Scheda tecnica sul funzionamento dei controlli di compliance in banca
Transcript
Scheda tecnica sul funzionamento dei controlli di compliance in banca
“Arrangements and procedures on the sales of financial products” (VS/2010/0737 )” With EU contribution MiFID, Compliance e Codici etici Il sistema “MiFID Compliant” nelle Banche italiane Domenico Iodice – APF FIBA Research Dept. I profili procedurali ed organizzativi • L’accresciuta importanza del profilo organizzativo trova riscontro normativo nel: – Regolamento congiunto Banca d’Italia/Consob del 29.10.2007: • • • • • • • • • Solidi dispositivi di governo societario; Efficace sistema di gestione del rischio d’impresa; Corretto esercizio delle responsabilità; Presenza di personale qualificato e competente; Efficaci sistemi di segnalazione e comunicazione delle informazioni; Registrazione ordinata dei fatti di gestione; Tutela della riservatezza delle informazioni; Politiche di continuità e regolarità dei servizi; Sistema dei controlli interni (compliance); Domenico Iodice – APF FIBA Research Dept. 2 I profili procedurali ed organizzativi (segue) • Quanto descritto ha generato una nuova consapevolezza degli operatori per i profili organizzativi e di compliance • (per la definizione, almeno, di adeguate procedure interne di investimento e disinvestimento, di identificazione e gestione dei conflitti di interessi, di identificazione e gestione degli incentivi, nonché delle procedure MiFID e antiriciclaggio); • Nelle slides seguenti vengono evidenziate alcune applicazioni pratiche ed operative dei principi e obblighi sopra sintetizzati con riferimento: – Alla Relazione sulla struttura organizzativa; – Al Manuale delle procedure interne, al codice interno di comportamento e a taluni processi gestionali. Domenico Iodice – APF FIBA Research Dept. 3 Compliance: nozione • Con il termine compliance normativa (o regulatory compliance) si intende la conformità a determinate norme, regole o standard; indica il rispetto di specifiche disposizioni impartite dal legislatore, da autorità di settore, da organismi di certificazione nonché di regolamentazioni interne alle società stesse. • In banca la funzione di compliance ha il compito di verificare che “le procedure interne siano coerenti con l’obiettivo di prevenire la violazione di norme di eteroregolamentazione (leggi e regolamenti) e autoregolamentazione (codici di condotta, codici etici)” al fine di evitare rischi di “incorrere in sanzioni, perdite finanziarie o danni di reputazione in conseguenza di violazioni di norme legislative, regolamentari o di autoregolamentazione”. • Il concetto di compliance in azienda è solitamente associato anche al concetto di onestà ed etica nei comportamenti in relazione a codici etici o principi deontologici. Domenico Iodice – APF FIBA Research Dept. 4 Perché una funzione di Compliance? • L’esigenza di istituire in azienda una funzione specifica di Compliance nasce dalle riflessioni condotte a livello internazionale, anche a fronte di scandali e fallimenti specie in campo finanziario, che hanno evidenziato l’esigenza di rafforzare presidi organizzativi volti ad assicurare la piena osservanza delle normative riguardanti l’attività svolta e, in particolare, le relazioni con la clientela specie per quel che riguarda la trasparenza dei rapporti contrattuali. • la funzione di compliance è chiamata a svolgere un ruolo complementare rispetto al sistema di gestione dei rischi previsto dalla regolamentazione prudenziale (Basilea II per le banche, Solvency II per le assicurazioni); la compliance ha infatti un’ottica prevalentemente preventiva nel presidiare rischi di carattere legale e reputazionale. Domenico Iodice – APF FIBA Research Dept. 5 La Compliance è obbligatoria? • • • • • Banche, intermediari che offrono servizi di investimento ed assicurazioni devono obbligatoriamente istituire una funzione di compliance secondo le indicazioni fornite rispettivamente da: Banca d’Italia il 12 luglio 2007 nelle “Disposizioni di Vigilanza - La funzione di conformità (compliance)”; CONSOB* (congiuntamente a Banca d'Italia) il 29 ottobre 2007 nel “Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio”; ISVAP** il 26 marzo 2008 nel “Regolamento N. 20 recante disposizioni in materia di controlli interni, gestione dei rischi, compliance (…). Tali normative di vigilanza recepiscono i principi-guida in materia dal Comitato di Basilea (2005; ultimo aggiornamento 16 marzo 2010). *autorità amministrativa indipendente, la cui attività è rivolta alla tutela degli investitori, all'efficienza, alla trasparenza e allo sviluppo del mercato mobiliare italiano ** ha funzioni di vigilanza nel settore delle assicurazioni Domenico Iodice – APF FIBA Research Dept. 6 Rischio di compliance e rischio operativo • La Banca d’Italia definisce il rischio di non conformità alle norme come “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione” (es. statuti, codici di condotta, codici di autodisciplina) • La definizione indica chiaramente che il rischio di non conformità si articola su due dimensioni: • rischio legale; • rischio reputazionale. Domenico Iodice – APF FIBA Research Dept. 7 Scheda di approfondimento • Il Comitato di Basilea è stato istituito dai governatori delle Banche centrali dei dieci paesi più industrializzati (G10) alla fine del 1974. I membri attuali del Comitato provengono da Belgio, Canada, Francia, Germania, Italia, Giappone, Lussemburgo, Paesi Bassi, Spagna, Svezia, Svizzera, Regno Unito e Stati Uniti. • • Il Comitato opera in seno alla BRI, Banca dei Regolamenti Internazionali, con sede a Basilea, un'organizzazione internazionale che ha lo scopo di promuove la cooperazione fra le banche centrali ed altre agenzie equivalenti allo scopo di perseguire la stabilità monetaria e finanziaria. Obiettivo del Comitato è quello di concordare politiche comuni volte ad evitare che normative, comportamenti e procedure difformi all’interno dei singoli sistemi finanziari nazionali possano portare a conseguenze negative sul sistema finanziario globale. • Il Comitato non possiede alcuna autorità sovranazionale e le sue conclusioni non hanno alcuna forza legale. Le linee guida, gli standard, le raccomandazioni del Comitato sono formulati nell'aspettativa che le singole autorità nazionali possano redigere disposizioni operative che tengano conto delle realtà dei singoli stati. In questo modo il Comitato incoraggia la convergenza verso approcci comuni e comuni standard. Domenico Iodice – APF FIBA Research Dept. 8 Il rischio operativo • • • • • • • • • Il Comitato di Basilea definisce il rischio operativo come “il rischio di perdite … derivanti da disfunzioni a livello di procedure, personale e sistemi interni, oppure da eventi esogeni. Questa definizione comprende il rischio legale, ma non quelli di posizionamento strategico e di reputazione”. Le principali fattispecie di rischio operativo potenziali causa di perdite sostanziali sono: frode interna (es.: alterazione intenzionale di dati, sottrazione di beni e valori, operazioni in proprio basate su informazioni riservate); frode esterna (es.: furto, contraffazione, falsificazione,pirateria informatica); rapporto di lavoro e sicurezza – (es.: risarcimenti richiesti da dipendenti, violazione delle norme a tutela della salute e sicurezza, attività sindacale, pratiche discriminatorie, responsabilità civile); pratiche connesse con la clientela, i prodotti e l’attività (es.: violazione del rapporto fiduciario, abuso di informazioni confidenziali, transazioni indebite effettuate per conto della banca, riciclaggio di denaro di provenienza illecita, vendita di prodotti non autorizzati); danni a beni materiali; disfunzioni e avarie di natura tecnica; conformità esecutiva e procedurale (es.: errata immissione di dati, gestione inadeguata delle garanzie, documentazione legale incompleta, indebito accesso consentito a conti di clienti, inadempimenti di controparti non clienti, controversie legali con fornitori). Esiste un’area comune tra rischio compliance e rischio operativo. Domenico Iodice – APF FIBA Research Dept. 9 Le regole fondamentali di Compliance • • • • • • • Approccio per principi L’approccio delle authority di controllo è caratterizzato da una limitata prescrittività e si fonda, viceversa, sull’indicazione di principi generali, integrati, ove necessario, da linee guida applicative e indicazioni sulle prassi accettabili (principle based regulation). Il principio di proporzionalità rappresenta, inoltre, il canone interpretativo e applicativo per trasporre le indicazioni di vigilanza nella specifica realtà aziendale in modo commisurato alla propria complessità dimensionale. Indipendenza In azienda la funzione di Compliance deve essere indipendente; ciò significa che deve essere: formalizzato lo status e il mandato della funzione attraverso l’indicazione di compiti, responsabilità, addetti, prerogative; nominato un responsabile indipendente; assicurata la presenza di adeguati presidi per prevenire i conflitti di interesse attraverso, in particolare, la previsione di flussi informativi separati e dedicati. Domenico Iodice – APF FIBA Research Dept. 10 La MiFID nei flussi organizzativi • 1. 2. 3. 4. 5. • • Ruolo degli organi di vertice La compliance è una responsabilità del vertice aziendale: il consiglio di amministrazione, il collegio sindacale e il direttore generale devono assicurare una efficace gestione del rischio di conformità. A tal fine: definiscono adeguate politiche e procedure di conformità; stabiliscono canali di comunicazione efficaci per assicurare che il personale a tutti i livelli dell’organizzazione sia a conoscenza dei presidi di conformità; assicurano che le politiche e le procedure vengano osservate all’interno della organizzazione nel caso emergano violazioni; accertano che siano apportati i rimedi necessari; delineano flussi informativi volti ad assicurare agli organi di vertice della società piena consapevolezza sulle modalità di gestione del rischio di non conformità. Perimetro normativo Ogni azienda deve definire il perimetro di riferimento della propria “funzione di Compliance”, individuando le norme, di etero e autoregolamentazione, rispetto alle quali essa ha la responsabilità di assicurare la conformità in via attuale e prospettica; in tale ambito, vanno considerati settori e aree di operatività, strategie perseguite, modelli di business adottati, prodotti e servizi offerti, tipologia di clientela, priorità di rischio eventualmente rilevate. Domenico Iodice – APF FIBA Research Dept. 11 Compliance e Internal Audit • • • • Indicazioni di Banca d’Italia La funzione di conformità si inserisce nel più ampio sistema dei controlli interni ed in particolare nell’ambito delle funzioni di controllo sulla gestione dei rischi. Nelle banche la Compliance è una funzione di controllo di “secondo livello” ed ha l’obiettivo di “concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformità, di individuare idonee procedure per la prevenzione dei rischi rilevati e di richiederne l’adozione. Il ruolo descritto differenzia la funzione di conformità da quella di revisione interna (cfr. Titolo IV – Capitolo 11 – Sezione II – Par. 1 delle Istruzioni di Vigilanza)”. L’adeguatezza ed efficacia della funzione di conformità devono essere sottoposte a verifica periodica da parte dell’Internal Audit o revisione interna (che nelle banche è una funzione di controllo di terzo livello); di conseguenza, per assicurare l’imparzialità delle verifiche, la funzione di conformità non può essere affidata alla funzione di revisione interna. Domenico Iodice – APF FIBA Research Dept. 12 La comunicazione BI-CONSOB 8 marzo 2011 Le reciproche competenze sono state ora chiarite, evitando duplicazioni: La Compliance valuta il rischio di non-conformità delle prassi alle norme poste a tutela della Clientela in tema di servizi Finanziari (MiFID) e stabilisce i correttivi idonei. L’Internal Audit verifica la correttezza dell’operatività aziendale valutandone l’efficacia organizzativa (deleghe, procedure informatiche, controlli) e il connesso rischio patrimoniale; adotta i provvedimenti disciplinari verso i dipendenti. Si richiedono forti sinergie operative (c.d.”accordo di servizio”) Domenico Iodice – APF FIBA Research Dept. 13 La piramide dei controlli MiFID Domenico Iodice – APF FIBA Research Dept. 14 L’autonomia dei controlli • Il Regolamento Congiunto Banca d’Italia - Consob del 29/10/2007 stabilisce che le Banche istituiscano e mantengano funzioni di controllo permanenti, efficaci ed indipendenti, fermo il principio di proporzionalità; • le funzioni di controllo devono disporre di autorità, risorse e competenze necessarie a svolgere i loro compiti; • non vi deve essere subordinazione tra controllanti e controllati; • i soggetti che esercitano le funzioni aziendali di controllo non partecipano alla prestazione dei servizi controllati; • le funzioni aziendali di controllo devono essere separate sotto il profilo organizzativo; • i meccanismi di remunerazione dei soggetti titolari delle funzioni di controllo non devono comprometterne l’obiettività. Domenico Iodice – APF FIBA Research Dept. 15 Il Manuale delle Procedure Interne • Le procedure interne che regolano le diverse attività dell’intermediario sono contenute in uno o più manuali e mansionari interni; – In effetti, come il sistema dei controlli, anche il sistema procedurale conosce un livello di dettaglio crescente e di competenza approvativa e attuativa decrescente: • • • Codici di comportamento, linee guida e policies; Procedure interne; e Protocolli operativi; • • • Consiglio di Amministrazione; Alta Direzione; Responsabili di funzione. – Le procedure possono distinguersi anche in “orizzontali” e “verticali”. Domenico Iodice – APF FIBA Research Dept. 16 I Codici interni di comportamento • Al vertice del sistema procedurale si pongono i Codici Etici (che descrivono i principi di relazione e comportamento) e i Codici Interni di Comportamento; • Questi ultimi, in particolare, definiscono le linee guida generali del sistema comportamentale e organizzativo; si occupano, tra l’altro, di: • • • • Riservatezza e trattamento informazioni privilegiate e confidenziali; Omaggi e rapporti con soggetti esterni; Gestione dei conflitti di interesse (trasparenza ed obblighi specifici); Sanzioni; – La corretta applicazione delle misure e delle procedure suddette è valutata periodicamente dall’organo con funzione di controllo, che comunica le proprie valutazioni all’organo con funzione di supervisione strategica affinché adotti le misure necessarie. Domenico Iodice – APF FIBA Research Dept. 17 Natura dei Codici etici • Gli atti unilaterali denominati “Codici di autoregolamentazione” (Codici etici, Codici di Condotta, Carte Valori) sembrano ad una prima analisi inadeguati a garantire l’esigibilità degli impegni dichiarati. Tale conclusione sembra tuttavia piuttosto affrettata. Mentre è chiaro che non si può costringere una banca ad adottare un modello di assunzione di responsabilità ulteriore rispetto alla legge (il codice etico è, per definizione, volontario), è altrettanto chiaro che, una volta liberamente assunto, l’impegno ulteriore è giuridico. Il problema è duplice: come qualificare e quantificare l’obbligo (riferito ai sistemi incentivanti) e come presidiarne l’attuazione. Domenico Iodice – APF FIBA Research Dept. 18 Qualificare e quantificare l’obbligo • • • Qualificare: Qualificare il negozio giuridico si può definire “promessa al pubblico”. Secondo l’art. 1989 codice civile, “colui che, rivolgendosi al pubblico, promette una prestazione a favore di chi si trovi in una determinata situazione o compia una determinata azione, è vincolato dalla promessa non appena questa è resa pubblica”. La promessa al pubblico, resa dall’imprenditore fonda l’affidamento del lavoratore e/o del consumatore, che prende per buono l’impegno ad attuare modelli di incentivazione equi e trasparenti (e perciò, rispettivamente, lavora o compra con fiducia). L’art. 1370 codice civile, inoltre, propone l’”interpretazione contro l’autore della clausola”: le clausole dubbie, inserite dal dichiarante, si interpretano a favore dei soggetti verso cui sono dirette: è così sanzionata ogni ambiguità di formulazione del testo. Chi assume impegni vaghi e apparentemente non verificabili, carpendo la buona fede dei soggetti che nutrono legittime aspettative circa il loro rispetto, risponde verso i soggetti medesimi delle relative conseguenze. Quantificare gli strumenti che garantiscono l’attuazione degli impegni aziendali in materia di equa e trasparente incentivazione: la Banca d’Italia ora interviene autorevolmente, precisando che essi consistono nel più stringente “controllo di conformità”, svolto dalla funzione aziendale di compliance. Domenico Iodice – APF FIBA Research Dept. 19 Il modello ex D.Lgs. 231/2001 Societas delinquere potest (colpa organizzativa) presunzione formazione manleva a) l'organo dirigente ha adottato modelli di organizzazione e gestione idonei; b) esiste un organismo dell'ente autonomo per iniziativa e controllo con compito di vigilare sul funzionamento e sull'osservanza dei modelli; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli; d) non c’è stata omissione o carenza di vigilanza. Sanzioni disc. Certe Sistema premiale negativo Domenico Iodice – APF FIBA Research Dept. vessazioni Sanzioni penali 20 La funzione di Compliance Rischi reputazionali MiFID Organo di gestione (non operativi): diventano legali Market Abuse Best execution Consulenze fee only Trasparenza Istruzioni Bankitalia 12/7/2007 Compliance è la funzione di verifica di conformità delle attività aziendali alle leggi, ai regolamenti, alle procedure ed ai codici di condotta. C.A.I. Organo di controllo Privacy Antiriciclaggio Operatore MiFID Domenico Iodice – APF FIBA Research Dept. 21 CCNL del settore credito • Art. 46 – Sistema incentivante “Chiarimento a verbale”: “Le Parti stipulanti ritengono opportuno che le imprese prevedano, nell’ambito dei sistemi incentivanti, anche obiettivi di qualità e che i sistemi incentivanti siano coerenti con i principi contenuti nella direttiva n. 2004/39/CE sui Mercati di Strumenti Finanziari (MiFID) e nelle disposizioni di vigilanza in tema di compliance”. Valore della norma contrattuale nella gerarchia delle fonti: Il contratto è legge tra le parti. Domenico Iodice – APF FIBA Research Dept. 22 BANKITALIA: I NUOVI STRUMENTI DI CONTROLLO SUI SISTEMI INCENTIVANTI NELLE BANCHE • • • In attuazione della Direttiva 2010/76/UE del 24 settembre 2010, la Banca d’Italia ha recentemente emanato le “Disposizioni in materia di politiche e prassi di remunerazione e incentivazione nelle banche e nei gruppi bancari” (Provvedimento del 31 marzo 2011). Tali disposizioni impattano su una normativa contrattuale “per principi generali” e sulla conseguente opacità gestionale di aziende in materia di sistemi incentivanti. Allo stato risultano generalmente non verificabili gli elementi di”oggettività e trasparenza” che, ex art. 46 c.c.n.l., devono informare sia i criteri di accesso ai sistemi d’incentivazione sia i meccanismi distributivi degli stessi. In questo quadro giuridico fortemente distonico tra principi e prassi, tra norme e “zone grigie”, finalmente si innesta un “quid novi” in grado di dare nuova linfa e concreta attuazione al combinato disposto di normativa comunitaria, statuale, contrattuale (di primo e secondo livello) e, appunto, regolamentare. Le Disposizioni della Banca d’Italia, infatti, introducono non solo orientamenti di principio, ma disposizioni attuative, dirette alle banche e dunque immediatamente vincolanti. Domenico Iodice – APF FIBA Research Dept. 23 Il nuovo Provvedimento Bankitalia • Il par. 4.2 delle Disposizioni specifica, tra le funzioni di controllo, l’obbligo di coinvolgimento della funzione di Compliance nel processo di definizione delle politiche di remunerazione “con modalità tali da assicurarne il contributo efficace e preservarne l’autonomia di giudizio”; conseguentemente, tale coinvolgimento si esprime in un giudizio “in merito alla rispondenza delle politiche di remunerazione al quadro normativo”. Ma non solo: “la funzione di compliance verifica, fra l’altro, che il sistema premiante aziendale sia coerente con gli obiettivi di rispetto dello statuto nonché di eventuali codici etici o di altri standard di condotta applicabili (alla banca)… “ (par. 4.3) Domenico Iodice – APF FIBA Research Dept. 24 In che modo si innova il quadro normativo • • Mentre finora non era ben specificato chi potesse effettuare il controllo degli standard applicativi dei principi in materia di sistemi incentivanti, oggi Bankitalia chiarisce: a) che tale funzione è demandata al Compliance; b) che l’esercizio della funzione è obbligatoria e non discrezionale; c) che detto controllo è preventivo, cioè integra il processo di formazione della volontà aziendale, rectius entra nel processo deliberativo, validandolo; d) che esso non riguarda solo le leggi, ma anche statuti, codici etici e/o di condotta, standard applicabili. In pratica, il sistema di esonero della responsabilità degli amministratori delle banche, fondato sul D.Lgs. 231/2001, vale solo se la funzione di compliance valida i meccanismi di incentivazione. Ma mentre finora era inteso che la valutazione/validazione di conformità riguardasse il mero rispetto delle leggi (molto vaghe in materia), oggi invece essa si estende obbligatoriamente al merito, perché deve verificare anche la coerenza: 1) tra prassi aziendali e impegni unilateralmente assunti da ciascuna banca in ambito di codice di condotta o codice etico; 2) a maggior ragione, tra prassi aziendali e impegni contrattualmente assunti. Domenico Iodice – APF FIBA Research Dept. 25 MiFID: nuove implicazioni contrattuali • La parte sindacale può attivarsi, in azienda, per formalizzare segnalazioni di non-conformità delle prassi commerciali (ai fini MiFID) alla funzione di Compliance. • Grazie a tali implicazioni, probabilmente si dischiuderanno all’interno delle banche nuovi e interessanti scenari per un governo finalmente negoziale dei processi e dei sistemi di remunerazione e incentivazione Domenico Iodice – APF FIBA Research Dept. 26