Compliance - Regolo -Io

LE NUOVE REGOLE SUL SISTEMA DEI
CONTROLLI INTERNI, SISTEMI
INFORMATIVI E CONTINUITA’ OPERATIVA
(Circolare n. 263 del 27 dicembre 2006 – 15° Aggiornamento)
LE NOVITA’ PER LA FUNZIONE
COMPLIANCE E LA GESTIONE E IL
CONTROLLO DEL RISCHIO FISCALE
MILANO 1° Ottobre 2013
1
LE REGOLE DELLA FUNZIONE COMPLIANCE
La funzione compliance è disciplinata nei settori bancario, finanziario e
assicurativo da specifiche regolamentazioni:
• Regolamento congiunto Banca d’Italia Consob in materia di organizzazione e controlli degli intermediari ‐ art. 6, co. 2.bis TUF (29 ottobre 2007) • Regolamento ISVAP n. 20 (26 marzo 2008)
• Disposizioni Banca d’Italia “vigilanza prudenziale per le banche. Il Sistema dei controlli interni” circ. n. 263/2006, 15°agg.to ( 2 luglio 2012). Il documento ha abrogato le Disposizioni di Vigilanza Banca d’Italia sulla funzione di conformità (10 luglio 2007).
Ulteriori principali regole emanate:
• Linee Guida EBA (settembre 2011)
• Documento ESMA (luglio 2011)
Regole in fase di consultazione:
• Documento in consultazione Banca d’Italia “disposizioni di vigilanza per gli intermediari finanziari” attuazione D.lgs. 141/2010 (gennaio 2012)
2
LE REGOLE DELLA FUNZIONE COMPLIANCE
Nel percorso della funzione di conformità “compliance” la Banca d’Italia ha
avuto un ruolo primario e coerente con i più ampi compiti assunti dall’Autorità
sui temi della corporate governance e della tutela della clientela in ambito
bancario
LA FUNZIONE
COMPLIANCE
COSTITUISCE:
UN TASSELLO MOLTO SIGNIFICATIVO DELLA GOVERNANCE AZIENDALE(*)
UN ELEMENTO CENTRALE NELL’AMBITO DELLA TRASPARENZA E DELLA TUTELA DEL CLIENTE CON RIFERIMENTO AI PRODOTTI BANCARI (*)
(*) Carmelo Lattuca – Capo Ispettorato Vigilanza B.I. Convegno Aicom “ Italia ‐ Stati Uniti Affrontare la crescita
globale dei rischi di Compliance” 10.06.2013
3
Le nuove disposizioni di vigilanza prudenziale costituiscono una tappa importante del
percorso avviato nel luglio 2007 con l’emanazione delle disposizioni “La funzione di
conformità (compliance)”(*)
LE NOVITA’ DI MAGGIORE RILIEVO:
INSERIMENTO “ORGANICO” DELLA FUNZIONE COMPLIANCE NELLE DISPOSIZIONI CHE REGOLANO LE FUNZIONI DI CONTROLLO E PIU’ IN GENERALE IL SISTEMA DEI CONTROLLI INTERNI
ATTRIBUZIONE ALLA FUNZIONE COMPLIANCE DEL RUOLO DI
“PRESIEDERE” ALLA GESTIONE DEL RISCHIO DI NON CONFORMITA’ A TUTTA L’ATTIVITA’ AZIENDALE
INSERIMENTO NEL “PERIMETRO” DELLA FUNZIONE DELLA NON CONFORMITA’ ALLE NORMATIVE DI NATURA FISCALE (*) Le disposizioni abrogate hanno costituito la cornice di riferimento della nuova normativa
4
FUNZIONE COMPLIANCE E CONTROLLI INTERNI
LA FUNZIONE DI COMPLIANCE E’ ORGANICAMENTE INSERITA E DISCIPLINATA TRA LE FUNZIONI DI CONTROLLO INSIEME ALLE FUNZIONI: CONTROLLO DEI RISCHI E INTERNAL AUDIT. PER LE TRE FUNZIONI SONO DEFINITI:
• I REQUISITI COMUNI DI INDIPENDENZA (autorità, professionalità, risorse,
competenze, riferimenti agli organi aziendali, separazione,
remunerazione, unione di funzioni, esternalizzazione)
• LA PROGRAMMAZIONE E RENDICONTAZIONE PERIODICA DELLE ATTIVITA
• I REQUISITI SPECIFICI DELLE FUNZIONI DI CONTROLLO (con definizione
delle responsabilità, dei rapporti tra le funzioni e la suddivisione dei
ruoli)
La novità è di notevole importanza in quanto non solo assicura un quadro unitario
per gli operatori bancari ma perché rappresenta il risultato di scelte importanti su
punti critici riguardanti la funzione di compliance (in particolare nei rapporti con
altre funzioni specialistiche come ad es.: legale, fiscale, dirigente preposto, ecc.)
5
FUNZIONE COMPLIANCE E CONTROLLI INTERNI
RAPPORTI TRA IL RESPONSABILE DELLA FUNZIONE COMPLIANCE E IL
CHIEF RISK OFFICER (FIGURA DI COORDINAMENTO DI AUTONOME
FUNZIONI DI CONTROLLO RISCHI)
Banca d’Italia ha espresso contrarietà all’istituzione della figura CRO,
al quale riportino gerarchicamente i responsabili delle funzioni di
secondo livello, in quanto la ritiene non compatibile con l’assetto del
sistema dei controlli interni (*).
PUNTI CRITICI DELLA FIGURA DEL CRO:
• CREAZIONE DI UN ULTERIORE LIVELLO TRA LE FUNZIONI
DI SECONDO LIVELLO E L’OFG E IL RISCHIO CHE LA
DIALETTICA TRA OFG E FUNZIONI DI CONTROLLO RISULTI
FILTRATO DAL NUOVO SOGGETTO (*)
(*) Banca d’Italia “Resoconto della consultazione”
6
FUNZIONE DI COMPLIANCE E CONTROLLI INTERNI
INOLTRE LA RIUNIONE DELLA FUNZIONE DI COMPLIANCE
NEL PERIMETRO DEL CRO NON RISULTA COERENTE CON I
RISCHI AI QUALI LE FUNZIONI COMPLIANCE E RISK
MANAGEMENT PRESIEDONO(*):
Risk
management
Compliance
Rischi qualitativi
Rischi imprenditoriali e di mercato
(*) Osservazioni AICOM in sede di consultazione
7
PRESIDIO DI CONFORMITA’ A TUTTE LE NORME
Compliance 2007
• “Una gestione dinamica e
consapevole del rischio di non
conformità richiede l’istituzione
di una apposita funzione, il cui
compito specifico è quello di ve‐
rificare che le procedure interne
siano coerenti con l’obiettivo di
prevenire la violazione di norme
di eteroregolamentazione (leggi
e regolamenti) e autoregola‐
mentazione (codici di condotta,
codici etici) applicabili alla
banca.”
Compliance 2013
•
“La funzione di conformità alle
norme presiede, secondo un
approccio risk based, alla
gestione
del
rischio
di
conformità con riguardo a tutta
l’attività aziendale, verificando
che le procedure siano adeguate
a prevenire tale rischio…”
8
PRESIDIO DI CONFORMITA’, A TUTTE LE NORME
Compliance 2007
• “In via generale, le norme più
rilevanti ai fini del rischio di non
conformità sono quelle che
riguardano l’esercizio dell’attività
d’intermediazione, la gestione
dei conflitti d’interesse, la
trasparenza nei confronti del
cliente e, più in generale, la
disciplina posta a tutela del
consumatore.”
Compliance 2013
•
“Per le norme più rilevanti ai fini del
rischio di non conformità quali quelle
che riguardano l’esercizio della
attività
d’intermediazione,
la
gestione dei conflitti d’interesse, la
trasparenza nei confronti della
clientela e, più in generale, la
disciplina posta a tutela del
consumatore, e per quelle norme per
le quali non siano già previste forme
di presidio specializzato all’interno
della
banca,
la funzione è
direttamente responsabile della
gestione del rischio di non
conformità.”
9
PRESIDIO DI CONFORMITA’ A TUTTE LE NORME
Compliance 2013
GRADUALITA’
DEL PRESIDIO
COMPLIANCE
“Con riferimento ad altre normative per le quali siano
già previste forme specifiche di presidio specializzato
(es. normativa sulla sicurezza del lavoro, in materia di
trattamento dati), la banca, in base ad una valutazione
dell’adeguatezza dei controlli specialistici a gestire i
profili di rischio di non conformità, può graduare i
compiti della compliance, che comunque è
responsabile, in collaborazione con le funzioni
specialistiche incaricate, almeno della definizione
delle metodologie di valutazione del rischio di non
conformità, e della individuazione delle relative
procedure, e procede alla verifica dell’adeguatezza
delle procedure medesime a prevenire il rischio di non
conformità”
10
COMPLIANCE E NORMATIVA FISCALE
La banca può adottare tale approccio anche con riferimento
al presidio del rischio di non conformità alle NORMATIVE DI
NATURA FISCALE (1), che richiede almeno :
¾la definizione di procedure (2) volte a prevenire violazioni o
elusioni di tale normativa e ad attenuare i rischi connessi a
situazioni che potrebbero integrare fattispecie di abuso del diritto,
in modo da minimizzare le conseguenze sia sanzionatorie, sia
reputazionali derivanti dalla non corretta applicazione della
normativa fiscale
¾la verifica dell’adeguatezza di tali procedure e della loro
idoneità a realizzare effettivamente l’obiettivo di prevenire il
rischio di non conformità
(1) Le banche devono tenere conto dei rischi derivanti dal coinvolgimento in operazioni
fiscalmente irregolari poste in essere dalla clientela
(2) Tali procedure possono prevedere il ricorso a figure interne alla banca esperte in materia
fiscale oppure,nei casi più complessi, l’acquisizione del parere delle autorità tributarie comp.ti
11
COMPLIANCE E NORMATIVA FISCALE
LA SOLUZIONE ORGANIZZATIVA DOVRÀ PERTANTO
ALMENO RIPORTARE:
LA DEFINIZIONE DI PROCEDURE CHE PREVENGANO VIOLAZIONI ED ELUSIONI E ATTENUINO I RISCHI CONNESSI ALLA FATTISPECIE DI ABUSO DEL DIRITTO
LA VERIFICA DELLE STESSE PROCEDURE E LA LORO IDONEITÀ RISPETTO ALLA PREVENZIONE DEL RISCHIO DI NON CONFORMITÀ
12
COMPLIANCE E NORMATIVA FISCALE
Tale soluzione appare al momento preferibile in quanto:
• In strutture complesse, dove esistono pluralità di soggetti che si occupano
sotto diversi ambiti della materia fiscale (ufficio fiscale, collegio sindacale,
revisori, preposto al bilancio, OdV 231/2001), attenua i rischi di
sovrapposizioni e di conflitti anche interpretativi tra funzioni
• In strutture meno complesse dimensionalmente e operativamente, attenua
la criticità della funzione di conformità di non disporre di competenze
specialistiche e di dover ricorrere a onerosi supporti consulenziali esterni
IN OGNI CASO ALLA FUNZIONE COMPLIANCE E’ ASSEGNATO UN PRESIDIO CHE COMPORTA CRITICITA’ SUL PIANO DELLE COMPETENZE PROFESSIONALI E DELLE RISORSE DISPONIBILI 13
PRESIDIO COMPLIANCE: RESPONSABILITA’
NORME
RILEVANTI
(trasparenza, attività di intermediazione, disciplina a tutela del consumatore, conflitto d’ interessi)
RESPONSABILITA’
diretta
SENZA PRESIDIO SPECIALIZZATO
diretta
CON PRESIDIO SPECIALIZZATO
(es.: disciplina fiscale, contabilità, ICAAP, ecc.)
condivisa
SPECIFICHE
(es.: AML, privacy, servizi investimento ecc.)
diretta
ALTRE AREE INTERVENTO
(es.: progetti innovativi, consulenza al vertice, sistema premiante, formazione, IT/compliance)
condivisa o diretta in relazione alla singola materia
14
IPOTESI APPROCCIO OPERATIVO
Sulla base delle nuove regole “principle based” su organizzazione, competenze, responsabilità delle funzioni Compliance i necessari passi organizzativi saranno:
verificare il corretto collocamento gerarchico funzionale della funzione compliance evidenziando e rafforzando: ruolo, autorità e competenze
definire in dettaglio le relazioni con gli Organi aziendali e le altre funzioni di controllo
identificare il perimetro normativo definendo le aree/materie di dominio specialistico compliance tenendo conto del fatto che non esiste solo la Compliance bancaria (v.: servizi investimento, market abuse, Dlgs 231/2001, Dlgs 231/2007, ecc.)
identificare i domini specialistici per area/materia affidati o da affidare a altre strutture/funzioni aziendali (es: ICAAP, contabilità, fiscale, sicurezza lavoro, ecc.) e i rispettivi compiti di compliance
identificare i principali rischi di non conformità all’interno dell’azienda e le regole di pianificazione dell’attività (priorità interventi, periodicità azioni, dashboard
dashbord e follow up controlli, reportistica, ecc.)
15
R
RISULTATI INDAGINI (*) ED ISPEZIONI B.I.
2007
2009
Ancora da migliorare: • il riconoscimento della autorevolezza della Funzione Compliance attraverso un posizionamento organizzativo adeguato
• maggiore informatizzazione
L’esperienza maturata mostrerebbe:
• maturità del rapporto funzione Compliance e Business
• collegamento tra i valori aziendali e di compliance e tra questi e il sistema incentivante • da mero consulente ad attore nelle scelte strategiche di business (Comitato Nuovi Prodotti)
• budget di spesa autonomo
• risorse dedicate e specializzate
(*) Indagini :Aicom, SDA Bocconi, Sia;
2011
2012
Evidenze ispezioni B.I.:
•incertezze su autonomia e indipendenza
•limitate sinergie con il risk management
•necessità di incrementare il non adeguato coinvolgimento nelle attività gestionali/ operative rilevanti
•presidio più formale che sostanziale del conflitto di interessi
16
CONCLUSIONI
a
• “La reputazione si costruisce con enorme fatica si perde molto
velocemente”. Lo afferma un notissimo uomo d’affari, Warren
Buffett, non un esponente di una istituzione pubblica
• E’ necessario per le banche conciliare business, etica e contrasto ai
fenomeni illegali e la funzione Compliance rappresenta uno snodo
fondamentale di questo complesso ma necessario equilibrio a
tutela di azienda e dipendenti
• Diventa cruciale un sempre più effettivo confronto tra le Autorità e
le Associazioni professionali che vivono in prima linea l’urto della
regolamentazione per fare in modo che ci siano regole giuste e
condivise
17
PER UN EFFETTIVO SVILUPPO DELLA
FUNZIONE COMPLIANCE E’
IMPRESCINDIBILE UN SOSTANZIALE
COMMITMENT INTERNO
(vertice e organi aziendali)
AL PARI DI UN NECESSARIO
COMMITMENT ESTERNO
(Autorità di vigilanza, Associazioni di
categoria e professionali)
18