AIRA: resoconto del convegno "Funzione di Compliance" del 28 e 29 gennaio 2009 – prima parte

Il convegno "Funzione di Compliance: come ridisegnare il sistema dei controlli interni e l’organizzazione aziendale" è stato organizzato dall'Associazione Italiana Responsabili Antiriciclaggio (AIRA) con il contributo di IUS Consulting  e il patrocinio della "Federazione BCC Lazio, Umbria e Sardegna" delle Banche di Credito Cooperativo e dell'Associazione Banche Estere in Italia, AIBE. L’evento si è svolto a Roma il 28 e 29 gennaio 2009 ed ha analizzato le relazioni fra il compliance officer e le unità organizzative aziendali, il rapporto con i vertici e gli organi societari e i protocolli di collaborazione con le altre funzioni di controllo.

Agenda

  • Prima giornata:
    • Introduzione a cura del prof. Ranieri Razzante, Docente di Legislazione Antiriciclaggio Università di Reggio Calabria, Presidente AIRA, Associazione Italiana Responsabili Antiriciclaggio.
    • La Compliance nell’ambito della disciplina dei servizi di investimento, dott. Andrea Turi, Divisione Intermediari, Ufficio Vigilanza Albo intermediari CONSOB.
    • Rapporto fra compliance e vertici aziendali: criticità nello sviluppo del commitment, d.ssa Elisa Dellarosa, Coordinatrice e Commissione Compliance AIRA, Associazione Italiana Responsabili Antiriciclaggio.
    • Inquadramento giuslavoristico del compliance officer, avv. Andrea Marziale, Partner Studio Legale Tonucci.
    • Compliance assicurativa e Compliance Finanziaria, prof. Guido Karl, Docente Università di Torino, Responsabile Compliance Fondiaria SAI Investimenti SGR.
  • Seconda giornata:
    • Studio Informatica Compliance e risk management: obiettivi, processi e strumenti di lavoro, dott. Riccardo Barindelli, Esperto soluzione software per la Compliance.
    • Compliance e Internal Audit, dott. Nino Balestrieri, specialista dei sistemi di Controlli Interni.
    • La funzione di compliance nel gruppo Cariparma Friuladria, dott. Stefano Delibra, Responsabile Compliance Cariparma
    • Il sistema di governance e controlli in Barclays: rapporto tra Compliance e Internal Audit, avv. Marco Monetti, responsabile Compliance Barclays Bank Italy.
    • Soluzione organizzative per l’outsourcing delle attività di compliance. Esternalizzazione totale o parziale, dott. Fumagalli, Responsabile Funzione Compliance e Revisione Interna Unione Fiduciaria.
    • Strumenti informatici a supporto delle funzioni di controllo, ing. Fabio Ghirardi, Responsabile Settore Informatico Area Consulenza Banche Unione Fiduciaria.
    • Esternalizzazione delle attività della Funzione di Compliance, l’esperienza FederLUS, Dott. Gilberto Cesandri, Responsabile Direzione Controlli
    • L’Organismo di vigilanza nel sistema del d.lg. 231/2001, Avv. Maurizio Arena, curatore della rivista "I Reati Societari", coordinatore del Comitato "Responsabilità persone giuridiche" dell'Associazione Italiana Responsabili Antiriciclaggio (AIRA). 

Introduzione a cura del Prof. Ranieri Razzante, Docente di Legislazione Antiriciclaggio Università di Reggio Calabria - Presidente AIRA, Associazione Italiana Responsabili Antiriciclaggio

Il Prof. Razzante ha dato inizio al convegno ringraziando i patrocinatori dell’evento (Federazione Lazio Umbria Sardegna delle BCC e l’Associazione tra le banche estere in Italia, ABE) e la Consob, di cui ha letto uno speciale saluto a firma del presidente Lamberto Cardia. Definita la funzione di Compliance come l’attività che individua, supporta, controlla e riferisce in merito al rischio di sanzioni legali o amministrative, perdite operative o deterioramento della reputazione aziendale per il mancato rispetto di leggi, norme, regolamenti, procedure, codici di condotta e best practice, il professore ha poi sottolineato il ruolo fondamentale che la funzione svolge nella creazione di valore per le società finanziarie.
Le istituzioni finanziarie sono richiamate alla Compliance dalle Disposizioni di Vigilanza della Banca d’Italia  del 2007 in materia di conformità alle norme: è richiesta a tale scopo una chiara e formalizzata distinzione dei ruoli, soprattutto con la funzione di Internal Audit. La Compliance è funzione legale, l’Internal Audit è funzione operativa e quindi la consulente privilegiata dell’amministrazione per i controlli a valle. Oltre alla consulenza e all’assistenza che la Compliance deve  offrire in tutte le materie in cui esiste un rischio di non conformità è data la possibilità alla funzione di proporre modifiche e di contribuire a creare regole.
L’intervento si è concluso con l’auspicio che le Autorità di Vigilanza possano in futuro emettere istruzioni più dettagliate in merito, con la consapevolezza di non poter arrivare però, per il principio di autodeterminazione, mai ad istruzioni precise e dettagliate.

La Compliance nell’ambito della disciplina dei servizi di investimento, Dott. Andrea Turi, Divisione Intermediari, Ufficio Vigilanza Albo intermediari CONSOB

La presentazione del  Dott. Andrea Turi si è concentrata inizialmente sull’architettura dei controlli interni, con il controllo di conformità posizionato ad un secondo livello, parallelamente alla gestione del rischio e sottostante all’Audit Interno, controllo di primo livello. Il controllo di conformità può essere svolto anche da chi si occupa di Risk Management, ma non può assolvere alle funzioni di Audit. Le peculiarità della funzione compliance sono state così sintetizzate:

  • controllo e valutazione dell’adeguatezza e dell’efficacia delle procedure interne dell’intermediario;
  • prevenzione del rischio di comportamenti non corretti o trasparenti;
  • valenza strategica nel mantenimento di corrette relazioni con la clientela;
  • importanza nel processo di creazione del valore aziendale.

La Compliance è l’interlocutore privilegiato della Consob e oggetto di costante attenzione da parte della Vigilanza; gli esiti delle verifiche sulla strutturazione della funzione vengono considerati come indice del “rischio di vigilanza” dell’intermediario.
Il campo di azione della Compliance si concretizza nella definizione di scelte strategiche in tema di servizi e modelli comportamentali e attraverso la definizione di procedure per la corretta e trasparente prestazione di servizi. A ciò segue l’interpretazione del quadro regolamentare, possibile attraverso una regolamentazione per principi, con regole di condotta di carattere generale (Hig Level Obligation) ,valide per tutti gli operatori. A livello comunitario è stata rimarcata l’importanza del comitato che raccoglie tutte le autorità nazionali per i servizi di investimento, il CESR, e l’uso di alcuni database che raccolgono domande e risposte specifiche, tra cui il “Your Question on Mifid”. Per concludere, il dottor Turi ha ricordato che a livello nazionale la Consob interviene su tre livelli:

  • orientamenti generali,
  • risposte a singoli quesiti,
  • definizione di linee guida.

Rapporto fra compliance e vertici aziendali: criticità nello sviluppo del commitment, D.ssa Elisa Dellarosa, Coordinatrice e Commissione Compliance AIRA, Associazione Italiana Responsabili Antiriciclaggio

Il contributo della D.ssa Dellarosa ha chiarito e formalizzato il ruolo della Compliance nel sistema dei controlli interni, individuandone le relazioni con le altre funzioni di controllo. L’intermediario ha come priorità di fondo il governo dei rischi da cui la necessità che le banche si dotino di idonei dispositivi di governo societario e di adeguati meccanismi di controllo.
L’impatto di un corretto sistema di Risk Governance, citando un precedente intervento di Anna Maria Tarantola, vice direttore della Banca d’Italia, passa attraverso alcune fasi fondamentali:

  • bilanciamento dei poteri all’interno dell’azienda;
  • formalizzazione delle politiche di governo dei rischi;
  • riesame dell’efficacia;
  • verifica dell’effettiva attuazione delle politiche.

Istituire la funzione compliance comporta  una valutazione dei rapporti con la normativa di settore (i cosiddetti controlli di norma) ed  il rafforzamento e la riqualificazione di tutte le funzioni di Risk Management. Nel concreto bisogna evitare confusione con tutti gli organi che le novità legislative dell’ultimo decennio hanno istituito e che, secondo Banca d’Italia, hanno ruoli e status distinti (responsabili privacy, anti-riciclaggio, 231, responsabili dei documenti contabili).
È evidente che il sistema dei controlli interni vada ridefinito completamente nel caso di outsourcing della funzione.
L’attenzione è stata poi posta al rapporto che c’è tra la Compliance e l’Internal Audit, formalizzato nel documento congiunto dell’Associazione Italiana Internal Auditors e dell’Associazione Italiana Compliance. La distinzione dei ruoli tra le due Funzioni deve essere ricercata nella loro diversa finalità, con la Funzione di Compliance focalizzata sul rispetto della normativa e l’Internal Audit sul monitoraggio del complessivo Sistema dei Controlli Interni. La funzione di Compliance, che si dedica esclusivamente al rischio di non-conformità,  svolge un’attività prevalentemente ex-ante, finalizzata alla definizione di presidi idonei a garantire la prevenzione dei rischi di non conformità e reputazionali.

Più difficile è valutare la relazione fra la Compliance e il Risk Management. Chi nel passato è stato Risk Controller, oggi fa Compliance o si sta attrezzando per farla. Il rischio di non-conformità, nell’accezione di rischio legale, si occupa anche di Operational Risk Management. Le due funzioni collaborano:

  • nell’intervista ai risk owner;
  • nella determinazione delle metodologie;
  • nel coordinamento delle attività di controllo.

Il legame che si crea invece con il reparto legale dell’azienda si manifesta nella prima delle fasi del processo di conformità: l’analisi normativa. Il servizio legale può essere demandato a svolgere l’analisi normativa, se richiesto e se esistono relazioni chiare e definite, in presenza di “trigger event” (ad esempio quando esce una nuova legge).
In  ultimo non vanno trascurate le responsabilità delle norme fuori perimetro: se la Compliance non si occupa di una norma, è necessario definire chi è responsabile del suo mancato rispetto.

Inquadramento giuslavoristico del compliance officer, Avv. Andrea Marziale, Partner Studio Legale Tonucci

Il contributo dell’Avv.Marziale ha chiarito un aspetto per molti ancora oscuro nel mondo Compliance: l’inquadramento del compliance officer a livello giuslavoristico. I requisiti che la Banca d’Italia prevede per il responsabile della conformità (indipendenza, professionalità e autorevolezza) sono stati rielaborati da un punto di vista affine al diritto del lavoro: 

  • Indipendenza:
    • assenza di vincoli gerarchici verso i responsabili delle funzioni soggette a controllo
    • effettive garanzie di indipendenza
    • ampia autonomia e discrezionalità
    • legame diretto solo verso gli organi amministrativi della società
  • Professionalità
    • professionalità
    • autorevolezza
    • conoscenza delle normative
    • capacità di individuare rischi e criticità
    • accesso illimitato alle informazioni.

Secondo la Banca d’Italia il responsabile deve rivestire un ruolo tale da conferire autorevolezza alla funzione: le posizioni di dirigente o quadro sono le più adatte.  Per il settore credito il contratto di riferimento è derivabile dall’Art.8 del CCNL del 10/01/08 per i dirigenti e dall’Art.76 CCNL del 08/12/07.  Le retribuzioni annuali lorde, applicabili a dirigenti investiti della responsabilità compliance, sulla base di questi dati potrebbero essere:

  • credito: 57.947,67 euro
  • assicurazioni: 64.958,04 euro
  • industria: 55.000 euro (70.000 euro se con più di 7 anni di anzianità)
  • commercio: 46.200 euro

La tutela dell’autonomia del Compliance Officer, data la particolare rischiosità del ruolo che è chiamato a svolgere, trova nello Statuto dei Lavoratori un ottimo riferimento, viene consigliato alle imprese di predisporre anche guarentigie per l’assoggettamento a procedure disciplinari. Le eventuali violazioni individuate dovrebbero essere preliminarmente discusse in consiglio di amministrazione. Anche per i dirigenti sono introducibili meccanismi di tutela reale, convenzionale e pattizia per tutta la durata dell’incarico.

Compliance assicurativa e Compliance Finanziaria, Prof. Guido Karl, Docente Università di Torino, Responsabile Compliance Fondiaria SAI Investimenti SGR

La prima giornata di lavori si è conclusa con l’intervento del Prof. Guido Karl, con l’intento di fare un’ampia panoramica sul settore assicurativo che, in virtù del recente Regolamento Isvap 20/08, ha introdotto e disciplinato la compliance. Il regolamento, in vigore dal 5 aprile del 2008, ha  imposto alle imprese di assicurazione di attivare entro il 1°gennaio 2009 la funzione.
Il capo V è dedicato alla Compliance, i cui obiettivi vengono enunciati nell’art.22: "le imprese pongono particolare attenzione al rispetto delle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all’informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e tutela del consumatore. " La gestione dei sinistri è quella che crea maggiori problemi di conformità. Nel successivo articolo sono definiti i compiti della funzione (Art.23): 

  • identifica in via continuativa le norme applicabili all’impresa e valuta il loro impatto sui processi e le procedure aziendali;
  • valuta l’adeguatezza e l’efficacia delle misure organizzative adottate per la prevenzione del rischio di non-conformità alle norme e propone le modifiche organizzative e procedurali finalizzate ad assicurare un’adeguata previsione del rischio;
  • valuta l’efficacia degli adeguamenti organizzativi conseguenti alle modifiche;
  • predispone adeguati flussi informativi diretti agli organi sociali dell’impresa.

La conclusione dell’intervento e dei lavori viene dedicata a sottolineare la principale differenza tra la normativa per il settore assicurativo rispetto alla normativa vista in precedenza: nel settore finanziario viene data una maggiore importanza al collegio sindacale che è destinatario, insieme all’organo amministrativo, della relazione annuale del compliance officer, e che interviene anche nella nomina e revoca del responsabile. Nel regolamento Isvap non c’è nessun riferimento al collegio sindacale. Il prof. Karl, nella sua esperienza di responsabile compliance per SAI, consiglia tuttavia di relazionarsi periodicamente con il Collegio.

Chi è Daniele Monaco?

Daniele Monaco, l'autore di questo articolo, si è laureato nel dicembre 2008 in "Economia e Management" presso l’Università degli Studi di Roma 3 con una tesi dal titolo "Outsourcing e Compliance". Può essere contattato via email: danielemonaco1983@libero.it

Altri articoli su AIRA in questo sito

Link utili

ComplianceNet: