seppur coinvolto nel processo di conformità ed impegnato nella valutazione delle minacce all’attività bancaria, non possiede le adeguate caratteristiche di handling del rischio reputazionale, difficilmente calcolabile e di gran lunga il più devastante. La costituzione di un soggetto organizzativo esclusivamente rivolto alle tematiche antiriciclaggio sarebbe una scelta parimenti inopportuna, destinata a creare una duplicazione di uffici con funzioni simili. Se così accadesse, l’istituto non opererebbe una scelta economicamente efficiente, innalzando inutilmente i costi per una funzione già prevista per legge. Per queste e per tutte le ragioni precedentemente esposte si ritiene che una scelta oculata di organizzazione aziendale dovrebbe comportare l’assegnazione della funzione antiriciclaggio alla Compliance, quale gestore dei rischi legali e reputazionali. 150 CAPITOLO IV – I RISCONTRI PRATICI NELLA GESTIONE DELL’ATTIVITÀ ANTIRICICLAGGIO 151 INTRODUZIONE L’elaborazione sin qui presentata vuole la Compliance – unità organizzativa inserita nel Sistema dei Controlli Interni – destinataria della funzione antiriciclaggio, quale miglior scelta dal punto di vista organizzativo e dell’efficienza. A sostegno di tale tesi vengono presentati in questo capitolo di chiusura i riscontri pratici disponibili. È necessario premettere che si tratta al momento di una materia recentissima, rispetto alla quale si è tutt’ora in attesa di una pronuncia definitiva da parte dell’Autorità di Vigilanza bancaria in merito agli aspetti organizzativi e gestionali92. Tale incertezza e continua evoluzione comportano una limitata disponibilità di evidenze che al momento si riducono alle esperienze dei singoli istituti. Come logica conseguenza, confermata da Banca d’Italia e da ABI, non esistono al momento indagini ufficiali in merito alla posizione degli istituti in materia. Il capitolo si apre con il riferimento ad uno studio risalente al 2007, in materia di organizzazione della funzione di compliance, che presenta le testimonianze raccolte tra i principali istituti bancari nazionali ed esteri, operanti in Italia. Particolare attenzione viene riservata agli ambiti normativi presidiati dalla funzione, tra i quali, come meglio esposto nel seguito, primeggia l’antiriciclaggio. Nella seconda parte è lasciato spazio ai riscontri degli intermediari bancari nazionali ed esteri, con sussidiarie nel territorio italiano. Le fonti delle informazioni sono rappresentate da bilanci di società capogruppo (consolidati), relazioni annuali, bilanci di sostenibilità ed in un caso anche dalla policy antiriciclaggio. 92 Il riferimento è al più volte citato documento per la consultazione in materia di organizzazione interna della funzione antiriciclaggio emesso da Banca d’Italia. 152 1. I RISCONTRI PRATICI IN MATERIA DI COMPLIANCE ED ANTIRICICLAGGIO La funzione di conformità così come presentata nei capitoli precedenti rappresenta l’espressione della best practice internazionale, frutto di una lunga evoluzione che solo più recentemente è stata tradotta ed assorbita dalle disposizioni nazionali, trovando espressione massima nell’ambito bancario per mezzo della normativa secondaria di Banca d’Italia. Tuttavia, prima della pubblicazione delle disposizioni di vigilanza su “La funzione di conformità (compliance)” avvenuta nel 2007, gli istituti di credito nazionali evidenziavano una certa arretratezza rispetto ai medesimi soggetti operanti al di fuori dei confini nazionali. Ciò è dimostrato compiutamente dagli studi rivolti in tal senso, tra i quali è annoverato “Compliance risk in Italian banks: the result of a survey”93, assunto come punto di partenza nella presentazione delle risultanze di seguito esposte. Tale pubblicazione ha lo scopo di presentare un raffronto tra istituti nazionali e filiali di banche estere operanti nel territorio italiano al fine di asseverare il differente livello di sviluppo della funzione di compliance, ancor prima che le disposizioni di vigilanza uniformassero i comportamenti. Le informazioni in essa contenute sono il risultato dell’elaborazione dei questionari sulla tematica della conformità rivolti a 51 banche, tra nazionali e divisioni internazionali operanti sul territorio italiano. Come detto, prima dell’entrata in vigore delle previsioni dell’Autorità di Vigilanza, tra le istituzioni finanziarie regnò una certa confusione in materia di conformità alle normative applicabili alla propria operatività, ma sarebbe del tutto improprio sostenere che l’osservanza delle disposizioni fosse un’attività secondaria e trascurata. Semplicemente prima della riorganizzazione e dell’istituzionalizzazione delle funzioni di conformità in un’unità organizzativa ad esse asservita, tali compiti erano frammentati e variamente distribuiti tra gli altri attori del Sistema dei Controlli Interni e – più in generale – dell’intera organizzazione aziendale, inclusa la funzione di revisione interna nonostante i divieti espressi di Banca d’Italia. In particolare furono destinatarie di compiti di conformità le unità aziendali Internal Audit, legale ed organizzativa. Per quanto riguarda la revisione interna, l’esperienza nazionale rappresentò un’anomalia peculiare: “institutions have underlined a strong confusion about the 93 Il paper in questione è la rivisitazione del rapporto presentato nell’ottobre del 2007 al workshop tenuto presso l’Università di Pisa avente ad oggetto le problematiche organizzative e metodologiche del rischio di compliance nelle banche. Tale scritto è stato pubblicato dalle autrici, G. Birindelli e P. Ferretti sul “Journal of Financial Regulation and Compliance”, vol. 16, n. 4 del 2008. 153 organizational confines and the assignments of Compliance and Internal Audit, especially because in Italy the latter one has performed compliance activity by tradition”94. Tuttavia tale impostazione si scontrò con le previsioni dell’Autorità di Vigilanza che sostiene la necessità della separazione tra verifiche di terzo livello e gestione del rischio di conformità, tipicamente controllo di secondo livello. In particolare l’esperienza italiana testimoniò l’attardarsi della realizzazione di un sistema organizzato per la gestione della conformità, concentrando le attività in tal senso a partire dal 2003, mentre tale modus operandi si rivelò ancor più marcato nell’implementazione del framework aziendale per la gestione del rischio di compliance. L’esperienza degli istituti italiani fu dunque rallentata dalla mancanza di una cultura in tal senso, o comunque da una limitata presa di coscienza verso una componente aggiuntiva di prevenzione del rischio, percepita più come un onere che come un valore aziendale in supporto alla corretta gestione. Tuttavia gli intermediari, volgendo lo sguardo alle esperienze internazionali si attivarono in tal senso, promuovendo all’interno dell’organizzazione i valori della conformità supportati da un’adeguata base di conoscenze; a ciò si è giunti attraverso la predisposizione di corsi formativi specifici ricorrendo al training sia interno all’organizzazione, che svolto da consulenti esterni. Ciò che più interessa in questa sede è invece trovare riscontri pratici in merito alle attività svolte dalla funzione di conformità, così come poste in essere dalle istituzioni finanziarie nella realizzazione dei propri obiettivi aziendali. In particolare gli intermediari interpellati ritennero importante che la Compliance si attivi per la realizzazione delle finalità di seguito esposte. “To ensure that reputation risk and regulatory risk are effectively managed. To educate personnel on compliance matters. To ensure compliance with regulations and codes of conduct in the stage of development of new services, products and markets. To help the institution to anticipate and plan for changes in regulations, according to the typical advisory nature of compliance activity”. Come già esposto nella trattazione dell’attuale best practice svolta nel secondo capitolo, l’esperienza pratica della ricerca evidenziò la Compliance quale soggetto titolato alla gestione dei rischi legali e reputazionali dal punto di vista della conformità alle norme. 94 G. BIRINDELLI – P. FERRETTI, opera citata. 154 Inoltre gli istituti annoverarono tra le priorità della funzione l’educazione del personale in materia di osservanza delle disposizioni. In particolare la presa di coscienza a ridosso delle allora imminenti disposizioni di Banca d’Italia, comportò una maggiore attenzione alla creazione della cultura dell’agire compliant per mezzo della diffusione di conoscenze, svolta attraverso la formazione del personale. La Compliance partecipa dunque attivamente all’istruzione delle risorse umane coordinandosi con le funzioni di organizzazione e formazione del personale. Inoltre, come doveroso, l’attenzione alle tematiche di conformità si rivolse al costante allineamento di processi e procedure, nonché alle attività in generale per mezzo delle quali si svolge il servizio bancario, rispetto alla normativa che lo regolamenta. L’attività dell’unità organizzativa si caratterizza altresì per l’approccio ex-ante, ossia l’osservanza delle disposizioni a carattere anticipatorio allo scopo di prevenire i cambiamenti che l’evoluzione normativa e del business comporteranno. Per quanto riguarda invece i compiti assegnati alla Compliance, gli intermediari interpellati così espressero il proprio giudizio in merito ai principali tra essi. “To take preventive measures and to exercise control ex ante. To advise business units. To monitor compliance with laws and procedures. To support the assessment of new products and markets. To promote a compliance culture within the organization. To set compliance policies and procedures. To control and to interpret regulatory developments”95. Tali feedback forniti dagli istituti di credito delinearono una visione dell’attività di conformità posta a consulenza degli organi di vertice, in ambito normativo e regolamentare. Appare rilevante la funzione preventiva assegnata a tale unità organizzativa, volta all’interpretazione ed alla valutazione della normativa allo scopo di adeguarne l’organizzazione al dettato. L’approccio ex ante rappresentò da subito una caratteristica peculiare della funzione, lontana dal controllo ispettivo dell’Internal Auditor e familiare all’approccio adottato dai controlli di secondo livello. 95 G. BIRINDELLI – P. FERRETTI, opera citata. 155 La Compliance inoltre si fa diretta promotrice della cultura dell’agire ex lege all’interno dell’intera struttura aziendale, favorendo la presa di coscienza che faticosamente è maturata tra i vertici e gli organi di governo. L’azione di conformità si è realizzata infine attraverso la predisposizione di idonee politiche e procedure di gestione delle attività aziendali, in osservanza delle quali il personale operativo attua la corretta gestione per il raggiungimento degli obiettivi aziendali. L’aspetto di maggior interesse – ai fini della trattazione sin qui svolta – riguarda certamente gli ambiti normativi compresi nell’area di interesse della funzione di compliance, indicati dalle istituzioni finanziarie nelle rispettive esperienze. Il grafico di seguito riportato fornisce una chiara rappresentazione delle aree normative ritenute prioritarie nella conduzione dell’attività bancaria. Legilsation values (percentage values) 19,1% 20% 18% 16,4% 15,0% 16% 14% 12,1% 11,1% 12% 9,7% 9,4% 10% 8% 6% 3,8% 3,4% 4% 2% 0% Anti-money laundering Investment services Market Abuse Regulatory requirements 231/2001 Privacy Transparency Safety Others areas Legilsation values (percentage values) Figura - Fonte G. BIRINDELLI - P. FERRETTI, "Compliance risk in Italian banks: the results of a survey", Journal of Financial Regulation and Compliance, vol. 16, n. 4, pp. 335-351, 2008 L’eloquenza della rappresentazione grafica non lascia dubbi interpretativi, l’antiriciclaggio venne considerata – già all’epoca dell’indagine – l’area normativa di maggior interesse nell’ambito dello spazio regolamentare presidiato dalla Compliance, come testimoniato dall’esperienza operativa degli istituti, sia nazionali che internazionali. 156 Ciò rappresenta un importante punto di partenza a favore della tesi sostenuta, che vuole la Compliance unità organizzativa d’elezione per la gestione dell’attività di antiriciclaggio negli istituti di credito. Quest’ultima non fu semplicemente compresa nel perimetro operativo d’interesse, ma focalizzò su di sé le maggiori attenzioni privilegiando la conformità alle disposizioni che la interessano – nonché ai regolamenti internazionali ed alla best practice indicata da dottrina ed associazioni specialistiche – nello svolgimento dell’attività. Maggiori informazioni in tal senso furono fornite da un’ulteriore elaborazione dei dati raccolti in merito alla natura dell’attività di compliance, in riferimento alle aree normative precedentemente individuate. Nature of compliance activity (percentage values) 100% 90% 80% 54 70% 62 69 70 67 67 80 60% 83 88 50% 8 40% 30% 5 12 20% 38 7 33 33 38 25 19 10% 17 13 12 0% Anti-money laundering Investment services Market Abuse Regulatory requirements Ex-ante 231/2001 Ex-post Privacy Tra nsparency Safety Others areas Both ex-ante and ex-post Figura - Fonte G. BIRINDELLI - P. FERRETTI, "Compliance risk in Italian banks: the results of a survey", Journal of Financial Regulation and Compliance, vol. 16, n. 4, pp. 335-351, 2008 L’evidenza pratica dimostrò come – in generale – l’attività della Compliance si caratterizza per un approccio misto di controlli preventivi e successivi, particolarmente orientato verso i primi. Il modus operandi trae dunque impulso da controlli ex ante volti all’individuazione delle nuove norme applicabili, oppure alle disposizioni rientranti nel perimetro di interesse sulla base dell’evoluzione del business aziendale. Ad essi seguono controlli successivi rivolti al follow up attuato a correzione delle mancanze riscontrate; solo in pochis- 157 simi casi l’attività di conformità si compie per mezzo di semplici verifiche successive di tipo “ispettivo”, più adatte alle logiche dei controlli di terzo livello. In particolare l’attività antiriciclaggio gestita dall’unità di conformità è svolta in gran parte attraverso un’azione combinata di controlli preventivi e successivi, secondo le modalità sopra esposte e solo in minima parte si limita a soli compiti che non prevedano una verifica successiva dei risultati perseguiti. Le evidenze sin qui apportate non lasciano dubbi in merito all’opportunità di destinare le funzioni antiriciclaggio alla Compliance, opportunità oggi rafforzata dalle disposizioni – anche se non ancora pubblicate in versione definitiva – dell’Autorità di Vigilanza, la quale ha espressamente contemplato tale soluzione organizzativa. È importante tenere in considerazione anche il contesto del momento nel quale venne svolta l’indagine che ha originato tali dati. Lo studio pubblicato nel 2008, risale però al 2007, ancor prima della pubblicazione delle disposizioni di vigilanza in materia di compliance da parte di Banca d’Italia. Appare significativa la considerazione prioritaria della conformità alle disposizioni di contrasto del riciclaggio e del finanziamento del terrorismo in un periodo di transizione, nel quale gli istituti riorganizzarono le attività di compliance – allora sparse all’interno della struttura – in un soggetto ad essa preposto. Come già evidenziato nel corso delle precedenti analisi teoriche, i successivi provvedimenti normativi e regolamentari hanno sostenuto l’impostazione pratica adottata dagli istituti provvedendo ad una riorganizzazione in termini di coerenza e completezza. 1.1 L’informativa delle note di bilancio sull’attività antiriciclaggio Le evidenze sopra addotte, seppur solide, si riferiscono a materie rispetto ad allora in- novate (Compliance) e tuttora in evoluzione (antiriciclaggio). Allo stato attuale non sembrano essere stati pubblicati rapporti di ricerca in grado di testimoniare l’esperienza italiana nella gestione della funzione antiriciclaggio da parte delle istituzioni bancarie, anche in ragione della mancanza di indicazioni definitive da parte dell’Autorità di Vigilanza96. Tuttavia è possibile trovare raffronti all’interno delle note integrative dei bilanci, nonché nelle relazioni annuali dei gruppi bancari nazionali ed internazionali che operano sul territorio 96 Il riferimento è sempre al documento per la consultazione rubricato “Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell’art. 7 comma 2 del Decreto Legislativo 21 novembre 2007, n. 231”. 158 italiano. Tale ricerca ha portato all’individuazione nell’esperienza pratica di numerosi riscontri di attribuzione della funzione antiriciclaggio alla Compliance, supportate dalle considerazioni teoriche già trattate. Di seguito si procede all’esposizione delle risultanze raccolte dai bilanci di società capogruppo italiane ed estere, nonché di singoli istituti non vincolati da una logica di gruppo. BANCA ICCREA L’istituto bancario in questione, nel capitolo dedicato alle attività svolte dall’unità organizzativa di conformità, riporta quanto segue. “Nel corso del 2009, oltre alle ordinarie attività di controllo, tra le quali si rappresentano quelle dirette in materia di Responsabilità Amministrativa degli Enti, la Funzione Compliance è stata interessata in attività volte ad implementare l’impianto del sistema di controllo in materia di antiriciclaggio e antiterrorismo, in particolare, per quanto concerne l’operatività di tramitazione con le banche di San Marino. [...] Infine, sempre nel corso dell’esercizio, la Funzione Compliance è stata attivamente interessata a condurre numerosi interventi di formazione di-retti a tutto il Personale della Banca nelle principali materie rientranti nel proprio perimetro di controllo, con particolare riferimento alla tematica dell’antiriciclaggio”. Per quanto riguarda invece le evidenze in merito all’attività svolta dal Collegio Sindacale, nell’apposita sezione è contenuto quanto di seguito. “Abbiamo seguito l’attività di auditing posta in essere dalla Funzione Controlli delle Società di Gruppo – e quella ispettiva (affidata alla stessa Funzione Controlli a partire dal 1 gennaio 2006) commissionando alla struttura stessa gli approfondimenti necessari al fine di valutare l’adeguatezza del sistema antiriciclaggio operato dalla funzione di compliance, nonché le operazioni di sistemazione delle pregresse difficoltà operative riscontrate all’esito della verifica di Banca D’Italia conclusasi alla fine del mese di dicembre 2008 ed i cui esiti (verbale ispettivo e provvedimento connessi) sono intervenuti nel corso dell’esercizio cui la presente relazione si riferisce (marzo 2009). [...] Abbiamo, altresì, valutato e vigilato sull’adeguatezza del sistema amministrativo contabile e sulla sua affidabilità a rappresentare concretamente i fatti di gestione, non rilevando in esso particolari problemi a voi non già noti, anzi con la sistemazione del settore controlli antiriciclaggio operato dalla funzione di Compliance con l’assistenza esterna della società OASI, anche il riscontro delle registrazioni contabili e di quelle AUI è notevolmente incrementato con il fornitore esterno di tali servizi (ISIDE), migliorando in tal senso ogni rapporto in tale settore”. 159 BANCA ITALEASE (GRUPPO BANCO POPOLARE) La società controllata del Gruppo Banco Popolare segue la logica organizzativa del gruppo, riportando nella sezione “Compliance e Internal Audit” le informazioni di seguito riportate. “Il Servizio Compliance, strutturato secondo una logica di tipo “accentrato” e posto in staff all’Amministratore Delegato, è composto dall’Unità Organizzativa Conformità Normativa, che presidia il rischio di conformità, e dall’Unità Organizzativa Reclami, che gestisce i reclami provenienti dalla clientela, nonché gli esposti alle Autorità di Vigilanza. L’Unità Organizzativa Conformità Normativa, nel corso dell’anno 2009, ha costantemente supportato gli organi di vertice e le altre funzioni aziendali di Banca Italease e delle società da essa controllate nell’individuazione delle corrette prassi operative ai sensi delle normative vigenti con particolare riferimento sia alle nuove disposizioni emanate da Banca d’Italia in materia di trasparenza, di usura, di sistemi di risoluzione stragiudiziale delle controversie e di antiriciclaggio, sia in relazione ai successivi interventi attuati in argomento dai vari attori operanti nel sistema (Assilea, ABI, Conciliatore Bancario). Da ultimo si evidenzia che l’Unità Organizzativa è stata coinvolta nelle attività straordinarie relative alle attività preliminari propedeutiche all’avvio della partecipata Alba Leasing e relative in particolar modo alla trasparenza, all’usura e all’antiriciclaggio”. BANCA MONTE PARMA Nel bilancio di esercizio 2009 della società è possibile leggere in merito all’ufficio di compliance quanto riportato di seguito. “L’Ufficio Compliance ha il compito di identificare le norme esterne applicabili alla Banca e di individuare i processi operativi aziendali e le unità organizzative interessate; formula le analisi di sintesi iniziali necessarie all’avvio dell’iter di adeguamento della normativa interna, dei processi e delle procedure aziendali;verifica la conformità delle modifiche apportate ai processi in relazione agli adeguamenti necessari al rispetto delle disposizioni esterne. In tal modo l’Ufficio (e più in generale la funzione di conformità) svolge la propria attività in un’ottica di presidio dei rischi di non conformità e reputazionali. [...] Altre significative attività di controllo hanno riguardato la nuova normativa di prevenzione e contrasto al riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (normativa antiriciclaggio D.Lgs. 231/07). [...] Inoltre l’Ufficio Compliance ha collaborato con le unità organizzative aziendali preposte alla definizione e all’aggiornamento della regolamentazione interna della Banca ed è stato direttamente impegnato nelle attività formative concernenti la normativa rientrante nel proprio perimetro di intervento (in particolare, antiriciclaggio e privacy)”. 160 BANCA POPOLARE DI SONDRIO In riferimento alla funzione di conformità è possibile leggere quanto segue all’interno del bilancio d’esercizio 2009. “Tra gli ambiti d’azione di rilievo quelli interessati da significative innovazioni di legge, con particolare riferimento ai provvedimenti interno sulla trasparenza bancaria e comunitario riguardante i servizi di pagamento al dettaglio. Costante pure l’attenzione riservata alla normativa antiriciclaggio. Quanto ai servizi di investimento, la funzione ha svolto, in collaborazione con l’ispettorato, controlli diversificati e preso atto della ridotta quantità e delle motivazioni dei reclami pervenuti alla banca, tutti prontamente riscontrati. Inoltre, ha contribuito alle attività finalizzate alla migliore applicazione della direttiva MiFID”. BANCA POPOLARE PUGLIESE Analogamente rispetto ai casi sin qui analizzati, tale istituto fornisce le seguenti informazioni in materia di Compliance e rischio di conformità. “In tema di rischio di non conformità alle norme, la Banca, nel corso del 2009, attuando le disposizioni di vigilanza della Banca d’Italia, ha costituito un presidio di Conformità interno. [...] L’attività di controllo sulla corretta applicazione delle norme vigenti in tema di “trasparenza”, “anti-usura” e “tutela della privacy” si è mantenuta su livelli di attenzione elevati; maggiore cura è stata prestata alla verifica del rispetto della normativa “antiriciclaggio”. Lo scambio telematico delle informazioni con l’Agenzia delle Entrate e la Guardia di Finanza è stato effettuato conformemente agli obblighi di legge”. La Compliance, oltre ad occuparsi della normativa antiriciclaggio, sembra essere in questo caso il soggetto deputato alle segnalazioni delle operazioni sospette, intrattenendo rapporti diretti con la Guardia di Finanza. BNL (GRUPPO BNP PARIBAS) La politica di gruppo è riflessa anche nella controllata “Banca Nazionale del Lavoro”, nella quale le competenze dell’unità di compliance si estendono anche all’area antiriciclaggio. Nella sezione dal titolo “Compliance e controlli di conformità” è riportato quanto segue. “La continua evoluzione della normativa di riferimento (ad es. la trasposizione in Italia della III Direttiva Antiriciclaggio, le nuove disposizioni di Banca d’Italia in materia di trasparenza bancaria, la prossima evoluzione dei principi contenuti in Basilea 2, ecc.), 161 incentrata in via primaria sulla protezione del cliente, il contrasto al riciclaggio ed il terrorismo e la tutela del corretto funzionamento dei mercati, richiedono sempre più al sistema bancario di operare in modo proattivo nel rispetto del contesto regolamentare. [...] In tale contesto, la Direzione Compliance, struttura di controllo indipendente di secondo livello, ha la responsabilità di vigilare affinché le attività svolte dalla Banca siano conformi con le norme di auto ed etero-regolamentazione, supportando al contempo le linee di business nello sviluppo delle attività bancarie coerentemente con le regole definite. Il rispetto di tali regolamentazioni è monitorato allo scopo di proteggere la reputazione del Gruppo BNP Paribas e della Banca, e rappresenta in via primaria una responsabilità individuale di tutti i dipendenti, sia nelle Linee di Business che nelle Funzioni Centrali ed Entità del Gruppo BNP Paribas”. Nella sezione dedicata alla normativa antiriciclaggio è riportato quanto di seguito. “Nel corso degli ultimi anni, gli intermediari sono stati chiamati ad assumere un ruolo sempre più importante nel contribuire alla lotta contro il riciclaggio di denaro ed il contrasto alle attività di finanziamento al terrorismo. Numerosi provvedimenti, sia a livello comunitario che a livello nazionale richiedono alle banche di dotarsi di dispositivi organizzativi e di controllo volti ad assicurare un’adeguata verifica della clientela (KYC - Know Your Customer) e di monitorarne costantemente la relazione, secondo un approccio basato sul rischio. BNL si è quindi dotata, in coerenza con le regole definite dal Gruppo e la normativa italiana, di un dispositivo di sicurezza finanziaria che, ponendo al centro il processo di KYC, si pone come obiettivo quello di assicurare un monitoraggio continuo dell’intero ciclo di vita del rapporto con il cliente. Tale modello si basa sulla sensibilizzazione e responsabilizzazione del personale a diretto contatto con la clientela, che è chiamato ad assumere un ruolo centrale per la corretta gestione del rapporto con il cliente. All’interno della Direzione Compliance, la Sicurezza Finanziaria Italia, provvede in particolare alla valutazione delle operazioni sospette segnalate dalla rete ed alla loro eventuale segnalazione alle competenti autorità nonché a supportare le linee di business nello svolgimento del processo di adeguata verifica della clientela”. Altresì in relazione al contrasto del finanziamento al terrorismo è possibile leggere: “BNL, oltre al pieno rispetto delle misure restrittive di embargo adottate dall’UE, recepisce nella propria normativa interna le Policy di Gruppo ai fini della gestione del rischio reputazionale, in coerenza con le best practices internazionali che incoraggiano l’adeguata verifica delle transazioni allo scopo di contrastare i rischi di riciclaggio di denaro e di finanziamento al terrorismo ed ai programmi di proliferazione di armi di distruzione di massa”. 162 CASSA DI RISPARMIO DI CENTO All’interno del bilancio 2009 dell’istituto, con particolare riferimento alla sezione dedicata ai controlli interni, sono riportate le seguenti informazioni. “La funzione di Compliance è stata particolarmente impegnata sia nella rilevante attività di adeguamento alle norme di vigilanza di cui sopra che nella costante verifica di conformità della normativa interna con quella tempo per tempo emessa dai regulators, con particolare riferimento all’antiriciclaggio anche legato allo “scudo fiscale””. CASSA DI RISPARMIO DI RAVENNA Il bilancio di esercizio 2009 dell’impresa bancaria definisce in tale modo l’ufficio Compliance istituito al suo interno. “L’anno 2008 ha visto la nascita della funzione di Compliance di Gruppo, funzione autonoma ed indipendente con riporto diretto al Consiglio di Amministrazione; essa ha l’obiettivo di monitorare e valutare il rischio di non conformità alle norme, al fine di tutelare il Gruppo dal rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di leggi, norme e regolamenti esterni e di provvedimenti di autoregolamentazione (es. statuto e codice etico). [...] Gli ambiti normativi in cui la Funzione opera sono, pertanto, quelli più sensibili dal punto di vista della tutela del rischio di reputazione (trasparenza bancaria, servizi di investimento, usura, antiriciclaggio, privacy, responsabilità amministrativa delle persone giuridiche, politiche di remunerazione ed incentivazione)”. DEUTSCHE BANK Nel bilancio di responsabilità sociale, nella sezione “Compliance and anti-moneylaundering programme” è possibile leggere quanto segue. “Compliance risk arises when insufficient compliance with laws, rules, and regulations triggers legal or regulatory sanctions against the bank or results in financial or reputational damage. The compliance and anti-money-laundering program helps Deutsche Bank minimize and manage its compliance risk. [...] The core responsabilities of the compliance departement include: […] Initiating and implementing measures within the scope of the anti-moneylaundering program to ensure compliance with embargo provisions that apply in the EU and in other countries in which the bank maintains subsidiaries and branches 163 […] With its anti-money-laundering program, the bank lends strong support to International efforts to combat money laundering, the financing of terrorism, and other criminal acts. Deutsche Bank complies with, among other things, the recommendations of the Financial Action Task Force on Money Laundering (FATF) and the recommendation and standards of the Basel Committee on Banking Supervision. We are member of the Wolfsberg Group, in which leading internationally operating banks have moine forces to map out principles for combating money laundering and the financing of terrorism. The Money Laundering Act has been amended to bring it in line with the Third EU Money Laundering Directive. These amendments are being implemented by a global, cross-departmental workgroup. We continually review our anti-money-laundering strategies and objectives and maintain an effective anti-money-laundering program for our operations. Deutsche Bank is committed to high anti-money-laundering standard and expects its managers and employees to comply with these standards to prevent any abuse of the bank or its products and services for the purposes of money laundering and financing terrorism”. GRUPPO ALLIANZ Nel rapporto annuale del gruppo, relativamente all’anno 2009 viene riportata una descrizione dei programmi di conformità e di contrasto al riciclaggio nei seguenti termini. “With its compliance and anti-money laundering program, Allianz supports and follows internationally and nationally recognised guidelines and standards for rules-compliant and value-based corporate leadership. These include, among others, the German Corporate Governance Code, the UN Global Compact Program, OECD Guidelines for Multinational Enterprises and the recommendations of the Financial Action Task Force on Money Laundering (FATF). [...] Group Compliance is responsible, in close cooperation with local compliance departments, for ensuring the effective implementation and monitoring of compliance and anti-money laundering programs within Allianz”. GRUPPO BANCA GENERALI All’interno del bilancio consolidato del gruppo relativo all’esercizio 2009 ed in particolare nella sezione “I tre livelli di controllo, gestione dei rischi e Presidio 262”, è possibile leggere quanto segue in merito al rischio di compliance. “Con riferimento ai rischi operativi, di compliance e reputazionali, particolare rilevanza viene assegnata alle fattispecie di corruzione, frode, riciclaggio di denaro e finanziamento del terrorismo, reati disciplinati dalla legislazione nazionale. Ogni singola 164 società del gruppo bancario ha adottato princìpi e norme procedurali atti a prevenire ed evidenziare tali comportamenti illeciti, applicabili a tutte le unità organizzative interessate nonché portati a conoscenza di tutti i soggetti coinvolti.” GRUPPO BANCA INTERMOBILIARE DI INVESTIMENTI E GESTIONI Con riferimento a tale gruppo bancario, nel bilancio consolidato relativo all’esercizio 2009 è presente una sezione rubricata “Compliance & Antiriciclaggio”, il cui contenuto è il seguente. “La “funzione di conformità” è incaricata di verificare che nei settori operativi rientranti nel perimetro di competenza, attribuitole dal Consiglio di Amministrazione, esistano meccanismi che assicurino il rispetto delle norme applicabili alle attività che determinano i rapporti con la clientela. La funzione è parte integrante del sistema dei controlli interni e costituisce uno strumento che concorre ad assicurare la sana e prudente gestione del Gruppo, a presidio dei rischi legali e di reputazione potenzialmente in grado di metterne a repentaglio la stabilità e di compromettere il legame fiduciario con la clientela. Presso la Funzione Compliance è accentrato l’ufficio del Responsabile Aziendale Antiriciclaggio - RAA avente competenza sulla Capogruppo”. GRUPPO BANCA POPOLARE DI CIVIDALE Per quanto riguarda tale gruppo bancario, le informazioni a supporto dell’analisi possono essere rinvenute nell’informativa al pubblico avente ad oggetto le nuove disposizioni di vigilanza prudenziale, nella quale viene fornita la seguente descrizione di rischio di compliance. “L’esposizione al rischio di compliance è valutata principalmente con riferimento alle normative propriamente inerenti l’attività tipica dell’industria bancaria. Esse sono in primo luogo quelle richiamate dalla specifica normativa di Vigilanza in materia di conformità, e quindi: tutela del consumatore (trasparenza, antiusura); servizi di intermediazione finanziaria; conflitti di interesse. A queste aree vanno ad aggiungersi: antiriciclaggio; tutela della privacy, responsabilità amministrativa degli enti (Dlgs 231/2001), nonché la normativa primaria e secondaria specifica del settore (TUB, TUF, Vigilanza)”. 165 GRUPPO BANCA POPOLARE DI VICENZA In merito all’unità organizzativa di compliance del gruppo, è riportato nel bilancio consolidato 2009 quanto segue. “La Funzione di Compliance svolge, come descritto nel precedente capitolo, un’attività di controllo di secondo livello, il cui obiettivo, come previsto dalla normativa (Disposizioni di Vigilanza nr. 688006 del 10 luglio 2007 dal titolo “La funzione di conformita (compliance)” e Regolamento congiunto Banca d’Italia – Consob in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio) e quello di prevenire e gestire il rischio di non conformità alle norme, in modo da preservare il buon nome della Banca e del Gruppo e la fiducia del pubblico nella sua correttezza operativa e gestionale. A tale scopo la Funzione identifica, valuta e gestisce il rischio di violazioni normative e assicura che le procedure interne siano coerenti con l’obiettivo di prevenire la violazione delle norme di eteroregolamentazione (leggi e regolamenti) e autoregolamentazione (regolamenti interni) applicabili alla BPVi e al Gruppo. La Funzione di Compliance e stata istituita dal Consiglio di Amministrazione della Capogruppo con delibera del 29 gennaio 2008. Nel corso dell’esercizio 2009 sono proseguite le iniziative finalizzate al rafforzamento e alla stabilizzazione della Funzione di Compliance e sono state condotte una serie di attività rientranti tra i compiti istituzionali della Funzione di Compliance, tra le quali si ricorda l’analisi delle disposizioni normative recentemente emanate in tema di commissione di massimo scoperto, antiriciclaggio, governance societaria, antiusura, MiFid, trasparenza e Reclami”. La medesima descrizione è altresì contenuta nel bilancio di responsabilità sociale del gruppo, sempre in riferimento all’esercizio 2009. GRUPPO BANCARIO CASSA DI RISPARMIO DI FERRARA Nella sezione dedicata alla Compliance del gruppo, riferita al bilancio consolidato dell’esercizio 2009, è riportato quanto segue. “La funzione compliance presidia il rischio di non conformità, ovvero il rischio (legale e reputazionale) di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni reputazionali, in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di norme di autoregolamentazione (statuti, codici di condotta, codici di autodisciplina). [...] Nel corso del 2009 la funzione di compliance ha proseguito l’attività di presidio dei rischi di non conformità, promuovendo la centralità degli interessi della clientela e l’integrità del mercato. L’approccio utilizzato si è fondato su preliminari attività di analisi, successiva individuazione di possibili interventi mitiganti e, infine, attraverso il monitoraggio di questi ultimi. Tale attività è stata svolta sia in fase ex ante, supportan166 do le varie unità operative centrali nelle fasi di adeguamento alle disposizioni di nuova emanazione e/o intervenendo nell’analisi di nuovi prodotti e servizi prima della loro diffusione, sia in fase ex post, verificando il puntuale e coerente svolgimento delle procedure e la corretta esecuzione dei vari adempimenti che le disposizioni prescrivono a carico degli intermediari finanziari. Nella logica esposta si è intervenuti in fase ex ante principalmente sui seguenti ambiti: la trasparenza bancaria, le prestazioni dei servizi di investimento, l’antiriciclaggio e l’antiterrorismo, le modifiche alla commissione di massimo scoperto, le nuove norme per la rilevazione dei tassi di usura, lo scudo fiscale, i mutui, la direttiva PSD sui servizi di pagamento. Parallelamente, in fase ex post, anche attraverso l’implementazione di una specifica procedura informatica di gestione e supporto, le attività svolte dalla Banca, nelle loro diverse componenti contrattuali, organizzative e procedurali, sono state oggetto di un articolato controllo di conformità alle norme, con interventi volti ad assicurare una puntuale e coerente applicazione della normativa stessa. Partendo dall’individuazione e catalogazione di tutti gli adempimenti previsti per normativa, attraverso le cosiddette indagini sistematiche, sono stati svolti specifici controlli nelle materie dell’antiriciclaggio e dei servizi di investimento. Parallelamente a tali attività negli ambiti già evidenziati, è proseguito il lavoro attraverso le cosiddette indagini spot che, a differenza dell’analisi sistematica, si basano sull’utilizzo di flussi informativi interni. [...] I principali ambiti di analisi sono stati: i servizi di investimento, l’antiriciclaggio e l’antiterrorismo, il codice del consumo, i crediti, i depositi dormienti, la materia fiscale, il codice della privacy, la sicurezza sul lavoro, la trasparenza bancaria, l’usura, la regolamentazione delle obbligazioni degli esponenti aziendali”. GRUPPO BANCARIO MEDIOCREDITO TRENTINO – ALTO ADIGE All’interno della sezione dedicata all’illustrazione del rischio operativo contenuta nel bilancio della capogruppo relativamente all’esercizio 2009, sono riportate le informazioni illustrate di seguito. “La Banca – nell’ambito del sistema dei controlli interni – ha continuato a sviluppare una serie di attività ed iniziative in tema di monitoraggio e gestione del rischio operativo. In particolare, sono degni di essere citati gli aspetti di seguito esposti: [...] Per quanto riguarda l’attività di Risk Management, svolta oggi dalla funzione di Compliance a supporto della Direzione Generale e del Comitato Controlli, è prevista, nel corso del 2010, l’attivazione di una autonoma funzione di Risk Management in staff alla direzione generale che consentirà una migliore focalizzazione anche della mission della funzione di Compliance sulle tematiche tipiche (rischio normativo) e su quelle di nuova collocazione (es. Privacy e antiriciclaggio) in coerenza con le recenti indicazioni dell’Organo di Vigilanza”. 167 GRUPPO BANCO POPOLARE La relazione annuale 2009 del gruppo, all’interno della sezione dedicata alla Compliance riporta quanto di seguito. “Il Gruppo Banco Popolare attribuisce specifico rilievo al presidio dei rischi di conformità, nell’assunto che il rispetto delle norme e la correttezza negli affari costituiscano elementi fondamentali nello svolgimento dell’attività bancaria, per sua natura fondata sulla fiducia. […] Le attività svolte nel corso dell’esercizio sono state concentrate sugli ambiti considerati più rilevanti ai fini del rischio di non conformità, in particolare sulle seguenti aree: [...] Antiriciclaggio e lotta al terrorismo”. Per quanto riguarda invece la funzione antiriciclaggio in gruppo riporta le seguenti informazioni. “Nell'ambito del progetto antiriciclaggio sono state intraprese importanti iniziative che hanno portato all'istituzione della figura del Responsabile Antiriciclaggio di Gruppo individuato nel Responsabile della Funzione Accertamenti e Indagini del Servizio Legale del Banco Popolare. Contestualmente ogni singola Banca e Società del Gruppo ha individuato al proprio interno un referente/presidio antiriciclaggio che ha il compito di trasferire direttamente nella realtà di propria competenza le istruzioni impartite dal Responsabile di Gruppo. Sempre perseguendo la finalità di uniformare le modalità informatico-operative sono state accentrate nella Funzione Accertamenti e Indagini le deleghe, conferite dalle Banche del Gruppo, per la segnalazione delle operazioni sospette e per le infrazioni ex art. 49 del D.Lgs. 231/07, in abbinamento al conferimento delle citate deleghe è stata rilasciata la procedura informatica volta alla gestione delle segnalazioni delle operazioni sospette”. 168 GRUPPO BNP PARIBAS Nel paragrafo rubricato “Group Compliance”, relativamente agli eventi di maggior rilevanza riferibili al 2009, si legge: “In 2009, the Group’s internal control system was strongly marked by the increase in Compliance issues and by the integration of Fortis. The Compliance Function faced a strong increase in issues concerning: new regulations, in particular the transposition into French law of the 3rd European Money Laundering Directive and new requirements in the field of professional certification; [...] Decree of 29 October 2009 creating a new chapter on the fight against money laundering and the financing of terrorism (transposition of the 3rd European Money Laundering Directive)”. Di seguito, il capitolo dedicato all’illustrazione delle competenze destinate alla Compliance riporta quanto segue: “Managing risks of all kinds is a vital part of BNP Paribas’ organisation, management and strategy. Particular attention is paid to compliance risks. According to the Group’s definition, compliance is “respect for legislative and regulatory provisions, professional and ethical standards, guidelines given by the Board of Directors and instructions given by head management.” It involves protecting the Group’s reputation and implementing conduct rules, including respecting market integrity and the primacy of client interests, helping to combat money laundering, terrorist financing and corruption, and complying with financial embargos and professional ethics”. Ulteriori informazioni sono disponibili in merito ai programmi di formazione sulla materia antiriciclaggio, posta in atto dalla conformità: “Compliance training, which covers protecting client interests, maintaining market integrity and combating money laundering, is a key responsibility of the compliance function. Almost 60,000 training sessions relating to financial security were taken by Group staff in 2009. Almost 40,000 staff received training on other compliance themes in 2009, including client interests, conflicts of interest, gifts and whistleblowing”. GRUPPO CARIPARMA FRIULADRIA Nel paragrafo dedicato alla Compliance del bilancio di gruppo 2009 è riportato quanto segue. “La Compliance focalizza la propria attenzione ed effettua il controllo sul rispetto delle norme riguardanti l’esercizio dell’attività di intermediazione, la gestione dei conflitti di 169 interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore. Collabora in questo con le altre funzioni aziendali, assumendo un ruolo di primo piano nella costruzione del rapporto fiduciario con gli stakeholder, promuovendo comportamenti corretti ed etici. [...] Nel nuovo modello di compliance di Gruppo è stato altresì previsto, ferma restando la nomina di un responsabile locale della conformità presso ciascuna Società del Gruppo con riporto funzionale al responsabile della conformità di Cariparma, un graduale accentramento dei controlli di pertinenza della funzione Antiriciclaggio (sicurezza finanziaria) e della funzione di Compliance bancaria e finanziaria. Le attività svolte nell’anno 2009 dalla funzione Compliance hanno riguardato le attività di identificazione, prevenzione, mitigazione, consulenza e gestione del rischio di non conformità principalmente sulle seguenti materie: antiriciclaggio, antiterrorismo, embarghi, congelamenti”. In materia di formazione invece, la Compliance è attiva nei seguenti ambiti. “Non solo, la Compliance partecipa alla progettazione dei corsi (programma e materiali didattici) su tematiche sensibili con riferimento ai principi di conformità e spesso si impegna anche nella docenza diretta nei confronti dei colleghi, per iniziative d’aula e attraverso stage che organizza presso la propria struttura. Nel 2009, in particolare, lo staff della Compliance ha coinvolto direttamente in aula o attraverso stage 623 dipendenti; inoltre, i colleghi interessati da attività formativa in aula (su antiriciclaggio, sui rischi operativi e frodi, sulla MiFID e su altre tematiche a carattere finanziario) sono stati 4.719. Altre importanti iniziative, che hanno visto impegnata la Compliance nella progettazione delle stesse, hanno riguardato: 4.712 dipendenti che hanno fruito di un corso autodidattico antiriciclaggio”. Infine per ciò che riguarda che riguarda i piani per il miglioramento del gruppo, rivolti in particolare all’unità organizzativa di conformità, si legge: “Rafforzare la prevenzione del riciclaggio all’interno del Gruppo e migliorare la conformità delle operazioni e la capacità di servizio al cliente”. GRUPPO CREDEM Nel bilancio consolidato del gruppo, relativamente all’esercizio di gestione 2009, sono riportate le seguenti informazioni nel paragrafo dedicato alla Compliance. “This area mainly regards Credembanca, the other group banks and the asset management companies. Control and advisory activities have mainly concerned the following regulatory areas: […] against money laundering; 170 In this regard, the following types of activities were performed: “ex-ante”, namely a preliminary analysis of organisational adequacy following amendments to legislation and/or the introduction of new products/services/processes; “ex-post”, namely checking the existence/adequacy of organisational measures already taken to monitor non-compliance risks; advisory, namely in order to explore a topic in further depth on request”. GRUPPO CRÉDIT AGRICOLE All’interno della sezione che illustra le tre tipologie di controllo interno adottate dal gruppo (Risk Management, Compliance e Group Control and Audit), è riportato nel bilancio di consolidato 2009 quanto segue. “Control functions are responsible for supporting the business lines and functional units to ensure that all transactions are carried out in a manner that is proper, secure and effective. Responsibilities are divided as follows: [...] the Compliance department and Legal Affairs department are responsible for non-compliance and legal risk prevention and control. The Compliance department is responsible in particular for prevention of money-laundering and terrorism financing, fraud prevention, and compliance with embargos and obligations to freeze assets”. Quanto segue è invece destinato alla descrizione della sola Compliance, nella sezione ad essa dedicata. “The Compliance function, which is placed under the responsibility of the Group Head of Legal and Compliance Affairs, reports to a Deputy Chief Executive Officer in charge of Crédit Agricole S.A. Group functions, in his capacity as Head of Compliance under the terms of Regulation 97-02. [...] The Group Compliance department is responsible for developing policies on compliance with: [...] rules on prevention of money-laundering and terrorism financing, on management of embargos and freezes on assets, and fraud prevention. [...] The implementation of the “Third European Directive” on the prevention of the use of the financial system for the purpose of money laundering and terrorism financing is in the process of being completed. It should lead in 2010 to the circulation of procedures, to a training module for relevant staff members, to the adaptation of risk classifications in relation to money laundering and terrorism financing, and to the development of ad171 ditional early warning scenarios regarding money laundering in the Retail banking in France business line. [...] In 2009, Crédit Agricole CIB extended its anti-money laundering framework of measures to the following regions or countries: Belgium, Hong Kong, Singapore, Spain and Germany”. Ancora in merito all’attività di compliance è riportato: “The role of Crédit Agricole’s Compliance function is to define and implement a policy to prevent risks arising from non-compliance, such as risks associated with money laundering, financing of terrorism, violation of embargos, market abuse, conflicts of interest or failure to advise”. Infine, con riguardo al rischio di conformità, esso è descritto dal gruppo nel seguente modo. “Compliance risks refer to a potential lack of adherence to rules governing financial and banking activities. These rules may be laws, regulations, professional or ethical standards, instructions, standards of ethical behaviour in a professional environment, or efforts to combat money-laundering, corruption or the financing of terrorism”. GRUPPO INTESA SAN PAOLO Nel bilancio consolidato del gruppo riferito al periodo di gestione 2009, nel paragrafo dedicato alla Compliance è riportato quanto segue. “Il Gruppo Intesa Sanpaolo attribuisce rilievo strategico al presidio del rischio di compliance, nella convinzione che il rispetto delle norme e la correttezza negli affari costituiscano elementi fondamentali nello svolgimento dell’attività bancaria, che per sua natura è fondata sulla fiducia. La gestione del rischio di non conformità è affidata alla Direzione Compliance, costituita nel giugno 2008 in ottemperanza alle disposizioni di vigilanza emanate dalla Banca d’Italia in data 10 luglio 2007 e alle previsioni normative contenute nel Regolamento congiunto emesso da Consob e Banca d’Italia in data 29 ottobre 2007. La Direzione Compliance è posta alle dipendenze del Chief Risk Officer. [...] Le attività svolte nel corso dell’esercizio sono state concentrate sugli ambiti normativi considerati più rilevanti ai fini del rischio di non conformità. In particolare: [...] è stato impresso un ulteriore impulso ai progetti mirati al rafforzamento del presidio delle società italiane ed estere del Gruppo in tema di antiriciclaggio ed embarghi. In particolare, sono state poste in essere le attività organizzative, informatiche e di formazione finalizzate all’attuazione della III Direttiva Europea; sono inoltre proseguite le attività di monitoraggio sulla corretta tenuta 172 dell’Archivio Unico Informatico e di analisi delle operazioni sospette al fine della valutazione circa la segnalazione alle competenti Autorità; GRUPPO RAIFFEISEN Il gruppo bancario elvetico attivo anche nel territorio italiano, nella trattazione del rischio di compliance gestito centralmente dall’unità “Legal & Compliance”, riporta quanto indicato di seguito. “Per «compliance» si intende l’osservanza delle disposizioni di riferimento in ambito giuridico, di vigilanza e deontologico nonché delle direttive interne, al fine di individuare tempestivamente i rischi legali e di reputazione per poterli evitare, nella misura del possibile, e garantire così una conduzione aziendale ineccepibile. Il Gruppo Raiffeisen ha optato per un approccio ad ampio raggio che parte da un concetto globale di compliance e pone l’accento su alcuni temi specifici. [...] Lotta al riciclaggio di denaro e al finanziamento del terrorismo: il Gruppo Raiffeisen attribuisce tradizionalmente un’importanza fondamentale al rispetto del principio «know your customer», che viene rafforzato e concretizzato dalle disposizioni in materia di lotta contro il riciclaggio di denaro e contro il finanziamento del terrorismo. A tale scopo, il Gruppo Raiffeisen ha definito e implementato standard interni ad hoc”. GRUPPO SANTANDER Il rapporto annuale del gruppo riferito all’esercizio 2009 riporta quanto segue in materia di attività di conformità, svolta dall’omonima unità organizzativa. “The corporate area of compliance and reputational risk is part of the general secretariat division and is responsible for global management of the Group’s reputational and compliance risks and anti-money laundering. [...] The compliance function focuses on the operational spheres where the Group’s exposure to reputational and compliance risks is the greatest: [...] Prevention of money laundering and financing of terrorism. [...] Money laundering is participating in any operation whose purpose is to hide or mask the nature or origin or funds from criminal activities. Financing of terrorism is understood as providing or collecting funds, by any direct or indirect means, in order to use them or in the knowledge that they will be wholly or partly used to commit an act of terrorism. 173 The compliance function is conducted, with varying levels of responsibility and different tasks, by the board, which approves the policy and receives information on how it is being implemented, by the audit and compliance committee, which supervises compliance with the code of conduct in the securities markets and with the manuals and procedures for anti-money laundering, and reviews the compliance of actions and measures resulting from the reports or activities of supervisors, and by senior management, which fosters the compliance policy in their respective areas of responsibility”. Per quanto riguarda inoltre l’organizzazione antiriciclaggio riferita alla Compliance, le informazioni fornite sono le seguenti. “Grupo Santander, aware of the importance for advanced societies of fighting moneylaundering and the financing of terrorism, is keeping and redoubling its commitment to cooperate with governments and authorities in all countries where it operates. It is strengthening its policies and procedures at the global level and applying them in all its units and subsidiaries, in line with the strictest guidelines and mandates of the Financial Action Task Force (FATF), the Basel Committee on Banking Supervision , the EU Directive on Money-Laundering and the US Patriot Act. The prevention of moneylaundering is a very important part of Grupo Santander’s culture. In this sphere, we are one of the groups in the vanguard of the financial system. [...] The Group’s policies, approved by the board of Banco Santander, are set out in corporate manuals (universal, private and correspondent banking). These internal regulations govern all aspects related to anti-money laundering and the financing of terrorism and have been adapted and implemented in all the Group’s units. [...] In order to control and analyse risk transactions, Grupo Santander has established a mixed model in all its units, which covers all transactions and involves everyone in the Group. The model, unique in banks of our size, combines decentralised software in business areas with centralised applications in anti-money laundering departments. BlanCa II, the corporate tool of centralised control, enables us to increase the scope of reviews by incorporating the profiles of each customer, whose breaches are analysed on a centralised basis. This complements the decentralised analysis by each business unit and allows an operation susceptible of being linked to money laundering or to the financing of terrorism to be analysed and identified, as well as monitored”. GRUPPO UBI Per quanto riguarda tale gruppo bancario, nella sezione dedicata all’illustrazione dei rischi relativi all’attività svolta, l’inosservanza della normativa antiriciclaggio e le conseguenze che ne potrebbero derivare vengono riferite al rischio di compliance. “L’attuale fase di intensa attività dispositiva da parte delle Autorità di Vigilanza connessa sia a normative di recente emanazione (ad esempio la Delibera Consob 17221 del 174 12 marzo 2010 in materia di operazioni con parti correlate, la Direttiva PSD-SEPA Area Pagamenti Unica Euro), sia a normative attualmente in fase di consultazione (gli obblighi di comunicazione dei soggetti vigilati ex Delibera Consob 14015, le disposizioni di Banca d’Italia in materia di antiriciclaggio, ecc.), nonché a chiarimenti interpretativi (ad esempio le risposte ai quesiti in tema di usura rilasciate in data 19 febbraio 2010), comporta interventi estremamente capillari ed onerosi finalizzati al relativo recepimento nelle procedure aziendali che possono assumere rilevanza ai fini dell’evoluzione del rischio di non conformità (rischio di compliance)”. GRUPPO UNICREDIT Le informazioni che riguardano il gruppo bancario in oggetto sono inserite all’interno del bilancio di sostenibilità del gruppo. Relativamente all’esercizio 2009 le informazioni che interessano la Compliance sono le seguenti. “The role of Compliance is to assist UniCredit Group, its Board of Directors and its various committees in managing the risk of legal and regulatory sanctions, financial losses and loss of reputation that the Group may suffer as a result of its failure to comply with all applicable investment and banking laws, regulations, codes of conduct and standards of good practice. [...] The perimeter of Compliance includes the usual range of regulations related to issues connected with the banking services industry (e.g., anti-money laundering, transparency, privacy) and with the financial services industry (e.g., market abuses, financial instruments and products issued by banks). [...] This assessment puts in place the progress towards: [...] specialist areas that provide services across businesses (e.g., Training, AntiMoney Laundering, Policies and Procedures, and Compliance Assessment and Monitoring)”. 175 CONCLUSIONI A conclusione di quanto sin qui illustrato è possibile sostenere che le evidenze riportate supportano ampiamente la tesi sostenuta, che attribuisce alla Compliance il ruolo di soggetto d’elezione chiamato alla gestione della funzione antiriciclaggio negli istituti di credito. In particolare lo studio condotto in merito all’unità organizzativa di conformità ha evidenziato come il tema dell’antiriciclaggio sia da lungo tempo un’area rispetto alla quale gli istituti prestano particolare attenzione, ritenendo l’osservanza delle relative disposizioni prioritaria per la corretta gestione. Ciò si verificava ancor prima della definizione – da parte dell’Autorità di Vigilanza – di una chiara linea di condotta in merito all’istituzione ed all’organizzazione di una unità organizzativa di conformità. Le informazioni rese pubbliche dagli istituti dimostrano attualmente un’accresciuta maturità nella gestione dei controlli interni ed in particolare per la conformità, presente in tutti gli intermediari considerati, in osservanza degli obblighi normativi. Le evidenze per ciò che riguarda la funzione antiriciclaggio dimostrano come gli intermediari bancari adottino soluzioni eterogenee, in parte dettate dalla sensibilità del management alle tematiche e dalle peculiarità organizzative ed in parte in conseguenza della mancanza di disposizioni guida da parte di Banca d’Italia in materia di controlli interni97. Si passa dunque da una piena gestione della suddetta funzione da parte della Compliance, a soluzioni più moderate che comportano la conformità alle disposizioni antiriciclaggio in via indiretta, quale presidio del rischio più ampio di conformità. Anche se attualmente gli intermediari presentano diversi gradi di sviluppo della funzione antiriciclaggio all’interno della Compliance, complice una normativa secondaria in fase di definizione, è auspicabile che nel prossimo futuro gli istituti allineeranno i propri standard organizzativi. Con la prossima pubblicazione delle disposizioni finali di Banca d’Italia in materia di organizzazione della funzione antiriciclaggio si avrà certamente maggiore chiarezza ed è auspicabile, in considerazione di quanto sinora esposto – così come indicato dalla stessa Autorità – che tale funzione sarà destinata alla Compliance, quale soggetto titolato al rispetto delle norme che interessano gli istituti di credito. 97 Si rammenta che l’unico documento che affronti le tematiche della funzione antiriciclaggio dal punto di vista organizzativo e gestionale è, al momento della stesura, ancora in fase di consultazione. 176 BIBLIOGRAFIA ABI, Libro Bianco sulla Funzione Compliance. Coordinamento scientifico di A. Alberici, M. Anolli, A. Carretta, M. Decastri, M. Di Antonio, M. Lamandini, P. Schwizer, Bancaria Editrice, Roma 2008. ABI, Linee guida dell’Associazione Bancaria Italiana per l’adozione di modelli organizzativi sulla responsabilità amministrativa delle banche (d.lgs n. 231/2001), 2004, http://www.abi.it/doc//doc/home/prodottiServizi/normativaBancariaFinanziaria/legislazi one/doc/tmp1078224516588_52Resp.Amm.vaLineeGuida_feb04_.pdf. M. ADINOLFI – C. DI GREGORIO – G. MAINOLFI, Le transazioni finanziarie sospette e il contrasto al terrorismo: controlli e adempimenti. Le norme sugli strumenti di pagamento, le misure antiriciclaggio, gli obblighi di segnalazione per banche, intermediari e professionisti, Bancaria Editrice, Roma 2006. AIIA – AICOM, Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competenza, 2008, http://www.aiiaweb.it/node/291. AIRA, Il libro bianco sulla normativa antiriciclaggio, a cura di R. Razzante, Roma febbraio 2010. M. ANOLLI – F. RAJOLA, Il rischio di reputazione e di non conformità. strumenti e metodi per la governance e la gestione operativa, Bancaria Editrice, Roma 2010. M. ARENA, L’art. 52 d.lgs. 231/2007 (Organi di controllo) alla luce del decreto correttivo approvato dal Consiglio dei Ministri, Compliance Aziendale, 24 settembre 2009, http://www.complianceaziendale.com/2009/09/lart-52-dlg-2312007-organi-dicontrollo.html. M. ARENA – R. RAZZANTE, Normativa Antiriciclaggio e Responsabilità da Reato delle Società, Edizioni Giuridiche Simone, Napoli 2009. BANCA D’ITALIA, Bollettino di Vigilanza, Numero 10, Ottobre 1999, http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/99/bolvig_10_99.pdf. BANCA D’ITALIA, Disposizioni di Vigilanza. La funzione di conformità (compliance), 10 luglio 2007, http://www.bancaditalia.it/media/notizie/compliance. 177 BANCA D’ITALIA, Istruzioni di Vigilanza per le banche, Circolare n. 229 del 21 aprile 1999, http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/istrvig/istr_vig_99_ 12a.pdf. BANCA D’ITALIA, Istruzioni operative per l’individuazione di operazioni sospette, Roma 2001, http://www.bancaditalia.it/UIF/prev-ricic/sos/norm-sos/norm-circ/Decalogo. BANCA D’ITALIA, Nuove disposizioni di vigilanza prudenziale per le banche, Circolare n. 263 del 27 dicembre 2006, http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud/circ_263_2 006.zip. BANCA D’ITALIA, Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell’art. 7 comma 2 del Decreto Legislativo 21 novembre 2007, n. 231, Documenti per la consultazione, 2010, http://www.bancaditalia.it/vigilanza/banche/documcons/consnorm/provvedimento_orga nizzazione.pdf. BANCA D’ITALIA, Provvedimento recante disposizioni attuative per la tenuta dell’archivio unico informatico e per le modalità semplificate di registrazione di cui all’articolo 37, commi 7 e 8, del decreto legislativo 21 novembre 2007, n. 231, dicembre 2009, http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/AUI/provvedimento _definitivo.pdf. BANCA D’ITALIA, Provvedimento recante gli indicatori di anomalia per gli intermediari, 2010, http://www.bancaditalia.it/vigilanza/anti/antiriciclaggio/normativa/nazionale/provv_ind _anom.pdf. BANCA D’ITALIA, Quesito sull’applicazione del d.lgs. 231/2007, Roma 20 febbraio 2008. BANCA D’ITALIA – CONSOB, Regolamento della Banca d’Italia e della Consob ai sensi dell’articolo 6, comma 2-bis, del Testo Unico della Finanza, 2007, http://www.consob.it/documenti/Regolamentazione/normativa/regolamento_consob_ba ncaditalia_20071030.pdf. BASEL COMMITTEE ON BANKING SUPERVISION, Compliance and the compliance function in banks, Bank for International Settlements, 2005, http://www.bis.org/publ/bcbs113.pdf. 178 BASEL COMMITTEE ON BANKING SUPERVISION, Core Principles for Effective Banking Supervision, Bank for International Settlements, September 1997 http://www.bis.org/publ/bcbs30a.pdf BASEL COMMITTEE ON BANKING SUPERVISION, The new Basel Capital Accord, Bank for International Settlements, January 2001, http://www.bis.org/publ/bcbsca03.pdf. G. BIRINDELLI – P. FERRETTI, Compliance risk in Italian banks: the results of a survey, Journal of Financial Regulation and Compliance, Vol. 16 No. 4, pp. 335-351, 2008, http://www.emeraldinsight.com/1358-1988.htm. G. BIRINDELLI – P. FERRETTI, Il Rischio Operativo nelle banche italiane. Modelli, gestione e disclosure, Bancaria Editrice, Roma 2009. G. CAROSIO, La Funzione di Compliance tra Basilea II e MiFID, intervento al III Incontro Compliance “Strategies, governance, compliance: le sfide della direttiva MiFID e l’integrazione del mercato finanziario europeo”, organizzato da AICOM e Dexia Crediop, Roma 21 settembre 2007, http://www.bancaditalia.it/interventi/intaltri_mdir/basilea-mifid/Basilea_II_MifidDRAFT.pdf. G. CASTALDI, L’Unità di informazione finanziaria (UIF). Funzioni e organizzazione, Sassari 2009, http://www.bancaditalia.it/UIF/interventi/InterventiUIF/Castaldi_sassari_170409.pdf. G. CASTALDI, L’Unità di informazione finanziaria (UIF) nel sistema italiano antiriciclaggio: funzioni istituzionali, prassi consolidate, problemi ancora aperti, Roma 20 aprile 2010, http://appinter.csm.it/incontri/relaz/18792.pdf. CETIF, Osservatorio Riflessi Organizzativi della Compliance nelle Banche. Rapporto di Ricerca, Università Cattolica del Sacro Cuore, Milano 2007, http://www.cetif.it/CM/Docs.aspx?Nome=DocID1121_ModCC_ID58.pdf. COMITATO DI BASILEA PER LA VIGILANZA BANCARIA, Dovere di diligenza delle banche nell’identificazione della clientela, Banca dei Regolamenti Internazionali, ottobre 2001, http://www.bis.org/publ/bcbs85i.pdf. COMITATO DI BASILEA PER LA VIGILANZA BANCARIA, Schema per i sistemi di controllo interno nelle organizzazioni bancarie, Banca dei Regolamenti Internazionali, settembre 1998, http://www.bis.org/publ/bcbs40it.pdf. 179 COMMISSIONE DELLE COMUNITÀ EUROPEE, Libro Verde. Promuovere un quadro europeo per la responsabilità sociale delle imprese, Bruxelles 18 luglio 2001, http://eur-lex.europa.eu/LexUriServ/site/it/com/2001/com2001_0366it01.pdf. F. CONCIATORE – M. ARENA, L’articolo 52 della legge antiriciclaggio: compiti e responsabilità degli organi di controllo, 2009, http://www.infoantiriciclaggio.it/index.php?pagina=documento&iddoc=1388. G. CONFORTI – C. LAURIA – A. MENGALI, Guida all’antiriciclaggio in banca, Bancaria Editrice, Roma 2003. COSO, La gestione del rischio aziendale. ERM – Enterprise Risk Management: modello di riferimento e alcune tecniche applicative, a cura di AIIA e PricewaterhouseCoopers, Il Sole 24 Ore, maggio 2006. S. COSTA, Implementing the new anti-money laundering directive in Europe: legal and enforcement issues. The Italian case, “Paolo Baffi” Centre on Central Banking and Financial Regulation, Roma 2007, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1136129. DECISIONE QUADRO 2002/475/GAI DEL CONSIGLIO, del 13 giugno 2002, sulla lotta contro il terrorismo, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:164:0003:0007:IT:PDF. DECRETO LEGISLATIVO 1° settembre 1993, n. 385 e successive modifiche e integrazioni, Testo unico delle leggi in materia bancaria e creditizia, aggiornato al d.lgs 13 agosto 2010, n. 141, http://www.bancaditalia.it/vigilanza/banche/normativa/leggi/tub/TUB_agosto_2010.pdf. DECRETO LEGISLATIVO 21 novembre 2007, n. 231, Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione, http://www.camera.it/parlam/leggi/deleghe/testi/07231dl.htm. DECRETO LEGISLATIVO 22 giugno 2007, n.109, Misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l’attività dei Paesi che minacciano la pace e la sicurezza internazionale, in attuazione della direttiva 2005/60/CE, http://www.camera.it/parlam/leggi/deleghe/testi/07109dl.htm. DECRETO LEGISLATIVO 25 settembre 2009, n. 151, Disposizioni integrative e correttive del decreto legislativo 21 novembre 2007, n. 231, recante attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di 180 riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, nonché della direttiva 2006/70/CE che reca misure di esecuzione. (09G0163), http://www.camera.it/parlam/leggi/deleghe/09151dl.htm. DECRETO LEGISLATIVO 8 giugno 2001, n. 231, Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300, http://www.camera.it/parlam/leggi/deleghe/testi/01231dl.htm. A. DEITZ – J. BUTTLE, Anti-Money Laundering Handbook, Thomson Lawbook Co., Sydney 2008. E. DELLAROSA – R. RAZZANTE, Il nuovo sistema dei controlli interni della banca. Riprogettare il sistema dopo Basile 2, MiFID e Compliance, Franco Angeli, Milano 2010. D. S. DEMETIS – O. ANGELL, AML-related technologies: a systemic risk, Journal of Money Laundering Control, Vol. 9 No. 2, pp. 157-172, 2006, http://www.emeraldinsight.com/1368-5201.htm. DIRETTIVA 2001/97/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO, del 4 dicembre 2001, relativa alla prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività illecite, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:344:0076:0081:IT:PDF. DIRETTIVA 2005/60/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO, del 26 ottobre 2005, relativa alla prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:309:0015:0036:IT:PDF. DIRETTIVA 2006/70/CE DEL PARLAMENTO E DEL CONSIGLIO, del 1° agosto 2006, recante misure di esecuzione della direttiva 2005/60/CE del Parlamento europeo e del Consiglio per quanto riguarda la definizione di «persone politicamente esposte» e i criteri tecnici per le procedure semplificate di adeguata verifica della clientela e per l’esenzione nel caso di un’attività finanziaria esercitata in modo occasionale o su scala molto limitata, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:214:0029:0034:IT:PDF. DIRETTIVA 91/308/CEE DEL CONSIGLIO DELLE COMUNITÀ EUROPEE, del 10 giugno 1991, relativa alla prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività illecite, 181 http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=it&type_ doc=Directive &an_doc=1991&nu_doc=308. DISEGNO DI LEGGE N. 1454, Modifiche agli articoli 648-bis e 648-ter del codice penale in materia di autoriciclaggio, 17 marzo 2009, http://www.senato.it/service/PDF/PDFServer/BGT/00416756.pdf. DISEGNO DI LEGGE N. 1629, Modifiche agli articoli 648-bis e 648-ter del codice penale in materia di autoriciclaggio, 23 giugno 2009, http://www.senato.it/service/PDF/PDFServer/BGT/00426838.pdf. DISEGNO DI LEGGE N. 733-BIS, Modifiche degli articoli 648-bis e 648-ter del codice penale, 3 giugno 2008, http://www.senato.it/service/PDF/PDFServer/BGT/00336640.pdf. M. DRAGHI, L’azione di prevenzione e contrasto del riciclaggio, testimonianza del Governatore della Banca d’Italia alla Commissione parlamentare di inchiesta sul fenomeno della criminalità organizzata mafiosa o similare, Roma 14 giugno 2007, http://www.bancaditalia.it/UIF/interventi/InterventiGov/140607/com_par/Draghi_14_6 _07.pdf. M. DRAGHI, L’azione di prevenzione e contrasto del riciclaggio, testimonianza del Governatore della Banca d’Italia alla Commissione Parlamentare di inchiesta sul fenomeno della mafia e sulle altre associazioni criminali, anche straniere, Roma 22 luglio 2009, http://www.bancaditalia.it/interventi/integov/2009/220709/draghi_220709.pdf. EUROPOL, OCTA 2009 – EU Organised Crime Threat Assessment, European Police Office, Netherlands 2009, http://www.europol.europa.eu/publications/European_Organised_Crime_Threat_Assess ment_(OCTA)/OCTA2009.pdf. FATF – OECD, An introduction to the FATF and its work, 2010, http://www.fatf-gafi.org/dataoecd/48/11/45139480.pdf. FATF – OECD, FATF 40 Recommendations, 2003, http://www.fatf-gafi.org/dataoecd/7/40/34849567.PDF. FATF – OECD, FATF IX Special Recommendations, 2001, http://www.fatf-gafi.org/dataoecd/8/17/34849466.pdf. A. C. FLANNERY – C. J. MIXTER – S. W. STONE – M. L. PARRY – B. D. KIESEWETTER, Anti-Money Laundering Compliance Programs: Time to Reevaluate Risks in The Investment Lawyer, Vol. 13 No. 8, August 2006, 182 http://www.morganlewis.com/pubs/Anti-MoneyLaunderingCompliancePrograms.pdf. C. L. FORD, New Governance, Compliance, and Principles-Based Securities Regulation, in American Business Law Journal, Volume 45, 2008, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=970130. M. GALLO, La funzione Compliance nelle banche italiane, Università degli Studi di Roma Tor Vergata, Roma 2007, http://dspace.uniroma2.it/dspace/bitstream/2108/610/1/Tesi+dottorato+Gallo+Manuela+ XIX+ciclo.pdf. M. GRASSI – D. BERTOLAZZI, D.Lgs. 231/07: i nuovi compiti dell’OdV e il coordinamento tra organi di controllo, Compliance Aziendale, 4 gennaio 2008, http://www.complianceaziendale.com/2008/01/dlgs-23107-i-nuovi-compiti-dellodv-eil.html. B. E. GUP, Money Laundering, Financing Terrorism And Suspicious Activities, Nova Science Publishers, New York 2006. LEGGE 28 dicembre 2005, n. 262, Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari, http://www.camera.it/parlam/leggi/05262l.htm. R. MAFFIA, Cos’è l’autoriciclaggio?, ComplianceNet, 22 settembre 2008, http://www.compliancenet.it/content/cose-l-autoriciclaggio. S. MIELI, Il nuovo approccio regolamentare al rischio di riciclaggio, intervento al Convegno Compliance Dexia Crediop su Antiriciclaggio: innovazioni normative e operazioni sospette, Roma 24 giugno 2010, http://www.bancaditalia.it/interventi/altri_int/2010/240610_mieli.pdf. MINISTERO DELL’ECONOMIA E DELLE FINANZE, Circolare del 17 dicembre 2008 avente ad oggetto il Decreto legislativo 21 novembre 2007, n. 231, pubblicato sulla Gazzetta Ufficiale della Repubblica italiana del 14 dicembre 2007 – Supplemento ordinario, n. 268 – Attuazione della Direttiva 2005/60/CE del Parlamento e del Consiglio, del 26 ottobre 2005, relativa alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, Roma 2008, http://www.dt.tesoro.it/export/sites/sitodt/modules/documenti_it/prevenzione_reati_fina nziari/normativa/CIRCOLARE_17_dicembre_2008.pdf. MINISTERO DELL’ECONOMIA E DELLE FINANZE, Decreto del 12 agosto 2008 avente ad oggetto l’Individuazione degli Stati extracomunitari e dei territori stranieri che impongono obblighi equivalenti a quelli previsti dalla Direttiva 2005/60/CE del Parla183 mento europeo e del Consiglio del 26 ottobre 2005, relativa alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo e che prevedono il controllo del rispetto di tali obblighi, Roma 2008, http://www.dt.tesoro.it/export/sites/sitodt/modules/documenti_it/prevenzione_reati_fina nziari/normativa/Decreto-12-agosto-2008---Paesi-Terzi-Equivalenti.pdf. MINISTERO DELL’ECONOMIA E DELLE FINANZE, Provvedimento dell’UIC del 24 febbraio 2006 avente ad oggetto le Istruzioni applicative per gli intermediari in materia di obblighi di identificazione, registrazione e conservazione delle informazioni per finalità di prevenzione e contrasto del riciclaggio sul piano finanziario, Roma 2006, http://www.dt.tesoro.it/export/sites/sitodt/modules/documenti_it/prevenzione_reati_fina nziari/normativa/Provvedimento-UIC-del-24.2.2006---In.pdf. ONU, Conferenza delle nazioni unite per l'adozione di una convenzione contro il traffico illecito di sostanze stupefacenti e psicotrope, Vienna 1988, http://www.unodc.org/pdf/convention_1988_en.pdf. V. PESIC, Il Sistema dei Controlli Interni nella banca. Obiettivi manageriali ed esigenze di vigilanza per il governo dei rischi, Bancaria Editrice, Roma 2009. N. PIRAS, Internal Audit e gli obblighi di vigilanza antiriciclaggio, 18 settembre 2009, http://www.operari.it/cms/internal-audit-e-gli-obblighi-di-vigilanzaantiriciclaggio/menu-id-600063.html. M. PROSPERETTI – A. COLAVOLPE, Banche, Assicurazioni e Gestori di risparmio. Corporate governance, vigilanza e controlli, IPSOA, 2009. R. RAZZANTE, Il riciclaggio come rischio tipico dell’intermediazione finanziaria in Rivista di Diritto Bancario, marzo 2008, http://www.dirittobancario.it/public/Materiale_marzo_20084413393.pdf R. RAZZANTE, L’art. 52 d.lgs. 231/2007: l’equivoco degli organi “incaricati” del controllo di gestione, in La responsabilità amministrativa delle società e degli enti, pp. 133 e seg., 2009, http://www.airant.it/RassegnaStampa/02-2009-razzante.pdf. R. RAZZANTE, L’applicazione della disciplina antiriciclaggio agli intermediari finanziari in Rivista di Diritto Bancario, maggio 2007, http://www.dirittobancario.it/public//Materiale_maggio_2007516361.pdf. R. RAZZANTE, La regolamentazione antiriciclaggio in Italia. Normativa, giurisprudenza e prassi operative, Giappicchelli Editore, Torino 2006. 184 R. RAZZANTE – E. DELLAROSA, La normativa antiriciclaggio e il nuovo Sistema dei controlli interni, in Bancaria 2010, pp. 56-65, n. 1/2010. F. SAITA, Il risk management in banca. Performance corrette per il rischio e allocazione del capitale, EGEA, 2000. SCOR, Il rischio di riciclaggio: prevenzione, implicazioni, prospettive, Gennaio 2009, http://www.scor.com/images/stories/pdf/library/focus/Life_Focus_012009_IT.pdf. A. M. TARANTOLA, Il contributo della Banca d’Italia nella lotta al riciclaggio, intervento alla Fondazione Forense Riminese – Associazione Dottori Commercialisti di Rimini, Rimini 29 gennaio 2010, http://www.bancaditalia.it/interventi/intaltri_mdir/tarantola_290110/Tarantola_290110. pdf. A. M. TARANTOLA, Il sistema dei controlli interni nella governance bancaria, intervento al Convegno DEXIA Crediop, 4° Incontro Compliance, Il sistema dei controlli aziendali: alla ricerca di una governance, Roma 6 giugno 2008, http://www.bancaditalia.it/interventi/altri_int/2008/tarantola_090608_dexia_gov.pdf. A. M. TARANTOLA, La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie, intervento al Workshop Il ruolo del sistema dei controlli nella gestione del rischio di conformità negli istituti finanziari, organizzato da CETIF – Università Cattolica del Sacro Cuore, Milano 4 ottobre 2007, http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf. A. USELLI, La responsabilità sociale come possibile fattore di mitigazione a protezione del rischio reputazionale. Alcune questioni per il settore finanziario, intervento al Convegno ADEIMF 2007, Lecce 15-16 giugno 2007, http://www.adeimf.it/dump.php?id=11820660144674e55e746782,19369741&tipo=ele menti&num=4. 185 BANCA ICCREA, http://www.gruppobancarioiccrea.it/gbi/opencms/it. BANCA ITALEASE, http://www.italease.it/. BANCA MONTE PARMA, http://www.monteparma.eu/. BANCA POPOLARE DI SONDRIO, http://www.popso.it/home. BANCA POPOLARE PUGLIESE, http://www.bpp.it/home/home.asp. BNL, http://www.bnl.it/wps/portal. CASSA DI RISPARMIO DI CENTO, http://www.crcento.it/. CASSA DI RISPARMIO DI RAVENNA, http://www.carira.it/. DEUTSCHE BANK, http://www.db.com/index_e.htm. GRUPPO ALLIANZ, https://www.allianz.com/en/index.html. GRUPPO BANCA GENERALI, http://www.bancagenerali.com/acm-on-line/Home.html. GRUPPO BANCA INTERMOBILIARE DI INVESTIMENTI E GESTIONI, http://www.gruppobim.it/. GRUPPO BANCA POPOLARE DI CIVIDALE, http://www.civibank.it/. GRUPPO BANCA POPOLARE DI VICENZA, http://www.gruppopopolarevicenza.it/gruppo/jspgruppobanca/. GRUPPO BANCARIO CASSA DI RISPARMIO DI FERRARA, https://www.carife.it/it/homepage.php. 186 GRUPPO BANCARIO MEDIOCREDITO TRENTINO – ALTO ADIGE, http://www.mediocredito.it/. GRUPPO BANCO POPOLARE, http://www.bancopopolare.it/BP/Index.jsp. GRUPPO BNP PARIBAS, http://www.bnpparibas.com/en/home/. GRUPPO CARIPARMA FRIULADRIA, http://www.cariparma.it/jsp/it/index/index.jsp. GRUPPO CREDEM, http://www.credem.it/Privati/Pagine/Home_Privati.aspx. GRUPPO CRÉDIT AGRICOLE, http://www.credit-agricole.com/en/News. GRUPPO INTESA SAN PAOLO, http://www.intesasanpaolo.com/scriptIbve/retail20/RetailIntesaSanpaolo/ita/home/ita_h ome.jsp. GRUPPO RAIFFEISEN, http://www.raiffeisen.ch/raiffeisen/internet/home.nsf/vServicePages/HomeI?OpenDocu ment. GRUPPO SANTANDER, http://www.santander.com/csgs/Satellite?canal=CAccionistas&empr=SANCorporativo &leng=en_GB&pagename=SANCorporativo/GSDistribuidora/SC_Index. GRUPPO UBI, http://www.ubibanca.it/pagine/Home-IT.aspx. GRUPPO UNICREDIT, http://www.unicreditgroup.eu/en/home.htm. 187