ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte prima)
Home

ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte prima)

Posted by Laura Ciccacci on Lun, 05/11/2007 - 12:40 in

Pubblichiamo il resoconto degli interventi presentati al recente convegno "Compliance in Banks 2007" organizzato da ABI – Associazione Bancaria Italiana – il 24 e 25 ottobre 2007 a Roma.

Prima sessione - Il profilo regolamentare e il valore della Funzione di Compliance nei mercati bancari e finanziari

La conformità bancaria evolve verso nuove modalità di gestione, capaci di creare valore per le banche italiane. Nella prima sessione, le Autorità sono state invitate dal Chairman, nonché Direttore Generale dell’ABI, Giuseppe Zadra, a presentare il profilo regolamentare della Funzione di Compliance, i punti di contatto con la disciplina MiFID, nonché lo stato dell’arte e le prospettive della compliance nel mercato bancario e finanziario.

Banca d’Italia - La Funzione di Conformità. Presidio dei rischi aziendali ed evoluzione del quadro normativo


Giuseppe Boccuzzi – Direttore Principale Vigilanza Creditizia e Finanziaria Banca d’Italia – ha posto in evidenza la crescente importanza per le banche dei requisiti organizzativi (governance e controlli interni) accanto a quelli patrimoniali al fine di affrontare tutti i cambiamenti normativi che sono in atto: da Basilea 2, alla MiFID, dalla Compliance bancaria, all’organizzazione e governo societario.
La funzione di Compliance è stata definita come la "funzione di governo (atta alla prevenzione, alla gestione ed al controllo) del rischio di non conformità (nella accezione di rischio legale e reputazionale)". La capacità per l’impresa bancaria di creare valore risiederebbe nel saper rispondere all’esigenza di introdurre specifici presidi organizzativi per assicurare il rispetto sostanziale delle norme, garantire la correttezza nelle relazioni con il pubblico, preservare la fiducia nelle banche.
L’operatività aziendale starebbe conoscendo una evoluzione caratterizzata da complessità, declinata nell’accezione dimensionale, degli assetti organizzativi, dell’outsourcing, dei canali distributivi e dei prodotti e lo stesso contesto esterno risulterebbe caratterizzato da medesima complessità, tenendo conto dell’articolazione delle fonti normative, dell’evoluzione dell’ordinamento a tutela del cliente/risparmiatore e dell’ampliamento dei mercati di riferimento, modificando il modello di intermediazione, da “buy and hold” verso un modello "originate and distribuite".
Il direttore Bocuzzi una volta aver elencato i principali compiti della funzione di compliance, il requisito di indipendenza del responsabile, l’obbligo di separatezza dalla revisione interna ed il principio di proporzionalità, ha anche posto l’accento su come i rischi aziendali richiedano presidi di natura patrimoniale, ma anche organizzativi ed ha calato in particolare, il rischio legale e quello reputazione nel framework di Basilea 2.
Alla luce della Direttiva Mifid poi, è stato posto in evidenza come vi sia stata una ripartizione delle competenza delle Autorità di Vigilanza per finalità, in particolare una competenza congiunta su materie, trasversali e unitarie, quali l’organizzazione, le procedure, i controlli (compliance), i conflitti d’interesse, la continuità e l’esternalizzazione: alla Banca d’Italia competerebbe il potere atto al contenimento del rischio, alla stabilità patrimoniale, alla sana e prudente gestione, alla CONSOB, la trasparenza e la correttezza dei comportamenti. Con riferimento ai controlli, sempre in relazione alla Direttiva MiFID e ripartiti secondo un criterio di finalità prevalente, alla Banca d’Italia competerebbero quelli relativi alla istituzione della funzione di compliance, mentre alla CONSOB quelli relativi all’attività compiuta dalla stessa.
Stando ai lineamenti della regolamentazione compliance per i servizi d’investimento esisterebbe una coerenza con quanto disposto dalla disciplina banche in termini di: normativa per principi, proporzionalità, architettura su tre livelli del SCI e la definizione della compliance, quale funzione atta a presidiare l’adeguatezza e l’efficacia delle procedure; diversa potrebbe risultare invece, l’articolazione delle funzioni di controlli interno, con una funzione di compliance indipendente sempre istituita, salvo outsourcing, una funzione di risk management ed audit eventualmente assenti e nel caso in cui quest’ultima fosse presente, verrebbe ad essere indipendente e comunque separata dalla compliance.
Da tale contesto, ne potrebbero derivare dei dubbi interpretativi ed applicativi; tra le possibili indicazioni operative che sono state suggerite dal Direttore Bocuzzi è stato indicato il fatto che i controlli di conformità relativi ai due ambiti regolamentari (Compliance TUB e Compliance TUF) verrebbero gestiti dalla stessa funzione aziendale, rispettando così il principio di unitarietà del sistema organizzativo aziendale e di riduzione degli oneri per i soggetti vigilati (art. 4 principi generali); che la struttura di revisione interna, sempre presente, svolgerebbe compiti di verifica della funzionalità del complessivo SCI, inclusa la compliance, effettuando il controllo a norma (attraverso verifiche in loco), anche ai fini di quanto previsto dall’art.52 del TUB; che la funzione compliance e la funzione audit non potrebbero comunque coesistere nella medesima funzione, in quanto i rispettivi compiti dovrebbero essere chiaramente individuati, evitando sovrapposizioni e duplicazioni e che non potrebbero neppure consentirsi tra la funzione di gestione del rischio e di audit.
Con riferimento all’organizzazione ed al governo societario nelle banche, le disposizioni di vigilanza ex TUB risulterebbero in linea con quelle in materia di governo societario ex MiFID; i due testi normativi condividono sia i principi generali (art.7), sia l’articolazione delle responsabilità assegnate agli organi di supervisione strategica, di gestione e controllo (artt. 8-10). Il rispetto da parte delle banche delle disposizioni di Vigilanza ex-TUB assicurerebbe la sostanziale osservanza anche delle prescrizioni del Regolamento MiFID. Tra le disposizioni specifiche in tema di compliance, è stato posto l’accento sulle modalità di nomina del responsabile della funzione (decisione non delegabile, con la partecipazione dei componenti non esecutivi, con il parere dell’organo di controllo); sulle relazioni dell’internal audit e della compliance che dovrebbero essere direttamente trasmesse agli organi aziendali e come le forme di retribuzione collegate alle performance aziendali, dovrebbero essere escluse per il responsabile audit e compliance, mentre sarebbero opportune forme di incentivazione coerenti con i compiti loro affidati.

CONSOB - Novità nell’attività della Funzione di Compliance nel nuovo quadro normativo disegnato dalla MiFID


Giuseppe D’Agostino – Responsabile Divisione Intermediari CONSOB – ha calato la Funzione di Compliance nel nuovo contesto Mifid, una volta aver elencato quali i cambiamenti derivanti dalla Direttiva.
La Funzione andrebbe a controllare e valutare l’adeguatezza e l’efficacia delle procedure interne dell’intermediario assicurando comportamenti corretti e trasparenti, assumendo valenza strategica nel mantenimento di corrette relazioni di clientela, fornendo vantaggi competitivi duraturi e costituendo una componente importante nel processo di creazione aziendale.
Il sistema dei controlli interni disegnato dalla Mifid, strutturato e supervisionato dall’alta dirigenza e dagli organi aziendali di vertice, è stato declinato nella figura di un triangolo al cui vertice, risiederebbe l’audit interno, nel livello intermedio la gestione dei rischi/controlli di conformità ed alla cui base, si troverebbero i controlli di linea. Non essendo retto da vincoli gerarchici, il SCI rischierebbe di trasformarsi in una “Torre di Babele”; la situazione paventata potrebbe trovare una possibile soluzione attraverso processi informativi e di intervento integrati, basati su appositi “accordi di servizio”.
Nell’ambito della disciplina congiunta Consob/Banca d’Italia tra le novità sulla FC sono state evidenziate la compliance policy (dovrebbe contemplare: la necessità di adottare e mantenere procedure di controllo di conformità che garantiscano, a tutti i livelli dell’intermediario, il rispetto delle disposizioni dettate per la prestazione dei servizi; l’istituzione obbligatoria dell’unità organizzativa deputata allo svolgimento della FC; la formalizzazione del mandato con chiara definizione degli obiettivi di tutela della clientela; la possibilità di integrare, nel caso delle banche, la FC ex Istruzioni Banca d’Italia con la FC ex Regolamento congiunto ed infine, la possibilità di affidare la responsabilità delle attività di gestione del rischio, in caso di assenza della relativa unità organizzativa, alla FC); i requisiti organizzativi minimi al fine di garantirne l’indipendenza (nomina del responsabile ad opera dell’organo con funzione di gestione, d’accordo con l’organo di supervisione strategica, sentito l’organo con funzioni di controllo; assenza di vincoli gerarchici tra il responsabile della FC ed i responsabili delle funzioni sottoposte a controllo; separatezza organizzativa rispetto alle altre funzioni aziendali di controllo; riporto diretto agli organi aziendali da parte del responsabile della FC; divieto imposto ai soggetti rilevanti che contribuiscono allo svolgimento della funzione di partecipare alla prestazione di servizi oggetto del loro controllo; metodo della retribuzione dei soggetti rilevanti che contribuiscono allo svolgimento della FC tale da non compromettere la loro obiettività; disponibilità dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei compiti della FC); l’ambito di controllo (il quale prevede la verifica – preventiva – dell’idoneità delle procedure interne relative alla prestazione dei servizi di investimento ad assicurare il rispetto della normativa di riferimento – c.d. verifica ex-ante -; la verifica  nel continuo della corretta applicazione delle predette procedure e quindi della loro efficacia, attraverso il monitoraggio dell’operatività – c.d. verifica ex-post -; la valutazione di primo livello, dell’idoneità e dell’efficacia delle procedure compliance e l’impulso a definire ed implementare azioni correttive e valutazione delle medesime); il rapporto tra compliance e audit interno (in particolare, i compiti affidati alla FC rientrerebbero nelle attività di controllo di secondo livello, mentre quelli effettuati dall’audit interno sarebbero di livello ulteriore e distinto rispetto a quelli della FC e sarebbero svolti nell’ottica di assicurare la complessiva tenuta dell’impianto organizzativo dell’IF, ribadendo la necessaria separatezza organizzativa tra compliance e audit interno, con la conseguente necessità di revisionare le attuali strutture organizzative dell’IA); gli altri compiti assegnati alla Funzione Compliance (dovrebbe fornire assistenza e consulenza alle strutture operative; terrebbe il registro dei servizi e delle attività che danno origine a conflitti d’interesse pregiudizievoli, rafforzandosi così le interazioni con le funzioni di IA e di RM e con le altre funzioni aziendali e compirebbe attività di compliance rilevanti in base ad altre fonti normative come ad esempio, il d.lgs. 231/2001 “organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli” anche ai fini di market abuse); le modalità di svolgimento dell’attività (stante l’obbligo di pianificare l’attività, registrare le attività svolte, conservare le carte di lavoro); le attività di reporting (di natura ordinaria, diretta agli organi aziendali e con frequenza almeno annuale e di natura straordinaria, che fa riferimento alle comunicazioni agli organi di controllo circa le gravi irregolarità constatate nel corso di verifiche); il rapporto tra FC e Funzione di controllo interno, stante la possibilità di leggere “il ruolo della funzione di compliance in via di continuità con la funzione di controllo interno ex art.57 del Regolamento CONSOB n.11522/1998”.
Sono stati compiuti una serie di esempi volti ad identificare come operi la FC sulle procedure previste dalla MiFID in tema di best execution, valutazione dell’adeguatezza e classificazione della clientela; con riferimento alla procedura di best execution, lo scopo di questa è volto a garantire la migliore esecuzione degli ordini della clientela scegliendo la migliore trading venue sulla base di definiti parametri; gli esempi di rischi di compliance sono stati rilevanti in carenze nella procedura di execution, nella mancata revisione periodica della procedura, nella mancata consegna ai clienti del documento sulla execution policy. Tra gli esempi relativi ai possibili controlli, la verifica di conformità della execution policy, la verifica della revisione periodica della procedura e la verifica delle attestazioni di consegna ai clienti del documento sulla execution policy. Con riguardo alla procedura di valutazione dell’adeguatezza, il cui scopo è volto a consentire la valutazione di adeguatezza delle operazioni disposte dalla clientela sulla base delle informazioni sui prodotti e sui clienti, esempi di rischio di compliance, riguarderebbero carenze nella profilatura della clientela carenze nella mappatura dei prodotti ed eventuali incoerenze procedurali tra profilo cliente e profilo prodotto ritenuto adeguato; come esempi di controllo, la verifica numero clienti profilati, la verifica della completa mappatura dei prodotti e la verifica della procedura di valutazione dell’adeguatezza sulla base di parametri oggettivi. Infine, la procedura di classificazione della clientela, che ha come scopo quello di consentire la classificazione della clientela nelle tre categorie previste dalla Mifid, e vedrebbe come possibili rischi di compliance, la non corretta classificazione della clientela, la mancata comunicazione della classificazione ai clienti, al trattamento dei clienti non coerentemente alla classificazione. Tra gli esempi di controlli, la verifica sulla procedura di classificazione, quella dell’avvenuta comunicazione ai clienti sulla loro classificazione e quella sulla coerenza tra classificazione e trattamento clientela. 

Conclusioni

Il Chairman Giuseppe Zadra, ha chiuso questa prima sessione ribadendo come la FC sia un problema di “ingegneria organizzativa”, come sia necessario tradurre in procedure informatizzate tutti i comportamenti posti in essere ad ogni livello dell’organizzazione e come sia necessario trasferire il controllo non sui singoli atti ma sulle procedure, proprio in considerazione del fatto che alla FC spetta l’onere di sovrintendere l’adeguatezza delle procedure, al fine di minimizzare il rischio di conformità.
Nella sessione dedicata alle Q&A il principio di proporzionalità, il rapporto tra FC ed IA e  l’identità del responsabile della FC hanno costituito materie di approfondimento. E’ stato ribadito e chiarito il ruolo della Funzione Compliance la quale svolge un’attività di verifica ex-ante della efficacia e dell’efficienza delle procedure poste in essere al fine di evitare violazioni e rischi connessi, la quale potrebbe avvalersi delle risultanze emerse durante le attività di controllo ex-post svolte dall’IA (compiute per verificare il rispetto delle norme); tra le due degli accordi di servizio che consentano all’una di avvalersi dell’operato dell’altro, ancorché con mansioni e ruoli diversi, distinti (FC controllo ex-ante sulle procedure, IA verifica ex-post del rispetto delle norme) e ben identificati, escludendosi la possibilità che la FC possa compiere un’attività ispettiva di conformità; con riferimento al principio di proporzionalità, il suggerimento è stato volto ad istaurare un dialogo diretto e continuo con le autorità di vigilanza, demandando all’IF l’identificazione delle soluzioni ritenute più adeguate alle proprie esigenze (nel senso di “fate e dialogate”); infine, per quel che rileva l’identità del responsabile, questi potrebbe essere un membro del CdA non esecutivo/indipendente e privo di compiti operativi.

Leggi la seconda parte di quest'articolo

Leggi la terza parte di quest'articolo

Chi è Laura Ciccacci?

Laura Ciccacci è laureata (2004) in Economia presso l'Università diRoma "La Sapienza" e sta completando il Dottorato di Ricerca in Gestione Bancaria e Finanziaria presso la stessa università . Può essere contattata via email laura.ciccacci@uniroma1.it (Università) o  laura.ciccacci@libero.it (personale)