Osservatorio Compliance

Transcript

Osservatorio
Riflessi Organizzativi della Compliance nelle Banche
RAPPORTO DI RICERCA
Osservatorio
Rapporto di Ricerca
© CeTIF, 2007. Tutti i diritti riservati.
Pagina 1 di 88
Osservatorio
RAPPORTO DI RICERCA
AUTORI:
Hanno preso parte al Gruppo di Coordinamento Scientifico di CeTIF – Università
Cattolica che ha curato i lavori dell’Osservatorio e la stesura del rapporto di ricerca:
Prof. Mario Anolli
Prof. Federico Rajola
Dott.ssa Chiara Frigerio
Dott. Massimo Mamino
Dott. Michele Mozzarelli
Dott.ssa Alessia Santuccio
Pubblicato nel mese di gennaio 2007. Copyright © CeTIF, tutti i diritti riservati.
PARTECIPANTI: Hanno partecipato ai lavori dell’Osservatorio e contribuito allo sviluppo dei temi oggetto del
presente rapporto:
ACCENTURE
BANCA ALETTI
BANCA NAZIONALE DEL LAVORO
BANCA POPOLARE DI MILANO
BANCA POPOLARE DI SONDRIO
BANCO POPOLARE DI VERONA E NOVARA
BNP PARIBAS
BPU BANCA
DATAMAT
DEXIA CREDIOP
FEDERAZIONE LOMBARDA DELLE BCC
GRUPPO CREDITO VALTELLINESE
GRUPPO ENGINEERING
SANPAOLO IMI
SANPAOLO SGR
Sono intervenuti in qualità di relatori:
AICOM - ASSOCIAZIONE ITALIANA COMPLIANCE
BANCA D’ITALIA
CREDIT SUISSE
NEOS BANCA (GRUPPO SANPAOLO)
DISCLAIMER:
CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la professionalità
acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti d’informazione e nonostante il
meticoloso impegno da parte di CeTIF affinché le informazioni contenute siano esatte al momento della
pubblicazione, né CeTIF né i suoi collaboratori possono promettere o garantire (anche nei confronti di terzi)
esplicitamente o implicitamente l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto,
declina qualsiasi responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle
informazioni contenute nel presente rapporto.
Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre dichiarazioni in chiave
prospettica, circostanza che comporta rischi e incertezze. Si avvisano pertanto i lettori che tali affermazioni sono
solamente previsioni e potrebbero quindi discostarsi in modo considerevole dagli effettivi riscontri ed eventi futuri.
CeTIF declina fin d’ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni.
Pagina 2 di 88
Osservatorio
RAPPORTO DI RICERCA
INDICE
Introduzione ..............................................................................................................................5
1. Lo scenario di riferimento.....................................................................................................8
2. Inquadramento giuridico.....................................................................................................10
2.1 La Funzione Compliance ..............................................................................................10
2.2 Responsabilità degli amministratori all’interno di organizzazioni complesse .............10
2.3 Doveri degli amministratori, dovere di corretta amministrazione ................................11
2.4 Procedimentalizzazione della diligenza........................................................................12
2.5 L’obiettivo della Compliance: rischio di non conformità e discipline rilevanti ...........14
2.6 La Compliance: gestione del rischio.............................................................................17
3. Costituzione della Funzione Compliance ...........................................................................20
3.1 Principi e linee guida per la costituzione della Funzione Compliance .........................20
3.2 Ruoli, responsabilità e modelli organizzativi................................................................25
3.3 Relazioni con le altre funzioni del Sistema dei Controlli Interni..................................33
3.4 Il Processo di Compliance ............................................................................................36
3.5 Flussi informativi e reportistica ....................................................................................63
3.6 Approccio realizzativo e infrastrutture tecnologiche....................................................69
3.7 I costi della Compliance................................................................................................80
4. La Funzione Compliance nella legislazione estera.............................................................83
Pagina 3 di 88
Osservatorio
RAPPORTO DI RICERCA
Pagina 4 di 88
Osservatorio
RAPPORTO DI RICERCA
Introduzione
Negli ultimi anni si è assistito a un progressivo aumento della sensibilità della clientela nei
confronti del livello di affidabilità delle istituzioni finanziarie. Ciò ha imposto la creazione
di un contesto nel quale sia possibile generare valore e presidiare nel contempo i rischi di
maggiore impatto, sia mediante strumenti convenzionali di gestione del rischio operativo,
di credito e di mercato sia tramite l’implementazione di strutture e presidi organizzativi
dedicati, orientati al controllo dei cosiddetti rischi di compliance, legali e reputazionali, con
l’obiettivo di garantire la conformità dei processi alle norme.
Sebbene il rispetto della normativa sia essenziale, per creare valore è altresì necessario
adottare una strategia volta a consolidare le relazioni fiduciarie con gli stakeholder di
riferimento, finalizzata cioè a rendere visibile la responsabilità sociale d’impresa. Tale
compito è assegnato alla Funzione Compliance, la quale è preposta a garantire la
mitigazione del rischio reputazionale al quale è soggetto l’intermediario, tramite una sana e
prudente gestione d’impresa.
Affinché la Funzione Compliance possa operare efficacemente, è essenziale il
coordinamento con le altre funzioni che presidiano il sistema dei controlli interni, internal
audit e risk management. Per quanto riguarda, in particolare, le relazioni tra internal audit e
Compliance, occorre garantire la reciproca indipendenza delle funzioni, gli ambiti di azione
e di responsabilità, i perimetri di intervento. Ciò al fine di evitare sovrapposizioni e
ridondanze nelle attività di controllo e disallineamenti nei confronti delle Autorità di
Vigilanza.
La volontà di approfondire il tema della Compliance attraverso un’attività di ricerca e
confronto (Osservatorio) coordinata da un’istituzione avente carattere scientifico (CeTIF –
Università Cattolica), deriva proprio dalla necessità di interpretare le recenti evoluzioni
avvenute tanto nella pratica aziendale quanto negli indirizzi di Banca d’Italia e del
legislatore stesso. Dalla mera aderenza a norme e regolamenti esterni, aventi carattere
fortemente prescrittivo, l’orientamento oggi prevalente negli intermediari finanziari è infatti
indirizzato alla diffusione di una “cultura della conformità” e alla conseguente adozione di
codici di condotta in grado di garantire “ex ante” i livelli di conformità richiesti nei
confronti di una Normativa sempre meno prescrittiva, che manifesta la volontà, da parte del
legislatore e delle Autorità di Vigilanza, di puntare sull’efficacia complessiva del Sistema
di Compliance, lasciando all’intermediario ampi margini di autonomia della definizione
degli aspetti organizzativi della funzione e nella gestione delle relative attività.
L’Osservatorio promosso da CeTIF si è pertanto concentrato sull’analisi dei riflessi
organizzativi e tecnologici della Compliance, ovvero l’insieme delle procedure tecnicoorganizzative chiamate a presidiare il rischio di sanzioni, perdite o danni di immagine e
reputazione cui la banca può andare incontro come conseguenza della mancata conformità
del suo comportamento a leggi, regolamenti e codici di condotta di settore.
Pagina 5 di 88
Osservatorio
RAPPORTO DI RICERCA
L’attività di ricerca si è sviluppata nel periodo maggio – ottobre 2006, focalizzandosi sulle
seguenti tematiche:
-
evoluzione del corpo normativo in relazione al tema della Compliance e
interpretazione dello stesso;
-
analisi della Normativa di vigilanza in materia di conformità alle norme e suoi
riflessi organizzativi;
-
costituzione della Funzione Compliance:

-
definizione di principi e linee guida;
identificazione dei modelli organizzativi;
descrizione del processo di Compliance e relativi flussi
informativi;
problematiche di governo della Compliance.
soluzioni applicative e tecnologiche a supporto della Compliance.
Con riferimento all’organizzazione degli incontri, è stata tenuta in considerazione la
necessità di un confronto paritario tra i partecipanti, nonché il bisogno di stimolo a una
partecipazione attiva e a un efficace knowledge sharing. È stata pertanto utilizzata, quale
metodologia di riferimento, la formula del dibattito universitario, metodo orientato a
garantire la completa simmetria di rapporto tra i partecipanti.
Figura 1 – Organizzazione delle attività
Alle istituzioni finanziarie aderenti all’iniziativa è stato anche richiesto un apporto in
termini di individuazione degli orientamenti di interesse, condivisione di dati, informazioni
e know-how, ricerca di case-study. Le aziende di servizi e i partner tecnologici CeTIF sono
stati invece coinvolti con finalità di individuazione dei possibili approcci implementativi, di
condivisione di know-how tecnologico, di confronto con le banche in merito
all’individuazione di un’idonea infrastruttura tecnologica di supporto alle attività di
Pagina 6 di 88
Osservatorio
RAPPORTO DI RICERCA
Compliance. Nell’ambito di questo tavolo di lavoro, CeTIF ha rivestito il ruolo di
intermediario, coordinando il confronto e le attività di ricerca, elaborando i feedback
ricevuti dai partecipanti, organizzando con essi le attività di approfondimento.
Al fine di assicurare una visione allargata su un tema “di frontiera” quale quello della
Compliance, sono stati previsti interventi da parte di relatori esterni, nonché l’esposizione
di casi e progetti pilota provenienti dalle stesse istituzioni finanziarie. Per garantire, infine,
la correttezza delle informazioni condivise, soprattutto per quanto concerne l’ambito
normativo/giuridico, è stata programmata la partecipazione di docenti universitari ed esperti
con competenze specifiche sugli argomenti oggetto di indagine (Banca d’Italia e AICOM –
Associazione Italiana Compliance).
Con riferimento alla raccolta dati, viene fornito un elenco delle metodologie utilizzate nel
corso dei lavori, specificandone i relativi vantaggi:
-
Caso di Studio – Metodo strutturato, di utilizzo on-line, finalizzato alla raccolta di
dati qualitativi. Tra i principali vantaggi, la possibilità di conoscere una realtà
finanziaria classificabile come best practice nel settore di riferimento o con
un’esperienza consolidata (good practice) nello sviluppo di un determinato tema. Il
caso di studio offre l’opportunità di un confronto immediato tra i partecipanti,
facilita l’individuazione delle linee guida per lo sviluppo di pratiche di eccellenza,
consente l’identificazione di un modello teorico adattabile – con riferimento alle
variabili critiche – alle specificità proprie delle diverse organizzazioni;
-
Template – Metodo strutturato, previsto per un utilizzo prevalentemente off-line, a
supporto della raccolta di dati sia quantitativi che qualitativi. Tra i vantaggi del
metodo, l’omogeneità nelle risposte, la possibilità di schematizzazione delle stesse,
l’immediatezza nel confronto e nell’analisi dei dati raccolti.
Il presente rapporto di ricerca è il risultato di un processo di analisi e comprensione dello
stato dell’arte della Funzione Compliance nel settore bancario e si sviluppa sulla base di
una rielaborazione, in chiave critica, dei contributi offerti da relatori e partecipanti
all’Osservatorio (tanto nel corso dei lavori che off-line) e dei risultati dell’attività di
approfondimento sul tema condotta dai ricercatori CeTIF.
Pagina 7 di 88
Osservatorio
RAPPORTO DI RICERCA
1. Lo scenario di riferimento
I sistemi finanziari si sono sempre contraddistinti per la loro natura fiduciaria e il ruolo di
sostegno alla stabilità dei mercati. Quanto affermato giustifica l’esigenza storica di una
regolamentazione degli enti bancari, necessità divenuta improrogabile soprattutto a seguito
delle evoluzioni del mercato. Il divenire globale del business e gli sviluppi tecnologici che
hanno contribuito alla trasformazione dei mercati finanziari ne hanno aumentato la
complessità, determinando l’esigenza di un controllo rigido del settore con finalità di
prevenzione degli scandali le cui conseguenze, a ragione della scala globale degli strumenti
finanziari, sono risultate talvolta così amplificate da rischiare di generare crisi economiche
di una portata straordinariamente ampia.
Tutto questo ha spinto il legislatore a favorire uno sviluppo controllato del settore
finanziario, intervenendo tramite la leva della regolamentazione volta, negli ultimi anni, a
individuare e prevenire, tra i rischi tipici di settore, anche quelli legati all'operatività e
quelli di tipo legale e reputazionale. Tale obiettivo è stato perseguito anche attraverso
un’autoregolamentazione trasparente e responsabile, che ponesse l’enfasi sulla
responsabilizzazione degli intermediari finanziari – e dunque sulle forze endogene agli enti
stessi – promuovendone l’autonomia, piuttosto che sulla predisposizione di interventi di
natura governativa.
Precisi orientamenti regolamentari del Comitato di Basilea hanno sottolineato l’importanza
di adeguare i propri modelli organizzativi e operativi alle mutate e più complesse
condizioni dei mercati. Tra le novità, emerge proprio la necessità di creare, all'interno di
ogni singolo istituto, funzioni ad hoc che svolgano un'effettiva attività di monitoraggio
interno ed esterno in relazione al tema della Normativa. In questo ambito rientra la
costituzione di una Funzione Compliance interna alla banca, orientata a delineare le linee
guida, presidiare e controllare il rispetto della “conformità” dell’azione (dell’intermediario)
alle norme di regolamentazione e vigilanza; compito che deve tener conto del fatto che la
conformità alla Normativa, come verrà evidenziato nel seguito del documento, è una
responsabilità trasversale rispetto all’intera organizzazione e non localizzata presso una
singola funzione o interesse di poche.
La maggiore sensibilità dei diversi portatori di interesse verso l’adozione, da parte degli
enti creditizi, di comportamenti improntati alla correttezza e alla trasparenza nell’agire fa
emergere il concetto di rischio di compliance. E’ opportuno, infatti, ricordare che le banche
sono tenute al rispetto di leggi e regolamenti promossi dalle autorità competenti sul corretto
funzionamento e sulla gestione operativa dei mercati dei capitali, finalizzate al controllo di
tale rischio. Il rischio di compliance è connesso all’esistenza di disposizioni da rispettare e
ha per oggetto eventuali danni che possono derivare dall’inosservanza di tali disposizioni e
che si concretizzano nell’imposizione di sanzioni da parte delle autorità (di carattere sia
Pagina 8 di 88
Osservatorio
RAPPORTO DI RICERCA
pecuniario che operativo), nell’obbligo di risarcimento nei confronti di soggetti danneggiati
e in perdite di reputazione.
La peculiarità del rischio di compliance, rispetto ad altre categorie di rischio, è strettamente
collegata alla sua natura di rischio reputazionale, di immagine e strategico, di impatto
sull’intera organizzazione. La sua particolare natura e potenziale gravità richiedono, inoltre,
che venga affrontato secondo una logica ex ante, mediante attività orientate alla
prevenzione piuttosto che alla repressione di comportamenti illeciti o non conformi.
La Funzione Compliance viene definita dal Comitato di Basilea 1 come
“An independent function that identifies, assesses, advises on, monitors and reports on the
bank’s compliance risk of legal or regulatory sanctions, financial loss, or loss to
reputations a bank may suffer as a result of its failure to comply with all applicable laws,
regulations, codes of conduct and standards of good practice”.
Essa è dunque l’insieme dei presidi organizzativi e operativi che gli intermediari sono
chiamati a porre in essere con l’obiettivo di sviluppare una cultura della Compliance
finalizzata al controllo del concreto rispetto delle indicazioni previste dalle
regolamentazioni e dai codici di condotta vigenti. Ciò al fine di evitare sanzioni penali e
pecuniarie, perdite finanziarie e limitare, più in generale, tutti quegli eventi che potrebbe
compromettere direttamente o indirettamente la reputazione stessa della banca.
La missione operativa attribuita alla Funzione Compliance dal Comitato di Basilea risulta
essere particolarmente onerosa, poiché essa presenta un ambito di operatività ampio e
diversificato a causa del suo carattere trasversale. Oneri aggiuntivi derivano poi dalla
necessità di assicurare l’individuazione e la valutazione di tutti quei rischi che potrebbero
comportare sanzioni legali, perdite finanziarie e di reputazione per il mancato rispetto di
leggi, regolamenti, procedure, codici interni e pratiche di settore.
1
Compliance and the compliance function in banks, Basel Committee on Banking Supervision,
2005 (http://www.bis.org/publ/bcbs113.htm).
Pagina 9 di 88
Osservatorio
RAPPORTO DI RICERCA
2. Inquadramento giuridico
2.1
La Funzione Compliance
La Funzione Compliance è stata definita come funzione che “governa un processo
trasversale che consta di presidi organizzativi e operativi atti ad evitare disallineamenti con
l’insieme delle regole esterne ed interne” (AICOM, Linee guida per la funzione di
compliance). Si tratta di una funzione apicale ormai essenziale (v. a livello europeo il
richiamo operato all’interno della “MiFID”, art. 13, 2004/39/CE) che si inserisce nel
novero del cd. sistema di controllo interno, ossia l’insieme delle regole, delle procedure e
delle strutture organizzative volte a consentire, attraverso un adeguato processo di
identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione
dell’impresa sana corretta e coerente con gli obiettivi prefissati. Un efficace sistema di
controllo interno contribuisce infatti a garantire – si è osservato – la salvaguardia del
patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilità
dell’informazione finanziaria e, non ultimo, il rispetto di leggi e regolamenti (cfr. Borsa
Italiana, Codice di Autodisciplina, 2006, 35). La Funzione Compliance si colloca dunque in
una cornice sistematica complessa ed articolata che coinvolge direttamente ed
immediatamente i vertici aziendali. Data tale correlazione tra la funzione e gli
amministratori, l’inquadramento di questa da un punto di vista giuridico non può dunque
prescindere da uno sguardo, seppure per sommi capi, all’attuale struttura di governance
delle società medio-grandi.
2.2
Responsabilità degli amministratori all’interno di organizzazioni complesse
È ormai punto condiviso che il livello di complessità dell’azione economica raggiunto dalle
moderne imprese di dimensioni medio-grandi è tale da impedire che gli amministratori
abbiano a disposizione tutti gli elementi per un intervento diretto sulle decisioni
amministrative [Montalenti, La responsabilità degli amministratori nell’impresa
globalizzata, in Mercati finanziari e sistema dei controlli (atti del convegno 1-2 ottobre
2004), Milano, 2005, 127]. Le ragioni di una simile affermazione sembrano poter essere
individuate da un lato nella crescita prettamente dimensionale delle imprese in questione
(anche a causa di operazioni di concentrazione), con l’inevitabile appesantimento
strutturale che essa comporta; dall’altro, nell’introduzione di stakeholder, tanto nuovi
quanto numerosi, che hanno condotto altrettanto necessariamente ad un aumento degli
interessi rilevanti per l’azione imprenditoriale.
Autorevolmente si è osservato che “l’evoluzione dei mercati finanziari, in termini di
innovazione dei prodotti, di trasferimento di rischi e di proiezione internazionale, rende più
complessi l’identificazione e il controllo dei comportamenti che possono costituire
violazione delle norme, degli standard operativi, dei principi deontologici ed etici
dell’attività di intermediazione” [Banca d’Italia, Normativa di vigilanza in materia di
Pagina 10 di 88
Osservatorio
RAPPORTO DI RICERCA
“conformità alle norme” (compliance), Documento per la consultazione, Agosto, 2006, 2].
Si pensi, quale esempio, all’esplosione di concetti prima tutto sommato univoci come
“azionista” e “creditore” in una rosa di frammenti tra loro diversi (piccoli risparmiatori,
investitori istituzionali, azionisti di controllo, minoranze qualificate, imprenditori,
lavoratori, consumatori, istituti di credito, altri partner commerciali), rinvianti ciascuno alla
propria specifica disciplina particolare.
Con il risultato che la stessa condotta degli amministratori ha finito per dover tenere conto
di molteplici istanze, non sempre tra loro compatibili, che hanno contribuito a rendere
probabilmente meno netti gli obiettivi finali dell’alta direzione e sicuramente meno lineari
le vie prescelte per raggiungere tali obiettivi.
2.3
Doveri degli amministratori, dovere di corretta amministrazione
Osservata dal punto di vista dell’amministrazione dell’impresa in generale, e dell’impresa
bancaria in particolare, questa realtà così intensamente variegata e indiscutibilmente
complessa ha fortemente contribuito a mettere in crisi la disciplina della responsabilità
gestoria degli organi apicali, con particolare riferimento al consiglio di amministrazione.
Questa responsabilità viene tradizionalmente organizzata a seconda della categoria di
obbligo violato, distinguendo così tra responsabilità per inosservanza di obblighi specifici
(quali, per esempio, quelli relativi al capitale) e responsabilità per violazione di doveri
generali (come il divieto di agire in conflitto di interessi o il dovere di diligente e corretta
gestione) (Bonelli, La responsabilità degli amministratori, in Trattato delle società per
azioni, 4, Torino, 1991, 323 ss.).
In particolare, il criterio di corretta gestione si è trovato sottoposto ad un notevole stress
interpretativo causato soprattutto dal fatto che, di fronte ad un danno prodotto dalla
violazione di un qualsiasi obbligo, imposto dall’atto costitutivo ma soprattutto dalla legge,
il criterio discriminante rimaneva di fatto il nesso causale tra la violazione in questione e la
condotta del singolo amministratore. Quest’ultimo, avendo (o meglio, dovendo avere) il
completo controllo dell’attività sociale, finalmente, rispondeva tutte le volte che non
riusciva a dimostrare che il danno si era prodotto sebbene egli avesse fatto quanto in suo
potere per vigilare sul generale andamento della gestione ed eventualmente intervenire per
impedire il compimento di atti pregiudizievoli o, nella peggiore delle ipotesi, per
eliminarne o attenuarne le conseguenze dannose. In altri termini, il limite della
responsabilità si concretizzava nella “non conoscibilità” del fatto generatore del danno; non
sarebbe invece stata sufficiente una mera “non conoscenza”, spesso invece qualificata in
giudizio come confessione di inadempimento (Rabitti, Rischio organizzativo e
responsabilità degli amministratori: contributo allo studio dell'illecito civile, Milano,
2004, 26). In questo senso anche la Suprema Corte per la quale, “l’art. 2392 c.c. [vecchio
testo] impone a tutti gli amministratori un generale dovere di vigilanza sul complessivo
andamento della gestione che non viene meno – come si evince dall’espressione “in ogni
caso” di cui al secondo comma – neppure nell’ipotesi di attribuzioni proprie del comitato
Pagina 11 di 88
Osservatorio
RAPPORTO DI RICERCA
esecutivo o di uno o più amministratori. Pertanto, il Presidente del consiglio di
amministrazione di una società di capitali, chiamato a rispondere come coobligato solidale
per omissione di vigilanza, non può sottrarsi alla responsabilità adducendo che le
operazioni integranti l’illecito sono state poste in essere con ampia autonomia da un
dirigente della società medesima” (Cass. sez. lav., 11 aprile 2001, n. 5443, in Giur. comm.,
2002, 437).
Un simile sistema, basato tutto sulla condotta (nelle sue specificazioni di potere e
responsabilità) del singolo amministratore, se era ancora in grado di offrire una risposta
coerente ed adeguata rispetto alle violazioni commesse nell’adempimento di istanze attive
ed immediatamente operative della gestione imprenditoriale (nelle società medio-grandi, di
fatto, le decisioni strategiche), non poteva che entrare in crisi di fronte ad una struttura
organizzativa che diventava sempre più complessa ed articolata, e che, come tale,
richiedeva per il suo funzionamento non più solo decisioni schiettamente operative ma
anche, ed in misura crescente, regolamentazione di carattere più propriamente
organizzativo.
Precisamente davanti a questo tipo di regole il criterio “personalistico” utilizzato per
distribuire le responsabilità all’interno dell’impresa ha mostrato i suoi limiti, non potendo
fisicamente un amministratore controllare ogni singolo atto organizzativo della struttura.
Il moltiplicarsi degli adempimenti rilevanti, unito alla sostanziale “non delegabilità” dei
medesimi da parte degli amministratori a causa della cennata tendenza giurisprudenziale
secondo cui “la condotta omissiva per affidamento a terzi, lungi dal comportare esclusione
da responsabilità, può costituire ammissione dell’inadempimento dell’obbligo di vigilanza”
(Cass. 4 aprile 1998, n .3483, in Giust. civ., 1999, I, 1181), ha finito per condurre tanto ad
eccessi rigoristici, che trasformavano la tradizionale responsabilità per colpa degli
amministratori in responsabilità di posizione (specialmente in presenza di deleghe
all’interno del consiglio di amministrazione); quanto, al contrario, ad ampie zone di
impunibilità, basate sull’insuscettibilità della discrezionalità amministrativa di essere
oggetto di un sindacato da parte del giudice, ma, di fatto, generate anche come reazione
all’orientamento troppo rigido appena descritto.
2.4
Procedimentalizzazione della diligenza
Di fronte a quest’incapacità della disciplina di rispondere adeguatamente alla realtà
operativa, è iniziata ad emergere anche nel nostro Paese, sull’esempio di esperienze
straniere, anglosassoni ma non solo, la valorizzazione e soprattutto il riconoscimento
positivo della predisposizione di un’adeguata struttura organizzativa aziendale per
l’esercizio dell’impresa. Il parametro dell’azione corretta viene così concretizzato in uno
standard che prescrive modelli di organizzazione aziendale a) procedimentalizzata e
trasparente nel suo svolgimento, b) formalizzata in modo da consentirne controlli di
regolarità (anche) a priori e di efficienza a posteriori (Libonati, La società e l’impresa,
Milano, 2004, 264). In tal senso è emersa una tendenza caratterizzata dal fatto che “the due
Pagina 12 di 88
Osservatorio
RAPPORTO DI RICERCA
care standard in a corporate context is applied not to the decision of the director, but
rather to the decision-making process” (Hansen, The ALI Corporate Governance Project:
of the Duty of Due Care and the Business Judgement Rule, a Commentary, in Bus.
Lawyer., 1986, 1241). A partire da discipline settoriali (d.lgs. 626/1994; d.lgs. 231/2001;
d.lgs. 196/2003) per poi diventare elemento diffuso in tutta la legislazione d’impresa,
risulta così sempre più rilevante tale tendenza alla procedimentalizzazione dell’attività, che
consente di individuare soggetti responsabili delle singole fasi del procedimento (Rabitti,
Rischio, cit., 39).
Con la riforma del diritto delle società di capitali, questa tendenza approda pure nel codice
civile, trasformando “in principio giuridico di carattere “generale” la «adeguatezza» degli
assetti interni dell’impresa, che, con riferimento a tipi particolari d’impresa e limitatamente
ad uno o all’altro dei profili dai quali può essere riguardata, era già presente in qualche
provvedimento legislativo… anche se giammai con riferimento all’universalità dei profili
dai quali il principio stesso può essere considerato” (Buonocore, Adeguatezza, precauzione,
gestione, responsabilità: chiose sull’art. 2381, commi terzo e quinto, del codice civile, in
Giur. comm., 2006, I, 5 ss.). La nuova disciplina impone agli organi sociali la
predisposizione (da parte degli amministratori delegati: art. 2381, co. 5, c.c.), la valutazione
(da parte del consiglio di amministrazione: art. 2381, co. 3 c.c.), la vigilanza (da parte del
collegio sindacale: art. 2403 c.c.) degli assetti organizzativi, amministrativi e contabili, al
fine di garantirne l’adeguatezza rispetto all’attività e alle dimensioni della società. Si è
rilevato che “gli amministratori dovranno approntare tutti i sistemi necessari ad assicurare
che ogni fase della vita sociale, sia essa attinente al momento decisionale o a quello
esecutivo, sia adeguatamente strutturata al fine di fare sì che il risultato prodotto
corrisponda ad un parametro di amministrazione ritenuto corretto” (Toffoletto, in AA.VV.,
Diritto delle società di capitali, Manuale breve, Milano, 2005, 210). Ciò sulla base
dell’idea per cui “soltanto un sistema integrato di operazioni coordinate è in grado di
assicurare un risultato qualitativamente apprezzabile, in quanto, al ridursi della
discrezionalità nelle diverse fasi del processo, si riducono parimenti le possibilità d’errore”
(Toffoletto, Diritto, cit., 211). Di conseguenza divengono essenziali tanto una mappatura
dei rischi, identificando le aree e i soggetti coinvolti nelle attività aziendali rilevanti, quanto
una predisposizione di appositi protocolli per le singole procedure, senza trascurare poi una
fase di verifica dell’efficienza ed adeguatezza di queste per la singola impresa, considerate
sia la dimensione di quest’ultima che la natura dell’attività imprenditoriale svolta. In altre
parole, gli amministratori devono predisporre “un sistema operativo complesso in ogni area
dell’attività aziendale (organizzazione, amministrazione e contabilità) che consenta di
gestire la società secondo i canoni di corretta amministrazione” (Toffoletto, Diritto, cit.,
211). A tal proposito bene si è osservato che soprattutto con l’art. 2381 c.c. il legislatore
non prescrive all’impresa (soltanto) una data forma o determinati minimi di capitale, “ma
interviene per incidere sulle concrete modalità di organizzazione interna dell’attività di
impresa, che è campo tradizionalmente lasciato all’autonomia decisionale
dell’imprenditore” (Buonocore, Adeguatezza, cit., 6).
Pagina 13 di 88
Osservatorio
RAPPORTO DI RICERCA
Non che la procedimentalizzazione non fosse già fenomeno diffuso nelle imprese (bancarie
in particolare); la novità sta piuttosto nell’emersione di tale fenomeno da elemento
puramente tecnico com’era a esplicito criterio giuridicamente rilevante, sul quale misurare
in concreto la coerenza dell’operato degli amministratori con i canoni di corretta gestione
imprenditoriale. Si possono, insomma, recuperare in un’ottica finalmente generale le
considerazioni già svolte a proposito di una disciplina settoriale, secondo le quali
“l’attenzione del legislatore si appunta sulle modalità concrete, operative, di svolgimento
dell’attività; le norme scendono nel vivo dell’organizzazione dell’attività imprenditoriale,
tratteggiandone profili operativi e gestionali” (Annunziata, Intermediazione mobiliare e
agire disinteressato: i profili organizzativi interni, in BBTC, 1994, I, 636). Il parametro
dell’azione corretta si estrinseca così in standard formalizzati, tali da permettere ex ante la
valutazione di regolarità dell’assetto organizzativo, nonché, ex post, un controllo di
efficienza. Ne deriva che la responsabilità amministrativa non sarà più (solo e)
necessariamente parametrata sulla condotta operativa dell’amministratore, bensì dovrà
tenere conto anche dell’obbligo (come pure dei limiti di questo) imposto all’organo
amministrativo di assicurare un’efficiente organizzazione imprenditoriale e di far fronte ai
compositi rischi che questa naturalmente comporta.
2.5
L’obiettivo della Compliance: rischio di non conformità e discipline rilevanti
Date queste premesse è ora più agevole inquadrare la Funzione Compliance, esaminandone
i due dati fondamentali, lo scopo e i mezzi necessari per raggiungerlo, che emergono dalla
definizione proposta in apertura: quanto al primo dato, ossia allo scopo, si è detto che
l’azione della Funzione Compliance è finalizzata ad evitare disallineamenti dell’attività
imprenditoriale con l’insieme delle regole esterne ed interne; rispetto ai mezzi, invece, la
soluzione prescelta è quella che fa leva sul governo di un processo trasversale che consta di
presidi organizzativi e operativi.
Concentrando l’attenzione sull’obiettivo della Funzione Compliance, si rileva che, tra i
rischi che si possono limitare (anche) attraverso un’efficiente gestione, particolare
importanza assume il cd. rischio di non conformità alle norme, cioè “il rischio di incorrere
in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione
in conseguenza di violazioni di norme di legge, di regolamenti, ovvero di norme di
autoregolamentazione o di codici di condotta” (Banca d’Italia, Normativa, cit., 2).
In via generale, si è riconosciuto che le norme maggiormente sensibili ad un “rischio di non
conformità” così definito sono quelle che riguardano l’esercizio dell’attività di
intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del
cliente e la disciplina posta a tutela del consumatore; esse tipicamente includono aree quali
l’antiriciclaggio e il finanziamento di attività illecite, eventualmente anche dal punto di
vista fiscale, tanto proprie quanto dei suoi clienti: una banca, che consapevolmente prende
parte ad operazioni formalmente corrette, ma poste in essere dalla controparte con
l’obiettivo di aggirare o comunque di sottrarsi all’applicazione delle norme, si espone ad un
Pagina 14 di 88
Osservatorio
RAPPORTO DI RICERCA
significativo rischio di non conformità (cfr. Banca d’Italia, Normativa, cit, ibidem; Basel
Committee on Banking Supervision, Compliance and the compliance function in banks,
April, 2005, 7).
A quanto consta, però, nessuna autorità ha optato per una circoscrizione esplicita del
perimetro ritenuto sensibile per la Funzione Compliance; il rischio di non conformità
appare così riferirsi ad uno spettro decisamente ampio in termini di prescrizioni rilevanti,
non determinato né – probabilmente – immediatamente determinabile. Cercando tuttavia
un elemento comune a prospettive così diverse, una certa convergenza può essere
individuata, soprattutto alla luce di quanto sopra riportato, nella natura prevalentemente
organizzativa di queste norme, deputate non a gestire un singolo affare, unico e
tendenzialmente non ripetibile negli stessi termini, bensì piuttosto ad informare un intero
settore operativo, quando non l’intera attività della banca. Si tratta, in altre parole, di
discipline di tipo strutturale, caratterizzate – implicitamente o esplicitamente – da una
applicazione circolare, comprensiva di diverse fasi sintetizzabili nell’individuazione ed
applicazione della normativa, nel monitoraggio della fase applicativa della normativa in
questione, nella gestione dei flussi informativi provenienti dal monitoraggio e nella
risoluzione delle anomalie in senso locale o sistematico, eventualmente modificando delle
istruzioni relative alla fase applicativa, con conseguente ripetizione del ciclo (sul punto cfr.
anche Banca d’Italia, Normativa, cit., 4). Scopo delle diverse discipline è quello di ridurre
il rischio di non conformità attraverso procedure preventivamente valutate in grado di
ridurre l’incidenza di comportamenti individuali illegittimi di manager e dipendenti, come
pure il pericolo proveniente da pratiche illecite degli stessi clienti.
In accordo con tali premesse, tanto le esperienze operative quanto la prima letteratura
nazionale in proposito considerano, in tema di normativa primaria e - per quanto detto
sopra - senza pretesa di completezza, “sensibili” dal punto di vista del rischio di non
conformità:
-
la “disciplina della responsabilità amministrativa delle persone giuridiche, delle
società e delle associazioni anche prive di personalità giuridica”, regolata dal d.lgs.
n. 231/2001, il quale recepisce una serie di provvedimenti comunitari ed
internazionali che spingono verso una responsabilizzazione della persona giuridica,
individuando in tale intervento un presupposto necessario ed indefettibile per la
lotta alla criminalità economica;
-
la legge sulla privacy, ossia la normativa a tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali, che prende avvio dalla l. 675/1996,
parzialmente modificata cinque anni dopo con d.lgs. 28 dicembre 2001, n. 467, per
trovare oggi spazio nel cd. codice in materia di protezione dei dati personali (d.lgs.
30 giugno 2003, n. 196) . L’articolata disciplina si basa sull’imposizione di
obblighi formali funzionali alla trasparenza della disponibilità che taluno abbia di
dati personali altrui (come oggi definiti ex art. 4, co. 1, lett. b), d.lgs. 196/2003) e
dei trattamenti a cui li assoggetti;
Pagina 15 di 88
Osservatorio
RAPPORTO DI RICERCA
-
la normativa antiriciclaggio, deputata a contrastare la criminalità finanziaria. Le
linee di intervento sono state concretizzate dall’UE in tre direttive che hanno
progressivamente ampliato la rete di controllo contro il riciclaggio, precisandone
gli strumenti di contrasto. Le tre direttive sono nell’ordine: la direttiva 91/308/CE;
la direttiva 01/97/CE; la direttiva 05/60/CE. In Italia i cardini della disciplina
antiriciclaggio sono rappresentati in primis dal dl. 3 maggio 1991, n. 143
(convertito con modificazioni in l. 5 luglio 1991, n. 197) e dal d.lgs. 20 febbraio
2004, n. 56, che recepisce nel nostro ordinamento la seconda direttiva CE, la
01/97/CE. Quanto alla terza direttiva, la 05/60/CE, ne è previsto il recepimento con
la legge “Comunitaria” 2005 (art. 22, l. 25 gennaio 2006, n. 29);
-
la disciplina relativa al cd. market abuse, regolata nel nostro Paese dalla legge
comunitaria 2004 (l. 18 aprile 2005, n. 62), la quale ha dato attuazione alla
Direttiva comunitaria 03/6/CE (c.d. Direttiva “Market Abuse”), incidendo,
principalmente su due materie già regolate dal Testo Unico della Finanza: la
disciplina dell’informazione societaria (con specifico riferimento alla materia delle
comunicazioni al pubblico), e la regolamentazione degli illeciti (soprattutto, ma
non solo, insider trading e manipolazione del mercato). Si tratta di materie
strettamente connesse, nella misura in cui il rafforzamento delle norme in tema di
informazione e trasparenza è direttamente funzionale alla prevenzione degli illeciti
regolati dal medesimo provvedimento;
-
le nuove “Disposizioni per la tutela del risparmio e la disciplina dei mercati
finanziari”, finalizzate al rafforzamento ed all’incremento di efficacia della tutela
del risparmio investito in strumenti finanziari. Questa disciplina è stata introdotta
con la legge n. 262 del 28 dicembre 2005, pubblicata in pari data nel supplemento
ordinario n. 208 della Gazzetta Ufficiale, al termine di un lungo e complesso iter
parlamentare. Il disegno riformatore è molto ampio ed eterogeneo. L’intervento
legislativo tocca, infatti, la disciplina della governance delle società quotate; profili
di trasparenza nei rapporti con società estere; le regole sulla circolazione degli
strumenti finanziari; la materia dei conflitti d’interesse nelle attività finanziarie; le
disposizioni in materia di servizi bancari, di regolamentazione dei mercati e
informazione societaria; la disciplina della revisione dei conti; i rapporti fra le
autorità di vigilanza e le regole relative ai procedimenti e all’organizzazione delle
Autorità; la disciplina delle sanzioni penali e amministrative. Le modifiche
riguardano principalmente le norme del Testo unico della finanza (d.lgs. n.
58/1998), del Testo unico bancario (d.lgs. n. 383/1993) e del codice civile;
-
nonché la disciplina in materia di sicurezza sul lavoro, che sembra dover far parte
del novero almeno in forza della peculiare impostazione “procedimentalizzata”,
tipica del d.lgs. n. 626/1994, il quale pur comportando modifiche limitate, seppur
significative, alla precedente normativa, è piuttosto finalizzato ad una diversa
impostazione del modo di affrontare le problematiche della sicurezza sul lavoro.
“Le innovazioni tendono, infatti, a istituire nell’azienda un sistema di gestione
Pagina 16 di 88
Osservatorio
RAPPORTO DI RICERCA
permanente ed organico diretto alla individuazione, valutazione, riduzione e
controllo costante dei fattori di rischio per la salute e la sicurezza dei lavoratori,
mediante: la programmazione delle attività di prevenzione, in coerenza a principi e
misure predeterminati; l’informazione, formazione e consultazione dei lavoratori e
dei loro rappresentanti; l’organizzazione di un servizio di prevenzione i cui compiti
sono espletati da una o più persone designate dal datore di lavoro, tra cui il
responsabile del servizio – che può essere scelto anche nell’ambito dei dirigenti e
dei preposti” (Circ. Min. Lav. n. 102, 7 agosto 1995).
2.6
La Compliance: gestione del rischio
Dopo aver tratteggiato un perimetro minimo di normativa sensibile e, soprattutto, aver
tentato di delineare gli elementi costitutivi di un criterio funzionale attraverso il quale
individuare ulteriori discipline rilevanti, è opportuno affrontare l’esame dei mezzi con i
quali rispondere adeguatamente al rischio di non conformità.
Al fine di evitare disallineamenti con l’insieme di regole esterne ed interne, tutte le società,
e gli istituti di credito in particolare, sono chiamate a dotarsi strumenti di autodisciplina dei
processi decisionali e di controllo, in forma di norme comportamentali e standard
procedurali, preventivamente valutati come idonei ad assicurare la correttezza del sistema”
(Bartolomucci, Riflessioni in tema di adozione degli strumenti di previsione dei reati
d’impresa con finalità esimente, in Società, 2003, 813). È appena il caso di notare, come
del resto si è suggerito da più parti (Banca d’Italia, ma anche il Comitato di Basilea), che
non esiste un modello di compliance ideale e universalmente valido; esso varierà invece al
variare tanto del parametro dimensionale, quanto di quello strutturale (società monade o
società di gruppo), quanto, se non soprattutto, di quello degli ambiti operativi in cui è attivo
l’istituto di credito.
Esistono però dei principi guida da seguire: le recentissime istruzioni di Banca d’Italia –
pur nella loro forma ancora provvisoria – hanno evidenziato che, nell’ottica di approntare
specifici presidi organizzativi volti ad assicurare il rigoroso rispetto delle prescrizioni
normative e di autoregolamentazione, tali strumenti di autodisciplina devono comprendere:
una chiara e formalizzata individuazione e distinzione di ruoli e responsabilità ai fini della
gestione del rischio, a tutti i livelli dell’organizzazione della banca; l’istituzione di
un’apposita funzione incaricata della gestione del rischio; la nomina di un responsabile
della conformità alle norme all’interno della banca; la redazione e formalizzazione di un
documento interno concernente la funzione di conformità che indichi responsabilità,
compiti, modalità operative flussi informativi, programmazione e risultati dell’attività
svolta.
Fatta questa premessa, spetterà all’autonomia privata il compito di predisporre presidi in
grado di contrastare efficacemente il rischio di non conformità: trattandosi di un rischio
diffuso che incide sulla “gestione ordinaria” della banca e all’interno delle sue linee
Pagina 17 di 88
Osservatorio
RAPPORTO DI RICERCA
operative, la gestione di quest’ultimo non potrà non riguardare ogni livello
dell’organizzazione aziendale.
I profili relativi alla costituzione della Funzione Compliance saranno approfonditi nel
prosieguo; in questa sede è però opportuna qualche breve riflessione circa il ruolo in questa
funzione degli organi apicali, e del consiglio di amministrazione in particolare, insistendo
soprattutto su quest’ultimo tanto la disciplina generale del codice civile, quanto, e seppur in
via gerarchicamente subordinata, la futura versione definitiva delle istruzioni di vigilanza
di Banca d’Italia.
Pur diramandosi fino ad innervare l’azione di ogni singolo dipendente, infatti, compliance
starts at the top (v. per tutti, Basel Committee on Banking Supervision, Compliance, cit.,
7). Dell’efficienza ed adeguatezza del sistema di gestione del rischio di non conformità alle
norme rimangono, come si giustifica da quanto detto sopra, responsabili gli organi sociali,
tanto il collegio sindacale quanto, e soprattutto, il consiglio di amministrazione.
Quest’ultimo in particolare, sentiti i sindaci, approva le politiche di gestione del rischio e,
almeno una volta l’anno, valuta l’adeguatezza della funzione di conformità alle norme; per
tale secondo compito può avvalersi di un comitato costituito al suo interno. Questa
valutazione prenderà le mosse da una relazione predisposta dagli organi delegati e dal
direttore generale, ma, sembra, non potrà sempre esaurirsi nell’esame di tale relazione. Il
consiglio di amministrazione, infatti, deve «valutare» l’adeguatezza e a tale scopo è quindi
tenuto a richiedere ogni integrazione necessaria, là dove la relazione sia eccessivamente
sintetica, reticente, incompleta o comunque non esauriente: “conclusione a cui si giunge
linearmente … ove si colleghi sistematicamente la regola in esame al dovere individuale di
«agire in modo informato» e di «chiedere agli organi delegati che in consiglio siano state
fornite informazioni relative alla gestione della società» (art. 2381, comma 6)” (in questo
senso, sebbene con riferimento più generale, Montalenti, La responsabilità, cit., 132). In
conclusione, l’informativa non può limitarsi ad affermazioni apodittiche, dovendo, per
contro consentire al consiglio, sul quale come detto rimane la responsabilità per
l’adeguatezza del sistema della gestione del rischio, “una valutazione in concreto dei
sistemi adottati, delle procedure seguite per verificarne l’efficienza e l’efficacia, della
correttezza e dell’idoneità, dunque, delle metodologie di organizzazione e di controllo
poste in essere (Montalenti, ibidem).
D’altra parte, spetta agli organi delegati assicurare un’efficace gestione del rischio di
conformità, a tal fine
-
identificando e valutando i principali rischi di non conformità a cui la banca è
esposta, programmando i relativi interventi di gestione;
-
definendo adeguate politiche e procedure di conformità;
-
stabilendo canali di comunicazione efficaci per assicurare che il personale a tutti i
livelli dell’organizzazione sia a conoscenza dei presidi di conformità relativi ai
propri compiti e responsabilità;
Pagina 18 di 88
Osservatorio
RAPPORTO DI RICERCA
-
verificando che le politiche e le procedure vengano osservate all’interno della
banca;
-
nel caso che emergano violazioni, accertando che siano apportati i necessari
rimedi;
-
delineando i flussi di comunicazione volti ad assicurare agli organi di vertice piena
consapevolezza sulle modalità di gestione del rischio di non conformità (cfr. Banca
d’Italia, Normativa, cit., 3).
Inoltre, come si è visto, gli organi delegati, insieme con il direttore generale, hanno il
compito di riferire al consiglio d’amministrazione e al collegio sindacale sull’adeguatezza
della gestione del rischio di non conformità attuata dalla banca, fornendo tempestiva
informazione su ogni violazione sostanziale della conformità alle norme.
Pagina 19 di 88
Osservatorio
RAPPORTO DI RICERCA
3. Costituzione della Funzione Compliance
3.1
Principi e linee guida per la costituzione della Funzione Compliance
In base alla definizione del Comitato di Basilea e alla successiva normativa di vigilanza in
materia di conformità alle norme 2 di Banca d’Italia, la Funzione Compliance governa un
processo trasversale volto a presidiare il cosiddetto rischio di compliance.
Per garantire che lo svolgimento di tale compito risponda a quei requisiti basilari di
autonomia, indipendenza e autorevolezza senza i quali esso non potrebbe risultare
realmente efficace, l’Associazione Italiana Compliance (AICOM) ha emanato un
insieme di linee guida 3 per la Funzione (figura 2). Tale documento, sinteticamente esposto
nell’ambito del presente paragrafo, è stato presentato e discusso nel corso della seconda
giornata di lavori dell’Osservatorio.
Figura 2 – Linee guida per la Funzione Compliance
Fonte: rielaborazione da AICOM, 2006
1° principio: le responsabilità del consiglio di amministrazione e del senior
management.
Consiglio di amministrazione e senior management sono i responsabili del Processo di
Compliance.
Il consiglio di amministrazione, in quanto responsabile del sistema dei controlli interni, è
anche il principale responsabile delle attività di Compliance e quindi il massimo
supervisore dei relativi rischi. Tale responsabilità implica la definizione dei contenuti del
2
Normativa di vigilanza in materia di conformità alle norme, documento per consultazione, Banca
d’Italia, agosto 2006.
3
Linee guida per la funzione di compliance, documento di discussione, AICOM, giugno 2006.
Pagina 20 di 88
Osservatorio
RAPPORTO DI RICERCA
mandato attribuito alla Funzione, l’approvazione dei piani e dei programmi oprativi,
l’attribuzione alla Funzione di una dotazione infrastrutturale adeguata, la definizione dei
flussi informativi da richiedere, la revisione periodica della struttura per garantirne
adeguatezza, efficacia ed efficienza.
Il senior management è responsabile della presenza permanente nell’organizzazione
aziendale di una Funzione Compliance, dell’attribuzione alla medesima di un adeguato
status formale nonché della concreta realizzazione di attività di Compliance all’interno
dell’azienda/gruppo aziendale. A tal fine collabora con la Funzione nella definizione dei
piani e programmi operativi e ne valuta l’adeguatezza. Congiuntamente al consiglio di
amministrazione valuta almeno con cadenza annuale i risultati delle attività di Compliance
effettuate, garantendo alla Funzione la costante adeguatezza strutturale per l’espletamento
delle medesime.
Il consiglio di amministrazione è responsabile della supervisione sia dei programmi di
Compliance che degli interventi del senior management.
2° principio: il mandato
I compiti, il posizionamento gerarchico e l’autorità attribuiti alla Funzione Compliance
devono essere formalizzati per iscritto in un Mandato opportunamente approvato dal
consiglio di amministrazione.
Il Mandato esplicita e formalizza il ruolo, il posizionamento gerarchico, i compiti e
l’autorità della Funzione Compliance. Più in dettaglio, è necessario che gli obiettivi indicati
dal Piano di Compliance siano chiari, così come il grado di libertà e di autonomia
assegnato alla Funzione, nonché le responsabilità nel processo di diffusione interna delle
normative, i requisiti di reporting e le modalità/diritti di accesso alla informazioni
aziendali. Con riferimento alle responsabilità, la loro corretta identificazione ed
esplicitazione ex ante risulta essenziale per l’efficace operatività della Funzione, anche in
relazione alla sua trasversalità rispetto alla catena operativa e al conseguente rischio di
sovrapposizioni.
3° principio: i principi etici e la formazione
L’azienda deve favorire lo sviluppo della cultura del controllo e promuovere e divulgare
“Programmi Etici e di Compliance” per prevenire comportamenti illeciti e/o non conformi
a regolamenti e normative.
Le aziende devono promuovere la cultura della conformità e del controllo nell’ambito dei
processi, anche tramite l’attivazione di specifici percorsi formativi oltre che divulgare
programmi etici e di prevenzione dei rischi di Compliance. La formazione sulle specifiche
materie di Compliance e sulle novità normative intervenute rientra nei compiti della
Funzione, così come la sensibilizzazione continua delle risorse umane aziendali sui temi
dell’integrità e dell’etica professionale.
Pagina 21 di 88
Osservatorio
RAPPORTO DI RICERCA
L’attività di formazione e di sensibilizzazione deve essere finalizzata ad approfondire la
conoscenza delle normative rientranti nel perimetro di intervento della Funzione, a rendere
consapevoli dei rischi di non conformità e delle conseguenze rivenienti dall’attuazione di
comportamenti non conformi oltre che a promuovere e consolidare una cultura basata su
principi etici che inducano sempre più a comportamenti corretti e conformi a regole esterne
ed interne
Per la realizzazione di tale attività di sensibilizzazione, informazione e formazione, la
Funzione deve poter contare sul supporto delle altre funzioni aziendali tra cui, in
particolare l’organizzazione e il personale. La formazione deve essere obbligatoria e
certificata dall’azienda.
4° principio: il posizionamento organizzativo
Il posizionamento della Funzione deve garantirle l’autorevolezza e l’autorità necessarie a
consentirle di espletare di fatto il ruolo attribuitole con il Mandato. La Funzione deve
essere indipendente e rispondere direttamente al consiglio di amministrazione che è il
responsabile massimo della gestione del rischio di Compliance.
I temi del posizionamento della Funzione Compliance nell’ambito della struttura
organizzativa e della definizione dei rapporti con le altre funzioni facenti parte del Sistema
dei Controlli Interni sono ancora ampiamente dibattuti. Pur nella salvaguardia dei livelli di
autonomia garantiti ai singoli istituti finanziari, devono infatti essere salvaguardati i
principi di autorità e autorevolezza del ruolo, nonché di indipendenza rispetto alle strutture
operative.
A tale proposito, il Mandato deve esplicitare le modalità con cui la Funzione si rapporta
agli organi di vertice della banca – consiglio di amministrazione, comitato di audit, senior
management - e interagisce con i referenti del processo di Compliance. Inoltre, il Mandato
deve sancire l’indipendenza della Funzione dalle strutture operative – funzioni di business
– e la giusta differenziazione dalle altre funzioni di controllo – risk management e internal
audit – definendo esplicitamente i rispettivi ruoli e competenze e identificando eventuali
sinergie.
5° principio: l’adeguamento infrastrutturale e l’organico
La Funzione deve essere dotata di mezzi e risorse adeguati; flussi informativi e specifici
percorsi formativi devono garantirle nel continuo l’acquisizione di quelle competenze
necessarie a svolgere gli interventi previsti dal Mandato.
A garanzia di un’efficace operatività, la Funzione Compliance deve poter disporre delle
risorse umane e infrastrutturali necessarie all’espletamento dei suoi compiti. In particolare,
con riferimento all’organico, sono richieste adeguate competenze in termini di conoscenza
della Normativa, aggiornamento continuo, cultura di Compliance e rispetto dei principi
etici. Altro fattore essenziale è la possibilità/capacità di accesso alle informazioni e ai dati
Pagina 22 di 88
Osservatorio
RAPPORTO DI RICERCA
aziendali, nonché la garanzia di un reporting proveniente dalle altre funzioni di controllo
interne. Devono inoltre essere garantite adeguate strutture fisiche e tecnologiche di
supporto agli scambi informativi. Il grado di adeguatezza della struttura di Compliance
viene periodicamente valutato e comunicato al consiglio di amministrazione, divenendo
uno degli elementi fondamentali di valutazione delle capacità della funzione di espletare i
propri compiti e perseguire i propri obiettivi.
6° principio: le policy aziendali
Le policy aziendali devono garantire alla Funzione l’espletamento del processo di
Compliance e il completamento dei cicli di intervento.
Il ruolo delle policy aziendali è essenziale per garantire alla Funzione Compliance il
perseguimento degli obiettivi definiti e un’operatività efficace all’interno del contesto
organizzativo. Esse devono pertanto garantire che alla Funzione sia assicurato:
-
l’espletamento di un processo di Compliance che possa realmente integrare nelle
attività aziendali i presidi di prevenzione individuati dalla Funzione;
-
la produzione di adeguati flussi informativi;
-
l’aggiornamento e la formazione necessari a consentirle di intervenire sempre e
tempestivamente sui processi;
-
un confronto continuo con il senior management su strategie/decisioni aziendali,
anche tramite il coinvolgimento della Funzione nei diversi comitati/organismi
aziendali (es. comitato nuovi prodotti, ecc.) nei quali le transazioni e i prodotti
sono valutati alla luce del rischio di Compliance;
-
il reporting proveniente dalle varie funzioni di controllo del sistema, piena
visibilità sulle analisi di rischio condotte dalle varie funzioni e pieno accesso alle
risultanze emergenti dalle attività di audit;
-
la costante assistenza al senior management nell’identificazione delle principali
issue emergenti dall’attività di Compliance e nella loro rimozione;
-
l’espletamento di un ciclo di Compliance efficace ed efficiente.
7° principio: la metodologia
Le tecniche di identificazione, gestione e monitoraggio dei rischi di Compliance devono
essere allineate e coerenti con quelle utilizzate nei processi di risk management e di
controllo.
Per lo sviluppo delle proprie metodologie la Funzione deve poter contare sulla
collaborazione con le altre funzioni aziendali; in tal modo essa contribuisce al
contenimento dei rischi di Compliance e, conseguentemente, alla definizione di processi
conformi alle normative esterne. A tale scopo offre il proprio supporto consultivo e
Pagina 23 di 88
Osservatorio
RAPPORTO DI RICERCA
regolamentare alle strategie e al business aziendali, tutto ciò evitando conflitti all’interno
dell’organizzazione.
Tramite tecniche di assessment la Funzione aggiorna periodicamente il sistema dei
controlli interni ai rischi di non conformità emergenti dall’evoluzione e dallo sviluppo del
modello di business aziendale, quindi corregge nei processi l’eventuale inadeguata
applicazione di normative interne ed esterne. Identificati i rischi, la Funzione propone
l’introduzione di fattori di mitigazione e di controlli integrativi ritenuti necessari per il loro
contenimento ai livelli desiderati o per la loro eliminazione.
L’applicazione di tecniche di assessment configura un intervento di tipo “bottom up”:
tramite l’assessment, infatti, i processi vengono analizzati e valutati in termini di
rispondenza alle norme. Ciò consente la predisposizione di piani di intervento atti alla
rimozione dei gap riscontrati.
L’intervento della Funzione, trasferendo i principi etico/deontologici promossi
dall’azienda, agevola così la diffusione della cultura della conformità e del controllo e
favorisce l’acquisizione di competenze tecniche e di specifiche conoscenze sullo
svolgimento dei processi.
I risultati dell’assessment devono essere documentati e formalizzati dalla Funzione e
riportare le necessità operative espresse dalle strutture coinvolte.
8° principio: il processo di Compliance
La Funzione governa un processo trasversale che consta di presidi organizzativi e
operativi atti ad evitare disallineamenti con l’insieme delle regole esterne ed interne. Il
processo, opportunamente formalizzato, può riguardare la sola Capogruppo/più Aziende
del Gruppo/l’intero Gruppo di riferimento. La Funzione governa tale processo esprimendo
pareri e indicazioni sulle tematiche di propria competenza.
La Funzione Compliance è il referente unico dell’intero processo di Compliance, in quanto
interlocutore univoco del consiglio di amministrazione e del senior management sui rischi
di Compliance. Essa infatti ha il compito di relazionare sui rischi di Compliance in una
visione sistemica e d’insieme e d’individuare, in maniera condivisa con le altre funzioni
facenti parte del sistema dei controlli, idonee soluzioni per la mitigazione/eliminazione dei
rischi stessi.
Obiettivo fondamentale del processo è l’allineamento alle regole interne ed esterne,
perseguito tramite l’implementazione di opportuni presidi organizzativi e operativi messi in
atto sia dalle risorse interne alla Funzione Compliance, sia da risorse appartenenti alle
diverse aree operative.
Il Processo di Compliance è descritto in maggior dettaglio nel Paragrafo 3.4.
Pagina 24 di 88
Osservatorio
RAPPORTO DI RICERCA
3.2
Ruoli, responsabilità e modelli organizzativi
La Funzione Compliance è costituita con lo scopo di presidiare il rischio di non conformità.
L’efficacia di tale presidio è legata allo sviluppo, all’interno dell’impresa, di una “cultura
della conformità” avente carattere fortemente proattivo, che ponga l’accento sul
conseguimento e mantenimento di elevati standard di onestà e affidabilità; in tale opera
risulta basilare l’esempio fornito dagli organi amministrativi e dall’alta direzione. A tale
proposito, i principi dettati dal Comitato di Basilea, recepiti dalla normativa di vigilanza in
materia di conformità alle norme in fase di emissione 4 da parte di Banca d’Italia (rif.
documento per consultazione, agosto 2006), definiscono come responsabile ultimo della
gestione del rischio di compliance all’interno della banca, il consiglio di amministrazione.
Sotto il profilo più strettamente operativo all’alta direzione, coadiuvata dalla Funzione
Compliance, spettano i seguenti compiti:
-
valutazione annuale delle principali fonti di rischio di conformità cui la banca deve
far fronte e delle eventuali carenze nella gestione di tale rischio;
-
reporting annuale all’organo amministrativo responsabile della Compliance in
merito alla gestione delle politiche di conformità;
-
reporting occasionale all’organo amministrativo responsabile della Compliance in
caso di eventuali lacune riscontrate nelle attività di Compliance.
La già citata normativa di vigilanza mira a salvaguardare la discrezionalità delle singole
banche nell’organizzare la funzione di conformità in coerenza con le proprie peculiarità
dimensionali e operative nonché con l’assetto organizzativo e strategico della gestione dei
rischi, purché:
4
-
sia indipendente (rispetto alle aree operative). A tal fine è necessario che: vengano
formalizzati lo status e il mandato della funzione attraverso l’indicazione di
compiti, responsabilità, addetti, prerogative, flussi informativi diretti agli organi di
vertice; venga nominato un responsabile indipendente (cioè senza responsabilità
diretta di aree operative né gerarchicamente dipendente da soggetti aventi la
responsabilità di tali aree); sia assicurata la presenza di adeguati presidi per
prevenire i conflitti di interesse attraverso, in particolare, la previsione di flussi
informativi separati e dedicati. Viene inoltre sancito il principio di separatezza
della funzione rispetto alla revisione interna;
-
sia dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da
svolgere. Sotto il profilo delle risorse umane, va rilevato che le attività di
conformità possono essere svolte da personale inserito in una struttura
organizzativa dedicata e gerarchicamente dipendente dal responsabile della
funzione ovvero da dipendenti integrati nelle diverse aree operative.
Indipendentemente dalla soluzione organizzativa prescelta, il personale che svolge
Al momento della stesura del presente rapporto (ndr).
Pagina 25 di 88
Osservatorio
RAPPORTO DI RICERCA
funzioni di conformità deve essere adeguato per: numero; competenze tecnicoprofessionali; aggiornamento, anche attraverso l’inserimento in programmi di
formazione nel continuo. Inoltre, attraverso l’attribuzione di risorse economiche
eventualmente attivabili anche in autonomia, dovrà essere consentito alla funzione
il ricorso a consulenze esterne, in relazione alla particolare complessità di
specifiche innovazioni normative e/o operative;
-
abbia accesso a tutte le attività della banca svolte sia presso gli uffici centrali sia
presso le strutture periferiche nonché a qualsiasi informazione rilevante per lo
svolgimento dei propri compiti, anche attraverso il colloquio diretto con il
personale.
Inoltre, le banche di dimensioni contenute o caratterizzate da una limitata complessità
operativa potranno affidare lo svolgimento della funzione di conformità alle strutture
esistenti incaricate della gestione dei rischi o a soggetti terzi (es. altre banche, società di
revisione ovvero organismi associativi di categoria), purché dotati di caratteristiche idonee
in termini di professionalità e indipendenza. Resta in ogni caso ferma la necessità di
nominare un responsabile della funzione all’interno dell’azienda, al quale spetta il compito
di referente interno per il soggetto incaricato della funzione nonché la complessiva
supervisione dell’attività di gestione del rischio, posto che la responsabilità per la corretta
gestione del rischio di non conformità resta in capo alla banca.
Per le banche organizzate in strutture di gruppo alcune attività di conformità potranno
invece essere accentrate, al fine di conseguire economie di scala e creare unità specializzate
all’interno del gruppo medesimo; resta, comunque, fermo che in ciascuna banca del gruppo
dovrà essere nominato un responsabile della conformità, che costituirà il referente della
corrispondente struttura di gruppo.
Sempre in riferimento alla normativa di vigilanza, i principali adempimenti che la
Funzione Compliance è chiamata a svolgere sono:
-
l’identificazione nel continuo delle norme applicabili alla banca e la
misurazione/valutazione del loro impatto su processi e procedure aziendali;
-
la proposta di modifiche organizzative e procedurali finalizzata ad assicurare
adeguato presidio dei rischi di non conformità identificati;
-
la predisposizione di flussi informativi a tutte le strutture interessate (organi di
vertice, revisione interna, gestione del rischio operativo);
-
la verifica dell’efficacia degli adeguamenti organizzativi (strutture, processi,
procedure anche operativi e commerciali) suggeriti per la prevenzione del rischio
di conformità.
In relazione ai molteplici profili professionali richiesti per l’espletamento di tali
adempimenti, le varie fasi in cui si articola l’attività della funzione di conformità possono
essere affidate a strutture organizzative diverse già presenti nella banca (es. legale,
Pagina 26 di 88
Osservatorio
RAPPORTO DI RICERCA
organizzazione, gestione del rischio operativo), con la sola esclusione della funzione di
revisione interna, purché il processo di gestione del rischio e l’operatività della funzione
siano ricondotti ad unità mediante la nomina di un responsabile (Compliance Officer)
dotato di adeguati requisiti di indipendenza, autorevolezza e professionalità, che coordini e
sovrintenda alle diverse attività, anche attraverso la predisposizione di un apposito
programma di attività.
Inoltre, la funzione di conformità deve essere coinvolta nella valutazione ex ante della
conformità alla regolamentazione di riferimento di tutti i progetti innovativi che la banca
intenda intraprendere nonchè nella prevenzione e nella gestione dei conflitti di interesse,
sia tra le diverse attività svolte dalla banca sia con riferimento ai dipendenti e agli
esponenti aziendali.
Altra area di particolare rilievo in cui la funzione di conformità deve costituire un
importante punto di riferimento per le decisioni degli organi di vertice è rappresentata dalla
verifica della coerenza del sistema premiante (in particolare retribuzione e incentivazione
del personale) con gli obiettivi di rispetto delle norme, dello statuto nonché di eventuali
codici etici o altri standard di condotta applicabili alla banca.
Rientrano nell’ambito della funzione di conformità anche la consulenza e assistenza nei
confronti degli organi di vertice della banca in tutte le materie in cui assume rilievo il
rischio di non conformità nonché la collaborazione nell’attività di formazione del personale
al fine di prevenire il rischio di non conformità attraverso la conoscenza delle disposizioni
applicabili alle attività svolte e di favorire la diffusione di una cultura aziendale improntata
ai principi di onestà, correttezza e rispetto dello spirito e della lettera delle norme.
Nel corso dei lavori dell’Osservatorio sono stati presentati e discussi casi ed esperienze
locali ed internazionali. Dalla sintesi che ne è seguita sono emersi i seguenti approcci,
piuttosto ricorrenti nell’implementazione della Funzione Compliance:
-
costituzione di una specifica funzione;
-
attribuzione di competenze specifiche ad altre funzioni (preesistenti);
-
attribuzione di
indipendenti;
-
presenza, all’interno della banca, di soggetti a cui vengono delegate specifiche
funzioni di controllo;
-
attribuzione di competenze specifiche (o ibride) a comitati già attivi, aventi compiti
consultivi o deliberativi;
-
attribuzione di compiti di verifica a organismi di controllo esterni alla banca.
competenze
specifiche
a
consiglieri
di amministrazione
Nell’ambito del campione di banche partecipanti all’Osservatorio (12 istituzioni
complessivamente) è presente una struttura dedicata, anche se diversamente articolata sul
piano organizzativo, nell’86% dei casi.
Pagina 27 di 88
Osservatorio
RAPPORTO DI RICERCA
Un’indagine recentemente condotta per AICOM – Associazione Italiana Compliance dalle
Università degli Studi di Perugia e Roma Tre su un campione più esteso di aziende (33),
prevalentemente costituito da primarie banche nazionali e diverse tra le maggiori banche
estere operanti in Italia (complessivamente, 29 intermediari finanziari), evidenzia (figura 3)
la presenza di un’unità che si occupa di Compliance nel 70% dei casi.
Figura 3 – Presenza di un’unità di Compliance
Fonte: AICOM, Università degli Studi di Perugia, Università degli Studi di Roma Tre, 2006
Fra le aziende che hanno già un’unità di Compliance (70% del campione AICOM), il 65%
ha istituito un’unità apposita (Funzione Compliance) mentre il restante 35% ha assegnato
le funzioni di Compliance a unità preesistenti.
Sempre in relazione a questi aspetti, una ricerca condotta su un vasto campione di banche
statunitensi 5 ha consentito di individuare cinque differenti modelli organizzativi per la
Funzione Compliance:
1. la responsabilità della Compliance è affidata a un unico soggetto (Compliance
Officer) non coadiuvato da un ulteriore staff;
2. la divisione centrale di Compliance (Funzione Compliance) coordina anche quella
parte di risorse inserita in altre funzioni aziendali;
3. le attività di conformità svolte da altre funzioni fanno riferimento alla divisione
Compliance;
4. la divisione Compliance è dotata del proprio e autonomo staff;
5. la divisione Compliance è costituita a livello centrale del gruppo e coordina altre
funzioni Compliance dislocate sia sul territorio che in altre divisioni del gruppo.
5
American Banking Association (ABA), “The nationwide Bank Compliance Officer Survey”, in
ABA Banking Journal, Compliance Watch, 2003. Nello studio vengono considerate 1000 banche,
classificate in 3 classi: attivo inferiore ai 1 mld di dollari, superiore a 5 mld e compreso tra i due
valori.
Pagina 28 di 88
Osservatorio
RAPPORTO DI RICERCA
I risultati di questa ricerca evidenziano, in modo piuttosto forte, due linee di tendenza. In
primo luogo, si tratta di modelli organizzativi piuttosto schematici (archetipi) che, nella
pratica, tendono a sovrapporsi con una certa facilità; inoltre, all’aumentare della
dimensione dell’intermediario (in termini di attivo di bilancio) cresce la percentuale di
banche dotate di una Funzione Compliance specificatamente costituita, anche se non
necessariamente autonoma (figura 4).
Figura 4 – Modelli organizzativi adottati
Fonte: P. Pogliaghi, W. Vandali, “La Compliance in Banca”, pag. 58, Bancaria Editrice, 2005
Queste ed altre considerazioni, maggiormente legate ai recenti sviluppi della normativa in
materia di Compliance, hanno portato il gruppo di lavoro ad identificare due possibili
modelli organizzativi (archetipi) per la costituzione della Funzione Compliance:
Modello Accentrato – Nel modello accentrato la Funzione Compliance è autonoma e dotata
di risorse adeguate, per numero e professionalità, a controllare le specifiche attività di
ciascuna unità organizzativa, integrandosi in modo armonico nel sistema dei controlli
interni della banca (internal audit e risk management). Si tratta di un modello organizzativo
piuttosto oneroso in termini di risorse e come tale adatto alle banche di maggiori
dimensioni o ai gruppi bancari, per i quali può risultare, invece, conveniente accentrare
alcune delle attività di conformità nell’ambito delle strutture di gruppo (fermo restando,
come già evidenziato, la necessità di nominare un responsabile della conformità in ognuna
delle banche facenti parte del gruppo, in veste di referente). L’efficacia del modello,
potenzialmente elevata, dipende dalla capacità di non creare un’eccessiva
burocratizzazione e duplicazione di competenze tra i soggetti che, a diverso titolo, operano
all’interno dei processi bancari.
Pagina 29 di 88
Osservatorio
RAPPORTO DI RICERCA
Modello Decentrato – Questo modello prevede che la responsabilità della Compliance sia
posta in capo ad un soggetto (Compliance Officer) che coordina e controlla le attività di
conformità a leggi, regolamenti e standard, operativamente realizzate dalle altre unità
organizzative della banca. Nella sua funzione di coordinamento e controllo, il Compliance
Officer può avvalersi della collaborazione delle altre funzioni facenti parte del sistema dei
controlli interni (internal audit e risk management). Si tratta di un modello più facilmente
applicabile, rispetto a quello accentrato, alle banche di dimensione più piccola,
caratterizzate da attività semplici, un grado di sofisticazione dei prodotti offerti piuttosto
basso e una limitata complessità territoriale. In questi casi, come abbiamo già rilevato, la
figura del Compliance Officer può coincidere con quella del responsabile della gestione dei
rischi e la gestione delle attività di conformità può essere affidata, almeno in parte, a
soggetti terzi, sulla base di specifici contratti di servizio che (almeno) definiscano gli
obiettivi della funzione, la frequenza minima dei flussi informativi nei confronti del
responsabile interno all’azienda (Compliance Officer) e degli organi di vertice, fermo
restando l’obbligo di corrispondere tempestivamente a qualsiasi richiesta di informazioni e
consulenza da parte di questi ultimi, gli obblighi di riservatezza delle informazioni
acquisite nell’esercizio della funzione, la possibilità di rivedere le condizioni del servizio al
verificarsi di modifiche nell’operatività e nell’organizzazione della banca.
Nella pratica, si assisterà al diffondersi di varianti di questi due modelli, il cui grado di
accentramento (o decentramento) dipenderà dalle peculiarità di ogni singola banca in
relazione a temi quali le politiche di presidio del rischio (in generale e di compliance in
particolare), le strategie organizzative, la disponibilità di risorse con adeguati livelli di
professionalità, il rapporto tra i costi di implementazione e gestione e i benefici
potenzialmente ottenibili, l’esistenza di sinergie nell’ambito di strutture di gruppo o di
strutture a rete (es. Credito Cooperativo).
Per quanto riguarda il posizionamento organizzativo della Funzione Compliance, la citata
indagine promossa da AICOM evidenzia la seguente distribuzione (figura 5):
Figura 5 – Posizionamento organizzativo della Funzione Compliance (I)
Pagina 30 di 88
Osservatorio
RAPPORTO DI RICERCA
Ove non attribuite ad una unità costituita in forma autonoma, le funzioni di Compliance
risultano assegnate come segue (figura 6):
Figura 6 – Posizionamento organizzativo della Funzione Compliance (II)
Le 12 banche partecipanti all’Osservatorio CeTIF (figura 7) evidenziano un maggiore
orientamento a collocare la Funzione Compliance (che ricordiamo essere presente con una
struttura dedicata nell’86% dei casi) a riporto degli organi di vertice (amministratore
delegato / consiglio di amministrazione o direzione generale).
Figura 7 – Posizionamento organizzativo Funzione Compliance (III)
Altra Area /
Funzione
14%
Risk Management
14%
Internal Audit
14%
Amministratore
Delegato / CdA
29%
Direzione
Generale
29%
Fonte: CeTIF, 2006
Per quanto riguarda i meccanismi di coordinamento con gli organi di vertice attualmente
posti in essere, tutte le banche partecipanti all’Osservatorio evidenziano la presenza di
relazioni formalizzate, prevalentemente basate su incontri periodici e meccanismi di
reporting. Non si evidenzia la presenza di comitati né di flussi di sistema informativo.
Pagina 31 di 88
Osservatorio
RAPPORTO DI RICERCA
Giova ricordare, anche in relazione ai posizionamenti organizzativi rilevati, che la già
citata normativa di Banca d’Italia, pur “salvaguardando la discrezionalità delle singole
banche nell’organizzare la funzione di conformità in coerenza con le proprie peculiarità
dimensionali e operative nonché con l’assetto organizzativo e strategico della gestione dei
rischi”, sancisce il principio di separatezza della funzione rispetto alla revisione interna e la
necessità di definire un flusso informativo diretto e separato, da parte della funzione, nei
confronti degli organi di vertice della banca.
In particolare, “riguardo alla separatezza delle due funzioni si è rilevato che alcune
banche si sono già dotate di strutture incaricate della conformità, collocando
organizzativamente i relativi compiti nella funzione di revisione interna. In proposito, si fa
presente che l’adeguamento alle nuove istruzioni di vigilanza potrà avvenire in modo
graduale, fermo restando che entro 12 mesi dalla pubblicazione delle istruzioni stesse (non
ancora pubblicate in forma ufficiale, ndr) le due funzioni dovranno essere rese
organizzativamente e operativamente separate e indipendenti”.
Ove formalmente definita, nelle banche partecipanti all’Osservatorio la Funzione
Compliance evidenzia la seguente struttura:
Dimensione: da 3 a 8 persone.
Provenienza tipica del personale (per cultura e formazione):
-
area legale;
-
area organizzazione;
-
aree operative e internal audit.
Differenziazione dei ruoli:
-
responsabilità aspetti legali;
-
responsabilità aspetti organizzativi;
-
responsabilità attività di monitoraggio.
Livello di centralizzazione delle decisioni nella figura del Compliance Officer:
-
mediamente centralizzato.
Collocazione organizzativa della Funzione:
-
nella capo gruppo;
-
interna alla banca.
Pagina 32 di 88
Osservatorio
RAPPORTO DI RICERCA
3.3
Relazioni con le altre funzioni del Sistema dei Controlli Interni
La Funzione Compliance si inserisce nel quadro complessivo del sistema dei controlli
interni con il fine di controllare e gestire il rischio di non conformità, concorrendo ad
assicurare la corretta gestione della banca e il raggiungimento degli obiettivi aziendali.
Analogamente alle altre componenti del sistema dei controlli, adeguatezza ed efficacia
della funzione sono oggetto di verifica periodica da parte dell’internal audit.
Rilevanti interrelazioni sussistono tra la funzione di conformità e diverse altre funzioni
aziendali (revisione interna, gestione del rischio operativo, funzione legale, organizzazione,
organismo di vigilanza individuato ai sensi del D.Lgs. 231/2001, ecc.). La collaborazione
con tali funzioni consente a quella di conformità di sviluppare le proprie metodologie di
gestione del rischio in modo coerente con le strategie e l’operatività aziendale, assicurando
nel contempo processi conformi alle normative esterne e ausilio consultivo.
Ai fini di un corretto inquadramento della Funzione Compliance nell’ambito del sistema
dei controlli interni, si è ritenuto utile approfondire le relazioni che intercorrono con le
funzioni internal audit e operational risk management.
Compliance e Internal Audit
Il principio di indipendenza della funzione di conformità non preclude in alcun modo la
possibilità e l’opportunità di una stretta collaborazione con altre aree aziendali e, in
particolare, con la funzione di internal audit. L’indipendenza della funzione, in un contesto
caratterizzato da forti interrelazioni, viene infatti assicurata attraverso la formalizzazione
del mandato, che ne sancisce l’autonomia rispetto sia alle strutture operative sia a quelle di
controllo interno e attraverso la definizione espressa di ruoli e competenze.
Data la contiguità tra le due attività, dovranno essere chiaramente individuati e comunicati
all’interno della banca i compiti e le responsabilità delle due funzioni, in particolare per
quanto specificamente attiene alla suddivisione delle competenze in materia di misurazione
dei rischi, alla consulenza in materia di adeguatezza delle procedure di controllo nonché
alle attività di verifica delle procedure medesime.
Specifica attenzione dovrà essere posta nell’articolazione dei flussi informativi tra le due
funzioni; in particolare il responsabile della revisione interna dovrà informare il
responsabile della conformità delle eventuali inefficienze nella gestione del rischio di
conformità emerse nel corso delle attività di verifica di competenza della funzione di
revisione interna.
Come abbiamo già evidenziato, l’applicazione di tecniche di assessment da parte della
Funzione Compliance configura un intervento di tipo “bottom up”: tramite l’assessment,
infatti, i processi vengono analizzati e valutati in termini di rispondenza alle norme al fine
di predisporre piani di intervento atti alla rimozione dei gap riscontrati. Questo modus
operandi distingue la Funzione di Compliance da quella di internal audit; quest’ultima,
infatti, dovendo esprimere una valutazione sull’adeguatezza del sistema dei controlli
Pagina 33 di 88
Osservatorio
RAPPORTO DI RICERCA
interni, concentra i propri sforzi sul presidio complessivo di tutti i rischi (non solo quelli di
conformità); con approccio di tipo “top down”, interviene perciò con verifiche analitiche
solo sui processi ritenuti rischiosi.
Sul piano delle possibili sinergie tra le due funzioni, questa differenza di approccio
costituisce la base per lo sviluppo di piani d’azione complementari, tesi a garantire, da un
lato, maggiore efficacia e efficienza al presidio dei rischi emergenti dai singoli processi
(obiettivo di audit), dall’altro, la conformità degli stessi a norme e regolamenti in vigore
(obiettivo di compliance).
Per quanto riguarda i meccanismi di coordinamento tra le due funzioni, le banche
partecipanti all’Osservatorio evidenziano la presenza di relazioni sia informali che
formalmente strutturate, anche mediante la definizione di specifici flussi informatici.
Compliance e Operational Risk Management
La Funzione Compliance è posta a presidio del rischio di conformità, definito 6 come “il
rischio di sanzioni legali e di perdite finanziarie o di reputazione, che la banca potrebbe
soffrire come risultato del fallimento della conformità a leggi, regolamenti, regole,
standard autoregolatori e codici di condotta applicabili alle attività bancarie”.
Si tratta di un portafoglio di rischi fortemente eterogenei con riflessi in termini di
applicabilità di tecniche di misurazione, anche in relazione alla disponibilità di dati di
perdita e sovrapposizione con i rischi operativi, gestiti dalla funzione di operational risk
management e definiti 7 come “il rischio di perdite derivanti dall’inadeguatezza o dalla
disfunzione di procedure, risorse umane e sistemi interni, oppure derivanti da eventi
esogeni, includendo nel novero di questi rischi quello legale, ma escludendo esplicitamente
i rischi strategici e di reputazione”.
Tanto i rischi di conformità che quelli operativi originano dal mancato o dall’inefficiente
presidio di alcuni ambiti di operatività aziendale. Un efficace raccordo con l’operational
risk management può pertanto valorizzare il contributo della Funzione Compliance per ciò
che concerne:
-
la condivisione o mediazione di efficaci presidi organizzativi, regole, infrastrutture
tecniche e metodologiche di misurazione dei rischi, già posti in essere con
l’obiettivo di assicurare in ogni momento l’allineamento tra la propensione al
rischio definita dal vertice aziendale e l’esposizione effettiva risultante dalle
operazioni finanziarie effettuate;
-
la misurazione di rischi “condivisi” (rischi legali, oneri connessi con
contestazioni/reclami della clientela, altre perdite monetarie).
6
Comitato di Basilea, “La Compliance e la funzione Compliance nelle banche”, Basilea, aprile
2005, p.7.
7
Comitato di Basilea, “Convergenza internazionale della misurazione del capitale e dei coefficienti
patrimoniali”, Basilea, giugno 2004, p.120.
Pagina 34 di 88
Osservatorio
RAPPORTO DI RICERCA
Con riferimento a quest’ultimo punto (presidio dei rischi condivisi) si ritiene possibile 8
realizzare, tra le due funzioni, lo scambio dei seguenti contributi in forma strutturata e
continuativa:
Funzione Compliance Æ Funzione Operational Risk Management
-
attività di risk assessment, interviste ai process/risk owner, presidio metodologico e
coordinamento delle attività di control risk self assessment;
-
raccolta dei dati di perdita;
-
verifica dell’idoneità dei presidi sui rischi operativi.
Funzione Operational Risk Management Æ Funzione Compliance
-
serie storiche e stime sull’esposizione ai rischi;
-
mappatura dei processi e analisi dei rischi.
Nell’opinione delle banche partecipanti all’Osservatorio, i meccanismi di coordinamento
tra le due funzioni vedono la presenza di relazioni sia informali che formalmente
strutturate. Non sono attualmente definiti specifici flussi informatici.
8
Claudio Clemente, Vigilanza sugli Enti Creditizi, Banca d’Italia, “La Funzione di Compliance
nelle banche italiane: evoluzione normativa e contributo alla creazione del valore”, convegno
AICOM, Roma, 28 giugno 2006.
Pagina 35 di 88
Osservatorio
RAPPORTO DI RICERCA
3.4
Il Processo di Compliance
Sulla base delle linee guida recentemente emesse da AICOM – Associazione Italiana
Compliance e con riferimento alla già citata normativa di vigilanza in materia di
conformità alle norme, il Processo di Compliance può essere definito come:
“un processo trasversale, costituito da presidi organizzativi e operativi aventi l’obiettivo di
evitare disallineamenti rispetto al sistema di norme e regolamenti in vigore”
Il Compliance Officer governa tale processo in qualità di referente unico del consiglio di
amministrazione (owner del processo) e del senior management in materia di Compliance,
sulla base del mandato ricevuto e dei principi e linee guida definiti dalla banca.
Nel presente paragrafo il Processo di Compliance viene descritto in modo strutturato 9 , con
riferimento al modello organizzativo accentrato (banca singola) descritto nel paragrafo
precedente, sulla base di un formalismo ampiamente utilizzato nella pratica aziendale, così
da renderne i contenuti immediatamente fruibili da parte dell’alta direzione, del
Compliance Officer e di tutti coloro che, a diverso titolo e con diversi gradi di
responsabilità, sono coinvolti nelle attività di Compliance sia a livello decisionale che
operativo. Si tratta di una descrizione adattabile, con uno sforzo limitato, a modelli
accentrati di gruppo o a modelli decentrati, in tutte le loro varianti (inclusa l’opzione di
outsourcing).
La notazione utilizzata prevede la scomposizione del processo in sotto-processi, fasi e
attività (o operazioni), queste ultime non ulteriormente scomponibili (o non ulteriormente
scomposte nell’ambito del paragrafo). In particolare, un sotto-processo è costituito da più
fasi tra loro logicamente correlate in funzione del raggiungimento di un obiettivo comune
ed è caratterizzato dai seguenti attributi: missione (la finalità del sotto-processo),
responsabilità (la figura o funzione responsabile del coordinamento ed esecuzione delle
attività facenti capo al sotto-processo), evento scatenante (il fattore di innesco del sottoprocesso).
Una fase è una sequenza ordinata di attività elementari finalizzate al raggiungimento di uno
scopo ed è caratterizzata dai seguenti attributi: descrizione (lo scopo della fase), decisore
(la figura o funzione responsabile del raggiungimento dello scopo), responsabile esecutivo
(la figura o funzione responsabile dell’esecuzione delle diverse attività), figure o funzioni
da consultare (che possono contribuire all’esecuzione delle attività), figure o funzioni da
informare (che devono essere tenute costantemente al corrente delle attività e del relativo
stato di avanzamento), attività (le operazioni elementari che costituiscono la fase), criticità
(i fattori che possono determinare il raggiungimento o meno dello scopo), azioni finali (le
azioni conclusive, o di chiusura, della fase), documenti prodotti (gli output della fase, che
possono costituire input per fasi successive dello stesso sotto–processo o per altri processi)
9
Si tratta di una descrizione che interpreta, mediandole, le esperienze delle banche partecipanti
all’Osservatorio, alla luce della normativa di vigilanza.
Pagina 36 di 88
Osservatorio
RAPPORTO DI RICERCA
e relativa lista di distribuzione, dipendenze da altri processi (l’indicazione dei processi
aziendali che possono influenzare l’esecuzione delle attività facenti capo alla fase, ad
esempio per attesa di input).
Il Processo di Compliance è costituito dai seguenti sotto-processi / fasi:
C1. Individuazione e applicazione della normativa
C1.1 Individuazione della Normativa
C1.2 Assessment
C1.3 Traduzione della Normativa in un corpo di regole
C1.4 Definizione della struttura di relazioni a supporto delle regole
C1.5 Definizione delle procedure operative
C2. Comunicazione e formazione sulla normativa
C2.1 Sensibilizzazione sul tema della Compliance
C2.2 Comunicazione sulla Normativa
C2.3 Formazione del personale sulla Normativa
C3. Monitoraggio sull’applicazione della normativa
C3.1 Definizione delle procedure per le verifiche di conformità
C3.2 Controlli sull’applicazione delle procedure operative
C3.3 Controlli sull’efficacia delle regole e procedure operative
C3.4 Autocertificazione (self-assessment)
C4. Impostazione di un sistema di reporting e gestione delle notifiche periodiche
C4.1 Notifiche periodiche agli Organi di Vertice
C5. Gestione delle anomalie di compliance e relative notifiche
C5.1 Acquisizione e risoluzione dell’anomalia
C5.2 Notifiche di non compliance agli Organi di Vertice
Nelle pagine che seguono sono riportate le schede descrittive dei sotto-processi identificati
e relative fasi 10 .
10
Nell’ambito del presente paragrafo, con il termine Organi di Vertice si fa riferimento agli Organi
Amministrativi e di Controllo nonché agli Organi Esecutivi, così come definiti nell’ambito della
“normativa di vigilanza in materia di conformità alle norme” di Banca d’Italia (documento per
consultazione, agosto 2006, paragrafo 3), tenuto conto delle differenze esistenti tra i modelli di
amministrazione e controllo monistico e dualistico. L’Organismo di Vigilanza (OdV) di cui al
D.Lgs. 231/2001, ove previsto come destinatario dell’attività di reporting, è espressamente citato.
Pagina 37 di 88
Osservatorio
RAPPORTO DI RICERCA
C1. Definizione e applicazione della Normativa
Missione
Individuare la normativa rilevante per l’istituzione finanziaria e applicare
quella che rientra nell’ambito del perimetro di competenza definito per la
funzione Compliance.
Responsabilità
(Ownership)
Responsabile del coordinamento delle attività facenti capo a questo sottoprocesso è il Compliance Officer, che ha tra i propri compiti:
-
presidiare e gestire il rischio di compliance (su delega degli
Organi di Vertice);
-
proporre agli Organi di Vertice politiche di gestione del rischio di
Compliance;
-
rendere edotti gli Organi di Vertice dell’ambito entro cui la
Banca sta efficacemente presidiando il proprio rischio di
Compliance.
Evento
scatenante
E’ rappresentato dall’emissione o aggiornamento di una normativa, di un
codice, di un regolamento o di uno standard (d’ora in avanti collettivamente
individuati con il termine di Normativa) da parte delle istituzioni, degli organi
di vigilanza, delle associazioni di categoria, della banca stessa.
Fasi
C1.2 Assessment
Pagina 38 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C1.1
Individuazione della Normativa
Descrizione
Individuazione, acquisizione e analisi strutturata della Normativa.
Decisore
(Owner)
L’attività di individuazione della Normativa è di responsabilità (prevalente)
della funzione Legale.
Responsabile
esecutivo
La funzione Legale è (prevalentemente) responsabile dell’avanzamento
operativo della fase.
Da consultare
Nell’individuare la Normativa la funzione Legale opera congiuntamente con
il Compliance Officer e, per l’identificazione dei processi impattati, con la
funzione Organizzazione e i Responsabili delle Funzioni aziendali coinvolte.
Da informare
La funzione Legale informa delle attività gli Organi di Vertice, le funzioni
Internal Audit, Risk Management e, relativamente all’ambito di attuazione
della Normativa, i responsabili delle Funzioni aziendali impattate.
Attività
•
•
•
•
•
•
Acquisizione della Normativa e validazione della fonte
Lettura ragionata della Normativa
Definizione della normativa di competenza della Funzione
Compliance (con riferimento al perimetro definito)
Interpretazione della Normativa
Identificazione degli elementi rilevanti e dell’ambito di attuazione
della normativa (aggiornamenti alla Normativa e nuova Normativa)
Mappatura (macro) dei processi impattati (pre-assessment)
Criticità
Proattività e continuità del monitoraggio.
Azioni finali
L’analisi della Normativa si conclude con una sintesi strutturata dei
contenuti (punti rilevanti della Normativa, ambito di attuazione). Questo
documento costituisce input per la successiva Fase C1.2 di assessment.
Documenti prodotti
• Documento di sintesi della Normativa.
• Documento di pre-assessment (eventuale).
Lista di distribuzione
• Organi di Vertice, Compliance
Officer, Internal Audit, Risk
Management,
Organizzazione,
responsabili
delle
Funzioni
aziendali impattate.
Dipendenze (da altri processi / attività)
• Risk Management (l’attività di “identificazione degli elementi rilevanti e dell’ambito di
attuazione della normativa” dipende dal processo di individuazione delle aree di rischiosità).
Pagina 39 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C1.2
Assessment
Descrizione
Verifica della situazione corrente in relazione all’adeguamento alla
Normativa. Identificazione delle aree di potenziale esposizione al rischio di
Compliance e della gravità di tale esposizione.
Decisore
(Owner)
L’attività di assessment della situazione corrente è di responsabilità del
Compliance Officer.
Responsabile
esecutivo
Il Compliance Officer è responsabile dell’avanzamento operativo della fase.
Da consultare
Nel verificare la situazione corrente, il Compliance Officer coinvolge
operativamente la funzione Organizzazione e tiene costantemente aggiornate
sullo stato di avanzamento e sui risultati delle attività le funzioni Internal
Audit e Risk Management.
Da informare
Il Compliance Officer informa delle attività tutte le Funzioni aziendali
coinvolte nell’attività di assessment.
•
•
•
Attività
•
Definizione del perimetro di indagine (orizzontale e verticale)
Analisi di dettaglio della situazione attuale
Individuzione di processi e attività non compliant (mappatura per
processo / funzione)
Identificazione dei rischi (e relativo impatto) e dei livelli di
esposizione al rischio di Compliance
Criticità
Conoscenza dei processi oggetto di indagine, approccio “bottom-up”.
Azioni finali
Predisposizione di un report strutturato (assessment report) con l’indicazione
dei rischi e relativi impatti, delle aree e livelli di esposizione al rischio. I
risultati di questa fase costituiscono input per la successiva Fase C1.3, per il
sotto-processo di comunicazione e formazione sulla Normativa e possono
costituire un input per la revisione dei processi oggetto di assessement.
Documenti prodotti
• Assessment Report.
• Organi di Vertice, Internal Audit,
Risk
Management,
Legale,
Organizzazione, Responsabili delle
Funzioni aziendali coinvolte.
• Internal Audit (utili informazioni circa il grado di esposizione al rischio di compliance di
processi / attività possono derivare dai controlli effettuati dalla funzione Internal Audit).
Pagina 40 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C1.3
Traduzione della Normativa in un corpo di regole
Descrizione
Definizione del corpo di regole necessario a garantire l’adeguamento alla
Normativa.
Decisore
(Owner)
L’attività di traduzione della Normativa in un corpo di regole è di
responsabilità (prevalente) del Compliance Officer.
Responsabile
esecutivo
Il Compliance Officer è responsabile dell’avanzamento operativo della fase.
Da consultare
Nella stesura del corpo di regole, il Compliance Officer consulta e coinvolge
anche le funzioni Organizzazione e Legale.
Da informare
Il Compliance Officer informa delle attività gli Organi di Vertice e i
responsabili delle Funzioni aziendali coinvolte.
Attività
•
•
•
•
•
Confronto tra dati normativi strutturati e risultati assessment
Individuazione dei disallineamenti
Formalizzazione del piano di interventi correttivi
Definizione delle regole
Redazione del corpo di regole
Criticità
Armonizzazione tra il corpo di regole di responsabilità della Funzione
Compliance e le altre regole in vigore.
Azioni finali
I risultati di questa fase costituiscono input per la successiva Fase C1.4 e per
il sotto-processo di comunicazione e formazione sulla Normativa e per i
processi di Internal Audit e Risk Management.
Documenti prodotti
• Corpo di regole.
• Organi di Vertice, tutte le Funzioni
aziendali.
• Nessuna.
Pagina 41 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C1.4
Definizione della struttura di relazioni a supporto delle regole
Descrizione
Elaborazione di una struttura di relazioni funzionali (diagramma delle
relazioni) a supporto del corpo di regole, nella quale vengano individuate le
interrelazioni tra le Funzioni aziendali e le figure responsabili delle diverse
attività da porre in essere per garantire l’adeguamento alla Normativa.
Decisore
(Owner)
L’attività di elaborazione della struttura di relazioni è di responsabilità della
funzione Organizzazione (la ratifica di tale struttura è di responsabilità degli
Organi di Vertice della banca).
Responsabile
esecutivo
La funzione Organizzazione è responsabile dell’avanzamento operativo della
fase.
Da consultare
Nella definizione della struttura di relazioni, la funzione Organizzazione
consulta e coinvolge gli Organi di Vertice, il Compliance Officer, la
funzione Risorse Umane e, ove richiesto, i Responsabili delle Funzioni
aziendali coinvolte.
Da informare
Può essere opportuno informare le funzioni Internal Audit e Risk
Management.
Attività
•
•
•
•
•
Individuazione delle aree di responsabilità
Analisi dell’organigramma corrente
Individuazione delle figure competenti (responsabili, incaricati,
figure con ruolo consulenziale)
Definizione dei ruoli e delle responsabilità
Definizione delle relazioni di tipo funzionale e dei meccanismi di
coordinamento
Criticità
Indipendenza della funzione Compliance e coordinamento con le altre
Funzioni facenti parte del sistema dei controlli interni.
Azioni finali
I risultati di questa fase costituiscono input per la successiva Fase C1.5 e per
il sotto-processo di comunicazione e formazione sulla Normativa.
Documenti prodotti
• Modello di relazioni della Compliance
(diagramma delle relazioni).
• Organi di Vertice, tutte le Funzioni
aziendali.
• Nessuna.
Pagina 42 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C1.5
Definizione delle procedure operative
Descrizione
Definizione delle procedure operative da porre in essere per l’attuazione del
corpo di regole.
Decisore
(Owner)
L’attività di definizione delle procedure operative è di responsabilità della
funzione Organizzazione. La certificazione delle procedure operative, sotto
il profilo della Compliance, è di responsabilità del Compliance Officer.
Responsabile
esecutivo
La funzione Organizzazione e la Funzione aziendale competente sono
responsabili dell’avanzamento operativo della fase.
Da consultare
Internal Audit, Risk Management e Compliance Officer svolgono un ruolo
consultivo in relazione alle attività di definizione delle procedure operative.
Da informare
Può essere opportuno informare la funzione Risorse Umane (per gli aspetti
di tipo giuslavoristico).
Attività
•
•
•
•
•
•
•
Definizione delle modalità di presidio delle aree di rischio
Traduzione delle regole in procedure operative
Redazione di un codice di comportamento con linee guida ed
esempi di applicazione
Definizione di un sistema di incentivazione
Verifica di coerenza del sistema di incentivazione corrente
Definizione delle interrelazioni tra le diverse procedure operative
Certificazione (di conformità) delle procedure operative
Criticità
Coerenza tra le procedure operative e le regole, efficacia del sistema di
incentivazione.
Azioni finali
I risultati di questa fase costituiscono input per il sotto-processo di
comunicazione e formazione sulla Normativa.
Documenti prodotti
• Manuale delle procedure operative.
Management, Responsabili delle
• Risk Management (la definizione delle modalità di presidio del rischio è dipendente dalla
definizione di rischio).
• Internal Audit (la definizione delle procedure operative deve essere coerente con le modalità
di esecuzione dei controlli interni).
Pagina 43 di 88
Osservatorio
RAPPORTO DI RICERCA
Le banche partecipanti all’Osservatorio evidenziano, in media, il seguente grado di formalizzazione
per le diverse fasi del sotto-processo C1. Definizione e applicazione della Normativa:
C1.2 Assessment
ALTO
MEDIO-ALTO
MEDIO-ALTO
MEDIO
MEDIO-BASSO
Pagina 44 di 88
Osservatorio
RAPPORTO DI RICERCA
2. Comunicazione e formazione sulla Normativa
Missione
Sviluppare la sensibilità individuale e collettiva nei confronti della
problematica di adeguamento alla Normativa in vigore, diffondere la
conoscenza delle politiche di Compliance, sviluppare le competenze e
professionalità necessarie a garantire un’efficace applicazione delle politiche di
Compliance, attraverso un processo di comunicazione continuo e strutturato.
Responsabilità
(Ownership)
Responsabile del coordinamento delle attività facenti capo a questo processo è
il Compliance Officer, il quale dovrà coinvolgere nella fase esecutiva le
funzioni Risorse Umane e Comunicazione Interna.
Evento
scatenante
Si tratta di un processo ciclico. L’evento scatenante è rappresentato da una
necessità rilevata di informazione, comunicazione, formazione.
Fasi
Pagina 45 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C2.1
Sensibilizzazione sul tema della Compliance
Descrizione
Verifica periodica dei livelli di sensibilità individuale e collettiva nei
confronti delle problematiche di Compliance, predisposizione ed emissione
di informative adeguate alla correzione degli scostamenti rilevati tra
sensibilità attesa e misurata.
Decisore
(Owner)
La gestione dell’informativa in materia di Compliance è di responsabilità del
Compliance Officer.
Responsabile
esecutivo
Per l’avanzamento operativo della fase, il Compliance Officer si avvale della
collaborazione della funzione Comunicazione Interna.
Da consultare
Nel gestire l’informativa in materia di compliance, il Compliance Officer
consulta e coinvolge anche le funzioni Risorse Umane, Legale, Internal
Audit e Risk Management.
Da informare
Il Compliance Officer informa delle attività gli Organi di Vertice.
Attività
•
•
Verifica del livello di sensibilità (individuale e collettiva / per
funzione) nei confronti della Compliance
Eventuale predisposizione di informative strutturate per la
correzione degli scostamenti rilevati tra sensibilità attesa e misurata
Criticità
Inividuazione di metriche per la misurazione del livello di sensibilità.
Azioni finali
Gli scostamenti eventualmente rilevati costituiscono input per la Fase C2.3 e
per la revisione del processo di sensibilizzazione (Fase corrente).
Documenti prodotti
• Gap Report (periodico).
• Organi di Vertice, Legale, Internal
Audit, Risk Management, Risorse
Umane,
Responsabili
delle
•
•
Informative (periodiche).
Tutti i dipendenti.
• Comunicazione Interna (salvo eccezioni, l’attività di sensibilizzazione sul tema della
Compliance si inserisce nell’ambito dei processi di comunicazione interna gestiti da questa
Funzione).
Pagina 46 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C2.2
Comunicazione sulla Normativa
Descrizione
Predisposizione e diffusione di comunicazioni su specifiche Normative e
sulle relative politiche di Compliance in vigore, verifica dell’efficacia del
processo di comunicazione interna mediante rilevazione periodica degli
scostamenti tra conoscenza attesa e misurata.
Decisore
(Owner)
La gestione dell’attività di comunicazione sulla Normativa è di
responsabilità della funzione Comunicazione Interna.
Responsabile
esecutivo
La funzione Comunicazione Interna è responsabile dell’avanzamento
operativo della fase.
Da consultare
Nel gestire l’attività di comunicazione sulla Normativa, la funzione
Comunicazione Interna consulta e coinvolge anche il Compliance Officer e
le funzioni Risorse Umane, Legale, Risk Management.
Da informare
La funzione Comunicazione Interna informa gli Organi di Vertice.
Attività
•
•
•
•
Verifica che le politiche di Compliance, in relazione ad una
specifica Normativa, siano affermate chiaramente
Standardizzazione e strutturazione, su base continuativa, del
processo di comunicazione
Allineamento, nell’ambito del processo di comunicazione, delle
funzioni tra loro correlate in relazione alla specifica Normativa
Verifica periodica dell’efficacia del sistema di comunicazione
interna e rilevazione degli scostamenti tra atteso e misurato
Criticità
Armonizzazione della comunicazione tra funzioni correlate.
Azioni finali
Gli scostamenti eventualmente rilevati costituiscono input per la Fase C2.3
successiva e per la revisione del processo di comunicazione (Fase corrente).
Documenti prodotti
• Gap Report (periodico).
Officer, Legale, Internal Audit,
Risk Management, Risorse Umane,
Responsabili
delle
Funzioni
•
•
Comunicazioni (periodiche).
Tutte le Funzioni aziendali
impattate dalla Normativa.
• Comunicazione Interna (vedere Fase precedente)
Pagina 47 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C2.3
Formazione del personale sulla Normativa
Descrizione
Predisposizione ed erogazione di corsi
Compliance e sui contenuti di specifiche
funzione (perimetro definito). Rilevazione
politiche e dei programmi di formazione
Compliance.
Decisore
(Owner)
La gestione dell’attività di formazione in materia di Compliance è di
responsabilità della funzione Risorse Umane.
Responsabile
esecutivo
L’avanzamento operativo della fase è in carico alla funzione Risorse Umane.
Da consultare
Nel coordinare l’attività di formazione in materia di compliance, la funzione
Rosorse Umane consulta e coinvolge in Compliance Officer, le funzioni
Internal Audit, Legale, Risk Management e i Responsabili di tutte le
Funzioni aziendali coinvolte nei programmi di formazione.
Da informare
La funzione Risorse Umane tiene informati gli Organi di Vertice sulle
esigenze formative individuate e sui piani di formazione predisposti.
•
•
•
Attività
•
di formazione sul tema
Normative di competenza
periodica dell’adeguatezza
in relazione agli obiettivi
della
della
delle
della
Individuazione delle esigenze formative
Predisposizione dei piani di formazione
Realizzazione di corsi di formazione su base periodica e
personalizzati
Organizzazione di workshop periodici per verificare l’adeguatezza
delle politiche e dei programmi di formazione predisposti
Criticità
Tempestività e selettività della formazione.
Azioni finali
Certificazione del personale (eventuale).
Documenti prodotti
• Piano di formazione.
Management, Legale, tutte le
•
•
Gap Report (periodico).
Compliance Officer, Responsabili
delle Funzioni aziendali coinvolte.
• Formazione (salvo eccezioni, la formazione sulla Normativa si inserisce nell’ambito dei
processi di formazione del personale gestiti dalla funzione Risorse Umane).
Pagina 48 di 88
Osservatorio
RAPPORTO DI RICERCA
per le diverse fasi del sotto-processo C2. Comunicazione e formazione sulla Normativa:
N/A
ALTO
MEDIO-ALTO
Pagina 49 di 88
Osservatorio
RAPPORTO DI RICERCA
C3. Monitoraggio sull’applicazione della Normativa
Missione
Valutare l’efficacia del corpo di regole in relazione agli obiettivi di
Compliance; verificare e controllare il processo di applicazione delle regole
(procedure operative).
Responsabilità
(Ownership)
Responsabile delle verifiche circa l’efficacia del corpo di regole e delle
procedure operative è il Compliance Officer. La funzione Internal Audit è coresponsabile dei controlli “ex post” sull’effettiva applicazione del corpo di
regole mentre le Unità Operative e il Backoffice lo sono dei controlli di linea
effettuati nel continuo.
Evento
scatenante
E’ rappresentato dalla necessità di verificare periodicamente lo stato di
applicazione della Normativa in vigore.
Fasi
C3.4 Auto-certificazione (self-assessment)
Pagina 50 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C3.1
Definizione delle procedure per le verifiche di conformità
Descrizione
Definizione di un insieme coerente di processi per le verifiche di conformità
alla Normativa e allineamento con i processi di Internal Audit.
Decisore
(Owner)
La definizione dei processi di verifica è di responsabilità del Compliance
Officer (la ratifica dei processi è di responsabilità degli Organi di Vertice).
Responsabile
esecutivo
L’avanzamento operativo di questa fase è in carico al Compliance Officer.
Da consultare
Nel gestire l’attività di verifica il Compliance Officer consulta e coinvolge
anche le funzioni Internal Audit, Risk Management, Organizzazione e i
Responsabili di tutte le Funzioni aziendali coinvolte nelle attività di verifica.
Da informare
Nessuno.
Attività
•
•
•
•
Definizione dei processi di verifica
Verifica della coerenza di politiche, procedure e controlli di
Compliance
Allineamento con il processo di Internal Audit
Documentazione, approvazione e rilascio dei processi e dei piani di
verifica (incaricati, modalità di esecuzione, periodicità, deliverable,
tempistica)
Criticità
Metriche di misurazione.
Azioni finali
Ratifica dei processi di verifica da parte degli Organi di Vertice.
Documenti prodotti
• Documentazione dei processi di verifica.
• Piani di verifica.
• Modelli (template) di reportistica.
Risk Management, Organizzazione,
Responsabili
delle
Funzioni
Aziendali coinvolte.
• Nessuna.
Pagina 51 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C3.2
Controlli sull’applicazione delle procedure operative
Descrizione
Verifica dell’effettiva applicazione del corpo di regole e predisposizione
degli eventuali interventi correttivi.
Decisore
(Owner)
I controlli sull’applicazione delle regole sono di responsabilità della funzione
Internal Audit.
Responsabile
esecutivo
L’avanzamento operativo della fase è in carico alla funzione Internal Audit.
Da consultare
Nel gestire l’attività di controllo la funzione Internal Audit consulta e
coinvolge il Compliance Officer e le funzioni Legale, Risk Management,
Organizzazione (anche per l’eventuale modifica di procedure operative).
Da informare
La funzione Internal Audit tiene informati gli Organi di Vertice.
Attività
•
•
•
•
•
•
•
Verifica del livello di consapevolezza di manager e responsabili
Verifica dell’adeguatezza del processo di assegnazione delle
responsabilità
Verifica della coerenza del sistema di incentivazione
Verifica di applicazione delle procedure e rilevazione infrazioni
Analisi delle principali aree di rischio rilevate, confronto con le aree
di rischio atteso, individuazione degli (eventuali) scostamenti e
predisposizione degli interventi correttivi
Modifica (eventuale) del sistema di applicazione delle regole
(procedure operative), sulla base degli scostamenti riscontrati
Predisposizione di comunicazioni interne e reportistica
Criticità
Coordinamento tra le diverse Funzioni coinvolte nei controlli.
Azioni finali
I risultati di questa fase costituiscono input per la Fase C3.3 e possono
costituire input per i sotto-processi C4 e C5.
Documenti prodotti
•
•
(Compliance) Audit Report.
Organi di Vertice, Compliance
Officer, Legale, Risk Management,
• Nessuna.
Pagina 52 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C3.3
Controlli sull’efficacia delle regole e procedure operative
Descrizione
Valutazione periodica del raggiungimento del livello di conformità atteso
rispetto alla Normativa, a seguito di una corretta applicazione del corpo di
regole e predisposizione degli eventuali interventi correttivi.
Decisore
(Owner)
I controlli sull’efficacia del corpo di regole e delle procedure operative sono
di responsabilità del Compliance Officer.
Responsabile
esecutivo
L’avanzamento operativo di questa fase è in carico al Compliance Officer
che coinvolge, nell’eventuale attività di modifica di procedure operative, la
funzione Organizzazione.
Da consultare
Nel gestire l’attività di verifica il Compliance Officer consulta e coinvolge
anche le funzioni Legale, Risk Management e i Responsabili di tutte le
Funzioni aziendali coinvolte nell’attività di controllo.
Da informare
Il Compliance Officer tiene informati gli Organi di Vertice.
Attività
•
•
•
•
•
Valutazione periodica del sistema di Compliance
Individuazione di eventuali scostamenti
Predisposizione degli interventi correttivi
Modifica (eventuale) al sistema di regole e procedure operative
della Compliance, sulla base degli scostamenti riscontrati
Predisposizione di comunicazioni interne e reportistica
Criticità
Tempestività degli interventi correttivi e armonizzazione del corpo di regole
rispetto alle modifiche introdotte.
Azioni finali
L’output di questa fase può costituire input per i sotto-processi C4 e C5,
sulla base delle anomalie riscontrate e delle modifiche conseguentemente
apportate.
Documenti prodotti
•
Rapporto di Intervento.
Legale,
Risk
Management,
•
Nessuna.
Pagina 53 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C3.4
Auto-certificazione (self-assessment)
Descrizione
Auto-certificazione di processi, sotto il profilo dell’adeguamento alla
Normativa, da parte delle Funzioni responsabili.
Decisore
(Owner)
La definizione della procedura di auto-certificazione è di responsabilità del
Compliance Officer.
Responsabile
esecutivo
L’avanzamento operativo di questa fase è in carico al Responsabile di
Funzione.
Da consultare
Nella predisposizione delle procedure di self-assessment e nell’analisi dei
risultati, il Compliance Officer consulta e coinvolge le funzioni
Organizzazione, Legale e Risk Management. Nell’avanzamento operativo
della fase il Responsabile di Funzione consulta e coinvolge il Compliance
Officer.
Da informare
Il Compliance Officer tiene informati gli Organi di Vertice.
Attività
•
•
•
Predisposizione di una procedura di self-assessment
Esecuzione periodica di campagne di self-assessment (sulla base di
un piano predisposto con frequenza annuale)
Analisi e valutazione dei risultati
Criticità
Obiettività e attendibilità della valutazione.
Azioni finali
Auto-certificazione di processi operativi. I risultati di tale attività
costituiscono input per la Fase C4.1.
Documenti prodotti
• Documento di auto-certificazione.
Legale,
Risk
Management,
• Internal Audit (l’attività di auto-certificazione deve essere coordinata con i controlli periodici
effettuati dalla funzione Internal Audit).
Pagina 54 di 88
Osservatorio
RAPPORTO DI RICERCA
per le diverse fasi del sotto-processo C3. Monitoraggio sull’applicazione della Normativa:
MEDIO-ALTO
MEDIO-ALTO
MEDIO-ALTO
MEDIO-ALTO(*)
(*) In una prospettiva a tendere.
Pagina 55 di 88
Osservatorio
RAPPORTO DI RICERCA
C4. Impostazione di un sistema di reporting e gestione delle notifiche periodiche
Missione
Comunicare periodicamente lo stato del sistema di Compliance agli Organi di
Vertice (incluso, ove previsto ai sensi della Legge 231/2001, l’Organismo di
Vigilanza – OdV), sulla base delle politiche di governance in vigore.
Responsabilità
(Ownership)
La responsabilità dell’esecuzione e del coordinamento delle attività facenti
capo a questo processo è del Compliance Officer, che dovrà coinvolgere nella
fase esecutiva anche le funzioni Internal Audit, Risk Management e Legale,
tenendole costantemente aggiornate sullo stato di avanzamento delle attività.
Evento
scatenante
Si tratta di un processo ciclico. L’evento scatenante è rappresentato da una
necessità di notifica periodica (scadenza).
Fasi
Nota: le eventuali notifiche periodiche all’Autorità di Vigilanza sono di
responsabilità degli Organi di Vertice e dell’Organismo di Vigilanza (nei soli
casi previsti dalla Legge 231/2001).
Pagina 56 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C4.1
Notifiche periodiche agli Organi di Vertice
Descrizione
Predisposizione e distribuzione agli Organi di Vertice (OdV ove richiesto ai
sensi della Legge 231/2001) di notifiche periodiche circa lo stato del sistema
di Compliance.
Decisore
(Owner)
La gestione dell’attività di notifica periodica in materia di Compliance è di
responsabilità del Compliance Officer.
Responsabile
esecutivo
L’avanzamento operativo della fase è in carico al Compliance Officer.
Da consultare
Nel gestire l’attività di notifica periodica, vengono consultate e coinvolte
anche le funzioni Internal Audit, Risk Management e Legale.
Da informare
I Responsabili delle Funzioni aziendali citate nel documento di notifica
vengono informati delle attività e coinvolti nella verifica del documento
prima della sua stesura in forma definitiva.
Attività
•
•
•
•
Redazione di un documento di notifica che includa:
-
Sommario esecutivo
Mission statement
Perimetro della funzione
Sintesi del corpo di regole e delle procedure operative
Struttura di relazioni a supporto della Compliance
Risk Assessment
Follow-up raccomandazioni (precedenti)
Nuove raccomandazioni dettagliate e note operative
Allegati
Condivisione e revisione della bozza
Predisposizione informativa per la Direzione
Redazione del documento di notifica e inoltro agli Organi di
Vertice
Criticità
Nessuna.
Azioni finali
Emissione della notifica.
Documenti prodotti
• Documento di notifica periodica.
• Organi di Vertice (OdV), Internal
Audit, Legale, Risk Management.
• Internal Audit e Risk Management (le notifiche periodiche agli Organi di Vertice e OdV devono
essere armonizzate con analoghe notifiche predisposte ed emesse dalle funzioni Internal Audit e
Risk Management).
Pagina 57 di 88
Osservatorio
RAPPORTO DI RICERCA
per le diverse fasi del sotto-processo C4. Impostazione di un sistema di reporting e gestione delle
notifiche periodiche:
ALTO
Pagina 58 di 88
Osservatorio
RAPPORTO DI RICERCA
C5. Gestione delle anomalie di Compliance e relative notifiche
Missione
Comunicare tempestivamente agli Organi di Vertice (incluso, ove previsto ai
sensi della Legge 231/2001, l’Organismo di Vigilanza – OdV) le anomalie di
Compliance rilevate, predisporre e attuare gli opportuni interventi correttivi.
Responsabilità
(Ownership)
La responsabilità dell’esecuzione e del coordinamento delle attività facenti
capo a questo sotto-processo è del Compliance Officer, il quale deve
coinvolgere nella fase esecutiva la funzione Organizzazione.
Evento
scatenante
L’evento scatenante è rappresentato dalla rilevazione di una anomalia di
compliance.
Fasi
C5.2 Notifiche di non Compliance agli Organi di Vertice
Nota: le eventuali notifiche di non Compliance all’Autorità di Vigilanza sono
di responsabilità degli Organi di Vertice e dell’Organismo di Vigilanza (nei
soli casi previsti dalla Legge 231/2001).
Pagina 59 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C5.1
Acquisizione e risoluzione dell’anomalia
Descrizione
Acquisizione dell’anomalia di Compliance, predisposizione e attuazione
degli interventi correttivi.
Decisore
(Owner)
L’acquisizione dell’anomalia e la gestione degli interventi correttivi sono di
responsabilità del Compliance Officer.
Responsabile
esecutivo
L’avanzamento operativo della fase è in carico al Compliance Officer che
coinvolge, nell’eventuale attività di modifica di procedure operative, la
funzione Organizzazione e la funzione utente.
Da consultare
Nel gestire l’attività di risoluzione dell’anomalia vengono consultate e
coinvolte anche le funzioni Risk Management, Legale e i Responsabili delle
Funzioni aziendali coinvolte nell’anomalia.
Da informare
Nessuno.
Attività
•
•
•
•
•
•
•
•
Acquisizione dell’anomalia
Valutazione di gravità (severità) e assegnazione della priorità di
risoluzione
Individuazione delle cause
Identificazione delle procedure operative da correggere
Predisposizione degli interventi correttivi di carattere straordinario
Analisi di impatto
Applicazione degli interventi correttivi
Verifica dell’efficacia degli interventi correttivi
Criticità
Tempestività ed efficacia degli interventi.
Azioni finali
I risultati di questa fase possono costituire input per le Fasi C1.5, C2.2, C2.3.
Documenti prodotti
• Documento di descrizione dell’anomalia.
• Documento di descrizione degli interventi
correttivi.
• Internal Audit, Legale, Risk
Management,
Organizzazione,
Responsabili
delle
Funzioni
• Internal Audit e controlli di linea (segnalazioni di anomalia di Compliance possono provenire
dai controlli periodici effettuati dalla funzione Internal Audit e da quelli effettuati nel
continuo dalle Unità Operative e dal Backoffice).
Pagina 60 di 88
Osservatorio
RAPPORTO DI RICERCA
Fase C5.2
Notifiche di non Compliance agli Organi di Vertice
Descrizione
Predisposizione e distribuzione tempestiva agli Organi di Vertice (OdV ove
richiesto ai sensi della Legge 231/2001) di segnalazioni (eccezioni) di non
Compliance rilevanti (sostanziali).
Decisore
(Owner)
La gestione dell’attività di notifica è di responsabilità del Compliance
Officer.
Responsabile
esecutivo
L’avanzamento operativo della fase è in carico al Compliance Officer.
Da consultare
Nel gestire l’attività di notifica, vengono consultate e coinvolte le funzioni
Internal Audit, Risk Management e Legale.
Da informare
I Responsabili delle Funzioni aziendali citate nella notifica vengono
informati delle anomalie riscontrate.
Attività
•
•
Redazione della notifica sull’anomalia riscontrata
Invio della notifica agli Organi di Vertice
Criticità
Tempestività.
Azioni finali
Emissione della notifica. Il risultato di questa fase costituisce input per la
Fase C4.1.
Documenti prodotti
• Notifica dell’anomalia.
• Organi di Vertice (OdV), Internal
Audit, Legale, Risk Management.
• Nessuna.
Pagina 61 di 88
Osservatorio
RAPPORTO DI RICERCA
per le diverse fasi del sotto-processo C5. Gestione delle anomalie di Compliance (noncompliance) e relative notifiche:
MEDIO-ALTO
MEDIO-ALTO
Pagina 62 di 88
Osservatorio
RAPPORTO DI RICERCA
3.5
Flussi informativi e reportistica
Nelle pagine che seguono sono stati schematicamente rappresentati i principali flussi
informativi relativi alle diverse fasi dei sottoprocessi descritti. Sono stati inoltre messi in
evidenza gli eventuali flussi informativi (in input e in output) nei confronti di altri processi
esterni a quello di Compliance.
Pagina 63 di 88
Osservatorio
RAPPORTO DI RICERCA
Pagina 64 di 88
Osservatorio
RAPPORTO DI RICERCA
Pagina 65 di 88
Osservatorio
RAPPORTO DI RICERCA
Pagina 66 di 88
Osservatorio
RAPPORTO DI RICERCA
Pagina 67 di 88
Osservatorio
RAPPORTO DI RICERCA
Pagina 68 di 88
Osservatorio
RAPPORTO DI RICERCA
3.6
Approccio realizzativo e infrastrutture tecnologiche
Nell’ultima giornata di lavori dell’Osservatorio sono stati affrontati, con un taglio di tipo
progettuale, i temi dell’approccio realizzativo (Progetto di Compliance) e delle
infrastrutture tecnologiche a supporto dell’operatività della Funzione Compliance, con il
contributo delle aziende di servizi e tecnologiche aderenti al progetto di ricerca.
Accenture
Per quanto riguarda il primo punto, è stata messo in evidenza la necessità di avviare un
programma specifico volto in prima istanza alla costituzione e, successivamente, alla messa
a regime della nuova Funzione, sulla base di un approccio progressivo (figura 8).
Figura 8 – Approccio alla costituzione della Funzione Compliance
Fonte: Accenture, 2006
Secondo la visione di Accenture, la prima parte del programma deve focalizzarsi sui
seguenti obiettivi:
-
Finalità: creazione di valore per tutti gli stakeholder attraverso un approccio
all’analisi della Compliance di tipo “risk based”, orientato al business “day by
day”;
-
Perimetro: ambito di analisi esteso a tutta la regolamentazione interna ed esterna,
con priorità sul nucleo di regole a impatto diretto sulla clientela e sulle modalità di
conduzione del business;
-
Modello Organizzativo: centralità e autonomia della nuova Funzione; ove
possibile, modello accentrato di gruppo;
Pagina 69 di 88
Osservatorio
RAPPORTO DI RICERCA
-
Processo: processo trasversale coordinato dalla Funzione Compliance;
introduzione di nuove attività, valorizzando le competenze legali, organizzative e
di risk management esistenti ed evitando duplicazioni;
-
Strumenti e risorse: risorse qualitativamente adeguate alla nuova Funzione;
metodologie (quali-quantitative) e strumenti finalizzati all’implementazione di un
“risk based approach”.
L’obiettivo della creazione di valore per gli stakeholder può essere raggiunto tramite:
-
il rafforzamento del sistema dei controlli interni e presidi di conformità dei
regolamenti/comportamenti (elementi fondamentali per aumentare la trasparenza e
la fiducia nei confronti dell’istituzione);
-
la forte enfasi sui risvolti gestionali dell’attività (consulenza al business e interventi
organizzativi per prevenire e ridurre il verificarsi del rischio);
-
la misurazione dei benefici indotti da tale attività attraverso lo sviluppo di tecniche
qualitative e quantitative;
-
la valutazione del contributo alla riduzione del capitale di rischio (raccordo con il
processo di valutazione e di adeguatezza del capitale previsto dal II Pilastro di
Basilea 2).
Per quanto riguarda il profilo professionale delle risorse coinvolte nella nuova Funzione, è
richiesto un mix di competenze ed esperienze a oggi non presente in un’unica figura; a tale
proposito è necessario indirizzare nel tempo la creazione di un nuovo profilo professionale
caratterizzato dalle seguenti competenze:
-
Conoscenza del business… come si attua la relazione con il cliente e la conduzione
delle operazioni (estrazione tipica: organizzazione e funzioni di staff al business);
-
Pratica con la norma… come è impostata la normativa italiana (estrazione tipica:
funzione legale);
-
Approccio al rischio… metodologia di misurazione e gestione del rischio
(estrazione tipica: risk management);
-
Approccio al controllo… metodi e processi di verifica e monitoraggio (estrazione
tipica: auditing e ispettorato).
Valorizzare le risorse interne consente di ridurre i costi ed evitare la duplicazione delle
competenze, utilizzando le conoscenze già presenti in azienda.
L’operatività della funzione Compliance si sviluppa, sempre secondo Accenture, lungo tre
direttrici (figura 9):
-
creazione della mappa processi, rischi, controlli e indicatori;
-
sviluppo della metodologia;
Pagina 70 di 88
Osservatorio
RAPPORTO DI RICERCA
-
diffusione della cultura del rischio e informazione all’alta direzione.
La Funzione di Compliance sviluppa la propria metodologia partendo da elementi base
come processi, rischi, controlli e indicatori del rischio già sviluppati e utilizzati in azienda
da altri soggetti che di occupano di gestione del rischio (operational risk management,
audit, organizzazione ecc). La creazione di un unico repository nel quale confluiscono tutte
le informazioni provenienti dalle diverse aree di gestione di rischi e controlli, favorisce la
crescita dell’efficienza operativa, riduce la duplicazione di dati e permette di sfruttare le
economie di scala. La creazione di un unico repository (la mappa dei processi aziendali)
permette di accrescere l’efficienza operativa, ridurre la duplicazione di dati e sfruttare le
economie di scala.
Figura 9 – Direttrici di operatività della Funzione Compliance
Fonte: Accenture, 2006
La metodologia per la misurazione del rischio di Compliance, sia di natura qualitativa che
di natura quantitativa, deve essere allineata ed integrata al framework generale per la
gestione dei rischi. Tale integrazione evita fenomeni di duplicazione delle attività a carico
del business (es. duplicazione dei questionari di risk assessment condotti sia
dall’operational risk management sia dal responsabile di Compliance) e agevola la
comunicazione e l’interazione fra le diverse Funzioni aziendali coinvolte, rendendo più
efficiente la gestione dei rischi stessi.
La comunicazione periodica e strutturata dei risultati all’alta direzione può rappresentare,
inoltre, un’ulteriore opportunità per promuovere lo sviluppo di un sistema di reporting
integrato. Sotto questo profilo, la creazione del repository dei processi consente di produrre
un reporting integrato con l’indicazione dei diversi rischi e con viste modulari per tipologia
di rischio, effettuate dai singoli gestori del rischio.
Pagina 71 di 88
Osservatorio
RAPPORTO DI RICERCA
Una cultura di Compliance radicata e un’approfondita conoscenza delle principali
tematiche di Compliance favoriscono l’assunzione e il mantenimento da parte di tutto il
personale della banca di comportamenti etici e professionali corretti, contribuendo in
ultima analisi a salvaguardare la reputazione e l’immagine dell’azienda stessa.
Sul ruolo centrale dei processi e della loro mappatura in vista della realizzazione di un
repository centralizzato si sono soffermati numerosi relatori. In particolare, Neos Banca
(Gruppo Intesa Sanpaolo) ha evidenziato come la necessità di trasparenza organizzativa
che deriva dalla Compliance, da interpretare a tutti gli effetti non come un obbligo bensì
come un’opportunità per la creazione di valore, implichi la focalizzazione sul processo e
la realizzazione di un repository centralizzato quale elemento abilitante per tutte le attività
di adeguamento, controllo e reporting.
Nexen (Gruppo Engineering)
Come ha evidenziato Nexen (Gruppo Engineering), le alternative della banca nella gestione
dei progetti di Compliance sono sostanzialmente due:
1. avviare ogni volta un nuovo progetto definendo una metodologia di approccio, una
modalità per la raccolta delle informazioni e la loro gestione nel tempo, un
repository di riferimento; questa soluzione garantisce snellezza operativa ma
rischia di creare duplicazioni e di non cogliere sinergie progettuali e operative;
2. utilizzare approcci metodologici e riferimenti “comuni” per tutti i progetti di
Compliance al fine di garantire tempestività nella risposta, chiara
responsabilizzazione, ma soprattutto concentrare tutte le informazioni relative a
rischi, controlli e contromisure, evitando duplicazioni e rendendo molto più
agevole la manutenzione.
L’approccio metodologico suggerito da Nexen prevede di mettere a fattor comune di tutti i
progetti (quindi anche quelli di Compliance) i processi.
Pagina 72 di 88
Osservatorio
RAPPORTO DI RICERCA
I processi rappresentano e descrivono, infatti, il “modo” attraverso il quale la banca
realizza il proprio business e sono fattore cruciale in molte delle attività che devono essere
realizzate anche in relazione al tema della Compliance.
Figura 10 – Il Repository Organizzativo
Fonte: Nexen, 2006
Un repository dei processi o “repository organizzativo” così concepito (figura 10),
descrive le strutture, le regole (normative), le configurazioni organizzative, i costi, i rischi e
i controlli dei processi in grado di rispondere in ogni momento alle esigenze di tutte le aree
aziendali e rappresenta, in questa accezione, un vero e proprio elemento di differenziazione
competitiva per la banca.
Per quanto riguarda le architetture tecnologiche a supporto delle attività di Compliance,
viene fatto riferimento tanto ai sistemi operativi (figura 11) quanto ai sistemi di sintesi
(figura 12), distinguendo tra sistemi di monitoraggio e rilevazione dell’evento (di non
conformità) di tipo attivo (i primi) e passivo (i secondi). In particolare, i sistemi di tipo
attivo, a differenza degli altri, agiscono secondo una logica ex ante, ricercando un elevato
livello di rischio su un fenomeno in accadimento, con l’obiettivo di bloccarlo.
Pagina 73 di 88
Osservatorio
RAPPORTO DI RICERCA
A tale proposito risulta fondamentale la ricerca della qualità del dato utilizzato per la
classificazione dell’evento.
Figura 11 – Architettura a supporto dell’operatività (Sistemi Operativi)
Fonte: Nexen, 2006
Figura 12 – Architettura a supporto dei Sistemi di Sintesi
Fonte: Nexen, 2006
Pagina 74 di 88
Osservatorio
RAPPORTO DI RICERCA
Datamat
Negli ultimi due anni, circa, si è sviluppato un segmento particolare all’interno del mercato
IT rivolto alle banche e agli istituti finanziari, segmento denominato dagli analisti delle
principali società di ricerca come GRC, ovvero “Governance, Risk & Compliance”. Vi
appartengono numerose soluzioni applicative e tecnologiche a supporto della Compliance.
La composizione dell’offerta IT per la Compliance
L’offerta di soluzioni IT per la Compliance, cioè l’insieme delle diverse applicazioni di
tipo GRC, può suddividersi in due macro-gruppi:
-
sistemi IT per l’implementazione degli obblighi di Compliance;
sistemi per il supporto alla Funzione di Compliance (per il Compliance Officer e
l’eventuale staff).
Appartengono al primo gruppo le soluzioni che implementano particolari regole di
controllo sui dati e sulle operazioni (transazioni interbancarie, transazioni della clientela
corporate, retail, privata), nel rispetto di precise leggi e direttive; ne possono essere un
esempio:
-
i progetti per la conformità a Basilea2;
-
gli applicativi per la tutela delle informazioni price sensitive e dei mercati
finanziari (market abuse);
-
i sistemi di controllo sulla clientela per l’osservanza delle direttive internazionali di
contrasto ai reati di riciclaggio di capitale (AML – Anti-Money Laundering) e di
contrasto ai reati di finanziamento del terrorismo internazionale (CFT – Combating
the Financing of Terrorism).
Appartengono al secondo gruppo:
-
i sistemi di produzione dei rapporti di controllo;
-
i sistemi di conservazione dei dati;
-
le applicazioni di supporto agli scambi informativi con le unità di risk management
e di revisione interna (internal auditing);
-
le soluzioni di reportistica e di comunicazione finanziaria verso i mercati, le società
di revisione e le istituzioni di vigilanza.
Il ruolo della tecnologia
Nel mercato GRC l’incidenza della tecnologia è notevole riguardo ad alcuni aspetti di
sicurezza, meno particolare per quello che attiene al mondo dell’office automation ed in
generale il controllo delle operazioni.
Esaminando l’importanza che, comunque, il progredire della tecnologia IT può assumere
nella Compliance, bisogna affrontare due particolari quesiti: quale è il ruolo della
Pagina 75 di 88
Osservatorio
RAPPORTO DI RICERCA
tecnologia nel supportare i processi di conformità? Potrà evolvere il ruolo della tecnologia
per la Funzione Compliance?
Per rispondere alla prima domanda, la tecnologia può facilitare l’osservanza di una banca
ai regolamenti, ma non è la soluzione per raggiungere pienamente l’obiettivo della cultura
di Compliance: i vertici delle banche certamente terranno conto che la Compliance è un
problema organizzativo e manageriale, la cui mancata o parziale attenzione può comportare
per l’istituto l’esposizione a situazioni di rischio lesive della propria immagine e della
propria reputazione.
Chiarito il ruolo dell’IT all’interno dello scenario di attuazione delle politiche di
Compliance, sarà importante precisare come nei relativi progetti sia preferibile seguire una
visione di processo: infatti, se si è d’accordo che le risposte dell’IT non possono essere
demandate solo ad un insieme di prodotti, risulterà più evidente l’importanza
dell’integrazione della tecnologia con un modello di governo. Qualificando i sistemi
applicativi come strumento intelligente, si chiarisce la ragione dell’organizzazione di
Compliance: per raggiungere i crescenti obiettivi di rispetto regolamentare, qualsiasi banca
dovrebbe avvalersi di particolari presidi di controllo.
Ma queste esigenze di conformità non sono certamente una novità per le banche, da sempre
impegnate ad operare secondo criteri di efficienza e di piena legalità. Sono comunque
esigenze che richiedono una nuova strategia, in particolare una sistematica attenzione che
le banche dovranno promuovere: questa evoluzione favorirà una politica preventiva di
protezione del brand e di salvaguardia degli interessi di tutti gli stakeholder, cioè quei
portatori di interesse (azionisti, clienti) che vedono nella Compliance anche gli aspetti
deontologici ed etici.
Per rispondere alla seconda domanda, cioè come la tecnologia potrà migliorare il lavoro
della Funzione Compliance, una possibile interpretazione del prossimo futuro coinvolge i
sistemi dedicati alla comunicazione dei report verso i regulator, specialmente elevando il
livello qualitativo delle informazioni emesse. Infatti la regolamentazione ha indicato al
sistema finanziario la necessità di rispettare i requisiti di “ragionevolezza” ed
“adeguatezza”, finalizzati alla protezione degli investitori. Un’altra possibile evoluzione
potrebbe riguardare i sistemi informativi che potrebbero agevolare la condivisione delle
notizie tra dipartimenti differenti come il risk management, l’internal auditing e la stessa
Funzione Compliance: la risposta della tecnologia sarebbe applicata verso una maggiore
collaborazione interna.
Le famiglie applicative del mercato GRC
Le differenti esigenze della Compliance trovano risposte adeguate in sistemi IT particolari,
raggruppabili in categorie:
-
IT per la gestione e la salvaguardia dei dati:
o
Data Management Lifecycle – per la gestione del ciclo di vita dei dati, fin
dall’origine;
Pagina 76 di 88
Osservatorio
RAPPORTO DI RICERCA
-
-
o
Record management – per la conservazione e la storicizzazione dei dati;
o
Encryption – per la crittografia dei dati;
o
Aspetti di sicurezza fisica – ad esempio le policy di disaster recovery.
IT per la gestione e l’elaborazione delle informazioni, per lo sviluppo della
conoscenza:
o
Sistemi per il content management;
o
Gestione della riservatezza – per controllare gli accessi ai sistemi
informativi;
o
Gestione documentale – ad esempio per la gestione della documentazione
normativa;
o
Gestione delle e-mail – per la tutela delle informazioni riservate, o per la
protezione antivirus.
IT per la gestione e il controllo delle transazioni:
o
-
Business Rule Management System;
IT per la definizione, la gestione e la misurazione dei processi:
o
Mappe di Compliance (rischi, test di controllo) – per lo studio dei processi
di business e l’incidenza della compliance, cioè per conoscere l’impatto
delle normative sui processi;
o
Definizione visuale dei Business Process – per la modellazione delle
organizzazioni;
o
Business Process Management – per l’esecuzione automatizzata dei
processi;
o
Business Activity Monitoring – per il controllo dei risultati di processo.
Molte delle soluzioni hanno in comune due aspetti di innovazione particolarmente
importanti: la visione per processi, essenziale, e l’automazione delle attività di processo.
Questa organizzazione per processi è certamente il risultato più importante, segna
l’affermazione dei nuovi modelli organizzativi, in cui l’IT si inserisce come utile servizio
strumentale. E’ la prova che nelle banche è stata adottata una visione integrata tra i processi
e le tecnologie di supporto al loro controllo e alla loro corretta esecuzione.
Problemi aperti nei progetti IT per la Compliance
Le nuove sfide tecnologiche riguarderanno i dati, da cui dipendono tutte le transazioni e i
processi (semi) automatizzati e i progetti di sviluppo e condivisione della conoscenza. Il
problema più difficile probabilmente rimane proprio la qualità dei dati e,
conseguentemente, la qualità delle informazioni ricavabili da dati talvolta incerti o corrotti.
Infatti la difficile misurabilità della qualità dei dati, almeno secondo criteri oggettivi, può
Pagina 77 di 88
Osservatorio
RAPPORTO DI RICERCA
inficiare le procedure di risk management, nel caso si debbano verificare transazioni che
presentano situazioni di contesto non attendibili.
Negli ultimi anni sono stati effettuati diversi interventi sulla duplicazione dei dati, sulla
loro archiviazione e storicizzazione, anche sull’indicizzazione semantica mediante le
ontologie. Ma la quantità delle informazioni digitali è enorme ed è in crescita continua.
Oltre al problema della qualità elevata delle informazioni, vera garanzia dei processi, resta
da affrontare e superare il problema dell’integrazione informativa, per consentire una
maggiore collaborazione tra gli uffici di risk management, internal auditing e, ovviamente,
di Compliance. Questa “cooperazione” potrebbe anche agevolare l’affermazione operativa
della Funzione Compliance nelle banche italiane.
Conclusioni
Una soluzione GRC non richiede necessariamente l’adozione di una piattaforma unica,
proprio per l’esigenza di dover garantire una coesistenza di differenti sistemi specializzati,
per norma e valore tecnologico. Inoltre la Compliance necessita di interventi continuativi,
di figure professionali altamente specializzate e la componente applicativa IT non può
prescindere dal maggior recupero degli investimenti effettuati per le tecnologie.
I progetti IT dovrebbero privilegiare un’integrazione dei dati e dei processi e non limitarsi
al rispetto delle particolari norme e/o direttive: quando si auspica la cultura di Compliance,
ci si riferisce ad un sistema applicativo complesso che possa evolvere non solo in risposta
alle pressioni regolamentari, ma anche alle opportunità di mercato, cioè in stretto
collegamento con il business della banca.
Pagina 78 di 88
Osservatorio
RAPPORTO DI RICERCA
Livello di automazione corrente dei sotto – processi di Compliance
Con riferimento all’utilizzo di strumenti informatici a supporto delle attività di
Compliance, viene di seguito evidenziato il grado medio di automazione corrente dei sottoprocessi di Compliance (di cui al Paragrafo 3.4) nelle banche partecipanti all’Osservatorio.
C1. Definizione e applicazione della Normativa:
C1.2 Assessment
MEDIO-BASSO
MEDIO-BASSO
BASSO
MEDIO-BASSO
MEDIO-BASSO
C2. Comunicazione e formazione sulla Normativa:
N/A
ALTO
MEDIO
C3 Monitoraggio sull’applicazione della Normativa:
C3.1 Definizione dei processi per le verifiche di conformità
C3.2 Controlli sull’applicazione delle regole
BASSO
BASSO
BASSO
BASSO
C4. Impostazione di un sistema di reporting e gestione delle notifiche periodiche:
BASSO
C5. Gestione delle anomalie di Compliance (non-compliance) e relative notifiche:
C5.1 Acquisizione e risoluzione dell’anomalia di Compliance
MEDIO-BASSO
BASSO
Pagina 79 di 88
Osservatorio
RAPPORTO DI RICERCA
3.7
I costi della Compliance
In conclusione di capitolo risulta opportuno introdurre, pur senza approfondirlo, il tema dei
costi della Compliance.
Da quanto emerso in relazione alla costituzione di una Funzione Compliance, appare del
tutto evidente che si tratta di uno sforzo significativo sul piano delle risorse (umane e
tecnologiche) impiegate e dei costi a esse correlati, in misura tanto maggiore quanto
maggiori sono la dimensione e la complessità organizzativa e di business
dell’intermediario, più esteso è il perimetro di responsabilità definito e più intensa è la
pressione normativa alla quale l’intermediario è soggetto. Si tratta di costi per lo più
destinati a calare dopo lo sforzo iniziale di costituzione e strutturazione della Funzione,
fino a raggiungere una soglia di stabilità il cui valore, per organizzazioni confrontabili sul
piano dei principali indicatori di business e strutturali, dipende dal livello di efficienza
raggiunto in relazione all’efficacia (livello di conformità) attesa (figura 13).
Figura 13 – Bilanciamento tra efficienza ed efficacia della Compliance
Fonte: Ibm Consulting, “Risk and the Economics of Regulatory Compliance”, Gartner, 2006
Analizzando i dati relativi alle prime 1000 imprese statunitensi nel periodo 2003 – 2006
(per le quali esiste una avsta collezione di serie storiche), è possibile avere un’indicazione
di massima circa la struttura dei costi tipica di un progetto di Compliance. Dall’indagine,
recentemente pubblicata da Gartner 11 , risulta una spesa media aggiuntiva (2005) di 4 M$
11
John Bace, Carol Rozwell, Joseph Feiman, Bill Kirwin, “Understanding the Costs of
Compliance”, Gartner, July 2006.
Pagina 80 di 88
Osservatorio
RAPPORTO DI RICERCA
per le prime 500 imprese (Standard & Poor’s 500) e di circa 3 M$ per le successive 500,
ripartita sulla base delle voci di costo indicate in figura 14.
Figura 14 – Spesa incrementale per la Compliance (campione statunitense)
Fonte: Gartner, 2006
Nel nostro Paese, mancano rilevazioni di tipo quantitativo effettuate su base sistematica.
Tuttavia, la citata indagine di AICOM consente di fare qualche utile considerazione sul
piano qualitativo. Nell’ambito delle aziende analizzate, i costi di Compliance risultano in
prevalenza ripartiti sulle seguenti voci (l’entità della spesa per voce di costo è rappresentata
in una scala crescente da 0 a 10):
Figura 15 – Entità dei costi di Compliance per voce di costo
Pagina 81 di 88
Osservatorio
RAPPORTO DI RICERCA
Nella figura che segue è riportata, invece, la distribuzione dei costi di Compliance per area
normativa (l’entità della spesa è rappresentata secondo la stessa scala crescente da 0 a 10):
Figura 16 – Entità dei costi di Compliance per area normativa
Pagina 82 di 88
Osservatorio
RAPPORTO DI RICERCA
4. La Funzione Compliance nella legislazione estera
L’esperienza italiana in materia di Compliance è ancora piuttosto embrionale, anche per la
mancanza di una disciplina specifica di riferimento (in fase di emissione da parte
dell’Autorità di Vigilanza al momento della stesura del presente rapporto, ndr). Ai fini
della costituzione di una funzione di conformità nelle banche italiane può quindi risultare
utile analizzare, seppure brevemente, l’approccio adottato in Paesi che possono vantare una
più lunga tradizione in materia.
Francia
In territorio francese è in vigore una disciplina normativa relativa alla funzione Compliance
fin da prima che il Comitato di Basilea emettesse il suo documento sulla funzione
Compliance.
Già dal 1997, infatti, la disciplina relativa ai controlli interni della banche francesi
(regolamento n.97-02 del Comitato di Regolamentazione Bancaria e Finanziaria)
prevedeva la definizione di procedure, misure e controlli su tre tipologie di rischio:
-
il rischio di natura economica;
-
il rischio operativo, definito dal Comitato di Basilea e ripreso dalla
regolamentazione francese;
-
il rischio di ordine giuridico, di cui fa parte il rischio di non conformità alle leggi,
ai regolamenti e alle norme professionali.
A partire dal 2004, cioè dopo l’emissione da parte del Comitato di Basilea del documento 12
sulla Compliance, l’intermediario deve costituire, ex lege, una struttura interna di
Compliance che vigili sul rispetto delle procedure e norme che regolano l’attività bancaria
francese. La responsabilità della Compliance è affidata a un responsabile di funzione e a un
membro dei vertici aziendali, che hanno anche il compito di garantirne l’indipendenza.
Le autorità sottolineano con decisione come la funzione di conformità debba essere
esercitata in modo esaustivo in tutti i settori, zone geografiche e contesti regolamentari del
gruppo. Oltre alla supervisione dei dispositivi di prevenzione, uno dei compiti
fondamentali della Compliance è il rafforzamento di quella “cultura della conformità” che
è considerata un fattore critico di stabilità per l’intermediario finanziario. La disciplina
francese sottolinea, inoltre, la necessità di dotarsi di appropriati flussi informativi di sintesi
tra i diversi livelli gerarchici, che consentano una rapida individuazione dei rischi di non
conformità. Tutti gli intermediari devono presentare, su base periodica, un report sul
sistema di Compliance, redatto da un supervisore indipendente.
12
Basel Commitee, “Consultative Document on the Compliance Function in Banks”, Basilea,
ottobre 2003.
Pagina 83 di 88
Osservatorio
RAPPORTO DI RICERCA
Germania
In Germania, la disciplina legislativa impone che le banche possiedano una funzione di
Compliance, ma non prevede regolamentazioni specifiche, lasciando disposizioni molto
ampie perché quest’attività si adatti alla natura e alle peculiarità dell’ente creditizio.
La Compliance ha l’obbligo di reporting, così come dettato dai principi di Basilea, nei
confronti dei vertici aziendali; solo per le banche di maggiori dimensioni si prevede
l’istituzione di una figura responsabile della Compliance (Compliance Officer). Anche il
requisito di indipendenza è esposto in modo esplicito solo per le banche di maggiori
dimensioni.
Sono infine previsti regolari controlli da parte di soggetti esterni che devono fornire alle
Istituzioni competenti notifica tempestiva di eventuali violazioni e produrre un report
annuale sul sistema di Compliance per l’Autorità di Vigilanza.
Regno Unito
L’Autorità Finanziaria britannica (FSA 13 ) prevede che ogni intermediario costituisca una
propria funzione di Compliance autonoma, indipendente e capace di essere costantemente
aggiornata su tutte le normative di settore. La responsabilità della funzione è in capo a un
senior manager, che deve mantenere una comunicazione diretta e continuativa con gli
Organi Amministrativi pur senza avere l’obbligo di produrre informative e reportistica su
base periodica.
La normativa impone che vengano effettuati controlli sul sistema di Compliance da parte di
soggetti esterni, che devono comunicare tempestivamente alle Istituzioni competenti
eventuali violazioni. Infine, la stessa FSA conduce un controllo attivo di supervisione della
funzione Compliance.
Spagna
La normativa spagnola prevede l’obbligo, per le banche, di istituire una funzione di
Compliance interna all’azienda, che sia indipendente e dotata di sistemi informativi atti a
comunicare in modo continuativo l’andamento delle attività agli organi di vertice.
E’ inoltre richiesto che la funzione di Compliance si renda parte attiva nell’impostazione di
politiche di controllo mirate alla prevenzione e all’individuazione delle violazioni alla
normativa in vigore. E’ previsto il controllo da parte di soggetti esterni alla banca, che
devono comunicare eventuali violazioni o lacune nel sistema di Compliance alle Istituzioni
competenti.
13
Financial Service Authority, Regno Unito.
Pagina 84 di 88
Osservatorio
RAPPORTO DI RICERCA
Stati Uniti d’America
La normativa statunitense prevede l’obbligo, per le istituzioni finanziarie, di creare una
funzione di Compliance ma non di mantenersi costantemente aggiornate, in modo
autonomo, sulla normativa di settore 14 , né sono dettati principi precisi su come questa
funzione debba essere strutturata.
La responsabilità delle attività di conformità poste in essere è in capo al senior manager
della funzione (Compliance Officer), a cui sono imputati gli atti compiuti dai soggetti sotto
il suo controllo e che ha il compito di redigere un report annuale sulla gestione del rischio
di conformità per gli organi di vertice.
Le leggi americane, come molte legislazioni europee, hanno previsto una supervisione da
parte di soggetti esterni, che devono inviare annualmente alla SEC 15 un resoconto delle
attività condotte dalla funzione di Compliance nel corso dell’anno per garantire l’efficienza
del sistema e la conformità alle norme in vigore e ai codici di comportamento emanati. In
caso di mancato avviso alle autorità competenti di violazioni o carenze riscontrate nella
gestione, viene ritenuto responsabile dell’omissione il Compliance Officer o, in via
surrogatoria, il revisore esterno.
Per avere un quadro completo dello scenario statunitense, si ritiene opportuno un
approfondimento della legge Sarbanes-Oxley Act, non previsto nell’ambito del presente
documento.
14
15
Lo stesso principio è adottato da Germania, Spagna e Regno Unito.
Security and Exchange Commission, USA.
Pagina 85 di 88
Osservatorio
RAPPORTO DI RICERCA
BIBLIOGRAFIA
AICOM – Associazione Italiana Compliance, “Linee guida per la funzione di compliance”, documento di
discussione, giugno 2006.
AICOM – Associazione Italiana Compliance, Università degli Studi di Perugia, Università degli Studi di Roma
Tre, “Collocazione organizzativa, costi e benefici della funzione compliance nelle banche che operano in
Italia”, rapporto di ricerca, 2006.
American Banking Association (ABA), “The nationwide Bank Compliance Officer Survey”, in ABA Banking
Journal, Compliance Watch, 2003.
Annunziata, Intermediazione mobiliare e agire disinteressato: i profili organizzativi interni, in BBTC, 1994, I,
634 ss.
Bace, Rozwell, Feiman, Kirwin, “Understanding the Costs of Compliance”, Gartner, July 2006.
Banca d’Italia, “Normativa di vigilanza in materia di conformità alle norme”, documento per consultazione,
agosto 2006.
Bartolomucci, Riflessioni in tema di adozione degli strumenti di previsione dei reati d’impresa con finalità
esimente, in Società, 2003, 813 ss.
Bonelli, La responsabilità degli amministratori, in Trattato delle società per azioni, 4, Torino, 1991, 323 ss.
Borsa Italiana, Codice di Autodisciplina, 2006.
Buonocore, Adeguatezza, precauzione, gestione, responsabilità: chiose sull’art. 2381, commi terzo e quinto, del
codice civile, in Giur. comm., 2006, I, 5 ss.
Clemente, Vigilanza sugli Enti Creditizi, Banca d’Italia, “La Funzione di Compliance nelle banche italiane:
evoluzione normativa e contributo alla creazione del valore”, convegno AICOM, Roma, 28 giugno 2006.
Comitato di Basilea, “Compliance and the compliance function in banks”, Basilea, aprile 2005.
Comitato di Basilea, “Convergenza internazionale della misurazione del capitale e dei coefficienti
patrimoniali”, Basilea, giugno 2004.
Hansen, The ALI Corporate Governance Project: of the Duty of Due Care and the Business Judgement Rule, a
Commentary, in Bus. Lawyer., 1986, 1241 ss.
Libonati, La società e l’impresa, Milano, 2004.
Montalenti, La responsabilità degli amministratori nell’impresa globalizzata, in Mercati finanziari e sistema
dei controlli (atti del convegno 1-2 ottobre 2004), Milano, 2005.
Pogliaghi, Vandali, “La Compliance in Banca”, Bancaria Editrice, 2005.
Rabitti, Rischio organizzativo e responsabilità degli amministratori: contributo allo studio dell'illecito civile,
Milano, 2004.
Toffoletto, in AA.VV., Diritto delle società di capitali, Manuale breve, Milano, 2005.
Pagina 86 di 88
Osservatorio
RAPPORTO DI RICERCA
Pagina 87 di 88
Osservatorio
RAPPORTO DI RICERCA
CeTIF
Università Cattolica del Sacro Cuore
Largo Gemelli, 1 - 20123 Milano
Tel. + 39 02 72342590
Fax. + 39 02 43980770
E-mail: [email protected]
www.cetif.it
Pagina 88 di 88