Osservatorio Compliance
Transcript
Osservatorio Compliance
Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Osservatorio Riflessi Organizzativi della Compliance nelle Banche Rapporto di Ricerca © CeTIF, 2007. Tutti i diritti riservati. Pagina 1 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA AUTORI: Hanno preso parte al Gruppo di Coordinamento Scientifico di CeTIF – Università Cattolica che ha curato i lavori dell’Osservatorio e la stesura del rapporto di ricerca: Prof. Mario Anolli Prof. Federico Rajola Dott.ssa Chiara Frigerio Dott. Massimo Mamino Dott. Michele Mozzarelli Dott.ssa Alessia Santuccio Pubblicato nel mese di gennaio 2007. Copyright © CeTIF, tutti i diritti riservati. PARTECIPANTI: Hanno partecipato ai lavori dell’Osservatorio e contribuito allo sviluppo dei temi oggetto del presente rapporto: ACCENTURE BANCA ALETTI BANCA NAZIONALE DEL LAVORO BANCA POPOLARE DI MILANO BANCA POPOLARE DI SONDRIO BANCO POPOLARE DI VERONA E NOVARA BNP PARIBAS BPU BANCA DATAMAT DEXIA CREDIOP FEDERAZIONE LOMBARDA DELLE BCC GRUPPO CREDITO VALTELLINESE GRUPPO ENGINEERING SANPAOLO IMI SANPAOLO SGR Sono intervenuti in qualità di relatori: AICOM - ASSOCIAZIONE ITALIANA COMPLIANCE BANCA D’ITALIA CREDIT SUISSE NEOS BANCA (GRUPPO SANPAOLO) DISCLAIMER: CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti d’informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle informazioni contenute nel presente rapporto. Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi in modo considerevole dagli effettivi riscontri ed eventi futuri. CeTIF declina fin d’ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni. © CeTIF, 2007. Tutti i diritti riservati. Pagina 2 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA INDICE Introduzione ..............................................................................................................................5 1. Lo scenario di riferimento.....................................................................................................8 2. Inquadramento giuridico.....................................................................................................10 2.1 La Funzione Compliance ..............................................................................................10 2.2 Responsabilità degli amministratori all’interno di organizzazioni complesse .............10 2.3 Doveri degli amministratori, dovere di corretta amministrazione ................................11 2.4 Procedimentalizzazione della diligenza........................................................................12 2.5 L’obiettivo della Compliance: rischio di non conformità e discipline rilevanti ...........14 2.6 La Compliance: gestione del rischio.............................................................................17 3. Costituzione della Funzione Compliance ...........................................................................20 3.1 Principi e linee guida per la costituzione della Funzione Compliance .........................20 3.2 Ruoli, responsabilità e modelli organizzativi................................................................25 3.3 Relazioni con le altre funzioni del Sistema dei Controlli Interni..................................33 3.4 Il Processo di Compliance ............................................................................................36 3.5 Flussi informativi e reportistica ....................................................................................63 3.6 Approccio realizzativo e infrastrutture tecnologiche....................................................69 3.7 I costi della Compliance................................................................................................80 4. La Funzione Compliance nella legislazione estera.............................................................83 © CeTIF, 2007. Tutti i diritti riservati. Pagina 3 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA © CeTIF, 2007. Tutti i diritti riservati. Pagina 4 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Introduzione Negli ultimi anni si è assistito a un progressivo aumento della sensibilità della clientela nei confronti del livello di affidabilità delle istituzioni finanziarie. Ciò ha imposto la creazione di un contesto nel quale sia possibile generare valore e presidiare nel contempo i rischi di maggiore impatto, sia mediante strumenti convenzionali di gestione del rischio operativo, di credito e di mercato sia tramite l’implementazione di strutture e presidi organizzativi dedicati, orientati al controllo dei cosiddetti rischi di compliance, legali e reputazionali, con l’obiettivo di garantire la conformità dei processi alle norme. Sebbene il rispetto della normativa sia essenziale, per creare valore è altresì necessario adottare una strategia volta a consolidare le relazioni fiduciarie con gli stakeholder di riferimento, finalizzata cioè a rendere visibile la responsabilità sociale d’impresa. Tale compito è assegnato alla Funzione Compliance, la quale è preposta a garantire la mitigazione del rischio reputazionale al quale è soggetto l’intermediario, tramite una sana e prudente gestione d’impresa. Affinché la Funzione Compliance possa operare efficacemente, è essenziale il coordinamento con le altre funzioni che presidiano il sistema dei controlli interni, internal audit e risk management. Per quanto riguarda, in particolare, le relazioni tra internal audit e Compliance, occorre garantire la reciproca indipendenza delle funzioni, gli ambiti di azione e di responsabilità, i perimetri di intervento. Ciò al fine di evitare sovrapposizioni e ridondanze nelle attività di controllo e disallineamenti nei confronti delle Autorità di Vigilanza. La volontà di approfondire il tema della Compliance attraverso un’attività di ricerca e confronto (Osservatorio) coordinata da un’istituzione avente carattere scientifico (CeTIF – Università Cattolica), deriva proprio dalla necessità di interpretare le recenti evoluzioni avvenute tanto nella pratica aziendale quanto negli indirizzi di Banca d’Italia e del legislatore stesso. Dalla mera aderenza a norme e regolamenti esterni, aventi carattere fortemente prescrittivo, l’orientamento oggi prevalente negli intermediari finanziari è infatti indirizzato alla diffusione di una “cultura della conformità” e alla conseguente adozione di codici di condotta in grado di garantire “ex ante” i livelli di conformità richiesti nei confronti di una Normativa sempre meno prescrittiva, che manifesta la volontà, da parte del legislatore e delle Autorità di Vigilanza, di puntare sull’efficacia complessiva del Sistema di Compliance, lasciando all’intermediario ampi margini di autonomia della definizione degli aspetti organizzativi della funzione e nella gestione delle relative attività. L’Osservatorio promosso da CeTIF si è pertanto concentrato sull’analisi dei riflessi organizzativi e tecnologici della Compliance, ovvero l’insieme delle procedure tecnicoorganizzative chiamate a presidiare il rischio di sanzioni, perdite o danni di immagine e reputazione cui la banca può andare incontro come conseguenza della mancata conformità del suo comportamento a leggi, regolamenti e codici di condotta di settore. © CeTIF, 2007. Tutti i diritti riservati. Pagina 5 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA L’attività di ricerca si è sviluppata nel periodo maggio – ottobre 2006, focalizzandosi sulle seguenti tematiche: - evoluzione del corpo normativo in relazione al tema della Compliance e interpretazione dello stesso; - analisi della Normativa di vigilanza in materia di conformità alle norme e suoi riflessi organizzativi; - costituzione della Funzione Compliance: - definizione di principi e linee guida; identificazione dei modelli organizzativi; descrizione del processo di Compliance e relativi flussi informativi; problematiche di governo della Compliance. soluzioni applicative e tecnologiche a supporto della Compliance. Con riferimento all’organizzazione degli incontri, è stata tenuta in considerazione la necessità di un confronto paritario tra i partecipanti, nonché il bisogno di stimolo a una partecipazione attiva e a un efficace knowledge sharing. È stata pertanto utilizzata, quale metodologia di riferimento, la formula del dibattito universitario, metodo orientato a garantire la completa simmetria di rapporto tra i partecipanti. Figura 1 – Organizzazione delle attività Alle istituzioni finanziarie aderenti all’iniziativa è stato anche richiesto un apporto in termini di individuazione degli orientamenti di interesse, condivisione di dati, informazioni e know-how, ricerca di case-study. Le aziende di servizi e i partner tecnologici CeTIF sono stati invece coinvolti con finalità di individuazione dei possibili approcci implementativi, di condivisione di know-how tecnologico, di confronto con le banche in merito all’individuazione di un’idonea infrastruttura tecnologica di supporto alle attività di © CeTIF, 2007. Tutti i diritti riservati. Pagina 6 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Compliance. Nell’ambito di questo tavolo di lavoro, CeTIF ha rivestito il ruolo di intermediario, coordinando il confronto e le attività di ricerca, elaborando i feedback ricevuti dai partecipanti, organizzando con essi le attività di approfondimento. Al fine di assicurare una visione allargata su un tema “di frontiera” quale quello della Compliance, sono stati previsti interventi da parte di relatori esterni, nonché l’esposizione di casi e progetti pilota provenienti dalle stesse istituzioni finanziarie. Per garantire, infine, la correttezza delle informazioni condivise, soprattutto per quanto concerne l’ambito normativo/giuridico, è stata programmata la partecipazione di docenti universitari ed esperti con competenze specifiche sugli argomenti oggetto di indagine (Banca d’Italia e AICOM – Associazione Italiana Compliance). Con riferimento alla raccolta dati, viene fornito un elenco delle metodologie utilizzate nel corso dei lavori, specificandone i relativi vantaggi: - Caso di Studio – Metodo strutturato, di utilizzo on-line, finalizzato alla raccolta di dati qualitativi. Tra i principali vantaggi, la possibilità di conoscere una realtà finanziaria classificabile come best practice nel settore di riferimento o con un’esperienza consolidata (good practice) nello sviluppo di un determinato tema. Il caso di studio offre l’opportunità di un confronto immediato tra i partecipanti, facilita l’individuazione delle linee guida per lo sviluppo di pratiche di eccellenza, consente l’identificazione di un modello teorico adattabile – con riferimento alle variabili critiche – alle specificità proprie delle diverse organizzazioni; - Template – Metodo strutturato, previsto per un utilizzo prevalentemente off-line, a supporto della raccolta di dati sia quantitativi che qualitativi. Tra i vantaggi del metodo, l’omogeneità nelle risposte, la possibilità di schematizzazione delle stesse, l’immediatezza nel confronto e nell’analisi dei dati raccolti. Il presente rapporto di ricerca è il risultato di un processo di analisi e comprensione dello stato dell’arte della Funzione Compliance nel settore bancario e si sviluppa sulla base di una rielaborazione, in chiave critica, dei contributi offerti da relatori e partecipanti all’Osservatorio (tanto nel corso dei lavori che off-line) e dei risultati dell’attività di approfondimento sul tema condotta dai ricercatori CeTIF. © CeTIF, 2007. Tutti i diritti riservati. Pagina 7 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 1. Lo scenario di riferimento I sistemi finanziari si sono sempre contraddistinti per la loro natura fiduciaria e il ruolo di sostegno alla stabilità dei mercati. Quanto affermato giustifica l’esigenza storica di una regolamentazione degli enti bancari, necessità divenuta improrogabile soprattutto a seguito delle evoluzioni del mercato. Il divenire globale del business e gli sviluppi tecnologici che hanno contribuito alla trasformazione dei mercati finanziari ne hanno aumentato la complessità, determinando l’esigenza di un controllo rigido del settore con finalità di prevenzione degli scandali le cui conseguenze, a ragione della scala globale degli strumenti finanziari, sono risultate talvolta così amplificate da rischiare di generare crisi economiche di una portata straordinariamente ampia. Tutto questo ha spinto il legislatore a favorire uno sviluppo controllato del settore finanziario, intervenendo tramite la leva della regolamentazione volta, negli ultimi anni, a individuare e prevenire, tra i rischi tipici di settore, anche quelli legati all'operatività e quelli di tipo legale e reputazionale. Tale obiettivo è stato perseguito anche attraverso un’autoregolamentazione trasparente e responsabile, che ponesse l’enfasi sulla responsabilizzazione degli intermediari finanziari – e dunque sulle forze endogene agli enti stessi – promuovendone l’autonomia, piuttosto che sulla predisposizione di interventi di natura governativa. Precisi orientamenti regolamentari del Comitato di Basilea hanno sottolineato l’importanza di adeguare i propri modelli organizzativi e operativi alle mutate e più complesse condizioni dei mercati. Tra le novità, emerge proprio la necessità di creare, all'interno di ogni singolo istituto, funzioni ad hoc che svolgano un'effettiva attività di monitoraggio interno ed esterno in relazione al tema della Normativa. In questo ambito rientra la costituzione di una Funzione Compliance interna alla banca, orientata a delineare le linee guida, presidiare e controllare il rispetto della “conformità” dell’azione (dell’intermediario) alle norme di regolamentazione e vigilanza; compito che deve tener conto del fatto che la conformità alla Normativa, come verrà evidenziato nel seguito del documento, è una responsabilità trasversale rispetto all’intera organizzazione e non localizzata presso una singola funzione o interesse di poche. La maggiore sensibilità dei diversi portatori di interesse verso l’adozione, da parte degli enti creditizi, di comportamenti improntati alla correttezza e alla trasparenza nell’agire fa emergere il concetto di rischio di compliance. E’ opportuno, infatti, ricordare che le banche sono tenute al rispetto di leggi e regolamenti promossi dalle autorità competenti sul corretto funzionamento e sulla gestione operativa dei mercati dei capitali, finalizzate al controllo di tale rischio. Il rischio di compliance è connesso all’esistenza di disposizioni da rispettare e ha per oggetto eventuali danni che possono derivare dall’inosservanza di tali disposizioni e che si concretizzano nell’imposizione di sanzioni da parte delle autorità (di carattere sia © CeTIF, 2007. Tutti i diritti riservati. Pagina 8 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA pecuniario che operativo), nell’obbligo di risarcimento nei confronti di soggetti danneggiati e in perdite di reputazione. La peculiarità del rischio di compliance, rispetto ad altre categorie di rischio, è strettamente collegata alla sua natura di rischio reputazionale, di immagine e strategico, di impatto sull’intera organizzazione. La sua particolare natura e potenziale gravità richiedono, inoltre, che venga affrontato secondo una logica ex ante, mediante attività orientate alla prevenzione piuttosto che alla repressione di comportamenti illeciti o non conformi. La Funzione Compliance viene definita dal Comitato di Basilea 1 come “An independent function that identifies, assesses, advises on, monitors and reports on the bank’s compliance risk of legal or regulatory sanctions, financial loss, or loss to reputations a bank may suffer as a result of its failure to comply with all applicable laws, regulations, codes of conduct and standards of good practice”. Essa è dunque l’insieme dei presidi organizzativi e operativi che gli intermediari sono chiamati a porre in essere con l’obiettivo di sviluppare una cultura della Compliance finalizzata al controllo del concreto rispetto delle indicazioni previste dalle regolamentazioni e dai codici di condotta vigenti. Ciò al fine di evitare sanzioni penali e pecuniarie, perdite finanziarie e limitare, più in generale, tutti quegli eventi che potrebbe compromettere direttamente o indirettamente la reputazione stessa della banca. La missione operativa attribuita alla Funzione Compliance dal Comitato di Basilea risulta essere particolarmente onerosa, poiché essa presenta un ambito di operatività ampio e diversificato a causa del suo carattere trasversale. Oneri aggiuntivi derivano poi dalla necessità di assicurare l’individuazione e la valutazione di tutti quei rischi che potrebbero comportare sanzioni legali, perdite finanziarie e di reputazione per il mancato rispetto di leggi, regolamenti, procedure, codici interni e pratiche di settore. 1 Compliance and the compliance function in banks, Basel Committee on Banking Supervision, 2005 (http://www.bis.org/publ/bcbs113.htm). © CeTIF, 2007. Tutti i diritti riservati. Pagina 9 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 2. Inquadramento giuridico 2.1 La Funzione Compliance La Funzione Compliance è stata definita come funzione che “governa un processo trasversale che consta di presidi organizzativi e operativi atti ad evitare disallineamenti con l’insieme delle regole esterne ed interne” (AICOM, Linee guida per la funzione di compliance). Si tratta di una funzione apicale ormai essenziale (v. a livello europeo il richiamo operato all’interno della “MiFID”, art. 13, 2004/39/CE) che si inserisce nel novero del cd. sistema di controllo interno, ossia l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana corretta e coerente con gli obiettivi prefissati. Un efficace sistema di controllo interno contribuisce infatti a garantire – si è osservato – la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilità dell’informazione finanziaria e, non ultimo, il rispetto di leggi e regolamenti (cfr. Borsa Italiana, Codice di Autodisciplina, 2006, 35). La Funzione Compliance si colloca dunque in una cornice sistematica complessa ed articolata che coinvolge direttamente ed immediatamente i vertici aziendali. Data tale correlazione tra la funzione e gli amministratori, l’inquadramento di questa da un punto di vista giuridico non può dunque prescindere da uno sguardo, seppure per sommi capi, all’attuale struttura di governance delle società medio-grandi. 2.2 Responsabilità degli amministratori all’interno di organizzazioni complesse È ormai punto condiviso che il livello di complessità dell’azione economica raggiunto dalle moderne imprese di dimensioni medio-grandi è tale da impedire che gli amministratori abbiano a disposizione tutti gli elementi per un intervento diretto sulle decisioni amministrative [Montalenti, La responsabilità degli amministratori nell’impresa globalizzata, in Mercati finanziari e sistema dei controlli (atti del convegno 1-2 ottobre 2004), Milano, 2005, 127]. Le ragioni di una simile affermazione sembrano poter essere individuate da un lato nella crescita prettamente dimensionale delle imprese in questione (anche a causa di operazioni di concentrazione), con l’inevitabile appesantimento strutturale che essa comporta; dall’altro, nell’introduzione di stakeholder, tanto nuovi quanto numerosi, che hanno condotto altrettanto necessariamente ad un aumento degli interessi rilevanti per l’azione imprenditoriale. Autorevolmente si è osservato che “l’evoluzione dei mercati finanziari, in termini di innovazione dei prodotti, di trasferimento di rischi e di proiezione internazionale, rende più complessi l’identificazione e il controllo dei comportamenti che possono costituire violazione delle norme, degli standard operativi, dei principi deontologici ed etici dell’attività di intermediazione” [Banca d’Italia, Normativa di vigilanza in materia di © CeTIF, 2007. Tutti i diritti riservati. Pagina 10 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA “conformità alle norme” (compliance), Documento per la consultazione, Agosto, 2006, 2]. Si pensi, quale esempio, all’esplosione di concetti prima tutto sommato univoci come “azionista” e “creditore” in una rosa di frammenti tra loro diversi (piccoli risparmiatori, investitori istituzionali, azionisti di controllo, minoranze qualificate, imprenditori, lavoratori, consumatori, istituti di credito, altri partner commerciali), rinvianti ciascuno alla propria specifica disciplina particolare. Con il risultato che la stessa condotta degli amministratori ha finito per dover tenere conto di molteplici istanze, non sempre tra loro compatibili, che hanno contribuito a rendere probabilmente meno netti gli obiettivi finali dell’alta direzione e sicuramente meno lineari le vie prescelte per raggiungere tali obiettivi. 2.3 Doveri degli amministratori, dovere di corretta amministrazione Osservata dal punto di vista dell’amministrazione dell’impresa in generale, e dell’impresa bancaria in particolare, questa realtà così intensamente variegata e indiscutibilmente complessa ha fortemente contribuito a mettere in crisi la disciplina della responsabilità gestoria degli organi apicali, con particolare riferimento al consiglio di amministrazione. Questa responsabilità viene tradizionalmente organizzata a seconda della categoria di obbligo violato, distinguendo così tra responsabilità per inosservanza di obblighi specifici (quali, per esempio, quelli relativi al capitale) e responsabilità per violazione di doveri generali (come il divieto di agire in conflitto di interessi o il dovere di diligente e corretta gestione) (Bonelli, La responsabilità degli amministratori, in Trattato delle società per azioni, 4, Torino, 1991, 323 ss.). In particolare, il criterio di corretta gestione si è trovato sottoposto ad un notevole stress interpretativo causato soprattutto dal fatto che, di fronte ad un danno prodotto dalla violazione di un qualsiasi obbligo, imposto dall’atto costitutivo ma soprattutto dalla legge, il criterio discriminante rimaneva di fatto il nesso causale tra la violazione in questione e la condotta del singolo amministratore. Quest’ultimo, avendo (o meglio, dovendo avere) il completo controllo dell’attività sociale, finalmente, rispondeva tutte le volte che non riusciva a dimostrare che il danno si era prodotto sebbene egli avesse fatto quanto in suo potere per vigilare sul generale andamento della gestione ed eventualmente intervenire per impedire il compimento di atti pregiudizievoli o, nella peggiore delle ipotesi, per eliminarne o attenuarne le conseguenze dannose. In altri termini, il limite della responsabilità si concretizzava nella “non conoscibilità” del fatto generatore del danno; non sarebbe invece stata sufficiente una mera “non conoscenza”, spesso invece qualificata in giudizio come confessione di inadempimento (Rabitti, Rischio organizzativo e responsabilità degli amministratori: contributo allo studio dell'illecito civile, Milano, 2004, 26). In questo senso anche la Suprema Corte per la quale, “l’art. 2392 c.c. [vecchio testo] impone a tutti gli amministratori un generale dovere di vigilanza sul complessivo andamento della gestione che non viene meno – come si evince dall’espressione “in ogni caso” di cui al secondo comma – neppure nell’ipotesi di attribuzioni proprie del comitato © CeTIF, 2007. Tutti i diritti riservati. Pagina 11 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA esecutivo o di uno o più amministratori. Pertanto, il Presidente del consiglio di amministrazione di una società di capitali, chiamato a rispondere come coobligato solidale per omissione di vigilanza, non può sottrarsi alla responsabilità adducendo che le operazioni integranti l’illecito sono state poste in essere con ampia autonomia da un dirigente della società medesima” (Cass. sez. lav., 11 aprile 2001, n. 5443, in Giur. comm., 2002, 437). Un simile sistema, basato tutto sulla condotta (nelle sue specificazioni di potere e responsabilità) del singolo amministratore, se era ancora in grado di offrire una risposta coerente ed adeguata rispetto alle violazioni commesse nell’adempimento di istanze attive ed immediatamente operative della gestione imprenditoriale (nelle società medio-grandi, di fatto, le decisioni strategiche), non poteva che entrare in crisi di fronte ad una struttura organizzativa che diventava sempre più complessa ed articolata, e che, come tale, richiedeva per il suo funzionamento non più solo decisioni schiettamente operative ma anche, ed in misura crescente, regolamentazione di carattere più propriamente organizzativo. Precisamente davanti a questo tipo di regole il criterio “personalistico” utilizzato per distribuire le responsabilità all’interno dell’impresa ha mostrato i suoi limiti, non potendo fisicamente un amministratore controllare ogni singolo atto organizzativo della struttura. Il moltiplicarsi degli adempimenti rilevanti, unito alla sostanziale “non delegabilità” dei medesimi da parte degli amministratori a causa della cennata tendenza giurisprudenziale secondo cui “la condotta omissiva per affidamento a terzi, lungi dal comportare esclusione da responsabilità, può costituire ammissione dell’inadempimento dell’obbligo di vigilanza” (Cass. 4 aprile 1998, n .3483, in Giust. civ., 1999, I, 1181), ha finito per condurre tanto ad eccessi rigoristici, che trasformavano la tradizionale responsabilità per colpa degli amministratori in responsabilità di posizione (specialmente in presenza di deleghe all’interno del consiglio di amministrazione); quanto, al contrario, ad ampie zone di impunibilità, basate sull’insuscettibilità della discrezionalità amministrativa di essere oggetto di un sindacato da parte del giudice, ma, di fatto, generate anche come reazione all’orientamento troppo rigido appena descritto. 2.4 Procedimentalizzazione della diligenza Di fronte a quest’incapacità della disciplina di rispondere adeguatamente alla realtà operativa, è iniziata ad emergere anche nel nostro Paese, sull’esempio di esperienze straniere, anglosassoni ma non solo, la valorizzazione e soprattutto il riconoscimento positivo della predisposizione di un’adeguata struttura organizzativa aziendale per l’esercizio dell’impresa. Il parametro dell’azione corretta viene così concretizzato in uno standard che prescrive modelli di organizzazione aziendale a) procedimentalizzata e trasparente nel suo svolgimento, b) formalizzata in modo da consentirne controlli di regolarità (anche) a priori e di efficienza a posteriori (Libonati, La società e l’impresa, Milano, 2004, 264). In tal senso è emersa una tendenza caratterizzata dal fatto che “the due © CeTIF, 2007. Tutti i diritti riservati. Pagina 12 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA care standard in a corporate context is applied not to the decision of the director, but rather to the decision-making process” (Hansen, The ALI Corporate Governance Project: of the Duty of Due Care and the Business Judgement Rule, a Commentary, in Bus. Lawyer., 1986, 1241). A partire da discipline settoriali (d.lgs. 626/1994; d.lgs. 231/2001; d.lgs. 196/2003) per poi diventare elemento diffuso in tutta la legislazione d’impresa, risulta così sempre più rilevante tale tendenza alla procedimentalizzazione dell’attività, che consente di individuare soggetti responsabili delle singole fasi del procedimento (Rabitti, Rischio, cit., 39). Con la riforma del diritto delle società di capitali, questa tendenza approda pure nel codice civile, trasformando “in principio giuridico di carattere “generale” la «adeguatezza» degli assetti interni dell’impresa, che, con riferimento a tipi particolari d’impresa e limitatamente ad uno o all’altro dei profili dai quali può essere riguardata, era già presente in qualche provvedimento legislativo… anche se giammai con riferimento all’universalità dei profili dai quali il principio stesso può essere considerato” (Buonocore, Adeguatezza, precauzione, gestione, responsabilità: chiose sull’art. 2381, commi terzo e quinto, del codice civile, in Giur. comm., 2006, I, 5 ss.). La nuova disciplina impone agli organi sociali la predisposizione (da parte degli amministratori delegati: art. 2381, co. 5, c.c.), la valutazione (da parte del consiglio di amministrazione: art. 2381, co. 3 c.c.), la vigilanza (da parte del collegio sindacale: art. 2403 c.c.) degli assetti organizzativi, amministrativi e contabili, al fine di garantirne l’adeguatezza rispetto all’attività e alle dimensioni della società. Si è rilevato che “gli amministratori dovranno approntare tutti i sistemi necessari ad assicurare che ogni fase della vita sociale, sia essa attinente al momento decisionale o a quello esecutivo, sia adeguatamente strutturata al fine di fare sì che il risultato prodotto corrisponda ad un parametro di amministrazione ritenuto corretto” (Toffoletto, in AA.VV., Diritto delle società di capitali, Manuale breve, Milano, 2005, 210). Ciò sulla base dell’idea per cui “soltanto un sistema integrato di operazioni coordinate è in grado di assicurare un risultato qualitativamente apprezzabile, in quanto, al ridursi della discrezionalità nelle diverse fasi del processo, si riducono parimenti le possibilità d’errore” (Toffoletto, Diritto, cit., 211). Di conseguenza divengono essenziali tanto una mappatura dei rischi, identificando le aree e i soggetti coinvolti nelle attività aziendali rilevanti, quanto una predisposizione di appositi protocolli per le singole procedure, senza trascurare poi una fase di verifica dell’efficienza ed adeguatezza di queste per la singola impresa, considerate sia la dimensione di quest’ultima che la natura dell’attività imprenditoriale svolta. In altre parole, gli amministratori devono predisporre “un sistema operativo complesso in ogni area dell’attività aziendale (organizzazione, amministrazione e contabilità) che consenta di gestire la società secondo i canoni di corretta amministrazione” (Toffoletto, Diritto, cit., 211). A tal proposito bene si è osservato che soprattutto con l’art. 2381 c.c. il legislatore non prescrive all’impresa (soltanto) una data forma o determinati minimi di capitale, “ma interviene per incidere sulle concrete modalità di organizzazione interna dell’attività di impresa, che è campo tradizionalmente lasciato all’autonomia decisionale dell’imprenditore” (Buonocore, Adeguatezza, cit., 6). © CeTIF, 2007. Tutti i diritti riservati. Pagina 13 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Non che la procedimentalizzazione non fosse già fenomeno diffuso nelle imprese (bancarie in particolare); la novità sta piuttosto nell’emersione di tale fenomeno da elemento puramente tecnico com’era a esplicito criterio giuridicamente rilevante, sul quale misurare in concreto la coerenza dell’operato degli amministratori con i canoni di corretta gestione imprenditoriale. Si possono, insomma, recuperare in un’ottica finalmente generale le considerazioni già svolte a proposito di una disciplina settoriale, secondo le quali “l’attenzione del legislatore si appunta sulle modalità concrete, operative, di svolgimento dell’attività; le norme scendono nel vivo dell’organizzazione dell’attività imprenditoriale, tratteggiandone profili operativi e gestionali” (Annunziata, Intermediazione mobiliare e agire disinteressato: i profili organizzativi interni, in BBTC, 1994, I, 636). Il parametro dell’azione corretta si estrinseca così in standard formalizzati, tali da permettere ex ante la valutazione di regolarità dell’assetto organizzativo, nonché, ex post, un controllo di efficienza. Ne deriva che la responsabilità amministrativa non sarà più (solo e) necessariamente parametrata sulla condotta operativa dell’amministratore, bensì dovrà tenere conto anche dell’obbligo (come pure dei limiti di questo) imposto all’organo amministrativo di assicurare un’efficiente organizzazione imprenditoriale e di far fronte ai compositi rischi che questa naturalmente comporta. 2.5 L’obiettivo della Compliance: rischio di non conformità e discipline rilevanti Date queste premesse è ora più agevole inquadrare la Funzione Compliance, esaminandone i due dati fondamentali, lo scopo e i mezzi necessari per raggiungerlo, che emergono dalla definizione proposta in apertura: quanto al primo dato, ossia allo scopo, si è detto che l’azione della Funzione Compliance è finalizzata ad evitare disallineamenti dell’attività imprenditoriale con l’insieme delle regole esterne ed interne; rispetto ai mezzi, invece, la soluzione prescelta è quella che fa leva sul governo di un processo trasversale che consta di presidi organizzativi e operativi. Concentrando l’attenzione sull’obiettivo della Funzione Compliance, si rileva che, tra i rischi che si possono limitare (anche) attraverso un’efficiente gestione, particolare importanza assume il cd. rischio di non conformità alle norme, cioè “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme di legge, di regolamenti, ovvero di norme di autoregolamentazione o di codici di condotta” (Banca d’Italia, Normativa, cit., 2). In via generale, si è riconosciuto che le norme maggiormente sensibili ad un “rischio di non conformità” così definito sono quelle che riguardano l’esercizio dell’attività di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e la disciplina posta a tutela del consumatore; esse tipicamente includono aree quali l’antiriciclaggio e il finanziamento di attività illecite, eventualmente anche dal punto di vista fiscale, tanto proprie quanto dei suoi clienti: una banca, che consapevolmente prende parte ad operazioni formalmente corrette, ma poste in essere dalla controparte con l’obiettivo di aggirare o comunque di sottrarsi all’applicazione delle norme, si espone ad un © CeTIF, 2007. Tutti i diritti riservati. Pagina 14 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA significativo rischio di non conformità (cfr. Banca d’Italia, Normativa, cit, ibidem; Basel Committee on Banking Supervision, Compliance and the compliance function in banks, April, 2005, 7). A quanto consta, però, nessuna autorità ha optato per una circoscrizione esplicita del perimetro ritenuto sensibile per la Funzione Compliance; il rischio di non conformità appare così riferirsi ad uno spettro decisamente ampio in termini di prescrizioni rilevanti, non determinato né – probabilmente – immediatamente determinabile. Cercando tuttavia un elemento comune a prospettive così diverse, una certa convergenza può essere individuata, soprattutto alla luce di quanto sopra riportato, nella natura prevalentemente organizzativa di queste norme, deputate non a gestire un singolo affare, unico e tendenzialmente non ripetibile negli stessi termini, bensì piuttosto ad informare un intero settore operativo, quando non l’intera attività della banca. Si tratta, in altre parole, di discipline di tipo strutturale, caratterizzate – implicitamente o esplicitamente – da una applicazione circolare, comprensiva di diverse fasi sintetizzabili nell’individuazione ed applicazione della normativa, nel monitoraggio della fase applicativa della normativa in questione, nella gestione dei flussi informativi provenienti dal monitoraggio e nella risoluzione delle anomalie in senso locale o sistematico, eventualmente modificando delle istruzioni relative alla fase applicativa, con conseguente ripetizione del ciclo (sul punto cfr. anche Banca d’Italia, Normativa, cit., 4). Scopo delle diverse discipline è quello di ridurre il rischio di non conformità attraverso procedure preventivamente valutate in grado di ridurre l’incidenza di comportamenti individuali illegittimi di manager e dipendenti, come pure il pericolo proveniente da pratiche illecite degli stessi clienti. In accordo con tali premesse, tanto le esperienze operative quanto la prima letteratura nazionale in proposito considerano, in tema di normativa primaria e - per quanto detto sopra - senza pretesa di completezza, “sensibili” dal punto di vista del rischio di non conformità: - la “disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, regolata dal d.lgs. n. 231/2001, il quale recepisce una serie di provvedimenti comunitari ed internazionali che spingono verso una responsabilizzazione della persona giuridica, individuando in tale intervento un presupposto necessario ed indefettibile per la lotta alla criminalità economica; - la legge sulla privacy, ossia la normativa a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, che prende avvio dalla l. 675/1996, parzialmente modificata cinque anni dopo con d.lgs. 28 dicembre 2001, n. 467, per trovare oggi spazio nel cd. codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) . L’articolata disciplina si basa sull’imposizione di obblighi formali funzionali alla trasparenza della disponibilità che taluno abbia di dati personali altrui (come oggi definiti ex art. 4, co. 1, lett. b), d.lgs. 196/2003) e dei trattamenti a cui li assoggetti; © CeTIF, 2007. Tutti i diritti riservati. Pagina 15 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA - la normativa antiriciclaggio, deputata a contrastare la criminalità finanziaria. Le linee di intervento sono state concretizzate dall’UE in tre direttive che hanno progressivamente ampliato la rete di controllo contro il riciclaggio, precisandone gli strumenti di contrasto. Le tre direttive sono nell’ordine: la direttiva 91/308/CE; la direttiva 01/97/CE; la direttiva 05/60/CE. In Italia i cardini della disciplina antiriciclaggio sono rappresentati in primis dal dl. 3 maggio 1991, n. 143 (convertito con modificazioni in l. 5 luglio 1991, n. 197) e dal d.lgs. 20 febbraio 2004, n. 56, che recepisce nel nostro ordinamento la seconda direttiva CE, la 01/97/CE. Quanto alla terza direttiva, la 05/60/CE, ne è previsto il recepimento con la legge “Comunitaria” 2005 (art. 22, l. 25 gennaio 2006, n. 29); - la disciplina relativa al cd. market abuse, regolata nel nostro Paese dalla legge comunitaria 2004 (l. 18 aprile 2005, n. 62), la quale ha dato attuazione alla Direttiva comunitaria 03/6/CE (c.d. Direttiva “Market Abuse”), incidendo, principalmente su due materie già regolate dal Testo Unico della Finanza: la disciplina dell’informazione societaria (con specifico riferimento alla materia delle comunicazioni al pubblico), e la regolamentazione degli illeciti (soprattutto, ma non solo, insider trading e manipolazione del mercato). Si tratta di materie strettamente connesse, nella misura in cui il rafforzamento delle norme in tema di informazione e trasparenza è direttamente funzionale alla prevenzione degli illeciti regolati dal medesimo provvedimento; - le nuove “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”, finalizzate al rafforzamento ed all’incremento di efficacia della tutela del risparmio investito in strumenti finanziari. Questa disciplina è stata introdotta con la legge n. 262 del 28 dicembre 2005, pubblicata in pari data nel supplemento ordinario n. 208 della Gazzetta Ufficiale, al termine di un lungo e complesso iter parlamentare. Il disegno riformatore è molto ampio ed eterogeneo. L’intervento legislativo tocca, infatti, la disciplina della governance delle società quotate; profili di trasparenza nei rapporti con società estere; le regole sulla circolazione degli strumenti finanziari; la materia dei conflitti d’interesse nelle attività finanziarie; le disposizioni in materia di servizi bancari, di regolamentazione dei mercati e informazione societaria; la disciplina della revisione dei conti; i rapporti fra le autorità di vigilanza e le regole relative ai procedimenti e all’organizzazione delle Autorità; la disciplina delle sanzioni penali e amministrative. Le modifiche riguardano principalmente le norme del Testo unico della finanza (d.lgs. n. 58/1998), del Testo unico bancario (d.lgs. n. 383/1993) e del codice civile; - nonché la disciplina in materia di sicurezza sul lavoro, che sembra dover far parte del novero almeno in forza della peculiare impostazione “procedimentalizzata”, tipica del d.lgs. n. 626/1994, il quale pur comportando modifiche limitate, seppur significative, alla precedente normativa, è piuttosto finalizzato ad una diversa impostazione del modo di affrontare le problematiche della sicurezza sul lavoro. “Le innovazioni tendono, infatti, a istituire nell’azienda un sistema di gestione © CeTIF, 2007. Tutti i diritti riservati. Pagina 16 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA permanente ed organico diretto alla individuazione, valutazione, riduzione e controllo costante dei fattori di rischio per la salute e la sicurezza dei lavoratori, mediante: la programmazione delle attività di prevenzione, in coerenza a principi e misure predeterminati; l’informazione, formazione e consultazione dei lavoratori e dei loro rappresentanti; l’organizzazione di un servizio di prevenzione i cui compiti sono espletati da una o più persone designate dal datore di lavoro, tra cui il responsabile del servizio – che può essere scelto anche nell’ambito dei dirigenti e dei preposti” (Circ. Min. Lav. n. 102, 7 agosto 1995). 2.6 La Compliance: gestione del rischio Dopo aver tratteggiato un perimetro minimo di normativa sensibile e, soprattutto, aver tentato di delineare gli elementi costitutivi di un criterio funzionale attraverso il quale individuare ulteriori discipline rilevanti, è opportuno affrontare l’esame dei mezzi con i quali rispondere adeguatamente al rischio di non conformità. Al fine di evitare disallineamenti con l’insieme di regole esterne ed interne, tutte le società, e gli istituti di credito in particolare, sono chiamate a dotarsi strumenti di autodisciplina dei processi decisionali e di controllo, in forma di norme comportamentali e standard procedurali, preventivamente valutati come idonei ad assicurare la correttezza del sistema” (Bartolomucci, Riflessioni in tema di adozione degli strumenti di previsione dei reati d’impresa con finalità esimente, in Società, 2003, 813). È appena il caso di notare, come del resto si è suggerito da più parti (Banca d’Italia, ma anche il Comitato di Basilea), che non esiste un modello di compliance ideale e universalmente valido; esso varierà invece al variare tanto del parametro dimensionale, quanto di quello strutturale (società monade o società di gruppo), quanto, se non soprattutto, di quello degli ambiti operativi in cui è attivo l’istituto di credito. Esistono però dei principi guida da seguire: le recentissime istruzioni di Banca d’Italia – pur nella loro forma ancora provvisoria – hanno evidenziato che, nell’ottica di approntare specifici presidi organizzativi volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione, tali strumenti di autodisciplina devono comprendere: una chiara e formalizzata individuazione e distinzione di ruoli e responsabilità ai fini della gestione del rischio, a tutti i livelli dell’organizzazione della banca; l’istituzione di un’apposita funzione incaricata della gestione del rischio; la nomina di un responsabile della conformità alle norme all’interno della banca; la redazione e formalizzazione di un documento interno concernente la funzione di conformità che indichi responsabilità, compiti, modalità operative flussi informativi, programmazione e risultati dell’attività svolta. Fatta questa premessa, spetterà all’autonomia privata il compito di predisporre presidi in grado di contrastare efficacemente il rischio di non conformità: trattandosi di un rischio diffuso che incide sulla “gestione ordinaria” della banca e all’interno delle sue linee © CeTIF, 2007. Tutti i diritti riservati. Pagina 17 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA operative, la gestione di quest’ultimo non potrà non riguardare ogni livello dell’organizzazione aziendale. I profili relativi alla costituzione della Funzione Compliance saranno approfonditi nel prosieguo; in questa sede è però opportuna qualche breve riflessione circa il ruolo in questa funzione degli organi apicali, e del consiglio di amministrazione in particolare, insistendo soprattutto su quest’ultimo tanto la disciplina generale del codice civile, quanto, e seppur in via gerarchicamente subordinata, la futura versione definitiva delle istruzioni di vigilanza di Banca d’Italia. Pur diramandosi fino ad innervare l’azione di ogni singolo dipendente, infatti, compliance starts at the top (v. per tutti, Basel Committee on Banking Supervision, Compliance, cit., 7). Dell’efficienza ed adeguatezza del sistema di gestione del rischio di non conformità alle norme rimangono, come si giustifica da quanto detto sopra, responsabili gli organi sociali, tanto il collegio sindacale quanto, e soprattutto, il consiglio di amministrazione. Quest’ultimo in particolare, sentiti i sindaci, approva le politiche di gestione del rischio e, almeno una volta l’anno, valuta l’adeguatezza della funzione di conformità alle norme; per tale secondo compito può avvalersi di un comitato costituito al suo interno. Questa valutazione prenderà le mosse da una relazione predisposta dagli organi delegati e dal direttore generale, ma, sembra, non potrà sempre esaurirsi nell’esame di tale relazione. Il consiglio di amministrazione, infatti, deve «valutare» l’adeguatezza e a tale scopo è quindi tenuto a richiedere ogni integrazione necessaria, là dove la relazione sia eccessivamente sintetica, reticente, incompleta o comunque non esauriente: “conclusione a cui si giunge linearmente … ove si colleghi sistematicamente la regola in esame al dovere individuale di «agire in modo informato» e di «chiedere agli organi delegati che in consiglio siano state fornite informazioni relative alla gestione della società» (art. 2381, comma 6)” (in questo senso, sebbene con riferimento più generale, Montalenti, La responsabilità, cit., 132). In conclusione, l’informativa non può limitarsi ad affermazioni apodittiche, dovendo, per contro consentire al consiglio, sul quale come detto rimane la responsabilità per l’adeguatezza del sistema della gestione del rischio, “una valutazione in concreto dei sistemi adottati, delle procedure seguite per verificarne l’efficienza e l’efficacia, della correttezza e dell’idoneità, dunque, delle metodologie di organizzazione e di controllo poste in essere (Montalenti, ibidem). D’altra parte, spetta agli organi delegati assicurare un’efficace gestione del rischio di conformità, a tal fine - identificando e valutando i principali rischi di non conformità a cui la banca è esposta, programmando i relativi interventi di gestione; - definendo adeguate politiche e procedure di conformità; - stabilendo canali di comunicazione efficaci per assicurare che il personale a tutti i livelli dell’organizzazione sia a conoscenza dei presidi di conformità relativi ai propri compiti e responsabilità; © CeTIF, 2007. Tutti i diritti riservati. Pagina 18 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA - verificando che le politiche e le procedure vengano osservate all’interno della banca; - nel caso che emergano violazioni, accertando che siano apportati i necessari rimedi; - delineando i flussi di comunicazione volti ad assicurare agli organi di vertice piena consapevolezza sulle modalità di gestione del rischio di non conformità (cfr. Banca d’Italia, Normativa, cit., 3). Inoltre, come si è visto, gli organi delegati, insieme con il direttore generale, hanno il compito di riferire al consiglio d’amministrazione e al collegio sindacale sull’adeguatezza della gestione del rischio di non conformità attuata dalla banca, fornendo tempestiva informazione su ogni violazione sostanziale della conformità alle norme. © CeTIF, 2007. Tutti i diritti riservati. Pagina 19 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 3. Costituzione della Funzione Compliance 3.1 Principi e linee guida per la costituzione della Funzione Compliance In base alla definizione del Comitato di Basilea e alla successiva normativa di vigilanza in materia di conformità alle norme 2 di Banca d’Italia, la Funzione Compliance governa un processo trasversale volto a presidiare il cosiddetto rischio di compliance. Per garantire che lo svolgimento di tale compito risponda a quei requisiti basilari di autonomia, indipendenza e autorevolezza senza i quali esso non potrebbe risultare realmente efficace, l’Associazione Italiana Compliance (AICOM) ha emanato un insieme di linee guida 3 per la Funzione (figura 2). Tale documento, sinteticamente esposto nell’ambito del presente paragrafo, è stato presentato e discusso nel corso della seconda giornata di lavori dell’Osservatorio. Figura 2 – Linee guida per la Funzione Compliance Fonte: rielaborazione da AICOM, 2006 1° principio: le responsabilità del consiglio di amministrazione e del senior management. Consiglio di amministrazione e senior management sono i responsabili del Processo di Compliance. Il consiglio di amministrazione, in quanto responsabile del sistema dei controlli interni, è anche il principale responsabile delle attività di Compliance e quindi il massimo supervisore dei relativi rischi. Tale responsabilità implica la definizione dei contenuti del 2 Normativa di vigilanza in materia di conformità alle norme, documento per consultazione, Banca d’Italia, agosto 2006. 3 Linee guida per la funzione di compliance, documento di discussione, AICOM, giugno 2006. © CeTIF, 2007. Tutti i diritti riservati. Pagina 20 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA mandato attribuito alla Funzione, l’approvazione dei piani e dei programmi oprativi, l’attribuzione alla Funzione di una dotazione infrastrutturale adeguata, la definizione dei flussi informativi da richiedere, la revisione periodica della struttura per garantirne adeguatezza, efficacia ed efficienza. Il senior management è responsabile della presenza permanente nell’organizzazione aziendale di una Funzione Compliance, dell’attribuzione alla medesima di un adeguato status formale nonché della concreta realizzazione di attività di Compliance all’interno dell’azienda/gruppo aziendale. A tal fine collabora con la Funzione nella definizione dei piani e programmi operativi e ne valuta l’adeguatezza. Congiuntamente al consiglio di amministrazione valuta almeno con cadenza annuale i risultati delle attività di Compliance effettuate, garantendo alla Funzione la costante adeguatezza strutturale per l’espletamento delle medesime. Il consiglio di amministrazione è responsabile della supervisione sia dei programmi di Compliance che degli interventi del senior management. 2° principio: il mandato I compiti, il posizionamento gerarchico e l’autorità attribuiti alla Funzione Compliance devono essere formalizzati per iscritto in un Mandato opportunamente approvato dal consiglio di amministrazione. Il Mandato esplicita e formalizza il ruolo, il posizionamento gerarchico, i compiti e l’autorità della Funzione Compliance. Più in dettaglio, è necessario che gli obiettivi indicati dal Piano di Compliance siano chiari, così come il grado di libertà e di autonomia assegnato alla Funzione, nonché le responsabilità nel processo di diffusione interna delle normative, i requisiti di reporting e le modalità/diritti di accesso alla informazioni aziendali. Con riferimento alle responsabilità, la loro corretta identificazione ed esplicitazione ex ante risulta essenziale per l’efficace operatività della Funzione, anche in relazione alla sua trasversalità rispetto alla catena operativa e al conseguente rischio di sovrapposizioni. 3° principio: i principi etici e la formazione L’azienda deve favorire lo sviluppo della cultura del controllo e promuovere e divulgare “Programmi Etici e di Compliance” per prevenire comportamenti illeciti e/o non conformi a regolamenti e normative. Le aziende devono promuovere la cultura della conformità e del controllo nell’ambito dei processi, anche tramite l’attivazione di specifici percorsi formativi oltre che divulgare programmi etici e di prevenzione dei rischi di Compliance. La formazione sulle specifiche materie di Compliance e sulle novità normative intervenute rientra nei compiti della Funzione, così come la sensibilizzazione continua delle risorse umane aziendali sui temi dell’integrità e dell’etica professionale. © CeTIF, 2007. Tutti i diritti riservati. Pagina 21 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA L’attività di formazione e di sensibilizzazione deve essere finalizzata ad approfondire la conoscenza delle normative rientranti nel perimetro di intervento della Funzione, a rendere consapevoli dei rischi di non conformità e delle conseguenze rivenienti dall’attuazione di comportamenti non conformi oltre che a promuovere e consolidare una cultura basata su principi etici che inducano sempre più a comportamenti corretti e conformi a regole esterne ed interne Per la realizzazione di tale attività di sensibilizzazione, informazione e formazione, la Funzione deve poter contare sul supporto delle altre funzioni aziendali tra cui, in particolare l’organizzazione e il personale. La formazione deve essere obbligatoria e certificata dall’azienda. 4° principio: il posizionamento organizzativo Il posizionamento della Funzione deve garantirle l’autorevolezza e l’autorità necessarie a consentirle di espletare di fatto il ruolo attribuitole con il Mandato. La Funzione deve essere indipendente e rispondere direttamente al consiglio di amministrazione che è il responsabile massimo della gestione del rischio di Compliance. I temi del posizionamento della Funzione Compliance nell’ambito della struttura organizzativa e della definizione dei rapporti con le altre funzioni facenti parte del Sistema dei Controlli Interni sono ancora ampiamente dibattuti. Pur nella salvaguardia dei livelli di autonomia garantiti ai singoli istituti finanziari, devono infatti essere salvaguardati i principi di autorità e autorevolezza del ruolo, nonché di indipendenza rispetto alle strutture operative. A tale proposito, il Mandato deve esplicitare le modalità con cui la Funzione si rapporta agli organi di vertice della banca – consiglio di amministrazione, comitato di audit, senior management - e interagisce con i referenti del processo di Compliance. Inoltre, il Mandato deve sancire l’indipendenza della Funzione dalle strutture operative – funzioni di business – e la giusta differenziazione dalle altre funzioni di controllo – risk management e internal audit – definendo esplicitamente i rispettivi ruoli e competenze e identificando eventuali sinergie. 5° principio: l’adeguamento infrastrutturale e l’organico La Funzione deve essere dotata di mezzi e risorse adeguati; flussi informativi e specifici percorsi formativi devono garantirle nel continuo l’acquisizione di quelle competenze necessarie a svolgere gli interventi previsti dal Mandato. A garanzia di un’efficace operatività, la Funzione Compliance deve poter disporre delle risorse umane e infrastrutturali necessarie all’espletamento dei suoi compiti. In particolare, con riferimento all’organico, sono richieste adeguate competenze in termini di conoscenza della Normativa, aggiornamento continuo, cultura di Compliance e rispetto dei principi etici. Altro fattore essenziale è la possibilità/capacità di accesso alle informazioni e ai dati © CeTIF, 2007. Tutti i diritti riservati. Pagina 22 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA aziendali, nonché la garanzia di un reporting proveniente dalle altre funzioni di controllo interne. Devono inoltre essere garantite adeguate strutture fisiche e tecnologiche di supporto agli scambi informativi. Il grado di adeguatezza della struttura di Compliance viene periodicamente valutato e comunicato al consiglio di amministrazione, divenendo uno degli elementi fondamentali di valutazione delle capacità della funzione di espletare i propri compiti e perseguire i propri obiettivi. 6° principio: le policy aziendali Le policy aziendali devono garantire alla Funzione l’espletamento del processo di Compliance e il completamento dei cicli di intervento. Il ruolo delle policy aziendali è essenziale per garantire alla Funzione Compliance il perseguimento degli obiettivi definiti e un’operatività efficace all’interno del contesto organizzativo. Esse devono pertanto garantire che alla Funzione sia assicurato: - l’espletamento di un processo di Compliance che possa realmente integrare nelle attività aziendali i presidi di prevenzione individuati dalla Funzione; - la produzione di adeguati flussi informativi; - l’aggiornamento e la formazione necessari a consentirle di intervenire sempre e tempestivamente sui processi; - un confronto continuo con il senior management su strategie/decisioni aziendali, anche tramite il coinvolgimento della Funzione nei diversi comitati/organismi aziendali (es. comitato nuovi prodotti, ecc.) nei quali le transazioni e i prodotti sono valutati alla luce del rischio di Compliance; - il reporting proveniente dalle varie funzioni di controllo del sistema, piena visibilità sulle analisi di rischio condotte dalle varie funzioni e pieno accesso alle risultanze emergenti dalle attività di audit; - la costante assistenza al senior management nell’identificazione delle principali issue emergenti dall’attività di Compliance e nella loro rimozione; - l’espletamento di un ciclo di Compliance efficace ed efficiente. 7° principio: la metodologia Le tecniche di identificazione, gestione e monitoraggio dei rischi di Compliance devono essere allineate e coerenti con quelle utilizzate nei processi di risk management e di controllo. Per lo sviluppo delle proprie metodologie la Funzione deve poter contare sulla collaborazione con le altre funzioni aziendali; in tal modo essa contribuisce al contenimento dei rischi di Compliance e, conseguentemente, alla definizione di processi conformi alle normative esterne. A tale scopo offre il proprio supporto consultivo e © CeTIF, 2007. Tutti i diritti riservati. Pagina 23 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA regolamentare alle strategie e al business aziendali, tutto ciò evitando conflitti all’interno dell’organizzazione. Tramite tecniche di assessment la Funzione aggiorna periodicamente il sistema dei controlli interni ai rischi di non conformità emergenti dall’evoluzione e dallo sviluppo del modello di business aziendale, quindi corregge nei processi l’eventuale inadeguata applicazione di normative interne ed esterne. Identificati i rischi, la Funzione propone l’introduzione di fattori di mitigazione e di controlli integrativi ritenuti necessari per il loro contenimento ai livelli desiderati o per la loro eliminazione. L’applicazione di tecniche di assessment configura un intervento di tipo “bottom up”: tramite l’assessment, infatti, i processi vengono analizzati e valutati in termini di rispondenza alle norme. Ciò consente la predisposizione di piani di intervento atti alla rimozione dei gap riscontrati. L’intervento della Funzione, trasferendo i principi etico/deontologici promossi dall’azienda, agevola così la diffusione della cultura della conformità e del controllo e favorisce l’acquisizione di competenze tecniche e di specifiche conoscenze sullo svolgimento dei processi. I risultati dell’assessment devono essere documentati e formalizzati dalla Funzione e riportare le necessità operative espresse dalle strutture coinvolte. 8° principio: il processo di Compliance La Funzione governa un processo trasversale che consta di presidi organizzativi e operativi atti ad evitare disallineamenti con l’insieme delle regole esterne ed interne. Il processo, opportunamente formalizzato, può riguardare la sola Capogruppo/più Aziende del Gruppo/l’intero Gruppo di riferimento. La Funzione governa tale processo esprimendo pareri e indicazioni sulle tematiche di propria competenza. La Funzione Compliance è il referente unico dell’intero processo di Compliance, in quanto interlocutore univoco del consiglio di amministrazione e del senior management sui rischi di Compliance. Essa infatti ha il compito di relazionare sui rischi di Compliance in una visione sistemica e d’insieme e d’individuare, in maniera condivisa con le altre funzioni facenti parte del sistema dei controlli, idonee soluzioni per la mitigazione/eliminazione dei rischi stessi. Obiettivo fondamentale del processo è l’allineamento alle regole interne ed esterne, perseguito tramite l’implementazione di opportuni presidi organizzativi e operativi messi in atto sia dalle risorse interne alla Funzione Compliance, sia da risorse appartenenti alle diverse aree operative. Il Processo di Compliance è descritto in maggior dettaglio nel Paragrafo 3.4. © CeTIF, 2007. Tutti i diritti riservati. Pagina 24 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 3.2 Ruoli, responsabilità e modelli organizzativi La Funzione Compliance è costituita con lo scopo di presidiare il rischio di non conformità. L’efficacia di tale presidio è legata allo sviluppo, all’interno dell’impresa, di una “cultura della conformità” avente carattere fortemente proattivo, che ponga l’accento sul conseguimento e mantenimento di elevati standard di onestà e affidabilità; in tale opera risulta basilare l’esempio fornito dagli organi amministrativi e dall’alta direzione. A tale proposito, i principi dettati dal Comitato di Basilea, recepiti dalla normativa di vigilanza in materia di conformità alle norme in fase di emissione 4 da parte di Banca d’Italia (rif. documento per consultazione, agosto 2006), definiscono come responsabile ultimo della gestione del rischio di compliance all’interno della banca, il consiglio di amministrazione. Sotto il profilo più strettamente operativo all’alta direzione, coadiuvata dalla Funzione Compliance, spettano i seguenti compiti: - valutazione annuale delle principali fonti di rischio di conformità cui la banca deve far fronte e delle eventuali carenze nella gestione di tale rischio; - reporting annuale all’organo amministrativo responsabile della Compliance in merito alla gestione delle politiche di conformità; - reporting occasionale all’organo amministrativo responsabile della Compliance in caso di eventuali lacune riscontrate nelle attività di Compliance. La già citata normativa di vigilanza mira a salvaguardare la discrezionalità delle singole banche nell’organizzare la funzione di conformità in coerenza con le proprie peculiarità dimensionali e operative nonché con l’assetto organizzativo e strategico della gestione dei rischi, purché: 4 - sia indipendente (rispetto alle aree operative). A tal fine è necessario che: vengano formalizzati lo status e il mandato della funzione attraverso l’indicazione di compiti, responsabilità, addetti, prerogative, flussi informativi diretti agli organi di vertice; venga nominato un responsabile indipendente (cioè senza responsabilità diretta di aree operative né gerarchicamente dipendente da soggetti aventi la responsabilità di tali aree); sia assicurata la presenza di adeguati presidi per prevenire i conflitti di interesse attraverso, in particolare, la previsione di flussi informativi separati e dedicati. Viene inoltre sancito il principio di separatezza della funzione rispetto alla revisione interna; - sia dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere. Sotto il profilo delle risorse umane, va rilevato che le attività di conformità possono essere svolte da personale inserito in una struttura organizzativa dedicata e gerarchicamente dipendente dal responsabile della funzione ovvero da dipendenti integrati nelle diverse aree operative. Indipendentemente dalla soluzione organizzativa prescelta, il personale che svolge Al momento della stesura del presente rapporto (ndr). © CeTIF, 2007. Tutti i diritti riservati. Pagina 25 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA funzioni di conformità deve essere adeguato per: numero; competenze tecnicoprofessionali; aggiornamento, anche attraverso l’inserimento in programmi di formazione nel continuo. Inoltre, attraverso l’attribuzione di risorse economiche eventualmente attivabili anche in autonomia, dovrà essere consentito alla funzione il ricorso a consulenze esterne, in relazione alla particolare complessità di specifiche innovazioni normative e/o operative; - abbia accesso a tutte le attività della banca svolte sia presso gli uffici centrali sia presso le strutture periferiche nonché a qualsiasi informazione rilevante per lo svolgimento dei propri compiti, anche attraverso il colloquio diretto con il personale. Inoltre, le banche di dimensioni contenute o caratterizzate da una limitata complessità operativa potranno affidare lo svolgimento della funzione di conformità alle strutture esistenti incaricate della gestione dei rischi o a soggetti terzi (es. altre banche, società di revisione ovvero organismi associativi di categoria), purché dotati di caratteristiche idonee in termini di professionalità e indipendenza. Resta in ogni caso ferma la necessità di nominare un responsabile della funzione all’interno dell’azienda, al quale spetta il compito di referente interno per il soggetto incaricato della funzione nonché la complessiva supervisione dell’attività di gestione del rischio, posto che la responsabilità per la corretta gestione del rischio di non conformità resta in capo alla banca. Per le banche organizzate in strutture di gruppo alcune attività di conformità potranno invece essere accentrate, al fine di conseguire economie di scala e creare unità specializzate all’interno del gruppo medesimo; resta, comunque, fermo che in ciascuna banca del gruppo dovrà essere nominato un responsabile della conformità, che costituirà il referente della corrispondente struttura di gruppo. Sempre in riferimento alla normativa di vigilanza, i principali adempimenti che la Funzione Compliance è chiamata a svolgere sono: - l’identificazione nel continuo delle norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali; - la proposta di modifiche organizzative e procedurali finalizzata ad assicurare adeguato presidio dei rischi di non conformità identificati; - la predisposizione di flussi informativi a tutte le strutture interessate (organi di vertice, revisione interna, gestione del rischio operativo); - la verifica dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operativi e commerciali) suggeriti per la prevenzione del rischio di conformità. In relazione ai molteplici profili professionali richiesti per l’espletamento di tali adempimenti, le varie fasi in cui si articola l’attività della funzione di conformità possono essere affidate a strutture organizzative diverse già presenti nella banca (es. legale, © CeTIF, 2007. Tutti i diritti riservati. Pagina 26 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA organizzazione, gestione del rischio operativo), con la sola esclusione della funzione di revisione interna, purché il processo di gestione del rischio e l’operatività della funzione siano ricondotti ad unità mediante la nomina di un responsabile (Compliance Officer) dotato di adeguati requisiti di indipendenza, autorevolezza e professionalità, che coordini e sovrintenda alle diverse attività, anche attraverso la predisposizione di un apposito programma di attività. Inoltre, la funzione di conformità deve essere coinvolta nella valutazione ex ante della conformità alla regolamentazione di riferimento di tutti i progetti innovativi che la banca intenda intraprendere nonchè nella prevenzione e nella gestione dei conflitti di interesse, sia tra le diverse attività svolte dalla banca sia con riferimento ai dipendenti e agli esponenti aziendali. Altra area di particolare rilievo in cui la funzione di conformità deve costituire un importante punto di riferimento per le decisioni degli organi di vertice è rappresentata dalla verifica della coerenza del sistema premiante (in particolare retribuzione e incentivazione del personale) con gli obiettivi di rispetto delle norme, dello statuto nonché di eventuali codici etici o altri standard di condotta applicabili alla banca. Rientrano nell’ambito della funzione di conformità anche la consulenza e assistenza nei confronti degli organi di vertice della banca in tutte le materie in cui assume rilievo il rischio di non conformità nonché la collaborazione nell’attività di formazione del personale al fine di prevenire il rischio di non conformità attraverso la conoscenza delle disposizioni applicabili alle attività svolte e di favorire la diffusione di una cultura aziendale improntata ai principi di onestà, correttezza e rispetto dello spirito e della lettera delle norme. Nel corso dei lavori dell’Osservatorio sono stati presentati e discussi casi ed esperienze locali ed internazionali. Dalla sintesi che ne è seguita sono emersi i seguenti approcci, piuttosto ricorrenti nell’implementazione della Funzione Compliance: - costituzione di una specifica funzione; - attribuzione di competenze specifiche ad altre funzioni (preesistenti); - attribuzione di indipendenti; - presenza, all’interno della banca, di soggetti a cui vengono delegate specifiche funzioni di controllo; - attribuzione di competenze specifiche (o ibride) a comitati già attivi, aventi compiti consultivi o deliberativi; - attribuzione di compiti di verifica a organismi di controllo esterni alla banca. competenze specifiche a consiglieri di amministrazione Nell’ambito del campione di banche partecipanti all’Osservatorio (12 istituzioni complessivamente) è presente una struttura dedicata, anche se diversamente articolata sul piano organizzativo, nell’86% dei casi. © CeTIF, 2007. Tutti i diritti riservati. Pagina 27 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Un’indagine recentemente condotta per AICOM – Associazione Italiana Compliance dalle Università degli Studi di Perugia e Roma Tre su un campione più esteso di aziende (33), prevalentemente costituito da primarie banche nazionali e diverse tra le maggiori banche estere operanti in Italia (complessivamente, 29 intermediari finanziari), evidenzia (figura 3) la presenza di un’unità che si occupa di Compliance nel 70% dei casi. Figura 3 – Presenza di un’unità di Compliance Fonte: AICOM, Università degli Studi di Perugia, Università degli Studi di Roma Tre, 2006 Fra le aziende che hanno già un’unità di Compliance (70% del campione AICOM), il 65% ha istituito un’unità apposita (Funzione Compliance) mentre il restante 35% ha assegnato le funzioni di Compliance a unità preesistenti. Sempre in relazione a questi aspetti, una ricerca condotta su un vasto campione di banche statunitensi 5 ha consentito di individuare cinque differenti modelli organizzativi per la Funzione Compliance: 1. la responsabilità della Compliance è affidata a un unico soggetto (Compliance Officer) non coadiuvato da un ulteriore staff; 2. la divisione centrale di Compliance (Funzione Compliance) coordina anche quella parte di risorse inserita in altre funzioni aziendali; 3. le attività di conformità svolte da altre funzioni fanno riferimento alla divisione Compliance; 4. la divisione Compliance è dotata del proprio e autonomo staff; 5. la divisione Compliance è costituita a livello centrale del gruppo e coordina altre funzioni Compliance dislocate sia sul territorio che in altre divisioni del gruppo. 5 American Banking Association (ABA), “The nationwide Bank Compliance Officer Survey”, in ABA Banking Journal, Compliance Watch, 2003. Nello studio vengono considerate 1000 banche, classificate in 3 classi: attivo inferiore ai 1 mld di dollari, superiore a 5 mld e compreso tra i due valori. © CeTIF, 2007. Tutti i diritti riservati. Pagina 28 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA I risultati di questa ricerca evidenziano, in modo piuttosto forte, due linee di tendenza. In primo luogo, si tratta di modelli organizzativi piuttosto schematici (archetipi) che, nella pratica, tendono a sovrapporsi con una certa facilità; inoltre, all’aumentare della dimensione dell’intermediario (in termini di attivo di bilancio) cresce la percentuale di banche dotate di una Funzione Compliance specificatamente costituita, anche se non necessariamente autonoma (figura 4). Figura 4 – Modelli organizzativi adottati Fonte: P. Pogliaghi, W. Vandali, “La Compliance in Banca”, pag. 58, Bancaria Editrice, 2005 Queste ed altre considerazioni, maggiormente legate ai recenti sviluppi della normativa in materia di Compliance, hanno portato il gruppo di lavoro ad identificare due possibili modelli organizzativi (archetipi) per la costituzione della Funzione Compliance: Modello Accentrato – Nel modello accentrato la Funzione Compliance è autonoma e dotata di risorse adeguate, per numero e professionalità, a controllare le specifiche attività di ciascuna unità organizzativa, integrandosi in modo armonico nel sistema dei controlli interni della banca (internal audit e risk management). Si tratta di un modello organizzativo piuttosto oneroso in termini di risorse e come tale adatto alle banche di maggiori dimensioni o ai gruppi bancari, per i quali può risultare, invece, conveniente accentrare alcune delle attività di conformità nell’ambito delle strutture di gruppo (fermo restando, come già evidenziato, la necessità di nominare un responsabile della conformità in ognuna delle banche facenti parte del gruppo, in veste di referente). L’efficacia del modello, potenzialmente elevata, dipende dalla capacità di non creare un’eccessiva burocratizzazione e duplicazione di competenze tra i soggetti che, a diverso titolo, operano all’interno dei processi bancari. © CeTIF, 2007. Tutti i diritti riservati. Pagina 29 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Modello Decentrato – Questo modello prevede che la responsabilità della Compliance sia posta in capo ad un soggetto (Compliance Officer) che coordina e controlla le attività di conformità a leggi, regolamenti e standard, operativamente realizzate dalle altre unità organizzative della banca. Nella sua funzione di coordinamento e controllo, il Compliance Officer può avvalersi della collaborazione delle altre funzioni facenti parte del sistema dei controlli interni (internal audit e risk management). Si tratta di un modello più facilmente applicabile, rispetto a quello accentrato, alle banche di dimensione più piccola, caratterizzate da attività semplici, un grado di sofisticazione dei prodotti offerti piuttosto basso e una limitata complessità territoriale. In questi casi, come abbiamo già rilevato, la figura del Compliance Officer può coincidere con quella del responsabile della gestione dei rischi e la gestione delle attività di conformità può essere affidata, almeno in parte, a soggetti terzi, sulla base di specifici contratti di servizio che (almeno) definiscano gli obiettivi della funzione, la frequenza minima dei flussi informativi nei confronti del responsabile interno all’azienda (Compliance Officer) e degli organi di vertice, fermo restando l’obbligo di corrispondere tempestivamente a qualsiasi richiesta di informazioni e consulenza da parte di questi ultimi, gli obblighi di riservatezza delle informazioni acquisite nell’esercizio della funzione, la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche nell’operatività e nell’organizzazione della banca. Nella pratica, si assisterà al diffondersi di varianti di questi due modelli, il cui grado di accentramento (o decentramento) dipenderà dalle peculiarità di ogni singola banca in relazione a temi quali le politiche di presidio del rischio (in generale e di compliance in particolare), le strategie organizzative, la disponibilità di risorse con adeguati livelli di professionalità, il rapporto tra i costi di implementazione e gestione e i benefici potenzialmente ottenibili, l’esistenza di sinergie nell’ambito di strutture di gruppo o di strutture a rete (es. Credito Cooperativo). Per quanto riguarda il posizionamento organizzativo della Funzione Compliance, la citata indagine promossa da AICOM evidenzia la seguente distribuzione (figura 5): Figura 5 – Posizionamento organizzativo della Funzione Compliance (I) Fonte: AICOM, Università degli Studi di Perugia, Università degli Studi di Roma Tre, 2006 © CeTIF, 2007. Tutti i diritti riservati. Pagina 30 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Ove non attribuite ad una unità costituita in forma autonoma, le funzioni di Compliance risultano assegnate come segue (figura 6): Figura 6 – Posizionamento organizzativo della Funzione Compliance (II) Fonte: AICOM, Università degli Studi di Perugia, Università degli Studi di Roma Tre, 2006 Le 12 banche partecipanti all’Osservatorio CeTIF (figura 7) evidenziano un maggiore orientamento a collocare la Funzione Compliance (che ricordiamo essere presente con una struttura dedicata nell’86% dei casi) a riporto degli organi di vertice (amministratore delegato / consiglio di amministrazione o direzione generale). Figura 7 – Posizionamento organizzativo Funzione Compliance (III) Altra Area / Funzione 14% Risk Management 14% Internal Audit 14% Amministratore Delegato / CdA 29% Direzione Generale 29% Fonte: CeTIF, 2006 Per quanto riguarda i meccanismi di coordinamento con gli organi di vertice attualmente posti in essere, tutte le banche partecipanti all’Osservatorio evidenziano la presenza di relazioni formalizzate, prevalentemente basate su incontri periodici e meccanismi di reporting. Non si evidenzia la presenza di comitati né di flussi di sistema informativo. © CeTIF, 2007. Tutti i diritti riservati. Pagina 31 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Giova ricordare, anche in relazione ai posizionamenti organizzativi rilevati, che la già citata normativa di Banca d’Italia, pur “salvaguardando la discrezionalità delle singole banche nell’organizzare la funzione di conformità in coerenza con le proprie peculiarità dimensionali e operative nonché con l’assetto organizzativo e strategico della gestione dei rischi”, sancisce il principio di separatezza della funzione rispetto alla revisione interna e la necessità di definire un flusso informativo diretto e separato, da parte della funzione, nei confronti degli organi di vertice della banca. In particolare, “riguardo alla separatezza delle due funzioni si è rilevato che alcune banche si sono già dotate di strutture incaricate della conformità, collocando organizzativamente i relativi compiti nella funzione di revisione interna. In proposito, si fa presente che l’adeguamento alle nuove istruzioni di vigilanza potrà avvenire in modo graduale, fermo restando che entro 12 mesi dalla pubblicazione delle istruzioni stesse (non ancora pubblicate in forma ufficiale, ndr) le due funzioni dovranno essere rese organizzativamente e operativamente separate e indipendenti”. Ove formalmente definita, nelle banche partecipanti all’Osservatorio la Funzione Compliance evidenzia la seguente struttura: Dimensione: da 3 a 8 persone. Provenienza tipica del personale (per cultura e formazione): - area legale; - area organizzazione; - aree operative e internal audit. Differenziazione dei ruoli: - responsabilità aspetti legali; - responsabilità aspetti organizzativi; - responsabilità attività di monitoraggio. Livello di centralizzazione delle decisioni nella figura del Compliance Officer: - mediamente centralizzato. Collocazione organizzativa della Funzione: - nella capo gruppo; - interna alla banca. © CeTIF, 2007. Tutti i diritti riservati. Pagina 32 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 3.3 Relazioni con le altre funzioni del Sistema dei Controlli Interni La Funzione Compliance si inserisce nel quadro complessivo del sistema dei controlli interni con il fine di controllare e gestire il rischio di non conformità, concorrendo ad assicurare la corretta gestione della banca e il raggiungimento degli obiettivi aziendali. Analogamente alle altre componenti del sistema dei controlli, adeguatezza ed efficacia della funzione sono oggetto di verifica periodica da parte dell’internal audit. Rilevanti interrelazioni sussistono tra la funzione di conformità e diverse altre funzioni aziendali (revisione interna, gestione del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi del D.Lgs. 231/2001, ecc.). La collaborazione con tali funzioni consente a quella di conformità di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, assicurando nel contempo processi conformi alle normative esterne e ausilio consultivo. Ai fini di un corretto inquadramento della Funzione Compliance nell’ambito del sistema dei controlli interni, si è ritenuto utile approfondire le relazioni che intercorrono con le funzioni internal audit e operational risk management. Compliance e Internal Audit Il principio di indipendenza della funzione di conformità non preclude in alcun modo la possibilità e l’opportunità di una stretta collaborazione con altre aree aziendali e, in particolare, con la funzione di internal audit. L’indipendenza della funzione, in un contesto caratterizzato da forti interrelazioni, viene infatti assicurata attraverso la formalizzazione del mandato, che ne sancisce l’autonomia rispetto sia alle strutture operative sia a quelle di controllo interno e attraverso la definizione espressa di ruoli e competenze. Data la contiguità tra le due attività, dovranno essere chiaramente individuati e comunicati all’interno della banca i compiti e le responsabilità delle due funzioni, in particolare per quanto specificamente attiene alla suddivisione delle competenze in materia di misurazione dei rischi, alla consulenza in materia di adeguatezza delle procedure di controllo nonché alle attività di verifica delle procedure medesime. Specifica attenzione dovrà essere posta nell’articolazione dei flussi informativi tra le due funzioni; in particolare il responsabile della revisione interna dovrà informare il responsabile della conformità delle eventuali inefficienze nella gestione del rischio di conformità emerse nel corso delle attività di verifica di competenza della funzione di revisione interna. Come abbiamo già evidenziato, l’applicazione di tecniche di assessment da parte della Funzione Compliance configura un intervento di tipo “bottom up”: tramite l’assessment, infatti, i processi vengono analizzati e valutati in termini di rispondenza alle norme al fine di predisporre piani di intervento atti alla rimozione dei gap riscontrati. Questo modus operandi distingue la Funzione di Compliance da quella di internal audit; quest’ultima, infatti, dovendo esprimere una valutazione sull’adeguatezza del sistema dei controlli © CeTIF, 2007. Tutti i diritti riservati. Pagina 33 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA interni, concentra i propri sforzi sul presidio complessivo di tutti i rischi (non solo quelli di conformità); con approccio di tipo “top down”, interviene perciò con verifiche analitiche solo sui processi ritenuti rischiosi. Sul piano delle possibili sinergie tra le due funzioni, questa differenza di approccio costituisce la base per lo sviluppo di piani d’azione complementari, tesi a garantire, da un lato, maggiore efficacia e efficienza al presidio dei rischi emergenti dai singoli processi (obiettivo di audit), dall’altro, la conformità degli stessi a norme e regolamenti in vigore (obiettivo di compliance). Per quanto riguarda i meccanismi di coordinamento tra le due funzioni, le banche partecipanti all’Osservatorio evidenziano la presenza di relazioni sia informali che formalmente strutturate, anche mediante la definizione di specifici flussi informatici. Compliance e Operational Risk Management La Funzione Compliance è posta a presidio del rischio di conformità, definito 6 come “il rischio di sanzioni legali e di perdite finanziarie o di reputazione, che la banca potrebbe soffrire come risultato del fallimento della conformità a leggi, regolamenti, regole, standard autoregolatori e codici di condotta applicabili alle attività bancarie”. Si tratta di un portafoglio di rischi fortemente eterogenei con riflessi in termini di applicabilità di tecniche di misurazione, anche in relazione alla disponibilità di dati di perdita e sovrapposizione con i rischi operativi, gestiti dalla funzione di operational risk management e definiti 7 come “il rischio di perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure derivanti da eventi esogeni, includendo nel novero di questi rischi quello legale, ma escludendo esplicitamente i rischi strategici e di reputazione”. Tanto i rischi di conformità che quelli operativi originano dal mancato o dall’inefficiente presidio di alcuni ambiti di operatività aziendale. Un efficace raccordo con l’operational risk management può pertanto valorizzare il contributo della Funzione Compliance per ciò che concerne: - la condivisione o mediazione di efficaci presidi organizzativi, regole, infrastrutture tecniche e metodologiche di misurazione dei rischi, già posti in essere con l’obiettivo di assicurare in ogni momento l’allineamento tra la propensione al rischio definita dal vertice aziendale e l’esposizione effettiva risultante dalle operazioni finanziarie effettuate; - la misurazione di rischi “condivisi” (rischi legali, oneri connessi con contestazioni/reclami della clientela, altre perdite monetarie). 6 Comitato di Basilea, “La Compliance e la funzione Compliance nelle banche”, Basilea, aprile 2005, p.7. 7 Comitato di Basilea, “Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali”, Basilea, giugno 2004, p.120. © CeTIF, 2007. Tutti i diritti riservati. Pagina 34 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Con riferimento a quest’ultimo punto (presidio dei rischi condivisi) si ritiene possibile 8 realizzare, tra le due funzioni, lo scambio dei seguenti contributi in forma strutturata e continuativa: Funzione Compliance Æ Funzione Operational Risk Management - attività di risk assessment, interviste ai process/risk owner, presidio metodologico e coordinamento delle attività di control risk self assessment; - raccolta dei dati di perdita; - verifica dell’idoneità dei presidi sui rischi operativi. Funzione Operational Risk Management Æ Funzione Compliance - serie storiche e stime sull’esposizione ai rischi; - mappatura dei processi e analisi dei rischi. Nell’opinione delle banche partecipanti all’Osservatorio, i meccanismi di coordinamento tra le due funzioni vedono la presenza di relazioni sia informali che formalmente strutturate. Non sono attualmente definiti specifici flussi informatici. 8 Claudio Clemente, Vigilanza sugli Enti Creditizi, Banca d’Italia, “La Funzione di Compliance nelle banche italiane: evoluzione normativa e contributo alla creazione del valore”, convegno AICOM, Roma, 28 giugno 2006. © CeTIF, 2007. Tutti i diritti riservati. Pagina 35 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 3.4 Il Processo di Compliance Sulla base delle linee guida recentemente emesse da AICOM – Associazione Italiana Compliance e con riferimento alla già citata normativa di vigilanza in materia di conformità alle norme, il Processo di Compliance può essere definito come: “un processo trasversale, costituito da presidi organizzativi e operativi aventi l’obiettivo di evitare disallineamenti rispetto al sistema di norme e regolamenti in vigore” Il Compliance Officer governa tale processo in qualità di referente unico del consiglio di amministrazione (owner del processo) e del senior management in materia di Compliance, sulla base del mandato ricevuto e dei principi e linee guida definiti dalla banca. Nel presente paragrafo il Processo di Compliance viene descritto in modo strutturato 9 , con riferimento al modello organizzativo accentrato (banca singola) descritto nel paragrafo precedente, sulla base di un formalismo ampiamente utilizzato nella pratica aziendale, così da renderne i contenuti immediatamente fruibili da parte dell’alta direzione, del Compliance Officer e di tutti coloro che, a diverso titolo e con diversi gradi di responsabilità, sono coinvolti nelle attività di Compliance sia a livello decisionale che operativo. Si tratta di una descrizione adattabile, con uno sforzo limitato, a modelli accentrati di gruppo o a modelli decentrati, in tutte le loro varianti (inclusa l’opzione di outsourcing). La notazione utilizzata prevede la scomposizione del processo in sotto-processi, fasi e attività (o operazioni), queste ultime non ulteriormente scomponibili (o non ulteriormente scomposte nell’ambito del paragrafo). In particolare, un sotto-processo è costituito da più fasi tra loro logicamente correlate in funzione del raggiungimento di un obiettivo comune ed è caratterizzato dai seguenti attributi: missione (la finalità del sotto-processo), responsabilità (la figura o funzione responsabile del coordinamento ed esecuzione delle attività facenti capo al sotto-processo), evento scatenante (il fattore di innesco del sottoprocesso). Una fase è una sequenza ordinata di attività elementari finalizzate al raggiungimento di uno scopo ed è caratterizzata dai seguenti attributi: descrizione (lo scopo della fase), decisore (la figura o funzione responsabile del raggiungimento dello scopo), responsabile esecutivo (la figura o funzione responsabile dell’esecuzione delle diverse attività), figure o funzioni da consultare (che possono contribuire all’esecuzione delle attività), figure o funzioni da informare (che devono essere tenute costantemente al corrente delle attività e del relativo stato di avanzamento), attività (le operazioni elementari che costituiscono la fase), criticità (i fattori che possono determinare il raggiungimento o meno dello scopo), azioni finali (le azioni conclusive, o di chiusura, della fase), documenti prodotti (gli output della fase, che possono costituire input per fasi successive dello stesso sotto–processo o per altri processi) 9 Si tratta di una descrizione che interpreta, mediandole, le esperienze delle banche partecipanti all’Osservatorio, alla luce della normativa di vigilanza. © CeTIF, 2007. Tutti i diritti riservati. Pagina 36 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA e relativa lista di distribuzione, dipendenze da altri processi (l’indicazione dei processi aziendali che possono influenzare l’esecuzione delle attività facenti capo alla fase, ad esempio per attesa di input). Il Processo di Compliance è costituito dai seguenti sotto-processi / fasi: C1. Individuazione e applicazione della normativa C1.1 Individuazione della Normativa C1.2 Assessment C1.3 Traduzione della Normativa in un corpo di regole C1.4 Definizione della struttura di relazioni a supporto delle regole C1.5 Definizione delle procedure operative C2. Comunicazione e formazione sulla normativa C2.1 Sensibilizzazione sul tema della Compliance C2.2 Comunicazione sulla Normativa C2.3 Formazione del personale sulla Normativa C3. Monitoraggio sull’applicazione della normativa C3.1 Definizione delle procedure per le verifiche di conformità C3.2 Controlli sull’applicazione delle procedure operative C3.3 Controlli sull’efficacia delle regole e procedure operative C3.4 Autocertificazione (self-assessment) C4. Impostazione di un sistema di reporting e gestione delle notifiche periodiche C4.1 Notifiche periodiche agli Organi di Vertice C5. Gestione delle anomalie di compliance e relative notifiche C5.1 Acquisizione e risoluzione dell’anomalia C5.2 Notifiche di non compliance agli Organi di Vertice Nelle pagine che seguono sono riportate le schede descrittive dei sotto-processi identificati e relative fasi 10 . 10 Nell’ambito del presente paragrafo, con il termine Organi di Vertice si fa riferimento agli Organi Amministrativi e di Controllo nonché agli Organi Esecutivi, così come definiti nell’ambito della “normativa di vigilanza in materia di conformità alle norme” di Banca d’Italia (documento per consultazione, agosto 2006, paragrafo 3), tenuto conto delle differenze esistenti tra i modelli di amministrazione e controllo monistico e dualistico. L’Organismo di Vigilanza (OdV) di cui al D.Lgs. 231/2001, ove previsto come destinatario dell’attività di reporting, è espressamente citato. © CeTIF, 2007. Tutti i diritti riservati. Pagina 37 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA C1. Definizione e applicazione della Normativa Missione Individuare la normativa rilevante per l’istituzione finanziaria e applicare quella che rientra nell’ambito del perimetro di competenza definito per la funzione Compliance. Responsabilità (Ownership) Responsabile del coordinamento delle attività facenti capo a questo sottoprocesso è il Compliance Officer, che ha tra i propri compiti: - presidiare e gestire il rischio di compliance (su delega degli Organi di Vertice); - proporre agli Organi di Vertice politiche di gestione del rischio di Compliance; - rendere edotti gli Organi di Vertice dell’ambito entro cui la Banca sta efficacemente presidiando il proprio rischio di Compliance. Evento scatenante E’ rappresentato dall’emissione o aggiornamento di una normativa, di un codice, di un regolamento o di uno standard (d’ora in avanti collettivamente individuati con il termine di Normativa) da parte delle istituzioni, degli organi di vigilanza, delle associazioni di categoria, della banca stessa. Fasi C1.1 Individuazione della Normativa C1.2 Assessment C1.3 Traduzione della Normativa in un corpo di regole C1.4 Definizione della struttura di relazioni a supporto delle regole C1.5 Definizione delle procedure operative © CeTIF, 2007. Tutti i diritti riservati. Pagina 38 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C1.1 Individuazione della Normativa Descrizione Individuazione, acquisizione e analisi strutturata della Normativa. Decisore (Owner) L’attività di individuazione della Normativa è di responsabilità (prevalente) della funzione Legale. Responsabile esecutivo La funzione Legale è (prevalentemente) responsabile dell’avanzamento operativo della fase. Da consultare Nell’individuare la Normativa la funzione Legale opera congiuntamente con il Compliance Officer e, per l’identificazione dei processi impattati, con la funzione Organizzazione e i Responsabili delle Funzioni aziendali coinvolte. Da informare La funzione Legale informa delle attività gli Organi di Vertice, le funzioni Internal Audit, Risk Management e, relativamente all’ambito di attuazione della Normativa, i responsabili delle Funzioni aziendali impattate. Attività • • • • • • Acquisizione della Normativa e validazione della fonte Lettura ragionata della Normativa Definizione della normativa di competenza della Funzione Compliance (con riferimento al perimetro definito) Interpretazione della Normativa Identificazione degli elementi rilevanti e dell’ambito di attuazione della normativa (aggiornamenti alla Normativa e nuova Normativa) Mappatura (macro) dei processi impattati (pre-assessment) Criticità Proattività e continuità del monitoraggio. Azioni finali L’analisi della Normativa si conclude con una sintesi strutturata dei contenuti (punti rilevanti della Normativa, ambito di attuazione). Questo documento costituisce input per la successiva Fase C1.2 di assessment. Documenti prodotti • Documento di sintesi della Normativa. • Documento di pre-assessment (eventuale). Lista di distribuzione • Organi di Vertice, Compliance Officer, Internal Audit, Risk Management, Organizzazione, responsabili delle Funzioni aziendali impattate. Dipendenze (da altri processi / attività) • Risk Management (l’attività di “identificazione degli elementi rilevanti e dell’ambito di attuazione della normativa” dipende dal processo di individuazione delle aree di rischiosità). © CeTIF, 2007. Tutti i diritti riservati. Pagina 39 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C1.2 Assessment Descrizione Verifica della situazione corrente in relazione all’adeguamento alla Normativa. Identificazione delle aree di potenziale esposizione al rischio di Compliance e della gravità di tale esposizione. Decisore (Owner) L’attività di assessment della situazione corrente è di responsabilità del Compliance Officer. Responsabile esecutivo Il Compliance Officer è responsabile dell’avanzamento operativo della fase. Da consultare Nel verificare la situazione corrente, il Compliance Officer coinvolge operativamente la funzione Organizzazione e tiene costantemente aggiornate sullo stato di avanzamento e sui risultati delle attività le funzioni Internal Audit e Risk Management. Da informare Il Compliance Officer informa delle attività tutte le Funzioni aziendali coinvolte nell’attività di assessment. • • • Attività • Definizione del perimetro di indagine (orizzontale e verticale) Analisi di dettaglio della situazione attuale Individuzione di processi e attività non compliant (mappatura per processo / funzione) Identificazione dei rischi (e relativo impatto) e dei livelli di esposizione al rischio di Compliance Criticità Conoscenza dei processi oggetto di indagine, approccio “bottom-up”. Azioni finali Predisposizione di un report strutturato (assessment report) con l’indicazione dei rischi e relativi impatti, delle aree e livelli di esposizione al rischio. I risultati di questa fase costituiscono input per la successiva Fase C1.3, per il sotto-processo di comunicazione e formazione sulla Normativa e possono costituire un input per la revisione dei processi oggetto di assessement. Documenti prodotti • Assessment Report. Lista di distribuzione • Organi di Vertice, Internal Audit, Risk Management, Legale, Organizzazione, Responsabili delle Funzioni aziendali coinvolte. Dipendenze (da altri processi / attività) • Internal Audit (utili informazioni circa il grado di esposizione al rischio di compliance di processi / attività possono derivare dai controlli effettuati dalla funzione Internal Audit). © CeTIF, 2007. Tutti i diritti riservati. Pagina 40 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C1.3 Traduzione della Normativa in un corpo di regole Descrizione Definizione del corpo di regole necessario a garantire l’adeguamento alla Normativa. Decisore (Owner) L’attività di traduzione della Normativa in un corpo di regole è di responsabilità (prevalente) del Compliance Officer. Responsabile esecutivo Il Compliance Officer è responsabile dell’avanzamento operativo della fase. Da consultare Nella stesura del corpo di regole, il Compliance Officer consulta e coinvolge anche le funzioni Organizzazione e Legale. Da informare Il Compliance Officer informa delle attività gli Organi di Vertice e i responsabili delle Funzioni aziendali coinvolte. Attività • • • • • Confronto tra dati normativi strutturati e risultati assessment Individuazione dei disallineamenti Formalizzazione del piano di interventi correttivi Definizione delle regole Redazione del corpo di regole Criticità Armonizzazione tra il corpo di regole di responsabilità della Funzione Compliance e le altre regole in vigore. Azioni finali I risultati di questa fase costituiscono input per la successiva Fase C1.4 e per il sotto-processo di comunicazione e formazione sulla Normativa e per i processi di Internal Audit e Risk Management. Documenti prodotti • Corpo di regole. Lista di distribuzione • Organi di Vertice, tutte le Funzioni aziendali. Dipendenze (da altri processi / attività) • Nessuna. © CeTIF, 2007. Tutti i diritti riservati. Pagina 41 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C1.4 Definizione della struttura di relazioni a supporto delle regole Descrizione Elaborazione di una struttura di relazioni funzionali (diagramma delle relazioni) a supporto del corpo di regole, nella quale vengano individuate le interrelazioni tra le Funzioni aziendali e le figure responsabili delle diverse attività da porre in essere per garantire l’adeguamento alla Normativa. Decisore (Owner) L’attività di elaborazione della struttura di relazioni è di responsabilità della funzione Organizzazione (la ratifica di tale struttura è di responsabilità degli Organi di Vertice della banca). Responsabile esecutivo La funzione Organizzazione è responsabile dell’avanzamento operativo della fase. Da consultare Nella definizione della struttura di relazioni, la funzione Organizzazione consulta e coinvolge gli Organi di Vertice, il Compliance Officer, la funzione Risorse Umane e, ove richiesto, i Responsabili delle Funzioni aziendali coinvolte. Da informare Può essere opportuno informare le funzioni Internal Audit e Risk Management. Attività • • • • • Individuazione delle aree di responsabilità Analisi dell’organigramma corrente Individuazione delle figure competenti (responsabili, incaricati, figure con ruolo consulenziale) Definizione dei ruoli e delle responsabilità Definizione delle relazioni di tipo funzionale e dei meccanismi di coordinamento Criticità Indipendenza della funzione Compliance e coordinamento con le altre Funzioni facenti parte del sistema dei controlli interni. Azioni finali I risultati di questa fase costituiscono input per la successiva Fase C1.5 e per il sotto-processo di comunicazione e formazione sulla Normativa. Documenti prodotti • Modello di relazioni della Compliance (diagramma delle relazioni). Lista di distribuzione • Organi di Vertice, tutte le Funzioni aziendali. Dipendenze (da altri processi / attività) • Nessuna. © CeTIF, 2007. Tutti i diritti riservati. Pagina 42 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C1.5 Definizione delle procedure operative Descrizione Definizione delle procedure operative da porre in essere per l’attuazione del corpo di regole. Decisore (Owner) L’attività di definizione delle procedure operative è di responsabilità della funzione Organizzazione. La certificazione delle procedure operative, sotto il profilo della Compliance, è di responsabilità del Compliance Officer. Responsabile esecutivo La funzione Organizzazione e la Funzione aziendale competente sono responsabili dell’avanzamento operativo della fase. Da consultare Internal Audit, Risk Management e Compliance Officer svolgono un ruolo consultivo in relazione alle attività di definizione delle procedure operative. Da informare Può essere opportuno informare la funzione Risorse Umane (per gli aspetti di tipo giuslavoristico). Attività • • • • • • • Definizione delle modalità di presidio delle aree di rischio Traduzione delle regole in procedure operative Redazione di un codice di comportamento con linee guida ed esempi di applicazione Definizione di un sistema di incentivazione Verifica di coerenza del sistema di incentivazione corrente Definizione delle interrelazioni tra le diverse procedure operative Certificazione (di conformità) delle procedure operative Criticità Coerenza tra le procedure operative e le regole, efficacia del sistema di incentivazione. Azioni finali I risultati di questa fase costituiscono input per il sotto-processo di comunicazione e formazione sulla Normativa. Documenti prodotti • Manuale delle procedure operative. Lista di distribuzione • Organi di Vertice, Compliance Officer, Internal Audit, Risk Management, Responsabili delle Funzioni aziendali coinvolte. Dipendenze (da altri processi / attività) • Risk Management (la definizione delle modalità di presidio del rischio è dipendente dalla definizione di rischio). • Internal Audit (la definizione delle procedure operative deve essere coerente con le modalità di esecuzione dei controlli interni). © CeTIF, 2007. Tutti i diritti riservati. Pagina 43 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Le banche partecipanti all’Osservatorio evidenziano, in media, il seguente grado di formalizzazione per le diverse fasi del sotto-processo C1. Definizione e applicazione della Normativa: C1.1 Individuazione della Normativa C1.2 Assessment C1.3 Traduzione della Normativa in un corpo di regole C1.4 Definizione della struttura di relazioni a supporto delle regole C1.5 Definizione delle procedure operative ALTO MEDIO-ALTO MEDIO-ALTO MEDIO MEDIO-BASSO © CeTIF, 2007. Tutti i diritti riservati. Pagina 44 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 2. Comunicazione e formazione sulla Normativa Missione Sviluppare la sensibilità individuale e collettiva nei confronti della problematica di adeguamento alla Normativa in vigore, diffondere la conoscenza delle politiche di Compliance, sviluppare le competenze e professionalità necessarie a garantire un’efficace applicazione delle politiche di Compliance, attraverso un processo di comunicazione continuo e strutturato. Responsabilità (Ownership) Responsabile del coordinamento delle attività facenti capo a questo processo è il Compliance Officer, il quale dovrà coinvolgere nella fase esecutiva le funzioni Risorse Umane e Comunicazione Interna. Evento scatenante Si tratta di un processo ciclico. L’evento scatenante è rappresentato da una necessità rilevata di informazione, comunicazione, formazione. Fasi C2.1 Sensibilizzazione sul tema della Compliance C2.2 Comunicazione sulla Normativa C2.3 Formazione del personale sulla Normativa © CeTIF, 2007. Tutti i diritti riservati. Pagina 45 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C2.1 Sensibilizzazione sul tema della Compliance Descrizione Verifica periodica dei livelli di sensibilità individuale e collettiva nei confronti delle problematiche di Compliance, predisposizione ed emissione di informative adeguate alla correzione degli scostamenti rilevati tra sensibilità attesa e misurata. Decisore (Owner) La gestione dell’informativa in materia di Compliance è di responsabilità del Compliance Officer. Responsabile esecutivo Per l’avanzamento operativo della fase, il Compliance Officer si avvale della collaborazione della funzione Comunicazione Interna. Da consultare Nel gestire l’informativa in materia di compliance, il Compliance Officer consulta e coinvolge anche le funzioni Risorse Umane, Legale, Internal Audit e Risk Management. Da informare Il Compliance Officer informa delle attività gli Organi di Vertice. Attività • • Verifica del livello di sensibilità (individuale e collettiva / per funzione) nei confronti della Compliance Eventuale predisposizione di informative strutturate per la correzione degli scostamenti rilevati tra sensibilità attesa e misurata Criticità Inividuazione di metriche per la misurazione del livello di sensibilità. Azioni finali Gli scostamenti eventualmente rilevati costituiscono input per la Fase C2.3 e per la revisione del processo di sensibilizzazione (Fase corrente). Documenti prodotti • Gap Report (periodico). Lista di distribuzione • Organi di Vertice, Legale, Internal Audit, Risk Management, Risorse Umane, Responsabili delle Funzioni aziendali coinvolte. • • Informative (periodiche). Tutti i dipendenti. Dipendenze (da altri processi / attività) • Comunicazione Interna (salvo eccezioni, l’attività di sensibilizzazione sul tema della Compliance si inserisce nell’ambito dei processi di comunicazione interna gestiti da questa Funzione). © CeTIF, 2007. Tutti i diritti riservati. Pagina 46 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C2.2 Comunicazione sulla Normativa Descrizione Predisposizione e diffusione di comunicazioni su specifiche Normative e sulle relative politiche di Compliance in vigore, verifica dell’efficacia del processo di comunicazione interna mediante rilevazione periodica degli scostamenti tra conoscenza attesa e misurata. Decisore (Owner) La gestione dell’attività di comunicazione sulla Normativa è di responsabilità della funzione Comunicazione Interna. Responsabile esecutivo La funzione Comunicazione Interna è responsabile dell’avanzamento operativo della fase. Da consultare Nel gestire l’attività di comunicazione sulla Normativa, la funzione Comunicazione Interna consulta e coinvolge anche il Compliance Officer e le funzioni Risorse Umane, Legale, Risk Management. Da informare La funzione Comunicazione Interna informa gli Organi di Vertice. Attività • • • • Verifica che le politiche di Compliance, in relazione ad una specifica Normativa, siano affermate chiaramente Standardizzazione e strutturazione, su base continuativa, del processo di comunicazione Allineamento, nell’ambito del processo di comunicazione, delle funzioni tra loro correlate in relazione alla specifica Normativa Verifica periodica dell’efficacia del sistema di comunicazione interna e rilevazione degli scostamenti tra atteso e misurato Criticità Armonizzazione della comunicazione tra funzioni correlate. Azioni finali Gli scostamenti eventualmente rilevati costituiscono input per la Fase C2.3 successiva e per la revisione del processo di comunicazione (Fase corrente). Documenti prodotti • Gap Report (periodico). Lista di distribuzione • Organi di Vertice, Compliance Officer, Legale, Internal Audit, Risk Management, Risorse Umane, Responsabili delle Funzioni aziendali coinvolte. • • Comunicazioni (periodiche). Tutte le Funzioni aziendali impattate dalla Normativa. Dipendenze (da altri processi / attività) • Comunicazione Interna (vedere Fase precedente) © CeTIF, 2007. Tutti i diritti riservati. Pagina 47 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C2.3 Formazione del personale sulla Normativa Descrizione Predisposizione ed erogazione di corsi Compliance e sui contenuti di specifiche funzione (perimetro definito). Rilevazione politiche e dei programmi di formazione Compliance. Decisore (Owner) La gestione dell’attività di formazione in materia di Compliance è di responsabilità della funzione Risorse Umane. Responsabile esecutivo L’avanzamento operativo della fase è in carico alla funzione Risorse Umane. Da consultare Nel coordinare l’attività di formazione in materia di compliance, la funzione Rosorse Umane consulta e coinvolge in Compliance Officer, le funzioni Internal Audit, Legale, Risk Management e i Responsabili di tutte le Funzioni aziendali coinvolte nei programmi di formazione. Da informare La funzione Risorse Umane tiene informati gli Organi di Vertice sulle esigenze formative individuate e sui piani di formazione predisposti. • • • Attività • di formazione sul tema Normative di competenza periodica dell’adeguatezza in relazione agli obiettivi della della delle della Individuazione delle esigenze formative Predisposizione dei piani di formazione Realizzazione di corsi di formazione su base periodica e personalizzati Organizzazione di workshop periodici per verificare l’adeguatezza delle politiche e dei programmi di formazione predisposti Criticità Tempestività e selettività della formazione. Azioni finali Certificazione del personale (eventuale). Documenti prodotti • Piano di formazione. Lista di distribuzione • Organi di Vertice, Compliance Officer, Internal Audit, Risk Management, Legale, tutte le Funzioni aziendali coinvolte. • • Gap Report (periodico). Compliance Officer, Responsabili delle Funzioni aziendali coinvolte. Dipendenze (da altri processi / attività) • Formazione (salvo eccezioni, la formazione sulla Normativa si inserisce nell’ambito dei processi di formazione del personale gestiti dalla funzione Risorse Umane). © CeTIF, 2007. Tutti i diritti riservati. Pagina 48 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Le banche partecipanti all’Osservatorio evidenziano, in media, il seguente grado di formalizzazione per le diverse fasi del sotto-processo C2. Comunicazione e formazione sulla Normativa: C2.1 Sensibilizzazione sul tema della Compliance C2.2 Comunicazione sulla Normativa C2.3 Formazione del personale sulla Normativa N/A ALTO MEDIO-ALTO © CeTIF, 2007. Tutti i diritti riservati. Pagina 49 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA C3. Monitoraggio sull’applicazione della Normativa Missione Valutare l’efficacia del corpo di regole in relazione agli obiettivi di Compliance; verificare e controllare il processo di applicazione delle regole (procedure operative). Responsabilità (Ownership) Responsabile delle verifiche circa l’efficacia del corpo di regole e delle procedure operative è il Compliance Officer. La funzione Internal Audit è coresponsabile dei controlli “ex post” sull’effettiva applicazione del corpo di regole mentre le Unità Operative e il Backoffice lo sono dei controlli di linea effettuati nel continuo. Evento scatenante E’ rappresentato dalla necessità di verificare periodicamente lo stato di applicazione della Normativa in vigore. Fasi C3.1 Definizione delle procedure per le verifiche di conformità C3.2 Controlli sull’applicazione delle procedure operative C3.3 Controlli sull’efficacia delle regole e procedure operative C3.4 Auto-certificazione (self-assessment) © CeTIF, 2007. Tutti i diritti riservati. Pagina 50 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C3.1 Definizione delle procedure per le verifiche di conformità Descrizione Definizione di un insieme coerente di processi per le verifiche di conformità alla Normativa e allineamento con i processi di Internal Audit. Decisore (Owner) La definizione dei processi di verifica è di responsabilità del Compliance Officer (la ratifica dei processi è di responsabilità degli Organi di Vertice). Responsabile esecutivo L’avanzamento operativo di questa fase è in carico al Compliance Officer. Da consultare Nel gestire l’attività di verifica il Compliance Officer consulta e coinvolge anche le funzioni Internal Audit, Risk Management, Organizzazione e i Responsabili di tutte le Funzioni aziendali coinvolte nelle attività di verifica. Da informare Nessuno. Attività • • • • Definizione dei processi di verifica Verifica della coerenza di politiche, procedure e controlli di Compliance Allineamento con il processo di Internal Audit Documentazione, approvazione e rilascio dei processi e dei piani di verifica (incaricati, modalità di esecuzione, periodicità, deliverable, tempistica) Criticità Metriche di misurazione. Azioni finali Ratifica dei processi di verifica da parte degli Organi di Vertice. Documenti prodotti • Documentazione dei processi di verifica. • Piani di verifica. • Modelli (template) di reportistica. Lista di distribuzione • Organi di Vertice, Internal Audit, Risk Management, Organizzazione, Responsabili delle Funzioni Aziendali coinvolte. Dipendenze (da altri processi / attività) • Nessuna. © CeTIF, 2007. Tutti i diritti riservati. Pagina 51 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C3.2 Controlli sull’applicazione delle procedure operative Descrizione Verifica dell’effettiva applicazione del corpo di regole e predisposizione degli eventuali interventi correttivi. Decisore (Owner) I controlli sull’applicazione delle regole sono di responsabilità della funzione Internal Audit. Responsabile esecutivo L’avanzamento operativo della fase è in carico alla funzione Internal Audit. Da consultare Nel gestire l’attività di controllo la funzione Internal Audit consulta e coinvolge il Compliance Officer e le funzioni Legale, Risk Management, Organizzazione (anche per l’eventuale modifica di procedure operative). Da informare La funzione Internal Audit tiene informati gli Organi di Vertice. Attività • • • • • • • Verifica del livello di consapevolezza di manager e responsabili Verifica dell’adeguatezza del processo di assegnazione delle responsabilità Verifica della coerenza del sistema di incentivazione Verifica di applicazione delle procedure e rilevazione infrazioni Analisi delle principali aree di rischio rilevate, confronto con le aree di rischio atteso, individuazione degli (eventuali) scostamenti e predisposizione degli interventi correttivi Modifica (eventuale) del sistema di applicazione delle regole (procedure operative), sulla base degli scostamenti riscontrati Predisposizione di comunicazioni interne e reportistica Criticità Coordinamento tra le diverse Funzioni coinvolte nei controlli. Azioni finali I risultati di questa fase costituiscono input per la Fase C3.3 e possono costituire input per i sotto-processi C4 e C5. Documenti prodotti Lista di distribuzione • • (Compliance) Audit Report. Organi di Vertice, Compliance Officer, Legale, Risk Management, Organizzazione, Responsabili delle Funzioni aziendali coinvolte. Dipendenze (da altri processi / attività) • Nessuna. © CeTIF, 2007. Tutti i diritti riservati. Pagina 52 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C3.3 Controlli sull’efficacia delle regole e procedure operative Descrizione Valutazione periodica del raggiungimento del livello di conformità atteso rispetto alla Normativa, a seguito di una corretta applicazione del corpo di regole e predisposizione degli eventuali interventi correttivi. Decisore (Owner) I controlli sull’efficacia del corpo di regole e delle procedure operative sono di responsabilità del Compliance Officer. Responsabile esecutivo L’avanzamento operativo di questa fase è in carico al Compliance Officer che coinvolge, nell’eventuale attività di modifica di procedure operative, la funzione Organizzazione. Da consultare Nel gestire l’attività di verifica il Compliance Officer consulta e coinvolge anche le funzioni Legale, Risk Management e i Responsabili di tutte le Funzioni aziendali coinvolte nell’attività di controllo. Da informare Il Compliance Officer tiene informati gli Organi di Vertice. Attività • • • • • Valutazione periodica del sistema di Compliance Individuazione di eventuali scostamenti Predisposizione degli interventi correttivi Modifica (eventuale) al sistema di regole e procedure operative della Compliance, sulla base degli scostamenti riscontrati Predisposizione di comunicazioni interne e reportistica Criticità Tempestività degli interventi correttivi e armonizzazione del corpo di regole rispetto alle modifiche introdotte. Azioni finali L’output di questa fase può costituire input per i sotto-processi C4 e C5, sulla base delle anomalie riscontrate e delle modifiche conseguentemente apportate. Documenti prodotti • Rapporto di Intervento. Lista di distribuzione • Organi di Vertice, Internal Audit, Legale, Risk Management, Organizzazione, Responsabili delle Funzioni aziendali coinvolte. Dipendenze (da altri processi / attività) • Nessuna. © CeTIF, 2007. Tutti i diritti riservati. Pagina 53 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C3.4 Auto-certificazione (self-assessment) Descrizione Auto-certificazione di processi, sotto il profilo dell’adeguamento alla Normativa, da parte delle Funzioni responsabili. Decisore (Owner) La definizione della procedura di auto-certificazione è di responsabilità del Compliance Officer. Responsabile esecutivo L’avanzamento operativo di questa fase è in carico al Responsabile di Funzione. Da consultare Nella predisposizione delle procedure di self-assessment e nell’analisi dei risultati, il Compliance Officer consulta e coinvolge le funzioni Organizzazione, Legale e Risk Management. Nell’avanzamento operativo della fase il Responsabile di Funzione consulta e coinvolge il Compliance Officer. Da informare Il Compliance Officer tiene informati gli Organi di Vertice. Attività • • • Predisposizione di una procedura di self-assessment Esecuzione periodica di campagne di self-assessment (sulla base di un piano predisposto con frequenza annuale) Analisi e valutazione dei risultati Criticità Obiettività e attendibilità della valutazione. Azioni finali Auto-certificazione di processi operativi. I risultati di tale attività costituiscono input per la Fase C4.1. Documenti prodotti • Documento di auto-certificazione. Lista di distribuzione • Organi di Vertice, Internal Audit, Legale, Risk Management, Organizzazione, Responsabili delle Funzioni aziendali coinvolte. Dipendenze (da altri processi / attività) • Internal Audit (l’attività di auto-certificazione deve essere coordinata con i controlli periodici effettuati dalla funzione Internal Audit). © CeTIF, 2007. Tutti i diritti riservati. Pagina 54 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Le banche partecipanti all’Osservatorio evidenziano, in media, il seguente grado di formalizzazione per le diverse fasi del sotto-processo C3. Monitoraggio sull’applicazione della Normativa: C3.1 Definizione delle procedure per le verifiche di conformità C3.2 Controlli sull’applicazione delle procedure operative C3.3 Controlli sull’efficacia delle regole e procedure operative C3.4 Auto-certificazione (self-assessment) MEDIO-ALTO MEDIO-ALTO MEDIO-ALTO MEDIO-ALTO(*) (*) In una prospettiva a tendere. © CeTIF, 2007. Tutti i diritti riservati. Pagina 55 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA C4. Impostazione di un sistema di reporting e gestione delle notifiche periodiche Missione Comunicare periodicamente lo stato del sistema di Compliance agli Organi di Vertice (incluso, ove previsto ai sensi della Legge 231/2001, l’Organismo di Vigilanza – OdV), sulla base delle politiche di governance in vigore. Responsabilità (Ownership) La responsabilità dell’esecuzione e del coordinamento delle attività facenti capo a questo processo è del Compliance Officer, che dovrà coinvolgere nella fase esecutiva anche le funzioni Internal Audit, Risk Management e Legale, tenendole costantemente aggiornate sullo stato di avanzamento delle attività. Evento scatenante Si tratta di un processo ciclico. L’evento scatenante è rappresentato da una necessità di notifica periodica (scadenza). Fasi C4.1 Notifiche periodiche agli Organi di Vertice Nota: le eventuali notifiche periodiche all’Autorità di Vigilanza sono di responsabilità degli Organi di Vertice e dell’Organismo di Vigilanza (nei soli casi previsti dalla Legge 231/2001). © CeTIF, 2007. Tutti i diritti riservati. Pagina 56 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C4.1 Notifiche periodiche agli Organi di Vertice Descrizione Predisposizione e distribuzione agli Organi di Vertice (OdV ove richiesto ai sensi della Legge 231/2001) di notifiche periodiche circa lo stato del sistema di Compliance. Decisore (Owner) La gestione dell’attività di notifica periodica in materia di Compliance è di responsabilità del Compliance Officer. Responsabile esecutivo L’avanzamento operativo della fase è in carico al Compliance Officer. Da consultare Nel gestire l’attività di notifica periodica, vengono consultate e coinvolte anche le funzioni Internal Audit, Risk Management e Legale. Da informare I Responsabili delle Funzioni aziendali citate nel documento di notifica vengono informati delle attività e coinvolti nella verifica del documento prima della sua stesura in forma definitiva. Attività • • • • Redazione di un documento di notifica che includa: - Sommario esecutivo Mission statement Perimetro della funzione Sintesi del corpo di regole e delle procedure operative Struttura di relazioni a supporto della Compliance Risk Assessment Follow-up raccomandazioni (precedenti) Nuove raccomandazioni dettagliate e note operative Allegati Condivisione e revisione della bozza Predisposizione informativa per la Direzione Redazione del documento di notifica e inoltro agli Organi di Vertice Criticità Nessuna. Azioni finali Emissione della notifica. Documenti prodotti • Documento di notifica periodica. Lista di distribuzione • Organi di Vertice (OdV), Internal Audit, Legale, Risk Management. Dipendenze (da altri processi / attività) • Internal Audit e Risk Management (le notifiche periodiche agli Organi di Vertice e OdV devono essere armonizzate con analoghe notifiche predisposte ed emesse dalle funzioni Internal Audit e Risk Management). © CeTIF, 2007. Tutti i diritti riservati. Pagina 57 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Le banche partecipanti all’Osservatorio evidenziano, in media, il seguente grado di formalizzazione per le diverse fasi del sotto-processo C4. Impostazione di un sistema di reporting e gestione delle notifiche periodiche: C4.1 Notifiche periodiche agli Organi di Vertice ALTO © CeTIF, 2007. Tutti i diritti riservati. Pagina 58 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA C5. Gestione delle anomalie di Compliance e relative notifiche Missione Comunicare tempestivamente agli Organi di Vertice (incluso, ove previsto ai sensi della Legge 231/2001, l’Organismo di Vigilanza – OdV) le anomalie di Compliance rilevate, predisporre e attuare gli opportuni interventi correttivi. Responsabilità (Ownership) La responsabilità dell’esecuzione e del coordinamento delle attività facenti capo a questo sotto-processo è del Compliance Officer, il quale deve coinvolgere nella fase esecutiva la funzione Organizzazione. Evento scatenante L’evento scatenante è rappresentato dalla rilevazione di una anomalia di compliance. Fasi C5.1 Acquisizione e risoluzione dell’anomalia C5.2 Notifiche di non Compliance agli Organi di Vertice Nota: le eventuali notifiche di non Compliance all’Autorità di Vigilanza sono di responsabilità degli Organi di Vertice e dell’Organismo di Vigilanza (nei soli casi previsti dalla Legge 231/2001). © CeTIF, 2007. Tutti i diritti riservati. Pagina 59 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C5.1 Acquisizione e risoluzione dell’anomalia Descrizione Acquisizione dell’anomalia di Compliance, predisposizione e attuazione degli interventi correttivi. Decisore (Owner) L’acquisizione dell’anomalia e la gestione degli interventi correttivi sono di responsabilità del Compliance Officer. Responsabile esecutivo L’avanzamento operativo della fase è in carico al Compliance Officer che coinvolge, nell’eventuale attività di modifica di procedure operative, la funzione Organizzazione e la funzione utente. Da consultare Nel gestire l’attività di risoluzione dell’anomalia vengono consultate e coinvolte anche le funzioni Risk Management, Legale e i Responsabili delle Funzioni aziendali coinvolte nell’anomalia. Da informare Nessuno. Attività • • • • • • • • Acquisizione dell’anomalia Valutazione di gravità (severità) e assegnazione della priorità di risoluzione Individuazione delle cause Identificazione delle procedure operative da correggere Predisposizione degli interventi correttivi di carattere straordinario Analisi di impatto Applicazione degli interventi correttivi Verifica dell’efficacia degli interventi correttivi Criticità Tempestività ed efficacia degli interventi. Azioni finali I risultati di questa fase possono costituire input per le Fasi C1.5, C2.2, C2.3. Documenti prodotti • Documento di descrizione dell’anomalia. • Documento di descrizione degli interventi correttivi. Lista di distribuzione • Internal Audit, Legale, Risk Management, Organizzazione, Responsabili delle Funzioni aziendali coinvolte. Dipendenze (da altri processi / attività) • Internal Audit e controlli di linea (segnalazioni di anomalia di Compliance possono provenire dai controlli periodici effettuati dalla funzione Internal Audit e da quelli effettuati nel continuo dalle Unità Operative e dal Backoffice). © CeTIF, 2007. Tutti i diritti riservati. Pagina 60 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Fase C5.2 Notifiche di non Compliance agli Organi di Vertice Descrizione Predisposizione e distribuzione tempestiva agli Organi di Vertice (OdV ove richiesto ai sensi della Legge 231/2001) di segnalazioni (eccezioni) di non Compliance rilevanti (sostanziali). Decisore (Owner) La gestione dell’attività di notifica è di responsabilità del Compliance Officer. Responsabile esecutivo L’avanzamento operativo della fase è in carico al Compliance Officer. Da consultare Nel gestire l’attività di notifica, vengono consultate e coinvolte le funzioni Internal Audit, Risk Management e Legale. Da informare I Responsabili delle Funzioni aziendali citate nella notifica vengono informati delle anomalie riscontrate. Attività • • Redazione della notifica sull’anomalia riscontrata Invio della notifica agli Organi di Vertice Criticità Tempestività. Azioni finali Emissione della notifica. Il risultato di questa fase costituisce input per la Fase C4.1. Documenti prodotti • Notifica dell’anomalia. Lista di distribuzione • Organi di Vertice (OdV), Internal Audit, Legale, Risk Management. Dipendenze (da altri processi / attività) • Nessuna. © CeTIF, 2007. Tutti i diritti riservati. Pagina 61 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Le banche partecipanti all’Osservatorio evidenziano, in media, il seguente grado di formalizzazione per le diverse fasi del sotto-processo C5. Gestione delle anomalie di Compliance (noncompliance) e relative notifiche: C5.1 Acquisizione e risoluzione dell’anomalia C5.2 Notifiche di non Compliance agli Organi di Vertice MEDIO-ALTO MEDIO-ALTO © CeTIF, 2007. Tutti i diritti riservati. Pagina 62 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 3.5 Flussi informativi e reportistica Nelle pagine che seguono sono stati schematicamente rappresentati i principali flussi informativi relativi alle diverse fasi dei sottoprocessi descritti. Sono stati inoltre messi in evidenza gli eventuali flussi informativi (in input e in output) nei confronti di altri processi esterni a quello di Compliance. © CeTIF, 2007. Tutti i diritti riservati. Pagina 63 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA © CeTIF, 2007. Tutti i diritti riservati. Pagina 64 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA © CeTIF, 2007. Tutti i diritti riservati. Pagina 65 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA © CeTIF, 2007. Tutti i diritti riservati. Pagina 66 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA © CeTIF, 2007. Tutti i diritti riservati. Pagina 67 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA © CeTIF, 2007. Tutti i diritti riservati. Pagina 68 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 3.6 Approccio realizzativo e infrastrutture tecnologiche Nell’ultima giornata di lavori dell’Osservatorio sono stati affrontati, con un taglio di tipo progettuale, i temi dell’approccio realizzativo (Progetto di Compliance) e delle infrastrutture tecnologiche a supporto dell’operatività della Funzione Compliance, con il contributo delle aziende di servizi e tecnologiche aderenti al progetto di ricerca. Accenture Per quanto riguarda il primo punto, è stata messo in evidenza la necessità di avviare un programma specifico volto in prima istanza alla costituzione e, successivamente, alla messa a regime della nuova Funzione, sulla base di un approccio progressivo (figura 8). Figura 8 – Approccio alla costituzione della Funzione Compliance Fonte: Accenture, 2006 Secondo la visione di Accenture, la prima parte del programma deve focalizzarsi sui seguenti obiettivi: - Finalità: creazione di valore per tutti gli stakeholder attraverso un approccio all’analisi della Compliance di tipo “risk based”, orientato al business “day by day”; - Perimetro: ambito di analisi esteso a tutta la regolamentazione interna ed esterna, con priorità sul nucleo di regole a impatto diretto sulla clientela e sulle modalità di conduzione del business; - Modello Organizzativo: centralità e autonomia della nuova Funzione; ove possibile, modello accentrato di gruppo; © CeTIF, 2007. Tutti i diritti riservati. Pagina 69 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA - Processo: processo trasversale coordinato dalla Funzione Compliance; introduzione di nuove attività, valorizzando le competenze legali, organizzative e di risk management esistenti ed evitando duplicazioni; - Strumenti e risorse: risorse qualitativamente adeguate alla nuova Funzione; metodologie (quali-quantitative) e strumenti finalizzati all’implementazione di un “risk based approach”. L’obiettivo della creazione di valore per gli stakeholder può essere raggiunto tramite: - il rafforzamento del sistema dei controlli interni e presidi di conformità dei regolamenti/comportamenti (elementi fondamentali per aumentare la trasparenza e la fiducia nei confronti dell’istituzione); - la forte enfasi sui risvolti gestionali dell’attività (consulenza al business e interventi organizzativi per prevenire e ridurre il verificarsi del rischio); - la misurazione dei benefici indotti da tale attività attraverso lo sviluppo di tecniche qualitative e quantitative; - la valutazione del contributo alla riduzione del capitale di rischio (raccordo con il processo di valutazione e di adeguatezza del capitale previsto dal II Pilastro di Basilea 2). Per quanto riguarda il profilo professionale delle risorse coinvolte nella nuova Funzione, è richiesto un mix di competenze ed esperienze a oggi non presente in un’unica figura; a tale proposito è necessario indirizzare nel tempo la creazione di un nuovo profilo professionale caratterizzato dalle seguenti competenze: - Conoscenza del business… come si attua la relazione con il cliente e la conduzione delle operazioni (estrazione tipica: organizzazione e funzioni di staff al business); - Pratica con la norma… come è impostata la normativa italiana (estrazione tipica: funzione legale); - Approccio al rischio… metodologia di misurazione e gestione del rischio (estrazione tipica: risk management); - Approccio al controllo… metodi e processi di verifica e monitoraggio (estrazione tipica: auditing e ispettorato). Valorizzare le risorse interne consente di ridurre i costi ed evitare la duplicazione delle competenze, utilizzando le conoscenze già presenti in azienda. L’operatività della funzione Compliance si sviluppa, sempre secondo Accenture, lungo tre direttrici (figura 9): - creazione della mappa processi, rischi, controlli e indicatori; - sviluppo della metodologia; © CeTIF, 2007. Tutti i diritti riservati. Pagina 70 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA - diffusione della cultura del rischio e informazione all’alta direzione. La Funzione di Compliance sviluppa la propria metodologia partendo da elementi base come processi, rischi, controlli e indicatori del rischio già sviluppati e utilizzati in azienda da altri soggetti che di occupano di gestione del rischio (operational risk management, audit, organizzazione ecc). La creazione di un unico repository nel quale confluiscono tutte le informazioni provenienti dalle diverse aree di gestione di rischi e controlli, favorisce la crescita dell’efficienza operativa, riduce la duplicazione di dati e permette di sfruttare le economie di scala. La creazione di un unico repository (la mappa dei processi aziendali) permette di accrescere l’efficienza operativa, ridurre la duplicazione di dati e sfruttare le economie di scala. Figura 9 – Direttrici di operatività della Funzione Compliance Fonte: Accenture, 2006 La metodologia per la misurazione del rischio di Compliance, sia di natura qualitativa che di natura quantitativa, deve essere allineata ed integrata al framework generale per la gestione dei rischi. Tale integrazione evita fenomeni di duplicazione delle attività a carico del business (es. duplicazione dei questionari di risk assessment condotti sia dall’operational risk management sia dal responsabile di Compliance) e agevola la comunicazione e l’interazione fra le diverse Funzioni aziendali coinvolte, rendendo più efficiente la gestione dei rischi stessi. La comunicazione periodica e strutturata dei risultati all’alta direzione può rappresentare, inoltre, un’ulteriore opportunità per promuovere lo sviluppo di un sistema di reporting integrato. Sotto questo profilo, la creazione del repository dei processi consente di produrre un reporting integrato con l’indicazione dei diversi rischi e con viste modulari per tipologia di rischio, effettuate dai singoli gestori del rischio. © CeTIF, 2007. Tutti i diritti riservati. Pagina 71 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Una cultura di Compliance radicata e un’approfondita conoscenza delle principali tematiche di Compliance favoriscono l’assunzione e il mantenimento da parte di tutto il personale della banca di comportamenti etici e professionali corretti, contribuendo in ultima analisi a salvaguardare la reputazione e l’immagine dell’azienda stessa. Sul ruolo centrale dei processi e della loro mappatura in vista della realizzazione di un repository centralizzato si sono soffermati numerosi relatori. In particolare, Neos Banca (Gruppo Intesa Sanpaolo) ha evidenziato come la necessità di trasparenza organizzativa che deriva dalla Compliance, da interpretare a tutti gli effetti non come un obbligo bensì come un’opportunità per la creazione di valore, implichi la focalizzazione sul processo e la realizzazione di un repository centralizzato quale elemento abilitante per tutte le attività di adeguamento, controllo e reporting. Nexen (Gruppo Engineering) Come ha evidenziato Nexen (Gruppo Engineering), le alternative della banca nella gestione dei progetti di Compliance sono sostanzialmente due: 1. avviare ogni volta un nuovo progetto definendo una metodologia di approccio, una modalità per la raccolta delle informazioni e la loro gestione nel tempo, un repository di riferimento; questa soluzione garantisce snellezza operativa ma rischia di creare duplicazioni e di non cogliere sinergie progettuali e operative; 2. utilizzare approcci metodologici e riferimenti “comuni” per tutti i progetti di Compliance al fine di garantire tempestività nella risposta, chiara responsabilizzazione, ma soprattutto concentrare tutte le informazioni relative a rischi, controlli e contromisure, evitando duplicazioni e rendendo molto più agevole la manutenzione. L’approccio metodologico suggerito da Nexen prevede di mettere a fattor comune di tutti i progetti (quindi anche quelli di Compliance) i processi. © CeTIF, 2007. Tutti i diritti riservati. Pagina 72 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA I processi rappresentano e descrivono, infatti, il “modo” attraverso il quale la banca realizza il proprio business e sono fattore cruciale in molte delle attività che devono essere realizzate anche in relazione al tema della Compliance. Figura 10 – Il Repository Organizzativo Fonte: Nexen, 2006 Un repository dei processi o “repository organizzativo” così concepito (figura 10), descrive le strutture, le regole (normative), le configurazioni organizzative, i costi, i rischi e i controlli dei processi in grado di rispondere in ogni momento alle esigenze di tutte le aree aziendali e rappresenta, in questa accezione, un vero e proprio elemento di differenziazione competitiva per la banca. Per quanto riguarda le architetture tecnologiche a supporto delle attività di Compliance, viene fatto riferimento tanto ai sistemi operativi (figura 11) quanto ai sistemi di sintesi (figura 12), distinguendo tra sistemi di monitoraggio e rilevazione dell’evento (di non conformità) di tipo attivo (i primi) e passivo (i secondi). In particolare, i sistemi di tipo attivo, a differenza degli altri, agiscono secondo una logica ex ante, ricercando un elevato livello di rischio su un fenomeno in accadimento, con l’obiettivo di bloccarlo. © CeTIF, 2007. Tutti i diritti riservati. Pagina 73 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA A tale proposito risulta fondamentale la ricerca della qualità del dato utilizzato per la classificazione dell’evento. Figura 11 – Architettura a supporto dell’operatività (Sistemi Operativi) Fonte: Nexen, 2006 Figura 12 – Architettura a supporto dei Sistemi di Sintesi Fonte: Nexen, 2006 © CeTIF, 2007. Tutti i diritti riservati. Pagina 74 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Datamat Negli ultimi due anni, circa, si è sviluppato un segmento particolare all’interno del mercato IT rivolto alle banche e agli istituti finanziari, segmento denominato dagli analisti delle principali società di ricerca come GRC, ovvero “Governance, Risk & Compliance”. Vi appartengono numerose soluzioni applicative e tecnologiche a supporto della Compliance. La composizione dell’offerta IT per la Compliance L’offerta di soluzioni IT per la Compliance, cioè l’insieme delle diverse applicazioni di tipo GRC, può suddividersi in due macro-gruppi: - sistemi IT per l’implementazione degli obblighi di Compliance; sistemi per il supporto alla Funzione di Compliance (per il Compliance Officer e l’eventuale staff). Appartengono al primo gruppo le soluzioni che implementano particolari regole di controllo sui dati e sulle operazioni (transazioni interbancarie, transazioni della clientela corporate, retail, privata), nel rispetto di precise leggi e direttive; ne possono essere un esempio: - i progetti per la conformità a Basilea2; - gli applicativi per la tutela delle informazioni price sensitive e dei mercati finanziari (market abuse); - i sistemi di controllo sulla clientela per l’osservanza delle direttive internazionali di contrasto ai reati di riciclaggio di capitale (AML – Anti-Money Laundering) e di contrasto ai reati di finanziamento del terrorismo internazionale (CFT – Combating the Financing of Terrorism). Appartengono al secondo gruppo: - i sistemi di produzione dei rapporti di controllo; - i sistemi di conservazione dei dati; - le applicazioni di supporto agli scambi informativi con le unità di risk management e di revisione interna (internal auditing); - le soluzioni di reportistica e di comunicazione finanziaria verso i mercati, le società di revisione e le istituzioni di vigilanza. Il ruolo della tecnologia Nel mercato GRC l’incidenza della tecnologia è notevole riguardo ad alcuni aspetti di sicurezza, meno particolare per quello che attiene al mondo dell’office automation ed in generale il controllo delle operazioni. Esaminando l’importanza che, comunque, il progredire della tecnologia IT può assumere nella Compliance, bisogna affrontare due particolari quesiti: quale è il ruolo della © CeTIF, 2007. Tutti i diritti riservati. Pagina 75 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA tecnologia nel supportare i processi di conformità? Potrà evolvere il ruolo della tecnologia per la Funzione Compliance? Per rispondere alla prima domanda, la tecnologia può facilitare l’osservanza di una banca ai regolamenti, ma non è la soluzione per raggiungere pienamente l’obiettivo della cultura di Compliance: i vertici delle banche certamente terranno conto che la Compliance è un problema organizzativo e manageriale, la cui mancata o parziale attenzione può comportare per l’istituto l’esposizione a situazioni di rischio lesive della propria immagine e della propria reputazione. Chiarito il ruolo dell’IT all’interno dello scenario di attuazione delle politiche di Compliance, sarà importante precisare come nei relativi progetti sia preferibile seguire una visione di processo: infatti, se si è d’accordo che le risposte dell’IT non possono essere demandate solo ad un insieme di prodotti, risulterà più evidente l’importanza dell’integrazione della tecnologia con un modello di governo. Qualificando i sistemi applicativi come strumento intelligente, si chiarisce la ragione dell’organizzazione di Compliance: per raggiungere i crescenti obiettivi di rispetto regolamentare, qualsiasi banca dovrebbe avvalersi di particolari presidi di controllo. Ma queste esigenze di conformità non sono certamente una novità per le banche, da sempre impegnate ad operare secondo criteri di efficienza e di piena legalità. Sono comunque esigenze che richiedono una nuova strategia, in particolare una sistematica attenzione che le banche dovranno promuovere: questa evoluzione favorirà una politica preventiva di protezione del brand e di salvaguardia degli interessi di tutti gli stakeholder, cioè quei portatori di interesse (azionisti, clienti) che vedono nella Compliance anche gli aspetti deontologici ed etici. Per rispondere alla seconda domanda, cioè come la tecnologia potrà migliorare il lavoro della Funzione Compliance, una possibile interpretazione del prossimo futuro coinvolge i sistemi dedicati alla comunicazione dei report verso i regulator, specialmente elevando il livello qualitativo delle informazioni emesse. Infatti la regolamentazione ha indicato al sistema finanziario la necessità di rispettare i requisiti di “ragionevolezza” ed “adeguatezza”, finalizzati alla protezione degli investitori. Un’altra possibile evoluzione potrebbe riguardare i sistemi informativi che potrebbero agevolare la condivisione delle notizie tra dipartimenti differenti come il risk management, l’internal auditing e la stessa Funzione Compliance: la risposta della tecnologia sarebbe applicata verso una maggiore collaborazione interna. Le famiglie applicative del mercato GRC Le differenti esigenze della Compliance trovano risposte adeguate in sistemi IT particolari, raggruppabili in categorie: - IT per la gestione e la salvaguardia dei dati: o Data Management Lifecycle – per la gestione del ciclo di vita dei dati, fin dall’origine; © CeTIF, 2007. Tutti i diritti riservati. Pagina 76 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA - - o Record management – per la conservazione e la storicizzazione dei dati; o Encryption – per la crittografia dei dati; o Aspetti di sicurezza fisica – ad esempio le policy di disaster recovery. IT per la gestione e l’elaborazione delle informazioni, per lo sviluppo della conoscenza: o Sistemi per il content management; o Gestione della riservatezza – per controllare gli accessi ai sistemi informativi; o Gestione documentale – ad esempio per la gestione della documentazione normativa; o Gestione delle e-mail – per la tutela delle informazioni riservate, o per la protezione antivirus. IT per la gestione e il controllo delle transazioni: o - Business Rule Management System; IT per la definizione, la gestione e la misurazione dei processi: o Mappe di Compliance (rischi, test di controllo) – per lo studio dei processi di business e l’incidenza della compliance, cioè per conoscere l’impatto delle normative sui processi; o Definizione visuale dei Business Process – per la modellazione delle organizzazioni; o Business Process Management – per l’esecuzione automatizzata dei processi; o Business Activity Monitoring – per il controllo dei risultati di processo. Molte delle soluzioni hanno in comune due aspetti di innovazione particolarmente importanti: la visione per processi, essenziale, e l’automazione delle attività di processo. Questa organizzazione per processi è certamente il risultato più importante, segna l’affermazione dei nuovi modelli organizzativi, in cui l’IT si inserisce come utile servizio strumentale. E’ la prova che nelle banche è stata adottata una visione integrata tra i processi e le tecnologie di supporto al loro controllo e alla loro corretta esecuzione. Problemi aperti nei progetti IT per la Compliance Le nuove sfide tecnologiche riguarderanno i dati, da cui dipendono tutte le transazioni e i processi (semi) automatizzati e i progetti di sviluppo e condivisione della conoscenza. Il problema più difficile probabilmente rimane proprio la qualità dei dati e, conseguentemente, la qualità delle informazioni ricavabili da dati talvolta incerti o corrotti. Infatti la difficile misurabilità della qualità dei dati, almeno secondo criteri oggettivi, può © CeTIF, 2007. Tutti i diritti riservati. Pagina 77 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA inficiare le procedure di risk management, nel caso si debbano verificare transazioni che presentano situazioni di contesto non attendibili. Negli ultimi anni sono stati effettuati diversi interventi sulla duplicazione dei dati, sulla loro archiviazione e storicizzazione, anche sull’indicizzazione semantica mediante le ontologie. Ma la quantità delle informazioni digitali è enorme ed è in crescita continua. Oltre al problema della qualità elevata delle informazioni, vera garanzia dei processi, resta da affrontare e superare il problema dell’integrazione informativa, per consentire una maggiore collaborazione tra gli uffici di risk management, internal auditing e, ovviamente, di Compliance. Questa “cooperazione” potrebbe anche agevolare l’affermazione operativa della Funzione Compliance nelle banche italiane. Conclusioni Una soluzione GRC non richiede necessariamente l’adozione di una piattaforma unica, proprio per l’esigenza di dover garantire una coesistenza di differenti sistemi specializzati, per norma e valore tecnologico. Inoltre la Compliance necessita di interventi continuativi, di figure professionali altamente specializzate e la componente applicativa IT non può prescindere dal maggior recupero degli investimenti effettuati per le tecnologie. I progetti IT dovrebbero privilegiare un’integrazione dei dati e dei processi e non limitarsi al rispetto delle particolari norme e/o direttive: quando si auspica la cultura di Compliance, ci si riferisce ad un sistema applicativo complesso che possa evolvere non solo in risposta alle pressioni regolamentari, ma anche alle opportunità di mercato, cioè in stretto collegamento con il business della banca. © CeTIF, 2007. Tutti i diritti riservati. Pagina 78 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Livello di automazione corrente dei sotto – processi di Compliance Con riferimento all’utilizzo di strumenti informatici a supporto delle attività di Compliance, viene di seguito evidenziato il grado medio di automazione corrente dei sottoprocessi di Compliance (di cui al Paragrafo 3.4) nelle banche partecipanti all’Osservatorio. C1. Definizione e applicazione della Normativa: C1.1 Individuazione della Normativa C1.2 Assessment C1.3 Traduzione della Normativa in un corpo di regole C1.4 Definizione della struttura di relazioni a supporto delle regole C1.5 Definizione delle procedure operative MEDIO-BASSO MEDIO-BASSO BASSO MEDIO-BASSO MEDIO-BASSO C2. Comunicazione e formazione sulla Normativa: C2.1 Sensibilizzazione sul tema della Compliance C2.2 Comunicazione sulla Normativa C2.3 Formazione del personale sulla Normativa N/A ALTO MEDIO C3 Monitoraggio sull’applicazione della Normativa: C3.1 Definizione dei processi per le verifiche di conformità C3.2 Controlli sull’applicazione delle regole C3.3 Controlli sull’efficacia delle regole e procedure operative C3.4 Auto-certificazione (self-assessment) BASSO BASSO BASSO BASSO C4. Impostazione di un sistema di reporting e gestione delle notifiche periodiche: C4.1 Notifiche periodiche agli Organi di Vertice BASSO C5. Gestione delle anomalie di Compliance (non-compliance) e relative notifiche: C5.1 Acquisizione e risoluzione dell’anomalia di Compliance C5.2 Notifiche di non Compliance agli Organi di Vertice MEDIO-BASSO BASSO © CeTIF, 2007. Tutti i diritti riservati. Pagina 79 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 3.7 I costi della Compliance In conclusione di capitolo risulta opportuno introdurre, pur senza approfondirlo, il tema dei costi della Compliance. Da quanto emerso in relazione alla costituzione di una Funzione Compliance, appare del tutto evidente che si tratta di uno sforzo significativo sul piano delle risorse (umane e tecnologiche) impiegate e dei costi a esse correlati, in misura tanto maggiore quanto maggiori sono la dimensione e la complessità organizzativa e di business dell’intermediario, più esteso è il perimetro di responsabilità definito e più intensa è la pressione normativa alla quale l’intermediario è soggetto. Si tratta di costi per lo più destinati a calare dopo lo sforzo iniziale di costituzione e strutturazione della Funzione, fino a raggiungere una soglia di stabilità il cui valore, per organizzazioni confrontabili sul piano dei principali indicatori di business e strutturali, dipende dal livello di efficienza raggiunto in relazione all’efficacia (livello di conformità) attesa (figura 13). Figura 13 – Bilanciamento tra efficienza ed efficacia della Compliance Fonte: Ibm Consulting, “Risk and the Economics of Regulatory Compliance”, Gartner, 2006 Analizzando i dati relativi alle prime 1000 imprese statunitensi nel periodo 2003 – 2006 (per le quali esiste una avsta collezione di serie storiche), è possibile avere un’indicazione di massima circa la struttura dei costi tipica di un progetto di Compliance. Dall’indagine, recentemente pubblicata da Gartner 11 , risulta una spesa media aggiuntiva (2005) di 4 M$ 11 John Bace, Carol Rozwell, Joseph Feiman, Bill Kirwin, “Understanding the Costs of Compliance”, Gartner, July 2006. © CeTIF, 2007. Tutti i diritti riservati. Pagina 80 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA per le prime 500 imprese (Standard & Poor’s 500) e di circa 3 M$ per le successive 500, ripartita sulla base delle voci di costo indicate in figura 14. Figura 14 – Spesa incrementale per la Compliance (campione statunitense) Fonte: Gartner, 2006 Nel nostro Paese, mancano rilevazioni di tipo quantitativo effettuate su base sistematica. Tuttavia, la citata indagine di AICOM consente di fare qualche utile considerazione sul piano qualitativo. Nell’ambito delle aziende analizzate, i costi di Compliance risultano in prevalenza ripartiti sulle seguenti voci (l’entità della spesa per voce di costo è rappresentata in una scala crescente da 0 a 10): Figura 15 – Entità dei costi di Compliance per voce di costo Fonte: AICOM, Università degli Studi di Perugia, Università degli Studi di Roma Tre, 2006 © CeTIF, 2007. Tutti i diritti riservati. Pagina 81 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Nella figura che segue è riportata, invece, la distribuzione dei costi di Compliance per area normativa (l’entità della spesa è rappresentata secondo la stessa scala crescente da 0 a 10): Figura 16 – Entità dei costi di Compliance per area normativa Fonte: AICOM, Università degli Studi di Perugia, Università degli Studi di Roma Tre, 2006 © CeTIF, 2007. Tutti i diritti riservati. Pagina 82 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA 4. La Funzione Compliance nella legislazione estera L’esperienza italiana in materia di Compliance è ancora piuttosto embrionale, anche per la mancanza di una disciplina specifica di riferimento (in fase di emissione da parte dell’Autorità di Vigilanza al momento della stesura del presente rapporto, ndr). Ai fini della costituzione di una funzione di conformità nelle banche italiane può quindi risultare utile analizzare, seppure brevemente, l’approccio adottato in Paesi che possono vantare una più lunga tradizione in materia. Francia In territorio francese è in vigore una disciplina normativa relativa alla funzione Compliance fin da prima che il Comitato di Basilea emettesse il suo documento sulla funzione Compliance. Già dal 1997, infatti, la disciplina relativa ai controlli interni della banche francesi (regolamento n.97-02 del Comitato di Regolamentazione Bancaria e Finanziaria) prevedeva la definizione di procedure, misure e controlli su tre tipologie di rischio: - il rischio di natura economica; - il rischio operativo, definito dal Comitato di Basilea e ripreso dalla regolamentazione francese; - il rischio di ordine giuridico, di cui fa parte il rischio di non conformità alle leggi, ai regolamenti e alle norme professionali. A partire dal 2004, cioè dopo l’emissione da parte del Comitato di Basilea del documento 12 sulla Compliance, l’intermediario deve costituire, ex lege, una struttura interna di Compliance che vigili sul rispetto delle procedure e norme che regolano l’attività bancaria francese. La responsabilità della Compliance è affidata a un responsabile di funzione e a un membro dei vertici aziendali, che hanno anche il compito di garantirne l’indipendenza. Le autorità sottolineano con decisione come la funzione di conformità debba essere esercitata in modo esaustivo in tutti i settori, zone geografiche e contesti regolamentari del gruppo. Oltre alla supervisione dei dispositivi di prevenzione, uno dei compiti fondamentali della Compliance è il rafforzamento di quella “cultura della conformità” che è considerata un fattore critico di stabilità per l’intermediario finanziario. La disciplina francese sottolinea, inoltre, la necessità di dotarsi di appropriati flussi informativi di sintesi tra i diversi livelli gerarchici, che consentano una rapida individuazione dei rischi di non conformità. Tutti gli intermediari devono presentare, su base periodica, un report sul sistema di Compliance, redatto da un supervisore indipendente. 12 Basel Commitee, “Consultative Document on the Compliance Function in Banks”, Basilea, ottobre 2003. © CeTIF, 2007. Tutti i diritti riservati. Pagina 83 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Germania In Germania, la disciplina legislativa impone che le banche possiedano una funzione di Compliance, ma non prevede regolamentazioni specifiche, lasciando disposizioni molto ampie perché quest’attività si adatti alla natura e alle peculiarità dell’ente creditizio. La Compliance ha l’obbligo di reporting, così come dettato dai principi di Basilea, nei confronti dei vertici aziendali; solo per le banche di maggiori dimensioni si prevede l’istituzione di una figura responsabile della Compliance (Compliance Officer). Anche il requisito di indipendenza è esposto in modo esplicito solo per le banche di maggiori dimensioni. Sono infine previsti regolari controlli da parte di soggetti esterni che devono fornire alle Istituzioni competenti notifica tempestiva di eventuali violazioni e produrre un report annuale sul sistema di Compliance per l’Autorità di Vigilanza. Regno Unito L’Autorità Finanziaria britannica (FSA 13 ) prevede che ogni intermediario costituisca una propria funzione di Compliance autonoma, indipendente e capace di essere costantemente aggiornata su tutte le normative di settore. La responsabilità della funzione è in capo a un senior manager, che deve mantenere una comunicazione diretta e continuativa con gli Organi Amministrativi pur senza avere l’obbligo di produrre informative e reportistica su base periodica. La normativa impone che vengano effettuati controlli sul sistema di Compliance da parte di soggetti esterni, che devono comunicare tempestivamente alle Istituzioni competenti eventuali violazioni. Infine, la stessa FSA conduce un controllo attivo di supervisione della funzione Compliance. Spagna La normativa spagnola prevede l’obbligo, per le banche, di istituire una funzione di Compliance interna all’azienda, che sia indipendente e dotata di sistemi informativi atti a comunicare in modo continuativo l’andamento delle attività agli organi di vertice. E’ inoltre richiesto che la funzione di Compliance si renda parte attiva nell’impostazione di politiche di controllo mirate alla prevenzione e all’individuazione delle violazioni alla normativa in vigore. E’ previsto il controllo da parte di soggetti esterni alla banca, che devono comunicare eventuali violazioni o lacune nel sistema di Compliance alle Istituzioni competenti. 13 Financial Service Authority, Regno Unito. © CeTIF, 2007. Tutti i diritti riservati. Pagina 84 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA Stati Uniti d’America La normativa statunitense prevede l’obbligo, per le istituzioni finanziarie, di creare una funzione di Compliance ma non di mantenersi costantemente aggiornate, in modo autonomo, sulla normativa di settore 14 , né sono dettati principi precisi su come questa funzione debba essere strutturata. La responsabilità delle attività di conformità poste in essere è in capo al senior manager della funzione (Compliance Officer), a cui sono imputati gli atti compiuti dai soggetti sotto il suo controllo e che ha il compito di redigere un report annuale sulla gestione del rischio di conformità per gli organi di vertice. Le leggi americane, come molte legislazioni europee, hanno previsto una supervisione da parte di soggetti esterni, che devono inviare annualmente alla SEC 15 un resoconto delle attività condotte dalla funzione di Compliance nel corso dell’anno per garantire l’efficienza del sistema e la conformità alle norme in vigore e ai codici di comportamento emanati. In caso di mancato avviso alle autorità competenti di violazioni o carenze riscontrate nella gestione, viene ritenuto responsabile dell’omissione il Compliance Officer o, in via surrogatoria, il revisore esterno. Per avere un quadro completo dello scenario statunitense, si ritiene opportuno un approfondimento della legge Sarbanes-Oxley Act, non previsto nell’ambito del presente documento. 14 15 Lo stesso principio è adottato da Germania, Spagna e Regno Unito. Security and Exchange Commission, USA. © CeTIF, 2007. Tutti i diritti riservati. Pagina 85 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA BIBLIOGRAFIA AICOM – Associazione Italiana Compliance, “Linee guida per la funzione di compliance”, documento di discussione, giugno 2006. AICOM – Associazione Italiana Compliance, Università degli Studi di Perugia, Università degli Studi di Roma Tre, “Collocazione organizzativa, costi e benefici della funzione compliance nelle banche che operano in Italia”, rapporto di ricerca, 2006. American Banking Association (ABA), “The nationwide Bank Compliance Officer Survey”, in ABA Banking Journal, Compliance Watch, 2003. Annunziata, Intermediazione mobiliare e agire disinteressato: i profili organizzativi interni, in BBTC, 1994, I, 634 ss. Bace, Rozwell, Feiman, Kirwin, “Understanding the Costs of Compliance”, Gartner, July 2006. Banca d’Italia, “Normativa di vigilanza in materia di conformità alle norme”, documento per consultazione, agosto 2006. Bartolomucci, Riflessioni in tema di adozione degli strumenti di previsione dei reati d’impresa con finalità esimente, in Società, 2003, 813 ss. Bonelli, La responsabilità degli amministratori, in Trattato delle società per azioni, 4, Torino, 1991, 323 ss. Borsa Italiana, Codice di Autodisciplina, 2006. Buonocore, Adeguatezza, precauzione, gestione, responsabilità: chiose sull’art. 2381, commi terzo e quinto, del codice civile, in Giur. comm., 2006, I, 5 ss. Clemente, Vigilanza sugli Enti Creditizi, Banca d’Italia, “La Funzione di Compliance nelle banche italiane: evoluzione normativa e contributo alla creazione del valore”, convegno AICOM, Roma, 28 giugno 2006. Comitato di Basilea, “Compliance and the compliance function in banks”, Basilea, aprile 2005. Comitato di Basilea, “Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali”, Basilea, giugno 2004. Hansen, The ALI Corporate Governance Project: of the Duty of Due Care and the Business Judgement Rule, a Commentary, in Bus. Lawyer., 1986, 1241 ss. Libonati, La società e l’impresa, Milano, 2004. Montalenti, La responsabilità degli amministratori nell’impresa globalizzata, in Mercati finanziari e sistema dei controlli (atti del convegno 1-2 ottobre 2004), Milano, 2005. Pogliaghi, Vandali, “La Compliance in Banca”, Bancaria Editrice, 2005. Rabitti, Rischio organizzativo e responsabilità degli amministratori: contributo allo studio dell'illecito civile, Milano, 2004. Toffoletto, in AA.VV., Diritto delle società di capitali, Manuale breve, Milano, 2005. © CeTIF, 2007. Tutti i diritti riservati. Pagina 86 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA © CeTIF, 2007. Tutti i diritti riservati. Pagina 87 di 88 Osservatorio Riflessi Organizzativi della Compliance nelle Banche RAPPORTO DI RICERCA CeTIF Università Cattolica del Sacro Cuore Largo Gemelli, 1 - 20123 Milano Tel. + 39 02 72342590 Fax. + 39 02 43980770 E-mail: [email protected] www.cetif.it © CeTIF, 2007. Tutti i diritti riservati. Pagina 88 di 88