La Compliance, quale funzione incaricata della gestione del rischio di non conformità, è stata istituita dalla Banca d’Italia con le Diposizioni di Vigilanza n. 688006 del 10 luglio 2007, in cui vengono dettati i principi generali, le finalità ed i primari compiti della stessa. Il predetto impianto normativo, successivamente aggiornato dalla Circolare n. 263 di Banca d’Italia – 15° aggiornamento del 2 luglio 2013 (Capitolo 7), è intervenuto sul Sistema dei Controlli Interni con l’obiettivo di rafforzare la capacità delle banche di presidiare i rischi aziendali. L’evoluzione normativa tuttavia ha generato alcune criticità circa la definizione del perimetro operativo-normativo della Funzione, con conseguenti incertezze in tema di struttura organizzativa degli intermediari e del complessivo Sistema dei Controlli Interni, soprattutto per gli intermediari di dimensioni contenute. In particolare, ferme restando le responsabilità previste dal provvedimento, le banche dovranno valutare se: (i) attribuire parte dei controlli in capo a funzioni interne specializzate, (ii) procedere con una eventuale esternalizzazione (iii) attribuire tutti i controlli in capo alla Compliance. Scelta, quest’ultima, che appare di difficile applicazione.

1. Evoluzione normativa

Banca d’Italia con le Diposizioni di Vigilanza n. 688006 del 10 luglio 2007 istituisce la Funzione di conformità alle norme (c.d. Compliance), incaricata della gestione del rischio di non conformità,  definendo il rischio di non conformità alle norme come “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina, ecc.)”.

Le Disposizioni delineano i principi di carattere generale diretti ad individuare le finalità ed i compiti della Funzione di conformità sia in termini di adempimenti che di aree di intervento e caratteristiche.

In tema dei principali  adempimenti, le Disposizioni prevedono:

a)      l’identificazione nel continuo delle norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali;

b)      la proposta di modifiche organizzative e procedurali finalizzata ad assicurare adeguato presidio dei rischi di non conformità identificati;

c)      la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (gestione del rischio operativo e revisione interna);

d)      la verifica dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità.

In tema di aree di intervento, le Disposizioni prevedono il coinvolgimento delle Compliance:

–          nella valutazione ex-ante della conformità alla regolamentazione, applicabile a tutti i progetti innovativi che la banca intende intraprendere;

–          nella verifica della coerenza del sistema premiante aziendale nel rispetto di tutta la regolamentazione interna ed esterna;

–          in tutte le materie in cui assume rilievo il rischio di non conformità, fornendo un servizio di consulenza e assistenza nei confronti degli organi di vertice nonché nelle attività di formazione del personale in tema di rispetto delle norme.

In tema di caratteristiche, l’Autorità di Vigilanza ha previsto requisiti soggettivi di indipendenza, autorevolezza e professionalità della Funzione di conformità e delle risorse attribuite alla stessa.

L’impianto normativo ha subito notevoli cambiamenti con l’introduzione della Circolare n. 263 di Banca d’Italia e del successivo 15° aggiornamento del 2 luglio 2013, che ha apportato, con il nuovo Capitolo 7, un intervento sul Sistema dei Controlli Interni, con l’obiettivo del rafforzamento della capacità delle banche di presidiare i rischi aziendali, ampliando  ulteriormente il perimetro delle attività della Funzione.

In particolare, in ragione delle suddette modifiche normative, la Compliance dovrà  assicurare, secondo un approccio risk based, il presidio del rischio di non conformità relativamente a tutte le norme applicabili alle banche, prevedendo una particolare graduazione degli adempimenti in relazione (i) al rilievo che le singole norme hanno per l’attività svolta; (ii) alle conseguenze delle eventuali violazioni; (iii) all’esistenza, all’interno della banca, di altre forme di presidio specializzato.

2. Il perimetro di attività nella nuova circolare 263: profili soggettivi e profili oggettivi

Come già enunciato nel precedente articolo di Michele Bonollo e Nicola Andreis in [5], la Funzione di Conformità  rientra nella più ampia previsione del Sistema dei Controlli Interni, inteso come l’insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali ed il conseguimento dell’efficacia e dell’efficienza dei processi aziendali, della salvaguardia del valore delle attività e protezione dalle perdite, della affidabilità ed integrità delle informazioni contabili e gestionali.

La Compliance, al fine di realizzare i predetti obbiettivi, collabora con le altre funzioni coinvolte nel Sistema dei Controlli o designate da specifiche norme (Risk Management, Internal Audit, Organismo di Vigilanza ex D. Lgs. n. 231/2001, Responsabile del trattamento dei dati personali ex D. Lgs. n. 196/2003 e Responsabile in tema di sicurezza dei luoghi di lavoro ex D. Lgs. n. 81/2008) ricercando le massime sinergie possibili ed istituendo uno scambio reciproco di flussi informativi.

Infine, collabora con le altre funzioni presenti in azienda anche allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando costante ausilio consultivo.

Premesse le dette intersezioni soggettive della Compliance con le altre funzioni, con riferimento al profilo oggettivo delle attività della stessa, si evidenzia che, ai fini della valutazione del rischio di non conformità, gli ambiti core della funzione di Compliance sono: attività bancaria e servizi di investimento; la gestione dei conflitti di interesse; la trasparenza nei confronti della clientela e, più in generale, la disciplina posta a tutela del consumatore. Si veda quanto ribadito in [5].

In particolare, con riferimento all’attività bancaria, i controlli di conformità maggiormente rilevanti sono:

–          Provvedimento della Banca d’Italia del 15 febbraio 2010 in materia di trasparenza dei servizi bancari;

–          L. n. 108/1996 e ss. mm. ii. in materia di contrasto all’usura;

–          L. n. 262/2005 e ss. mm. ii. In materia di tutela del risparmio;

–          D.Lgs. n. 164/2007 e ss. mm. ii. in materia di MiFID – Markets in Financial Instruments Directive;

–          D.Lgs. n. 11/2010 e ss. mm. ii. in materia di PSD –  Payment Services Directive;

–          Circolare Banca d’Italia n. 263/2006, 15° aggiornamento –  In materia di Business Continuity;

–           D.Lgs n. 231/07 e ss. mm. ii. –  In materia di antiriciclaggio e contrasto del finanziamento del terrorismo;

–          D.Lgs. n. 231/01 e ss. mm. ii. – In materia di responsabilità amministrativa delle persone giuridiche;

–          D.Lgs. n. 196/03 e ss. mm. ii. – In materia di privacy e protezione dei dati personali;

–          D.Lgs n. 141/10 e ss. mm. ii. –  In materia di contratti di credito ai consumatori;

–          Circolare Banca d’Italia n. 263/2013, 15° aggiornamento – In materia di sicurezza informatica (ICT compliance);

–          D.Lgs. n. 81/2008 e ss. mm. ii. –  In materia di  sicurezza sul posto di lavoro.

Il 15° aggiornamento ha inoltre introdotto un esplicito riferimento al presidio del rischio di non conformità alla normativa fiscale, richiedendo alla Funzione di definire le procedure volte a prevenire violazioni o elusioni di tale normativa e ad attenuare i rischi connessi a situazioni che potrebbero integrare fattispecie di abuso del diritto, in modo da minimizzare le conseguenze sia sanzionatorie, sia reputazionali derivanti dalla non corretta applicazione della normativa fiscale e di verificare l’adeguatezza di tali procedure e della loro idoneità a realizzare effettivamente l’obiettivo di prevenire il rischio di non conformità.

Considerata l’ampiezza del perimetro di attività appena descritto, gli intermediari sono nuovamente chiamati ad interrogarsi sulle scelte organizzative da porre in essere al fine di individuare soluzioni ottimali per raggiungere il miglior compromesso tra quantità e qualità degli adempimenti in capo alla Funzione. L’esigenza è particolarmente sentita dagli intermediari di dimensioni più contenute che devono fare i conti con numerosi ed onerosi adempimenti nonostante le risorse limitate.

I possibili scenari organizzativi sembrerebbero prevedere:

1. 1.        l’attribuzione in capo alla Funzione di conformità di tutte le attività previste dalla normativa;
2. 2.        l’attribuzione di parte dei controlli di conformità a forme di presidio specializzato all’interno della banca;
3. 3.        l’esternalizzazione della funzione di conformità o di parte delle sue attribuzioni[1].

Ferme restando tali possibilità di scelta organizzativa, è bene precisare che la responsabilità delle attività rimane comunque in capo alla Compliance. Invero, laddove quest’ultima collabori con le Funzioni specialistiche incaricate (cc.dd. presidi specializzati), risulta comunque responsabile della definizione delle metodologie di valutazione del rischio di non conformità e della individuazione delle relative procedure, con l’obbligo di procedere alla verifica dell’adeguatezza delle stesse, al fine di prevenire possibili rischi di non conformità.

Di maggiore complessità appare l’ipotesi di attribuzione in capo alla Funzione di conformità di tutti i controlli previsti dalla normativa. In ragione sia della contrazione della reddittività, che non sempre permette un adeguato dimensionamento della Funzione, sia delle specializzazioni che richiedono conoscenze e competenze specialistiche che graverebbero sulla attività della Funzione inficiandone l’efficienza. Soprattutto, se da un lato la normativa ammette il principio di proporzionalità, dall’altro le citate competenze specialistiche, sia normative sia di processo, richiederebbero in astratto un dimensionamento di risorse “potenzialmente utili” ma spesso non necessarie, del tutto incompatibile con le strutture di costo sostenibili. Una parziale soluzione a questo è costituita, soprattutto nelle attività ex-ante rispetto a nuovi prodotti, reclami, ecc., dal ricorso più frequente a consulenze esterne una tantum, con però la conseguente perdita di know how e controllo.

La presenza di conoscenze specialistiche all’interno di altre unità organizzative già presenti nella struttura aziendale permetterebbe di perseguire la strada dell’attribuzione di parte dei controlli di conformità a forme di presidio specializzato all’interno della banca, che dovranno agire secondo le metodologie di valutazione dei rischi definite dalla Compliance, che ricoprirà quindi un ruolo maggiormente “manageriale”. In tale caso il modello di conformità della banca dovrà definire puntualmente le responsabilità attribuite ai presidi specializzati e gli ambiti normativi di competenza.

Al riguardo, il processo per l’individuazione dei controlli da attribuire ai presidi specializzati potrebbe prevedere:

1. 1.      identificazione delle norme applicabili e conseguente analisi d’impatto;
2. 2.      identificazione delle procedure per la prevenzione del rischio ed analisi della loro adeguatezza;
3. 3.      valutazione dell’efficacia degli adeguamenti organizzativi;
4. 4.      predisposizione di appositi flussi informativi nei confronti della Compliance.

Rimane infine possibile l’eventualità dell’esternalizzazione della Funzione o di parte delle sue attribuzioni, nel rispetto delle stringenti condizioni poste dal quadro normativo, tra le quali rilevano: la definizione degli obiettivi; la metodologia e la frequenza dei controlli; le modalità e la frequenza della reportistica dovuta al referente per l’attività esternalizzata ed agli organi aziendali sulle verifiche effettuate, nonché severi requisiti soggettivi, tra cui, principalmente, l’indipendenza.

Per completezza, riguardo al quadro normativo di riferimento, rileviamo che è intervenuta l’ulteriore Circolare di Banca d’Italia n. 285/2013 che, in materia di Funzione di conformità, ha previsto una breve nota secondo la quale “la funzione di conformità verifica l’esistenza e affidabilità, nel continuo, di procedure e sistemi idonei ad assicurare il rispetto di tutti gli obblighi normativi e di quelli stabiliti dalla regolamentazione interna” [cfr. Parte Terza, Capitolo 1, Sezione VII Circolare n. 285/2013, attuativa della Direttiva 2013/36/UE (CRDIV) e Regolamento UE n. 575/2013 (CRR)].

In conclusione, quindi, si rileva da parte del legislatore sia europeo che nazionale un’attenzione crescente riservata alla Compliance, nonché la tendenza ad attribuire a quest’ultima Funzione molteplici ed onerose attività, che risultano di difficile applicazione per la necessità di figure specializzate in materia, nonché, in fine, a causa di una non sempre pronta recezione dei continui  cambiamenti normativi da parte degli  intermediari. Sul punto si osservi che non si esclude che, in ragione delle recentissime novità normative della CRR e della CRD IV, l’Autorità di Vigilanza potrà intervenire ancora conferendo nuove attività in capo alla Funzione di conformità, aggravandone ulteriormente gli obblighi ed il relativo carico.

3. Compliance e Risk Mgt: complementarietà o rischio di intersezione?

Non solo gli ambiti delle funzione di Compliance appaiono di difficile ottimizzazione, ma anche temi quali l’integrazione con le altre funzioni di controllo di II livello, tipicamente il Risk Mgt, non sono del tutto risolte nelle banche italiane.

Per meglio chiarire è in questo caso utile fare riferimento ad un esempio concreto, in particolare uno degli ambiti core della Compliance, cioè quello dei conflitti di interesse.

Tale tema, già disciplinato dall’art.136 del TUB e dall’art.2391 del codice civile, troviamo la più ampia articolazione nel Titolo V, capitolo 5 della circolare 263. In tale disciplina, sono posti anche alcuni limiti di assunzione di attività di rischio e trasferimenti di risorse verso i soggetti collegati. I soggetti collegati sono costituiti dall’insieme più ristretto delle parti correlate (amministratori, sindaci, alta direzione) e dei soggetti connessi (parenti, affini, società partecipate/partecipanti).

Torniamo al tema del coordinamento tra funzioni di Compliance e di Risk Management. La definizione di un processo deliberativo speciale per le operazioni con i soggetti collegati è certo un tema di Compliance, come pure la verifica e il disegno del processo di acquisizione dei dati e dei legami anagrafici degli amministratori.

D’altra parte, la misura delle attività di rischio (RWA), come pure la calibrazione di limiti interni per le operazioni con i soggetti collegati è viceversa un argomento su cui sono nette le competenze e i ruoli del Risk Mgt, in coerenza con il più generale RAF (Risk Appetite Framework, si veda [5]) richiesto dalla circolare 263.

Se sono chiare le specificità sopra dette, è però difficile nel concreto trovare la migliore sinergia di processo e di ruoli tra le due funzioni, senza incorrere in rallentamenti, duplicazioni, inevitabili frizioni.

L’ambito dei conflitti di interesse qui utilizzato come esempio è talmente vasto da richiedere approfondimenti a parte.

Sulla questione più generale della collaborazione tra le funzioni di controllo, riteniamo che non sia auspicabile una ulteriore ricerca di specifiche esaustive da parte della normativa, ma sia invece perseguibile una fase di auto assestamento in cui le banche, secondo fasce dimensionali e con il continuo confronto, riescano a convergere verso opportune best practices.

Riferimenti:

[1] Banca d’Italia (2007), Disposizioni di Vigilanza n. 688006 – La funzione di conformità (compliance)

[2] Banca d’Italia  (2013), La nuova Vigilanza Prudenziale per le Banche, Circ.263 15^ Aggiornamento

[3] Banca d’Italia  (2013), “Disposizioni di vigilanza per le banche”, Circ.285.

[4] Banca d’Italia (2013), “Sistema dei Controlli Interni, Sistema Informativo e Continuità Operativa. Resoconto della Consultazione”.

[5] Michele Bonollo, Nicola Andreis, “Il Sistema dei Controlli Interni nella nuova circolare 263 e le scadenze 2014. Eccesso di regolamentazione o utile Opportunità?” .