Working Paper n. 2009-35

LA COMPLIANCE NELL’ATTUAZIONE DELLA DIRETTIVA MIFID
ADALBERTO ALBERICI
Working Paper n. 2009-35
NOVEMBRE 2009
DIPARTIMENTO DI SCIENZE ECONOMICHE AZIENDALI E STATISTICHE
Via Conservatorio 7
20122 Milano
tel. ++39 02 503 21501 (21522) - fax ++39 02 503 21450 (21505)
http://www.economia.unimi.it
E Mail: [email protected]
Pubblicato in AA.VV, L'attuazione della direttiva MifID, ed Giuffrè, 2009
ADALBERTO ALBERICI
Ordinario di Economia degli intermediari finanziari - Università di Milano
La compliance nell’attuazione della direttiva Mifid
Abstract
Compliance is a matter of culture. Therefore, it should not be a surprise that the change is still at the
beginning at any level of the management of the Compliance System. This path is made even harder by
inconsistencies in the regulations that constrain the Intermediaries to perform in a context that is not coherent
and generates, among others, inappropriate costs. The strategic and organizational way for Compliance,
begun with the objective to create value, requires that each actor (Authorities, intermediaries, people) for his
own responsibility, cooperate to set the proper conditions for a common cultural growth around a scale of
values, that must be declared, shared and easily identifiable.
1. Premessa
2. La cultura della compliance e il cambiamento dei comportamenti
3. La compliance nelle Disposizioni di vigilanza e nel Regolamento congiunto
3.1. I punti di contatto
3.2. Le criticità
4. Le possibili azioni correttive per un Sistema dei controlli interni efficace ed integrato
5. Conclusioni
Bibliografia citata
1
1. Premessa
La centralità degli interessi dei clienti e quella della integrità del mercato sono temi che
accompagnano la storia degli intermediari finanziari e la loro stessa ragion d’essere. Essi sono
condivisi dalla dottrina e consolidati nella professione.
Nel nostro Paese la decisione delle Autorities di intraprendere la via regolamentare alla
compliance, vale a dire alla corretta definizione strategica ed operativa del rapporto fra gli
intermediari finanziari, i loro clienti e i mercati degli strumenti finanziari1, potrebbe sembrare
dettata dalla recente storia bancaria dove l’arbitrio, l’interesse e le trame, ancorché di pochi, sono
sembrati comunque tali da mettere a rischio l’ andamento dei mercati e il risparmio degli italiani2.
La rottura del patto di fiducia fra gli intermediari e i loro clienti ha tuttavia portata più
ampia. L’obiettivo di chiedere agli intermediari comportamenti conformi ai principi della normativa
viene affrontato fin dal 2004 dal Parlamento europeo3 e, quindi, dal Comitato di Basilea (2005)4 che
propongono regole di conformità alle norme rispettivamente per le attività di investimento e per
l’attività bancaria.
In Italia il quadro normativo per la compliance, con riferimento ad una banca che svolga una
pluralità di servizi ed attività aventi natura diversa (attività creditizia, servizi di investimento, altri
servizi), è eterogeneo ed articolato5. La stagione delle regole tuttavia inizia, di fatto, con
l’emanazione delle Disposizioni di vigilanza sulla compliance6 (di seguito Disposizioni compliance)
e prosegue con quella del Regolamento congiunto Banca d’Italia Consob7 (di seguito
Regolamento), quest’ultimo applicabile anche alle imprese di assicurazione8 con riferimento ai
prodotti finanziari e assicurativi.
1
Vale a dire del rispetto di ogni “norma” non solo nella forma ma anche nella sostanza.
Banca d’Italia, Considerazioni finali, Roma 2006, p.4.
3
Direttiva 2004/39/CE del Parlamento e del Consiglio europei, relativa ai mercati degli strumenti finanziari (“Mifid”) e
relative misure di esecuzione. e Direttiva del 21 aprile 2004 del Consiglio, relativa ai mercati degli strumenti finanziari
fino alla Direttiva 2006/73/CE della Commissione.
4
BASEL COMMITTEE ON BANKING SUPERVISION, compliance and the compliance function in banks”, aprile del 2005 che
definisce il rischio di compliance come “il rischio di sanzioni legali o amministrative o di danni reputazionali derivanti
dal mancato rispetto di: Leggi e regolamenti, Codici deontologici, Codici di condotta, Procedure interne” p. 7.
5
Tuf, Tub, Regolamento congiunto, Regolamento intermediari e Istruzioni di vigilanza.
6
BANCA D’ITALIA, Disposizioni di vigilanza: la funzione di conformità (compliance) N. 688006, Roma, 10 luglio 2007.
7
BANCA D’ITALIA E CONSOB, Regolamento della Banca d’Italia e consob ai sensi dell’articolo 6, comma 2-bis, del
testo unico della finanza in materia di organizzazione e procedure degli intermediari, Roma, 29 ottobre 2007.
8
ISVAP, Regolamento n. 20 del 26 marzo 2008 in materia controlli interni, compliance, gestione dei rischi ed
esternalizzazione delle attività delle imprese di assicurazione.
2
2
Tutti i documenti normativi recepiscono nella sostanza9
la definizione del rischio di
compliance proposta dal comitato di Basilea, vale a dire “il rischio di incorrere in sanzioni
giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di
violazioni di norme di legge, di regolamenti, ovvero di norme di autoregolamentazione o di codici
di condotta” 10.
.
2. La cultura della compliance e il cambiamento dei comportamenti
L’introduzione del presidio formale dell’attività di compliance rappresenta, in ogni caso, un
significativo momento di discontinuità per gli assetti organizzativi degli intermediari finanziari ed
un’importante opportunità strategica.
La normativa sulla compliance è infatti di tipo dinamico dato che le tecniche della
regolamentazione si basano su alcune linee guida ispirate ai principi della trasparenza,
dell’autonomia dei singoli intermediari, della proporzionalità e della better regulation.
In questo quadro la definizione degli obiettivi e dei criteri di valutazione (trasparenza), il
rispetto dell’eterogeneità degli intermediari (autonomia) e delle loro dimensioni strategiche ed
organizzative (proporzionalità)11, il confronto basato su logiche di impatto e di costi-benefici anche
ai fini di revisioni normative (better regulation) costituiscono altrettanti elementi di innovazione
sostanziale, se applicati in chiave di compliance, anche nei rapporti fra le Authority e i loro vigilati
nel solco segnato dal secondo pilastro di Basilea2.
Perché questa importante opportunità strategica venga colta è necessario che la via
regolamentare alla compliance determini cambiamenti sostanziali nella cultura, nei comportamenti
9
Le Disposizioni compliance, peraltro, enfatizzano alcuni elementi definitori. Si veda al riguardo: A.ALBERICI, Dalle
disposizioni per la tutela del risparmio alla funzione della compliance, in AA.VV, Tutela del risparmio, authorities,
governo societario. Giuffrè, Milano 2008.
10
BANCA D’ITALIA, La funzione di conformità, op. cit., p 2.
11
Esso è stato introdotto nel nostro ordinamento dall'art. 23 della L. 262/2005, secondo cui agli atti aventi natura
regolamentare o di contenuto generale delle Autorità deve applicarsi il principio di proporzionalità, inteso come
«Criterio di esercizio del potere adeguato al raggiungimento del fine, con il minore sacrificio degli interessi dei
destinatari. A questo fine, esse (ndr le Auithorities) consultano gli organismi rappresentativi dei soggetti vigilati, dei
prestatori di servizi finanziari e dei consumatori».”.
3
e nell’organizzazione di tutti gli attori del sistema finanziario e bancario e non solo quindi degli
intermediari, cui la normativa è solo apparentemente diretta12.
In assenza di adeguamenti organizzativi e comportamentali delle Authorities in chiave di
compliance e della conseguente rivisitazione del sistema di relazioni (fra le stesse, di quelle fra
queste e gli intermediari, fra essi e la loro clientela), la via regolamentare alla compliance potrebbe
ridursi ad un mero adeguamento formale a prescrizioni normative o regolamentari, cui solo gli
intermediari devono formalmente adeguarsi.
Le stesse linee guida più sopra richiamate, la filosofia del secondo pilastro di Basilea2 e
l’adozione di logiche di compliance richiedono infatti un approccio autorevole piuttosto che
autoritario delle Authorities anche ai problemi strategici ed organizzativi degli intermediari
vigilati13.
E’ innegabile che se un’Authority, in quanto azienda, elude essa stessa le norme di
contenuto aziendale richieste ai propri vigilati, vede incrinata la sua stessa autorevolezza; anche nel
caso in oggetto, infatti, essa ha come presupposto ineludibile la concreta specifica esperienza sulle
tematiche di maggiore impatto decisionale e di struttura organizzativa.
Il rispetto del requisito dell’indipendenza del responsabile della funzione di conformità, ad
esempio, determina impatti gerarchico funzionali importanti in ogni impresa. Esso infatti
estrinseca nel dovere / possibilità
si
del Compliance officer di fare riferimento diretto e/o
documentale, ma comunque discrezionale, agli organi di vertice anche quando egli, per il principio
di proporzionalità, non abbia la qualifica di dirigente14.
Si pensi all’impatto che il rispetto del principio avrebbe in Banca d’Italia e in Consob. Nel
primo caso il compliance officer dovrebbe necessariamente avere accesso diretto e discrezionale al
12
nel mutato contesto è necessario, da un lato, promuovere una cultura aziendale improntata a principi di onestà,
correttezza e rispetto non solo della lettera, ma anche dello spirito delle norme; dall’altro, approntare specifici presidi
organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione” (BANCA
D’ITALIA, La funzione di conformità, op. cit., p. 1).
13
In questo senso anche A.CARRETTA, compliance e cultura bancaria, Relazione al Convegno “Etica e regole nella
finanza. La funzione di compliance”. Fondazione Gabriele Berionne, 5 dicembre 2006. Pubblicato su Facts & News,
gennaio-febbraio 2007.
14
G. DURANTE,
Il rispetto delle norme da parte delle persone: profili giuslavoristici e spunti di riflessione alla luce del
nuovo Ccnl 2008, in Bancaria, n,2, 2008. Tale circostanza è in ogni caso difficilmente conciliabile con il dettato
normativo che il responsabile della compliance “deve rivestire un ruolo all’interno della banca tale da conferire
autorevolezza alla funzione medesima” (BANCA D’ITALIA, La funzione di conformità, op. cit., p. 7).
4
Consiglio superiore oltre che al Governatore15. Ciò dovrebbe essere previsto in sede di mandato16
che dovrebbe sancire sia l’autonomia e l’indipendenza della funzione di conformità e del suo
responsabile sia le modalità del relativo esercizio. Analogamente dovrebbe avvenire nel caso di
Consob a cura della Commissione17 alla quale, e/o al Presidente, il compliance officer avrebbe poi
necessariamente accesso diretto e discrezionale18.
La mancanza di questa esperienza potrebbe non consentire alle Authorities di comprendere
appieno che l’applicazione compliant del principio di indipendenza rappresenta un momento di
discontinuità epocale sia con riferimento ai principi consolidati di organizzazione aziendale che
prassi di vigilanza, ad oggi necessariamente più attenti alla separatezza formale delle funzioni del
Sistema dei controlli interni presso gli intermediari piuttosto che alla loro indipendenza
sostanziale19.
L’assenza di esperienze dirette del tipo ricordato potrebbe indurre le Authorities a fare leva
su comportamenti astratti, quindi autoritari, nella richiesta di applicazione della norma piuttosto che
su quelli che guidano i comportamenti del “buon padre di famiglia”, pilastro della nostra dottrina
giuridica, che interpreta e guida all’attuazione della sostanza dei principi normativi con
l’autorevolezza che gli deriva anche dalla propria esperienza.
Non v’è dubbio poi
che anche il sistema di relazioni fra le Authorities deve essere
riconsiderato in chiave di compliance per garantire il rispetto sostanziale di comportamenti corretti.
Le modalità e i tempi di promulgazione del Regolamento e alcuni compromessi non marginali in
esso contenuti, con riferimento ad aspetti regolamentari di carattere sostanziale, configurano infatti
autentiche deviazioni dai principi della compliance.
15
In quanto lo stesso presiede le riunioni dell’Assemblea (art. 6) e del Consiglio superiore (art. 16), di cui è membro
(art.15), e per i poteri che gli derivano dall’articolo 24 dello Statuto della Banca d’Italia (Approvato con delibera
dell’Assemblea generale straordinaria dei partecipanti al capitale del 28 novembre 2006 e con D.P.R. 12 dicembre
2006-G.U. n. 291 del 15 dicembre 2006).
16
Ferma restando la discrezionalità delle banche nell’organizzare la funzione di conformità, è comunque necessario
che: vengano formalizzati lo status e il mandato della funzione attraverso l’indicazione di compiti, responsabilità,
addetti, prerogative, flussi informativi rivolti direttamente agli organi di vertice” (punto 4, p. 5). “L’indipendenza della
funzione, in un contesto caratterizzato da forti interrelazioni, è assicurata dalla formalizzazione del mandato che ne
sancisce l’autonomia rispetto sia alle strutture operative sia a quelle di controllo interno, attraverso la definizione
espressa di ruoli e competenze (punto 6, pp. 8 e 9) BANCA D’ITALIA, La funzione di conformità, op. cit.
17
Intesa come Organo collegiale dei componenti (Titolo I del Regolamento concernente l'organizzazione e il
funzionamento della Commissione Nazionale per le Società e la Borsa, Adottato con deliberazione Consob n. 8674 del
17 novembre 1994 e successivamente modificato con delibere n. 13195 dell’11 luglio 2001 e n. 15551 dell’11 settembre
2006.
18
Art. 7, Compiti della Commissione, e art. 5, Attribuzioni del presidente in Regolamento Consob, op. cit.
19
A.ALBERICI, Le condizioni di efficienza per l’attività di compliance, in Bancaria, n. 2, 2008.
5
Le criticità regolamentari saranno analizzate nei paragrafi seguenti; merita sin d’ora notare,
per contro, che il Regolamento è stato promulgato il 29 ottobre 2007 a fronte dell’entrata in vigore
della direttiva Mifid prevista per il successivo primo novembre. E’ evidente la dimensione
potenziale dei rischi, non solo reputazionali, che ciò avrebbe potuto comportare per gli intermediari
che svolgono attività di investimento nei confronti della loro clientela; ciò anche assunto che le
Authorities, date le circostanze, avrebbero potuto essere più comprensive nei loro confronti con
riferimento ad eventuali carenze in sede di prima applicazione del Regolamento.
La sovrapposizione funzionale ed operativa dell’attività di diversi organi di controllo che
insistono sulle stesse imprese bancarie finanziarie ed assicurative in tema di compliance appare poi
sorgente di inefficienza organizzativa per gli intermediari, ancorché esista assoluta sintonia fra le
disposizioni per la compliance che per l’attività bancaria sia per quella assicurativa20.
La ricaduta ultima, in ogni caso, di una corretta politica di compliance si ha sul sistema di
relazioni degli intermediari al proprio interno e con la propria clientela attuale e potenziale.
Riguardo al primo aspetto, infatti, il rischio di non conformità è diffuso a tutti i livelli
dell’organizzazione aziendale, soprattutto nell’ambito delle linee operative. Ciò comporta che
l’eliminazione del rischio di compliance presuppone la scelta di modelli organizzativi appropriati; la
definizione di strumenti di governo aziendale compresi e condivisi e delle loro corrette
interrelazioni funzionali; la definizione di piani formativi di compliance management per lo
sviluppo delle necessarie competenze gestionali e operative; l’individuazione e l’allocazione di
adeguare risorse e, infine, la diretta responsabilizzazione di tutto il personale chiamato al rispetto
sostanziale delle norme.
Ciò significa, in buona sostanza, che l’intermediario dovrà per questa via generare al proprio
interno una cultura della compliance, ossia “una cultura che porti tutti gli operatori a fare la cosa
giusta anche in assenza di un riferimento regolamentare esplicito o di un chiaro divieto”21 per
20
F.CIVALE, Profili applicativi della funzione di compliance nelle Assicurazioni ed analisi comparata con le norme
Banca d'Italia – Consob, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli
organizzativi, Milano 14 e 15 aprile 2008. Anche per tale motivo il presente lavoro non tratta specificamente del
sistema di relazioni-criticità fra le Disposizioni di compliance per le imprese di assicurazione e il Regolamento con
riferimento ai prodotti finanziari assicurativi. Allo stesso sono riferibili per analogia le considerazioni proposte con
riferimento alle relazioni fra quest’ultimo e le Disposizione compliance.
21
P.SCHWIZER, La collocazione organizzativa della funzione compliance: le possibili scelte e le relazioni gerarchiche e
funzionali, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi,
Milano 14 e 15 aprile 2008. Si noti che la contraddizione di termini nella suddetta affermazione è solo apparente. La
6
ingenerare negli stessi la naturale propensione ad un corretto sistema di relazioni nei confronti delle
Authorities, della loro clientela e al proprio interno.
La cultura della conformità alle norme comunque intese dovrà infatti
management nella conoscenza dell’impresa, nel
supportare il
governo dell’organizzazione, nel presidio
dell’ottimizzazione della combinazione redditività/rischio, nella protezione del patrimonio anche
attraverso la riduzione dei costi e delle perdite, nel rispetto delle regole interne ed esterne, vale a
dire dell’ordine organizzativo e della conformità alle leggi, nella identificazione di ogni possibile
miglioramento della gestione.22
Solo se si realizzano tali condizioni un intermediario è in grado di affermare nei confronti
della propria clientela condizioni funzionali e comportamentali che generino non solo la fiducia23,
risultato spesso di semplici percezioni, bensì la convinzione che la sua reputazione è risultato di
comportamenti corretti, di procedure trasparenti, di sistemi di valori consolidati, condivisi e
riconoscibili, quindi in ultima analisi di una forte cultura aziendale.
In tale contesto lo sviluppo di corrette relazioni con la clientela assume valenza strategica
anche in quanto, generando vantaggi competitivi durevoli, pone i presupposti per la creazione del
valore dell’impresa24, processo che coinvolge tutti gli stakeholders e favorisce quindi il
perseguimento di obiettivi di sviluppo di lungo periodo.
L’introduzione del presidio dell’attività di compliance e la conseguente revisione
dell’architettura del Sistema dei controlli interni vanno quindi affrontati come un’ opportunità
strategica di cui la compliance è uno strumento proattivo di creazione del valore.
3. La compliance nelle Disposizioni di vigilanza e nel Regolamento congiunto
compliance, infatti viene solo riduttivamente intesa con riguardo alla conformità alle sole norme, sembrando al limite
che in assenza di prescrizioni normative venga a cessare ogni obbligo di correttezza; essa va per contro intesa come la
necessità che gli operatori conformino i propri comportamenti ai principi, di onestà e di etica personale e professionale,
che ispirano o che dovrebbero ispirare i tessuti normativo e regolamentare che spesso scontano i ritardi dell’esperienza..
22
M.DI ANTONIO, Sistema dei controlli interni e sistema di compliance, Workshop ABI su La funzione di compliance:
evoluzioni normative e ricadute sui modelli organizzativi, Milano 14 e 15 aprile 2008.
23
“il rispetto delle norme e la correttezza negli affari costituiscono elementi fondamentali nello svolgimento dell’attività
bancaria, che per sua natura è fondata sulla fiducia” BANCA D’ITALIA, La funzione di conformità, op. cit., p. 1.
24
CLEMENTE, Le funzioni di internal audit e di compliance:ruoli, responsabilità e ambiti di rispettiva competenza
Le funzioni di internal audit e di compliance, Convegno AIIA-AICOM, Milano 2 luglio 2008.
7
E’ stato ricordato che le Disposizioni compliance e il Regolamento,
integrati poi dalle
Disposizioni di vigilanza in materia di organizzazione e governo societario25 che riaffermano la
centralità del Sistema dei controlli interni nella vita aziendale, sono i documenti che segnano la via
regolamentare alla compliance a livello nazionale, con riferimento rispettivamente alle banche e
agli intermediari, bancari e non bancari, che svolgono attività di investimento.
Essi presentano un’importante sintonia a livello di metacontrolli26 ma anche significative
discordanze operative che si traducono in autentiche criticità per gli intermediari
3.1 I punti di contatto
Le disposizioni di vigilanza sulla governance sono in linea con quelle in materia di governo
societario previste nel Regolamento. I due testi normativi condividono infatti i principi generali,
l'articolazione delle responsabilità assegnate agli organi di vertice, la filosofia dei controlli e delle
competenze ripartite fra Banca d’Italia e Consob secondo il criterio della prevalenza delle finalità27,
la competenza regolamentare congiunta coerentemente con i principi generali di vigilanza28.
In tale ambito la logica ispiratrice della disciplina della compliance bancaria è quella della
prevenzione e mitigazione del rischio di non conformità della stabilità patrimoniale, della sana e
prudente gestione degli intermediari; quella relativa alle attività di investimento riguarda la
trasparenza e la correttezza dei comportamenti degli stessi. Alla Banca d'Italia competono i controlli
sull'istituzione della funzione di compliance e alla Consob quelli sullo svolgimento della funzione29.
25
BANCA D'ITALIA, Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, marzo
2008. Esse esprimono la crescente valorizzazione, condivisa da tutte le Authorities, del ruolo degli organi di
amministrazione, gestione e controllo (governance alta) il cui coinvolgimento è ritenuto fondamentale per l'efficace
presidio del rischio di compliance anche in quanto diffuso e pervasivo. Gli organi aziendali, ciascuno secondo le
proprie competenze e responsabilità, sono così chiamati a definire le linee essenziali del sistema di gestione del rischio
di compliance, a curarne l'attuazione e a verificarne nel tempo l'efficace funzionamento. Sull’argomento si veda
AM.TARANTOLA, il sistema dei controlli interni nella governance bancaria, Roma, 6 giugno 2008.
26
M.DI ANTONIO, Sistema dei controlli interni e sistema di compliance,, op cit.
27
In questo quadro la Banca d'Italia è competente per i requisiti generali di organizzazione, continuità dell'attività,
organizzazione amministrativa e contabile, gestione del rischio di impresa, audit interno, responsabilità dell'alta
dirigenza . La Consob verifica le procedure, anche di controllo interno, per la corretta e trasparente prestazione dei
servizi e delle attività di investimento e della gestione collettiva del risparmio, il controllo di conformità alle norme, il
trattamento dei reclami, le operazioni personali, la gestione dei conflitti di interesse potenzialmente pregiudizievoli per i
clienti, la conservazione delle registrazioni, le procedure, anche di controllo interno, per la percezione o corresponsione
di incentivi. (si veda ance BOCCUZZI La funzione di compliance: il presidio dei rischi aziendali e l'evoluzione della
normativa Basilea 2 e Mifid, in Bancaria, n .2, 2008.
28
Ciò vale più in generale per tutte le materie specificamente indicate nell'art. 6, comma 2-bis.
29
Regolamento, op cit. artt. 12 e 16.
8
Coerentemente ai principi richiamati, le Disposizioni compliance e il Regolamento sono
quindi sostanzialmente compatibili nei contenuti e quest’ultimo prevede poi che, ove non
diversamente previsto, le disposizioni emanate dalla Banca d’Italia in attuazione del TUB si
applichino anche nella prestazione dei servizi e delle attività di investimento30.
Entrambi i testi normativi assumono in linea di principio la medesima definizione
della compliance, o meglio del rischio di non conformità alle norme, rifacendosi a quella proposta
dal Comitato di Basilea31. Essi stabiliscono inoltre che: la funzione di compliance deve essere
obbligatoriamente istituita; la stessa può essere esternalizzata; i principi di definizione dei perimetri
devono essere coerenti con le finalità delle due normative32; il mandato deve essere chiaramente
definito; la funzione può essere variamente organizzata anche in ottica di gruppo; la nomina dei
responsabili delle funzione di internal audit e di quella di conformità è attività non delegabile
dell’Organo di gestione nella sua collegialità, previo parere dell’organo di controllo; il compliance
officer deve essere indipendente, autonomo ed autorevole; il metodo per la determinazione della
remunerazione dei soggetti rilevanti che partecipano alle funzioni aziendali di controllo non ne
devono compromettere l’obiettività; le politiche di incentivazione del personale e di remunerazione
degli operatori devono essere verificate dalla funzione di compliance.
.
L’indipendenza della funzione, inoltre, deve essere sancita dal mandato e dall’assenza di
vincoli gerarchici tra il compliance officer e i responsabili delle funzioni sottoposte a controllo.
L’autonomia della stessa si sostanzia poi nella separazione organizzativa dalle altre funzioni
aziendali di controllo. In questo contesto alla funzione di compliance non possono essere attribuite
funzioni di audit interno, tipica attività di terzo livello nel Sistema dei controlli.
L’articolazione del Sistema dei controlli interni è, da ultimo, condiviso dalle due normative
che collocano formalmente la funzione di conformità nell’ambito delle attività di controllo di
secondo livello e quelle di internal audit in quelle di livello diverso e distinto, con lo scopo di
30
Regolamento, op cit. art. 3.
Si veda nota 4.
32
Ciò nel senso che le Disposizioni sulla compliance attengono all’attività bancaria mentre quelle del Regolamento
riguardano le attività di investimento. Il perimetro della funzione di compliance per l’attività bancaria, tuttavia, presenta
almeno due livelli di indeterminatezza. Il primo deriva dall’interpretazione della normativa di riferimento. Il Comitato
di Basilea (BASEL COMMITTEE ON BANKING SUPERVISION, “compliance and the compliance function in Banks”,
Basilea, Aprile 2005, Punti 3 e 4) fa riferimento al common core dell’attività bancaria (attivita’di intermediazione,
gestione, conflitti di interesse, trasparenza tutela del consumatore, antiriciclaggio, terrorist financing) invece le
Disposizioni compliance non definiscono ambiti circoscritti di responsabilità della funzione. Il secondo livello di
indeterminatezza deriva dall’applicazione del principio di proporzionalità, vale a dire della libera determinazione di
ogni banca riguardo alla definizione del perimetro della propria funzione di compliance oltre alle attività core.
31
9
assicurare la complessiva “tenuta” dell’impianto organizzativo dell’intermediario compresa la
revisione periodica dell’attività di compliance.
3.2 Le criticità
Nonostante i principi e le regole condivisi sopra richiamati si osservano alcune
disomogeneità sostanziali fra le Disposizioni compliance e quelle del Regolamento, dalle quali
derivano significative incertezze interpretative e applicative. Si pensi ad esempio alla disposizione
relativa all’organizzazione della funzione di compliance presso intermediari appartenenti a gruppi
che svolgano attività di investimento e alla disciplina che riguarda i compiti delle funzioni nel
Sistema dei controlli interni
Nel primo casoil Regolamento non prevede la figura del Referente degli Organi di vertice e
del compliance officer di gruppo per le banche che svolgono attività di investimento previsto dalle
Disposizioni compliance33. Esse pertanto, stante l’obbligatorietà di costituzione della funzione,
dovrebbero prevedere, con evidenti inefficienze organizzative, due figure a presidio della
compliance: un responsabile della funzione per le attività di investimento e un referente per le
attività bancarie.
Ben più rilevante e di difficile soluzione è, per contro, la differente impostazione
sull’articolazione dei compiti della funzione di compliance e di quella di internal audit nell’ambito
del Sistema dei controlli interni.
Secondo il Regolamento, il Sistema dei controlli interni può o meno prevedere al proprio
interno l’esistenza delle funzioni di internal audit e di Risk management; ciò sarebbe in relazione al
grado di complessità
dell’intermediario, vale a dire in applicazione del principio della
proporzionalità.
Si noti preliminarmente che genera perplessità l’applicazione del suddetto principio34 alla
definizione della struttura del Sistema dei controlli interni di un intermediario piuttosto che al
33
Peraltro previsto dalle Disposizioni sulla compliance , p. 7.
Esso è declinato dal Regolamento come la possibilità di prevedere “Organizzazione e procedure che tengano conto
della natura, delle dimensioni e della complessità della attività svolta dall’impresa nonché della natura e della gamma
dei servizi e delle attività di investimento esercitate” (G.D’AGOSTINO, La funzione di controllo di conformità nella
prestazione dei servizi di investimento, Convegno AIIA AICOM, Milano, 2 luglio 2008).
34
10
dimensionamento o alla complessità delle funzioni che necessariamente fanno parte del suddetto
Sistema.
Prevedere poi che degli intermediari, sia pure di minori dimensioni e comunque diversi dalle
banche35, possano non attivare funzioni con compiti irrinunciabili nel Sistema dei controlli interni,
come l’internal audit, determina la conseguente necessità che gli stessi compiti siano attribuiti ad
altra funzione del Sistema; ciò avviene quindi necessariamente con il Regolamento congiunto che
attribuisce di fatto alla funzione di compliance anche compiti propri della funzione di internal audit.
Potrebbe allora accadere che il perimetro della suddetta funzione di conformità costituisca il
riferimento anche per gli intermediari che abbiano attivato la funzione di internal audit.
Si crea quindi l’anomala situazione che norme definite in teorico ossequio al principio della
proporzionalità e riferite ad operatori marginali permeino, di fatto e in modo sistematico, l‘intera
struttura del Sistema dei controlli interni per gli intermediari che svolgono attività di investimento.
Esse inoltre rendono indeterminati i confini delle competenze delle funzioni che ne fanno parte,
modificando i ruoli dei diversi livelli di controllo, ed impongono agli intermediari bancari di
gestire la compliance in un doppio binario36 nei confronti di Banca d’Italia e di Consob.
Consob valuta infatti che la funzione di compliance verifichi le concrete modalità di
prestazione dei servizi attraverso la definizione di indicatori di anomalia per ciascun servizio
prestato sulla base dei rischi di compliance pre-identificati (attività di compliance cd. Risk based),
anche attraverso verifiche a campione37.
In sintesi, secondo la previsione del Regolamento, la funzione di compliance deve ad un
tempo prevenire i rischi di compliance, valutare l’efficacia dei propri interventi e della compliance
aziendale, autocontrollarsi e riferire in merito.
35
L.SPADA, La funzione di compliance per la prestazione dei servizi di investimento, Workshop ABI su La funzione di
compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano 14 e 15 aprile 2008 e G.D’AGOSTINO, La
funzione di controllo di conformità, op. cit. Si noti, in ogni caso che la funzione di internal audit è sempre
obbligatoriamente presente nelle banche, ancorché esternalizzabile. Gli intermediari tenuti a rispettare la disciplina
prudenziale di Basilea 2 devono poi istituire un’ulteriore funzione di gestione del rischio, in aggiunta ai presidi
organizzativi e alle specifiche funzioni di gestione dei rischi previsti dalla regolamentazione attuativa delle direttive
2006/48/Ce e 2006/49/Ce.
36
Funzione di compliance in senso stretto, con riferimento all’attività bancaria e compliance “audit oriented” per le
attività di investimento.
37
G.D’AGOSTINO, La funzione di controllo di conformità, op. cit., slide 24.
11
Essa deve infatti verificare ex ante l’idoneità delle procedure e il rispetto della normativa,
valutando poi l’idoneità e l’efficacia delle stesse e definendo ed implementando azioni correttive a
seguito di attività di controllo compiute anche da nuclei di propri ispettori. Da ultimo essa deve
svolgere funzioni di controllo anche sulle proprie attività e riferire in merito agli organi di vertice e
di controllo. E’ evidente che tale impostazione può creare condizioni di inefficienza nella gestione
del Sistema dei controlli interni, confondere attività proprie di livelli diversi del suddetto Sistema,
generare rischi di autoreferenzialità e conseguenti potenziali conflitti di interesse che la disciplina
della compliance si dovrebbe proporre istituzionalmente di eliminare.
L’approccio descritto, che delinea una funzione di compliance audit oriented, mina la
coerenza interna del Regolamento, rendendo disomogenea l’impostazione assunta per i
metacontrolli e le ricadute gestionali su quelli operativi; essa inoltre contrasta con le Disposizioni
compliance che individuano fra i compiti primari della funzione38, ancorché nel
continuo,
l’identificazione delle norme applicabili, la misurazione/valutazione del loro impatto su processi e
procedure aziendali. In tale ambito alla funzione di compliance compete di formulare proposte di
modifiche organizzative e procedurali per assicurare adeguato presidio dei rischi di non conformità
identificati. Essa deve inoltre predisporre flussi informativi diretti agli organi aziendali e alle
strutture coinvolte (gestione del rischio operativo e internal audit) dopo avere verificato l’efficacia
degli adeguamenti organizzativi per la prevenzione del rischio di conformità.
Se si considera che l’introduzione della funzione compliance nel Sistema dei controlli
interni determina di per sé la necessità di riconsiderarne i principali assetti funzionali e, in tale
ambito, di prevedere una precisa definizione dei compiti di tutte le funzioni che lo compongono ai
vari livelli, appare chiaro che il Regolamento è deviante allo scopo e che esso ha determinato crisi
di credibilità dell’approccio di sistema alla compliance, vale a dire delle stesse Authorities che
avrebbero dovuto sostenerne l’impatto strategico e culturale presso gli intermediari.
4. Le azioni correttive per un Sistema dei controlli interni efficace ed integrato
Una prima via di azione parte dal presupposto che il contesto delineato è la palese
testimonianza che la definizione del Regolamento è stata contrastata, quasi alla stregua di un uno
38
BANCA D’ITALIA, La funzione di conformità, op. cit., pp. 4 e 5
12
scontro istituzionale piuttosto che un proficuo confronto. La soluzione di compromesso raggiunta
dalle Autorities rappresenta quindi un accomodamento che, come spesso avviene, non esprime
necessariamente la migliore soluzione per gli interessati, vale a dire per gli intermediari finanziari,
per il sistema nel suo complesso e per il rischio di compliance in capo alle stesse Authorities.
Dato che la situazione appare in stallo, non resta che auspicare con forza che gli
intermediari, direttamente o tramite le loro Associazioni di categoria e/o professionali, richiamino le
Autorità a comportamenti compliant, vale a dire a un loro efficace coordinamento per l'efficace
esercizio delle funzioni di vigilanza che riduca anziché aumentare gli oneri e i rischi gravanti sugli
stessi.
Lo strumento operativo per raggiungere l’obiettivo è offerto dal Protocollo d'intesa stipulato
tra la Banca d'Italia e la Consob. Questo, per garantire il coordinamento delle funzioni di vigilanza,
definisce i compiti di ciascuna Autority e le modalità del loro svolgimento e prevede che esse
devono congiuntamente rispondere a quesiti loro posti in materia di compliance39.
L’istituto del quesito potrebbe quindi essere utilizzato nell’auspicio che in entrambi gli
ambiti normativi vengano affermati i principi e le condizioni utili a delineare uniformi condizioni
strutturali e funzionali del Sistema dei controlli in generale, e della compliance in particolare, che
garantiscano l'efficacia dei controlli e il contenimento degli oneri per gli intermediari.
In questo quadro non v’è dubbio che i controlli di conformità relativi ai due ambiti
regolamentari devono potere essere gestiti dalla stessa funzione aziendale e che alla funzione di
internal audit spettano compiti di controllo della funzionalità complessiva del Sistema dei controlli
interni di terzo livello, tesi anche alla verifica dell’adeguatezza e dell'efficacia della funzione di
compliance. Da ultimo i compiti e le attività di competenza delle funzioni di compliance e di
internal audit devono essere chiaramente individuabili e distinti, anche al fine di implementare
l'efficacia dei controlli.
39
BANCA D'ITALIA E CONSOB, Regolamento della banca d’Italia e della Consob ai sensi dell’articolo 6, comma 2-bis,
del testo unico della finanza, Roma, 31 ottobre 2007: “4.2 Ciascuna Autorità fornisce risposta ai quesiti sulle materie di
propria competenza, secondo la ripartizione prevista dalla legge. La competenza è congiunta sui quesiti aventi ad
oggetto il controllo di conformità alle norme previsto dagli articoli 12 e 16 del Regolamento congiunto ….. b) concorda
con l’altra una risposta congiunta qualora il quesito coinvolga la competenza di entrambe le Autorità secondo quanto
previsto dal punto 4.2.” (art 4 Vigilanza regolamentare).
13
Una seconda via di azione, del tutto complementare, deriva dal contributo che la dottrina, a
livello di ricerca teorica40 e applicata41, e la professione possono fornire alle Autorities e agli
intermediari per l’univoca
definizione del Sistema dei controlli interni e per la sua corretta
implementazione e crescente efficacia.
In tale ultimo ambito rientrano iniziative di spessore come quella dell’ Associazione Italiana
Internal Auditors (Aiia) e Associazione Italiana Compliance (Aicom) che hanno specificamente
affrontato le tematiche inerenti ai ruoli, alle responsabilità e agli ambiti di rispettiva competenza
delle funzioni di internal audit e di compliance nell’ambito del Sistema dei controlli interni.
Esse hanno quindi licenziato un position paper42 che si pone come base di riflessione al
tavolo di lavoro delle stesse Authorities per riconsiderare l’articolazione del Sistema dei Controlli
Interni. Con tale obiettivo il documento declina le distinte caratteristiche e le finalità proprie delle
funzioni di compliance e di internal audit ed affronta il tema delle necessarie integrazioni fra le
stesse con l’obiettivo di riaffermare una cultura incentrata sulla piena consapevolezza dei rischi e
sul rispetto delle regole.
Richiamando i loro contenuti, i reciproci obiettivi, l’approccio e le metodologie di intervento
propri ad entrambe le funzioni, il documento giunge a risultati coerenti con le Disposizioni di
vigilanza, superando anche la convinzione semplificatrice che le modalità di intervento ex ante ed
ex post possano o debbano costituire una valida discriminate fra le rispettive attività .
.
In ogni caso, in attesa che il confronto fra le Authorities inizi e porti ai risultati attesi, gli
intermediari possono attuare soluzioni contingenti che minimizzino gli oneri della gestione
congiunta delle Disposizioni compliance e del Regolamento. Si pensi, ad esempio, alla
formalizzazione di accordi di servizio attivati dalla funzione di compliance nei confronti di quella
di internal auditing. Quest’ultima, utilizzando proprie competenze e risorse, verrebbe così delegata
a svolgere le attività richieste alla funzione di conformità dal Regolamento ma non dalle
disposizioni sulla compliance. Tale soluzione, gestita nel rispetto dell’indipendenza delle due
40
Al riguardo si vedano per tutti: AA.VV. L’internal audit nelle banche, Bancaria Editrice, 2000, S.BERETTA,
Valutazione del rischio e controllo interno, EGEA, 2004; S.BERETTA-N.PECCHIARI, Analisi e valutazione dei sistemi di
controllo interni. Metodi e tecniche, Il Sole 24 Ore-Pirola, Milano, 2007.
41
P.MUSILE TANZI (a cura), compliance risk nell’evoluzione dei servizi di investimento: natura, strumenti e aspetti
organizzativi, Rapporto Di ricerca SDA-Bocconi, 2008, Giuliana Birindelli, Paola Ferretti, Il rischio di compliance nelle
banche italiane: stato dell’arte e criticità, in Bancaria, n.9, 2007, BASEL COMMITTEE ON BANKING SUPERVISION,
Implementation of the compliance principles A survey August (26) 2008.
42
AIIA E AICOM, Le funzioni di internal audit e di compliance: ruoli, responsabilità e ambiti di rispettiva competenza,
AIA E AICOM, Milano, aprile 2008.
14
funzioni date dalle loro differenti missioni,
sfumerebbe i contrasti fra le due discipline e
consentirebbe alla funzione di compliance di sovrintendere, sotto la propria responsabilità come
richiesto dallo stesso Regolamento, al ciclo completo dei controlli, verificando anche la corretta
applicazione delle procedure e della regolarità dei comportamenti attraverso il monitoraggio
dell’operatività43.
La suddetta soluzione potrebbe non essere solo contingente. Lo scambio sistematico e la
condivisione di informazioni, anche sui risultati delle rispettive attività di controllo, la
minimizzazione delle aree di possibile sovrapposizione, l’utilizzo di metodologie condivise di
valutazione dei rischi e di competenze funzionali ovunque residenti, l’individuazione di momenti di
confronto periodico, anche istituzionale, potrebbero generare infatti significative e non occasionali
sinergie nella gestione del Sistema dei controlli interni,
nell’individuazione dei rischi di
compliance, nella valutazione della qualità dei presidi organizzativi, nella identificazione di
eventuali correttivi e in ultima analisi nella diffusione, anche per questa via, della cultura del
controllo e della conformità alle norme.
5. Conclusioni
La rottura del patto di fiducia fra gli intermediari e i loro clienti ha portata sovranazionale ed
ha aperto una nuova stagione delle regole. Nel nostro Paese essa inizia con l’emanazione delle
Disposizioni di vigilanza sulla compliance per l’attività bancaria (luglio 2007), prosegue con il
Regolamento congiunto di Banca d’Italia e Consob per le attività di investimento (ottobre 2007),
con le Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche
(marzo 2008) e con il Regolamento ISVAP dell’ aprile 2008 in materia controlli interni, compliance,
gestione dei rischi ed esternalizzazione delle attività delle imprese di assicurazione.
L’introduzione del presidio formale dell’attività di compliance rappresenta ad un tempo un
significativo momento di discontinuità per gli assetti organizzativi degli intermediari finanziari e
un’importante opportunità strategica. Essa è supportata dal carattere dinamico della stessa
normativa che è basata su tecniche della regolamentazione ispirate ai principi della trasparenza,
dell’autonomia dei singoli intermediari, della proporzionalità e della better regulation, condizioni
43
G. D’AGOSTINO, “Novità nell’attività della funzione di compliance nel nuovo quadro normativo disegnato dalla
Mifid”, Relazione al Convegno ABI, compliance in banks 2007. Introdurre in banca la funzione di conformità, Roma,
24 e 25 ottobre 2007.
15
di innovazione sostanziale, se applicati in chiave di compliance, anche nei rapporti fra le Authorities
e i loro vigilati nel solco segnato dal secondo pilastro di Basilea2.
La suddetta discontinuità ha tuttavia carattere prevalentemente culturale ed ognuno sa che
modificare la cultura di operatori o di imprese, quindi i comportamenti, è compito assai più arduo
che intervenire sui processi operativi. Non stupisce quindi verificare che il cambiamento è ancora
agli inizi per tutti i livelli di governo del Sistema della compliance, vale a dire nei rapporti fra le
Authorities, in quelli fra le Authorities e gli intermediari secondo la logica del secondo pilastro di
Basilea2 e in quelli fra gli stessi intermediari e la loro clientela.
Il percorso è reso ulteriormente complesso da alcune incongruenze normative e di
comportamento, che costringono gli intermediari ad operare all’interno di un contesto non sempre
internamente coerente. Le modalità di approvazione e i contenuti del Regolamento congiunto, in
particolare, tradiscono le difficoltà di intraprendere la via di un cambiamento sostanziale per gli
stessi vertici del sistema finanziario. I contenuti
del Regolamento poi generano distorsioni
interpretative nell’articolazione dei compiti delle funzioni del Sistema dei controlli interni che dal
1998, con progressivi affinamenti, rappresenta il presidio principale della sana e prudente gestione e
del corretto governo dei rischi aziendali.
Soluzioni contingenti possono consentire agli intermediari di limitare i costi impropri indotti
dalle suddette criticità. La via strategica ed organizzativa della compliance, intrapresa nell’ottica
della creazione del valore, a tutela dell’efficienza degli intermediari, del presidio delle relazioni
della clientela e dell’integrità dei mercati, richiede tuttavia che ciascuno per la propria parte
concorra a creare le condizioni per una comune crescita culturale intorno a sistemi di valori
dichiarati, condivisi e riconoscibili.
16
BIBLIOGRAFIA CITATA
AA.VV. L'internal audit nelle banche, Bancaria Editrice, Roma 2000.
AIA-AICOM, Le funzioni di internai audit e di compliance: ruoli, responsabilità e ambiti di rispettiva
competenza, AIA e AICOM, Milano, aprile 2008.
ALBERICI A. Dalle disposizioni per la tutela del risparmio alla funzione della compliance, in AA.VV.,
Tutela del risparmio, authorities, governo societario. Giuffrè, Milano 2008.
ALBERICI A Le condizioni di efficienza per l'attività di compliance, in Bancaria, n. 2, 2008.
BANCA D'ITALIA, Considerazioni finali, Roma 31 maggio 2007.
BANCA D'ITALIA, Disposizioni di vigilanza: la funzione di conformità (compliance) N. 688006, Roma, 10
luglio 2007.
BANCA D'ITALIA, Disposizioni di vigilanza in materia di organizzazione e governo societario delle
banche, Roma, marzo 2008.
BANCA D'ITALIA e CONSOB, Regolamento della Banca d'Italia e Consob ai sensi dell'articolo 6, comma
2-bis, del Testo Unico della finanza in materia di organizzazione e procedure degli intermediari, Roma
2007.
BASEL COMMITTEE ON BANKING SUPERVISI0N, Compliance and the Compliance Function in
Banks, april 2005.
LA COMPLIANCE NELL'ATTUAZIONE DELLA DIRETTIVA MIFID, Implementation of the
Compliance Principles, a Survey, August 26, 2008.
BEREITA S., Valutazione del rischio e controllo interno, Egea, Milano 2004.
BEREITA S. - PECCHIARI N. Analisi e valutazione dei sistemi di controllo interni. Metodi e tecniche, Il
Sole 24 Ore Pirola, Milano, 2007.
BIRINDELLI G.- FERREITI P., Il rischio di compliance nelle banche italiane: stato dell' arte e criticità, in
Bancaria, n. 9 2007.
BOCCUZZI G., La funzione di compliance: il presidio dei rischi aziendali e l'evoluzione della normativa
Basilea 2 e Mifid, in Bancaria, n. 2. 2008.
CARRETTA A., Compliance e cultura bancaria relazione al Convegno Etica e regole nella finanza. La
funzione di compliance, Fondazione Gabriele Berionne, 5 dicembre 2006. Pubblicato su Facts & News,
gennaio-febbraio 2007.
CIVALE F., Profili applicativi della funzione di compliance nelle Assicurazioni e analisi comparata con le
norme Banca d'Italia - Consob, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute
sui modelli organizzativi, Milano, 14 e 15 aprile 2008.
CLEMENTE C., Le funzioni di internal audit e di compliançe: ruoli, responsabilità e ambiti di rispettiva
competenza, Convegno AIIA-AICOM, Milano, 2 luglio (2008).
D’AGOSTINO G., Novità nell’attività della funzione di compliance nel nuovo quadro normativo disegnato
dalla Mifid, Relazione al Convegno ABI, compliance in banks 2007. Introdurre in banca la funzione di
conformità, Roma, 24 e 25 ottobre 2007
17
D’AGOSTINO G., La funzione di controllo di conformità nella prestazione dei servizi di investimento,
Convegno AIA-AICOM, Milano, 2 luglio 2008.
DI ANTONIO M., Sistema dei controlli interni e sistema di compliance, Workshop ABI su La funzione di
compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano, 14 e 15 aprile 2008.
DURANTE G., Il rispetto delle norme da parte delle s. persone: profili giuslavoristici e spunti di riflessione
alla luce del nuovo Ccnl 2008", in Bancaria, n. 2, 2008.
ISVAP, Regolamento in materia di controlli interni, compliance, gestione dei rischi ed esternalizzazione
delle attività delle imprese di assicurazione, Regolamento n. 20 del 26 marzo 2008, Roama.
MUSILE TANZI P. (a cura di), Compliance risk nel!' evoluzione dei servizi di investimento: natura,
strumenti e aspetti organizzativi, Rapporto di ricerca SDA-Bocconi 2008.
SCHWIZER P., La collocazione organizzativa della funzione compliance: le possibili scelte e le relazioni
gerarchiche e funzionali, Workshop ABI su La funzione di compliance: evoluzioni normative e ricadute sui
modelli organizzativi, Milano, 14 e 15 aprile 2008.
SPADA L. La funzione di compliance per la prestazione dei servizi di investimento, Workshop ABI su La
funzione di compliance: evoluzioni normative e ricadute sui modelli organizzativi, Milano, 14 e 15 aprile
2008..
TARANTOLA A.M., Il sistema dei controlli interni nella governance bancaria, Banca d’Italia, Roma, 6
giugno 2008.
18