Working Paper n. 2009-35
Transcript
Working Paper n. 2009-35
LA COMPLIANCE NELL’ATTUAZIONE DELLA DIRETTIVA MIFID ADALBERTO ALBERICI Working Paper n. 2009-35 NOVEMBRE 2009 DIPARTIMENTO DI SCIENZE ECONOMICHE AZIENDALI E STATISTICHE Via Conservatorio 7 20122 Milano tel. ++39 02 503 21501 (21522) - fax ++39 02 503 21450 (21505) http://www.economia.unimi.it E Mail: [email protected] Pubblicato in AA.VV, L'attuazione della direttiva MifID, ed Giuffrè, 2009 ADALBERTO ALBERICI Ordinario di Economia degli intermediari finanziari - Università di Milano La compliance nell’attuazione della direttiva Mifid Abstract Compliance is a matter of culture. Therefore, it should not be a surprise that the change is still at the beginning at any level of the management of the Compliance System. This path is made even harder by inconsistencies in the regulations that constrain the Intermediaries to perform in a context that is not coherent and generates, among others, inappropriate costs. The strategic and organizational way for Compliance, begun with the objective to create value, requires that each actor (Authorities, intermediaries, people) for his own responsibility, cooperate to set the proper conditions for a common cultural growth around a scale of values, that must be declared, shared and easily identifiable. 1. Premessa 2. La cultura della compliance e il cambiamento dei comportamenti 3. La compliance nelle Disposizioni di vigilanza e nel Regolamento congiunto 3.1. I punti di contatto 3.2. Le criticità 4. Le possibili azioni correttive per un Sistema dei controlli interni efficace ed integrato 5. Conclusioni Bibliografia citata 1 1. Premessa La centralità degli interessi dei clienti e quella della integrità del mercato sono temi che accompagnano la storia degli intermediari finanziari e la loro stessa ragion d’essere. Essi sono condivisi dalla dottrina e consolidati nella professione. Nel nostro Paese la decisione delle Autorities di intraprendere la via regolamentare alla compliance, vale a dire alla corretta definizione strategica ed operativa del rapporto fra gli intermediari finanziari, i loro clienti e i mercati degli strumenti finanziari1, potrebbe sembrare dettata dalla recente storia bancaria dove l’arbitrio, l’interesse e le trame, ancorché di pochi, sono sembrati comunque tali da mettere a rischio l’ andamento dei mercati e il risparmio degli italiani2. La rottura del patto di fiducia fra gli intermediari e i loro clienti ha tuttavia portata più ampia. L’obiettivo di chiedere agli intermediari comportamenti conformi ai principi della normativa viene affrontato fin dal 2004 dal Parlamento europeo3 e, quindi, dal Comitato di Basilea (2005)4 che propongono regole di conformità alle norme rispettivamente per le attività di investimento e per l’attività bancaria. In Italia il quadro normativo per la compliance, con riferimento ad una banca che svolga una pluralità di servizi ed attività aventi natura diversa (attività creditizia, servizi di investimento, altri servizi), è eterogeneo ed articolato5. La stagione delle regole tuttavia inizia, di fatto, con l’emanazione delle Disposizioni di vigilanza sulla compliance6 (di seguito Disposizioni compliance) e prosegue con quella del Regolamento congiunto Banca d’Italia Consob7 (di seguito Regolamento), quest’ultimo applicabile anche alle imprese di assicurazione8 con riferimento ai prodotti finanziari e assicurativi. 1 Vale a dire del rispetto di ogni “norma” non solo nella forma ma anche nella sostanza. Banca d’Italia, Considerazioni finali, Roma 2006, p.4. 3 Direttiva 2004/39/CE del Parlamento e del Consiglio europei, relativa ai mercati degli strumenti finanziari (“Mifid”) e relative misure di esecuzione. e Direttiva del 21 aprile 2004 del Consiglio, relativa ai mercati degli strumenti finanziari fino alla Direttiva 2006/73/CE della Commissione. 4 BASEL COMMITTEE ON BANKING SUPERVISION, compliance and the compliance function in banks”, aprile del 2005 che definisce il rischio di compliance come “il rischio di sanzioni legali o amministrative o di danni reputazionali derivanti dal mancato rispetto di: Leggi e regolamenti, Codici deontologici, Codici di condotta, Procedure interne” p. 7. 5 Tuf, Tub, Regolamento congiunto, Regolamento intermediari e Istruzioni di vigilanza. 6 BANCA D’ITALIA, Disposizioni di vigilanza: la funzione di conformità (compliance) N. 688006, Roma, 10 luglio 2007. 7 BANCA D’ITALIA E CONSOB, Regolamento della Banca d’Italia e consob ai sensi dell’articolo 6, comma 2-bis, del testo unico della finanza in materia di organizzazione e procedure degli intermediari, Roma, 29 ottobre 2007. 8 ISVAP, Regolamento n. 20 del 26 marzo 2008 in materia controlli interni, compliance, gestione dei rischi ed esternalizzazione delle attività delle imprese di assicurazione. 2 2 Tutti i documenti normativi recepiscono nella sostanza9 la definizione del rischio di compliance proposta dal comitato di Basilea, vale a dire “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme di legge, di regolamenti, ovvero di norme di autoregolamentazione o di codici di condotta” 10. . 2. La cultura della compliance e il cambiamento dei comportamenti L’introduzione del presidio formale dell’attività di compliance rappresenta, in ogni caso, un significativo momento di discontinuità per gli assetti organizzativi degli intermediari finanziari ed un’importante opportunità strategica. La normativa sulla compliance è infatti di tipo dinamico dato che le tecniche della regolamentazione si basano su alcune linee guida ispirate ai principi della trasparenza, dell’autonomia dei singoli intermediari, della proporzionalità e della better regulation. In questo quadro la definizione degli obiettivi e dei criteri di valutazione (trasparenza), il rispetto dell’eterogeneità degli intermediari (autonomia) e delle loro dimensioni strategiche ed organizzative (proporzionalità)11, il confronto basato su logiche di impatto e di costi-benefici anche ai fini di revisioni normative (better regulation) costituiscono altrettanti elementi di innovazione sostanziale, se applicati in chiave di compliance, anche nei rapporti fra le Authority e i loro vigilati nel solco segnato dal secondo pilastro di Basilea2. Perché questa importante opportunità strategica venga colta è necessario che la via regolamentare alla compliance determini cambiamenti sostanziali nella cultura, nei comportamenti 9 Le Disposizioni compliance, peraltro, enfatizzano alcuni elementi definitori. Si veda al riguardo: A.ALBERICI, Dalle disposizioni per la tutela del risparmio alla funzione della compliance, in AA.VV, Tutela del risparmio, authorities, governo societario. Giuffrè, Milano 2008. 10 BANCA D’ITALIA, La funzione di conformità, op. cit., p 2. 11 Esso è stato introdotto nel nostro ordinamento dall'art. 23 della L. 262/2005, secondo cui agli atti aventi natura regolamentare o di contenuto generale delle Autorità deve applicarsi il principio di proporzionalità, inteso come «Criterio di esercizio del potere adeguato al raggiungimento del fine, con il minore sacrificio degli interessi dei destinatari. A questo fine, esse (ndr le Auithorities) consultano gli organismi rappresentativi dei soggetti vigilati, dei prestatori di servizi finanziari e dei consumatori».”. 3 e nell’organizzazione di tutti gli attori del sistema finanziario e bancario e non solo quindi degli intermediari, cui la normativa è solo apparentemente diretta12. In assenza di adeguamenti organizzativi e comportamentali delle Authorities in chiave di compliance e della conseguente rivisitazione del sistema di relazioni (fra le stesse, di quelle fra queste e gli intermediari, fra essi e la loro clientela), la via regolamentare alla compliance potrebbe ridursi ad un mero adeguamento formale a prescrizioni normative o regolamentari, cui solo gli intermediari devono formalmente adeguarsi. Le stesse linee guida più sopra richiamate, la filosofia del secondo pilastro di Basilea2 e l’adozione di logiche di compliance richiedono infatti un approccio autorevole piuttosto che autoritario delle Authorities anche ai problemi strategici ed organizzativi degli intermediari vigilati13. E’ innegabile che se un’Authority, in quanto azienda, elude essa stessa le norme di contenuto aziendale richieste ai propri vigilati, vede incrinata la sua stessa autorevolezza; anche nel caso in oggetto, infatti, essa ha come presupposto ineludibile la concreta specifica esperienza sulle tematiche di maggiore impatto decisionale e di struttura organizzativa. Il rispetto del requisito dell’indipendenza del responsabile della funzione di conformità, ad esempio, determina impatti gerarchico funzionali importanti in ogni impresa. Esso infatti estrinseca nel dovere / possibilità si del Compliance officer di fare riferimento diretto e/o documentale, ma comunque discrezionale, agli organi di vertice anche quando egli, per il principio di proporzionalità, non abbia la qualifica di dirigente14. Si pensi all’impatto che il rispetto del principio avrebbe in Banca d’Italia e in Consob. Nel primo caso il compliance officer dovrebbe necessariamente avere accesso diretto e discrezionale al 12 nel mutato contesto è necessario, da un lato, promuovere una cultura aziendale improntata a principi di onestà, correttezza e rispetto non solo della lettera, ma anche dello spirito delle norme; dall’altro, approntare specifici presidi organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione” (BANCA D’ITALIA, La funzione di conformità, op. cit., p. 1). 13 In questo senso anche A.CARRETTA, compliance e cultura bancaria, Relazione al Convegno “Etica e regole nella finanza. La funzione di compliance”. Fondazione Gabriele Berionne, 5 dicembre 2006. Pubblicato su Facts & News, gennaio-febbraio 2007. 14 G. DURANTE, Il rispetto delle norme da parte delle persone: profili giuslavoristici e spunti di riflessione alla luce del nuovo Ccnl 2008, in Bancaria, n,2, 2008. Tale circostanza è in ogni caso difficilmente conciliabile con il dettato normativo che il responsabile della compliance “deve rivestire un ruolo all’interno della banca tale da conferire autorevolezza alla funzione medesima” (BANCA D’ITALIA, La funzione di conformità, op. cit., p. 7). 4 Consiglio superiore oltre che al Governatore15. Ciò dovrebbe essere previsto in sede di mandato16 che dovrebbe sancire sia l’autonomia e l’indipendenza della funzione di conformità e del suo responsabile sia le modalità del relativo esercizio. Analogamente dovrebbe avvenire nel caso di Consob a cura della Commissione17 alla quale, e/o al Presidente, il compliance officer avrebbe poi necessariamente accesso diretto e discrezionale18. La mancanza di questa esperienza potrebbe non consentire alle Authorities di comprendere appieno che l’applicazione compliant del principio di indipendenza rappresenta un momento di discontinuità epocale sia con riferimento ai principi consolidati di organizzazione aziendale che prassi di vigilanza, ad oggi necessariamente più attenti alla separatezza formale delle funzioni del Sistema dei controlli interni presso gli intermediari piuttosto che alla loro indipendenza sostanziale19. L’assenza di esperienze dirette del tipo ricordato potrebbe indurre le Authorities a fare leva su comportamenti astratti, quindi autoritari, nella richiesta di applicazione della norma piuttosto che su quelli che guidano i comportamenti del “buon padre di famiglia”, pilastro della nostra dottrina giuridica, che interpreta e guida all’attuazione della sostanza dei principi normativi con l’autorevolezza che gli deriva anche dalla propria esperienza. Non v’è dubbio poi che anche il sistema di relazioni fra le Authorities deve essere riconsiderato in chiave di compliance per garantire il rispetto sostanziale di comportamenti corretti. Le modalità e i tempi di promulgazione del Regolamento e alcuni compromessi non marginali in esso contenuti, con riferimento ad aspetti regolamentari di carattere sostanziale, configurano infatti autentiche deviazioni dai principi della compliance. 15 In quanto lo stesso presiede le riunioni dell’Assemblea (art. 6) e del Consiglio superiore (art. 16), di cui è membro (art.15), e per i poteri che gli derivano dall’articolo 24 dello Statuto della Banca d’Italia (Approvato con delibera dell’Assemblea generale straordinaria dei partecipanti al capitale del 28 novembre 2006 e con D.P.R. 12 dicembre 2006-G.U. n. 291 del 15 dicembre 2006). 16 Ferma restando la discrezionalità delle banche nell’organizzare la funzione di conformità, è comunque necessario che: vengano formalizzati lo status e il mandato della funzione attraverso l’indicazione di compiti, responsabilità, addetti, prerogative, flussi informativi rivolti direttamente agli organi di vertice” (punto 4, p. 5). “L’indipendenza della funzione, in un contesto caratterizzato da forti interrelazioni, è assicurata dalla formalizzazione del mandato che ne sancisce l’autonomia rispetto sia alle strutture operative sia a quelle di controllo interno, attraverso la definizione espressa di ruoli e competenze (punto 6, pp. 8 e 9) BANCA D’ITALIA, La funzione di conformità, op. cit. 17 Intesa come Organo collegiale dei componenti (Titolo I del Regolamento concernente l'organizzazione e il funzionamento della Commissione Nazionale per le Società e la Borsa, Adottato con deliberazione Consob n. 8674 del 17 novembre 1994 e successivamente modificato con delibere n. 13195 dell’11 luglio 2001 e n. 15551 dell’11 settembre 2006. 18 Art. 7, Compiti della Commissione, e art. 5, Attribuzioni del presidente in Regolamento Consob, op. cit. 19 A.ALBERICI, Le condizioni di efficienza per l’attività di compliance, in Bancaria, n. 2, 2008. 5 Le criticità regolamentari saranno analizzate nei paragrafi seguenti; merita sin d’ora notare, per contro, che il Regolamento è stato promulgato il 29 ottobre 2007 a fronte dell’entrata in vigore della direttiva Mifid prevista per il successivo primo novembre. E’ evidente la dimensione potenziale dei rischi, non solo reputazionali, che ciò avrebbe potuto comportare per gli intermediari che svolgono attività di investimento nei confronti della loro clientela; ciò anche assunto che le Authorities, date le circostanze, avrebbero potuto essere più comprensive nei loro confronti con riferimento ad eventuali carenze in sede di prima applicazione del Regolamento. La sovrapposizione funzionale ed operativa dell’attività di diversi organi di controllo che insistono sulle stesse imprese bancarie finanziarie ed assicurative in tema di compliance appare poi sorgente di inefficienza organizzativa per gli intermediari, ancorché esista assoluta sintonia fra le disposizioni per la compliance che per l’attività bancaria sia per quella assicurativa20. La ricaduta ultima, in ogni caso, di una corretta politica di compliance si ha sul sistema di relazioni degli intermediari al proprio interno e con la propria clientela attuale e potenziale. Riguardo al primo aspetto, infatti, il rischio di non conformità è diffuso a tutti i livelli dell’organizzazione aziendale, soprattutto nell’ambito delle linee operative. Ciò comporta che l’eliminazione del rischio di compliance presuppone la scelta di modelli organizzativi appropriati; la definizione di strumenti di governo aziendale compresi e condivisi e delle loro corrette interrelazioni funzionali; la definizione di piani formativi di compliance management per lo sviluppo delle necessarie competenze gestionali e operative; l’individuazione e l’allocazione di adeguare risorse e, infine, la diretta responsabilizzazione di tutto il personale chiamato al rispetto sostanziale delle norme. Ciò significa, in buona sostanza, che l’intermediario dovrà per questa via generare al proprio interno una cultura della compliance, ossia “una cultura che porti tutti gli operatori a fare la cosa giusta anche in assenza di un riferimento regolamentare esplicito o di un chiaro divieto”21 per 20 F.CIVALE, Profili applicativi della funzione di compliance nelle Assicurazioni ed analisi comparata con le norme Banca d'Italia – Consob, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano 14 e 15 aprile 2008. Anche per tale motivo il presente lavoro non tratta specificamente del sistema di relazioni-criticità fra le Disposizioni di compliance per le imprese di assicurazione e il Regolamento con riferimento ai prodotti finanziari assicurativi. Allo stesso sono riferibili per analogia le considerazioni proposte con riferimento alle relazioni fra quest’ultimo e le Disposizione compliance. 21 P.SCHWIZER, La collocazione organizzativa della funzione compliance: le possibili scelte e le relazioni gerarchiche e funzionali, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano 14 e 15 aprile 2008. Si noti che la contraddizione di termini nella suddetta affermazione è solo apparente. La 6 ingenerare negli stessi la naturale propensione ad un corretto sistema di relazioni nei confronti delle Authorities, della loro clientela e al proprio interno. La cultura della conformità alle norme comunque intese dovrà infatti management nella conoscenza dell’impresa, nel supportare il governo dell’organizzazione, nel presidio dell’ottimizzazione della combinazione redditività/rischio, nella protezione del patrimonio anche attraverso la riduzione dei costi e delle perdite, nel rispetto delle regole interne ed esterne, vale a dire dell’ordine organizzativo e della conformità alle leggi, nella identificazione di ogni possibile miglioramento della gestione.22 Solo se si realizzano tali condizioni un intermediario è in grado di affermare nei confronti della propria clientela condizioni funzionali e comportamentali che generino non solo la fiducia23, risultato spesso di semplici percezioni, bensì la convinzione che la sua reputazione è risultato di comportamenti corretti, di procedure trasparenti, di sistemi di valori consolidati, condivisi e riconoscibili, quindi in ultima analisi di una forte cultura aziendale. In tale contesto lo sviluppo di corrette relazioni con la clientela assume valenza strategica anche in quanto, generando vantaggi competitivi durevoli, pone i presupposti per la creazione del valore dell’impresa24, processo che coinvolge tutti gli stakeholders e favorisce quindi il perseguimento di obiettivi di sviluppo di lungo periodo. L’introduzione del presidio dell’attività di compliance e la conseguente revisione dell’architettura del Sistema dei controlli interni vanno quindi affrontati come un’ opportunità strategica di cui la compliance è uno strumento proattivo di creazione del valore. 3. La compliance nelle Disposizioni di vigilanza e nel Regolamento congiunto compliance, infatti viene solo riduttivamente intesa con riguardo alla conformità alle sole norme, sembrando al limite che in assenza di prescrizioni normative venga a cessare ogni obbligo di correttezza; essa va per contro intesa come la necessità che gli operatori conformino i propri comportamenti ai principi, di onestà e di etica personale e professionale, che ispirano o che dovrebbero ispirare i tessuti normativo e regolamentare che spesso scontano i ritardi dell’esperienza.. 22 M.DI ANTONIO, Sistema dei controlli interni e sistema di compliance, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano 14 e 15 aprile 2008. 23 “il rispetto delle norme e la correttezza negli affari costituiscono elementi fondamentali nello svolgimento dell’attività bancaria, che per sua natura è fondata sulla fiducia” BANCA D’ITALIA, La funzione di conformità, op. cit., p. 1. 24 CLEMENTE, Le funzioni di internal audit e di compliance:ruoli, responsabilità e ambiti di rispettiva competenza Le funzioni di internal audit e di compliance, Convegno AIIA-AICOM, Milano 2 luglio 2008. 7 E’ stato ricordato che le Disposizioni compliance e il Regolamento, integrati poi dalle Disposizioni di vigilanza in materia di organizzazione e governo societario25 che riaffermano la centralità del Sistema dei controlli interni nella vita aziendale, sono i documenti che segnano la via regolamentare alla compliance a livello nazionale, con riferimento rispettivamente alle banche e agli intermediari, bancari e non bancari, che svolgono attività di investimento. Essi presentano un’importante sintonia a livello di metacontrolli26 ma anche significative discordanze operative che si traducono in autentiche criticità per gli intermediari 3.1 I punti di contatto Le disposizioni di vigilanza sulla governance sono in linea con quelle in materia di governo societario previste nel Regolamento. I due testi normativi condividono infatti i principi generali, l'articolazione delle responsabilità assegnate agli organi di vertice, la filosofia dei controlli e delle competenze ripartite fra Banca d’Italia e Consob secondo il criterio della prevalenza delle finalità27, la competenza regolamentare congiunta coerentemente con i principi generali di vigilanza28. In tale ambito la logica ispiratrice della disciplina della compliance bancaria è quella della prevenzione e mitigazione del rischio di non conformità della stabilità patrimoniale, della sana e prudente gestione degli intermediari; quella relativa alle attività di investimento riguarda la trasparenza e la correttezza dei comportamenti degli stessi. Alla Banca d'Italia competono i controlli sull'istituzione della funzione di compliance e alla Consob quelli sullo svolgimento della funzione29. 25 BANCA D'ITALIA, Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, marzo 2008. Esse esprimono la crescente valorizzazione, condivisa da tutte le Authorities, del ruolo degli organi di amministrazione, gestione e controllo (governance alta) il cui coinvolgimento è ritenuto fondamentale per l'efficace presidio del rischio di compliance anche in quanto diffuso e pervasivo. Gli organi aziendali, ciascuno secondo le proprie competenze e responsabilità, sono così chiamati a definire le linee essenziali del sistema di gestione del rischio di compliance, a curarne l'attuazione e a verificarne nel tempo l'efficace funzionamento. Sull’argomento si veda AM.TARANTOLA, il sistema dei controlli interni nella governance bancaria, Roma, 6 giugno 2008. 26 M.DI ANTONIO, Sistema dei controlli interni e sistema di compliance,, op cit. 27 In questo quadro la Banca d'Italia è competente per i requisiti generali di organizzazione, continuità dell'attività, organizzazione amministrativa e contabile, gestione del rischio di impresa, audit interno, responsabilità dell'alta dirigenza . La Consob verifica le procedure, anche di controllo interno, per la corretta e trasparente prestazione dei servizi e delle attività di investimento e della gestione collettiva del risparmio, il controllo di conformità alle norme, il trattamento dei reclami, le operazioni personali, la gestione dei conflitti di interesse potenzialmente pregiudizievoli per i clienti, la conservazione delle registrazioni, le procedure, anche di controllo interno, per la percezione o corresponsione di incentivi. (si veda ance BOCCUZZI La funzione di compliance: il presidio dei rischi aziendali e l'evoluzione della normativa Basilea 2 e Mifid, in Bancaria, n .2, 2008. 28 Ciò vale più in generale per tutte le materie specificamente indicate nell'art. 6, comma 2-bis. 29 Regolamento, op cit. artt. 12 e 16. 8 Coerentemente ai principi richiamati, le Disposizioni compliance e il Regolamento sono quindi sostanzialmente compatibili nei contenuti e quest’ultimo prevede poi che, ove non diversamente previsto, le disposizioni emanate dalla Banca d’Italia in attuazione del TUB si applichino anche nella prestazione dei servizi e delle attività di investimento30. Entrambi i testi normativi assumono in linea di principio la medesima definizione della compliance, o meglio del rischio di non conformità alle norme, rifacendosi a quella proposta dal Comitato di Basilea31. Essi stabiliscono inoltre che: la funzione di compliance deve essere obbligatoriamente istituita; la stessa può essere esternalizzata; i principi di definizione dei perimetri devono essere coerenti con le finalità delle due normative32; il mandato deve essere chiaramente definito; la funzione può essere variamente organizzata anche in ottica di gruppo; la nomina dei responsabili delle funzione di internal audit e di quella di conformità è attività non delegabile dell’Organo di gestione nella sua collegialità, previo parere dell’organo di controllo; il compliance officer deve essere indipendente, autonomo ed autorevole; il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alle funzioni aziendali di controllo non ne devono compromettere l’obiettività; le politiche di incentivazione del personale e di remunerazione degli operatori devono essere verificate dalla funzione di compliance. . L’indipendenza della funzione, inoltre, deve essere sancita dal mandato e dall’assenza di vincoli gerarchici tra il compliance officer e i responsabili delle funzioni sottoposte a controllo. L’autonomia della stessa si sostanzia poi nella separazione organizzativa dalle altre funzioni aziendali di controllo. In questo contesto alla funzione di compliance non possono essere attribuite funzioni di audit interno, tipica attività di terzo livello nel Sistema dei controlli. L’articolazione del Sistema dei controlli interni è, da ultimo, condiviso dalle due normative che collocano formalmente la funzione di conformità nell’ambito delle attività di controllo di secondo livello e quelle di internal audit in quelle di livello diverso e distinto, con lo scopo di 30 Regolamento, op cit. art. 3. Si veda nota 4. 32 Ciò nel senso che le Disposizioni sulla compliance attengono all’attività bancaria mentre quelle del Regolamento riguardano le attività di investimento. Il perimetro della funzione di compliance per l’attività bancaria, tuttavia, presenta almeno due livelli di indeterminatezza. Il primo deriva dall’interpretazione della normativa di riferimento. Il Comitato di Basilea (BASEL COMMITTEE ON BANKING SUPERVISION, “compliance and the compliance function in Banks”, Basilea, Aprile 2005, Punti 3 e 4) fa riferimento al common core dell’attività bancaria (attivita’di intermediazione, gestione, conflitti di interesse, trasparenza tutela del consumatore, antiriciclaggio, terrorist financing) invece le Disposizioni compliance non definiscono ambiti circoscritti di responsabilità della funzione. Il secondo livello di indeterminatezza deriva dall’applicazione del principio di proporzionalità, vale a dire della libera determinazione di ogni banca riguardo alla definizione del perimetro della propria funzione di compliance oltre alle attività core. 31 9 assicurare la complessiva “tenuta” dell’impianto organizzativo dell’intermediario compresa la revisione periodica dell’attività di compliance. 3.2 Le criticità Nonostante i principi e le regole condivisi sopra richiamati si osservano alcune disomogeneità sostanziali fra le Disposizioni compliance e quelle del Regolamento, dalle quali derivano significative incertezze interpretative e applicative. Si pensi ad esempio alla disposizione relativa all’organizzazione della funzione di compliance presso intermediari appartenenti a gruppi che svolgano attività di investimento e alla disciplina che riguarda i compiti delle funzioni nel Sistema dei controlli interni Nel primo casoil Regolamento non prevede la figura del Referente degli Organi di vertice e del compliance officer di gruppo per le banche che svolgono attività di investimento previsto dalle Disposizioni compliance33. Esse pertanto, stante l’obbligatorietà di costituzione della funzione, dovrebbero prevedere, con evidenti inefficienze organizzative, due figure a presidio della compliance: un responsabile della funzione per le attività di investimento e un referente per le attività bancarie. Ben più rilevante e di difficile soluzione è, per contro, la differente impostazione sull’articolazione dei compiti della funzione di compliance e di quella di internal audit nell’ambito del Sistema dei controlli interni. Secondo il Regolamento, il Sistema dei controlli interni può o meno prevedere al proprio interno l’esistenza delle funzioni di internal audit e di Risk management; ciò sarebbe in relazione al grado di complessità dell’intermediario, vale a dire in applicazione del principio della proporzionalità. Si noti preliminarmente che genera perplessità l’applicazione del suddetto principio34 alla definizione della struttura del Sistema dei controlli interni di un intermediario piuttosto che al 33 Peraltro previsto dalle Disposizioni sulla compliance , p. 7. Esso è declinato dal Regolamento come la possibilità di prevedere “Organizzazione e procedure che tengano conto della natura, delle dimensioni e della complessità della attività svolta dall’impresa nonché della natura e della gamma dei servizi e delle attività di investimento esercitate” (G.D’AGOSTINO, La funzione di controllo di conformità nella prestazione dei servizi di investimento, Convegno AIIA AICOM, Milano, 2 luglio 2008). 34 10 dimensionamento o alla complessità delle funzioni che necessariamente fanno parte del suddetto Sistema. Prevedere poi che degli intermediari, sia pure di minori dimensioni e comunque diversi dalle banche35, possano non attivare funzioni con compiti irrinunciabili nel Sistema dei controlli interni, come l’internal audit, determina la conseguente necessità che gli stessi compiti siano attribuiti ad altra funzione del Sistema; ciò avviene quindi necessariamente con il Regolamento congiunto che attribuisce di fatto alla funzione di compliance anche compiti propri della funzione di internal audit. Potrebbe allora accadere che il perimetro della suddetta funzione di conformità costituisca il riferimento anche per gli intermediari che abbiano attivato la funzione di internal audit. Si crea quindi l’anomala situazione che norme definite in teorico ossequio al principio della proporzionalità e riferite ad operatori marginali permeino, di fatto e in modo sistematico, l‘intera struttura del Sistema dei controlli interni per gli intermediari che svolgono attività di investimento. Esse inoltre rendono indeterminati i confini delle competenze delle funzioni che ne fanno parte, modificando i ruoli dei diversi livelli di controllo, ed impongono agli intermediari bancari di gestire la compliance in un doppio binario36 nei confronti di Banca d’Italia e di Consob. Consob valuta infatti che la funzione di compliance verifichi le concrete modalità di prestazione dei servizi attraverso la definizione di indicatori di anomalia per ciascun servizio prestato sulla base dei rischi di compliance pre-identificati (attività di compliance cd. Risk based), anche attraverso verifiche a campione37. In sintesi, secondo la previsione del Regolamento, la funzione di compliance deve ad un tempo prevenire i rischi di compliance, valutare l’efficacia dei propri interventi e della compliance aziendale, autocontrollarsi e riferire in merito. 35 L.SPADA, La funzione di compliance per la prestazione dei servizi di investimento, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano 14 e 15 aprile 2008 e G.D’AGOSTINO, La funzione di controllo di conformità, op. cit. Si noti, in ogni caso che la funzione di internal audit è sempre obbligatoriamente presente nelle banche, ancorché esternalizzabile. Gli intermediari tenuti a rispettare la disciplina prudenziale di Basilea 2 devono poi istituire un’ulteriore funzione di gestione del rischio, in aggiunta ai presidi organizzativi e alle specifiche funzioni di gestione dei rischi previsti dalla regolamentazione attuativa delle direttive 2006/48/Ce e 2006/49/Ce. 36 Funzione di compliance in senso stretto, con riferimento all’attività bancaria e compliance “audit oriented” per le attività di investimento. 37 G.D’AGOSTINO, La funzione di controllo di conformità, op. cit., slide 24. 11 Essa deve infatti verificare ex ante l’idoneità delle procedure e il rispetto della normativa, valutando poi l’idoneità e l’efficacia delle stesse e definendo ed implementando azioni correttive a seguito di attività di controllo compiute anche da nuclei di propri ispettori. Da ultimo essa deve svolgere funzioni di controllo anche sulle proprie attività e riferire in merito agli organi di vertice e di controllo. E’ evidente che tale impostazione può creare condizioni di inefficienza nella gestione del Sistema dei controlli interni, confondere attività proprie di livelli diversi del suddetto Sistema, generare rischi di autoreferenzialità e conseguenti potenziali conflitti di interesse che la disciplina della compliance si dovrebbe proporre istituzionalmente di eliminare. L’approccio descritto, che delinea una funzione di compliance audit oriented, mina la coerenza interna del Regolamento, rendendo disomogenea l’impostazione assunta per i metacontrolli e le ricadute gestionali su quelli operativi; essa inoltre contrasta con le Disposizioni compliance che individuano fra i compiti primari della funzione38, ancorché nel continuo, l’identificazione delle norme applicabili, la misurazione/valutazione del loro impatto su processi e procedure aziendali. In tale ambito alla funzione di compliance compete di formulare proposte di modifiche organizzative e procedurali per assicurare adeguato presidio dei rischi di non conformità identificati. Essa deve inoltre predisporre flussi informativi diretti agli organi aziendali e alle strutture coinvolte (gestione del rischio operativo e internal audit) dopo avere verificato l’efficacia degli adeguamenti organizzativi per la prevenzione del rischio di conformità. Se si considera che l’introduzione della funzione compliance nel Sistema dei controlli interni determina di per sé la necessità di riconsiderarne i principali assetti funzionali e, in tale ambito, di prevedere una precisa definizione dei compiti di tutte le funzioni che lo compongono ai vari livelli, appare chiaro che il Regolamento è deviante allo scopo e che esso ha determinato crisi di credibilità dell’approccio di sistema alla compliance, vale a dire delle stesse Authorities che avrebbero dovuto sostenerne l’impatto strategico e culturale presso gli intermediari. 4. Le azioni correttive per un Sistema dei controlli interni efficace ed integrato Una prima via di azione parte dal presupposto che il contesto delineato è la palese testimonianza che la definizione del Regolamento è stata contrastata, quasi alla stregua di un uno 38 BANCA D’ITALIA, La funzione di conformità, op. cit., pp. 4 e 5 12 scontro istituzionale piuttosto che un proficuo confronto. La soluzione di compromesso raggiunta dalle Autorities rappresenta quindi un accomodamento che, come spesso avviene, non esprime necessariamente la migliore soluzione per gli interessati, vale a dire per gli intermediari finanziari, per il sistema nel suo complesso e per il rischio di compliance in capo alle stesse Authorities. Dato che la situazione appare in stallo, non resta che auspicare con forza che gli intermediari, direttamente o tramite le loro Associazioni di categoria e/o professionali, richiamino le Autorità a comportamenti compliant, vale a dire a un loro efficace coordinamento per l'efficace esercizio delle funzioni di vigilanza che riduca anziché aumentare gli oneri e i rischi gravanti sugli stessi. Lo strumento operativo per raggiungere l’obiettivo è offerto dal Protocollo d'intesa stipulato tra la Banca d'Italia e la Consob. Questo, per garantire il coordinamento delle funzioni di vigilanza, definisce i compiti di ciascuna Autority e le modalità del loro svolgimento e prevede che esse devono congiuntamente rispondere a quesiti loro posti in materia di compliance39. L’istituto del quesito potrebbe quindi essere utilizzato nell’auspicio che in entrambi gli ambiti normativi vengano affermati i principi e le condizioni utili a delineare uniformi condizioni strutturali e funzionali del Sistema dei controlli in generale, e della compliance in particolare, che garantiscano l'efficacia dei controlli e il contenimento degli oneri per gli intermediari. In questo quadro non v’è dubbio che i controlli di conformità relativi ai due ambiti regolamentari devono potere essere gestiti dalla stessa funzione aziendale e che alla funzione di internal audit spettano compiti di controllo della funzionalità complessiva del Sistema dei controlli interni di terzo livello, tesi anche alla verifica dell’adeguatezza e dell'efficacia della funzione di compliance. Da ultimo i compiti e le attività di competenza delle funzioni di compliance e di internal audit devono essere chiaramente individuabili e distinti, anche al fine di implementare l'efficacia dei controlli. 39 BANCA D'ITALIA E CONSOB, Regolamento della banca d’Italia e della Consob ai sensi dell’articolo 6, comma 2-bis, del testo unico della finanza, Roma, 31 ottobre 2007: “4.2 Ciascuna Autorità fornisce risposta ai quesiti sulle materie di propria competenza, secondo la ripartizione prevista dalla legge. La competenza è congiunta sui quesiti aventi ad oggetto il controllo di conformità alle norme previsto dagli articoli 12 e 16 del Regolamento congiunto ….. b) concorda con l’altra una risposta congiunta qualora il quesito coinvolga la competenza di entrambe le Autorità secondo quanto previsto dal punto 4.2.” (art 4 Vigilanza regolamentare). 13 Una seconda via di azione, del tutto complementare, deriva dal contributo che la dottrina, a livello di ricerca teorica40 e applicata41, e la professione possono fornire alle Autorities e agli intermediari per l’univoca definizione del Sistema dei controlli interni e per la sua corretta implementazione e crescente efficacia. In tale ultimo ambito rientrano iniziative di spessore come quella dell’ Associazione Italiana Internal Auditors (Aiia) e Associazione Italiana Compliance (Aicom) che hanno specificamente affrontato le tematiche inerenti ai ruoli, alle responsabilità e agli ambiti di rispettiva competenza delle funzioni di internal audit e di compliance nell’ambito del Sistema dei controlli interni. Esse hanno quindi licenziato un position paper42 che si pone come base di riflessione al tavolo di lavoro delle stesse Authorities per riconsiderare l’articolazione del Sistema dei Controlli Interni. Con tale obiettivo il documento declina le distinte caratteristiche e le finalità proprie delle funzioni di compliance e di internal audit ed affronta il tema delle necessarie integrazioni fra le stesse con l’obiettivo di riaffermare una cultura incentrata sulla piena consapevolezza dei rischi e sul rispetto delle regole. Richiamando i loro contenuti, i reciproci obiettivi, l’approccio e le metodologie di intervento propri ad entrambe le funzioni, il documento giunge a risultati coerenti con le Disposizioni di vigilanza, superando anche la convinzione semplificatrice che le modalità di intervento ex ante ed ex post possano o debbano costituire una valida discriminate fra le rispettive attività . . In ogni caso, in attesa che il confronto fra le Authorities inizi e porti ai risultati attesi, gli intermediari possono attuare soluzioni contingenti che minimizzino gli oneri della gestione congiunta delle Disposizioni compliance e del Regolamento. Si pensi, ad esempio, alla formalizzazione di accordi di servizio attivati dalla funzione di compliance nei confronti di quella di internal auditing. Quest’ultima, utilizzando proprie competenze e risorse, verrebbe così delegata a svolgere le attività richieste alla funzione di conformità dal Regolamento ma non dalle disposizioni sulla compliance. Tale soluzione, gestita nel rispetto dell’indipendenza delle due 40 Al riguardo si vedano per tutti: AA.VV. L’internal audit nelle banche, Bancaria Editrice, 2000, S.BERETTA, Valutazione del rischio e controllo interno, EGEA, 2004; S.BERETTA-N.PECCHIARI, Analisi e valutazione dei sistemi di controllo interni. Metodi e tecniche, Il Sole 24 Ore-Pirola, Milano, 2007. 41 P.MUSILE TANZI (a cura), compliance risk nell’evoluzione dei servizi di investimento: natura, strumenti e aspetti organizzativi, Rapporto Di ricerca SDA-Bocconi, 2008, Giuliana Birindelli, Paola Ferretti, Il rischio di compliance nelle banche italiane: stato dell’arte e criticità, in Bancaria, n.9, 2007, BASEL COMMITTEE ON BANKING SUPERVISION, Implementation of the compliance principles A survey August (26) 2008. 42 AIIA E AICOM, Le funzioni di internal audit e di compliance: ruoli, responsabilità e ambiti di rispettiva competenza, AIA E AICOM, Milano, aprile 2008. 14 funzioni date dalle loro differenti missioni, sfumerebbe i contrasti fra le due discipline e consentirebbe alla funzione di compliance di sovrintendere, sotto la propria responsabilità come richiesto dallo stesso Regolamento, al ciclo completo dei controlli, verificando anche la corretta applicazione delle procedure e della regolarità dei comportamenti attraverso il monitoraggio dell’operatività43. La suddetta soluzione potrebbe non essere solo contingente. Lo scambio sistematico e la condivisione di informazioni, anche sui risultati delle rispettive attività di controllo, la minimizzazione delle aree di possibile sovrapposizione, l’utilizzo di metodologie condivise di valutazione dei rischi e di competenze funzionali ovunque residenti, l’individuazione di momenti di confronto periodico, anche istituzionale, potrebbero generare infatti significative e non occasionali sinergie nella gestione del Sistema dei controlli interni, nell’individuazione dei rischi di compliance, nella valutazione della qualità dei presidi organizzativi, nella identificazione di eventuali correttivi e in ultima analisi nella diffusione, anche per questa via, della cultura del controllo e della conformità alle norme. 5. Conclusioni La rottura del patto di fiducia fra gli intermediari e i loro clienti ha portata sovranazionale ed ha aperto una nuova stagione delle regole. Nel nostro Paese essa inizia con l’emanazione delle Disposizioni di vigilanza sulla compliance per l’attività bancaria (luglio 2007), prosegue con il Regolamento congiunto di Banca d’Italia e Consob per le attività di investimento (ottobre 2007), con le Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (marzo 2008) e con il Regolamento ISVAP dell’ aprile 2008 in materia controlli interni, compliance, gestione dei rischi ed esternalizzazione delle attività delle imprese di assicurazione. L’introduzione del presidio formale dell’attività di compliance rappresenta ad un tempo un significativo momento di discontinuità per gli assetti organizzativi degli intermediari finanziari e un’importante opportunità strategica. Essa è supportata dal carattere dinamico della stessa normativa che è basata su tecniche della regolamentazione ispirate ai principi della trasparenza, dell’autonomia dei singoli intermediari, della proporzionalità e della better regulation, condizioni 43 G. D’AGOSTINO, “Novità nell’attività della funzione di compliance nel nuovo quadro normativo disegnato dalla Mifid”, Relazione al Convegno ABI, compliance in banks 2007. Introdurre in banca la funzione di conformità, Roma, 24 e 25 ottobre 2007. 15 di innovazione sostanziale, se applicati in chiave di compliance, anche nei rapporti fra le Authorities e i loro vigilati nel solco segnato dal secondo pilastro di Basilea2. La suddetta discontinuità ha tuttavia carattere prevalentemente culturale ed ognuno sa che modificare la cultura di operatori o di imprese, quindi i comportamenti, è compito assai più arduo che intervenire sui processi operativi. Non stupisce quindi verificare che il cambiamento è ancora agli inizi per tutti i livelli di governo del Sistema della compliance, vale a dire nei rapporti fra le Authorities, in quelli fra le Authorities e gli intermediari secondo la logica del secondo pilastro di Basilea2 e in quelli fra gli stessi intermediari e la loro clientela. Il percorso è reso ulteriormente complesso da alcune incongruenze normative e di comportamento, che costringono gli intermediari ad operare all’interno di un contesto non sempre internamente coerente. Le modalità di approvazione e i contenuti del Regolamento congiunto, in particolare, tradiscono le difficoltà di intraprendere la via di un cambiamento sostanziale per gli stessi vertici del sistema finanziario. I contenuti del Regolamento poi generano distorsioni interpretative nell’articolazione dei compiti delle funzioni del Sistema dei controlli interni che dal 1998, con progressivi affinamenti, rappresenta il presidio principale della sana e prudente gestione e del corretto governo dei rischi aziendali. Soluzioni contingenti possono consentire agli intermediari di limitare i costi impropri indotti dalle suddette criticità. La via strategica ed organizzativa della compliance, intrapresa nell’ottica della creazione del valore, a tutela dell’efficienza degli intermediari, del presidio delle relazioni della clientela e dell’integrità dei mercati, richiede tuttavia che ciascuno per la propria parte concorra a creare le condizioni per una comune crescita culturale intorno a sistemi di valori dichiarati, condivisi e riconoscibili. 16 BIBLIOGRAFIA CITATA AA.VV. L'internal audit nelle banche, Bancaria Editrice, Roma 2000. AIA-AICOM, Le funzioni di internai audit e di compliance: ruoli, responsabilità e ambiti di rispettiva competenza, AIA e AICOM, Milano, aprile 2008. ALBERICI A. Dalle disposizioni per la tutela del risparmio alla funzione della compliance, in AA.VV., Tutela del risparmio, authorities, governo societario. Giuffrè, Milano 2008. ALBERICI A Le condizioni di efficienza per l'attività di compliance, in Bancaria, n. 2, 2008. BANCA D'ITALIA, Considerazioni finali, Roma 31 maggio 2007. BANCA D'ITALIA, Disposizioni di vigilanza: la funzione di conformità (compliance) N. 688006, Roma, 10 luglio 2007. BANCA D'ITALIA, Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, Roma, marzo 2008. BANCA D'ITALIA e CONSOB, Regolamento della Banca d'Italia e Consob ai sensi dell'articolo 6, comma 2-bis, del Testo Unico della finanza in materia di organizzazione e procedure degli intermediari, Roma 2007. BASEL COMMITTEE ON BANKING SUPERVISI0N, Compliance and the Compliance Function in Banks, april 2005. LA COMPLIANCE NELL'ATTUAZIONE DELLA DIRETTIVA MIFID, Implementation of the Compliance Principles, a Survey, August 26, 2008. BEREITA S., Valutazione del rischio e controllo interno, Egea, Milano 2004. BEREITA S. - PECCHIARI N. Analisi e valutazione dei sistemi di controllo interni. Metodi e tecniche, Il Sole 24 Ore Pirola, Milano, 2007. BIRINDELLI G.- FERREITI P., Il rischio di compliance nelle banche italiane: stato dell' arte e criticità, in Bancaria, n. 9 2007. BOCCUZZI G., La funzione di compliance: il presidio dei rischi aziendali e l'evoluzione della normativa Basilea 2 e Mifid, in Bancaria, n. 2. 2008. CARRETTA A., Compliance e cultura bancaria relazione al Convegno Etica e regole nella finanza. La funzione di compliance, Fondazione Gabriele Berionne, 5 dicembre 2006. Pubblicato su Facts & News, gennaio-febbraio 2007. CIVALE F., Profili applicativi della funzione di compliance nelle Assicurazioni e analisi comparata con le norme Banca d'Italia - Consob, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano, 14 e 15 aprile 2008. CLEMENTE C., Le funzioni di internal audit e di compliançe: ruoli, responsabilità e ambiti di rispettiva competenza, Convegno AIIA-AICOM, Milano, 2 luglio (2008). D’AGOSTINO G., Novità nell’attività della funzione di compliance nel nuovo quadro normativo disegnato dalla Mifid, Relazione al Convegno ABI, compliance in banks 2007. Introdurre in banca la funzione di conformità, Roma, 24 e 25 ottobre 2007 17 D’AGOSTINO G., La funzione di controllo di conformità nella prestazione dei servizi di investimento, Convegno AIA-AICOM, Milano, 2 luglio 2008. DI ANTONIO M., Sistema dei controlli interni e sistema di compliance, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano, 14 e 15 aprile 2008. DURANTE G., Il rispetto delle norme da parte delle s. persone: profili giuslavoristici e spunti di riflessione alla luce del nuovo Ccnl 2008", in Bancaria, n. 2, 2008. ISVAP, Regolamento in materia di controlli interni, compliance, gestione dei rischi ed esternalizzazione delle attività delle imprese di assicurazione, Regolamento n. 20 del 26 marzo 2008, Roama. MUSILE TANZI P. (a cura di), Compliance risk nel!' evoluzione dei servizi di investimento: natura, strumenti e aspetti organizzativi, Rapporto di ricerca SDA-Bocconi 2008. SCHWIZER P., La collocazione organizzativa della funzione compliance: le possibili scelte e le relazioni gerarchiche e funzionali, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano, 14 e 15 aprile 2008. SPADA L. La funzione di compliance per la prestazione dei servizi di investimento, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano, 14 e 15 aprile 2008.. TARANTOLA A.M., Il sistema dei controlli interni nella governance bancaria, Banca d’Italia, Roma, 6 giugno 2008. 18