AIRA: resoconto del convegno "Funzione di Compliance" del 28 e 29 gennaio 2009 – seconda parte

Nella prima parte di questo resoconto abbiamo riportato una sintesi degli interventi svolti nella prima giornata del convegno "Funzione di Compliance: come ridisegnare il sistema dei controlli interni e l’organizzazione aziendale" organizzato dall'Associazione Italiana Responsabili Antiriciclaggio (AIRA) con il contributo di IUS Consulting  e il patrocinio della "Federazione BCC Lazio, Umbria e Sardegna" delle Banche di Credito Cooperativo e dell'Associazione Banche Estere in Italia, AIBE.
In questa seconda parte la sintesi degli interventi svolti nella seconda giornata.

Studio Informatica Compliance e risk management: obiettivi, processi e strumenti di lavoro, Dott. Riccardo Barindelli, Esperto soluzione software per la Compliance.

Il dottor Barindelli, il cui contributo ha aperto i lavori della seconda giornata, ha mostrato agli esperti Compliance presenti metodologie e tool informatici utilizzabili per la Compliance. Analizzare stime quali la perdita attesa e quella inattesa per minimizzare il rischio di non-conformità è nella pratica molto difficile: innanzitutto non è facile disporre di serie storiche, con alcuni eventi che si presentano con un alto impatto ma con una bassa frequenza. L’impatto della reputazione è inoltre difficilmente quantificabile. Non è possibile avere serie storiche per nuove normative e nuovi prodotti che, come ampiamente visto nei precedenti interventi, rappresentano i punti di maggiore attenzione.
Limitando il discorso verso agli elementi distintivi del rischio di non-compliance, sono individuabili in generale diverse possibilità per trattare il rischio: rifiutarlo, trasferirlo (con tecniche di hedging e contratti di assicurazione), accettarlo o controllarlo. Ebbene nel caso del rischio di compliance l’unica possibilità, secondo la norma, è controllarlo.
L’utilizzo di software specializzato aiuta a controllare il rischio  a patto che sia previsto un approccio:

• risk based;
• risk self-assessment;
• coerente con gli obiettivi di business;
• integrato (multi-compliance).

A livello internazionale esistono già molti tool GRC (Governance, Risk, Compliance) che implementano le tipiche fasi operative di gestione dei rischi con metodi di self-assessment, che successivamente mappano il contesto individuando le norme e che possono valutare i rischi in funzione delle possibilità di accadimento o di gravità dell’impatto. Il tutto viene rappresentato in “matrici di rischio” con scale qualitative (alta, bassa, media), quantitative (valori di probabilità) o semi-quantitative.
Per rendere l’idea ancor più concretamente è stata mostrato un esempio di tool in ambito Compliance, rappresentabile con struttura Excel o tassonomica (cartelle e sottocartelle) con cui vengono rappresentate le normative, le procedure, i controlli (che vengono censiti) e in ultimo i rischi.
Utili e frequenti sono anche i cruscotti di sintesi che ne danno una visione globale. Le risultanze di questi applicativi sono raccolti in report e form e distribuiti ai vari livelli aziendali (anche via mail).

Compliance e Internal Audit, Dott. Nino Balestrieri, specialista dei sistemi di Controlli Interni

Il tema più controverso nella Compliance finanziaria risulta essere, a detta del Dott. Nino Balestrieri, quello della distinzione tra Compliance e Internal Audit, che crea ancora non pochi problemi all’interno delle banche.
Il confine tra le due funzioni, già trattato nell’intervento della D.ssa Dellarosa, è chiaramente definito dalla Banca d’Italia  e lascia pressoché intatte le precedenti finalità dell’Internal Audit, il cui scopo primario è quello di fornire al consiglio di amministrazione informazioni circa la bontà del proprio Sistemi di Controllo.
Si è aggiunta però una nuova componente, di secondo livello, che si affianca a quella della gestione dei rischi.
Diverso è il discorso per i servizi di investimento, dove non esiste l’obbligatorietà della separatezza della funzioni, e che permette di avere una funzione inglobata di Risk Management, Compliance e Internal Audit. La verifica periodica da parte della revisione interna sulla funzione di conformità, richiamata dalle Disposizioni di Vigilanza del 9 luglio 2007, in questo unico caso sarebbe improponibile (chi controlla i controllori?), creando un problema interpretativo di non facile soluzione. L’attività di verifica può essere così svolta dall’organo amministrativo.
Approccio dell’Internal Audit sulla funzione di Compliance si struttura su due livelli:

• Audit di impianto: audit finalizzato ad accertare la corretta implementazione della funzione compliance attraverso la valutazione del:
• -gap tra i requirement normativi ed il sistema previsto dalla progettazione;
• la conformità del modello ai requisiti normativi;
• -la completezza delle normative e dell’attività di test;
• Audit di funzionamento:  audit finalizzato ad accertare la correttezza dello svolgimento della fasi componenti il processo operativo attraverso la valutazione:
• -della corretta applicazione della metodologia;
• -dell’effettivo esercizio delle fasi del processo;
• -della correttezza degli adempimenti assegnati;
• -del ciclo di reportistica.

La funzione di compliance nel gruppo Cariparma Friuladria, dott. Stefano Delibra, Responsabile Compliance Cariparma

Il dottor Delibra, Responsabile Compliance di Cariparma, ha illustrato le scelte chiave che sono state indirizzate nel progetto di implementazione della funzione di compliance all’interno della banca. Punti qualificanti sono stati:

• Modello organizzativo (process, departement, outsourcing)
• Collocamento della funzione
• Indipendenza della funzione
• Perimetro di competenza normativa
• Perimetro di responsabilità
• Modello di Gruppo

Per il successo del progetto sono stati fondamentali:

• Sponsorship & commitment del top management
• Coinvolgimento forte di Orga e Sistemi e del Personale
• Forte integrazione con altre progettualità importanti
• Forte interazione con le altre funzioni di controllo

Delibra ha inoltre evidenziato come sia stato fondamentale garantire che il "progetto Compliance" fosse coerente con gli altri processi e sistemi della banca e come il "knowledge sharing", la "vendita" del progetto all’interno della banca e la "comunicazione interna (internal branding)" abbiano giocato un ruolo fondamentale per il buon esito delle attività.
Per quanto riguarda la visione della compliance in Cariparma, il modello di business del Gruppo Credit Agricole assegna alla compliance un ruolo centrale per la costruzione di relazioni con gli stakeholder basate sulla fiducia e sulla correttezza reciproca, come presupposto e base per lo sviluppo di rapporti di lungo termine e per la creazione di valore in modo sostenibile e duraturo nel tempo.
La reputazione ed il rapporto fiduciario con la clientela e con gli altri stakeholder rappresentano, dunque, il patrimonio principale del Gruppo Credit Agricole e la compliance è di conseguenza considerata come uno dei principali strumenti per preservarne ed incrementarne il valore.
La compliance è infatti chiamata a garantire, insieme alle altre funzioni aziendali, il rispetto delle normative e dei bisogni della clientela e rappresenta uno dei fulcri dell’intero modello di sviluppo e gestione del business.
Passando al modello organizzativo della Compliance, Delibra ha illustrato il modello adottato nel Gruppo per il presidio del rischio di compliance. È stata istituita una Funzione Compliance di Gruppo, la cui responsabilità è affidata al Servizio Compliance della Capogruppo, con riporto gerarchico all’Amministratore Delegato e funzionale alla Direzione della Conformità di Credit Agricole. È stato inoltre creato un Comitato di Gestione della Conformità di Gruppo, presieduto dall’Amministratore Delegato, con compiti di supervisione sull’ attuazione del programma di conformità nel Gruppo e di gestione dei rischi di compliance di particolare gravità. Sono state istituite specifiche unità di compliance nelle altre banche del Gruppo con dipendenza funzionale dal Servizio Compliance della Capogruppo, alle quali compete la gestione del rischio di compliance per le realtà di appartenenza sulla base delle politiche e delle linee guida formulate dalla Capogruppo ed avvalendosi del relativo supporto metodologico (modello, processi, metodologie).

Il sistema di governance e controlli in Barclays: rapporto tra Compliance e Internal Audit, Avv. Marco Monetti, responsabile Compliance Barclays Bank Italy

La relazione dell’Avv. Monetti, Head of Compliance di Barclays Bank Italy, ha trattato esaurientemente il tema del Sistema di Controlli Interni in una banca sottoposta a legislazione inglese. Il rapporto tra Internal Audit e Compliance qui si inserisce in un sistema di controlli che prevede 4 livelli e non solo 3, con un ultimo livello che si occupa di fare verifiche in loco. Le due funzioni collaborano attivamente attraverso meccanismi disciplinati in un apposito Service Level Agreement. La funzione Compliance affida all’Audit la raccolta di informazioni privilegiate presso le filiali oggetto di revisione. L’Audit aggiunge alle proprie checklist di controllo le richieste fatte dalla funzione di conformità tra cui:

1. Verifica dei documenti (non solo carta d’identità e codice fiscale dei correntisti ma anche la documentazione relativa all’art.18) del 10% dei correntisti (persone fisiche e giuridiche) della filiale.
2. Verifica sul rispetto del KYC (Know Your Client)
3. Informazioni sulle operazioni sospette
4. Materiale sulla trasparenza (copie aggiornate dei fogli informativi)
5. Informazioni sul rispetto della privacy (verifica che i terzi siano correttamente indicati)
6. Il numero e i dettagli sulle persone statunitensi, essendo il regime fiscale vigente negli States rigido anche sugli investimenti fatti in banche estere
7. Controlli sulla Mifid

Il report conseguente viene inviato alla funzione di Compliance, oltre che al consiglio di amministrazione, che decide sulle eventuali operazioni correttive.

Soluzione organizzative per l’outsourcing delle attività di compliance. Esternalizzazione totale o parziale, Dott. Fumagalli, Responsabile Funzione Compliance e Revisione Interna Unione Fiduciaria

Il riferimento normativo all’esternalizzazione della funzione di conformità è presente nel Regolamento congiunto Banca d’Italia-Consob del 29 ottobre 2007, dove è prevista la possibilità di esternalizzare funzioni essenziali o importanti, nella cui definizione rientra chiaramente anche la compliance.  Diversi sono i requisiti tra Banche e SIM/SGR con le prime che possono usufruire dell’esternalizzazione solo se in presenza di dimensioni ridotte e le seconde cui nulla è prescritto in termini di requisiti. Non è prevista per entrambe, come era in passato, la necessità di un’autorizzazione della Banca d’Italia, ma solo un’informativa. Obbligatoria è la nomina di un responsabile della funzione interno e la formalizzazione dell’outsourcing in un accordo scritto. Il contratto, disciplinato dal capitolo IV delle Disposizioni di Vigilanza del 14 luglio 2007 impone determinate previsioni tra cui oggetto, compiti, limiti della delega, limiti dell’informativa e linee guida dell’attività.
Nulla è prescritto invece sulla tempistica della relazione da proporre alla banca da parte dell’outsourcer: è prassi di Unione Fiduciaria, già attiva nell’esternalizzazione della funzione, basarsi sulla tempistica prevista in precedenza, notificando quindi la relazione al consiglio che approva la bozza di bilancio.
Lo schema che viene preparato per l’invio alle banche clienti è cosi composto:

• Premessa: come è organizzata la funzione e con quali modalità
• Attività nel continuo: come viene effettuata la consulenza verso le altre funzioni aziendali
• Conflitti d’interesse: modalità adottate dalla banca per la gestione dei conflitti
• Verifiche effettuate
• Reclami
• Formazione

Strumenti informatici a supporto delle funzioni di controllo, Ing. Fabio Ghirardi, Responsabile Settore Informatico Area Consulenza Banche Unione Fiduciaria

La testimonianza di Unione Fiduciaria è stata completata con il contributo di chi, come l’Ing. Ghirardi, si occupa del comparto informatico relativo all’esternalizzazione del servizio Compliance.  Dal punto di vista tecnico si possono creare degli applicativi per informatizzare il sistema dei controlli, verificare la bontà del sistema dei controlli dell’intermediario, processare grandi quantità di dati e archiviare i risultati, limitando così il rischio di non-conformità. L’audit ha la possibilità di accedere ad una piattaforma software che raccoglie i risultati ottenuti. Lo sforzo organizzativo ed economico per realizzare un sistema di controlli in formato elettronico è notevole. Solo gli intermediari più grandi possono dotarsi ad oggi di tali strutture. Purtroppo l’esperienza sul campo dimostra che è ancora elevata la tendenza a non archiviare i risultati dei controlli di 1° e 2° livello in database organizzati, ma solo con reportistica cartacea.

Esternalizzazione delle attività della Funzione di Compliance, l’esperienza FederLUS, Dott. Gilberto Cesandri, Responsabile Direzione Controlli

L’intervento del dottor Cesandri della Federazione Lazio Umbria Sardegna (FederLUS) delle Banche di Credito Cooperativo ha affrontato i temi dell’organizzazione e della gestione del rischio di non conformità in banca.
Cesandri ha ricordato infatti che la modifica del "Sistema dei Controlli Interni" degli intermediari derivanti dall’introduzione della funzione di Conformità impone ai medesimi intermediari riflessioni sui relativi impatti organizzativi.
In relazione al modello organizzativo della funzione di Compliance sono possibili diverse soluzioni.

• Modello accentrato, caratterizzato dall’esistenza di una Funzione di Conformità interna alla Banca, che svolge senza altri supporti tutte le attività previste nel processo di gestione del rischio di non conformità, con eccezione di quelle di competenza dei vertici aziendali. Tale modello richiede l’individuazione di una funzione ad hoc in grado di operare autonomamente.
• Modello misto, caratterizzato dall’esistenza di una Funzione di Conformità interna alla Banca, che svolge direttamente alcune attività (in relazione ad organico, competenze, dimensioni e complessità aziendale) mentre per altre si avvale del supporto di altre funzioni della Banca, che coordina direttamente al fine di assicurare unitarietà e coerenza complessiva d’approccio.
• Modello decentrato, caratterizzato dall’esternalizzazione della Funzione a soggetti terzi purché dotati dei requisiti di professionalità e indipendenza. Il Responsabile interno svolge un ruolo di collegamento con l’outsourcer, assicurando il rispetto delle disposizioni di vigilanza in materia.

La scelta delle 25 banche associate di FederLUS è ricaduta sul modello decentrato, esternalizzando le attività di Compliance alla Federazione locale di categoria. Pertanto, FederLUS ha avviato un’attività progettuale volta alla costituzione ed attivazione al suo interno della Funzione di Compliance, con l’obiettivo di assolvere efficacemente al mandato ricevuto dalle banche associate ottemperando alle disposizioni di vigilanza in materia.
La Funzione ha adottato un approccio progettuale coerente con le iniziative del Sistema del Credito Cooperativo, promosse a livello nazionale da Federcasse con il Progetto di Categoria sulla Funzione di Conformità alle norme e a livello locale dalla stessa FederLUS.
È stata così deliberata una struttura organizzativa che prevede la costituzione della Direzione Controlli, in staff alla Direzione Generale, che assicura il coordinamento di tre unità organizzative della Federazione:

• Funzione Compliance BCC: ossia la funzione aziendale preposta, in qualità di outsourcer, all’erogazione dell’attività di compliance in favore delle Banche
• Area Internal Audit BCC: ossia la funzione aziendale preposta, in qualità di outsourcer, all’erogazione dell’attività di internal auditing in favore delle Banche
• Ufficio Vigilanza Cooperativa, ossia la funzione aziendale preposta al controllo sul rispetto dei requisiti di mutualità ai sensi del D Lgs. 220/02 e del Decreto Attuativo del Ministero delle Attività Produttive del 22 dicembre 2005

Il dottor Cesandri ha poi illustrato quale è il perimetro normativo della funzione di Compliance presso FederLUS. Le normative che saranno gestite, in un piano quadriennale, sono:

• primo anno:
• Antiriciclaggio e Antiterrorismo
• Antiusura
• Privacy
• Servizi di investimento e Market Abuse
• secondo anno:
• Trasparenza e Tutela del Consumatore
• Intermediazione assicurativa
• Responsabilità amministrativa degli enti (banche medie)
• terzo anno:
• Sicurezza e salute dei lavoratori
• Responsabilità amministrativa degli enti (banche piccole)
• quarto anno:
• Responsabilità amministrativa degli enti (banche grandi)

Per quanto riguarda, infine, la metodologia di valutazione dei rischi di non conformità, per ciascuna normativa rientrante nel perimetro definito, la valutazione sull’adeguato presidio e sulla corretta gestione dei rischi di conformità viene effettuata come segue:

• Preliminare individuazione e valutazione dei "rischi potenziali" relativi alla non conformità alle norme, condotta attraverso l’attribuzione di un giudizio qualitativo ai seguenti due parametri:
• peso o significatività
• frequenza/probabilità
• Successiva valutazione dei presidi esistenti in termini di adeguatezza a ridurre entro limiti di accettabilità i rischi individuati
• Determinazione del livello di rischio residuo (scoring) determinata dall’algoritmo di valutazione sulla base della combinazione dei giudizi precedenti

L’ indice di rischio residuo è determinato tramite la valutazione dell’azione dei controlli posti a presidio del rischio, che possono abbattere percentualmente il valore del rischio potenziale. Le classi di scoring, sono riassumibili in:

• 5: il livello del rischio residuo è di continuità;
• 4: il livello del rischio residuo è elevato;
• 2: il livello del rischio residuo è mediamente elevato;
• 1: il livello del rischio residuo è mediamente basso;
• 0: il livello del rischio residuo è basso.

L’Organismo di vigilanza nel sistema del d.lg. 231/2001, Avv. Maurizio Arena, curatore della rivista "I Reati Societari", coordinatore del Comitato "Responsabilità persone giuridiche" dell'Associazione Italiana Responsabili Antiriciclaggio (AIRA).

L’intervento dell’avvocato Arena ha riguardato l’Organismo di vigilanza (ODV) previsto dal d.lg. 231/2001.  Va detto in primo luogo, ha ricordato, Arena che senza ODV non si può parlare di "compliance 231": l’ente non potrebbe mai ottenere l’esenzione dalla responsabilità.
Esistono però numerosi dubbi interpretativi sulla natura e le responsabilità dell’ODV.
In particolare ci si chiede se l’ODV possa essere chiamato a rispondere dell’omesso impedimento del reato dei soggetti apicali. Qui entra in gioco l’art 40 comma 2 c.p.: "non impedire un evento che si ha l’obbligo giuridico di impedire equivale a cagionarlo"
Nasce allora il problema dei poteri impeditivi dell’ODV. L’ODV ha reali poteri impeditivi? Oppure può soltanto intervenire ex post? Infatti se l’ODV non ha poteri impeditivi non può sussistere il nesso causale tra l’omessa vigilanza e la realizzazione del reato.
È possibile fare un paragone tra ODV e collegio sindacale, ha ricordato l’avvocato Arena.
Infatti, sulla base degli artt 2403 e 2407 c.c., la giurisprudenza ritiene il collegio sindacale titolare di un obbligo giuridico di impedire il reato dell’amministratore. È dunque invalsa una nozione ampia ed impropria di "potere impeditivo".
Arena ha poi ricordato che con l’art 52 d.lg. 231/2007 (T.U. antiriciclaggio) si ha avuto una vera e propria modificazione genetica dell’ODV. Si assiste infatti ad una possibile posizione di garanzia dell’ODV con la conseguenza di reati omissivi propri a carico dell’ODV.
"L’ODV diventa garante del rispetto della normativa de qua" ha commentato Arena.
L’ODV sembra evolversi in organo con rilevanza esterna, diventando “ausiliario di giustizia”. In questa direzione anche il Codice Antimafia Italcementi: l’ODV deve segnalare alla Prefettura eventuali infiltrazioni mafiose, a pena di responsabilità disciplinare
Quali sono i possibili sviluppi?
Si potrebbe assistere all’obbligo di comunicazione di illeciti a carico dell’ODV all’Autorità di settore (Consob, Isvap, ecc.), analogamente all’obbligo previsto per i sindaci dal TUF, dal TUB e dal Codice Assicurazioni.

• Fine seconda parte
• Leggi prima parte

Chi è Daniele Monaco?

Daniele Monaco, l'autore di questo articolo, si è laureato nel dicembre 2008 in "Economia e Management" presso l’Università degli Studi di Roma 3 con una tesi dal titolo "Outsourcing e Compliance". Può essere contattato via email: danielemonaco1983@libero.it

Altri articoli su AIRA in questo sito

• AIRA: resoconto del convegno "Funzione di Compliance" del 28 e 29 gennaio 2009 – prima parte
• Quali obblighi per i professionisti
• L’antiriciclaggio come cultura internazionale
• AziendaBanca: speciale antiriciclaggio (dicembre 2008)
• AIRA: resoconto del convegno antiriciclaggio del 4 dicembre 2008
• "MiFID – la mia banca mi spiega cos’è" - prefazione, presentazione ed indice del volume 
• Resoconto del convegno "Responsabilità dell’intermediario nella prestazione dei servizi di investimento" (parte prima e seconda)
• Intervista a Elisa Dellarosa, responsabile della commissione di studio AIRA sulla Compliance
• AIRA - Corso di Alta Specializzazione in Compliance ed Antiriciclaggio
• Resoconto della prima assemblea AIRA - Associazione Italiana Responsabili Antiriciclaggio
• Associazione Italiana Responsabili Antiriciclaggio (AIRA)

Link utili

• Sito IUS Consulting
• Sito AIRA - Associazione Italiana Responsabili Antiriciclaggio