Resoconto Compliance in Banks 2010

Resoconto degli interventi
a cura di
http://www.compliancenet.it/content/compliance-in-banks-2010
versione pdf: http://www.compliancenet.it/documenti/resoconto-compliance-in-banks-2010.pdf
versione 1.0
22 novembre 2010
Creative Commons Attribuzione - Non commerciale 2.5 Italia License

http://creativecommons.org/licenses/by-nc/2.5/it/
I loghi ed i contenuti delle presentazioni e delle relazioni commentate nel testo sono di
proprietà dei rispettivi relatori e/o società di appartenenza.
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
http://creativecommons.org/licenses/by-nc/2.5/it/
Commons Deed
Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,

rappresentare, eseguire e recitare quest'opera
• di modificare quest'opera
Alle seguenti condizioni:
• Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore

o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi
avallino te o il modo in cui tu usi l'opera.
• Non commerciale. Non puoi usare quest'opera per fini commerciali.
• Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza,
che va comunicata con chiarezza.
• In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da
questa licenza (agatino.grillo@gmail.com) .
• Questa licenza lascia impregiudicati i diritti morali.
Limitazione di responsabilità
Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo
limitati da quanto sopra.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.
1
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
Indice
INDICE..........................................................................................................................I
INFORMAZIONI PRELIMINARI.........................................................................IV
COS’È COMPLIANCENET?................................................................................................IV
CHI È L’AUTORE DI QUESTO DOCUMENTO?...........................................................................IV
COS’È LA COMPLIANCE COMMUNITY DI ABIFORMAZIONE?..................................................... V
PREFAZIONE............................................................................................................. 1
PRIMA SESSIONE - LA COMPLIANCE DOPO LA CRISI: RIPRISTINARE
LA FIDUCIA SUI MERCATI FINANZIARI.......................................................... 3
GIOVANNI SABATINI – INTRODUZIONE AI LAVORI................................................................... 4
La comunità virtuale della compliance di ABI....................................................... 4
Il dibattito sulla Compliance .................................................................................. 4
Compliance in Banks 2010..................................................................................... 5
KRISTIN ARNAR STEFANSSON, HEAD OF COMPLIANCE, ISLANDSBANKI - LE LEZIONI PER LA FUNZIONE
COMPLIANCE GIUNTE DALLA CRISI FINANZIARIA ...................................................................... 6
LUIGI SPADA, RESPONSABILE UFFICIO VIGILANZA E ALBO INTERMEDIARI E AGENTI DI CAMBIO
CONSOB – LE ATTESE DI CONSOB CIRCA LA COMPLIANCE SUI SERVIZI DI INVESTIMENTO ................ 8
Business è responsabilità ....................................................................................... 8
Business e Compliance: due facce della stessa medaglia...................................... 9
La Compliance nei servizi di investimento: alcune scelte di campo...................... 9
RUBENS SANNA, PRESIDENTE COMMISSIONE COMPLIANCE AIBE – ASSOCIAZIONE BANCHE ESTERE IN
ITALIA, COMPLIANCE OFFICER BNP PARIBAS - LE SPECIFICITÀ DI COMPLIANCE DELLE BANCHE
ESTERE IN ITALIA ........................................................................................................... 10
AIDA MAISANO, DIRETTORE, ABIFORMAZIONE - LA CERTIFICAZIONE ABI DELLE CONOSCENZE E
ABILITÀ DI GESTIONE DELLA COMPLIANCE ........................................................................... 12
SECONDA SESSIONE - LE METODOLOGIE: VALUTARE IL

COMPLIANCE RISK .............................................................................................. 13
GIANFRANCO TORRIERO, DIRETTORE CENTRALE, RESPONSABILE AREA CENTRO STUDI E RICERCHE
ABI, CHAIRMAN DELLA SESSIONE - IL CONTRIBUTO DELLA FUNZIONE COMPLIANCE AL PROCESSO
ICAAP........................................................................................................................ 14
Funzione Compliance: quale ruolo oggi?............................................................ 14
I possibili contributi della Compliance all’ICAAP .............................................. 15
Alcune domande ................................................................................................... 16
RENATA TESIO, RESPONSABILE UFFICIO REPORTING, DIREZIONE CENTRALE COMPLIANCE INTESA
SANPAOLO - IL MODELLO DI COMPLIANCE RISK ASSESSMENT NELL’ESPERIENZA DI INTESA SANPAOLO
.................................................................................................................................. 17
La Compliance in Intesa Sanpaolo ...................................................................... 17
Resoconto-Compliance-in-Banks-2010 I
Modello di RiskAssessment................................................................................... 18
L’informativa agli organi sociali e ai comitati .................................................... 19
Focus sul rischio reputazionale – l’aderenza al Codice Etico ............................ 19
FERNANDO METELLI, PRESIDENTE AIFIRM – ASSOCIAZIONE ITALIANA FINANCIAL INDUSTRY RISK
MANAGER - INTERAZIONI ORGANIZZATIVE E FUNZIONALI TRA LE ATTIVITÀ DI RISK MANAGEMENT E DI
COMPLIANCE ................................................................................................................ 21
FABIO BOCCHINI, SENIOR MANAGER DELLA SERVICE LINE RISK & COMPLIANCE ACCENTURE -
COMPLIANCE RISK MANAGEMENT: APPROCCIO ALLA VALUTAZIONE DEL RISCHIO DI NON-CONFORMITÀ
.................................................................................................................................. 23
Contesto di riferimento......................................................................................... 23
Approccio al Compliance Risk Assessment.......................................................... 23
Considerazioni conclusive.................................................................................... 24
MARCO PIGLIACAMPO, REFERENTE AREA ANALISI E GESTIONE ABIFORMAZIONE E FEDERICO
MELONI, UFFICIO COORDINAMENTO COMPLIANCE FEDERCASSE - L’EVOLUZIONE DEL SERVIZIO ABICS
VERSO LA GESTIONE AZIENDALE DELLA COMPLIANCE: L’ESPERIENZA DI ABICS-CREDITO
COOPERATIVO............................................................................................................... 25
PAOLO POGLIAGHI, RESPONSABILE COMPLIANCE E RISCHI BCC CARUGATE - LA MISURAZIONE DEL
RISCHIO DI NON CONFORMITÀ FINALIZZATA ALL’ICAAP: L’ESPERIENZA DI UNA PICCOLA BANCA....... 28
TERZA SESSIONE - TEMI APERTI: COMPLIANCE & LEGAL................... 30

GRAZIELLA CAPELLINI, HEAD OF COMPLIANCE ITALY UNICREDIT GROUP - LA COMPLIANCE IN
UNICREDIT: EVOLUZIONE E NUOVE SFIDE ............................................................................ 31
ALESSANDRA PERRAZZELLI, HEAD OF INTERNATIONAL AND ANTITRUST AFFAIRS INTESA SANPAOLO -
IL PROGRAMMA DI COMPLIANCE ANTITRUST DI INTESA SANPAOLO ............................................ 33
LEANDRO POLIDORI, RESPONSABILE COMPLIANCE BANCA MPS - COMPLIANCE, LEGALE E CONTROLLI
INTERNI IN BANCA MONTE DEI PASCHI DI SIENA ................................................................... 35
Il Sistema dei Controlli Interni BMPS ................................................................. 35
Evoluzione delle Funzioni di Compliance e Legale ............................................. 36
Rapporti tra Compliance e Legale ....................................................................... 36
LUCA BONZANINI, RESPONSABILE AFFARI LEGALI E CONTENZIOSO UBI BANCA - RAPPORTI TRA
LEGALE E COMPLIANCE NEL GRUPPO UBI ........................................................................... 37
EDOARDO PRONELLO, RESPONSABILE FUNZIONE COMPLIANCE BANCA DEL PIEMONTE - LA
RIPARTIZIONE TRA COMPLIANCE E LEGALE DELLE ATTIVITÀ DI CONSULENZA E DI VALIDAZIONE DEI
PROCESSI...................................................................................................................... 38
Contesto normativo .............................................................................................. 38
La situazione in Banca del Piemonte ................................................................... 38
QUARTA SESSIONE - TEMI APERTI: COMPLIANCE, HR & AUDIT ........ 40
GIANCARLO DURANTE, DIRETTORE CENTRALE, RESPONSABILE AREA SINDACALE E DEL LAVORO ABI,
CHAIRMAN DELLA SESSIONE - LE POLITICHE RETRIBUTIVE AZIENDALI: IL CONTRIBUTO DELLA
COMPLIANCE ................................................................................................................ 41
CLAUDIA PASQUINI, RESPONSABILE SETTORE ANALISI E GESTIONE DEI RISCHI ABI - GLI ACCORDI DI
SERVIZIO TRA FUNZIONI INTERNAL AUDIT E COMPLIANCE ....................................................... 43
Resoconto-Compliance-in-Banks-2010 II
GIUSEPPE AQUARO, MEMBRO COMITATO PER IL SETTORE FINANZIARIO, AIIA – ASSOCIAZIONE
ITALIANA INTERNAL AUDITORS, RESPONSABILE AUDIT ON SITE, UNICREDIT GROUP - IL
COORDINAMENTO COMPLESSIVO DEL SISTEMA DEI CONTROLLI INTERNI IN BANCA........................ 45
CLAUDIO COLA, PRESIDENTE AICOM – ASSOCIAZIONE ITALIANA COMPLIANCE, RESPONSABILE
COMPLIANCE DEXIA - LA FUNZIONE COMPLIANCE E LA PLURALITÀ DEI SOGGETTI DEL SISTEMA DEI
CONTROLLI INTERNI: L’ORGANISMO DI VIGILANZA (D.LGS 231/2001) E LA FUNZIONE ANTIRICICLAGGIO
.................................................................................................................................. 47
SIMONE BARBIERI, FUNZIONE COMPLIANCE BARCLAYS BANK - I CONTROLLI DI COMPLIANCE A
DISTANZA..................................................................................................................... 49
ADALBERTO ALBERICI, PRESIDENTE COMITATO SCIENTIFICO COMPLIANCE ABI, ORDINARIO DI
ECONOMIA DEGLI INTERMEDIARI FINANZIARI UNIVERSITÀ DI MILANO - RIFLESSIONI SULLE
INTERRELAZIONI TRA HR E COMPLIANCE ............................................................................ 51
QUINTA SESSIONE - TEMI APERTI: LA COMPLIANCE SUI SERVIZI DI

INVESTIMENTO ..................................................................................................... 53
MASSIMO ROCCIA, RESPONSABILE AREA BUSINESS ABI, CHAIRMAN DELLA SESSIONE - IL RUOLO
DELLA FUNZIONE COMPLIANCE NEI SERVIZI DI INVESTIMENTO ................................................. 54
CARLO APPETITI, HEAD OF COMPLIANCE ITALY DEUTSCHE BANK - IL COMPLIANCE PLAN E IL
RAPPORTO CON LE ALTRE FUNZIONI DELLA BANCA................................................................. 56
La Compliance nel Gruppo Deutsche Bank (DB). Principi globali ed
organizzazione locale ........................................................................................... 56
La pianificazione delle attività della Compliance................................................ 56
ALESSANDRO PAPANIAROS, RESPONSABILE COMPLIANCE BANCO POPOLARE - IL REGIME DEI
CONFLITTI DI INTERESSE E DEGLI INDUCEMENT DAL PUNTO DI VISTA DELLA FUNZIONE COMPLIANCE . 58
Conflitti di Interesse ............................................................................................. 58
Inducement............................................................................................................ 59
GIULIO GIORGINI, SENIOR PARTNER BEE TEAM - METODOLOGIE ED ESPERIENZE A SUPPORTO
DELL’ATTIVITÀ DI COMPLIANCE NEI SERVIZI DI INVESTIMENTO ................................................. 60
Il Sistema dei controlli della Funzione Compliance ............................................ 60
Il presidio della documentazione come leva del controllo (il caso della
contrattualistica MiFID) ...................................................................................... 60
MASSIMILIANO PASSARO, RESPONSABILE COMPLIANCE BANCOPOSTA POSTE ITALIANE - LA GESTIONE
DEL PROCESSO DI COMPLIANCE APPLICATO AI SERVIZI DI INVESTIMENTO ..................................... 62
DAVID SABATINI, RESPONSABILE SETTORE FINANZA ABI - L’EVOLUZIONE DEL RUOLO DELLA
FUNZIONE COMPLIANCE NEI SERVIZI DI INVESTIMENTO........................................................... 64
ALLEGATI ................................................................................................................ 67
RIEPILOGO DELLA NORMATIVA DI RIFERIMENTO CITATA NEL CONVEGNO .................................... 67
LINK ........................................................................................................................... 69
Resoconto-Compliance-in-Banks-2010 III
Informazioni preliminari
Cos’è ComplianceNet?
ComplianceNet http://www.compliancenet.it/ è un sito no profit che si occupa della
divulgazione delle tematiche legate alla compliance, al sistema dei controlli, alla
privacy.
Per altre informazioni: cristina.cellucci@compliancenet.it
Chi è l’autore di questo documento?
Agatino Grillo si occupa di compliance, internal audit e sistemi EDP.

CISA, CISM, CISSP è stato membro del comitato direttivo di ISACA
Roma e del comitato direttivo di AIEA.
Collabora con http://www.compliancenet.it/
• Sito personale: http://www.agatinogrillo.it/

• Email: agatino.grillo@gmail.com
• LinkEdin: http://www.linkedin.com/in/agatinogrillo
• Twitter : http://twitter.com/agagri
• FaceBook : http://it-it.facebook.com/people/Agatino-Grillo/100000161768295
Resoconto-Compliance-in-Banks-2010 IV
Cos’è la Compliance Community di ABIFormazione?
ABI Formazione, in concomitanza con il convegno “Compliance in Banks 2010”, ha attivato una
community online http://www.compliance-community.it/, con la finalità di agevolare le attività di
scambio e confronto tra tutti coloro che si occupano di conformità bancaria e finanziaria; l’accesso
a http://www.compliance-community.it/ è riservato a coloro che partecipano o hanno partecipato
alle attività ABI e ABIFormazione in tema di compliance; nella Community saranno
progressivamente pubblicati i documenti di ABI e di altre fonti rilevanti che siano ritenuti di
particolare interesse per la Funzione Compliance.
Una copia del presente documento è disponibile in http://www.compliance-community.it/.
Le slide degli interventi dei relatori ed altro materiale documentale ed audiovisivo relativo a
“Compliance in Banks 2010” sono disponibili in http://www.compliance-community.it/.
Resoconto-Compliance-in-Banks-2010 V
http://www.compliance-community.it/pages/la-community/
La Community
Il luogo di tutti coloro che hanno a cuore la compliance in banca.
La Compliance Community nasce con la finalità di agevolare le attività di scambio e confronto
tra tutti coloro che si occupano di conformità bancaria e finanziaria.
In particolare, è riservata a coloro che partecipano o hanno partecipato alle attività ABI e
ABIFormazione in tema di compliance: Convegno annuale, Percorso di formazione, Workshop e
seminari, servizio ABICS.
Nella Community saranno progressivamente pubblicati i documenti di ABI e di altre
fonti rilevanti che siano ritenuti di particolare interesse per la Funzione Compliance. Vi
saranno raccolti, inoltre, i materiali prodotti negli eventi, convegni e workshop in tema di
compliance.
Ma il cuore della comunità è rappresentato dalle attività degli utenti, ai quali affidiamo un
"luogo" dove possono "incontrarsi" per proporre temi, partecipare a discussioni, commentare le
proposte altrui, rendere disponibili documenti.
Tutto questo on line.
Prevediamo, inoltre, di facilitare l'organizzazione di un calendario di incontri in
presenza, finalizzati ad un confronto strutturato, eventualmente agevolato da esperti, sulle
tematiche che i partecipanti alla Compliance Community avrannno indicato.
Se sei un utente ABICS o hai partecipato ad un evento ABI e ABIFormazione sulla compliance,
dovresti aver ricevuto un invito via e-mail a registrarti alla community. In ogni caso, puoi fare
richiesta di registrazione con l'apposito modulo on line.
Il modulo di registrazione appare cliccando su ogni contenuto riservato agli utenti loggati.
Resoconto-Compliance-in-Banks-2010 VI
Prefazione
Quando il gioco si fa duro
È con grande piacere che scrivo questa breve introduzione al “Resoconto” del convegno
“Compliance in Banks 2010” che si è tenuto a Roma l’11 e 12 novembre 2010 organizzato da
ABI, ABIFormazione e ABIEventi.
Vorrei in primis a ringraziare gli organizzatori dell’evento ed in particolare Aida Maisano e Marco
Pigliacampo che mi hanno invitata al convegno e che ci hanno aiutati a redigere il resoconto.
Un ringraziamento sentito a tutti i relatori del convegno per i loro interventi tutti interessanti e
stimolanti; grazie infine a tutti i partecipanti.
Passando ai temi ed alle suggestioni delle due giornate (un bellissimo alternarsi di pioggia e sole nel
cuore di Roma sempre magica) basta sfogliare l’indice di questo volumetto per rendersi conto di
quanto la Compliance sia ormai al centro della governance bancaria e che, passato ormai la fase di
start-up della nuova funzione di conformità, l’attenzione del legislatore, della vigilanza, del vertice
aziendale e della clientela sia ormai puntata costantemente sul Compliance Officer che mi pare
assuma sempre più la fisionomia di un “Caronte” aziendale che deve traghettare la barca (la banca
…) tra due rive (regole e business) tra cui scorrono acque sempre impetuose ed agitate.
Al di là delle rievocazioni mitologiche quel che è emerso dalla 2 giorni di “Compliance in Banks
2010” è che, a mio avviso, per la nostra funzione è ormai finito il periodo delle riflessioni
metodologiche (direi quasi filosofiche …) ed è giunto il momento di dimostrare in nostro valore nel
gioco di squadra delle organizzazioni in cui operiamo.
Ho sentito molti lamentarsi della iper legislazione normativa, delle incongruenze tra le norme, delle
invasioni di campo tra authority: ebbene dobbiamo metterci testa che le cose non cambieranno ed
anzi il gioco si farà sempre più duro.
Proprio oggi, 17 novembre 2010, mentre scrivo queste brevi note Banca d’Italia ha dichiarato in
audizione alla Camera dei Deputati che “i prossimi anni vedranno una produzione normativa
intensa (…) in quanto è probabile che si aprirà una nuova fase di innovazione finanziaria, con
nuovi prodotti e intermediari creati per minimizzare l’onere delle nuove norme e trasferire attività di
intermediazione in aree non regolamentate o soggette a una vigilanza meno stringente. Sarà anche
importante assicurare che le nuove regole siano effettivamente attuate in modo rigoroso in tutte
le giurisdizioni, per evitare nuovi fenomeni di arbitraggio regolamentare”2.
Dunque il gioco si fa duro e anche noi dobbiamo giocare duro.
Per tali motivi momenti di confronto come “Compliance in Banks” sono fondamentali perché
arricchiscono la nostra professionalità e dunque rendono più saldo il nostro ruolo in azienda.
Per tali motivi, ancora, iniziative come la Compliance Community http://www.compliance-
community.it/ di ABIFormazione sono non solo necessarie ma indispensabili.
Per tali motivi, infine, la diffusione in azienda della cultura delle regole assume valenza strategica e
su questo penso che anche noi di http://www.compliancenet.it/ nel nostro piccolo abbiamo e stiamo
giocando un ruolo importante.
Chiudo anticipando una nuova iniziativa di http://www.compliancenet.it/.
Il primo dicembre 2010 sarà online il primo numero di “Compliance normativa”
http://www.compliance-normativa.it/ una rivista online (al momento aperiodica) che nasce con
2
Andrea Enria, Capo del Servizio Normativa e politiche di vigilanza di Banca d’Italia, “Lo stato del sistema bancario
italiano e le prospettive per l’attività normativa”, audizione alla la Camera dei Deputati, 17 novembre 2010, disponibile
in http://www.bancaditalia.it/interventi/altri_int/2010/Enria-171110.pdf e http://www.compliancenet.it/documenti/enria-
171110.epub
Resoconto-Compliance-in-Banks-2010 1
l’obiettivo di approfondire i temi della conformità e delle regole in azienda. Chiedo a tutti di
seguirci, con pazienza ed attenzione, anche in questa nuova avventura. Noi da parte nostra
garantiamo l’impegno e la passione che mettiamo in tutte le nostre attività di divulgazione sul tema
della Compliance.
Grazie a tutti.
Cristina Cellucci
Prima sessione - La compliance dopo la
crisi: ripristinare la fiducia sui mercati
finanziari
11 novembre 2010, ore: 09.30 – 13.00
Interventi:
• Giovanni Sabatini, Direttore Generale, ABI, chairman della sessione

• Kristin Arnar Stefansson, Head of Compliance, ISLANDSBANKI - Le lezioni per la
funzione compliance giunte dalla crisi finanziaria
• Luigi Spada, Responsabile Ufficio Vigilanza e Albo Intermediari e Agenti di cambio
CONSOB – Le attese di Consob circa la compliance sui servizi di investimento
• Rubens Sanna, Presidente Commissione Compliance AIBE – Associazione Banche Estere
in Italia, Compliance Officer BNP PARIBAS - Le specificità di compliance delle banche
estere in Italia
• Aida Maisano, Direttore, ABIFormazione - La certificazione ABI delle conoscenze e abilità
di gestione della compliance
Di seguito la sintesi degli interventi.
Giovanni Sabatini – Introduzione ai lavori
L’intervento del dottor Sabatini, Direttore Generale dell’Associazione Bancaria Italiana, è stato
preceduto da un breve video introduttivo (disponibile liberamente nella Compliance Community di
ABIFormazione in http://www.compliance-community.it/public/videos/000/0007.flv) che ha
sintetizzato i “termini” fondamentali della disciplina della compliance: conformità, complessità,
legalità, reputazione, fiducia. A volte non si seguono le regole ma, alla fine, questo non è un
vantaggio. La compliance “conviene” perché permettere di accrescere la fiducia del cliente.
Sabatini, dopo aver ringraziato i partecipanti all’evento ed in particolare i rappresentanti delle

istituzioni, ha delineato una breve sintesi dei temi previsti nel convegno e tracciato un primo
bilancio delle precedenti edizioni di “Compliance in Banks”.
Questa è la sesta edizione di “Compliance in Banks”, un evento che ha anticipato ed
accompagnato nel tempo, ancor prima dell’emanazione del documento del 2005 di Basilea
(Compliance and the compliance function in banks http://www.bis.org/publ/bcbs103.pdf) il
dibattito nel mondo bancario sul tema della conformità ed eticità dei comportamenti.
La comunità virtuale della compliance di ABI

È stata attivata una community online http://www.compliance-community.it/, gestita da ABI
Formazione, quale luogo virtuale di tutti coloro che hanno a cuore la compliance in banca e con la
finalità di agevolare le attività di scambio e confronto tra tutti coloro che si occupano di conformità
bancaria e finanziaria; l’accesso a www.compliance-community.it è riservato a coloro che
partecipano o hanno partecipato alle attività ABI e ABIFormazione in tema di compliance; nella
Community saranno progressivamente pubblicati i documenti di ABI e di altre fonti rilevanti che
siano ritenuti di particolare interesse per la Funzione Compliance. Vi saranno raccolti, inoltre, i
materiali prodotti negli eventi, convegni e workshop in tema di compliance; “il cuore della
comunità”, ha sottolineato Sabatini, “è rappresentato dalle attività degli utenti, ai quali affidiamo
un luogo dove possono incontrarsi per proporre temi, partecipare a discussioni, commentare le
proposte altrui, rendere disponibili documenti; tutto questo on line”.
Il dibattito sulla Compliance

Negli anni passati il dibattito sulla funzione di Compliance in banca ha attraversato 3 fasi.
1) Fase nascente: nella quale è stato posto sul tavolo il tema (nuovo) della necessità di
immaginare, progettare e realizzare una nuova funzione organizzativa dedicata alla
conformità contestualmente ad una trasformazione radicale del quadro normativo che
assumeva, e sempre più ha assunto nel tempo, caratteri di estrema complessità e
interconnessione.
2) Fase implementativa: nella quale i presidi di verifica di conformità sono stati messi in
opera parallelamente all’emanazione della normativa di secondo livello (Banca d’Italia e
Consob 2007, ISVAP nel 2008); si è trattato, ha osservato Sabatini, della fase più
complicata ed onerosa per gli intermediari anche perché mancavano modelli di riferimento e
best practice significativi ed adatti al modello italiano; proprio per tale motivo il lavoro di
ABI, spesso in anticipo rispetto alle deliberazioni delle autorità preposte, è stato prezioso e
di valore; è la fase in cui la formazione della futura “classe dirigente” della compliance
grazie ad ABIFormazione si è rivelato preziosa con oltre 500 colleghi formati dal 2006 ad
oggi. È stata la fase di partenza di ABICS, il sistema informativo a supporto della funzione
di Compliance, con il quale ABI ha realizzato uno standard di sistema de facto grazie alla
larghissima adesione ricevuta dagli intermediari.
3) Fase di sistematizzazione: è la fase attuale in cui i modelli e metodi si sono consolidati e
servono altresì strumenti per gestire in modo sistematico le attività di conformità in banca:
l’enfasi in questo momento è su come instaurare una collaborazione fattiva tra la funzione di
Compliance e le altre funzioni aziendali, su come sfruttare i sistemi di automazione IT, sul
modo migliore di comunicare il senso vero della “missione compliance” a tutta la banca, su
come realmente si può proteggere da un lato la reputazione della banca e dall’altro
guadagnare una maggiore fiducia da parte del cliente. Oggi anche l’offerta di ABI si è
conseguentemente raffinata e specializzata: ABICS (come si vedrà nel seguito del
convegno) è diventato un sistema altamente personalizzabile e gestibile in house; la
formazione sulla compliance è diventato un vero e proprio percorso di certificazione non
solo delle capacità ma anche delle abilità (anche su questo tema è previsto un
approfondimento nel corso del convegno); la neonata comunità virtuale sulla compliance
non è un semplice allinearsi ai progressi tecnologici più innovativi (peraltro necessario) ma
anche il tentativo, sfruttando il web partecipativo 2.0, di realizzare economia di scala e
scopo grazie alla condivisione delle conoscenze.
Compliance in Banks 2010

Passando ai temi su cui si articola l’edizione 2010 del convegno, Sabatini ha esordito ricordando
che il titolo del convegno è “La sfida di integrazione dei controlli interni”; si tratta dunque del
tema, fondamentale, del raccordo tra i processi di Compliance e gli altri processi in banca.
È innegabile, ha osservato Sabatini, che questo è un tema di governante aziendale: serve dunque
un approccio armonizzato di GRC, Governance, Risk e Compliance, dove le diverse componenti
non possono che essere tenti insieme da una cultura aziendale delle regole e della compliance basata
su una gestione dei rischi capace di preservare il valore generato dal business.
È centrale in tale progetto, ha ribadito Sabatini, il ruolo degli organi di governo aziendale, ruolo
ribadito recentemente a livello comunitario dal Committee of European Banking Supervisors
(CEBS http://www.c-ebs.org/ ) nel suo “consultation paper” sulla Internal Governance
http://www.c-ebs.org/documents/Publications/Consultation-papers/2010/CP44/CP44.aspx.
Un'efficace gestione del processo di compliance è tanto più necessario in un momento di turbolenza
dei mercati e di crisi economica perché permette di minimizzare i costi grazie all’individuazione di
processi sinergici tra le varie funzioni di controllo: in questo modo si fanno economie di scopo e di
scala; l'interoperabilità delle funzioni di governo e controllo non solo evita duplicazioni e quindi
inutili “formalismi” (sempre stigmatizzati dalle autorità di vigilanza) ma riducendo i costi permette
una migliore sostenibilità.
Sabatini ha infine sottolineato alcuni aspetti dell’interazione tra Compliance e Risk management
(logiche comuni nelle specificità dei ruoli), Internal Audit (necessario un accordo di servizio,
aspetto che sarà trattato più avanti nel convegno), Risorse Umane, Legale, Commerciale.
Per quanto riguarda le Risorse Umane è fondamentale il tema dei sistemi retributivi e di
incentivazione (inducements); anche qui sono intervenuti i regulators europei (ad esempio il CESR
con il documento in consultazione “Inducements: Good and poor practices” del 19 aprile 2010, in
http://www.cesr-eu.org/data/document/10_296.pdf) forse però con un approccio troppo intrusivo
rispetto alle linee guida di Basilea 2.
In conclusione del suo intervento, Sabatini ha auspicato una semplificazione del quadro normativo:
troppe autorità e regulator intervengono su stesse discipline senza, apparentemente, nessuna
coordinazione; il quadro normativo è assai complesso e stratificato già di per sé; le banche chiedono
regole chiare e coerenti.
Kristin Arnar Stefansson, Head of Compliance,
Islandsbanki - Le lezioni per la funzione compliance giunte
dalla crisi finanziaria
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/95/ - solo utenti registrati)
L’intervento di Stefansson (che ha premesso essere una sua personale visione dei fatti accaduti e
non una presa di pozione ufficiale della banca IslandsBank http://www.islandsbanki.is/english/ per
cui lavora) ha ripercorso i drammatici eventi della crisi finanziaria in Islanda nel 2008.
In sintesi a seguito del crollo di Lehman Brothers, le tre principali banche nazionali, fortemente
esposte verso l’estero, furono nazionalizzate e poste sotto il controllo della FSA la Financial
Supervisory Authority http://en.wikipedia.org/wiki/Financial_Supervisory_Authority_(Iceland)
islandese.
La crisi finanziaria internazionale, ha osservato Stefansson, ha avuto effetti particolarmente
devastanti in Islanda
http://en.wikipedia.org/wiki/2008%E2%80%932010_Icelandic_financial_crisis perché le autorità di
vigilanza ed i sistemi di controllo interni degli intermediari erano troppo deboli pur in presenza di
un mercato finanziario assai complesso e che cresceva impetuosamente.
Il management bancario, inoltre considerava la compliance come un “necessary evil” (male
necessario) cioè un semplice costo senza nessun rapporto con il business.
I motivi della virulenza della crisi in Islanda, che ha quasi portato l’intero paese alla bancarotta,
sono ben spiegati in uno studio di Kaarlo Jännäri, Report on Banking Regulation and Supervision in
Iceland: past, present and future, 30 marzo 2009
http://eng.forsaetisraduneyti.is/media/frettir/KaarloJannari__2009.pdf e si devono in sintesi nella
(sfortunata) combinazione di più fattori:
• banche impreparate (bad banking);
• politiche insufficienti (bad policies);
• sfortuna (bad luck).
Il parlamento islandese ha anche istituito una commissione speciale (Special Investigative

Commission – SIC http://sic.althingi.is/) per investigare le vere cause della crisi che sono state
individuate anche in significative debolezze da parte delle funzioni di Compliance delle tre banche
sotto esame, quali:
• mancanza di informazioni corrette per svolgere il proprio lavoro;
• poco coinvolgimento nelle decisioni rilevanti del management;
• inadeguata autorità ed indipendenza;
• incapacità di limitare l’eccessivo orientamento al business della struttura organizzativa.
Tuttavia, ha osservato Stefansson, la crisi ci ha dato anche degli insegnamenti significativi:

• occorre rafforzare l’indipendenza e la professionalità delle parti coinvolte nel controllo e
supervisone;
• si deve aumentare la cultura delle regole e della conformità negli intermediari;
• è necessario che la Financial Supervisory Authority diventi una sorta di “back-up” delle
funzioni di controllo quando questa funzione non è capace di svolgere il proprio compito.
Ciò premesso Stefansson si è poi chiesto se fosse opportuno o meno che le “lezioni apprese” fossero
tradotte in norme o se questo rischiasse di causare una regolamentazione eccessiva.
Stefansson ha poi analizzato come la direttiva MiFID fosse stata implementata in Islanda
illustrandone anche i punti di debolezza e concludendo con una rapida analisi dello status della
Compliance nelle banche islandesi anche a seguito degli insegnamenti della recente crisi.
In sintesi le banche hanno rivalutato il ruolo delle funzioni di compliance, risk e internal audit
migliorandone i processi, l’indipendenza e l’interoperabilità.
Luigi Spada, Responsabile Ufficio Vigilanza e Albo
Intermediari e Agenti di cambio CONSOB – Le attese di
Consob circa la compliance sui servizi di investimento
Il dottor Spada ha esordito dicendo che il suo intervento sarebbe stato dedicato a come la
Compliance crea valore per l’impresa. Guai a considerare la funzione di Compliance solo come “un
costo che cammina”: al contrario si tratta di una componente fondamentale del governo d’impresa
perché gestendo il rischio reputazionale e legale contribuisce a far crescere l’impresa. Questi
concetti, ha osservato Spada, sono ormai condivisi tra i Compliance Officer e tra coloro che a vario
titolo fanno parte del più ampio Sistema dei Controlli; meno coscienza di ciò si ha, purtroppo, nei
vertici apicali e nei componenti dei Consigli di Amministrazione. Spada ha quindi rivolto un invito
ad ABI a coinvolgere in iniziative di compliance anche l’alta direzione delle banche socie.
L’intervento del dottor Spada si è articolato in tre parti:
1. business è responsabilità;
2. business e Compliance: due facce della stessa medaglia;
3. la Compliance nei servizi di investimento: alcune scelte di campo.
Business è responsabilità
Il mercato finanziario, ha detto Spada, è come un fragile ingranaggio che permette di creare valore
attraverso la “trasmissione” tra i diversi settori ed attori di mercato.
Dobbiamo però distinguere tra l’intermediazione bancaria che attraverso l’esercizio del credito fa
raccolta e trasformazione del risparmio ed i servizi di investimento (molto più complessi e delicati)
che fanno incontrare la disponibilità del cliente con i prodotti finanziari disponibili: in quest’ultimo
caso si tratta di una diretta relazione tra investitore e servizio di investimento (o prodotto) basato
su un mandato, termine che per sua natura rimanda non ad una semplice vendita ma ad un
rapporto di fiducia tra le parti che richiede di agire secondo l’interesse del cliente.
I servizi di investimento dunque sono una sorta di filtro che, prendendo il cliente per mano, lo
guida tra le possibili alternative fino ad accompagnarlo alla scelta più corretta per il suo profilo di
rischio.
Senza questo filtro, che è la vera consulenza che si offre la cliente, non c’è motivo di richiedere una
contropartita economica: “no filtro, no money” ha ben sintetizzato Spada ricordando che proprio
questo meccanismo spiega la retrocessione (a volte significativa) di commissione al distributore del
servizio finanziario (questo non tenendo conto di eventuali aspetti patologici o di vera e proprie
prepotenze quando il distributore è la capogruppo …).
Business e Compliance: due facce della stessa medaglia
Il mondo dei servizi di investimento si basa, come detto, sul rapporto di fiducia tra le parti il che
richiede di agire secondo l’interesse del cliente. Business e compliance sono dunque due angoli
visuali dello stesso mondo; ciò richiede all’intermediario di:
• conoscere i prodotti finanziari;

• conoscere i clienti;
• orientare gli investitori.
Attenzione alle letture “riduzioniste” ha sottolineato Spada che spesso rischiano di trasformarsi in
letture “negazioniste”: chi cerca di dimostrare di fare solo execution only per sfuggire al
responsabilità e agli adempimenti in realtà mina il suo ruolo nel mercato “poca responsabilità
significa poco business” ha ben sintetizzato Spada.
Se è vero che le scelte strategiche dell’intermediario sono rimesse all’autonomia imprenditoriale

degli operatori tuttavia esse hanno un’immediata e diretta rilevanza sul “rischio di
compliance”dell’impresa e di conseguenza influiscono sul livello di rischio di vigilanza da gestire
da parte dell’Autorità.
Molto importante a riguardo conoscere quanto prevede la delibera CONSOB n. 17297 del 2010
http://www.consob.it/main/documenti/Regolamentazione/normativa/reg17297.htm e quanto
indicato nelle “Linee guida interassociative per l’applicazione delle misure Consob di livello 3
in tema di prodotti finanziari illiquidi” realizzate da ABI, Assosim e Federcasse
http://www.creditocooperativo.it/archivio/50554.PDF e validate da CONSOB
http://www.consob.it/main/documenti/news/2009/anno_xv_n-
32_10_agosto_2009.htm?hkeywords=&docid=0&page=0&hits=1#3 .
La Compliance nei servizi di investimento: alcune scelte di campo

Nella terza parte del suo intervento Spada ha esaminato alcune tipiche “aree grigie” rilevate spesso
durante le ispezioni CONSOB e sulle quali è opportuno un “ripensamento”:
• budget fondati su esigenze dell’intermediario (ad es., esigenze di liquidità della banca) e non
sui bisogni della clientela;
• non valorizzazione del data-base sul profilo-clienti per adeguatezza;
• campagne prodotto;
• incentivi al personale su criteri quantitativi di prodotto;
• pricing dei propri servizi: consulenza “gratuita” e retrocessione di commissioni.
Ad esempio è necessario allineare gli interessi ed evitare il conflitto di interessi: pricing, budget e
politiche incentivanti basati su volumi e prodotti possono predisporre alla violazione delle regole
di condotta.
Al contrario un migliore allineamento agli interessi del cliente porta a minori conflitti e a minori
rischi di condotte non conformi, dunque a una stabilizzazione dei proventi.
A riguardo, e a coclusione del suo intervento, Spada ha citato Peter F. Drucker
http://it.wikipedia.org/wiki/Peter_Drucker : “La qualità in un prodotto o servizio non è ciò che il
fornitore vi mette. È ciò che il cliente ne ricava e per cui è disposto a pagare. Un prodotto non è di
qualità perché è difficile da fare e costa molti soldi, come i produttori tipicamente credono. Questa è
incompetenza. I clienti pagano solo per ciò che è utile per loro e dà loro valore. Nient'altro
costituisce la qualità”.
Rubens Sanna, Presidente Commissione Compliance AIBE
– Associazione Banche Estere in Italia, Compliance Officer
BNP PARIBAS - Le specificità di compliance delle banche
estere in Italia
“Le banche estere in Italia sono una realtà composita e variegata” ha esordito il dottor Sanna, di
AIBE http://www.banchestere.it/.
Nella definizione di banche estere si possono ricomprendere, infatti, varie categorie di attori molto
attivi nel mercato italiano:
• succursali di banche comunitarie;

• succursali di banche extra- comunitarie;
• filiazioni di banche comunitarie ed extra-comunitarie;
• uffici di rappresentanza;
• banche comunitarie ed extra-comunitarie che operano in “libera prestazione di servizi”.
La relazione si è concentrata, in particolare, sulle succursali di banche comunitarie: entità di

diritto estero la cui sede principale è in un paese dell’Unione Europea.
I dati sono:
• 72 succursali insediate (dati 2009)

• il trend dell’ultimo decennio è crescente 35 nel 2000, 47 nel 2005
• 221 sportelli (dati 2009)
• forte incremento nella seconda metà del decennio (59 nel 2000, 80 nel 2005)
• prevalentemente Corporate & Investment Banks
• pochissimi attori operano nel Retail Banking
• la presenza sul territorio è concentrata su Milano ed in misura minore Roma, poco
significativa nel resto dell’Italia
• si sta progressivamente passando da un modello organizzativo “territoriale” ad un modello
per “aree di business”.
Il contesto normativo di riferimento per le succursali di banche comunitarie è in apparenza è molto

simile a quello delle banche italiane; comprendono T.U.B., Istruzioni di vigilanza, T.U.F. nonché la
regolamentazione trasversale quale antiriclaggio/antiterrorismo, Privacy, d.lgs. 231/01.
Esistono tuttavia delle specificità; la prima è il principio dell’Home Country Control
http://it.wikipedia.org/wiki/Home_country_control (o regola del paese di origine) una norma del
diritto comunitario, riferita ad un mercato comune di un bene o servizio, che indica quale
legislazione di uno stato membro si deve applicare. In base a tale principio le succursali di banche
estere (in particolare le Comunitarie) sono sottoposte ad un regime di “vigilanza limitata” sia per
ciò che concerne la vigilanza regolamentare sia per ciò che concerne la vigilanza ispettiva.
La procedura autorizzativa è molto snella, in particolare, per i servizi ammessi al mutuo
riconoscimento; i regolatori locali dettano regole organizzative e patrimoniali minime; il sistema dei
controlli interni è definito dal regolatore del paese d’origine e vi è una limitata potestà ispettiva
locale.
Viceversa ha fatto notare Sanna l’Host Country control rimane un caposaldo per:
• la tutela degli interessi della clientela;

• le “regole di condotta”;
• la protezione dell’investitore / correntista;
• Centrale dei Rischi;
• assunzione di partecipazioni rilevanti;
• Responsabilità amministrativa;
• Privacy;
• abusi di mercato;
• Antiriciclaggio e finanziamento del terrorismo.
In questi casi (ed altri) le succursali di banche comunitarie sono parificate a quelle italiane senza
alcuna distinzione.
Ciò significa che la funzione di Compliance anche nelle banche estere è una funzione strategica che
opera in un contesto di ulteriore complessità legata al Boundary-less Business Model cioè ad un
modello di business senza confini geografici o normativi e dunque legato alla
internazionalizzazione delle attività da verificare.
La struttura e l’organizzazione della funzione di Compliance nelle succursali di banche estere

dipendono anzitutto da:
• dimensione della succursale;

• mercati e prodotti di riferimento;
• linee di business presenti localmente;
• tipologia di clientela target;
• livello di integrazione con la casa madre.
Ad un più alto livello di ciascuna delle dimensioni sopraelencate si associa una funzione di
compliance locale più strutturata, dimensionata ed autonoma.
La funzione di Compliance nelle succursali di banche estere generalmente agisce su due piani:
1. ex ante (approvazione di operazioni, approvazione di relazioni, validazione nuovi prodotti /

attività, training del personale, pareri interpretativi, attività consulenziale, approvazione di
procedure, contribuzione alla definizione di processi);
2. ex post: controlli di 2°livello, risk assessment, risk monitoring, revisioni periodiche.
La particolarità è che si hanno come riferimento relazioni, processi, business, attività che possono
essere svolti solo in parte in Italia.
In conclusione del suo intervento Sanna ha parlato delle sfide per la funzione Compliance delle
banche estere; sfide che nascono dall’ampliamento dell’offerta di prodotti e servizi offerti, dalla
ridefinizione dei target di clientela, dal contesto normativo e regolamentare principle-based e
continuamente in evoluzione.
Per affrontare queste sfide è fondamentale il maggiore coinvolgimento ed utilizzo delle strutture
associative.
Aida Maisano, Direttore, ABIFormazione - La
certificazione ABI delle conoscenze e abilità di gestione
della compliance
La dottoressa Maisano ha presentato con passione il nuovo progetto di certificazione ABI delle
competenze professionali di gestione della compliance bancaria attraverso il quale si attesta e
riconosce il possesso delle conoscenze, delle abilità e delle competenze di coloro che in banca
operano nella funzione o nel processo di compliance.
Il progetto ha preso avvio dal successo ottenuto con il percorso professionalizzante per la
compliance in banca e dall’esperienza nei progetti internazionali di certificazione sviluppati da
ABIFormazione all’interno di EBTN Asbl, http://www.ebtn.eu associazione no profit degli istituti
europei di formazione bancaria e finanziaria.
L’iniziativa si è focalizzata sulla mappa delle conoscenze, abilità e competenze, sia
metodologiche sia di ruolo, relative alla gestione della compliance bancaria, così come definita con
la collaborazione di un gruppo di esperti bancari e validata a livello europeo nel progetto
CERTIFIED (CERTIfication & Accreditation System for FInancial Services Sector EDucation and
Training http://www.certifiedebtn.eu/), sostenuto e finanziato dalla Commissione UE.
Maisano ha poi ricordato la provenienza degli “studenti” della prima sessione di certificazione ABI
in Compliance Management del 16 giugno 2010:
• 21% legale/normativa
• 34% responsabili compliance
• 4% rischi
• 41% addetti compliance
I processo di certificazione sulla Compliance di ABIFormazione si compone di due parti:
1. la prima è finalizzata alla verifica delle conoscenze in materia di compliance, mediante un

test a scelta multipla;
2. la seconda parte è finalizzata a testare le abilità e competenze di gestione del rischio di
compliance mediante la soluzione di un case study.
Dall'anno prossimo, ha annunciato Maisano, avranno la possibilità di accedere alle sessioni di

certificazione anche i compliance officers che non hanno partecipato ai corsi di ABIFormazione ma
hanno sviluppato le proprie competenze in azienda.
.
Seconda sessione - Le metodologie:
valutare il compliance risk
11 novembre 2010, ore: 14.00 – 16.15
Interventi:
• Gianfranco Torriero, Direttore Centrale, Responsabile Area Centro Studi e Ricerche ABI,
Chairman della sessione - Il contributo della Funzione Compliance al processo ICAAP
• Renata Tesio, Responsabile Ufficio Reporting, Direzione Centrale Compliance Intesa
Sanpaolo - Il modello di compliance risk assessment nell’esperienza di Intesa Sanpaolo
• Fernando Metelli, Presidente AIFIRM – Associazione Italiana Financial Industry Risk
Manager - Interazioni organizzative e funzionali tra le attività di Risk Management e di
Compliance
• Fabio Bocchini, Senior Manager della Service Line Risk & Compliance Accenture -
Compliance Risk Management: approccio alla valutazione del rischio di non conformità
• Marco Pigliacampo, Referente Area Analisi e Gestione ABIFormazione e Federico
Meloni, Ufficio Coordinamento Compliance Federcasse - l’evoluzione del servizio ABICS
verso la gestione aziendale della compliance: l’esperienza di ABICS-Credito Cooperativo
• Paolo Pogliaghi, Responsabile Compliance e Rischi Bcc Carugate - la misurazione del
Rischio di non conformità finalizzata all’ICAAP: l’esperienza di una piccola Banca.
Gianfranco Torriero, Direttore Centrale, Responsabile
Area Centro Studi e Ricerche ABI, Chairman della sessione
- Il contributo della Funzione Compliance al processo
ICAAP
Il dottor Torriero ha condotto, in qualità di chairman, la seconda sessione del convegno

“Compliance in Banks 2010”, sessione dedicata agli aspetti metodologici della gestione del rischio
di compliance.
Dopo aver presentato e ringraziato i relatori, Torriero ha svolto un breve intervento dedicato al
contributo della Funzione Compliance all’Internal Capital Adequacy Assessment Process (ICAAP).
La relazione del dottor Torriero si è articolata in 3 parti:
1. Funzione Compliance: quale ruolo oggi?

2. I possibili contributi della Compliance all’ICAAP.
3. Alcune domande.
Funzione Compliance: quale ruolo oggi?

Torriero ha ricordato che nel 2007 con l’istituzione nelle banche della Funzione di Compliance (FC)
si è completato l’assetto del Sistema dei Controlli Interni (SCI) in banca che la vigilanza aveva già
anticipato ed ipotizzato a cominciare dal 1998.
Lo SCI si articola in 3 livelli di controllo:
1. di linea, preventivi (primo livello);

2. sulla gestione dei rischi, preventivi (secondo livello);
3. di revisione interna, a posteriori (terzo livello).
Come è noto, Banca d’Italia colloca la funzione di Compliance (ed il Risk Management) tra i
controlli preventivi di 2° livello sulla gestione dei rischi assegnando ad essa compiti e responsabilità
ben specifici.
Sono però possibili, ha osservato Torriero, diverse implementazioni pratiche a fronte dei principi
guida indicati dalla vigilanza.
Una prima ipotesi realizzativa prevede di strutturare la Compliance come funzione organizzativa
ben specifica e distinta a connotato più legale e di controllo operativo; in questa ipotesi la funzione
di Compliance non sempre giunge o contribuisce ad una qualche valutazione/misurazione
dell’esposizione ai rischi legali e reputazionali. In questo caso è, prevalentemente, il Risk
management che presidia la misurazione dell’esposizione ai rischi legali, in quanto facenti parte dei
rischi operativi e sebbene in aumento sono per ora ancora poche le interrelazioni organizzative,
interscambi e collaborazioni con la funzione di Compliance.
Una seconda ipotesi prevede invece di far “convivere” Compliance e Risk Management all’interno
di un’unica struttura organizzativa di “Risk management/controlling” nella quale integrare le
attività svolte dalle due funzioni. Ma anche in tal caso, ha osservato Torriero, “vista la dimensione
mediamente più contenuta delle strutture, non sempre si realizza uno sviluppo dell’azione della
funzione di Compliance secondo tutti i classici step della gestione rischio”.
Una completa gestione del rischio comporta infatti:
1. identificazione;
2. valutazione/misurazione;
3. monitoraggio;
4. mitigazione.
Specie il secondo punto (valutazione/misurazione) viene spesso trascurato dalla Compliance e

delegato al Risk Management sotto l’ipotesi organizzativa sopra indicata.
I possibili contributi della Compliance all’ICAAP

Torriero ha sottolineato che l’ICAAP è il processo più rilevante della banca dal punto di vista
gestionale poiché è deputato al “sano e prudente” governo della banca, con obiettivi di
individuazione, valutazione, mitigazione e monitoraggio, rendicontazione/reportistica dei rischi
corsi correntemente e in futuro.
Per tale motivo, ha rimarcato Torriero, l’ICAAP esige il contributo, la partecipazione, la
collaborazione e l’integrazione di molte, se non di tutte le funzioni aziendali, in particolar modo
quelle di controllo tra cui soprattutto (ma non solo) il Risk Management.
Le disposizioni di vigilanza consigliano di scomporre l’ICAAP in quattro fasi anche se ciascuno

intermediario, in omaggio al principio di proporzionalità, può modulare il processo secondo le
proprie esigenze:
1. individuazione dei rischi da sottoporre a valutazione;

2. misurazione/valutazione dei singoli rischi e del relativo capitale interno;
3. misurazione del capitale interno complessivo;
4. determinazione del capitale complessivo e riconciliazione con il patrimonio di vigilanza.
ABI però, come riportato nel “Libro bianco sul Pillar 2” realizzato nel settembre 2008, ha
proposto anche un approccio più dettagliato rispetto al quale Torriero ha mostrato alcune matrici
che incrociano le fasi del processo (13) con gli attori coinvolti (9) indicando in ciascun incrocio se
l’apporto riguarda esecuzione, approvazione, etc.
Successivamente Torriero ha indicato quali sono le fasi del processo di Compliance (ispirandosi al
paper del Comitato di Basilea sulla compliance dell’aprile 2005, principio 7):
1. pianificazione
2. consulenza
3. linee guida
4. identificazione
5. valutazione
6. formazione
7. mitigazione monitoraggio
“Appaiono da subito evidenti le concordanze con alcune delle fasi dell’ICAAP” ha sottolineato
Torriero. È chiaro allora quale possa essere il contributo della Compliance nella gestione dei rischi
propri in ottica ICAAP.
“L’identificazione e la valutazione del rischio compliance sono tipiche attività di gestione del
rischio e quindi anche dell’ICAAP, che richiedono la collaborazione e il contributo di altre funzioni
aziendali, tra cui certamente almeno il Risk Management.
La mitigazione e il monitoraggio del rischio compliance, delle aree critiche in termini di
esposizione e di controllo nonché il monitoraggio degli interventi di mitigazione previsti sono
attività di supporto alla rendicontazione e al processo ICAAP: si pensi alla fase dell’autovalutazione
del sistema di governo dei rischi con cui la banca identifica le aree di miglioramento e presidia la
realizzazione degli interventi di evoluzione pianificati nei periodi precedenti da inserire nella
rendicontazione ICAAP annuale”.
Sono possibili diverse ipotesi di collaborazione tra il processo Compliance ed il processo ICAAP:
1. la Compliance interviene solo sui rischi che le sono propri (legale e reputazionale);
2. la Compliance interviene più in generale sul complessivo processo ICAAP (approccio in
parte invocato da alcune comunicazioni di Bankit);
3. la Compliance interviene su entrambi i fronti.
Una cosa però va chiarita subito ha detto Torriero: “per il rischio di compliance nell’ICAAP non
si deve prevedere altro capitale aggiuntivo poiché il rischio legale/da sanzioni regolamentari è già
inserito nei rischi operativi e il rischio reputazionale non genera necessità aggiuntive di capitale ma
solo di controllo dello stesso”.
In conclusione Torriero ha rimarcato che anche per l’ICAAP – sebbene processo interno (e quindi
con un certo numero di gradi di libertà insiti nella normativa per principi che lo caratterizza) – esiste
l’esigenza di essere conforme. Ecco quindi la possibilità (non la necessità ha sottolineato Torriero)
di un ruolo di sostegno della FC al complessivo processo ICAAP, sostegno che forse è più
significativo se interviene in fase di progettazione e messa a punto del processo stesso.
Alcune domande
Nella terza ed ultima parte del suo intervento Torriero ha posto una serie di quesiti per
l’elaborazione comune e futura.
1. Quanto è diffuso questo tipo di approccio proattivo alla razionalizzazione complessiva e

conformità dell’intero processo ICAAP, mediante un contributo della FC?
2. Da parte della FC vi è volontà e ci sono risorse per assumersi questo ruolo?
3. Quali se del caso le interrelazioni con l’Internal Audit?
Renata Tesio, Responsabile Ufficio Reporting, Direzione
Centrale Compliance Intesa Sanpaolo - Il modello di
compliance risk assessment nell’esperienza di Intesa
Sanpaolo
La relazione della dottoressa Tesio si è articolata in quattro parti:
1. La Compliance in Intesa Sanpaolo

2. Modello di RiskAssessment
3. L’informativa agli organi sociali e ai comitati
4. Focus sul rischio reputazionale – l’aderenza al Codice Etico.
La Compliance in Intesa Sanpaolo

Tesio ha iniziato descrivendo la collocazione della funzione di Compliance all’interno del gruppo
Intesa Sanpaolo.
In sintesi il Sistema dei Controlli prevede tre linee di difesa:
1. prima linea in carico alle direzioni operative
2. seconda linea in carico al Chief Risk Officer (CRO)
3. terza linea in carico all’Internal Audit.
Il Chief Risk Officer (CRO) risponde al Consigliere Delegato e CEO e a sua volta è articolato in:
• Compliance
• Legale e Contenzioso
• RiskManagement
• Presidio Qualità del Credito
• Validazione Interna.
Passando agli ambiti normativi ci sono norme presidiate direttamente dalla Direzione Centrale
Compliance e norme presidiate da altre strutture alle quali sono attribuiti compiti di compliance.
Al primo gruppo di norme appartengono (tra l’altro):
• Servizi d’investimento
• Intermediazione assicurativa e previdenziale
• Market abuse
• Trasparenza delle condizioni contrattuali
• Sistemi di pagamento
• Responsabilità amministrativa degli Enti
• Antiriciclaggio.
Al secondo gruppo di norme appartengono (tra l’altro):
• Tutela della privacy

• Sicurezza sul lavoro
• Tutela ambientale
• Tutela della concorrenza.
Passando al modello di governo sul gruppo, la Direzione Centrale Compliance svolge nei confronti
delle società del gruppo un ruolo di indirizzo e controllo, mirato a garantire un efficace ed efficiente
presidio dei rischi di non conformità a livello di Gruppo.
In particolare:
• mantiene la responsabilità della definizione delle linee guida e delle regole metodologiche in
materia di valutazione, presidio e controllo del rischio di non conformità a livello di Gruppo;
• garantisce inoltre l’informativa integrata a livello di Gruppo in merito all’adeguatezza del
presidio della conformità.
L’indirizzo e il coordinamento si articola in due modalità:

1. Società in service con accentramento del presidio della conformità presso la Capogruppo
che comprende:
a. Banche Rete in service che hanno adottato sistema informativo target
b. Società italiane con operatività fortemente integrata con quella di Capogruppo
2. Società in governante e Filiali estere con funzioni di conformità interne e Compliance
Officer locale che comprende:
a. Banche Rete in governante
b. Altre Banche e Società Italiane
c. Banche della Divisione Banche Estere
d. Banche estere della Divisione Corporate e IB
e. Filiali estere di Capogruppo.
Modello di RiskAssessment
Nella seconda parte del suo intervento la dottoressa Tesio ha presentato in dettaglio il modello di
Risk Assessment utilizzato dalla Direzione Centrale Compliance di Intesa San Paolo.
Partendo dalle logiche va detto subito che la prioritizzazione delle aree intervento nei vari ambiti
normativi è definita sulla base della valutazione di:
• rischio di non conformità, nelle sue componenti “operativa”e “reputazionale”;
• presidi del rischio di non conformità posti in essere sia da parte delle unità di compliance,
sia da parte delle unità di business.
Tesio ha poi illustrato gli strumenti ed i dati utilizzati durante il Risk Assessment: ad esempio per le
“analisi delle perdite operative del Risk Management” si usa una “matrice associazione perdite
operative storiche / ambiti normativi” mentre la “valutazione manageriale per l’applicazione del
correttivo di scenario” si utilizza un “questionario di analisi di scenario”.
È importante notare che la valutazione delle perdite operative associate agli eventi rilevanti avviene
a partire dall’analisi puntuale degli eventi presenti nel database di Risk Management delle perdite
operative, al fine di:
1. escludere eventi non rilevanti ai fini di compliance;
2. attribuire le singole perdite agli ambiti normativi.
Inoltre al fine di incorporare le aspettative di mutamento del contesto di riferimento viene applicato
un correttivo di scenario alle perdite storiche, valutato dalle unità di riferimento per le attività di
compliance attraverso un “questionario guidato”per ambito normativo.
Per quanto riguarda in particolare la valutazione della componente “reputazionale” del rischio di
conformità si utilizza per ciascun ambito normativo un “questionario guidato” da parte delle unità di
riferimento per le attività di compliance (anch’essa declinata in ranking).
Ciò permette di valutare l’impatto su:
1. Segmenti di clientela interessati
2. Numero clienti
3. Volumi su specifico prodotto/ ramo interessato
4. Volumi su altri prodotti / rami
5. Brand
6. Manager della Banca
7. Altro personale della Banca
8. Sanzioni e perdita di credibilità verso l’Autorità di Vigilanza.
In conclusione del processo i dati sono rappresentati attraverso una matrice di sintesi che riporta
sull’asse delle ascisse i presidi e su quello delle ordinate il rischio “potenziale”; i valori rilevati si
riferiscono alle normative analizzate.
Questo approccio metodologico, ha spiegato la dottoressa Tesio, si è evoluto ed affinato nel corso
degli anni a cominciare dal 2008. Ovviamente ci sono state modifiche ed innovazioni.
Ad esempio per quel che riguarda l’associazione perdite/normativa si è passato da un approccio
prevalentemente parametrico a quello prevalentemente “puntuale” per consentire una miglior
valutazione delle perdite associate a ciascun ambito normativo; inoltre il modello è stato
“derelativizzato” con la sostituzione dei quartili con indici e indicizzazione a valori assoluti, ciò per
permettere la ponderazione perdite storiche / analisi di scenario, eccetera.
L’informativa agli organi sociali e ai comitati

Nella terza parte del suo intervento la dottoressa Tesio ha illustrato le modalità di reporting da parte
della funzione di Compliance agli organi sociali e ai comitati.
I flussi informativi, come sempre i questi casi, sono numerosi e spesso corposi. Inoltre da subito è
nata l’esigenza di integrare e sintetizzare la reportistica con quella proveniente dalle altre funzioni
di controllo aziendali. È stato così realizzato un Report del “presidio integrato dei rischi operativi e
reputazionali” che viene inviato al Chief Risk Officer, al Comitato Compliance e Operational Risk,
al Comitato per il Controllo (CdS) e alla Commissione Crediti e Rischi (CdG).
Il report contiene:
• l’elenco dei “temi da affrontare”con indicazione dei principali punti di attenzione, delle
azioni da attivare/decisioni da assumere, dei referenti e delle strutture responsabili;
• monitoraggio delle azioni in corso;
• evidenza dei progetti di Capital Budget 2011 - sotto la responsabilità della struttura del CRO
e di altre funzioni aziendali - rilevanti ai fini della mitigazione dei rischi più significativi.
Focus sul rischio reputazionale – l’aderenza al Codice Etico

Infine nell’ultima parte del suo intervento Tesio ha presentato un’attività svolta dalla Direzione
Centrale Compliance e relativa ad un approfondimento sul rischio reputazionale mediante un
assessment sul grado di rispetto di quanto previsto dal Codice Etico (policy su armamenti, policy su
ambiente, piano industriale, piano sociale d’impresa) con un duplice obiettivo:
1. dal punto di vista “interno” (Compliance): verificare l’organizzazione posta in essere per
onorare gli impegni presi;
2. dal punto di vista “esterno”: verificare la qualità della relazione posta in essere con gli
stakeholder.
A ciascun principio del codice etico è stato assegnato un punteggio sintetico di rilevanza ricavato da
un apposito algoritmo (da 0 a 3).
Sulla base del risultato del lavoro, anche in base ad elementi di opportunità e considerazioni interne,
si è successivamente definito la lista di priorità da verificare.
Fernando Metelli, Presidente AIFIRM – Associazione
Italiana Financial Industry Risk Manager - Interazioni
organizzative e funzionali tra le attività di Risk
Management e di Compliance
Il dottor Metelli, presidente di AIFIRM http://www.aifirm.com/ l’Associazione Italiana Financial

Industry Risk Manager ha trattato il tema dello sviluppo della risk culture in banca che richiede la
convergenza tra le attività di compliance e quelle di risk management.
La convergenza, ha osservato Metelli, nasce nei fatti perché Compliance e Risk Management
parlano lo stesso linguaggio anzi per usare l’espressione del vice direttore generale della Banca
d’Italia, la funzione compliance “… opera usando logiche e strumenti tipici delle funzioni di risk
management…” (Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e
controllo delle imprese bancarie e finanziarie, 4 ottobre 2007 in
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf ).
Metelli ha poi ricordato, anche con tono un po’ polemico, il recente documento di CEBS
(Committee of European Banking Supervisors),”High-level principles for risk management” che
ribadisce l’ABC del risk management per le banche dato che, secondo il CEBS, ci sarebbero gap da
colmare nella governance e nella risk culture.
Occorre però delimitare bene i ruoli evitando le duplicazioni.
Metelli ha poi ricordato che il sistema dei presidi posti in essere per la prevenzione del rischio di
riciclaggio e di terrorismo rientra nel perimetro delle funzioni di Compliance/ Risk Management. La
logica “risk based” introdotta ad esempio dal d.lgs 231/07 (antiriciclaggio) ha infatti avvicinato le
metodologie di controllo antiriciclaggio a quelle proprie di risk management.
La lettura del Documento di Consultazione 2010 (Provvedimento Recante Disposizioni Attuative
in Materia di Organizzazione, Procedure e Controlli Interni) è illuminante ha detto Metelli: la
funzione in argomento [antiriciclaggio] può anche essere attribuita alle strutture che svolgono le
funzioni di compliance o di risk management. Le medesime funzioni non possono essere assegnate
alla funzione di revisione interna.
Secondo Metelli quando si parla Compliance è necessario abbandonare la tradizionale (consolidata,
perché meglio basata su esperienza storica) logica dell’Audit per entrare nella logica del business. Il
Compliance Manager – pur facendo parte del c.d. Sistema dei Controlli – è un controllore del tutto
particolare, che non può intervenire “dopo” (non è sufficiente) ma deve agire “prima” e, ciò
facendo, condiziona il business, cioè presidia il risk size del business (o quanto meno di una fetta
importante dello stesso).
Il dottor Metelli è poi passato ad illustrare la misurazione del rischio di non conformità che usa
metriche, regole, infrastrutture tecnologiche e metodologiche di misurazione dei rischi
sostanzialmente simili a quelle proprie dell’operational risk management.
Anche per il rischio di non conformità occorre effettuare la rilevazione dei dati sulle perdite subite;
e anche per tale rischio la tecnica del self assessment è ugualmente spesso utilizzata. Infine stesso
approccio si adotta per la valutazione dei rischi e la definizione dei presidi/interventi per la
mitigazione del rischio di non conformità e del rischio reputazionale.
In conclusione del suo discorso Metelli ha parlato della misurazione qualitativa dei rischi. Il rischio
reputazionale è spesso misurato con approcci “qualitativi” o comunque “difficilmente
quantificabili” e dimensionato tramite assessment soggettivi.
La misurazione dei rischi se però non trova una quantificazione oggettiva e trasparente:
• non riesce ad inserirsi nei processi gestionali, condizionando il business;
• diventa un rischio nominale, sopportato solo perché esiste, non mitigabile.
Di conseguenza Metelli propone a Risk Manager e Compliance Manager di costituire un tavolo

tecnico comune per mettere insieme esperienze e definire criteri oggettivi, estendendo l’iniziativa ai
gestori dell’ICAAP.
Fabio Bocchini, Senior Manager della Service Line Risk &
Compliance Accenture - Compliance Risk Management:
approccio alla valutazione del rischio di non-conformità
L’intervento del dottor Bocchini si è articolato in tre parti:
1. Contesto di riferimento;
2. Approccio al Compliance Risk Assessment;
3. Considerazioni conclusive.
Contesto di riferimento
Nella prima parte del suo intervento Bocchini ha ricordato la tumultuosa evoluzione del quadro
normativo e regolatorio per gli intermediari bancari e finanziari sia a livello internazionale sia
nazionale. Si è affermato inoltre un nuovo approccio normativo basato più sulla definizione di
principi che di regole puntuali. Infine si registrano aree di sovrapposizione da gestire tra normative
differenti.
Tutto ciò comporta che spesso i percorsi di adeguamento normativi hanno impatti spesso invasivi su
organizzazione, processi e strumenti a supporto.
Bocchini ha poi riportato una serie di dati e statistiche sulle ispezioni e le sanzioni: ad esempio per
quel che riguarda la Banca d’Italia nei primi cinque mesi del 2010 sono già stati avviati 138
sopralluoghi ispettivi (67% di tutto il 2009) con specifici approfondimenti che hanno interessato la
liquidità, le strutture e i processi di controllo interno, i presidi organizzativi.
Approccio al Compliance Risk Assessment

Affrontanto la parte metodologica del suo intervento Bocchini ha ricordato che nel Compliance
Risk Assessment si deve evidenziare il rischio effettivo o residuo da “calcolare” come differenza tra
il rischio potenziale meno i presidi/controlli.
Il primo passo è identificare dunque i rischi potenziali attraverso una mappatura dei rischi per
normativa. In questa fase è opportuno appoggiarsi a provider esterni per il catalogo degli
adempimenti normativi e dei rischi collegati anche per avere garanzia dell’aggiornamento periodico
degli adempimenti per le normative in ambito.
Per quanto riguarda la misurazione del rischio potenziale, tale rischio è la somma di 2
componenti:
1. componente operativa o rischio di incorrere in sanzioni giudiziarie o amministrative e

perdite finanziarie rilevanti in conseguenza di violazione di norme imperative (legge,
regolamenti) o di autoregolamentazione;
2. componente reputazionale o rischio di sostenere un aggravio di perdite finanziarie
derivanti dalla percezione di comportamenti contrari alle norme ovvero ai principi di
riferimento su cui si fonda il modello di business e la relazione con la clientela.
Per valutare l’efficacia dei presidi a mitigazione del rischio occorre “sommare” due componenti:
1. valutazione ex-ante;
2. valutazione ex-post.
La valutazione ex-ante si basa sull’analisi di esistenza / completezza dei presidi/ controlli a

copertura dei diversi rischi. Esempi di variabili da analizzare possono essere:
• esistenza/ aggiornamento normativa interna

• presenza di controlli automatici nelle procedure IT
• formazione per prevenire comportamenti non conformi.
La valutazione ex-post si basa sull’analisi delle evidenze dei controlli di II e III livello volti a
verificare l’effettiva applicazione delle norme interne e l’efficacia dei presidi/ controlli previsti nel
prevenire situazioni di non conformità.
La valutazione ex post viene fatta direttamente dalla funzione di Compliance sulla base delle
evidenze dei controlli svolti sia direttamente che indirettamente (evidenze da Internal Audit).
Sia la valutazione ex-ante che quella ex-post vanno fatte con riferimento ai singoli rischi identificati
sugli ambiti normativi considerati (approccio bottom up).
Il risultato finale è una matrice del rischio potenziale che riporta la copertura presidi/controlli per
valutazione del rischio residuo.
Le normative che evidenziano, nella matrice, un posizionamento con alto rischio potenziale e
valutazione bassa su presidi/controlli sono quelle su cui la banca deve intervenire in modo
prioritario.
Considerazioni conclusive
Esistono nella pratica operativa diverse modalità per approcciare al Compliance Risk Assessment.
Al di là del modello prescelto, secondo Bocchini, elemento fondamentale è riuscire a coinvolgere
nel processo le diverse funzioni aziendali che possono contribuire ad una migliore valutazione del
cd. “rischio residuo”:
• Risk Management (condivisione approccio metodologico e analisi dati di perdita per
valutazione componente operativa del rischio)
• Referenti Business (valutazione possibili ricadute commerciali connesse a eventi di non
conformità)
• Process/ Control Owner (o anche Operational Risk Manager distribuiti sul territorio) per
autovalutazione presidi di primo livello
• Internal Audit per acquisizione elementi rilevanti da controlli indipendenti di terzo livello
• Altre funzioni aziendali per inclusione eventuali ulteriori elementi di valutazione (es.
reclami clientela, cause legali, evidenze Autoritàdi Vigilanza, ecc).
Importante, infine, la piena integrazione del Compliance Risk Assessment nel processo di gestione
del rischio di conformità:
• evidenze del Compliance Risk Assessment devono costituire l’input principale per
l’approntamento del Compliance Plan annuale;
• no ad esercizio una tantum ma monitoraggio periodico del rischio residuo sulla base delle
evidenze dell’attività di Assurance svolta direttamente dalla funzione Compliance e/o in
collaborazione con l’Internal Audit.
Marco Pigliacampo, Referente Area Analisi e Gestione
ABIFormazione e Federico Meloni, Ufficio Coordinamento
Compliance Federcasse - L’evoluzione del servizio ABICS
verso la gestione aziendale della compliance: l’esperienza di
ABICS-Credito Cooperativo
La relazione tenuta insieme da Marco Pigliacampo (ABIFormazione) e Federico Meloni

(Federcasse) ha presentato l’implementazione di ABICS 2.0 - Sistema In House presso Federcasse.
Progettato e realizzato da ABIFormazione e dal Gruppo Engineering, ABICS 2.0 In House consente
l'utilizzo in azienda delle informazioni erogate dal servizio ABICS.
L’intervento è iniziato con Marco Pigliacampo che ha rapidamente indicato le novità di ABICS
2.0.
Rispetto al servizio on line, ABICS 2.0 consente un utilizzo dei contenuti più efficace in chiave
gestionale.
Le innovazioni funzionali presenti nel sistema In House, infatti, permettono di:
• inserire nel sistema una mappa dei processi personalizzata, in modo strutturale e senza
perdere il valore aggiunto delle analisi di impatto delle norme, grazie a una apposita tabella
di raccordo della mappa con l’albero standard dei processi bancari;
• censire l’organigramma aziendale e associare alle Unità Organizzative i processi bancari e,
quindi, i rischi di compliance che li impattano, in modo da attribuire i rischi agli specifici
gestori aziendali;
• inserire documentazione aziendale e collegarla alle disposizioni normative, consentendo di
integrare la norme esterne con le regole interne;
• ottenere valutazioni aziendali dei rischi di compliance, sia a livello inerente sia a livello
residuo, mediante la valorizzazione di apposite matrici su cui inserire valutazioni riguardo a:
probabilità degli eventi di rischio, severità degli impatti, efficacia dei presidi di conformità;
• gestire autonomamente gli utenti con accesso al sistema, in modo da poter distribuire
direttamente le credenziali di accesso alle persone della propria azienda.
Il sistema, inoltre, consente la personalizzazione del layout grafico, ad esempio con l’aggiunta del
logo aziendale, ed è predisposto per consentire progetti di interoperabilità con le piattaforme
GRC (Governance, Risk & Compliance) eventualmente presenti in banca. In particolare, le banche
dotate del sistema In House possono trasferire i contenuti del servizio verso i sistemi IT aderenti al
progetto “Inter-operabilità ABICS 2.0”.
Meloni ha spiegato i motivi che hanno portato alla scelta di ABICS 2.0.
Federcasse, nel corso del 2008, era interessata a far sì che il sistema del Credito Cooperativo
italiano, di cui promuove gli interessi di categoria, potesse avvalersi di un valido strumento per la
gestione dei c.d. “rischi di conformità”. Dopo una valutazione delle possibili alternative presenti sul
mercato Federcasse ha scelto ABICS optando per la realizzazione di una versione personalizzata
denominata “ABICS CC” (ABI Compliance System Credito Cooperativo).
ABICS CC è, quindi, oggi l’applicativo della Compliance del Credito Cooperativo personalizzato
per tener conto delle peculiarità delle Banche di Credito Cooperativo.
I punti di forza di ABICS CC sono:

• la trasmissione continua di alert sulle novità normative e sui processi di produzione di nuovi
provvedimenti regolamentari;
• l’aggiornamento degli inventari normativi (“legal inventories”);
• una gestione della compliance ancora più efficace ed efficiente in termini di analisi
normativa e la ricaduta degli impatti sui processi bancari propri del Credito Cooperativo;
• la possibilità di personalizzare, secondo l’esigenza propria delle Banche di Credito
Cooperativo, l’applicativo rilasciato da Abiservizi.
Tali personalizzazioni del sistema ABICS CC hanno consentito e consentono:

• l’inserimento anche di circolari interpretative di Federcasse riferibili sia alle disposizioni
generali trattate sia agli articoli delle stesse;
• le analisi di impatto delle norme sui processi bancari propri del Credito Cooperativo;
• una visione immediata e puntuale del sistema sanzionatorio legato al precetto normativo e la
possibilità di conoscere il rischio reputazionale per processo “personalizzato”;
• la possibilità di ricondurre il rischio reputazionale all’owner del business aziendale.
Nel dettaglio le principali funzioni di ABICS CC sono:

• News
• Servizio di Alerting
• Consultazione Legal Inventory
• Consultazione Processi
• Risorse documentali.
Le news riguardano sostanzialmente il rilascio o l’aggiornamento di contenuti normativi.

Gli Alerts trattano le informative sui processi di produzione di nuovi provvedimenti normativi che
possono eventualmente impattare sulla gestione della compliance in banca (Direttive Europee,
Disegni di Legge, Decreto Legge, Documenti in consultazione proposti dalle Autorità di settore,
eccetera).
La funzione di Consultazione Legal Inventory consente di procedere alla ricerca delle disposizioni
normative d’interesse o che rispondono a determinate caratteristiche.
La funzione Consultazione Processi consente all’utente di navigare all’interno di una mappa che
rappresenta i processi bancari, ciò al fine di individuare le disposizioni normative che impattano sui
processi.
Selezionando un processo, si ottiene l’elenco delle disposizioni che lo impattano direttamente. Le
disposizioni sono ordinate per Argomento; per ognuna di esse è visibile: Argomento, Fonte
normativa, Riferimento della disposizione, abstract del testo della disposizione, eventuale icona con
la valutazione di rischio e con la possibilità di accedere alla relativa “Scheda Rischio”.
Per agevolare la consultazione delle disposizioni che impattano il processo selezionato, sono
disponibili tre filtri di ricerca relativi a: Sanzione prevista; Sanzioni con particolari rischi
reputazionali; Strumenti informativi per la clientela.
Navigando nell’ambito della funzionalità, inoltre, è possibile accedere ad altre informazioni quali:
• Dettaglio del processo: si intendono informazioni relative al processo selezionato, quali: la

Descrizione del processo, il nominativo di un eventuale Responsabile del processo (process
owner);
• i riferimenti che riguardano l’Unità Organizzativa a cui è eventualmente affidata la
responsabilità del processo.
• Annotazioni: si intendono note associate al processo.
• Allegati: si intendono file (documenti, tabelle, schemi, etc.) associati al processo.
Meloni si è poi soffermato sulle personalizzazioni possibili in ABICS CC.

La principale personalizzazione effettuata dal Credito Cooperativo è stata quella di sostituire
l’albero dei processi bancari “standard”, rilasciata in ABICS, con l’albero dei processi delle Banche
di Credito Cooperativo.
È stata creata, quindi, una tabella di raccordo che consente di associare ai processi bancari del
Credito Cooperativo tutte le disposizioni normative trattate in ABICS.
È quindi possibile:
• modificare le associazioni documentali ai processi
• aggiungere nuovi impatti e/o cancellare impatti tra quelli presenti
• modificare gli impatti organizzativi erogati dal servizio ABICS
• inserire un testo di “descrizione del rischio per ogni impatto di una disposizione su un
processo aziendale.
La versione personalizzata di ABICS CC consente anche di inserire nell’ambito di ciascuna

disposizione normativa trattata “proprie” risorse documentali, ad esempio circolari, e associarle
quindi:
• non solo alla disposizione normativa, ovvero all’articolo della stessa
• ma anche al processo organizzativo impattato dalla disposizione normativa.
È possibile, inoltre, creare nuove Risorse Documentali aziendali, che si aggiungono a quelle erogate
dal servizio ABICS (che contengono brani tratti da Circolari ABI o da Comunicazioni delle
Autorità di settore).
Nelle risorse è possibile inserire non solo testo, ma anche link a pagine Intranet o documenti
aziendali consultabili dagli utenti.
Paolo Pogliaghi, Responsabile Compliance e Rischi Bcc
Carugate - La misurazione del rischio di non conformità
finalizzata all’Icaap: l’esperienza di una piccola Banca
Il dottor Pogliaghi ha fatto, nel suo intervento, un breve excursus sull’evoluzione della funzione di
Compliance dalle prime indicazioni giunte dall’organo di vigilanza alla fine degli anni 90 fino alle
recenti disposizioni di Banca d’Italia e Consob nel 2007 sottolineando, in particolare, gli aspetti di
interrelazione fra Compliance e funzione di Risk Management.
Secondo Pogliaghi è chiaro che, specie negli intermediari di piccole dimensioni, Compliance e Risk
Management possono convivere anche nella stessa struttura organizzativa purché ne sia chiarito il
mandato e garantita l’indipendenza.
Scrive infatti Banca d’Italia nella circolare. n° 688006 del 10/07/2007: “Le banche di dimensioni
contenute o caratterizzate da una limitata complessità operativa possono affidare lo svolgimento di
tale funzione alle strutture già esistenti incaricate della gestione dei rischi…oppure ancora a soggetti
terzi (esternalizzazione)”, …”purché dotati dei requisiti idonei in termini di professionalità ed
indipendenza”. “In ogni caso deve essere nominato un responsabile della funzione all’interno
dell’azienda, dotato delle caratteristiche e prerogative indicate nel paragrafo seguente”.
Ciò premesso qual è l’approccio per la migliore gestione del rischio di non conformità?
Sono possibili diversi approcci:
1. per normativa;
2. per processi bancari;
3. approccio per norme e processi bancari.
Molti intermediari privilegiano l’approccio per normativa che però, francamente, dice Pogliaghi
non offre un gran valore aggiunto né appare particolarmente innovativo.
Nell’approccio per normative gli attori coinvolti (al minimo) sono:
1. Process Owner
2. Compliance Officer
3. Responsabile Organizzazione
La finalità è garantire che la banca adotti procedure e prassi conformi alla normativa esterna prima:
• dell’entrata in vigore di una nuova normativa;
• dell’ingresso in un nuovo mercato (area geografica o segmento di prodotto).
In questo caso le metodologie che possono adottarsi sono: Analisi di impatto, Risk Self Assessment,
ecc. mentre gli strumenti possibili sono: ABICS, ecc.
Ma qual è in questo caso l’elemento di novità per le banche? Nessuno, sostiene Pogliaghi.
Nell’approccio per processi bancari gli attori coinvolti (al minimo) sono:
1. Compliance Officer
2. Risk Manager
3. Process Owner
La finalità è controllare / misurare l’esposizione al rischio di non conformità della banca sia alla
normativa esterna sia alla normativa interna.
Le metodologie: Controlli a campione e per eccezione, Control Risk Self Assesment…

Gli strumenti: ABICS; Strumenti di Risk Management similari alla misurazione dei Rischi
Operativi (modelli interni di misurazione dei Rischi operativi AMA verso BIA)
Qui c’è un vero elemento di novità per le banche, secondo Pogliaghi: la misurazione della non
conformità quale parte integrante del processo ICAAP e conseguente valutazione
dell’adeguatezza del capitale a fronte delle mancate conformità riscontrate.
Pogliaghi ha poi ricordato la circolare di Banca d’Italia n° 0228112/10 del 23 marzo 2010 che
recita: “7.Rischi più difficilmente quantificabili: se ritenuti rilevanti per l’operatività aziendale, gli
intermediari forniscono una descrizione della natura e delle cause sottostanti a questi rischi e una
illustrazione delle relative procedure organizzative di gestione e controllo. Di norma, ci si aspetta
che un’eventuale quantificazione di capitale interno sia basata sull’impiego di metodologie
robuste e documentate”.
In questo ambito, ad avviso di Pogliaghi, si colloca la misurazione del rischio di non conformità da
esplicitarsi all’interno del documento ICAAP.
Altra domanda fondamentale: come si misura la reputazione di una azienda? Purtroppo, ironizza
Pogliaghi, solo post mortem cioè solo a seguito della cessione dell’azienda quando il mercato valuta
il valore della stessa.
Pogliaghi ha poi mostrato una schema riassuntivo delle possibili sanzioni penali, civili ed
amministrativi che riguardano le banche.
Infine il dottor Pogliaghi ha descritto le attività della funzione di Compliance presso la BCC in cui
opera spiegando le modalità con cui vengono effettuale le verifiche.
La banca adotta un approccio “per processi bancari” alla misurazione del rischio di non conformità
che è inoltre finalizzato all’ICAAP.
Ad oggi per quanto concerne la misurazione del rischio di “non conformità” la BCC di Carugate ha
sottoposto a verifiche i seguenti processi:
• Finanza;
• Risparmio;
• Tesoreria – Enti Pubblici;
• Informativa verso l’esterno / contabilità e segnalazioni.
Seguiranno presto i seguenti processi:

• Credito;
• Gestione delle Infrastrutture e spese;
• Gestione delle risorse umane;
• Antiriciclaggio (come se fosse processo a sé stante e questo anche secondo la recente
rivisitazione normativa di Banca d’Italia, estate 2010);
• Marketing.
A conclusione del suo intervento anche Pogliaghi ha ricordato le parole di Anna Maria Tarantola,
vice direttore generale di Banca d’Italia in un suo intervento pubblico del 2007 (“La funzione di
compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie” in
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf): “la
compliance deve rappresentare la coscienza dell’impresa bancaria”.
Terza sessione - temi aperti:
Compliance & Legal
11 novembre 2010, ore: 16.30 – 18.30
Interventi:
• Enrico Granata, Direttore Centrale, Responsabile Area Normativa ABI, chairman della
sessione
• Graziella Capellini, Head of Compliance Italy Unicredit Group - La Compliance in
UniCredit: evoluzione e nuove sfide
• Alessandra Perrazzelli, Head of International and Antitrust Affairs Intesa Sanpaolo - Il
programma di compliance antitrust di Intesa Sanpaolo
• Leandro Polidori, Responsabile Compliance Banca MPS - Compliance, Legale e Controlli
Interni in Banca Monte dei Paschi di Siena
• Luca Bonzanini, Responsabile Affari Legali e Contenzioso UBI Banca - Rapporti tra
Legale e Compliance nel gruppo UBI
• Edoardo Pronello, Responsabile Funzione Compliance Banca del Piemonte - La
ripartizione tra Compliance e Legale delle attività di consulenza e di validazione dei
processi
Graziella Capellini, Head of Compliance Italy Unicredit
Group - La Compliance in UniCredit: evoluzione e nuove
sfide
La dottoressa Capellini ha svolto un’esauriente presentazione della funzione Compliance in

Unicredit sottolineando come l’attuale conformazione della funzione sia frutto di una evoluzione
che continua per rispondere a sempre nuove sfide.
L’evoluzione della funzione Compliance nel Gruppo UniCredit, ha spiegato Capellini, nasce dalla
tumultuosa espansione del Gruppo, in particolare all’estero, insieme a quella del contesto di
riferimento; ciò ha portato ad un allargamento del perimetro della funzione Compliance in
UniCredit sia di tipo geografico che di ruolo.
L’evoluzione della funzione Compliance è avvenuta su due fronti:
1) secondo una direttrice di espansione geografica che ha reso globale un istituto nato con
identità locale e nazionale;
2) in seguito all’ampliamento del perimetro delle attività che ha imposto alla funzione di
Compliance di passare da un semplice ruolo di advisory a fornitrice di soluzioni a tutto
campo (Compliance 360°).
Oggi, nel 2010, il gruppo conta circa 162.000 dipendenti con 9.500 filiali.
La funzione di Compliance Globale comprende circa 500 persone (full time equivalent).
La dottoressa Capellini ha poi spiegato le varie fasi che hanno accompagnato il passaggio da una
compliance locale (advisory) alla attuale Compliance Globale:
• fase “costitutiva” (2004 - 2005)

o Advice su richiesta
o Confronto con le Autorità di Vigilanza
• fase di “consolidamento”: indirizzo strategico di Gruppo (2006 - 2010)
o Accentramento per l’Italia e indirizzo strategico per l’estero
o Indirizzo progetti prioritari (es. AML, MIFID)
o Validazioni preventive
o Compliance Risk Assessment (CAMP)
o Avvio attività di controllo
• fase di “evoluzione”: rafforzamento processi e razionalizzazione controlli (2010)
o Compliance globale (obiettivo: approccio di Gruppo uniforme)
o Affinamento metodologie di Risk Assessment (CAMP dinamico)
o Estensione Controlli di 2° livello
o Diffusione della cultura di Compliance.
In particolare Capellini ha sottolineato come da un Compliance Risk Assessment (CAMP) di tipo
statico nel 2006 (cioè basato si tecniche di self assessment prettamente soggettive) si sia passati
all’odierno CAMP dinamico “alimentato nel continuo dai risultati dei controlli di 2° livello” (e
dunque più oggettivo).
Le linee guida della funzione di Compliance in Unicredit si articolano come segue:
• due strutture di riferimento, Compliance e Legale;

• organizzazione a matrice: trade off tra focalizzazione a livello paese e approccio globale;
• due livelli di reporting, il livello “Paese” e il livello “Business Area”;
• doppio riporto, riporti gerarchici e funzionali nelle realtà organizzative di Paese con un ruolo
di coordinamento da parte dei ruoli globali di ciascun business.
In conclusione del suo intervento Capellini ha parlato delle nuove sfide della funzione Compliance,
sfide che ha così categorizzate e sintetizzate:
• Normative
o Maggiore regolamentazione e controllo da parte degli Organi di Vigilanza
o Convivenza di sistemi normativi non sempre allineati
• Business Model
o Internazionalizzazione dell’attività bancaria
o Distribuzione di una molteplicità di strumenti finanziari
• Sistema dei controlli
o Sistemi di governo e di controllo dell’attività aziendale
o Integrazione delle funzioni di controllo
• Clienti
o Trasparenza nei rapporti con i clienti
o Contenimento del costo e incremento della qualità dei servizi.
Le sfide, ha commentato Capellini, devono essere affrontare con interventi su:
• Cultura Aziendale
o Policies (codice di comportamento)
o Partnership con il business
• Comunicazione
o Processi
o Presidi di controllo ma salvaguardia dell’efficienza e dell’economicità
• Risorse
o Interventi Quantitativi
o Interventi Qualitativi (Skill inventory, training interni, percorsi di carriera)
• Strutture
o Adeguamenti organizzativi.
“Abbiamo fatto tanto, ma il percorso non è concluso…” ha concluso la dottoressa Capellini “con
l’evoluzione del contesto di business, delle regole e delle normative siamo convinti infatti che la
funzione di Compliance sarà sempre più strategica all’interno dell’Organizzazione in quanto
prerequisito di sostenibilità”.
Alessandra Perrazzelli, Head of International and Antitrust
Affairs Intesa Sanpaolo - Il programma di compliance
antitrust di Intesa Sanpaolo
L’avvocato Perrazzelli ha illustrato la nascita e lo sviluppo del programma di “Compliance

Antitrust” in Intesa Sanpaolo. La necessità di tale funzione organizzativa nasce in occasione della
fusione tra Intesa e Sanpaolo-IMI in quanto richiesta dalla Autorità Garante per la Concorrenza del
Mercato http://www.agcm.it/ .
L’International Regulatory & Antitrust Affairs Office è stato costituito a livello di gruppo con la
mission di gestire centralmente tutte le problematiche poste dalla autorità antitrust nazionali ed
internazionali.
L’ufficio si configura come una sorta di service in quanto offre consulenza sulle tematiche della
concorrenza, promuove la relativa cultura aziendale all’intero gruppo per il quale inoltre gestisce
l’applicazione del Competition Compliance Programme.
Il “Competition Compliance Programme” ha l’obiettivo di diffondere la cultura della compliance e

delle regole antitrust presso il personale al fine di prevenire comportamenti contrari alle
regolamentazioni sulla concorrenza ed in tal modo preservare la reputazione aziendale ed evitare
sanzioni da parte dei regulator nazionali.
L’esigenza di tale programma nasce, inoltre,dalla con stazione che la conoscenza della normativa
antitrust è ancora troppo poco presente in banca; a riguardo la Perrazzelli ha ricordato il
Regolamento n. 139/2004 della Commissione delle Comunità Europee (qui in pdf) che norma tale
disciplina.
I tre pilastri del Competition Compliance Programme sono:
1) L’EU Competition Compliance Policy;

2) L’Antitrust Team;
3) I programi di formazione svolti anche in modalità classica (aula) e interattiva (web tv, e-
learning).
L’EU Competition Compliance Policy si compone di tre sezioni principali:
1) Antitrust rules
a. Prohibited agreements (art. 101 Treaty)
b. Abuse of dominant position (art. 102 Treaty)
c. Concentrations between undertakings (Merger Regulation 139/2004)
2) Compliance with competition rules
a. Why bother with competition rules (consequences of non compliance and positive
advantages of the antitrust programme)
b. To do’s and not to do’s (assessing the risk, typical examples of prohibited
agreements, recommendations)
3) Preventive measures and company procedure
a. Inspections (what to do during and after the inspections)
b. Privilege (rules of privilege)
c. Document retention (including electronic records).
L’Antitrust Team è formato da un gruppo di specialisti, che rispondono funzionalmente

all’International Regulatory & Antitrust Affairs Office e dislocati localmente presso le varie realtà
nazionali; il team conduce verifiche periodiche, fornisce consulenza, eroga formazione.
Un elemento fondamentale, ha sottolineato l’avvocato Perrazzelli, è che l’Antitrust Team è sempre
disponibile ad assistere i colleghi ma non valuta né giudica mai il loro comportamento.
Leandro Polidori, Responsabile Compliance Banca MPS -
Compliance, Legale e Controlli Interni in Banca Monte dei
Paschi di Siena
L’intervento del dottor Polidori si è articolato in tre parti:
• Il sistema dei Controlli Interni in BMPS

• Evoluzione delle Funzioni di Compliance e Legale
o fase iniziale
o fase di evoluzione e consolidamento
• Rapporti tra Compliance e Legale
o ambiti generali
o ambiti specifici su alcune materie ad impatto rilevante.
Il Sistema dei Controlli Interni BMPS

Come è noto il Sistema dei Controlli Interni (SCI) è costituito dall’insieme delle regole, delle
procedure e delle strutture organizzative finalizzate a perseguire, la sana, corretta e prudente
conduzione della Banca e del Gruppo.
Un efficace processo di identificazione, misurazione, gestione e monitoraggio dei principali
costituisce la condizione essenziale per perseguire correttamente gli obiettivi aziendali.
In tale ambito, si inserisce anche il presidio del rischio di non conformità alle norme, definito in
coerenza con le previsioni regolamentari e con lo SCI adottato.
Il dottor Polidori è poi passato a descrivere lo SCI nel gruppo MPS sottolineando la rilevanza
assunta dal ruolo svolto dagli Organi di vertice che hanno, ciascuno per quanto di loro competenza,
ruoli di supervisione strategica , esecutivi e di controllo.
Le funzioni aziendali di controllo, ha sottolineato Polidori, dipendono gerarchicamente dal Direttore
Generale, ma, al fine di salvaguardare autonomia ed indipendenza, hanno una linea di reporting
diretta (nomina e flussi informativi periodici) con il Presidente, quindi il CdA, ed il Comitato per il
Controllo Interno.
Polidori ha poi descritto come è organizzata e posizionata la funzione Compliance e le sue

interazioni con le altre funzioni aziendali quali:
• Internal Audit
• Legale e Societario
• Formazione
• Risk Management.
Evoluzione delle Funzioni di Compliance e Legale
Nella seconda parte del suo intervento Polidori ha tratteggiato l’evoluzione parallela delle funzioni
di Compliance e Legale in MPS distinguendo tra due periodi:
1) 2007 - 2008: fase iniziale;

2) 2009 - 2010: fase di consolidamento.
Nella prima fase prevalgono gli aspetti di presidio della normativa e l’analisi degli ambiti di
applicazione delle novità normative e regolamentari.
Nella seconda fase la funzione di Compliance si trasforma in una funzione autonoma e indipendente
con riporto diretto agli Organi Aziendali.
Di conseguenza viene sviluppato un apposito framework metodologico ai fine della valutazione
dello stato di conformità, valutazioni qualitative ma integrate con dati quantitativi derivanti
dall’identificazione di specifici Indicatori Rischio non Conformità (IRC).
Rapporti tra Compliance e Legale

Polidori ha poi evidenziato i punti di contatto tra le funzioni Compliance e Legale notando come
nell’ambito dell’attività specifica e dei processi operativi presidiati in maniera diretta dalle due
funzioni emergono ambiti di apparente sovrapposizione, ma che sono da considerare come specifici
punti di contatto tra le due funzioni. Tali ambiti derivano direttamente dalle definizioni di rischio
legale e di rischio di non conformità che presentano aspetti decisamente affini.
In particolare:
1) Il Legale, e la Compliance per quanto di competenza, analizza le possibili fonti normative
primarie e secondarie: Standard Internazionali, Direttive comunitarie, Leggi e Decreti
legislativi, Regolamenti, Circolari interpretative, Sentenze e Disposizioni delle Autorità di
Vigilanza e Controllo.
2) Il Legale fornisce consulenza e la corretta interpretazione della norma, mentre la
Compliance valuta i possibili impatti sulla realtà aziendale (processi, assetti organizzativi,
sistemi IT, etc.).
3) La Compliance, con il supporto delle altre funzioni aziendali (Org. ICT, Business) delinea la
procedura conforme ai dettami normativi e il Legale fornisce pareri laddove la normativa
deve essere interpretata nel dettaglio.
4) La Compliance sovrintende alle implementazioni necessarie e ne valuta l’efficacia in termini
di prevenzione del rischio di non conformità.
Luca Bonzanini, Responsabile Affari Legali e Contenzioso
UBI Banca - Rapporti tra Legale e Compliance nel gruppo
UBI
Il dottor Bonzanini ha illustrato i rapporti tra funzione Legale e funzione Compliance parlando sia
di aspetti normativi e metodologici sia della traduzione “pratica” degli stessi nella realtà quotidiana.
Secondo Bonzanini, in sintesi, al di là dei principi esposti dalla autorità di vigilanza in materia di
conformità alle norme nella pratica in realtà, in banca, vige il consenso che “sull’interpretazione
della norma il Legale ha competenza piena ed esclusiva”.
Bonzanini ha poi relazionato sulla struttura organizzativa adottata nel gruppo UBI soffermandosi
sulle attività condotte dalla funzione “Affari Legali e Contenzioso” e sottolineando i punti di
interrelazione di questa con la funzione di Compliance. I contatti sono frequenti anche perché
Legale e Compliance ragionano entrambe in un’ottica ex ante.
Passando al quadro generale il dottor Bonzanini ha osservato che si percepisce a volte una “volontà
punitiva”nei confronti delle banche da parte delle autorità di settore e del legislatore nazionale; se in
certi casi ciò è stato giustificato da antiche e ormai obsolete modalità operative tuttavia occorre
ribadire che le banche si sono impegnate, negli ultimi anni, in un notevole sforzo per rendere i
propri servizi e prodotti più adatti alle esigenza della clientela anche con investimenti e costi non
indifferenti (si veda ad esempio il recente caso della portabilità dei mutui).
Purtroppo il rischio di non conformità è potenzialmente ovunque anche nella normativa fiscale!
Ciò causa tra l’altro anche sovrapposizione tra le funzioni aziendali a cui a volte si risponde (in
modo erroneo) concedendo totale autonomia alle funzioni di controllo.
Parlando della funzione di Compliance in UBI, Bonzanini ha indicato le aree di sua competenza tra
le quali:
• Usura
• Trasparenza
• Servizi di investimento
• Reclami
ed ha osservato come si tratti di discipline dove il rischio legale è sempre in agguato con effetti non
prevedibili.
Bonzanini ha poi commentato i recenti provvedimenti dell’Arbitro Bancario Finanziari (ABF
http://www.arbitrobancariofinanziario.it/) che troppo spesso, a suo avviso, si pronuncia a favore del
cliente. Bonzanini si è detto preoccupato da tale situazione tanto che le banche potrebbe arrivare a
preferire di non rispettare una decisione dell’ABF e ricorrere alla giustizia ordinaria.
Infine Bonzanini ha descritto 2 esperienze di positiva collaborazione in UBi fra Compliance e
Legale:
1) comitato prodotti;
2) sistemi incentivanti commerciali.
Edoardo Pronello, Responsabile Funzione Compliance
Banca del Piemonte - La ripartizione tra Compliance e
Legale delle attività di consulenza e di validazione dei
processi
Il dottor Pronello ha diviso la sua relazione in due parti:
1) contesto normativo;
2) la situazione in Banca del Piemonte.
Contesto normativo
Pronello ha fornito le definizione e illustrato le differenze tra rischio di compliance, legale e
operativo:
• rischio di compliance: rischio di incorrere in sanzioni giudiziarie o amministrative, perdite
finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative
(di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta,
codici di autodisciplina);
• rischio operativo: rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione
di procedure, risorse umane e sistemi interni, oppure da eventi esogeni; include il rischio
legale ma non quello strategico e reputazionale;
• rischio legale: rischio di subire perdite derivanti da violazioni di legge e regolamenti, da
responsabilità contrattuale o extra-contrattuale ovvero da altre.
Pronello ha poi svolto un’analisi comparata tra la funzione Legale e la funzione Compliance; a suo
avviso esse sono caratterizzate da due approcci profondamente diversi anche in relazione ad
adempimenti ipoteticamente similari o sovrapponibili. Infatti:
• la Funzione Legale risente delle scelte e dell’influenza delle unità di business, mentre la
Funzione Compliance è indipendente dalla aree di business e ciò è espressamente
richiesto/preteso dalla normativa;
• le due funzioni sono caratterizzate da una differente responsabilità nei confronti di “soggetti
esterni” segnatamente le Autorità di Vigilanza e la clientela.
Tali differenze giustificano una scelta organizzativa di separazione delle due funzioni.
La situazione in Banca del Piemonte

La Banca del Piemonte http://www.bancadelpiemonte.it è una banca privata che nasce a Torino nel
1912 come Banca Anonima di Credito su iniziativa di alcune antiche famiglie torinesi. Oggi Banca
del Piemonte è una banca regionale indipendente con oltre 60 filiali in Piemonte.
Nella banca le funzioni di controllo sono:
• Consulenza Legale;
• Compliance;
• Controlli operativi.
In base a questa struttura organizzativa Pronello ha notato come le attività di consulenza e di

validazione ex ante dei processi sono oggetto di possibile sovrapposizione tra la Funzione Legale, la
Funzione Compliance e la Funzione Controlli Operativi. Nella distribuzione dei compiti sono
pertanto stati perseguiti i seguenti obiettivi:
• usufruire delle competenze e delle professionalità esistenti, spesso legate a strutture già
presenti e consolidate;
• evitare ridondanze organizzative, duplicando ruoli e responsabilità;
• garantire la copertura dell’attività, evitando di lasciare aree scoperte (possibile conseguenza
“paradossale” legata alla sovrapposizione di compiti);
• rispondere ai dettami della normativa (che si aspetta un determinato output dalla Funzione
Compliance).
Le scelte organizzative effettuate, in base ai pre elencati obiettivi, sono le seguenti:
• Aree normative di prevalente competenza della Funzione di Compliance

o Normativa inerente l’Intermediazione finanziaria
o Privacy
o Responsabilitàamministrativa degli Enti
o Conflitti di interesse
• Aree di sovrapposizione con la Funzione Legale
o Trasparenza
• Aree di sovrapposizione con la Funzione Controlli operativi
o Antiriciclaggio
o Usura.
Infine il dottor Pronello ha ricordato che le attività di validazione ex ante dei processi è riservata
alla Funzione di Compliance in quanto il termine “validazione” implica un’attività che le stesse
autorità di Vigilanza attribuiscono alla Funzione di Conformità.
Inoltre la Funzione Compliance in Banca del Piemonte viene coadiuvata nella validazione dei
processi dalla Funzione Legale o dalla Funzione Controlli Operativi in base all’area normativa
coinvolta nel processo esaminato.
Quarta sessione - temi aperti:
Compliance, HR & Audit
12 novembre 2010, ore: 09.15 – 11.30
Interventi
• Giancarlo Durante, Direttore Centrale, Responsabile Area Sindacale e del Lavoro ABI,
chairman della sessione - Le politiche retributive aziendali: il contributo della Compliance
• Claudia Pasquini, Responsabile Settore Analisi e Gestione dei Rischi ABI - Gli accordi di
servizio tra funzioni Internal Audit e Compliance
• Giuseppe Aquaro, Membro Comitato per il settore finanziario, AIIA http://www.aiiaweb.it/
– Associazione Italiana Internal Auditors, Responsabile Audit On Site, Unicredit Group - Il
coordinamento complessivo del Sistema dei Controlli Interni in banca
• Claudio Cola, Presidente AICOM – Associazione Italiana Compliance, Responsabile
Compliance Dexia - La Funzione Compliance e i diversi attori del sistema dei controlli:
l’Organismo di Vigilanza (d.lgs 231/2001) e la nuova funzione Antiriciclaggio
• Simone Barbieri, Funzione Compliance Barclays Bank - I controlli di compliance a
distanza
• Adalberto Alberici , Presidente Comitato Scientifico Compliance ABI, Ordinario di
Economia degli Intermediari Finanziari Università di Milano - Riflessioni sulle
interrelazioni tra HR e Compliance
Giancarlo Durante, Direttore Centrale, Responsabile Area
Sindacale e del Lavoro ABI, chairman della sessione - Le
politiche retributive aziendali: il contributo della
Compliance
Il dottor Durante di ABI ha iniziato i lavori della sessione facendo una rapida overview delle
politiche retributive e di incentivazione e dei conseguenti orientamenti dei regulator . Tali temi, ha
ricordato Durane, sono al centro del dibattito in banca già da anni e hanno ricevuto un forte impulso
nel 2008 dopo dissesto Leham Brothers http://it.wikipedia.org/wiki/Lehman_Brothers dovuto
anche a errate politiche di incentivazione del management.
La recente crisi finanziaria ha imposto la necessità di ulteriori riflessioni specie per quanto riguardo
il sistema incentivante delle posizioni apicali e del middle management in banca.
Sul tema il corpus normativo è ampio e in continua evoluzione. Al riguardo Durante ha ricordato
alcuni recenti pronunciamenti delle autorità di settore:
• CESR, The Committee of European Securities Regulators, Inducements: Good and poor
practices, 19 aprile 2010, qui in pdf http://www.cesr-eu.org/data/document/10_296.pdf .
• Banca d'Italia,"Sistemi di remunerazione e incentivazione", 28 ottobre 2010, qui in pdf
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/gov_soc_ban/sist
emi_remunerazione.pdf (qui una sintesi http://www.compliancenet.it/content/banca-d-italia-
sistemi-di-remunerazione-e-incentivazione-comunicazione-n-032156009-28-10-2009)
• European Banking Federation, Remuneration policies after the crisis, 27 aprile 2010, qui in
pdf http://www.ebf-fbe.eu/uploads/27%20April%20Remuneration%20Policies.pdf
• Raccomandazione della Commissione del 30 aprile 2009 sulle politiche retributive nel
settore dei servizi finanziari (2009/384/CE) qui in pdf http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:120:0022:0027:IT:PDF;
• Financial Stability Board, Improving Financial Regulation, Report to G20 Leaders, 25
settembre 2009 qui in pdf
http://www.financialstabilityboard.org/publications/r_090925b.pdf
Esiste concreto il rischio di doversi confrontare con un quadro normativo in continua evoluzione e
alimentato da fonti spesso non coordinate tra loro; secondo Durante al contrario sarebbe auspicabile
avere norme non frutto delle emergenze ma organiche, coerenti e complete; le politiche di
remunerazione dovrebbero, infatti, essere progettate sul lungo periodo e basarsi su un contesto di
legge stabile.
Tutto ciò è di ovvio interesse per la Compliance perché nelle banche deve esserci conformità anche
nel sistema incentivante specie per chi ha la responsabilità di business.
Durante ha poi analizzato il problema delle fonti normative per la compliance. Una volta le
banche si misuravano solo con fonti del diritto nazionali; oggi non solo devono tener conto del
contesto comunitario e internazionale ma anche di nuove fonti normative che pur non essendo
“fonti di diritto” tuttavia hanno una grande moral suasion e la cui sottovalutazione potrebbe portare
a perdita di reputazione e di fiducia da parte degli stakeholder.
Il Contratto Collettivo Nazionale del credito si era già posto il problema del sistema di
incentivazione nel 1994 cercando di introdurre elementi di “oggettività”; nel 1997 fu poi introdotto
un “protocollo” di intesa per le parti proprio su questo tema.
Oggi uno degli aspetti più delicati è trovare un equilibrio (e rispettare la conformità) rispetto al
nuovo quadro regolatorio ed in primo luogo rispetto alla MiFID.
Forse, ha osservato Durante, è ancora presto per arrivare a delle conclusioni; tuttavia ci sono trend
significativi di cui si deve tener conto:
1. la parte variabile della retribuzione deve essere legata ad obiettivi e risultati di lungo
periodo della banca e del gruppo;
2. ci deve essere un legame tra l’incentivo e la politica di assunzione di rischio della banca;
3. attenzione all’incidenza della retribuzione variabile a breve termine sul totale.
I punti aperti e che richiedono invece ulteriori riflessioni sono:
1) serve una chiara definizione del perimetro normativo della compliance ed individuazione
della validità delle fonti da cui scaturiscono gli obblighi;
2) va chiarito l’ambito delle possibili verifiche da parte della funzione di Compliance: il quadro
legale è ancora instabile e non è ancora chiaro cosa e come è lecito premiare; d’altra parte è
ovvio che una proposta normativa completamente “oggettiva” non possa essere possibile
perché la valutazione delle prestazioni è fondamentalmente legata ad una valutazione
soggettiva da parte della azienda;
3) non è chiaro come le regole debbano essere applicate ai cosiddetti risk taker cioè al Risk
Manager ed a coloro che fanno parte del Sistema dei Controlli.
In conclusione del suo intervento Durante ha sottolineato che in ogni caso vanno tenuti distinti i
ruoli delle Risorse Umane e quello della Compliance.
Infatti alle Risorse Umane va assegnato il compito di definire e valutare i criteri di attribuzione
dei premi mentre alla Compliance è riservato il compito di verifica la coerenza del sistema
premiante con il quadro normativo.
Claudia Pasquini, Responsabile Settore Analisi e Gestione
dei Rischi ABI - Gli accordi di servizio tra funzioni Internal
Audit e Compliance
La dottoressa Pasquini ha presentato i primi risultati di un Gruppo di Lavoro (GdL) ABI relativo a
metodologia e principi di riferimento per la stesura di Accordi di Servizio (AdS) tra Funzione
Compliance e Internal Auditing.
Per accordo di servizio si intende, ha spiegato Paquini, un testo che, sebbene ai soli fini interni,
impegna formalmente:
a) la funzione aziendale erogatrice del servizio nei confronti della funzione fruitrice;
b) entrambe le funzioni rispetto ai vertici dell’organizzazione.
Nell’ambito dell’Accordo possono essere inseriti precisi Services Level Agreement (SLA) ossia
metriche di servizio che devono essere rispettate dall’erogatore e che precisano il livello di servizio
atteso.
L’accordo può intercorrere tra funzioni non presenti nella medesima azienda ma anche tra funzioni
appartenenti ad aziende diverse.
Prima di enunciare i principi suggeriti la dottoressa Pasquini ha ricordato che essi sono da
considerare:
• non esaustivi;
• da interpretare ed adattare alle singole realtà aziendali;
• da declinare secondo il principio di proporzionalità.
Nel documento le “parti” sono definite come FC (Funzione Compliance) e IA (Internal Auditing);
tuttavia si possono applicare i principi esposti anche in AdS tra la FC e altre funzioni di controllo
della banca; ad esempio, si può fare riferimento ad uno specifico nucleo ispettivo sebbene non
appartenente all’Internal Auditing o all’Operational Risk Management.
La metodologia utilizzata si compone delle seguenti fasi:
• analisi dei principali riferimenti normativi in materia

• esame degli AdS realmente in uso, messi a disposizione da alcuni partecipanti del GdL
• identificazione degli elementi comuni rintracciati in tali Accordi (assunti come prima ipotesi
di principi) e successiva discussione nel GdL.
I principi di riferimento (i magnifici sette) sono:
1. evitare duplicazioni nell’esercizio delle attività di controllo e verifica (principio di

economicità);
2. garantire il costante coordinamento tra le due funzioni rispetto all’oggetto dell’accordo;
3. descrivere in maniera idonea l'oggetto dell’accordo;
4. stabilire chiaramente le responsabilità, i diritti e gli obblighi reciproci derivanti dall’accordo;
5. definire i flussi informativi bidirezionali e fissare i loro contenuti e la relativa periodicità;
6. pianificare le verifiche e la loro modalità di svolgimento;
7. specificare durata, validità e rinnovo dell’AdS.
Pasquini ha ricordato che i principi hanno mero carattere indicativo, non vogliono essere vincolanti
e non devono essere considerati “best practices” o modelli “pronti” per essere inseriti acriticamente
nel testo del proprio AdS.
La dottoressa Pasquini si è soffermata in particolare sul terzo principio relativo alla “descrizione
idonea dell’oggetto dell’accordo” per sottolineare l’importanza di approfondire e formalizzare
alcuni punti fondamentali:
• perimetro, ambiti, popolazione (unità o processi aziendali), rischi e controlli collegati;

• metodologie, tecniche di campionamento utilizzate, scelta tra verifiche in o off site, check
list da utilizzare, ecc.
• frequenza di conduzione delle verifiche;
• output, deve comprendere solo informazioni raccolte e classificate secondo una struttura
predefinita (esito della verifica) o, in aggiunta, una valutazione ben più vicina all’output
finale proprio della FC (esito di controllo di conformità).
In conclusione del suo intervento la dottoressa Pasquini ha ricordato che i lavori su questo GdL
sono ancora in corso e che l’elaborato finale è previsto per gennaio 2011 per cui eventuali
commenti e contributi sono graditi e possono essere inviati a compliance@abi.it .
Giuseppe Aquaro, Membro Comitato per il settore
finanziario, AIIA – Associazione Italiana Internal Auditors,
Responsabile Audit On Site, Unicredit Group - Il
coordinamento complessivo del Sistema dei Controlli
Interni in banca
Il dottor Aquaro ha esordito ricordando che controlli e governo societario sono aspetti solo
apparentemente distinti: in realtà si integrano e concorrono insieme al buon funzionamento di
un’impresa.
Il sistema dei controlli interni è parte integrante dei meccanismi di governo societario: una
buona percentuale di controlli sta nella governance e una buona governance vuol dire buoni
controlli.
Gli assetti organizzativi e di governo delle banche devono pertanto essere tali da realizzare gli
interessi dell’impresa e allo stesso tempo contribuire ad assicurare condizioni di sana e prudente
gestione.
L’Internal Governance delle banche è un elemento strategico per assicurare la sana e prudente
gestione: le disposizioni di vigilanza emanate dalla Banca d'Italia contengono, tra le altre, regole di
Internal Governance (si veda: la Banca d’Italia, Le nuove disposizioni di vigilanza in materia di
organizzazione e governo societario delle banche, 4 marzo 2008, qui in pdf
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/disposizioni_040308.pdf)
in cui particolare attenzione viene dedicata al sistema dei controlli interni. Efficaci controlli,
esercitati da funzioni di controllo autorevoli, attive e indipendenti sono presidi imprescindibili della
solidità della banca.
Aquaro ha poi illustrato i requisiti di Banca d’Italia relativi al Sistema dei controlli in banca
osservando come il mutato contesto finanziario abbia spinto ad un passaggio dagli strumenti tipici
della vigilanza strutturale a forme più evolute di controllo, proprie della risk based supervision.
Passando al ruolo della funzione di Internal Audit, Aquaro ha ricordato che si tratta di una
funzione indipendente istituita dal management di un’impresa quale parte integrante del Sistema
dei Controlli Interni.
L’Internal Audit:
• effettua una attività di “assurance” e “consulting” indipendente, oggettiva e finalizzata a
valutare, valorizzare e migliorare il Sistema dei Controlli Interni della Banca;
• aiuta la Banca a raggiungere i propri obiettivi di sana e prudente gestione secondo un
approccio sistematico e disciplinato al fine di valutare e migliorare l’adeguatezza
dell’operatività della banca.
Aquaro ha poi descritto l’organizzazione della funzione di Internal Audit in UniCredit: essa assicura
il coordinamento delle attività delle entità con un sistema manageriale di gestione basato sul
concetto delle “competence line”.
In particolare l’Internal Audit department in qualità di “competence line” opera trasversalmente
rispetto alle strutture societarie vigenti, nel rispetto delle responsabilità assegnate dalle leggi e
normative locali.
Da notare, ha sottolineato Aquaro, che in Unicredit il Group Audit adotta una struttura
organizzativa suddivisa per tipologia di rischio.
Aquaro è poi passato ad analizzare il rapporto tra Internal Audit e funzione di Compliance
ricordando, tuttavia, che l’Internal Audit sottopone a periodiche verifiche l’adeguatezza e l’efficacia
della funzione di Compliance.
Infine Aquaro ha approfondito l’aspetto dell’attività consulenziale della funzione di Internal Audit
ricordando in primo luogo che l’attività consulenziale effettuata non deve compromettere
l’indipendenza dell’Internal Audit.
In generale l’IA non prende parte:
• alla definizione di processi e procedure;
• all’identificazione dei relativi controlli;
• alla stesura di procedure e normative interne e di Gruppo.
L’attività consulenziale permessa consiste in:
• partecipazione ai principali progetti (senza“decision making authority”);

• fornire un’opinion sui nuovi processi, policy e procedure e nuovi prodotti in termini di rischi
e relativi controlli;
• partecipazione ai principali Comitati di Gruppo (come uditore senza diritto di voto);
• Sanity check.
Claudio Cola, Presidente AICOM – Associazione Italiana
Compliance, Responsabile Compliance Dexia - La
Funzione Compliance e la pluralità dei soggetti del Sistema
dei Controlli Interni: l’Organismo di vigilanza (D.lgs
231/2001) e la funzione antiriciclaggio
L’avvocato Caludio Cola, presidente dell’Associazione Italiana Compliance (AICOM

http://www.assoaicom.org/ ) ha relazionato sul tema della pluralità delle funzioni di controllo
presenti in banca.
Già la semplice elencazione (parziale) dei soggetti e delle figure che hanno responsabilità di
controllo in banca (tenendo conto solo della normativa bancaria degli ultimi 15 anni) evidenzia che
c’è un problema di iper regolamentazione e di sovrapposizioni di norme:
• Responsabile Sicurezza
• CdA con compiti di vigilanza
• Responsabile Internal Audit
• Sistema Controlli Interni TUF
• Sistema Controlli Interni Codice Preda
• Comitato Audit
• Organismo di Vigilanza 231/01
• Revisore contabile
• Dirigente preposto documenti contabili
• Responsabile Funzione di Compliance
• Responsabile/i Privacy
• Responsabile Risk
• Responsabile ICAAP
• Responsabile Antiriciclaggio (doc. Banca d’Italia in consultazione)
• Amministratori indipendenti operazioni parti correlate.
In realtà, ha osservato Cola, siamo di fronte ad una vera e propria “galassia” degli
organi/funzioni/responsabili dei controlli che nasce da interventi normativi, diffusi nel tempo e
riconducibili a fonti diverse sia comunitarie sia nazionali e spesso contingenti.
Questa “dispersione”, ha osservato Cola, rende critica la gestione dei controlli aziendali con
aumento dei rischi operativi e reputazionali.
Cola è poi passato ad una analisi “comparativa” tra le attività della funzione di Compliance e quelle
dell’Organismo di Vigilanza ai sensi del d.lgs. 231/2001.
L’Organismo di Vigilanza ha i seguenti principali compiti:
• assicurarsi che il Modello Organizzativo sia coerente con le norme del D.lgs. 231/2001 e
con le linee guida delle associazioni di categoria;
• verificare che il Modello Organizzativo sia nel tempo aggiornato in relazione alle novità
normative e organizzative;
• vigilare affinché il Modello Organizzativo sia osservato.
Il Compliance risk (ossia il rischio di perdite, sanzioni o di ricadute reputazionali per il mancato
rispetto di norme di etero e di autoregolamentazione) ha un evidente rapporto di genere a specie
con il rischio di compimento di illeciti ricompresi nel D.lgs. 231/2001, ha sottolineato Cola.
Dunque tra le attività dell’Organismo di Vigilanza e le attività della funzione di Compliance
esistono evidenti rapporti e possibili sinergie.
In particolare:
• la Compliance può rappresentare uno dei principali supporti dell’Organismo di Vigilanza;
• il responsabile della Compliance può divenire uno dei componenti dell’Organismo di
Vigilanza.
L’intervento di Cola si è concluso con una serie di considerazioni nell’ambito del Sistema dei
Controlli:
• non si osserva alcun tentativo di razionalizzazione e di riconduzione a unità rispetto alla già
abbondante presenza di soggetti e figure di controllo;
• si manifesta con forza un problema di governance complessiva del sistema dei controlli
probabilmente da gestire all’interno del “progetto societario”;
• si pone evidente un problema non meno importante di commitment del vertice aziendale, di
responsabilità delle persone incaricate, di adeguatezza qualitativa e quantitativa delle risorse
da destinare alle funzioni di controllo.
Simone Barbieri, Funzione Compliance Barclays Bank - I
controlli di compliance a distanza
Il dottor Barbieri ha ricordato che l’evoluzione del ruolo della funzione di Compliance sviluppa in
maniera crescente il compito di controllo costante a presidio della conformità focalizzando sulla
necessità di un presidio completo delle materie regolamentari, mediante:
1. controlli di impianto (ex-ante)
2. controlli operativi / funzionali (ex-post) tra i quali i controlli a distanza.
L’attività di controllo a distanza è caratterizzata dall’estrazione, elaborazione ed analisi di dati ed

informazioni contenute negli archivi informativi aziendali, con l’obiettivo di rilevare
tempestivamente eventuali anomalie operative e/o comportamentali e valutarne l’impatto in
termini di rischio.
Peculiarità del controllo a distanza sono:
• grande quantità di dati e informazioni a disposizione (es. DWH, business intelligence)
• velocità di rilevazione delle eventuali anomalie operative (real time)
• riduzione dei costi rispetto alle verifiche on-site
• continuità e flessibilità del controllo
• tracciabilità e riproducibilità dell’analisi.
Centrale per i controlli a distanza sono i sistemi IT; infatti l’efficacia dei controlli a distanza è
funzione, inter alia, della disponibilità di archivi informatici accentrati e di strumenti evoluti di
business intelligence o applicativi dedicati che consentano l’accesso autonomo da parte delle
funzioni di controllo e l’elaborazione di dati che siano:
• aggiornati
• completi
• dettagliati
• affidabili.
Barbieri ha poi illustrato come progettare i controlli a distanza di Compliance. A tal fine è
necessario:
• definire in maniera chiara lo scopo del controllo;
• verificare ed analizzare la disponibilità delle fonti informative;
• identificare le caratteristiche e la dimensione di analisi;
• identificare l’indicatore di rischio (Key Risk Indicator);
• stabilirne la frequenza di aggiornamento (giornaliero, settimanale, mensile, ..);
• identificare delle soglie di attenzione dei KRI che tengano in considerazione la probabilità e
l’impatto del rischio ed il risk appetite della Banca.
L’analisi e gli indicatori devono essere in grado di fornire contemporaneamente sia una
rappresentazione statica sia una rappresentazione andamentale del rischio.
Barbieri ha poi fornito una serie di esempi di controlli a distanza su tematiche di Compliance:
• proposizione dei prodotti bancari e assicurativi
• servizi di investimento - MIFID
• attività dei promotori finanziari
• Market Abuse
• Antiriciclaggio.
In conclusione del suo intervento Barbieri ha mostrato come i controlli a distanza possono
contribuire alla creazione di valore.
I controlli a distanza tuttavia non rappresentano una alternativa ai “tradizionali” controlli on-site,
ma contribuiscono a focalizzare, indirizzare, prioritizzare i controlli diretti nelle aree a maggior
componente di rischiosità, secondo un approccio risk based.
Le verifiche on-site restano pertanto indispensabili sia per integrare, in un’ottica di
complementarietà, le informazioni e le conoscenze non ottenibili da remoto, sia per fornire un
feedback sull'attendibilità delle indicazioni fornite dalle analisi effettuate a distanza, contribuendo
in questo modo al loro affinamento e miglioramento continuo.
Integrazione quindi non solo delle diverse tipologie di controlli ma anche integrazione funzionale
nel processo di controllo attraverso:
• la condivisione delle informazioni e delle risultanze delle attività di monitoraggio tra le
funzioni di controllo, sfruttandone le sinergie, con particolare riferimento alle attività di Risk
Management, Compliance ed Internal Audit (flussi informativi);
• il miglioramento dell’utilizzo delle risorse cercando di contenere la duplicazione dei
controlli attraverso una visione unitaria del processo di controllo e accordi di collaborazione
(SLA);
• la conseguente riduzione dei costi del controllo.
Adalberto Alberici, Presidente Comitato Scientifico
Compliance ABI, Ordinario di Economia degli
Intermediari Finanziari Università di Milano - Riflessioni
sulle interrelazioni tra HR e Compliance
Il professor Alberici http://www.economia.unimi.it/index.php?id=alberici ha svolto un

appassionante intervento sul tema “compliance e cultura”.
La relazione ha dapprima indicato due fasi storiche attraverso cui è passata la funzione di
Compliance in banca:
• fase 1 - compliance inespressa ovvero “il necessario presidio delle regole”;
• fase 2 – compliance proattiva ovvero “il presidio della cultura aziendale”.
Oggi fortunatamente la compliance viene percepita come “valore di fondo nella cultura aziendale”
così come richiedeva già il Comitato di Basilea nel 2005. Ciò significa che occorre rafforzare i
presidi volti a orientare la cultura aziendale, il rigoroso rispetto delle regole, la corretta gestione dei
conflitti di interesse, la conservazione del rapporto fiduciario con la clientela.
La compliance proattiva “conviene” anche nei rapporti con le authority perché va creata una cultura
aziendale “nuova, esclusiva, riconoscibile” così come diceva Annamaria Tarantola, vice Direttore
Generale di Banca d’Italia, ne “La funzione di compliance nei sistemi di governo e controllo delle
imprese bancarie e finanziarie”, 4 ottobre 2007, qui in pdf
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf p.12)
“Se la compliance non agirà in questo modo, potrebbero sorgere dubbi …. nelle stesse Autorità di
vigilanza, circa la capacità e la volontà degli amministratori di adempiere alle proprie responsabilità
in punto di sana e prudente gestione requisito essenziale per la proficua permanenza nel mercato.”
(Annamaria Tarantola, ibidem, p.16)
Ma, ha osservato Alberici, la compliance proattiva sta muovendo solo ora i primi passi perché la
cultura ha a che fare con le persone e modificare i comportamenti è più complesso che applicare
nuove regole.
D’altra parte ha sottolineato il professor Alberici, le banche italiane scontano ancor oggi un antico
vizio d’origine: le banche italiane infatti sono le uniche aziende che sono diventate imprese “per
legge” (art. 10 TUB).
Occorre allora agire attraverso “azioni formative e informative su tematiche di conformità, quali
strumenti di sviluppo di una cultura aziendale di compliance” (Annamaria Tarantola, ibidem, p.8).
Secondo Alberici occorre “chiarezza” di ruoli nel condurre la formazione. In particolare occorre
chiarire chi è effettivamente il responsabile della formazione per la cultura aziendale.
Secondo Alberici il responsabile deve essere la funzione di Compliance ed in particolare il
Compliance Officer mentre le Human Resources (HR) sono un semplice “organo tecnico esecutivo”
e non un “supplente”.
Purtroppo osserva Alberici i legami collaborativi fra Compliance e HR sono ancora scarsi rispetto a
quelli con le funzioni di controllo e commerciali e solo le “interdipendenze informali” limitano
talvolta i rischi conseguenti.
Le Funzioni di compliance, comunque, dispongono ormai di budget di spesa indipendenti (che la
Vigilanza valuta) da utilizzare in autonomia.
Ma come fare formazione realmente efficace?
L'attività di formazione deve configurare un “percorso di formazione orientato ai comportamenti”
che:
• deve originare dai principi dalla deontologia che, vertendo su valori alla base dell'
assunzione di responsabilità di tutti gli stakeholder, prescinde da qualsiasi dettaglio
regolamentare;
• si deve sviluppare sul Codice etico e su un qualificato corpus regolamentare interno per il
consolidamento di una cultura aziendale basata sui valori dell’impresa, sulla conoscenza
delle normative e dei rischi di non conformità, sulle conseguenze organizzative e sui costi
per l’impresa e per le persone di comportamenti non conformi.
La formazione dovrebbe essere obbligatoria, capillare, “continua”, documentata, efficace, quindi
certificata e verificata seguendo, ad esempio, le prassi e i metodi in uso per la Responsabilità
amministrativa dell’impresa (D.Lgs. 231/01)
Infine si ricordi che il percorso di formazione deve essere rivolto a tutto il personale della banca a
partire dagli amministratori, sindaci, top management fino ai neoassunti. Ovviamente sono
possibili percorsi differenziati:
• approccio di general management per executive (interfunzionalità, integrazione dell’attività
aziendale, problem solving, comunicazione, gestione di processi organizzativi e dei conflitti,
etc)
• approccio tipo specialist
• formazione verticale sui temi classici della conformità (MiFID, antiriciclaggio, trasparenza
bancaria, protezione dei dati personali, etc.)
• interventi per analisti di organizzazione
• interventi di “formazione per formatori”.
Sarebbe importantissimo inoltre progettare attività di vero e proprio knowledge management per
costruire, all'interno della banca, una “network informativo e di comunicazione” che possa
accelerare la costruzione di una sensibilità comune sui temi della compliance, facilitare la
condivisione delle informazioni e la capitalizzazione delle esperienze.
In conclusione occorre favorire l’eccellenza, magari con una certificazione indipendente, di
carattere metodologico e di risultato, del Compliance Officer, dei membri della funzione e dei
processi di Compliance a valle di percorsi formativi e privilegiare iniziative di sviluppo delle risorse
attivate per l’eccellenza delle l’attività di compliance (analisi di clima, forum, etc).
Quinta sessione - temi aperti: la
compliance sui servizi di investimento
12 novembre 2010, ore: 11.45 – 14.00
Interventi:
• Massimo Roccia, Responsabile Area Business ABI, chairman della sessione - Il ruolo della
Funzione Compliance nei servizi di investimento
• Carlo Appetiti, Head of Compliance Italy Deutsche Bank - Il Compliance Plan e il rapporto
con le altre funzioni della banca
• Alessandro Papaniaros, Responsabile Compliance Banco Popolare - Il regime dei conflitti
di interesse e degli inducement dal punto di vista della Funzione Compliance
• Giulio Giorgini, Senior Partner Bee Team - Metodologie ed esperienze a supporto
dell’attività di compliance nei servizi di investimento
• Massimiliano Passaro, Responsabile Compliance Bancoposta Poste Italiane - La gestione
del processo di compliance applicato ai servizi di investimento
• David Sabatini, Responsabile Settore Finanza ABI - L’evoluzione del ruolo della Funzione
Compliance nei servizi di investimento.
Massimo Roccia, Responsabile Area Business ABI,
chairman della sessione - Il ruolo della Funzione
Compliance nei servizi di investimento
(Slide disponibili nella Compliance Community di ABIFormazione: http://www.compliance-
community.it/documents/97/)
Il dottor Roccia ha trattato il tema della funzione di compliance alla luce della direttiva MiFID.
La Compliance, secondo la MiFID:
• assicura comportamenti corretti e trasparenti

• assume valenza strategica nel mantenimento di corrette relazioni di clientela
• controlla e valuta l’adeguatezza e l’efficacia delle procedure interne dell’intermediario
• fornisce vantaggi competitivi duraturi
• costituisce una componente importante del processo di creazione del valore aziendale.
Ciò significa che occorre adottare una “Compliance Policy” per i Servizi d’Investimento che
garantisca:
• adozione e mantenimento di procedure di controllo di conformità con riguardo alle

disposizioni dettate per la prestazione dei servizi d’investimento
• istituzione obbligatoria dell’unità organizzativa deputata allo svolgimento della funzione di
compliance
• formalizzazione del mandato con una chiara definizione degli obiettivi di tutela della
clientela.
È altresì necessario, ha osservato Roccia, garantire l’indipendenza della funzione di Compliance.

Ciò è possibile assicurando:
• assenza di vincoli gerarchici tra il responsabile della funzione e i responsabili delle funzioni
sottoposte a controllo
• riporto diretto agli organi aziendali da parte del responsabile della funzione
• divieto ai soggetti rilevanti che contribuiscono allo svolgimento della funzione di
partecipare alla prestazione dei servizi oggetto del loro controllo
• metodo per la remunerazione degli addetti della funzione tale da non compromettere la loro
obiettività
• dotazione adeguata della funzione in termini di autorità, risorse (quantitative e qualitative
per competenze professionali) e strumenti operativi per lo svolgimento dei compiti.
Roccia ha poi indicato quali siano le macro-aree di controllo della Compliance e cioè:
1. assunzione delle scelte strategiche sul modello di business (comportamento strategico);

2. processi organizzativi con i quali si (pre)definisce lo stesso modo di agire dell’intermediario
nella prestazione dei servizi di investimento (comportamento funzionale);
3. condotta concretamente posta in essere nel rapporto con la clientela (comportamento
operativo).
Sono tuttavia emerse alcune criticità nell’applicazione della MiFID:
• strategie di politica commerciale - Processo di definizione del budget

• strategie di politica commerciale - Sistema incentivante
• adeguatezza bloccante
• trasparenza contrattuale
• consulenza a valore aggiunto
• adeguatezza di portafoglio o per singolo prodotto.
In conclusione del suo intervento il dottor Roccia ha ricordato le “Linee Guida” Interassociative
realizzate da ABI, ASSOSIM e FEDERCASSE.
Carlo Appetiti, Head of Compliance Italy Deutsche Bank -
Il Compliance Plan e il rapporto con le altre funzioni della
banca
L’intervento del dottor Appetiti si è articolato in due parti:
1. la Compliance nel Gruppo Deutsche Bank (DB). Principi globali ed organizzazione locale;
2. la pianificazione delle attività della Compliance.
La Compliance nel Gruppo Deutsche Bank (DB). Principi globali ed

organizzazione locale
Appetiti ha illustrato il posizionamento della funzione di Compliance nel gruppo DB: essa segue
una doppia linea di riporto, territoriale e divisionale, per tenere in considerazione esigenze di
business globali e specifiche regolamentazioni locali (es. MiFID).
La funzione di Compliance è stata istituita nell’aprile 2000 con ruolo e funzioni esplicitate nel
Regolamento degli Organi Sociali, nel Sistema dei controlli interni e nelle Politiche di gestione del
compliance risk della DB SpA e delle controllate.
La gestione del rischio di compliance segue un modello “federale” mentre per quel che riguarda
l’interazione tra Compliance e funzioni coinvolte nella gestione del Compliance Risk:
• il Responsabile dell’Unità Compliance è il Responsabile della Funzione di Conformità, e
coordina e supervisiona le interazioni tra Compliance e le altre strutture organizzative
coinvolte nella gestione del Compliance Risk;
• le strutture incaricate di attività di compliance e/o controlli di conformità formalizzano,
applicano e rivedono periodicamente proprie procedure che specificano in forma chiara e
documentata i compiti da svolgere.
La pianificazione delle attività della Compliance

Annualmente viere redatto un “Compliance Plan” che pianifica le 4 principali attività in carico alla
funzione:
1. consulenza;
2. formazione;
3. prevenzione;
4. monitoraggio.
Input del piano di attività sono fattori sia “interni” sia “esterni”:
• fattori interni
o CRAM: Deutsche Bank Group Compliance Risk Assessment Methodology
o AML Risk Assessment
o risultanze dei controlli svolti nell‘anno e delle attività di follow-up
• fattori esterni
o mappatura/conoscenza di attività/servizi/prodotti offerti
o pianificazione strategica di business almeno per l‘anno successivo
o presidio normativo
o interazioni con altre funzioni di controllo (ORM e Audit)
o richieste delle autorità
o interazione tra compliance e altre funzioni di controllo.
Appetiti ha poi evidenziato l’importanza di un costante scambio informativo tra le funzioni di

controllo tramite:
• segnalazione reciproca delle risultanze delle attività di verifica
• incontri trimestrali (anche per analisi delle singole pianificazioni)
• partecipazione a Comitati (Operating Risk Committee, Audit Committee, OdV 231,
Reputational Risk Committee)
• task force e incontri su tematiche specifiche (ad esempio, gestione dei reclami, ORM
meeting divisionali, compliance investigations)
• condivisione delle analisi nell’ambito della partecipazione a progetti aziendali.
In questo processo è tuttavia essenziale tenere sotto controllo alcuni punti di attenzione:
• attenta pianificazione delle attività per le società del Gruppo (3 banche, 1 SIM, 1 SGR, 1
Fiduciaria, branch locale di Deutsche Bank AG)
• necessità di integrare il modello di Business “Divisionale” e le esigenze di efficienza della
Funzione
• interazione con Casa Madre sulle attività locali
• impatti del Reg. 17297/2010: la valutazione del piano strategico di Business
• compresenza di attività “ex ante” ed “ex post”.
In conclusione del suo intervento, Carlo Appetti ha commentato la “struttura” del piano di attività.
In esso per ciascuna attività sono indicate:
• la tipologia di attività (consulenza preventiva, monitoraggio ex post, formazione e altre
attività finalizzate alla diffusione di una cultura di conformità alle norme tra i dipendenti)
• l’area normativa di riferimento (trasparenza, gestione dei conflitti di interesse, attività di
intermediazione, mercati, attività antiriciclaggio, gestione dei rapporti con le Autorità di
Vigilanza, etc.)
• la frequenza di svolgimento, in caso di attività svolte in via continuativa o con periodicità
definita (soggetta a modifiche in corso d’anno)
• le funzioni/unità aziendali coinvolte
• i flussi informativi da altre funzioni/unità aziendali coinvolte alla U.O. Compliance.
A soli fini interni alla funzione, per ciascuna attività sono indicate le risorse assegnate, l’impegno
preventivato e l’output richiesto.
Alessandro Papaniaros, Responsabile Compliance Banco
Popolare - Il regime dei conflitti di interesse e degli
inducement dal punto di vista della funzione Compliance
Il dottor Papaniaros ha svolto un articolato ed esauriente intervento sul tema del conflitto di
interesse. Di seguito l’agenda dell’intervento.
• Conflitti di Interesse
o Identificazione dei conflitti
o Gestione dei conflitti
o Disclosure dei conflitti
o Registro dei conflitti
o Processo per la rilevazione e la gestione dei conflitti
• Inducement
o Classificazione dei compensi
o Test di ammissibilità
o Disclosure degli inducement
o Processo per la rilevazione e la gestione degli inducement.
Conflitti di Interesse
Papaniaros ha cominciato ricordando le principali novità introdotte dalla nuova normativa rispetto
alla precedente. In primo luogo le nuove norme attribuiscono un valore determinante alle procedure
e misure organizzative che l’intermediario è tenuto a porre in essere al fine di una corretta
individuazione e gestione dei conflitti di interesse nella prestazione dei servizi e attività di
investimenti ed accessori.
Inoltre ora la disclosure non è più da sola sufficiente ad adempiere agli obblighi imposti dalla
normativa e va prevista nei soli casi in cui le misure adottate dall’intermediario non siano ritenute
sufficienti a tutelare il cliente.
Infine la norma adesso impone l’obbligo all’intermediario di consegnare ai clienti la propria Policy
sui conflitti di interesse.
Nel Banco Popolare la valutazione dei conflitti prevede il coordinamento al livello del Gruppo, con
un ruolo centrale di control room e guida nelle valutazioni assegnato alla Compliance della
Capogruppo.
In particolare:
• la valutazione e gestione dei conflitti potenziali viene svolta dalle funzioni di Compliance (o
omologhe) degli intermediari interessati, con il coordinamento della Compliance della
Capogruppo;
• alla Compliance della Capogruppo è attribuita una funzione di control room delle situazioni
di conflitto, svolta avvalendosi del “concentratore” di Gruppo (base dati situazioni rilevanti);
• la Compliance della Capogruppo ha inoltre la responsabilità di tenere il registro dei
conflitti, che è unico al livello del Banco, e che prevede viste logiche specifiche per ogni
intermediario autorizzato.
La procedura “Conflitti di Interesse” elabora le segnalazioni effettuate per rilevare l’esistenza di

conflitti e le storicizza nel Registro dei conflitti di interesse, indicando:
• il servizio al quale si riferisce la registrazione
• la tipologia e la condizione di conflitto
• la funzione e la persona che segnala la situazione di conflitto
• l’emittente di strumenti finanziari o lo strumento specifico ai quali il conflitto si riferisce
• l’esito delle valutazioni della funzione di Compliance sulle modalità di gestione e di
disclosure
• il testo standard della disclosure del conflitto (se prevista).
Per quanto riguarda l’identificazione dei conflitti la funzione di Compliance ha contribuito ad

identificare tutte le situazioni di conflitto di interesse, indicando il perimetro delle attività ed il
perimetro dei soggetti coinvolti.
Papaniaros ha poi indicato le principali tipologie di conflitti che sono classificate secondo due
categorie: tipologie legate ai rapporti intrattenuti dal Gruppo e dai Soggetti Rilevanti con
l’emittente degli strumenti finanziari oggetto dei servizi prestati e tipologie legate alla prestazione
dei servizi a uno o più clienti.
Passando alla “gestione” dei conflitti la funzione di Compliance ha contribuito ad identificare le

misure di gestione per ciascuna tipologia di conflitto individuata; esse sono articolate in:
• presidi logistico / organizzativi
• predisposizione di Policy e regolamenti interni.
Inducement
Nella seconda parte del suo intervento il dottor Papaniaros ha ricordato che funzione di Compliance
ha contribuito all’analisi ed alla classificazione delle convenzioni vigenti in capo alla banche del
Gruppo, sulla base della nuova normativa sugli inducements.
Sono stati così individuati accordi che prevedevano remunerazioni:
• ammissibili;
• non ammissibili;
• ammissibili in presenza di determinate condizioni (test di ammissibilità) volte ad assicurare
che i compensi fossero idonei ad:
o accrescere la qualità del servizio fornito al cliente;
o non ostacolare l’adempimento da parte dell’intermediario dell’obbligo di servire al
meglio gli interessi del cliente.
Giulio Giorgini, Senior Partner Bee Team - Metodologie ed
esperienze a supporto dell’attività di compliance nei servizi
di investimento
Il dottor Giorgini ha svolto la sua relazione dividendola in due parti:

1. il Sistema dei controlli della Funzione Compliance;
2. il presidio della documentazione come leva del controllo (il caso della contrattualistica
MiFID).
Il Sistema dei controlli della Funzione Compliance

Giorgini ha ricordato che la mission della funzione di Compliance, che deve garantire il presidio del
rischio di non conformità (o rischio di compliance), trova declinazione anche nel complessivo
sistema dei controlli interni della banca.
Partendo dal modello di “risk assessment” scelto dalla banca è necessario individuare un set di
controlli efficaci in grado di:
• garantire il presidio del rischio di non conformità;
• individuare, e nel tempo monitorare, le opportune azioni di mitigazione del rischio (es.
interventi su procedure, formazione, ecc..).
Gli elementi da presidiare sono:

• processi;
• comportamenti;
• procedure.
Giorgini ha poi illustrato alcuni esempi di controlli su processi e procedure ricordando che:
• rappresentano la tipologia di controlli su cui il sistema bancario si è principalmente
concentrato;
• il disegno puntuale dei controlli è specifico per ciascuna banca e dipende fortemente dai suoi
processi e procedure;
• tipicamente i controlli sono a distanza e gestiti con strumenti di analisi sui dati, aggiornati
con periodicità mensile.
Il presidio della documentazione come leva del controllo (il caso della
contrattualistica MiFID)
Nella seconda parte del suo intervento Giorgini ha posto il problema delle dimensioni di presidio
poste alla base del processo di controllo sui documenti.
Infatti il controllo della documentazione è spesso deputato a controlli di linea non strutturati, ad
ispezioni in loco (filiale) e a campione, con conseguente alto costo e limitata significatività.
L’efficacia del controllo dei documenti in ambito servizi d’investimento è un dimensione critica in
quanto l’irregolarità della carta prevale, nel caso di contenzioso, alla regolarità dei dati a sistema.
Occorre allora garantire la tracciabilità della documentazione in quanto il processo di gestione
documentale si basa sul monitoraggio durante le fasi di lavoro e sul recupero sicuro e veloce dello
“storico”.
In conclusione Giorgini ha mostrato esempi di applicazione di strumenti e metodi per il supporto
di tale tipologia di controlli.
Massimiliano Passaro, Responsabile Compliance
Bancoposta Poste Italiane - La gestione del processo di
compliance applicato ai servizi di investimento
Il dottor Passaro ha svolto una ricostruzione “storica” dell’evoluzione di Poste Italiane e descritto
l’attuale assetto organizzativo del gruppo.
Passando al tema della “Compliance” in Bancoposta Passaro ha cominciato col descrivere il
Sistema dei Controlli interni che è articolato in più livelli:
• Supervisione - Organi Societari e Alta Direzione
• III Livello - Attività di revisione interna svolta da funzione dedicata in Bancoposta e Internal
Audit di Poste Italiane
• II Livello - Presidi nel continuo della gestione delle diverse tipologie di rischio con 2
funzioni (Compliance e Risk Mgmt) dedicata a operatività bancaria e finanziaria
• I Livello - controlli di linea accentrati e sul territorio.
Pasaro ha poi illustrato il “processo di Compliance in Bancoposta” che consiste di:

• analisi normativa: allineamento costante all’evoluzione normativa, interpretazione e
declinazione del processo target
• compliance risk assessment: analisi del livello di allineamento al target, identificazione e
valutazione delle aree di potenziale esposizione al rischio, identificazione degli interventi
correttivi
• monitoraggio: svolgimento dei controlli di II livello di Compliance e dell’effettiva
implementazione degli interventi correttivi
• valutazione di sintesi e action plan tenuto conto dell’evoluzione del contesto di business e
operativo
• perimetro normativo focalizzato sulle aree a maggior impatto sul cliente (es. prestazione
servizi di investimento) al fine di assicurare elevati standard di correttezza e trasparenza.
In relazione al processo di compliance Passaro ha osservato quanto segue:
• si opera con una articolazione organizzativa per fase del processo di compliance
• vi è una specializzazione delle risorse (legali/normative, organizzative, audit)
• per singola fase del processo, si attiva un “canale” costante di collaborazione con le altre
funzioni al fine di minimizzare i costi e valorizzare le specifiche competenze
• vi è una continua ricerca di azioni congiunte e/o coordinate verso le unità di
business/commerciali.
Inoltre la complessità aziendale e l’ampiezza del perimetro di analisi richiedono necessariamente

una piattaforma informatica dedicata integrata che permetta:
• alimentazione periodica della normativa
• integrazione delle componenti di Legal Inventory e di Mappatura Processi
• acquisizione e storicizzazione delle informazioni
• fruibilità dei flussi informativi/report ai diversi livelli aziendali.
Al momento, ha ricordato Passaro la funzione di Compliance è in una fase di “Consolidamento”

che prevede l’attivazione dei controlli di II livello sui servizi di investimento, la gestione del
processo di compliance “integrato” su “strumenti di office automation”, il coordinamento e
monitoraggio di progetti aziendali in materia di conformità (es. MiFID, Antiriciclaggio). È in corso
inoltre l’implementazione del sistema informatico target a supporto del processo integrato di
compliance.
In futuro si passerà alla fase di “Messa a regime applicativo/ processo integrato” di Compliance
che prevede:
• completamento implementazione del sistema informatico target
• attivazione ulteriori report
• studio per la realizzazione di un “portale” intranet per il senior management per rafforzare
ulteriormente la diffusione delle informazioni e la consapevolezza del rischio (es. alert
aggiornamenti normativi, principali pareri, TdB di sintesi).
Infine il dottor Passaro ha illustrato un caso di studio dedicato alla verifica di Compliance sui
servizi di investimento.
In sintesi il progetto è consistito nell’identificazione dei possibili rischio di non conformità rispetto
ai processi aziendali impattati dalle attività dei Servizi di Investimento e nel censimento degli
“attributi” del rischio per permettere una valutazione su più viste logiche (es.
normativa/argomenti/ processo/unità organizzativa, prodotti).
Dopo l’identificazione dei rischi si è passato alla loro valutazione “qualitativa” e alla identificazione
delle possibili azioni correttive.
Per la valutazione finale di ciascun rischio, l’assessment qualitativo è integrato nel continuo dalle
evidenze dei controlli di II livello di compliance (positivo, adeguato con aree di miglioramento,
insufficiente). Si è inoltre proceduto con la mappatura dei controlli di II livello di Compliance con
chiara identificazione dell’esecutore (declinazione concreta degli “accordi di servizio” con funzione
di revisione interna).
La valutazione di sintesi a livello di singolo rischio è assegnato sulla base della combinazione tra
l’esposizione al rischio residuo determinata ex-ante e le evidenze del monitoraggio di II livello
risultanti dai controlli ex-post.
In conclusione del suo intervento Passatore ha sintetizzato gli elementi chiave della esperienza di
Banco Poste in tema di controlli.
• Processo di compliance:
o articolato su tre dimensioni: scelte strategiche, assetti organizzativi e procedurali,
comportamento operativo
o come risultato congiunto dell’assessment ex-ante e delle evidenze dei controlli di II
livello di compliance
o “accentrato” nel continuo con ricerca di una costante “interazione” con i process
owner (rilevanza dei flussi informativi)
• Specializzazione delle risorse (articolazione organizzativa della Funzione per “fase del
processo” di compliance)
• Costante attenzione nell’indirizzare la soluzione delle anomalie riscontrate (es. spiccato
ruolo di coordinamento nei progetti aziendali di adeguamento normativo) e nella verifica
degli effetti delle azioni di mitigazione suggerite
• Coinvolgimento nei processi di innovazione e su tematiche di formazione (“prevenzione”)
• Importanza di una piattaforma informatica dedicata e integrata a supporto.
David Sabatini, Responsabile Settore Finanza ABI -
L’evoluzione del ruolo della Funzione Compliance nei
servizi di investimento
Il dottor Sabatini ha illustrato l'evoluzione del ruolo della Funzione Compliance nei servizi di
investimento cominciando col richiamare le “Linee Guida ABI, ASSOSIM, FEDERCASSE” in
tema di rapporti tra la funzione compliance e le altre funzioni coinvolte nella definizione delle
politiche
Commerciali.
Sabatini ha ricordato le recenti indicazioni delle Autorità sul ruolo della funzione compliance,
indicazioni più volte richiamate da diversi relatori nel corso dell’intero convegno.
In varie occasioni/documenti le Autorità hanno richiamato l’attenzione degli intermediari
sull’importanza della funzione di conformità alle norme; contemporaneamente è stato evidenziato
lo scarso coinvolgimento della funzione compliance nei processi di innovazione e nella definizione
delle politiche commerciali
Inoltre nel corso di varie ispezioni svolte dalla Vigilanza (come riportato da Banca d’Italia nel
convegno Compliance in Banks 2009) sono emerse criticità quali:
• inadeguata integrazione nella realtà aziendale della funzione compliance;

• problemi di affidabilità, completezza e tempestività della rendicontazione da parte della
funzione compliance verso gli organi di vertice;
• inadeguato raccordo della funzione compliance con le altre funzioni di controllo.
Anche la CONSOB nell’ambito delle proprie ispezioni ha rilevato alcune criticità nell’operatività
degli intermediari, in particolare con riguardo: “ai criteri di definizione delle politiche commerciali
alla luce del dovere di assicurare la cura dell’interesse della clientela e di contenere e gestire i
conflitti d’interesse” (Consob –Notiziario settimanale - anno XVI - N° 6 - 8 febbraio 2010 in
http://www.consob.it/main/documenti/news/2010/anno_xvi_n-
06_08_febbraio_2010.htm?hkeywords=&docid=0&page=0&hits=16)
Gli auspici delle Autorità riguardo le politiche commerciali degli intermediari sono:
• adozione di un modello di business incentrato sul servizio reso al cliente anziché su logiche
di prodotto;
• processo bottom up di definizione del budget;
• valutazione del rischio di non conformità relativo alle scelte strategiche e di budget;
• previsione di obiettivi qualitativi fra i criteri ispiratori del sistema incentivante
• formalizzazione dei processi e delle procedure;
• maggiore coinvolgimento della funzione compliance nel processo di definizione delle
politiche commerciali.
Sabatini ha poi presentato e commentato le “Linee Guida Interassociative” nate dal lavoro
congiunto di ABI, ASSOSIM e FEDERCASSE che hanno ritenuto opportuno definire principi di
best practice in tema di rapporti tra la funzione di compliance e le altre funzioni aziendali coinvolte
nella definizione delle politiche “commerciali”.
I lavori di redazione delle Linee Guida che hanno avuto inizio nel mese di aprile 2010 e si sono
conclusi nel mese di luglio scorso, hanno visto il coinvolgimento di 19 banche.
Prima e durante i lavori vi sono stati alcuni incontri informali con i competenti uffici della
CONSOB.
Nel mese di novembre è attesa una comunicazione da parte della stessa CONSOB con una presa
d’atto delle Linee Guida.
Passando ai contenuti delle Linee Guida, sono stati individuati 6 temi del modello di business:
1. Prodotti servizi e pricing

2. Sistema incentivante e conflitti di interesse
3. Canali distributivi
4. Profilatura e segmentazione della clientela
5. Inducements
6. Budget.
Sabatini ha sottolineato due componenti fondamentali delle linee guida:

• policy
• scelte strategiche.
Per le policy, Sabatini ha sottolineato le seguenti caratteristiche delle Linee Guida:
• sono redatte nel rispetto del principio di proporzionalità

• possono essere uniche (trasversali) o diversificate per specifici argomenti
• possono costituire documenti autonomi o essere eventualmente integrate nelle disposizioni
interne
• già adottate dagli intermediari
• contengono i criteri procedurali e i principi generali che guidano l’elaborazione di tutti gli
eventuali documenti concorrenti alla programmazione e alla realizzazione degli obiettivi
commerciali dell’azienda.
In tal ambito la Compliance:
• esprime le proprie valutazioni sui rischi di non conformità derivanti dalle scelte in materia di
politiche commerciali;
• deve essere coinvolta nel processo di definizione delle linee guida aziendali e/o delle policy
aziendali.
Il parere della funzione compliance si basa sulle disposizioni normative e regolamentari vigenti,
nonché su eventuali codici/regole autonomamente adottati dall’intermediario.
Per quanto riguarda la strategia , per la definizione delle politiche commerciali, ciascun
intermediario deve ispirarsi, nella propria regolamentazione interna, a quanto deliberato nelle Linee
Guida aziendali così da servire al meglio gli interessi della clientela.
La regolamentazione interna deve disciplinare, ad esempio:

• strategie commerciali che riguardino l’ingresso in nuovi mercati con servizi e/o prodotti
• l’estensione delle aree geografiche d’interesse
• il focus su specifiche fasce di clientela
• l’inserimento in catalogo di nuove tipologie di prodotti
• la stipula di accordi di collaborazione con enti terzi;
• l’offerta di prodotti propri e/o l’offerta di prodotti di terzi
• mappatura dei prodotti per livello di rischio e tipologia di clientela destinataria
• la progettazione delle modalità di prestazione dei servizi
• gli obiettivi di masse e reddituali e quelli, ad esempio, di customer satisfaction
• la policy sugli inducement
• la pricing policy.
A questo livello la funzione Compliance, con riguardo alla documentazione relativa alle scelte
strategiche:
• è coinvolta dalle altre funzioni competenti per le parti di suo interesse;
• esegue un controllo di coerenza con i principi di primo livello, anche sulle singole proposte
ad hoc, prima della loro sottoposizione all’organo decisionale competente.
Infine Sabatini ha espresso alcune considerazioni finali sui contenuti delle Linee Guida; esse:
• hanno un carattere essenzialmente procedurale;

• non descrivono i poteri ed i limiti della funzione di compliance, essendo questi già definiti
dal legislatore comunitario e nazionale;
• chiariscono che la funzione compliance non ha alcun potere di veto sull’assunzione, da parte
dell’Organo di vertice, delle scelte strategiche sul modello di business;
• prevedono un’adeguata formalizzazione delle interazioni fra le diverse funzioni coinvolte
nei processi aziendali (tracking dei processi e delle decisioni dell’intermediario).
In conclusione date le novità previste nelle Linee Guida, la loro implementazione avverrà secondo
un’ottica di gradualità e di progressivo adeguamento da parte degli intermediari in coerenza con la
natura, le caratteristiche e le dimensioni della loro operatività.
Allegati
Riepilogo della normativa di riferimento citata nel
convegno
• Bank for International Settlements (BIS), “Compliance and the compliance function in
banks”, 29 aprile 2005, http://www.bis.org/publ/bcbs103.pdf
• Banca d’Italia, “Disposizioni di Vigilanza - La funzione di conformità (compliance)”, 12
luglio 2007,
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/provv_9_7_07.pd
f
• Provvedimento Banca d'Italia/Consob, “Regolamento in materia di organizzazione e
procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del
risparmio”, 29 ottobre 2007, disponibile in html
http://www.consob.it/main/documenti/Regolamentazione/normativa/bi_consob_29_ott_200
7.htm e pdf
http://www.consob.it/documenti/Regolamentazione/normativa//bi_consob_29_ott_2007.
• ISVAP, Regolamento N. 20 del 26 marzo 2008, “Regolamento recante disposizioni in
materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività
delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del decreto
legislativo 7 settembre 2005, n. 209 - codice delle assicurazioni private”, italiano
http://www.isvap.it/isvap_cms/docs/F32521/Regolamento_020.zip e inglese
http://www.isvap.it/isvap_cms/docs/F14757/ISVAP%20Regulation%2020_EN.pdf
• Committee of European Banking Supervisors (CEBS), Guidebook on Internal Governance
(CP 44), 13 ottobre 2010, in http://www.c-
ebs.org/cebs/media/Publications/Consultation%20Papers/2010/CP44/CP44.pdf
• CESR, The Committee of European Securities Regulators, “Inducements: Good and poor
practices”, 19 aprile 2010, in http://www.cesr-eu.org/data/document/10_296.pdf
• Kaarlo Jännäri, Report on Banking Regulation and Supervision in Iceland: past, present and
future, 30 marzo 2009 http://eng.forsaetisraduneyti.is/media/frettir/KaarloJannari__2009.pdf
• Special Investigation Commission (SIC), Summary of the Report’s Main Conclusions, 12
aprile 2010 http://sic.althingi.is/pdf/RNAvefKafli2Enska.pdf
• CONSOB, Delibera n. 17297 in vigore dal 1° luglio 2010, Disposizioni concernenti gli
obblighi di comunicazione di dati e notizie e la trasmissione di atti e documenti da parte dei
soggetti vigilati in
http://www.consob.it/main/documenti/Regolamentazione/normativa/reg17297.htm
• ABI, Assosim, Federcasse, Linee guida interassociative per l’applicazione delle misure
Consob di livello 3 in tema di prodotti finanziari illiquidi, 5 agosto 2009,
http://www.creditocooperativo.it/archivio/50554.PDF
• Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud (circolare della
Banca d'Italia n. 263 del 27 dicembre 2006, e successivi aggiornamenti, con la quale sono
stati recepiti le direttive comunitarie 2006/48/CE e 2006/49/CE ed il documento
"Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali.
Nuovo schema di regolamentazione" del Comitato di Basilea per la vigilanza bancaria, cd.
"Basilea II"). Il testo indicato qui di seguito è quello della circolare n. 263 come modificato
dal 3° aggiornamento del 15 gennaio 2009, pdf zip
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud/circ_263_2006.
zip
• Bank for International Settlements (BIS), “Compliance and the compliance function in
banks”, 29 aprile 2005, http://www.bis.org/publ/bcbs103.pdf
• Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle
imprese bancarie e finanziarie, 4 ottobre 2007 in
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf
• Committee of European Banking Supervisors (CEBS), Consultation paper (CP 24) High-
level principles for risk management, 8 April 2009, in http://www.c-
ebs.org/getdoc/0861a22e-0eb8-4449-9b3a-f4b1959267c7/CP24_High-level-principles-for-
risk-management.aspx
• CONSOB, Provvedimento recante disposizioni attuative in materia di organizzazione,
procedure e controlli interni volti a prevenire l’utilizzo a fini di riciclaggio e di
finanziamento del terrorismo delle società di revisione iscritte nell’Albo speciale previsto
dall’art. 161 del Decreto Legislativo 24 febbraio 1998, n. 58 e contemporaneamente iscritte
nel Registro dei revisori contabili, ai sensi dell’art. 7, comma 2, del Decreto Legislativo 21
novembre 2007, n. 231, documento di consultazione, 11 ottobre 2010 in
http://www.consob.it/main/documenti/Regolamentazione/lavori_preparatori/consultazione_r
evisione_20101011.htm?hkeywords=&docid=1&page=0&hits=10
• Autorità Garante della Concorrenza e del Mercato, Provvedimento n. 16249 relativo
all’istruttoria Intesa Sanpaolo-IMI, qui in pdf
http://www.agcm.it/AGCM_ITA/DSAP/DSAP_287.NSF/0/c5ef609b3245d345c125725700
564791/$FILE/p16249.pdf
• Commissione delle Comunità Europee, Regolamento (ce) n. 802/2004 della commissione 21
aprile 2004 di esecuzione del regolamento (CE) n. 139/2004 del Consiglio relativo al
controllo delle concentrazioni tra imprese (testo consolidato) qui in pdf http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2004R0802:20081023:IT:PDF
• Raccomandazione della Commissione del 30 aprile 2009 sulle politiche retributive nel
settore dei servizi finanziari (2009/384/CE) qui in pdf http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:120:0022:0027:IT:PDF
• Financial Stability Board, Improving Financial Regulation, Report to G20 Leaders, 25
September 2009 qui in pdf
http://www.financialstabilityboard.org/publications/r_090925b.pdf
• Bank for International Settlements (BIS), Compliance and the compliance function in banks,
29 aprile 2005, qui in pdf
• Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle
imprese bancarie e finanziarie, 4 ottobre 2007 qui in pdf
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf
• Banca d’Italia, Le nuove disposizioni di vigilanza in materia di organizzazione e governo
societario delle banche, 4 marzo 2008, qui in pdf
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/disposizioni_040
308.pdf)
• CONSOB Notiziario settimanale - anno XVI - N° 6 - 8 febbraio 2010 in
http://www.consob.it/main/documenti/news/2010/anno_xvi_n-
06_08_febbraio_2010.htm?hkeywords=&docid=0&page=0&hits=16
Link
• Il sito ufficiale di “Compliance in Banks 2010 - La sfida di integrazione dei controlli interni”
http://www.abieventi.it/eventi/1234/
• Il programma ufficiale http://www.abieventi.it/public/files/eventi/compliance-
2010/programma/Compliance_2010_Programma_definitivo.pdf 546 K 2 pp.
• Compliance Community di ABI http://www.compliance-community.it/
• ComplianceNet http://www.compliancenet.it/
• ComplianceNet - Resoconto del convegno ABI "Compliance in Banks 2008" - parte prima
http://www.compliancenet.it/content/resoconto-del-convegno-abi-compliance-banks-2008-
parte-prima seconda http://www.compliancenet.it/content/resoconto-del-convegno-abi-
compliance-banks-2008-parte-seconda e terza
http://www.compliancenet.it/content/resoconto-del-convegno-abi-compliance-banks-2008-
parte-terza
• Compliance in Banks 2007 – Intervista a Marco Pigliacampo di ABI Formazione
http://www.compliancenet.it/content/compliance-banks-2007-intervista-marco-pigliacampo-
abi-formazione
• ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte prima)
http://www.compliancenet.it/content/abi-compliance-banks-2007-resoconto-degli-interventi-
parte-prima (seconda http://www.compliancenet.it/content/abi-compliance-banks-2007-
resoconto-degli-interventi-parte-seconda , terza http://www.compliancenet.it/content/abi-
compliance-banks-2007-resoconto-degli-interventi-parte-terza e quarta
http://www.compliancenet.it/content/abi-%E2%80%93-compliance-banks-2007-
%E2%80%93-resoconto-degli-interventi-parte-quarta)
• ABICS – What do you use this tool for? Strumento di supporto alla performance
http://www.compliancenet.it/content/abics-what-do-you-use-tool-strumento-di-supporto-
alla-performance
• ABI, PriceWaterhouse&Cooper, Libro Bianco sul Pillar 2, Il processo ICAAP di
autovalutazione del capitale: le possibili soluzioni per le banche italiane in
http://www.bancariaeditrice.it/prodotti/vedi/prodotto/id/933/libro-bianco-sul-pillar-2
• AIFIRM – Associazione Italiana Financial Industry Risk Manager http://www.aifirm.com/
• Arbitro Bancario Finanziari (ABF http://www.arbitrobancariofinanziario.it/)
• Associazione Italiana Compliance (AICOM http://www.assoaicom.org/ )
• Associazione Italiana Internal Auditors (AIIA http://www.aiiaweb.it/ )
L’impegno di ComplianceNet per la
diffusione della cultura della
Compliance
ComplianceNet è impegnata da anni nell’opera di divulgazione delle tematiche della compliance,
della privacy e della security.
Di seguito alcune delle opere che ComplianceNet ha realizzato o tradotto per aumentare la
diffusione della cultura della compliance.
Tutti i documenti sono liberamente scaricabili dal sito www.compliancenet.it e possono essere
utilizzati secondo le licenze indicate nelle opere stesse.
• Ebook: “Sei lezioni sulla privacy” http://www.compliancenet.it/content/sei-lezioni-sulla-privacy-parte-

sesta-marketing-e-comunicazioni-commerciali
• traduzione di “COBIT: Obiettivi di controllo IT per Basilea II”
http://www.compliancenet.it/content/cobit-obiettivi-di-controllo-it-basilea-ii-disponibile-la-traduzione-italiano
• traduzione di “Obiettivi di controllo IT per la Sarbanes-Oxley”di ISACA
http://www.compliancenet.it/content/isaca-obiettivi-di-controllo-it-la-sarbanesoxley-liberamente-scaricabile-
italiano
• traduzione di “Risk IT – gestione dei rischi informatici” di ISACA (primi cinque capitoli)
http://www.compliancenet.it/content/risk-it-gestione-dei-rischi-informatici-traduzione-in-italiano-dei-primi-
cinque-capitoli
• traduzione di “Aspetti economici del crimine online” di Tyler Moore, Richard Clayton e
Ross Anderson http://www.compliancenet.it/content/aspetti-economici-del-crimine-online-tyler-moore-
richard-clayton-ross-anderson-italiano
ComplianceNet ha inoltre convertito in formato epub: numerosi documenti delle autorità di

vigilanza (Banca d’Italia, CONSOB, Garante per la protezione dei dati personali); l’elenco
completo è in http://www.compliancenet.it/category/compliancenet/epub .
Tra questi:
• Banca d’Italia, “Lo stato del sistema bancario italiano e le prospettive per l’attività normativa”, 17 novembre 2010, in
http://www.compliancenet.it/documenti/enria-171110.epub
• Banca d'Italia: "La revisione delle regole prudenziali: i possibili effetti su banche e imprese" audizione alla Camera dei Deputati di Anna
Maria Tarantola, Vice Direttore Generale della Banca d’Italia, 7 ottobre 2010,
in: http://www.compliancenet.it/documenti/visco_genova_24_settembre2010.epub
• Banca d'Italia: "Le competenze, le professionalità, l’adattabilità" ”- intervento di Ignazio Visco, Vice Direttore Generale della Banca
d’Italia, al convegno Confindustria “Occupazione e Competitività. Le proposte di Confindustria per crescere adesso”, 24 settembre 2010,
in:http://www.compliancenet.it/documenti/visco_genova_24_settembre2010.epub
• Banca d’Italia: “Il credito specializzato: funzioni, rischi, azione di vigilanza” intervento di Anna Maria Tarantola, Vice Direttore Generale
della Banca d’Italia, al convegno AIBE – Assifact – Assilea – Assofin ”, 23 settembre 2010 ,
in http://www.compliancenet.it/documenti/tarantola_230910.epub
• Banca d’Italia: “Provvedimento recante gli indicatori di anomalia per gli intermediari”, 27 agosto 2010,
in http://www.compliancenet.it/documenti/100829-provv_ind_anom.epub
• Banca d’Italia: Trasparenza – “Domande frequenti sul Provvedimento del 29 luglio 2009 e successive modificazioni”, 27 luglio
2010 inhttp://www.compliancenet.it/documenti/100727-Nuove_F_A_Q.epub
• Banca d’Italia, “Continuità operativa in casi di emergenza”, in Bollettino di Vigilanza Numero 7, luglio
2004 in http://www.compliancenet.it/documenti/200407-bolvig-continuita.epub
• Banca d’Italia "Il nuovo approccio regolamentare al rischio di riciclaggio"
in http://www.compliancenet.it/documenti/240610_mieli.epub 25/06/2009
• ….
E tanto altro ancora in http://www.compliancenet.it/

Resoconto Compliance in Banks 2010

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Resoconto Compliance in Banks 2010

Caricato da

Copyright:

Formati disponibili

Resoconto degli interventi

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,

Alle seguenti condizioni:

• Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore

• Non commerciale. Non puoi usare quest'opera per fini commerciali.

SECONDA SESSIONE - LE METODOLOGIE: VALUTARE IL

TERZA SESSIONE - TEMI APERTI: COMPLIANCE & LEGAL................... 30

QUINTA SESSIONE - TEMI APERTI: LA COMPLIANCE SUI SERVIZI DI

Per altre informazioni: cristina.cellucci@compliancenet.it

Chi è l’autore di questo documento?

Agatino Grillo si occupa di compliance, internal audit e sistemi EDP.

• Sito personale: http://www.agatinogrillo.it/

• Giovanni Sabatini, Direttore Generale, ABI, chairman della sessione

Di seguito la sintesi degli interventi.

Sabatini, dopo aver ringraziato i partecipanti all’evento ed in particolare i rappresentanti delle

La comunità virtuale della compliance di ABI

Il dibattito sulla Compliance

Compliance in Banks 2010

Il parlamento islandese ha anche istituito una commissione speciale (Special Investigative

Tuttavia, ha osservato Stefansson, la crisi ci ha dato anche degli insegnamenti significativi:

L’intervento del dottor Spada si è articolato in tre parti:

• conoscere i prodotti finanziari;

Se è vero che le scelte strategiche dell’intermediario sono rimesse all’autonomia imprenditoriale

La Compliance nei servizi di investimento: alcune scelte di campo

• succursali di banche comunitarie;

La relazione si è concentrata, in particolare, sulle succursali di banche comunitarie: entità di

• 72 succursali insediate (dati 2009)

Il contesto normativo di riferimento per le succursali di banche comunitarie è in apparenza è molto

• la tutela degli interessi della clientela;

La struttura e l’organizzazione della funzione di Compliance nelle succursali di banche estere

• dimensione della succursale;

1. ex ante (approvazione di operazioni, approvazione di relazioni, validazione nuovi prodotti /

I processo di certificazione sulla Compliance di ABIFormazione si compone di due parti:

1. la prima è finalizzata alla verifica delle conoscenze in materia di compliance, mediante un

Dall'anno prossimo, ha annunciato Maisano, avranno la possibilità di accedere alle sessioni di

Di seguito la sintesi degli interventi.

Il dottor Torriero ha condotto, in qualità di chairman, la seconda sessione del convegno

1. Funzione Compliance: quale ruolo oggi?

Funzione Compliance: quale ruolo oggi?

1. di linea, preventivi (primo livello);

Specie il secondo punto (valutazione/misurazione) viene spesso trascurato dalla Compliance e

I possibili contributi della Compliance all’ICAAP

Le disposizioni di vigilanza consigliano di scomporre l’ICAAP in quattro fasi anche se ciascuno

1. individuazione dei rischi da sottoporre a valutazione;

1. Quanto è diffuso questo tipo di approccio proattivo alla razionalizzazione complessiva e

La relazione della dottoressa Tesio si è articolata in quattro parti:

1. La Compliance in Intesa Sanpaolo

La Compliance in Intesa Sanpaolo

Al primo gruppo di norme appartengono (tra l’altro):

• Tutela della privacy

L’indirizzo e il coordinamento si articola in due modalità:

L’informativa agli organi sociali e ai comitati

Focus sul rischio reputazionale – l’aderenza al Codice Etico

Il dottor Metelli, presidente di AIFIRM http://www.aifirm.com/ l’Associazione Italiana Financial

Di conseguenza Metelli propone a Risk Manager e Compliance Manager di costituire un tavolo

L’intervento del dottor Bocchini si è articolato in tre parti:

Approccio al Compliance Risk Assessment

1. componente operativa o rischio di incorrere in sanzioni giudiziarie o amministrative e

La valutazione ex-ante si basa sull’analisi di esistenza / completezza dei presidi/ controlli a

• esistenza/ aggiornamento normativa interna

La relazione tenuta insieme da Marco Pigliacampo (ABIFormazione) e Federico Meloni

I punti di forza di ABICS CC sono:

Tali personalizzazioni del sistema ABICS CC hanno consentito e consentono: