ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte seconda)
Home

ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte seconda)

Posted by Laura Ciccacci on Mar, 06/11/2007 - 15:22 in

Pubblichiamo il resoconto degli interventi presentati al recente convegno "Compliance in Banks 2007" organizzato da ABI – Associazione Bancaria Italiana – il 24 e 25 ottobre 2007 a Roma. Nella prima parte sono stati sintetizzati gli interventi delle autorità di controllo (Banca D'Italia e CONSOB) che sono intervenute al convegno. In questa seconda parte una sintesi degli interventi delle istituzioni finanziarie e delle società di consulenza.

Seconda Sessione – La Funzione di Compliance nel sistema banca: approcci e prospettive differenti tra indipendenza e integrazione.

Presentazione


In questa sessione è stata posta in evidenza come l’indipendenza della Funzione sia requisito primario per la sua efficacia e richieda ulteriori riflessioni che invitino a distinguere tra autonomia formale e indipendenza sostanziale; sono stati considerati gli aspetti sistemici della compliance, le scelte organizzative e le relazioni interfunzionali.
Chairman della sessione pomeridiana, il Prof. Adalberto Alberici – Ordinario di Economia degli Intermediari Finanziari presso l’Università degli Studi di Milano e Presidente del Comitato Scientifico ABI Compliance in Banks – il quale ha posto in evidenza come le stesse autorità di vigilanza, dovrebbero disporre di una Funzione di Compliance. In particolare riferendosi all’azienda Banca d’Italia, questa ne potrebbe avere bisogno al fine di renderla utilizzabile sia dai "clienti interni", sia dai "clienti esterni", non più soggetti controllati ma vigilati, allo scopo di migliorare le pratiche aziendali.
Il Professore ha posto enfasi sulle differenze concettuali esistenti tra la nozione di autonomia (che implica separatezza organizzativa, professionale ed economica della funzione) e la nozione di indipendenza legate alla funzione di compliance (concetto normativo, mai definito e sancito dal fatto che gli organi delegati dispongono della responsabilità ultima della funzione). Si è ritenuto evidente come per garantire l’indipendenza della funzione occorra anche valutare la qualità dei componenti e come solo l’indipendenza di tutti i soggetti coinvolti possa consentire di addivenire al risultato auspicato, ancorché a livello regolamentare nulla venga disposto in tal senso. E’ stato altresì evidenziato il potenziale opportunismo manageriale che potrebbe innescarsi ad esempio tra Alta Direzione e CdA: il primo potrebbe impiegare le informazioni rese dalla FC per valutare l’azienda, mentre le stesse informazioni potrebbero essere utilizzate dal CdA per valutare il comportamento del direttore generale innescandosi così un pericoloso conflitto nell’attività di controllo. Ulteriori problemi potrebbero sorgere nella scelta del responsabile della funzione di conformità in quanto l’eventualità di scegliere un amministratore indipendente non esecutivo, potrebbe indurre verso un soggetto esterno alla realtà della azienda e che quindi potrebbe non disporre della professionalità e delle conoscenze auspicabili per svolgere al meglio le proprie responsabilità.
E ancora, secondo il professore, l’indipendenza sostanziale non può riscontrarsi ex-ante, ma solo nel momento in cui si ingenera il rischio.
Con riferimento alla professionalità richiesta, si è rilevata l’esigenza per la FC di creare delle sinergie permanenti e delle interrelazioni con le altre funzioni aziendali, dotandosi di una propria cultura interna.
Infine, con riguardo al perimetro della FC è stato sottolineato come anche questo possa identificarsi calandolo nella realtà di ogni singolo intermediario.

Mediobanca: la Funzione di Compliance in banca, autonomia e controllo


Stefano Vincenzi – Responsabile Ufficio Compliance di Mediobanca – ha avviato le proprie riflessioni ponendo l’accento su come la FC implementata nel gruppo dallo stesso rappresentato, abbia un perimetro normativo estremamente ampio, ricomprendendo “tutte le norme” al fine di presidiare il rischio normativo e di conseguenza, quello reputazione. Una volta aver identificato tutte le norme, i rischi sono stati suddivisi in tre parti: compliance diretta, compliance a rete e compliance indiretta ed in tal modo si è ritenuto di aver attivato un presidio organizzativo efficiente ed adeguato a rispondere alle richieste normative vigenti in tema di Compliance. L’obiettivo da centrare secondo il dottor Vincenzi sarebbe legato alla cultura della conformità, ovvero riuscire a diffondere l’abitudine a comportarsi bene.

KPMG

Un modello di gestione delle interrelazioni della compliance con le altre funzioni della banca
Giuseppe D’Antona – Associato Partner KPMG – ha enunciato in via incipiente le linee guida della normativa (presidi aventi carattere preventivo, modalità di regolamentazione principle based – ovvero libertà dei soggetti vigilati di organizzarsi in modo autonomo nell’ambito di un quadro regolamentare definito – estensione del concetto di rischio e progressiva equiparazione dei soggetti vigilati) e successivamente identificato i modelli organizzativi adottabili per ottemperare agli obblighi normativi riferiti all’implementazione della FC. Tra le variabili da considerare, le modalità di introduzione della funzione (nuova costituzione, spin off dalla funzione di internal audit, spin off dalla funzione legale); il collocamento organizzativo (la FC autonoma in staff al CdA, all’AD od al DG ovvero, insieme alle funzioni di Risk management o legale oppure in outsourcing con riporto al CdA o all’AD); le prerogative attribuite (assumendo rilievo l’ambito normativo di competenza attribuito alla funzione che incide sulla determinazione di competenze e conoscenze adeguate allo svolgimento dei compiti del processo di compliance, alle modalità di interrelazione ed al numero di risorse); l’indipendenza e la dotazione di risorse quali-quantitativamente adeguate (formalizzazione dello status e del mandato, nomina di un responsabile indipendente, adeguati presidi atti a prevenire conflitti d’interesse per quel che rileva l’indipendenza, dotazione di risorse adeguate e che sotto il profilo delle umane, le attività di conformità possano svolgersi da personale inserito in una struttura organizzativa dedicata e gerarchicamente dipendente dal responsabile della funzione ovvero da altre risorse integrate nelle aree operative); la dimensione della banca e correlazioni con le dimensioni della funzione (ridondante il principio di proporzionalità per le banche di più piccola dimensione caratterizzate da attività semplici, un grado di sofisticazione dei prodotti offerti piuttosto basso e una limitata complessità territoriale, nelle quali la figura del compliance officer potrebbe coincidere con quella del responsabile della gestione dei rischi e la gestione delle attività di conformità potrebbe essere affidata, almeno in parte a soggetti terzi sulla base di specifici contratti di servizio).
Sono state avanzate delle proposte di modelli organizzativi nell’accezione di modelli accentrati  (rinvenendosi come punti di forza l’autonomia e l’adeguatezza delle risorse a disposizione della FC e l’integrazione armonica nel SCI della banca e di gestione dei rischi e come punti di debolezza una soluzione evidentemente più onerosa e con il rischio di un’eccessiva burocratizzazione e duplicazione di competenze tra soggetti che,a diverso titolo, operano all’interno dei processi bancari) e di modelli decentrati (i cui punti di forza vengono riscontrati nella possibilità di sfruttare le competenze tecniche delle unità organizzative e l’interdipendenza con le altre strutture della banca, con una riduzione significativa degli oneri per la strutturazione di adeguati flussi informativi tra tutte le strutture interessate, ma con una bassa capacità di sfruttare le specializzazioni e le competenze di gestione dei rischi e di controllo).
Con riferimento alle relazioni con le altre funzioni aziendali, facendo parte del SCI, adeguatezza ed efficacia sono oggetto di verifica periodica da parte dell’internal audit, esistendo evidenti interrelazioni tra la FC e le altre funzioni aziendali. Le stesse andrebbero regolate mediante adeguati protocolli di comunicazione, volti a garantire il coordinamento, evitare disallineamenti od indicazioni contraddittorie per le unità di business.
L’approccio metodologico che è stato suggerito per la gestione delle relazioni, prevederebbe una fase di compliance assessment (la quale a sua volta, si articolerebbe nella fase di identificazione del perimetro di competenza, nella valutazione dei rischi e nell’identificazione e valutazione dei controlli), una fase di analisi organizzativa e strutturazione (con la quale si predisporrebbe la compliance policy – individuando la normativa applicabile, redigendo il corpo di regole e definendo linee guida per il presidio del rischio - e verrebbe identificato il modello di responsabilità) ed infine di rivalutazione annuale.

 
Monte dei Paschi di Siena: la compliance come processo - le differenze rispetto alle attività di Internal Auditing

Marco Massaresi – Responsabile Area Controlli Interni Banca Monte dei Paschi di Siena – ha posto in evidenza alla luce della normativa di Banca d’Italia, le differenze tra Funzione di Compliance ed Internal Audit: la prima è stata indicata come processo-funzione la cui efficacia richiederebbe una  distribuzione su più strutture ed unità organizzative ed il cui perimetro di riferimento richiede una certa specializzazione; posizionabile in staff al CdA/AD/DG con meccanismo di nomina che può prevedere il coinvolgimento del CdA, la cui modalità di svolgimento delle relative attribuzioni avviene predisponendo un governo del rischio di non conformità. Le verifiche dovrebbero svolgersi con una frequenza continua e on demand; appartenente al secondo livello del SCI risulterebbe owner del processo di compliance in modo indipendente. La seconda verrebbe identificata come processo-funzione che si ricomprende in una struttura all’interno del SCI; posizionabile in staff al CdA/DG/AD, i meccanismi di nomina non risultano specificati; la modalità di esecuzione delle proprie attività prevederebbe un approccio ex-ante ed ex-post di assurance e consulenza, con verifiche anche in loco, svolgendole nel continuo quando programmato/necessario sulla base dell’audit plan indipendente.
Sulla base della normativa CONSOB, la Compliance risulta un processo-funzione puntualmente declinata, caratterizzata da una struttura direttamente operativa ed il cui perimetro di riferimento ha un focus sull’intermediazione finanziaria; posizionabile in staff al CdA/DG/AD e nominata dal CdA/Gestione; la modalità di esecuzione delle relative attività prevederebbe interventi ex-ante ed ex-post, con possibilità di verifiche svolte nel continuo e quando necessario; appartenente al secondo livello del SCI ed indipendente. La funzione di Internal Audit alla luce della normativa CONSOB, risulterebbe un processo-funzione il cui perimetro di riferimento riguarda il SCI; posizionabile in staff al CdA/DG/AD e nominabile dal CdA/Gestione; le modalità di svolgimento delle relative funzioni, oltre alla frequenza degli interventi ed il livello di appartenenza al SCI, ricalcano la normativa Banca d’Italia.
Una volta aver passato in rassegna le varie differenza, il Dottor Massaresi, ha posto l’accento su come le varie funzioni di compliance, risk management e di internal audit, dovrebbero essere deputate al raggiungimento di un medesimo obiettivo declinato in termini di rischio/rendimento, orientate al concetto di risk appetite definito dal CdA.

ACCENTURE: la funzione di Compliance nella governance di un gruppo bancario: sinergie e valore nell’interazione con le altre funzioni aziendali


Mario Scarcella – Responsabile Area Risk & Regulatory Management ACCENTURE – ha evidenziato i ruoli dei vari attori nell’ambito del SCI (il CdA/AD con ruoli di supervisione, l’IA appartenente al III livello dei controlli, il risk management/FC al II livello dei controlli e le linee di business, infine, afferenti ai controlli di linea) ed ha identificato i “paletti” a cui la Funzione di compliance verrebbe sottoposta, in termini di supervisione da parte dell’internal auit, di obbligo al riporto diretto verso i responsabili ultimi della gestione del rischio di compliance (CdA/AD) ed al rapporto diretto con il business.
Il punto di partenza secondo il Dottor Scarcella per una banca chiamata ad implementare la Funzione di Conformità, dovrebbe essere comunque l’osservazione di quanto già presente all’interno della stessa, sia in termini di competenze che di risorse, cercando di limitare sia i costi che le eventuali difficoltà.
Con riguardo al perimetro normativo di riferimento, è stata sottolineata l’esigenza di compiere uno screening normativo, individuando l’impatto potenziale delle nuove norme, svolgere un’attività di assessment allo scopo di valutare la situazione già esistente così da adeguare il corpo normativo interno. Tutto ciò richiederebbe anche un coinvolgimento delle risorse coinvolte nelle varie business units, affinché si abbia un coordinamento con quanto disposto dal compliance officer in modo da sedimentare la cultura della conformità.
Circa l’implementazione delle attività di compliance, occorrerebbe un compliance plan che creasse un collegamento diretto tra il compliance officer ed i responsabili delle varie BU.
Per il monitoraggio del rischio di compliance è stato suggerito l’uso di Key Risk Indicators ed un sistema di Compliance Risk Assessment.
Il Dottor Scarcella ha individuato nel compliance officer, infine, un direttore di un orchestra che dovrebbe gestire e presidiare il processo di compliance, affinché si adegui all’urgenza dello  “schocking mindset”, in quanto la compliance non sarebbe un’opzione, quanto piuttosto una coscienza ed una cultura.

Credito Valtellinese: problematiche e modelli di organizzazione della compliance in un piccolo gruppo bancario


Marco Panzeri – Responsabile Gestione Rischi Compliance Gruppo Bancario Credito Valtellinese – ha mostrato come il Gruppo bancario dallo stesso rappresentato abbia provveduto a rispondere alle esigenze regolamentari volte all’implementazione della Funzione Compliance. Lo stesso ha tenuto a precisare come la FC facente parte del SCI, sia stato concepita come una sorta di “impianto frenante”, con il quale una banca può fare del business avanzato. Calando poi, l’obbligo regolamentare in una piccola realtà bancaria, il dottor Panzeri, ha posto l’accento su aspetti di efficacia ed efficienza dei presidi volti a contenere il rischio di conformità, ma anche delle opportunità offerte alle piccole realtà dal principio di proporzionalità: sulla base della parte 2 delle premesse relative al Regolamento congiunto di Banca d’Italia e CONSOB, si legge come “le funzioni di controllo, in generale, devono essere indipendenti sia rispetto alle attività controllate che tra loro…ferma restando l’autonomia organizzativa degli intermediari, le autorità si attendono che tale scelta sia operata solo da soggetti di più ridotte dimensioni e complessità operativa” (principio di proporzionalità).
Si è provveduto all’illustrazione di come il Credito Valtellinese abbia approntato modifiche alla propria organizzazione per rispondere ai nuovi adempimenti previsti dalla Direttiva MiFID in tema di compliance e sono stati altresì mostrati i tre documenti prodotti all’interno dalla banca (il mandato del CdA, presidio organizzativo e Documento interno relativo alla Funzione Compliance). Il Dottor Panzeri ha tenuto a precisare come la compliance dovrebbe esser volta alla diffusione della “cultura della divulgazione”. A tal fine, la banca ha messo a disposizione di tutto il personale l’accesso ad una rete intranet in cui viene dedicata una parte relativa alla compliance, sottolineando come la attitudine alla conformità sia nella cultura e nella storia del gruppo bancario Valtellinese, mostrando come l’impegno a trasformare l’attitudine in vantaggio competitivo ed in fattore di crescita si potesse già scorgere nello statuto della banca, risalente al 1908.

Poste Italiane: la creazione della Funzione di Compliance e le scelte organizzative in Poste Italiane


Isidoro Santarelli – Responsabile Compliance di BancoPosta Poste Italiane – ha immediatamente sottolineato come le nuove Disposizioni di Vigilanza attribuiscano un insieme di attività e competenze alla Funzione Compliance fin ora svolte dall’internal auditing, interrogandosi così su quale sarebbe stato il futuro della stessa funzione di controllo interno; lo stesso ha anche evidenziato come forse nel tempo sia stato mal concepito il concetto di valutazione del sistema di controlli interni, ove i controlli risultavano fortemente orientati verso le verifiche a norma, fermandosi ad elencare i rischi di conformità.
Si è osservato come a seguito delle Disposizioni di Vigilanza che hanno istituito la FC, si ponesse il problema del confine organizzativo con l’internal auditing. Questione che secondo l’oratore, si potrebbe risolvere attribuendo alla funzione di compliance le responsabilità previste dalle Disposizioni del 10 luglio 2007 emanate dalla Banca d’Italia ed attribuendo all’internal auditing le responsabilità di monitorare l’andamento dei rischi e valutare il SCI. Potrebbe rendersi necessario un cambiamento culturale da parte degli stessi internal auditors affinché compiano realmente la valutazione del SCI che nei fatti, non è mai stata il core business di tale funzione.
Compliance ed Internal Audit sono state descritte come attività diverse non solo dal punto di vista tecnico, ma anche per ragioni di diversa natura: l’attività di IA apparirebbe come un controllo neutro, indipendente dall’ambiente in cui opera, nel senso che il processo funziona o non funziona indipendentemente dal contesto in cui si trova; la compliance sarebbe invero un’attività correlata al contesto, essa stessa un processo tendente al rispetto della normativa. Il Compliance officer dovrebbe tener conto del contesto in cui opera, tener conto dei valori guida, della sensibilità normativa dell’istituto in cui opera; l’internal auditor sia che opererà in una banca d’affari che in un credito cooperativo, potrebbe adottare il medesimo approccio e metodologia.
Spostando l’attenzione alle Poste Italiane Spa, di cui il Dottor Santarelli ne è il Responsabile Compliance, è stato posto l’accento su come il marchio Poste Italiane riscontri un grado di consenso estremamente elevato anche all’estero, secondo solo a quello dei carabinieri e questo implicherebbe la necessità di mantenere nel tempo lo stesso livello di partenza.
Dal punto di vista organizzativo, Poste Italiane Spa ha deciso di dividere la Revisione interna in due parti: una metà continua a svolgere l’attività di controlli interni e l’altra ha assunto la responsabilità della nuova funzione di Compliance, ancorché in via incipiente si fosse deciso erroneamente di inserire la FC all’interno dell’IA; la prima va a compiere un’azione preventiva, mentre la seconda una valutazione ex-post.

Leggi la prima parte di quest'articolo

Leggi la terza parte di quest'articolo

Chi è Laura Ciccacci?

Laura Ciccacci è laureata (2004) in Economia presso l'Università diRoma "La Sapienza" e sta completando il Dottorato di Ricerca in Gestione Bancaria e Finanziaria presso la stessa università . Può essere contattata via email laura.ciccacci@uniroma1.it (Università) o  laura.ciccacci@libero.it (personale)