Dottorato in Compliance: intervista alla dottoressa Laura Ciccacci

Agatino Grillo (AG): Buongiorno dottoressa Ciccacci e grazie per la collaborazione. Che tipo di studi ha condotto?
Laura Ciccacci (LC): Mi sono laureata nel 2004 in Economia presso l'Università di Roma "La Sapienza" discutendo una tesi in Tecnica di Borsa, analizzando le ragioni del mancato rapporto tra le SME italiane ed il mercato dei capitali. Successivamente ho intrapreso il Dottorato di Ricerca in Gestione Bancaria e Finanziaria presso la stessa università. Attualmente sto lavorando, per la mia tesi di dottorato dal titolo "La Funzione Compliance nelle banche italiane. Future trends e best practise internazionale (titolo provvisorio) ad un progetto di ricerca che prevede due temi: un’analisi empirica sulla Funzione Compliance nelle banche popolari italiane per mezzo di un un questionario ed il confronto dei modelli organizzativi di enterprise risk management (secondo il COSO Report) con un campione di banche europee individuate in due indici di borsa (FTSE 100 e DJ Eurostoxx).

AG: La Compliance è un tema dibattuto all'Università? In che direzioni si muove la ricerca accademica in tale ambito?
LC: Considerando le recenti analisi empiriche (AICOM – Università degli Studi di Roma Tre; Nadotti – Gallo nel 2006; Gabbi 2007; Birindelli – Ferretti 2007) si assiste, anche in ambito accademico, ad una maggiore attenzione al tema. In particolare c’è un notevole interesse alle tipologie di rischio (reputazionale e legale) che potrebbero minare seriamente il rapporto fiduciario banca – investitore alla ricerca, anche, di soluzioni adottate dagli intermediari. Lavoriamo anche in relazione ai modelli organizzativi, gestionali e relazionali della Funzione Compliance nell’ambito del sistema di controlli interni.

AG: Che modelli di Compliance sono previsti dall’autorità di vigilanza?
LC: Le recenti Istruzioni di Vigilanza del luglio 2007 sembrava indicare che la Funzione Compliance, in base al principio di proporzionalità, potesse essere  esternalizzata dagli intermediari di dimensioni più contenute (in termini organizzativi, dimensionali, geografici ed operativi), Tuttavia dall’analisi del Regolamento Congiunto – appena diffuso – di Banca d’Italia e Consob, risulterebbe per quel che riguarda la prestazione dei servizi di investimento ammessa la possibilità di non istituire funzioni autonome di risk management e internal audit che potrebbero essere ricomprese nella funzione compliance: "…fermo restando l’obbligo previsto dalla citata direttiva 2006/73/CE di istituire in ogni caso la funzione di conformità alle norme, è consentito agli intermediari di attribuire a un’unica funzione i compiti di controllo di conformità e di gestione del rischio d’impresa o di non istituire le funzioni di gestione del rischio d’impresa e di audit interno…scelta consentita ai soggetti di più ridotte dimensioni e complessità operativa". Immagino che questo stimoli ulteriormente il dibattito, così come il tema delle varie ed eterogenee soluzioni organizzative prescelte, compiute sulla base di appropriate analisi costi-benefici, che muovono dalla concessa libertà decisionale lasciata agli intermediari finanziari dalle autorità, ma che dalle stesse verranno valutate e dovranno essere considerate adeguate alla luce del generale Supervisory Review Process.

AG: Lei era presente sia al terzo convegno AICOM sulla Compliance che al recente workshop dell'Università di Pisa sul tema del "rischio di Compliance" (su cui hai anche scritto un resoconto). Quali sono state le novità più importanti emerse in questi incontri? A che punto siamo
nelle banche?

LC: "La nostra volontà può agire in base a principi pratici che se oggettivi si definiscono leggi morali…nell’uomo affetto dalla sensibilità, questi principi assumono carattere di imperativi, si presentano come un dovere..imperativi ipotetici, se presuppongono il desiderio di raggiungere un certo scopo, categorici se comandano assolutamente senza riguardo allo scopo da raggiungere; …la formula dell’imperativo categorico sarà "agisci in modo che la massima della tua volontà possa valere come principio di una legislazione universale. Morale formale che si contrappone a tutte le morali materiali o eteronome che pongono il fine dell’azione nel soddisfare il proprio benessere" (KANT I., Critica della ragion pratica).
Quello che a mio modesto parere emergerebbe tende verso una sempre più pregnante esigenza di rispetto delle regole, soprattutto in un sistema come quello bancario che può vivere grazie al rapporto di fiducia che riesce a costruire e mantenere con la propria clientela, ma che sempre più frequentemente verrebbe sacrificato dall’esigenza di creare shareholder’s value. Negli incontri citati, le novità emerse riguardano ad esempio, l’esigenza di supervisory convergence alla luce della Direttiva MiFID e, quindi, la complessa attività di coinvolgimento che vede come protagoniste le stesse autorità di vigilanza; l’esigenza di tutelare efficacemente gli investitori, soprattutto quelli più deboli ancorché essi stessi dovrebbero rendersi più consapevoli delle scelte finanziarie compiute (l’OCSE ha emanato a tal proposito dei principi sulla Financial Education); l’attività svolta dai Comitati di livello 3 istituiti dalla Commissione europea, sulla base delle raccomandazioni del Rapporto Lamfalussy (CESB, CESR e CEIOSP) nel tentativo di fornire supporto alle autorità locali nel processo di superisory convergence, nonostante l’esistenza di ostacoli e di limiti; lo sforzo compiuto dalle autorità di vigilanza italiane, Banca d’Italia e CONSOB nel processo di supervisory convergence, appena sfociato nel Regolamento Congiunto; il ruolo della Funzione Compliance a cavallo tra la nuova direttiva europea sul capitale e la direttiva MiFID, al fine di evitare che il rischio di non conformità mini irreparabilmente il rapporto di fiducia alla base della sana e prudente gestione del sistema bancario; tutti gli aspetti organizzativi, gestionali ed economici che vedono come protagonista la FC e l’attribuizione di "dignità propria" al rischio di compliance, il quale va a condividere con le altre tipologie di rischio gli strumenti di gestione e per il quale sono stati indicati i requisiti imprescindibili per una efficiente ed efficace gestione. Soprattutto però, emergerebbe – considerando anche l’autorevole punto di vista del Presidente dell’AICOM, Avv. Claudio Cola con il quale ho potuto avere uno scambio di opinioni – la urgenza di creare contesti in cui si diffonda la cultura della compliance.
Le banche ad oggi, sono soprattutto alle prese con la scelta delle soluzioni organizzative, stante il divieto di inserire la FC nell’ambito dell’IA, soluzione questa ancora molto diffusa tra le varie organizzazioni bancarie e che porterà ad un lavoro molto delicato, quanto normativamente urgente.

AG: Che rapporto c'è tra Compliance e Internal Audit?
LC: I protagonisti tradizionali del sistema di controllo interno sono rappresentati dal Consiglio d’Amministrazione – declinato nelle varie accezioni a seconda del modello di governance scelto -; dal Collegio Sindacale (o Consiglio di Sorveglianza o Audit Committee); dall’Alta Direzione e dall’Internal Audit. Quest’ultimo costituisce il 3° livello di controllo interno, deputato tra le altre responsabilità, ad effettuare verifiche periodiche della FC, previste nel piano ispettivo annuale e la FC, di 2° livello, la quale rientra nell’ambito delle funzioni di controllo sulla gestione degli "altri rischi o rischi operativi" e come tale, deve essere istituita in strutture diverse da quelle produttive e deve mantenere la propria indipendenza, autonomia ed autorevolezza. Le due funzioni sono sostanzialmente diverse ancorché contigue ed occorrerà individuare e comunicare con chiarezza i compiti e le responsabilità di ciascuna in particolare con riferimento alla misurazione dei rischi, alla consulenza circa l’adeguatezza delle procedure di controllo ed alla attività di verifica delle procedure di controllo stesse. Di rilievo anche il flusso informativo necessario da attivare tra le due, anche con riferimento ai risultati ispettivi, anche se si ritiene piuttosto probabile incontrare delle difficoltà nel riuscire a discriminare i confini delle attribuzioni dell’una e quelle dell’altre. Tra le possibili criticità, eventuali sovrapposizioni di ruoli e di competenze; tra le possibili sinergie, l’uso di tecniche comuni per la valutazione dei rischi e dei controlli, la mappatura dei rischi, il rafforzamento dei presidi di controllo, la diffusione a tutti i livelli dell’organizzazione della "cultura del controllo", consultazioni sulle azioni volte a prevenire e/o contenere il rischio di non conformità.

AG: Dal primo novembre 2007 sarà in vigore la MiFID. Che impatti ci sono sulla funzione di Compliance?
LC: La direttiva MiFID prevede quattro livelli di controllo: la compliance, l’audit interno, il risk management e l’alta dirigenza; ciascun livello di controllo ha una diversa finalità e, sebbene non tutti gli intermediari saranno tenuti a mantenere distinte tali funzioni per il principio di proporzionalità, tutti debbono organizzarsi per prevederne lo svolgimento. La Direttiva prevede l’obbligo di istituire la funzione compliance che abbia carattere di permanenza, efficacia ed indipendenza, con la responsabilità di individuare e gestire i rischi connessi alla mancata conformità, mediante un’azione preventiva od in costanza delle attività poste in essere, volti a mitigare od evitare le conseguenze dovute a comportamenti non conformi la normativa. La funzione dovrà disporre di autorità, risorse, competenze e dovrà avere accesso alle informazioni; dovrà essere nominato un responsabile al quale viene demandata la responsabilità di riferire all’alta dirigenza e sarà dotata di personale che non partecipi alla prestazione di servizi o all’esercizio delle attività su cui sono chiamati a controllare. Non viene perentoriamente identificata la soluzione organizzativa, stante il mantenimento di un approccio di tipo funzionale, con la possibilità di esternalizzare la funzione. Per quel che afferisce poi gli obiettivi della Direttiva – soprattutto per quel che rileva le regole di condotta a carico degli intermediari nel caso in cui i clienti si qualifichino come controparti al "dettaglio" -, essi stessi costituiranno  ulteriore tassello che confluirà nel perimetro di norme che la FC sarà chiamate a presidiare e che verosimilmente potrà consentire di attenuare i rischi legali e di reputazione.
 
AG: Parliamo del suo futuro professionale. Dopo il dottorato che tipo di esperienza lavorativa vorrebbe fare? La sua specializzazione in "Compliance" è ricercata? Hai già avuto qualche offerta?
LC: La mia specializzazione in "compliance" è maturata grazie all’intervento da me compiuto in uno dei moduli di approfondimento previsti dal Dottorato di ricerca, in particolare mi riferisco a quello tenuto dal Direttore del Dipartimento di Banche Assicurazioni e Mercati, nonché coordinatrice del dottorato stesso, Prof.ssa Paola Leone, la quale si occupa da anni di risk management e capital allocation nelle banche.È desiderato e ricercato come argomento di approfondimento soprattutto per sviluppare delle conoscenze che auspico divengano competenze professionalizzanti. Spero di ricevere quanto prima proposte lavorative che mi consentano di confrontarmi su tale argomento che, secondo me, non deve essere sottovalutato anche nell’ottica più epicurea della creazione di valore per gli azionisti.

AG: Come è possibile contattarla?
LC: le mie email sono laura.ciccacci@libero.it (personale) e laura.ciccacci@uniroma1.it (Università).

LC: Grazie e buon lavoro.

ComplianceNet: